¿Qué es un playbook de respuesta a incidentes y por qué me debería preocupar no tener uno?

Estimados lectores, luego de algunas semanas con poca interacción me he dado un tiempo de poder escribir, en esta nueva entrega me gustaría referirme a un concepto que se está hablando mucho pero quizás no se entiende bien de qué se trata, o cómo puede ayudar a las organizaciones.

Antes de desarrollar el tema quizás usted no conoce qué es una respuesta a incidente, según varonis - La respuesta a incidentes es el arte de la limpieza y la recuperación cuando descubre una violación de la ciberseguridad. También es posible que estas infracciones se denominen incidentes de TI, incidentes de seguridad o incidentes informáticos, pero como quiera que se llamen, necesita un plan y un equipo dedicado a gestionar el incidente y a minimizar los daños y el coste de la recuperación.

En el diccionario inglés Playbook, representa: an instruction book put together by a coaching staff, as in football, diagraming the various plays to be used.

En español es, un libro de instrucciones elaborado por un personal de coaching, como en el fútbol, que diagrama las diversas jugadas a utilizar.

Podemos definir entonces que un Playbook de Ciberseguridad, es un libro de instrucciones que guía la respuesta a las diversas situaciones de ciberataques que pudieran afectar a una organización, por lo tanto su importancia es vital si queremos responder un incidente de ciberseguridad de manera adecuada, reduciendo los impactos que pudiesen ocurrir.

A nivel de Naciones, tenemos un buen ejemplo, la OEA y su organismo hemisférico CICTE trabajan y motivan a los Estados a elaborar uno, ya que sabemos que estamos bajo un escenario de ciberataques permanente. Destaca la Guía de Ciberseguridad para los países de América publicada por la OEA. A nivel empresarial, es lo mismo, necesitamos saber CÓMO, CUÁNDO, QUIÉN, POR QUÉ, DE QUÉ FORMA actuamos cuando enfrentemos un incidente de ciberseguridad.

¿Qué fases tiene un playbook? “Se lo explico en simple”:

Título (Qué Ciberataque) y objetivo (De qué nos protege)

Preparación: “Todo lo necesario para ejecutar el playbook”

Identificación: “Recopilación y análisis de toda la información relativa al incidente”

Contención: “Acciones inmediata para contener el incidente ej: Aislar de la red el equipo”

Remedio: “Acciones que reparar el daño y eviten su repetición”

Recuperación: “Acciones para restablecer el servicio”

Repercusiones: “Debería de redactarse un informe de crisis que será distribuido entre todos los stakeholders”

Mejora continua: “Cómo respondemos mejor”

¿Qué playbook necesita mi empresa?, básicamente deben conversar con su matriz de riesgos que contemple Ciber-riesgos y esté acorde al giro del negocio.

Como generalidad estos son algunos Playbook que al 2019 las organizaciones deberían contar son:

• Metodología de Respuesta a Incidentes (IRMs) 1- Respuesta de Infección de gusanos
• Metodología de Respuesta a Incidentes (IRMs) IRM2 - Respuesta de Infección de Malware
• Metodología de Respuesta a Incidentes (IRMs) IRM3 - Respuesta ante ataque a Sitio Web
• Metodología de Respuesta a Incidentes (IRMs) IRM4 - Respuesta ante ataques DDoS
• Metodología de Respuesta a Incidentes (IRMs) IRM5 - Respuesta ante ataques a Sistemas de Información
• Metodología de Respuesta a Incidentes (IRMs) IRM6 - Defacement Sitio Web OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM7 - Deteccion Malware en Windows OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM8 - Chantaje OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM9 - Malware en Smartphones OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM10 - Ingeniería Social OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM11 - Fuga De Información OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM13 - Phishing OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM12 - Abuso De Insider OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM14 - Estafa OEA
• Metodología de Respuesta a Incidentes (IRMs) IRM15 - Infracción Marca Registrada OEA

Fuentes: OEA, INCIBE, varonis