Un Pla de Resposta a Incidents (PRI) és un conjunt de procediments i accions predefinides que una organització ha de seguir quan es detecta un incident de seguretat. L'objectiu principal és minimitzar l'impacte de l'incident, restaurar les operacions normals el més ràpidament possible i prevenir futurs incidents similars.

1. Detecció i Identificació: Identificar ràpidament els incidents de seguretat.
2. Contenció: Limitar l'abast i l'impacte de l'incident.
3. Eradicació: Eliminar la causa de l'incident.
4. Recuperació: Restaurar els sistemes i operacions afectades.
5. Aprenentatge: Analitzar l'incident per millorar les defenses i els processos futurs.

1. Equip de Resposta a Incidents (ERI):

   • Membres: Personal tècnic, de seguretat, legal, de comunicacions i de gestió.
   • Responsabilitats: Coordinació de la resposta, comunicació interna i externa, documentació de l'incident.

2. Procediments de Detecció i Notificació:

   • Monitoratge: Utilitzar eines de monitoratge per detectar activitats sospitoses.
   • Notificació: Establir un procés clar per notificar incidents al ERI.

3. Procediments de Contenció:

   • Contenció a Curt Termini: Accions immediates per limitar l'impacte.
   • Contenció a Llarg Termini: Accions per estabilitzar els sistemes afectats.

4. Procediments d'Eradicació:

   • Identificació de la Causa: Determinar l'origen de l'incident.
   • Eliminació de la Causa: Aplicar mesures per eliminar la causa de l'incident.

5. Procediments de Recuperació:

   • Restauració de Sistemes: Tornar els sistemes a l'estat operatiu normal.
   • Verificació: Assegurar-se que els sistemes estan lliures de vulnerabilitats.

6. Procediments de Comunicació:

   • Interna: Informar a tot el personal rellevant dins l'organització.
   • Externa: Comunicar-se amb clients, socis i autoritats reguladores si és necessari.

7. Documentació i Anàlisi Post-Incident:

   • Informe d'Incidents: Documentar tots els detalls de l'incident i la resposta.
   • Anàlisi Post-Mortem: Revisar l'incident per identificar millores en els processos i defenses.

1. Detecció i Notificació:

   • El sistema de monitoratge detecta activitat sospitosa en diversos ordinadors.
   • El personal tècnic notifica immediatament l'ERI.

2. Contenció:

   • Desconnectar els sistemes afectats de la xarxa per evitar la propagació.
   • Identificar i aïllar els sistemes que mostren signes d'infecció.

3. Eradicació:

   • Escanejar els sistemes afectats per identificar el ransomware.
   • Eliminar el ransomware utilitzant eines especialitzades.

4. Recuperació:

   • Restaurar els sistemes afectats des de còpies de seguretat netes.
   • Verificar que els sistemes restaurats estan lliures de ransomware.

5. Comunicació:

   • Informar a tot el personal sobre l'incident i les mesures preses.
   • Comunicar-se amb clients i socis si l'incident ha afectat dades sensibles.

6. Documentació i Anàlisi Post-Incident:

   • Elaborar un informe detallat de l'incident.
   • Realitzar una reunió post-mortem per discutir què va funcionar bé i què es pot millorar.

1. Detecció i Notificació:

   • Un empleat rep un correu electrònic sospitós que sembla provenir del departament de TI.
   • L'empleat notifica l'incident al ERI.

2. Contenció:

   • El ERI verifica que el correu és un intent de phishing.
   • S'envia una alerta a tots els empleats advertint-los sobre el correu electrònic.

3. Eradicació:

   • El departament de TI bloqueja l'adreça de correu electrònic del remitent.
   • Es revisen els sistemes per assegurar-se que cap empleat ha caigut en el phishing.

4. Recuperació:

   • No es requereixen accions de recuperació si cap empleat ha caigut en el phishing.
   • Si algun empleat ha caigut, es canvien les seves credencials i es revisen els sistemes afectats.

5. Comunicació:

   • Informar a tot el personal sobre l'incident i les mesures preses.
   • Proporcionar formació addicional sobre com identificar correus electrònics de phishing.

6. Documentació i Anàlisi Post-Incident:

   • Elaborar un informe detallat de l'incident.
   • Realitzar una reunió post-mortem per discutir què va funcionar bé i què es pot millorar.

Un Pla de Resposta a Incidents és essencial per a qualsevol organització que vulgui minimitzar l'impacte dels incidents de seguretat. Inclou procediments per a la detecció, contenció, eradicació, recuperació i comunicació, així com una anàlisi post-incident per millorar els processos futurs. La pràctica regular i la revisió del PRI asseguren que l'organització estigui preparada per respondre de manera efectiva a qualsevol incident de seguretat.