En las primeras horas después de una infracción, se dará cuenta rápidamente de que necesita ayuda: ayuda legal, ayuda de relaciones públicas, ayuda presupuestaria y, definitivamente, ayuda de un gestor de incidentes con experiencia. Por lo general, ese apoyo provendrá de un equipo interno o de un equipo externo de respuesta a incidentes.
En este análisis, voy a exponer las diferencias entre los dos enfoques y sus fortalezas y debilidades relativas.
Tener tu propio equipo
En primer lugar, es posible que tenga a esos gestores de incidentes experimentados internamente en su propio equipo de seguridad de tecnología de la información (TI). Si tiene un equipo de respuesta a incidentes dedicado, considérese afortunado: las personas del equipo están familiarizadas con su entorno y sus herramientas, tienen relaciones con otras personas de TI y personal de su empresa, y tienen un conocimiento y una experiencia profundos que no pueden ser replicado por nadie del exterior.
Sin embargo, incluso si te encuentras en este escenario afortunado, no esperes que todo sea sol y arcoíris. A menos que esté trabajando en una organización muy grande, lo más probable es que su personal de respuesta a incidentes esté compuesto por solo unas pocas personas. Si ha experimentado una infracción, este equipo se extenderá hasta su límite. Sus miembros pueden estar capacitados para encontrar una aguja en un pajar, pero después de varios días, semanas y meses de largas horas, incluso los mejores de nosotros se verán desafiados a mantener nuestro mejor trabajo y máxima concentración.
Cómo ayudar a su equipo interno
Entonces, ¿cómo los ayuda? Primero, asegúrese de que estén perfeccionando su oficio con regularidad. La TI cambia para siempre y el momento de aprender la última tecnología no es el día del incidente. Permítales realizar ejercicios; enviarlos a capacitaciones y conferencias; organizar un evento de capturar la bandera; y haz cualquier otra cosa que puedas hacer para afilar el cuchillo.
En segundo lugar, asegúrese de que estén dejando suficiente tiempo fuera del trabajo para cuidar de sí mismos y de sus familias. Muchos gestores de incidentes darán su mejor impresión de un labrador durante la temporada de patos: van hasta que literalmente se caen, luego se levantan y siguen un poco más. Envíelos a casa, pida pizzas y asegúrese de que el café esté fresco. Tener un equipo bien descansado (y respetado) se reflejará en los resultados de su investigación, y se alegrará de haberse ocupado de todos los que trabajan en él.
Finalmente, asegúrese de que tengan las herramientas para realizar las tareas requeridas. No todas las herramientas son iguales. ¿Puede su equipo crear una imagen forense usando alguna línea de comandos? Por supuesto. ¿Existen herramientas comerciales en el mercado que realicen ese trabajo en mucho menos tiempo? ¡Absolutamente! Durante una investigación prolongada, se puede ahorrar un tiempo precioso asegurándose de que el equipo tenga las herramientas adecuadas para el trabajo.
Trabajar con un equipo de terceros
Alternativamente, si no tiene un equipo interno, deberá contratar a un tercero para realizar su investigación. Este enfoque tiene algunos beneficios importantes. La respuesta a incidentes es lo que hacen estos equipos. Van de una gran brecha a la siguiente, por lo que las habilidades y los procesos de los miembros del equipo son nítidos. No tendrá que preocuparse por la capacitación y las herramientas (estos profesionales vendrán con las suyas propias), pero hay algunos otros aspectos que debe considerar.
Su equipo de terceros se muestra frío. Sus miembros no tienen relaciones ni confianza construida con su personal actual. Alguien tendrá que ayudar a estas personas a conocer el terreno. Es probable que necesiten saber: ¿Dónde puedo trabajar? ¿Con quién hablo sobre problemas de permisos? ¿Cómo cambio las reglas del cortafuegos? ¿Dónde está la pizzería más cercana? (Si no lo ha notado, la pizza es una parte importante de la respuesta a un incidente).
Otra consideración es que los gestores de incidentes profesionales son costosos. Eso no quiere decir que no valgan la pena, pero querrá enfocarlos directamente en el trabajo para el que solo ellos están calificados. La creación de imágenes y el hash de discos, la copia de capturas de paquetes (PCAP) y la recolección de máquinas infectadas de los escritorios de los empleados son ejemplos de cosas que deben lograrse, pero que puede hacer que el personal de TI subalterno haga para mantener a sus altamente talentosos y costosos gestores de incidentes. Esto tiene la ventaja adicional de brindarle a su equipo de TI algo de experiencia trabajando en seguridad y a su alrededor.
También se asegurará de buscar una empresa en la que confíe antes de que ocurra un incidente. ¿Cuáles son las calificaciones de las personas que enviarán? ¿Cuánto tardarán en girar después de activarse? ¿Qué harán con los datos que se deriven de la investigación? Todas estas cosas deben resolverse antes de que pueda comenzar el trabajo. No puedo enfatizar lo suficiente, este será un momento estresante personal y profesionalmente. Las decisiones deberán tomarse con frecuencia y rapidez. Cualquier cosa que puedas abrochar de antemano vale la pena invertir tu tiempo.
Pensamientos finales
Independientemente del tipo de equipo de respuesta a incidentes con el que esté tratando, la confianza es un factor clave. Como líder empresarial, querrá confiar en la información y los consejos de su equipo. Al mismo tiempo, querrá que el equipo se sienta lo suficientemente cómodo con usted para decir las duras verdades que seguramente vendrán. Seguir los pasos descritos anteriormente lo ayudará a establecer una relación con su equipo para permitir un flujo libre de comunicaciones y lo ayudará a sentirse seguro de que superará este momento difícil.
Autor: Frank Domizio
Artículo original aquí
