¿Qué es un Playbook?

• Conjunto de instrucciones detalladas y predefinidas que proporcionan pasos específicos a seguir para llevar a cabo una tarea o responder a una situación particular.

Ejemplos:

• Playbook de Fútbol.
• Playbook Empresarial.
• Playbook de Ventas.
• Playbook de Respuesta a Incidentes de Seguridad.
• Playbook de Gestión de Crisis.

¿Qué es un Playbook en Ciberseguridad?

• Conjunto de procedimientos detallados y predefinidos que guían a los equipos de respuesta a incidentes en la detección, investigación y mitigación de ciber incidentes.

¿Por qué armar implementar Playbook?

• Cualquier organización puede ser víctima de ciberataque.
• Es necesario contar con un esquema ordenado de procesos de recuperación.
• Permite hacer revisión de muchos puntos de protección de datos y detectar falencias
• Involucrar a distintos actores dentro de la organización. No depende solo de IT.

¿Qué es un Playbook en Ciberseguridad?

• Conjunto de procedimientos detallados y predefinidos que guían a los equipos de respuesta a incidentes en la detección, investigación y mitigación de ciber incidentes.

¿Por qué armar implementar Playbook?

• Cualquier organización puede ser víctima de ciberataque.
• Es necesario contar con un esquema ordenado de procesos de recuperación.
• Permite hacer revisión de muchos puntos de protección de datos y detectar falencias
• Involucrar a distintos actores dentro de la organización. No depende solo de IT.

En resumen.

• Un playbook de ciberseguridad posee una serie de pasos que se deben seguir en un orden específico para abordar el incidente. Para entender el accionar, primero hay que entender ciertos requerimientos claves no negociables, que deben ser definidos y estar claros dentro de un plan.

Escenarios clásicos de Playbooks de ciberseguridad:

• Ataque de Ransomware.
• Ataque sitio Web.
• Movimiento lateral – Acceso super usuario.
• Violación de datos.
• Denegación de servicios (DDoS).

Elementos necesarios para desarrollar un Playbook

• Analizar requerimientos.
• Analizar restricciones.
• Definir un proceso de trabajo.

Requerimientos

• Para llevar a cabo un Playbook hace falta tener en cuenta los requerimientos claves NO NEGOCIABLES, deben ser definidos y estar claros en el plan.

Restricciones

• Aquellos puntos que deben estar claros para que el Playbook pueda ejecutarse.

Requisitos

• Personas – Roles y Responsabilidades.
• Plan de comunicaciones.
• Plan de relaciones públicas.
• Copia de Seguridad Confiable.
• Postura ante el pago de una extorsión.
• Plan de un Seguro de Ciberseguridad.
• Motivos para declarar la brecha de seguridad.
• Personas Internas y Consultores Externos.
• Integración del Playbook con un BCP o DRP.
• Checklist – Proceso.
• Aspectos Legales.
• Comité de Crisis.

Restricciones

• No asumir que la organización puede ser afectada.
• Pensar que una super herramienta es la solución.
• Suponer que la política de backup actual es suficiente.
• No contar con personal capacitado.
• Dar consideraciones inadecuadas para pagar el rescate.
• Mentir a la sociedad – inversores – gerencias – usuarios.
• Pensar que pagar es la solución.
• Pensar que no es importante la causa raíz.
• Mantener procesos de recuperación de manera digital.
• Falta de comunicación.
• Ausencia de Información.

RESILIENCIA EN CIBERSEGURIDAD

• Capacidad de una organización para resistir, adaptarse y recuperarse de incidentes de seguridad cibernética.
• Implica la capacidad de mantener la operatividad y la continuidad del negocio a pesar de enfrentar amenazas y ataques digitales.

PROCESOS DE NEGOCIO

REALIDAD DE LA

TECNOLOGIA

VS

• Backups adecuados
• Protección de datos
• Confidencialidad
• Cumplim<ento normativos.

• Backups
• Gestión de identidad
• Falta visión global org.

Construcción

• Documento con los puntos de Requerimientos.
• Documento con los puntos de Requisitos.
• Armar un proceso definido con diagrama de proceso.

Checklist

• Alerta por incidencia de ciberseguridad.
• Acciones de primeros pasos.
• Reunir evidencia sobre la incidencia.
• Convocar comité de crisis. IMPACTO.
• Accionar protocolo de trabajo.
• Analizar tiempos de normalización – Comunicación.
• Implementar proceso de mitigación.
• Lecciones aprendidas.

Acciones claras

• Proceso de aislamiento del equipo afectados.
• Proceso para identificar los vectores de ataque.
• Tener claro un proceso de revisión de equipos afectados.
• Tener definido proceso de protección de cuentas afectadas.
• Restaurar procesos.
• Analizar con el personal involucrado
• ¿que pasó?,
• ¿cómo paso?,
• ¿cómo evitamos que vuelva a ocurrir?,
• los tiempos de restauración fueron adecuados?
• ¿El Comité de Crisis actuó efectivamente?
• Integrar puntos de mejora.

Acciones claras

• Plan de comunicación claro y definido previamente tanto interno como externo.
• Tener acuerdos de servicios (SLA) con terceros que ayudarán en procesos detección/mitigación.
• Priorizar sistemas a ser restaurados.
• Restaurar y hacer reingeniería del escenario comprometido, ajustando configuraciones y herramientas.
• Restaurar todos los procesos y cuando la red esté sin infección poner en línea los mismos.

Probemos un PLAYBOOK

• Simular un playbook en ciberseguridad es una práctica valiosa para poner a prueba la eficacia de los procedimientos y entrenar a los equipos de respuesta a incidentes.
• Simular un ataque tipo en escenario acotado.
• Involucrar a todas las personas definidas en los documentos.
• Actuar y documentar puntos de mejoras.
• Verificar hallazgos y respuestas de las herramientas tecnológicas.
• Analizar si es necesario hacer ajustes al Playbook.
• Realizar reunión de Lecciones Aprendidas.
• Probar tiempos de restauración de backups.

Las simulaciones permiten, concientizar y entrenar a los miembros del equipo y aprender de la experiencia