“Aquí una historia personal”
En ISC, se presentó un interesante debate acerca de tener o no un plan de respuesta para incidentes de seguridad específicos (virus, DDoS), etc. En mi opinión personal, creo que todos los comentarios dejados tienen puntos acertados de argumentación. Sin embargo, en la práctica, no sirve de nada si se tiene un plan específico, general o no se tiene nada, si primero no se tiene un IRT.
Un “Incident Response Team” es la autoridad durante el incidente. Es como iniciar tu propia nación, poner a los ciudadanos, crear viviendas, añadirle leyes para decirles cómo guardar el orden, pero olvidarte de aclarar quienes serán las instituciones que decretan y procuran el orden en la práctica. En la conferencia de COLARIS 2007 en Lima – Perú, oí de la historia de un rico que creó una nación, en medio de una especie de coral (rellenando el mar con tierra) se aseguró que registrarla y hasta de tener el reconocimiento de países importantes. Sin embargo, su vecino más cercano, decidió colonizar esa isla y hacerla parte de su territorio, con lo que el excéntrico millonario perdió su pedazo de tierra.
En la mayoría de organizaciones formales (con una política y jerarquías claras), no hace falta crear muchos planes, para saber que cuando sucede un incidente se debe responder a él. Lo que sí suele faltar es saber a quien responsabilizar la función de responder al incidente. Aunque durante el incidente el gerente puede delegar a uno (cualesquiera), esa persona podría perder poder político, sea por conocimiento o por convicción, acerca de cómo salir del problema, y hacer las cosas peores.
Por eso, si con anticipación se da carta específica (como función laboral), a un grupo de personas o una persona, para responder a incidentes de seguridad, ellos, pues, buscarán los mejores mecanismos para anticiparse, en la medida de su estrategia de respuesta, y los recursos de los que dispongan. A fin de cuentas, el recurso más importante siempre será el tiempo.
Quien escribe, hizo eso hace una década atrás para tener autoridad sobre los incidentes de una red. Junto a otro colega, redactamos una política de operación del IRT, con jerarquías, funciones, horarios, nexos de comunicación, sistemas informáticos, en fin todo lo que se podía desear tener “en papel”. Como sabíamos que ese tipo de auspicio (para manejar nosotros el incidente) no se conseguiría fácilmente, sólo esperamos que se produzca un incidente de repercución (antes del incidente, tiempo es lo que sobra), para asaltar el escritorio de gerencia y pedir que se nos apruebe el permiso de tomar autoridad sobre todo incidente de esa índole. En general, todos los incidentes tienen repercución visible, es decir que otros te ven. En general, todos los incidentes atraviesan las funciones laborales de otros, y eso implica tener poder para.
Por lo tanto, no se moleste mucho con planes específicos, sino cuenta siquiera con un plan maestro. Desarrolle el plan maestro como un pasatiempo, y con la promesa de tenerlo con coherencia, bien presentado y listo, para mostrarlo a gerencia y tener su venia, para que sea el PLAN, y/o Ud. el líder de RESPUESTA A INCIDENTES.
No pierda tiempo con planes específicos, si primero no hay un líder para el PLAN MAESTRO. Si nadie se ha molestado con el tema, y Ud. cree ser el elegido, pues comience a trabajar la versión MAESTRA, más adelante tendrá cómo orquestar planes específicos.
Considere conocer nuestro servicio JaCkHaCk-Alert!, un servicio que le ayudará en el proceso de dominar su IRT (Incident Response Team), y crear IRP (Incident Response Plan) en cantidad o en calidad. La filosofía ejecutiva la pone usted, nosotros el material. Solicite una visita de JaCkHaCk-Alert!
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
A consecuencia de las múltiples formas de aprovechar la funcionalidad del protocolo ICMP para el proceso de hacking, muchos administradores de TI y de red han optado por radicalizar su bloqueo hasta extenderlo a los mismos sistemas end-point (servidores Windows, Unix, etc). 
