Estar preparado para un incidente de seguridad

Introducción:

Definimos la gestión de incidentes como la capacidad para gestionar de forma eficaz eventos operativamente perjudiciales e inesperados para la organización con el objeto de minimizar los impactos y mantener o restaurar las operaciones normales de una organización, dentro de límites de tiempo previamente acordados y definidos.

La gestión de incidentes involucra todas las acciones tomadas antes, durante y después de la ocurrencia de un incidente de seguridad. Un enfoque común, en el que también nos basamos en A2Secure, es el ciclo de vida de la gestión de incidentes en un modelo de respuesta de 6 fases:

1. Preparación: Esta fase prepara a una organización para desarrollar un plan de respuesta antes de que ocurra un incidente.
2. Identificación: Esta fase tiene el propósito de verificar si ha ocurrido un incidente y obtener mayores detalles sobre el mismo.
3. Contención: Después de que se haya identificado y confirmado un incidente, el plan de respuesta se activa y se comparte la información con el personal clave.
4. Erradicación: Cuando se han aplicado medidas de contención, es el momento de determinar la causa raíz del incidente y erradicarla.
5. Recuperación: El equipo operativo de respuesta a incidentes debe monitorear el progreso de la restauración para garantizar que los sistemas o servicios se restablezcan a una condición especificada.
6. Lecciones aprendidas: Al final del proceso de respuesta, siempre se debe elaborar un reporte para compartir lo que sucedió, las medidas que se tomaron y los resultados obtenidos después de que se ejecutara el plan.

El objeto del presente artículo es el de generar un marco básico en el ámbito de la preparación de un incidente de seguridad (fase 1 del ciclo de vida de la gestión de incidentes).

Construcción de la capacidad de respuesta:

Desde A2Secure consideramos que una preparación suficiente tiene como objetivo disponer de todo lo necesario para que la organización pueda ejecutar su IRP sin problemas; esto es la construcción de una capacidad de respuesta adecuada. Entendemos que, por definición, los incidentes son inesperados y a menudo confusos, por tanto, la fase de preparación tiene que construir la capacidad de respuesta para detectar y evaluar la situación, determinar las causas y llegar rápidamente a las soluciones para marcar la diferencia entre un problema y un desastre. A continuación, listamos a alto nivel los principales aspectos que cualquier organización debería tener en cuenta para incluir en su fase de preparación:

1. Asignación de responsabilidades:

Sin la asignación de roles de seguridad ni responsabilidades claramente definidas, podría haber una interacción que no concuerde con el grupo de seguridad, lo que podría tener como resultado la ejecución indebida del IRP. Los roles y perfiles básicos que hemos considerado son los siguientes:

1. Comité de seguridad: Es la estructura más alta de las funciones relativas a la seguridad de la información de una organización
2. Gerente de seguridad: Tiene la responsabilidad de actuar como parte del equipo de respuesta ante incidentes relacionados con la seguridad de la información
3. Comité de respuesta ante incidentes: El comité de respuesta ante incidentes tiene que consensuar todas las acciones que deberán llevarse a cabo para contener un incidente
4. Gerente de respuesta ante incidentes: El gerente de respuesta ante incidentes tiene que ser el líder encargado de ejecutar y supervisar el plan de respuesta ante incidentes
5. Equipo operativo de respuesta: El equipo operativo de respuesta ante incidentes de seguridad está formado por personal (mínimo 4 personas) con conocimientos en el campo de la seguridad IT (syadmins, operadores del SOC, equipo networking, etc.)

2. Definición y clasificación de incidentes de seguridad

La organización debe contar con una definición previamente acordada sobre qué constituye un incidente y posteriormente aplicar los niveles de categorización, que en general, se basan en el nivel de gravedad o la capacidad de penetración del impacto en toda la organización. Existen muchas definiciones y clasificaciones de incidentes de seguridad por este motivo, desde A2Secure recomendamos seguir las especificaciones que el Consejo Nacional de Ciberseguridad comparte en la guía nacional de notificación y gestión de ciber-incidentes.

• Para más detalle ver el siguiente enlace: Link

3. Definición de políticas y procedimientos

Es necesario que se definan las actividades operativas (pasos) a seguir por los responsables en cada una de las fases del plan de respuesta. Mientras que las políticas deben entenderse como directrices a alto nivel, los procedimientos deben incluir el detalle necesario para que los responsables de ejecutar el plan puedan hacerlo de forma adecuada.

4. Notificación y seguimiento de incidentes de seguridad

Un componente fundamental para cualquier programa de seguridad es contar con un proceso eficaz y oportuno de notificación de incidentes relacionados con la seguridad. Entre las funciones que es más probable que requieran información relativa a incidentes, cuando estos ocurren, se encuentran:

1. Gestión de riesgos
2. RRHH
3. Jurídico
4. Los dueños del proceso de negocio afectado
5. Networking
6. etc.

Por otro lado, cada organización tiene que considerar las leyes y regulaciones que le afectan y de este modo determinar si es necesario que se produzca una notificación externa a las autoridades competentes. Por ejemplo:

1. La notificación de incidencias en infraestructuras críticas debe hacerse al CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad)
2. Las brechas de seguridad que puedan afectar a datos de tarjeta de clientes deben notificarse a las diferentes marcas de pago (VISA, MASTERCARD, etc.)
3. La pérdida o robo de datos personales de los clientes deberán notificarse a la autoridad de control en función del lugar donde tenga la sede principal el responsable de los datos y/o el lugar donde se toman las decisiones sobre fines y medios.

5. Pruebas del plan de respuesta

Finalmente, consideramos que, sin las pruebas periódicas apropiadas, es posible que se omitan pasos fundamentales, lo que podría generar una mayor exposición durante un incidente. Las pruebas realizadas pueden incluir todos o solo alguno de los pasos, todos o solo alguno de los roles. Lo importante es capacitar al personal clave para que sepa responder en caso necesario.

Conclusiones

Como empresa especializada en seguridad IT, en alguna ocasión hemos tenido que participar en un proceso real de respuesta ante incidentes de ciberseguridad asesorando a nuestros clientes. Estas experiencias nos permiten afirmar que, si bien cuando se trabaja con grandes profesionales, las cosas suelen acabar bien, no disponer de un plan de respuesta actualizado, comunicado y probado puede provocar incertidumbre, pérdidas de tiempo y esfuerzo y lo que es más importante; dificulta el proceso de aprendizaje necesario para que un incidente de ese tipo no vuelva a ocurrir.

Autor: Guillem Cuesta