Al trabajar en el área de la tecnología de la información, un administrador de incidentes es esencialmente responsable del mantenimiento y el buen funcionamiento de los sistemas. Supervisan todos los aspectos del proceso de gestión de incidentes, desde la evaluación hasta la resolución. Un administrador de incidentes registra todos los problemas y ayuda a diseñar formas de prevenir problemas similares en el futuro. Administrará equipos de soporte técnico, creará procedimientos para tratar problemas y desarrollar soluciones.
Los administradores de incidentes se emplean en departamentos IT en todas las industrias. Según la Oficina de Estadísticas Laborales, el crecimiento del empleo para los gerentes de sistemas informáticos y de información, incluidos los gerentes de incidentes, será del 15% hasta 2024. Las actualizaciones continuas a los sistemas informáticos más nuevos y la mayor confiabilidad en la operación de los sistemas por parte de todas las industrias son las principales razones de esto. crecimiento esperado.
Los administradores de incidentes deben poder manejar varias tareas para cumplir con éxito todas las demandas de este trabajo. De acuerdo con varios listados de trabajos y otros recursos que analizamos, los siguientes son las responsabilidades principales del administrador de incidentes.
Proporcionar apoyo a los empleados y clientes
Los Gestores de incidencias se aseguran de que tanto los empleados como los clientes que utilizan los productos técnicos de las empresas reciban soporte técnico. Crean equipos técnicos y supervisan las respuestas a los problemas técnicos relacionados con las aplicaciones y los sistemas de software.
Crear informes de incidentes
Mantener un registro de incidentes es una tarea importante de los administradores de incidentes. Esto no solo les ayuda a realizar un seguimiento de cualquier problema y garantiza la resolución, sino que también les ayuda a examinar incidentes y establecer procesos para ayudar a prevenir o minimizar la aparición de problemas similares.
Implementar Procedimientos Efectivos
Un administrador de incidentes desarrollará procedimientos y políticas mediante los cuales operarán los equipos de soporte técnico. Estos procesos se aplicarán para ayudar en áreas tales como fallas en el servicio y amenazas de seguridad cibernética. También capacitarán a los trabajadores de soporte de TI.
Para completar con éxito todas las tareas, un administrador de incidentes debe poseer sólidas habilidades de resolución de problemas, analíticas y de gestión del tiempo. También deben poder aplicar habilidades organizativas, de pensamiento crítico y de comunicación oral y escrita. Aquí podremos conocer más de los conocimientos que requieren para alcanzar el éxito:
Buen ojo para los detalles
Un administrador de incidentes debe garantizar que se cumplan los procesos y las políticas y que se cumplan los estándares. Para hacerlo, necesitarán un excelente conocimiento práctico de las mejores prácticas, como ITIL® o COBIT. También deberán poder evaluar datos, identificar brechas, tendencias e inexactitudes, y convertir esos datos en resultados y oportunidades procesables.
Estar tranquilo bajo presión
Los administradores de incidentes están en primera línea durante los principales problemas de servicio, por lo que necesitan tener la cabeza fría y la capacidad de hacer que los demás se sientan cómodos. Además de mantener la calma, los administradores de incidentes deben pensar rápido para resolver y restaurar los servicios dentro de una empresa.
Una mente metódica
Como parte de su función, los administradores de incidentes deben utilizar una metodología sistemática para evaluar, diseñar e implementar cambios en los procesos o la tecnología para lograr beneficios comerciales medibles. Necesitan hacer recomendaciones basadas en argumentos claros y razonados y ser capaces de detectar problemas antes de que ocurran.
Un buen comunicador
Mantener a la gente informada es crucial, pero particularmente durante una crisis. Los administradores de incidentes deben ser buenos comunicadores y capaces de traducir mensajes e información a personas de todos los niveles. Deben ser empáticos, buenos oyentes y capaces de recibir comentarios negativos sin ponerse a la defensiva.
Investigación/Análisis
No hace falta decir que el personal de respuesta a incidentes debe estar altamente capacitado para investigar y analizar incidentes. Las preguntas importantes que deben responder utilizando su conocimiento comercial y dominio técnico incluyen: ¿Qué se ha visto comprometido? ¿Cómo? ¿Qué tácticas, técnicas y procedimientos (TTP) se utilizaron? ¿Cuál es el daño potencial a los activos afectados y al negocio?
Necesitan comprender, tener líneas de base y poder remediar los protocolos, aplicaciones y servicios de red problemáticos, además de problemas de seguridad, problemas a nivel de host (sistema operativo, configuraciones, privilegios del sistema) y procesos de aplicación de parches. Además, el análisis de archivos/registros, la comprensión de cómo funciona el código malicioso y la correlación entre los TTP conocidos y desconocidos para evaluar con precisión la gravedad de un incidente son de suma importancia.
La investigación y los análisis deben ser misiones de determinación de hechos, no afirmaciones basadas en suposiciones. Por lo tanto, los respondedores de incidentes deben tener la competencia técnica, las habilidades analíticas y las tecnologías adecuadas que ayudarán a identificar la evidencia de manera precisa y completa.
Además, lo siguiente puede resultar útil durante las investigaciones:
- Análisis de malware e ingeniería inversa: los equipos de deben comprender cómo funciona el malware y pueden beneficiarse de la competencia con herramientas de detección de malware, herramientas SCA y sistemas de detección de intrusos.
- Programación: Tener fluidez en los principales lenguajes de programación permitirá que los respondedores de incidentes se muevan de manera rápida y eficiente para encontrar las «agujas en el pajar» y reducir la dependencia de equipos externos durante un incidente importante.
- Técnicas de prueba de penetración: observar los activos y los métodos de ataque utilizados para comprometerlos desde la perspectiva de un atacante proporcionará una comprensión más profunda de cómo y por qué se perpetró un ataque.
Análisis forense
Si bien algunas organizaciones emplean o contratan a expertos forenses dedicados, el personal de respuesta a incidentes se beneficiará enormemente de cierta capacidad para encontrar artefactos, identificar técnicas de intrusos y determinar las causas fundamentales de un incidente. Preguntas como ¿Qué sistemas/usuarios posteriores se han visto afectados? ¿Quien esta implicado? ¿Qué activos están involucrados? ¿Cómo ocurrió el ataque? ¿Permitirá una vulnerabilidad del sistema que vuelva a suceder? ¿Cuál fue la línea de tiempo del ataque? ayudará a los equipos de IR a determinar el efecto y el alcance de un ciberataque.
Monitoreo
Sea un maestro del monitoreo (sistemas, uso y comportamiento) antes de que comience un incidente. Los responsables deben determinar, comprender y ajustar constantemente las líneas de base para identificar anomalías e investigar incidentes. La falta de monitoreo continuo de las brechas y vulnerabilidades del control de seguridad antes de un incidente podría volverse catastrófica durante un incidente. Por lo tanto, los equipos de IR deben trabajar con el personal de seguridad y TI para implementar las herramientas adecuadas y garantizar que funcionen según lo previsto en todo momento.
imagen: @rawpixel.com