En todos los ámbitos de la seguridad, no sólo de la ciberseguridad, y como decía un proverbio chino “Hombre prevenido vale por dos”. Por esa razón, y ante la eventualidad de un incidente, en esos diferentes ámbitos de la seguridad proliferan los planes, simulacros, entrenamientos y pruebas para verificar cómo responde la organización ante esas situaciones. Por supuesto, en ciberseguridad también hay que tener muy claro cómo debemos responder ante determinadas situaciones, porque si, cuando éstas se produzcan, se ha de pensar en qué se va a hacer, el desastre está servido, ya que se trata de situaciones estresantes y poco propensas a la toma de decisiones bien ponderadas. De ahí la necesidad de saber gestionar los incidentes y tener una adecuada planificación.
Seguro que todos nuestros lectores, de niños, en el colegio o instituto, han participado en algún simulacro de evacuación, en previsión de que se declarase un incendio u otra emergencia que la pudiese requerir. Probablemente, en su vida adulta, muchos de nuestros lectores españoles habrán participado en formación sobre el plan de autoprotección de su organización, e incluso, en algún simulacro de evacuación de su centro de trabajo. Todos los gobiernos nacionales disponen de planes de defensa militares ante diferentes amenazas externas, y muchos de ellos tienen planes de protección civil que se activan ante ciertas eventualidades industriales, de tráfico, climáticas o geológicas Como curiosidad, quizá la mayoría de nuestros lectores no sepan que algunos gobiernos disponen de planes (secretos) de respuesta ante situaciones que algunos considerarían descabelladas, tales como un contacto extraterrestre, por más que la ONU advirtiera de que no se disponía de un plan global frente a esta eventualidad [1].
Todos los ejemplos del párrafo anterior vienen a demostrar que, por lo que a la seguridad se refiere, constituye una necesidad imperiosa la existencia de planes y protocolos que cubran las diferentes eventualidades que pueden poner en riesgo la pervivencia de un determinado sistema. En esos planes y protocolos muy probablemente se incluyan los roles implicados en cada una de las eventualidades, la formación que hay que darle a los implicados, y quizá, los entrenamientos o simulacros que serán necesarios para comprobar la efectividad de los planes, los protocolos y la formación del personal.
Pues bien, la ciberseguridad no puede ser ajena a estas situaciones, y existen diferentes aspectos sobre los que actuar, como los planes de continuidad de negocio, los planes de recuperación ante desastres, o los protocolos de gestión de ciberincidentes. Y precisamente a éstos últimos vamos a dedicar en Tecnología y Sentido Común una pequeña serie de artículos, tratando de resumir o destilar las cuestiones básicas importantes, pensando en que cualquiera pueda utilizar esta información para iniciar el camino hacia una adecuada respuesta a este tipo de incidentes.
Obviamente, en esta temática no se parte de cero, y la información que contienen estos artículos está destilada a partir de dos documentos oficiales que considero fundamentales:
- ISO 27035: Gestión de incidentes de seguridad de la información
- NIST SP 800-61: Computer Security Incident Handling Guide
Asimismo, si el lector desea profundizar en este tema, puede aprovechar una obra con una visión más amplia, y basada en la experimentada experiencia práctica de la autora. Se trata del libro “Gestión de Incidentes de ciberseguridad” de Maite Moreno [2], en el que se desgranan con detalle los aspectos fundamentales de ambas normas y de los conceptos y consejos que se van a dar en esta serie de artículos.
Evidentemente, para responder a un ciberincidente, debemos contar con capacidad para ello, en el más amplio sentido de la palabra. Debemos desponer de personal o servicios capaces de detectar que se está produciendo, de clasificarlo, y de responder ante el mismo. También debemos contar con la capacidad para planificar la respuesta, mientras no estemos siendo atacados, y de realizar tests o simulacros de ataque para revisar dicha planificación y su adecuación a la realidad. Para incrementar nuestra capacidad de respuesta ante este tipo de incidentes, habitualmente se suele confiar en un Security Operations Centre (SOC), que a su vez debe contar con un CSIRT/CERT (Computer Security Incident Response Team/Computer Emergency Response Team), que será quien lidere, y/o sea el encargado de, muchas de las tareas relacionadas con la respuesta ante el incidente. Sin embargo, habrá otros roles en la organización que estarán implicados en los planes de respuesta, tales como la Alta Dirección, el personal informático o de comunicaciones, o incluso, el personal del departamento legal y de comunicación.
Un ciberincidente, según la NIST SP 800-61, tiene un ciclo de vida de cuatro fases:
- Preparación
- Detección y Análisis
- Contención, Erradicación y Respuesta
- Actividades Post-Incidente
A mi juicio, la etapa más importante es la de preparación, porque “todo lo que no es planificación es improvisación”, en palabras del director de nuestra publicación, Javier Peris. ¿Se puede responder adecuadamente a un incidente sin estar preparados? Quizá sí, pero quizá el coste, el tiempo o los resultados finales no sean los adecuados. Por tanto, si enfocamos nuestro esfuerzo en pensar, elaborar, documentar, y mantener los protocolos de respuesta, y en preparar a la organización frente a los diferentes tipos de ciberincidentes planificados, cuando éstos se produzcan, o bien el tiempo necesario para detectarlos, contenerlos y responder se reducirá drásticamente, o bien se reducirá su impacto dañino. Y si tras el suceso, analizamos toda la información para obtener lecciones aprendidas que puedan mejorar los protocolos, miel sobre hojuelas.
Pero parte de la fase de preparación no sólo consiste en tener protocolizados los diferentes tipos de incidentes de seguridad que creamos conveniente. Hoy en día, es necesario monitorizar nuestros sistemas, ya que sin ello va a ser muy complicado detectar los algunos de los incidentes en sus etapas tempranas. Y también es necesario mantener una vigilancia sobre los diferentes indicadores de compromiso y las fuentes de información de ciberinteligencia u OSINT [3] para conocer en qué riesgos se puede ver involucrada nuestra organización, a través de conocer qué información nuestra está disponible en ciertos ámbitos.
Preparémonos frente a lo posible, para que cuando ocurra, no nos pille desprevenidos o sin saber qué hacer. Y preparémonos también frente a lo improbable, como lo eran ciertos ‘cisnes negros’, que han surgido en los últimos tiempos (COVID-19, volcán de La Palma, o invasión rusa de Ucrania).
En el segundo artículo de esta serie, nos centraremos en las fases de detección y respuesta frente al ciberincidente, así como en las actividades post-incidente.
Referencias
[1] https://news.un.org/es/story/2010/10/1202701
[2] Maite Moreno García. Gestión de Incidentes de ciberseguridad. 2022. Editorial RA-MA. ISBN 978-84-1897-173-0
[3] https://tecnologiaysentidocomun.com/ipages/flipbook/revista-tysc18-abril-2022 Páginas 12 a 14
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Debe estar conectado para enviar un comentario.