La semana pasada definimos las brechas de seguridad como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Anteriormente hemos analizado todas las fases incluidas en el plan de actuación, por ello, en este post nos vamos a centrar en el desarrollo del proceso de respuesta, en el caso ya confirmado de brecha de seguridad con incidencia en los datos personales.
Durante este proceso de respuesta, vamos a distinguir diferentes fases:
- Contención del incidente
Es esencial ya que nos da tiempo para desarrollar una estrategia de respuesta. Esta fase consiste en la toma de decisiones rápidas y que a modo de ejemplo podemos indicar algunas, tales como cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.
Es recomendable determinar las medidas a implantar, estableciendo un orden de preferencias, los responsables asignados, los tiempos estimados y así como los efectos esperados.
- Solución/Erradicación
Esta etapa se basa en anular aquellas amenazas que afecten a la seguridad de la empresa.
También sirve para identificar y mitigar todas las vulnerabilidades que hubiesen sido explotadas.
Las tareas de erradicación deben contar con una descripción de alto nivel de las tareas, así como de la responsabilidad de cada una de ellas. Un ejemplo señalar la eliminación de los malware o el borrado de los correos spam.
- Recuperación
Una vez solventada la brecha de seguridad y garantizadas las medidas adoptadas pasamos a la fase de recuperación cuya finalidad consiste en el completo restablecimiento del servicio.
Esto puede ocasionar la adopción de medidas que permitan controles periódicos y eficaces, por lo que se llevarán a cabo medidas de identificación de soluciones encaminadas a evitar nuevos incidentes de seguridad basados en la misma causa, así como a reducir el riesgo de los mismos.
Por otra parte, también se determinará la estrategia a seguirse en el futuro junto con las medidas adoptadas y se garantizará, a parte del restablecimiento de la empresa al momento anterior al incidente, sino que además se llevará una revisión del análisis de riesgos y de los controles adoptados para evitar futuros incidentes.
- Recolección y custodia de evidencias
Se van a determinar las acciones necesarias para contener el impacto que haya podido ocasionar la brecha de seguridad y por ello, se trata de definir la necesidad del uso de la información por parte de la empresa.
- Comunicación/Informe de resolución
La comunicación durante el proceso de respuesta es esencial, y debe llevarse de la manera más continua posible y facilitar que la dirección y los responsables de seguridad de la empresa tengan una visión tanto del incidente como de las acciones tomadas para afrontarlo.
La elaboración del informe de resolución tiene como objetivo servir de base para realizar ejercicios futuros de lecciones aprendidas. Este informe debe incluir los detalles sobre las acciones llevadas a cabo y es recomendable su presentación en forma de línea temporal, de modo que se facilite el seguimiento de las diferentes acciones.