La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) se ha comprometido a liderar la respuesta a los incidentes y vulnerabilidades de ciberseguridad para salvaguardar los activos críticos de la nación.  Este documento presenta dos guías: una para la respuesta a incidentes y otra para la respuesta a vulnerabilidades. Estos manuales proporcionan a las agencias del FCEB un conjunto estándar de procedimientos para identificar, coordinar, remediar, recuperar y realizar un seguimiento de las mitigaciones exitosas de incidentes y vulnerabilidades que afectan a los sistemas, datos y redes del FCEB. Además, las futuras iteraciones de estos manuales pueden ser útiles para las organizaciones fuera del FCEB para estandarizar las prácticas de respuesta a incidentes. El trabajo conjunto de todas las organizaciones del gobierno federal ha demostrado ser un modelo eficaz para abordar vulnerabilidades e incidentes. Basándose en las lecciones aprendidas de incidentes anteriores e incorporando las mejores prácticas de la industria, CISA pretende que estos libros de jugadas hagan evolucionar las prácticas del gobierno federal para la respuesta de ciberseguridad a través de la estandarización de prácticas compartidas que reúnan a las mejores personas y procesos para impulsar acciones coordinadas.

Los procesos y procedimientos estandarizados que se describen en estos manuales:

1.  Facilitan una mejor coordinación y una respuesta eficaz entre las organizaciones afectadas,
2.  Permiten realizar un seguimiento de las acciones interorganizativas.
3. -Documenta los planes de respuesta a incidentes, incluidos los procesos y procedimientos para designar a un responsable de coordinación (gestor de incidentes). Establecer políticas y procedimientos para escalar y notificar incidentes importantes y aquellos con impacto en la misión de la agencia. Documentar planes de contingencia para recursos adicionales y «apoyo de emergencia» con funciones y responsabilidades asignadas. Las políticas y los planes deben abordar la notificación, la interacción y el intercambio de pruebas con las fuerzas de seguridad. Las políticas y planes también deben incluir la notificación interna a la dirección de la agencia -incluidos el director de la agencia, el director de información (CIO) y el director de seguridad de la información (CISO)-, al propietario del sistema afectado, así como a los departamentos de asuntos públicos y jurídicos.
4.  Desarrollar y mantener una imagen precisa de la infraestructura (sistemas, redes, plataformas en nube y redes alojadas por contratistas) implementando ampliamente la telemetría para respaldar las capacidades de detección y supervisión basadas en sistemas y sensores, como el software antivirus (AV); las soluciones de detección y respuesta de puntos finales (EDR); las capacidades de prevención de pérdida de datos (DLP); los sistemas de detección y prevención de intrusiones (IDPS); los registros de autorización, host, aplicaciones y nube; los flujos de red, la captura de paquetes (PCAP) y los sistemas de gestión de eventos e información de seguridad (SIEM). Supervisar las alertas generadas por el sistema de detección de intrusiones EINSTEIN de CISA y el programa de Diagnóstico y Mitigación Continuos (CDM) para detectar cambios en la postura cibernética. Implementar requisitos adicionales para el registro, la retención y la gestión de registros.

El objetivo principal de estos playbooks es proporcionar un marco estructurado para guiar la respuesta y mitigación de incidentes de ciberseguridad en las agencias gubernamentales. Al seguir estos procedimientos, se busca mejorar la coordinación entre las agencias, acelerar la respuesta a los incidentes y minimizar el impacto de las amenazas cibernéticas en la infraestructura y los sistemas del gobierno federal. El informe es una valiosa herramienta para las agencias federales y otros profesionales de la ciberseguridad, debido que proporciona pautas claras y prácticas recomendadas para responder de manera efectiva a los incidentes de seguridad cibernética. Estos playbooks ayudarán a fortalecer la postura de seguridad del gobierno federal y mejorar su capacidad para enfrentar y mitigar las amenazas cibernéticas en constante evolución.

Para leer más ingrese a:

https://www.cisa.gov/resources-tools/resources/federal-government-cybersecurity-incident-and-vulnerability-response-playbooks  

https://www.cisa.gov/sites/default/files/2023-02/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf