La meta de una investigación es determinar los hechos describiendo lo ocurrido, como ocurrió, y en algunos casos, quien fue el responsable. Como un equipo comercial para respuesta de incidentes, el elemento “quien” puede no ser alcanzable, pero conocer cuando contratar ayuda externa o fuerzas legales es importante. Sin conocer los hechos, como la forma en la cual un atacante gana acceso hacia una red en primer lugar, o lo hecho por el atacante, no se está en una buena posición para remediar.

Las metas principales en la etapa denominada como respuesta inicial, incluyen ensamblar el equipo para la respuesta de incidentes, revisar los datos disponibles basados en red, y otros datos disponibles, determinar el tipo de incidente, además de evaluar el impacto potencial. La meta es reunir suficiente información inicial, lo cual luego permita al equipo de respuesta de incidentes determinar la respuesta apropiada. Típicamente esta etapa no involucra recolectar datos directamente desde el sistema afectado.

El proceso para respuesta de incidentes está constituida de todas las actividades necesarias para lograr las metas de una respuesta de incidentes. El proceso global y las actividades deben ser bien documentadas, y entendidas por el equipo de respuesta, como también por las partes interesadas en la organización. El proceso está constituido de tres actividades principales, y se sugiere contar con personal dedicado a cada una de estas:

• Respuesta inicial
• Investigación
• Remedición

Contratar personal bueno es una tarea difícil para muchos gerentes. Si se tiene un equipo y se está creciendo, identificar buen talento puede ser más fácil: pues se tienen personas quienes pueden evaluar las capacidades y personalidad del postulante. Adicionalmente, un precedente ha sido establecido, y se está ya familiarizado con los roles requeridos, además de tener en mente los candidatos ideales para cada uno.

Al trabajar para una compañía proporcionando servicios de consultoría para otras organizaciones, quienes enfrentan problemas de seguridad de la información. En base a esto, se esperaría apoyar plenamente la contratación de consultores para ayudar a resolver un incidente. Sería como preguntarle a un representante de una marca de autos, si debemos comprar su último modelo. La respuesta directa a la pregunta de si una empresa debe utilizar servicios de una empresa consultora, o depender plenamente de esta, depende de muchos factores:

La respuesta de incidentes (IR) es un disciplina multifacética. Esto demanda capacidades lo cual requiere recursos desde varias unidades operacionales en una organización. El personal de recursos humanos, el asesor legal, equipo de TI, relaciones públicas, profesionales de seguridad, oficiales corporativos de seguridad, gerentes de negocio, trabajadores de mesa de ayuda y otros empleados, pueden verse involucrados en la respuesta hacia incidentes de seguridad en computadoras.

Uno de los principales objetivos de un proceso para realizar respuesta de incidentes, es remover o eliminar de manera efectiva la amenaza dentro del entorno de cómputo correspondiente a la organización afectada, mientras al unísono se minimizan los daños, además de restaurar las todas las operaciones normales tan rápido como sea posible. Esta meta es realizada a través de dos actividades principales, investigar y remediar. A continuación se detalla lo incluido en estas dos actividades principales.

Al definir un incidente de seguridad en computadoras, se establece el alcance de lo hecho por el equipo y el enfoque proporcionado. Es importante establecer esta definición, de tal manera todos entiendan las responsabilidades del equipo. Si aún no se tiene uno, se debe crear un definición del significado de “incidente de seguridad en computadoras”, para la organización. No existe una única definición aceptada, pero se puede considerar un incidente de seguridad en computadoras implica cualquier evento con las siguientes características:

Una respuesta de incidentes es un enfoque coordinado y estructurado para ir desde la detección del incidente hasta la resolución. La respuesta de incidentes puede incluir actividades para:

El CSRC (Computer Security Resource Center) o traducido al idioma español Centro de Recursos en Seguridad de Computadoras, de la NIST (National Institute of Standards and Techonology), define tanto eventos e incidentes en una publicación especial SP-800-61 (Computer Security Incident Handling Guide), o traducido al idioma español “Guía para el Manejo de Incidente en Seguridad de Computadoras”.