Noticia

Diez pasos para mejorar la gestión de ciberincidentes

gestion cinberincidentes_ciberseguridad
Centro Criptológico Nacional

La gestión de ciberincidentes es una de las principales preocupaciones a las que se enfrentan las organizaciones en materia de ciberseguridad. Sobre todo porque, en la mayoría de los casos, la rápida respuesta determinará el impacto del incidente. Por ello, es fundamental disponer de las herramientas necesarias para su correcta gestión.

Precisamente con el objetivo de reducir esos tiempos de actuación, el Centro Criptológico Nacional ha compartido diez pasos que debe seguir toda empresa en la gestión de ciberincidentes. Son los siguientes:

  1. Disposición de mecanismos y herramientas de detección que alerten al organismo de comportamientos anómalos si se ha recibido un ciberataque. Para esto el propio Centro Criptológico recomienda adherirse al Sistema de Alerta Temprana del CCN-CERT.
  2. Identificar las amenazas y su potencial para poder prevenir el impacto en el servicio.
  3. Conocer el grado de madurez para responder a los incidentes en base a la tipología y peligrosidad definidos en la guía CCN-STIC 817.
  4. Actuar rápido y notificar el incidente a las autoridades competentes. Esta comunicación es trascendental, ya que el incidente puede estar afectando a otros organismos y organizaciones simultáneamente.
  5. Ejecución de medidas para evitar la propagación del incidente. La notificación del incidente tiene que estar dentro del marco normativo y ser una realidad para implantar una respuesta a la política de seguridad del organismo.
  6. Recopilar toda la información disponible sobre el incidente. Revisar qué activos internos han sufrido el intento de ataque y priorizar en base a la peligrosidad y el contexto.
  7. Documentar el incidente y las acciones puestas en marcha en el momento de su detección.
  8. Llevar a cabo labores de investigación, auditoría, bastionado, análisis forense e ingeniería inversa para contener y mitigar las amenazas.
  9. Seguir el plan establecido por cada entidad para restablecer el sistema. Se medirán los riesgos de la reconexión y los procedimientos a seguir para que en un futuro no vuelvan a suceder los mismos incidentes.
  10. Resolución y cierre del incidente. Determinar el impacto del ciberataque y reforzar tanto las políticas como las medidas de seguridad de la organización.

Archivado en: