Los planes para remediar variarán enormemente dependiendo de las circunstancias del incidente e impacto potencial. El plan debe tener en consideración factores desde todos los aspectos de la situación, incluyendo el legal, empresarial, político, y técnico. El plan también debe incluir un protocolo de comunicación el cual defina quien en la organización dirá que y cuando. Finalmente el tiempo para remediar es crítico. El remediar tan pronto como sea posible, podría fallar en considerar información nueva o por descubrir. Al remediar muy tarde podría ocurrir un daño considerable, o el atacante podría cambiar de tácticas. Se debe considerar el mejor momento para comenzar a remediar, es cuando los métodos para la detección implementados entran en un estado estable. Es decir la instrumentación configurada con los Indicadores de Compromiso dejan de alertar sobre nuevos eventos únicos.

Se recomienda iniciar la planificación para remediar lo antes posible durnte el proceso para respuesta de incidentes, de tal manera se evite sobrecargar el equipo y cometer errores. Algunos incidentes requieren un esfuerzo significativamente mayor en lo referente a las actividades para remediar comparado con la investigación real. Existen muchas partes moviéndose en cualquier organización, y emprender la coordinación para remover la amenazas no es una tarea fácil. La perspectiva a implementar es definir las actividades apropiadas a realizar para cada una de las siguientes tres áreas:

• Postura
• Táctico (Corto plazo)
• Estratégico (Largo plazo)

La postura es el proceso de tomar pasos los cuales ayuden a asegurar el éxito para remediar. Actividades como establecer el protocolo, intercambiar información de contacto, diseñar las responsabilidades, incrementar la visibilidad, programar los recursos, y coordinar las cronologías, son todas parte de la etapa correspondiente a la postura.

La táctica consiste en tomar las acciones consideradas apropiadas para abordar el incidente actual. Las actividades pueden incluir reconstruir los sistemas comprometidos, cambiar las contraseñas, bloquear direcciones IP, información a los clientes de la brecha, hacer un anuncio interno y público, y cambiar un proceso del negocio.

Finalmente a través de una investigación, las organizaciones podrían típicamente notar áreas en las cuales mejorar. Por lo tantono se debe intentar arreglar cada problema de seguridad descubierto durante un incidente. Se sugiere hacer una lista de tareas pendientes para luego abordarlas cuando termine el incidente.

La porción estratégica de remediar aborda todas estas áreas, los cuales comúnmente son mejorar a largo plazo, los cuales pueden requerir cambios significativos dentro de una organización. Aunque el remediar de manera estratégica no es parte del ciclo de vida estándar para respuesta de incidentes, se menciona aquí para conocer esta categoría, y considerar utilizarla para ayudar a mantenerse enfocado en aquello importante.

Fuentes:

https://cipher.com/blog/the-core-phases-of-incident-response-remediation/
https://www.nttsecurity.com/docs/librariesprovider3/resources/emea_solut...