twobee - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cinco pasos para echar a andar su estrategia de respuesta a incidentes en la nube

En este punto, una estrategia de gestión de incidentes en la nube no debería ser opcional para las empresas que trabajan en la nube. Revise estas mejores prácticas para asegurarse de que su equipo esté bien preparado.

Los volcados de datos, los ataques de ransomware, los skimmers para robar datos de tarjetas y el malware son frecuentes en estos días, lo que significa que la planificación de la gestión de incidentes ya no es opcional. No se trata de si ocurrirá un incidente, sino de cuándo. Y debido a la naturaleza hiperconectada de los entornos de TI actuales, las cargas de trabajo basadas en la nube son particularmente vulnerables.

Sin un proceso de respuesta establecido, una organización no podrá reaccionar adecuadamente ante amenazas de seguridad o problemas inesperados de infraestructura o aplicación. Afortunadamente, la gestión de incidentes es un proceso bien establecido.

Para aliviar el estrés de poner en marcha un plan, revise estos cinco pasos para identificar, remediar y adaptarse a los incidentes a medida que ocurren y antes de que ocurran.

Paso 1: Prepararse

Una de las cosas más importantes que pueden hacer los equipos de TI cuando establecen un proceso de respuesta a incidentes en la nube es prepararse para la inevitabilidad de que ocurra un incidente. Si bien la preparación puede venir en diferentes formas, generalmente se divide en tres categorías: Capacitación, documentación y agregación.

Capacitación

Tener a las personas adecuadas en su lugar es solo la mitad de la ecuación cuando se trata de la respuesta a incidentes en la nube. Una organización también necesita que su gente esté bien capacitada, bien informada y bien apoyada para manejar los eventos a medida que ocurren.

Las organizaciones nativas de la nube deben asegurarse de que sus empleados comprendan cómo navegar por la interfaz de su proveedor elegido para recopilar información y reaccionar ante lo que encuentran. Esto también significa que los empleados deben conocer el plan de gestión de incidentes de la compañía y lo que se espera de ellos.

Documentación

Toda empresa de tecnología debe tener documentación sólida para operar de manera eficiente. Con el fin de apoyar a los empleados que podrían verse atrapados en una respuesta a un incidente, esto significa crear y mantener manuales precisos. Los manuales (runbooks) son un conjunto de operaciones y procedimientos de rutina que los empleados pueden llevar a cabo cuando reaccionan a eventos predecibles en un entorno de producción.

Los manuales no se limitan a incidentes de seguridad, ya que también pueden guiar a los empleados a través de tareas como escalar una base de datos o reiniciar un proceso atascado. Cuando se trata de la gestión de incidentes, los manuales son la primera línea de defensa para cualquier empleado que no esté familiarizado con la arquitectura de la empresa.

Agregación

Los datos son clave cuando se trata de la capacidad del equipo de respuesta a incidentes para identificar lo que sucedió, cómo sucedió y por qué sucedió. Aunque la agregación de registros y el análisis pueden ser increíblemente caros, esta información es la columna vertebral de cualquier esfuerzo de identificación, selección y corrección que se llevará a cabo en los pasos posteriores.

Paso 2: Identificar

Antes de que los equipos puedan responder a un incidente, necesitan identificar cuándo está ocurriendo uno. Esto puede suceder de varias maneras, pero generalmente requiere el reconocimiento de un comportamiento anormal. A menudo, este es un proceso manual que se maneja al revisar los informes de los usuarios o al revisar los datos de registro y análisis, pero la implementación de herramientas automatizadas es la única forma escalable de reconocer el comportamiento aberrante en entornos de nube grandes.

Agilice su proceso de gestión de incidentes.

Considere la validación cruzada

Cuando se identifica un incidente a través de procesos manuales o automatizados, muchas organizaciones pueden optar por notificar y validar el incidente observado con su proveedor de la nube. Este paso puede recorrer un largo camino para garantizar que solo está reaccionando a incidentes reales. El soporte de un proveedor de la nube puede ayudar a cerrar rápidamente el ciclo en situaciones donde el tiempo es crítico.

Paso 3: Coordinar

Una vez que se ha identificado un incidente, el siguiente paso es organizarse. Antes de que algo se pueda solucionar, debe comprender la naturaleza y la gravedad del problema, y ​​definir e interactuar con el equipo de respuesta. En este paso, el ingeniero de guardia o el empleado sería responsable de identificar la naturaleza del informe y realizaría una evaluación inicial de la gravedad antes de pasarlo a un miembro del equipo apropiado.

Establecer un equipo de respuesta

Muchas organizaciones nativas de la nube pueden ser lo suficientemente pequeñas como para involucrar al mismo conjunto de miembros del equipo para cada incidente. Pero cuanto más grande se hace una organización, más importante es identificar a los expertos relevantes para el problema que ocurrió.

Después de que ocurre un incidente, se transfiere a un miembro del equipo apropiado, también conocido como el comandante del incidente, quien luego identificará las iniciativas interfuncionales de los equipos relevantes para crear el equipo de respuesta a incidentes en la nube. Este equipo será responsable de investigar y remediar el problema en el futuro.

Prevenga incidentes antes de que sucedan.

Paso 4: Remediar

Con el incidente activo identificado y un equipo de respuesta establecido, comience a investigar y contener el problema. A medida que el equipo de respuesta investiga, se pueden requerir miembros y recursos adicionales del equipo para recopilar tanta información como sea posible.

Debido a la imprevisibilidad inherente de los incidentes, es difícil poner una línea de tiempo en este proceso. Mantenga las líneas de comunicación abiertas internamente para seguir el progreso y comprender el impacto general.

Cuando se trata de ciberseguridad, no hay una forma más rápida de perder la confianza de los clientes que no notificarles los problemas que pueden afectarlos personalmente. Es importante proporcionar una visión clara de los incidentes, a medida que suceden, y cómo remediarlos. Tenga en cuenta la óptica de elegir no informar un incidente a los clientes y luego hacer que salga a la luz en una fecha posterior. En caso de duda, erre del lado de la transparencia.

Paso 5: Revisar

La piedra angular de cualquier proceso ágil de respuesta a incidentes en la nube, las retrospectivas nos permiten aprender de los errores del pasado y tomar medidas correctivas para garantizar que siempre sean mejoras. Destaque lo que salió bien e identifique áreas de mejora para ayudar a definir los elementos de acción. Esto permite a los equipos de respuesta aprender de incidentes pasados ​​y estar mejor preparados para el próximo incidente.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close