El tiempo de inactividad en los Centros de Datos es un riesgo preocupante en el sector empresarial. En 2016, el Instituto Ponemom realizó una investigación titulada “El coste de las interrupciones en los Centros de Datos” que demostró que ese coste ascendía a más de 740.000 dólares.

Estos incidentes pueden tener sus raíces en fallos del sistema de energía, fallos técnicos, errores humanos o, ciberataques. Para poder evitarlos o disminuir su impacto, es recomendable que las organizaciones diseñen un Plan de respuesta a incidentes (IRP) eficaz.

 

El Plan de respuesta a incidentes debe ser una estrategia con directrices claramente documentadas que funcionen para administrar el riesgo de un incidente de TI.

 

Si estos incidentes no se gestionan, los riesgos pueden provocar pérdidas significativas, por lo que es fundamental estar preparado tanto para las aparentes amenazas como para los grandes riesgos de seguridad que pueden surgir de los hackers o incluso los ciberdelincuentes patrocinados por el estado.

 

El Plan de respuesta a incidentes debe ser una guía que contenga las mejores prácticas y protocolos para que los sistemas comprometidos vuelvan a funcionar con un rendimiento óptimo en el menor tiempo posible.

 

Existen tres componentes clave de la estrategia de respuesta a incidentes:

las personas,

los procesos

y las herramientas.

 

El IRP identifica e informa al personal de sus deberes; define los procesos en las siguientes etapas; y elige las herramientas para la toma de medidas preventivas de forma proactiva para evitar que el riesgo se propague por toda la empresa.

 

¿Cómo crear un plan de respuesta a incidentes?

 

  1. Preparación. Esta primera etapa cubre actividades que le permitirían responder de manera efectiva a un incidente de seguridad: establecimiento de políticas, despliegue de soluciones tecnológicas, establecimiento de procedimientos, diseño de un mecanismo de gobierno, etc. La capacitación y educación del personal es un requisito crítico para garantizar una preparación efectiva.

 

  1. Identificación. Comenzamos con las actividades de investigación para identificar la causa, el alcance y las prioridades. Identificamos patrones dentro del tráfico de la red para determinar el comportamiento anómalo. A menudo, estas amenazas pueden provenir del uso no autorizado de privilegios de acceso por parte de empleados internos o intrusiones de la red por parte de actores externos. Las organizaciones no pueden permitirse invertir recursos importantes en cada notificación de incidente y, por lo tanto, deben implementar sistemas que les ayuden a navegar a través del ruido de las alertas falsas pero que a la vez identifiquen de forma proactiva las amenazas reales.

 

  1. Contención: Esta fase implica aislar los sistemas comprometidos de forma que los riesgos no se extiendan. La estrategia de limitación de daños puede ser tan simple como desconectar los sistemas comprometedores de la red o aislar el hardware y migrar las cargas de trabajo a los servidores de conmutación por error. El siguiente paso debe incluir los protocolos de copia de seguridad y recuperación para garantizar que los datos sean seguros y estén disponibles para su uso inmediato o posterior. Una vez que se practican las soluciones temporales, la organización puede evaluar soluciones a largo plazo.

 

  1. Erradicación: El IRP documentado debe proporcionar pautas sobre la evaluación precisa de la causa raíz y el cálculo del costo real de la erradicación del riesgo para que no comprometan los sistemas de nuevo. Esto puede requerir la reevaluación de componentes de software vulnerables, la contratación de expertos con las habilidades de TI necesarias, la capacitación y educación de la fuerza laboral, etc.

 

  1. Recuperación: una vez resueltos los problemas y los incidentes de seguridad, se espera que la organización vuelva a poner todo en marcha. Cuanto más rápido se llegue a esta fase, menor será el tiempo de inactividad y el coste.  Deben documentarse los procedimientos sistemáticos de prueba y verificación para garantizar que los sistemas de producción sean completamente funcionales una vez que se restaure la fase previa al incidente.

 

  1. Lecciones aprendidas: Debemos aprender de cada incidente de seguridad porque puede proporcionar información invaluable para hacer que la red y el negocio sean más seguros.

 

Los ciberataques son inevitables y las infracciones de datos son una amenaza real.

Si la organización no está preparada adecuadamente para responder a un incidente de seguridad, el tiempo de inactividad de TI resultante de frecuentes incidentes de seguridad puede hacer que las organizaciones dejen de funcionar.

 

El 93 por ciento de las organizaciones que enfrentaron tiempo de inactividad por más de 10 días se declararon en quiebra en ese mismo año. Si quiere evitar ese final para su organización, recuerde elaborar un Plan de respuesta a incidentes eficaz.

 

 

Noticia: BMC