Después de tener formulado el Plan de Continuidad del Negocio para saber cómo responder ante una contingencia, es necesario tener en cuenta algunas actividades periódicas que van a ayudar a que la empresa esté preparada para enfrentar algún incidente.
Por el tipo de servicios que las empresas ofrecen hoy en día a través de Internet, para un atacante son varias las posibilidades que se le presentan para llevar a cabo sus ataques. Por lo tanto, es necesario que tengan un Plan de Respuesta Incidentes para enfrentar ataques que atenten contra sus sistemas, ya sea para sacar algún tipo de ventaja comercial o incluso por activismo político e ideológico.
Las empresas no deben olvidar que, hoy en día el sitio web o los servicios que ofrecen en Internet son una carta de presentación. En la medida en que estos sean dados de baja o tengan problemas por períodos largos de tiempo, puede verse seriamente afectada la confianza de los clientes.
Ante una eventualidad que afecte el normal funcionamiento de las operaciones, cabe preguntarse si el negocio está protegido adecuadamente. Los objetivos muchas veces se encaminan en cómo contener la amenaza y restablecer todos los servicios para minimizar el impacto al cliente.
Sin embargo, hay una serie de actividades que se deben realizar periódicamente para garantizar que todo va a funcionar de acuerdo a lo esperado. Ya alguna vez escribimos algunos consejos para evitar un ataque de denegación de servicio, pero a continuación presentamos algunas sugerencias que deberían tenerse en cuenta para mejorar el Plan de Respuesta a Incidentes:
- Comunicar la estrategia de cómo y cuándo se debe poner en marcha el Plan de Respuesta a Incidentes. No basta con que esté escrito: debe garantizarse que el equipo involucrado entienda lo que debe hacer.
- Tener documentada completamente la topología física y lógica de la red para que cualquier integrante del equipo con conocimientos técnicos sepa donde actuar.
- Mantener disponible un listado actualizado con información de contacto de proveedores de servicios de comunicaciones y equipos, detallando a quién se debe contactar en un evento específico.
- Definir la cadena de comunicación al interior de la empresa, para que de acuerdo a la magnitud del incidente la información sea manejada adecuadamente de cara a los clientes y a los empleados.
- Realizar al menos mensualmente una revisión del estado de la infraestructura para garantizar que se mantengan parcheadas las vulnerabilidades que podrían exponer la integridad de los sistemas de la empresa. Tener en cuenta que de acuerdo al uso de los equipos, algunas vulnerabilidades pueden ser más sensibles que otras y que los vectores de ataque pueden cambiar.
- Hacer pruebas como mínimo dos veces al año de que los planes funcionan correctamente a través de pruebas de estrés y la simulación de eventos, que requieran poner en marcha los planes de contingencia.
- Auditar los cambios en la configuración de los equipos, para garantizar que no introducen vulnerabilidades adicionales por posibles cambios no apropiados.
En el caso de que se llegue a presentar algún incidente, después de contener el ataque y dejar operativos nuevamente los servicios es importante que el equipo que dio respuesta al incidente analice los logs, reportes, alertas y cualquier otro tipo de información que ayude a determinar los servicios, aplicaciones y dispositivos que fueron víctimas del ataque.
Esta información debe ser utilizada para mejorar el Plan de Respuesta a Incidentes, ya que lo más importante es mitigar la ocurrencia de casos similares, o bien mejorar los mecanismos de repuesta.