Definición de roles y responsabilidades
Las habilidades y los mecanismos de respuesta ante incidentes son más importantes cuando se gestionan eventos nuevos o a gran escala. Estos eventos se basan en los estándares escritos que el equipo ha desarrollado y en la práctica adquirida. No podemos predecir ni codificar todos los rumbos posibles que puede tomar un evento, por lo que confiamos en la automatización para las tareas simples y repetitivas (como la recopilación de memoria de instancias o registros de diagnóstico) y dejamos que las personas tomen las decisiones difíciles. La gestión de eventos de seguridad poco claros requiere disciplina entre organizaciones, una predisposición a las acciones decisivas y capacidad para obtener resultados. Dentro de su estructura organizativa, debe haber muchas personas responsables, aprobadoras, consultadas o informadas (RACI) durante un incidente, tales como representantes del departamento de recursos humanos (RR. HH.), el equipo ejecutivo y el departamento jurídico. Tenga en cuenta estos roles y responsabilidades y piense si debe participar alguna tercera parte. No olvide que, en muchas ubicaciones, existen leyes locales que rigen lo que se puede hacer y lo que no. Aunque crear un gráfico de responsables, aprobadores, consultados e informados (RACI) para un incidente puede parecer un trámite burocrático, al hacerlo se posibilita una comunicación rápida y directa y se describe claramente el liderazgo en las distintas etapas del evento.
Los socios de confianza pueden participar en la investigación o la respuesta, donde aportan experiencia adicional y un escrutinio valioso. Si su equipo no dispone de estas habilidades, puede contratar a una tercera parte externa para obtener ayuda. En ese caso, asegúrese de que la parte externa proporcione formación a los miembros de su equipo. Cuando las partes externas trabajan con sus desarrolladores y operadores internos, pueden ampliar las habilidades de los miembros de su equipo y esa nueva experiencia puede resultar valiosa para su programa de respuesta a incidentes en el futuro.
Durante un incidente, la inclusión de los propietarios y los desarrolladores de las aplicaciones y los recursos afectados es clave, ya que son expertos en la materia (SME) que pueden proporcionar información y contexto. Asegúrese de practicar y de establecer relaciones con los desarrolladores y los propietarios de las aplicaciones antes de confiar en su experiencia para responder ante los incidentes. Es posible que los expertos en la materia o los propietarios de las aplicaciones se vean obligados a actuar en situaciones en las que el entorno les resulte desconocido, que tengan una complejidad imprevista o en las que el personal encargado de la respuesta no tenga acceso. Los expertos en las aplicaciones deben practicar y sentirse cómodos al trabajar con el equipo de respuesta a incidentes.
Proporcionar formación
Para reducir las dependencias y disminuir el tiempo de respuesta, asegúrese de que los equipos de seguridad y los encargados de proporcionar respuesta hayan recibido la formación adecuada en relación con los servicios en la nube y que tengan oportunidades de practicar con las plataformas de nube específicas que su organización utiliza. Parte de esta formación proviene de la creación de equipos y del runbook que se crea al principio del proceso. El hecho de incluir a tantas personas como sea posible en el paso inicial de la formación de runbooks aporta una mejor comprensión a los equipos internos. Esta formación se consolida a medida que los equipos comienzan a seguir estos runbooks en ejercicios de simulación.
AWS y otras terceras partes también ofrecen talleres de seguridad en línea (AWS Security Workshops
AWS ofrece varias opciones de formación y rutas de aprendizaje a través de la formación digital, la formación presencial, los socios de AWS y las certificaciones. Para obtener más información, consulte la Formación y certificación de AWS
