La administración de incidentes en tu empresa

[vc_row][vc_column][vc_column_text]

Autor: Equipo de Ciberinteligencia de S4B 

[/vc_column_text][vc_custom_heading text=”Contenido” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes”][vc_column_text]Introducción 
¿Por dónde empezar? 
Etapa de Preparación 
Etapa de Detección y Análisis 
Etapa de contención, erradicación y recuperación 
Etapa de actividades Post Incidente 
Conclusión [/vc_column_text][vc_custom_heading text=”Introducción” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”INTRODUCCION”][vc_column_text]

Existen una gran cantidad de marcos de referencia para atender las necesidades de las empresas respecto a la administración y respuesta a incidentes de seguridad.

  • NIST SP 800-61
  • RFC2350
  • ISO/IEC 27035:2011

Además, existen instituciones que emiten guías de referencia para la implementación de un marco de administración de incidentes de seguridad, como SANS, ENISA e ISACA, entre otras.

[/vc_column_text][vc_single_image image=”917″ img_size=”large” alignment=”center”][vc_column_text]

Estas guías y estándares sirven como un marco de referencia sumamente completo para que las organizaciones cuenten con una administración y respuesta a incidentes suficientemente robusta, sea cual sea el nivel de madurez de estas.

Sin embargo, la implementación de todo este conjunto de lineamientos y buenas prácticas llega a ser algo compleja ya que, como es común cuando se trata de poner orden en las operaciones organizacionales, dicha implementación es dependiente de cada escenario. No tiene el mismo impacto un incidente que compromete un sistema en “Microempresa S.A.” que el que compromete a “Multinacional Inc.”, tampoco son las mismas acciones que se tomarán para responder al incidente. A pesar de ello, los pasos obligados dentro de dicho proceso de respuesta sí son los mismos.

En este artículo, damos un breve repaso a las etapas nucleares dentro del ciclo de vida de respuesta a incidentes según lo descrito en la publicación especial 800-61, “Guía para la respuesta a incidentes de seguridad en equipos de cómputo” del NIST.

[/vc_column_text][vc_custom_heading text=”¿Por dónde empezar?” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”EMPEZAR”][vc_column_text]

La administración de incidentes es la capacidad de manejar de manera efectiva y rápida la ocurrencia de un evento no planeado o interrupción de un servicio, restaurando la operación y disminuyendo el impacto adverso. NIST acota esto al ámbito de la seguridad, definiendo un incidente de seguridad computacional como una violación o amenaza inminente de violación a las políticas de seguridad, uso aceptable, o prácticas de seguridad estándar. Sin embargo, una de las primeras recomendaciones es crear una definición de este término, que sea específica para la empresa, a fin de que la misma sea clara para sus empleados y esté acotada a la realidad que vive la organización.

[/vc_column_text][vc_single_image image=”923″ img_size=”large” alignment=”center”][vc_column_text]

Sabiendo esto, la primera etapa es donde se establecen todas las capacidades, definiciones, restricciones, y en general, todo el modelo entorno al cual operará la administración de incidentes de la empresa.

[/vc_column_text][vc_custom_heading text=”Etapa de Preparación” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”PREPARACION”][vc_column_text]

Durante esta etapa, se deben considerar los elementos que habilitarán todo el ciclo de vida de la administración de incidentes, desde los lineamientos y toda la trama documental, hasta el aseguramiento de un adecuando funcionamiento (en términos operativos y de seguridad) de los elementos tecnológicos que soportarán la operación de este proceso, pasando por la asignación de responsabilidades y capacitación. Los puntos importantes para considerar son:

  • Creación de políticas, plan de respuesta y procedimientos.
    La política idealmente deberá considerar objetivos, alcances, definiciones, etc. un punto relevante (como es común en normas de aplicación internacional), es plasmar en ella el respaldo de los altos mandos al interior de la organización, a fin de darle el paso e importancia que merece. Por otro lado, el plan detalla las actividades a realizar en cada etapa de la respuesta a incidentes, considerando las estrategias ante distintos tipos de incidentes, y las métricas para calcular la efectividad. Algo de suma importancia es la documentación de los incidentes, que deberá ser planteada en el plan (en términos de formatos, alcances e involucrados); y que permitirá al equipo madurar el proceso. Básicamente, en el plan se deberán plasmar todos los puntos descritos, valga la redundancia, en la etapa de planeación. Finalmente, los procedimientos deberán detallar los métodos, técnicas, formatos, etc., que empleará el equipo en distintos escenarios.
  • Definición de criterios para intercambio de información con otras entidades.
    Ya sea por la necesidad de interactuar con otras organizaciones para la atención del incidente, o para hacerlo público por temas legales o de difusión; es importante establecer los criterios de interacción, de forma que se cuente de inicio, con un único punto de contacto. Si el objetivo es mejorar la detección y respuesta de incidentes de la industria, se deberán definir los indicadores de compromiso a compartir, preservando la confidencialidad de la información de acuerdo con los lineamientos de la organización. Algo que ayuda en esta tarea, es contar con “guiones” de respuesta ante distintos escenarios, como comunicados de prensa a utilizar en el caso de filtración de datos, por ejemplo.
  • Definición del equipo de respuesta a incidentes.
    Será el personal sobre el cual recaiga la responsabilidad de la ejecución de las actividades en respuesta a incidentes, motivo por el cual su selección es vital. El NIST sugiere 3 estructuras para este equipo: Centralizado, donde existe un solo equipo para toda la organización; Distribuido, que considera diversos equipos conformados de acuerdo con la especialidad; y Coordinado, en donde un equipo reducido dirige las actividades de otros, no necesariamente siendo éstos parte de la empresa. Bajo estas estructuras, el equipo podrá ser conformado por personal interno, o ser parcial o totalmente tercerizado.

¿Qué se debe considerar para la elección de alguno de estos modelos? NIST sugiere tomar en cuenta: Costos, experiencia de los miembros, y disponibilidad requerida; entre otras cosas.

[/vc_column_text][vc_custom_heading text=”Etapa de Detección y Análisis” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”DETECCION”][vc_column_text]

Dada la naturaleza de los incidentes, es altamente complejo crear una receta para la detección de todo tipo de eventos de seguridad. Es importante estar preparado para un espectro amplio de incidentes, pero es vital comenzar por los más comunes, o los que representan mayor riesgo para la organización. Para ello, es necesario desarrollar una clasificación de tipos de incidentes, para posteriormente identificar señales comunes que den pie a ellos. Estas señales deberán ser traducidas, idealmente, en reglas dentro de las distintas tecnologías como: IDPS, SIEM, Sistemas de monitoreo, bitácoras, etc.

Cabe destacar que, como parte de la madurez de este proceso, dichas reglas de detección, así como los mecanismos dentro de esta y el resto de las etapas, irán siendo actualizadas y mejoradas, como parte del aprendizaje de cada incidencia.

Después de la identificación, el equipo de respuesta deberá hacer el análisis del incidente, para validar que efectivamente está ocurriendo un escenario adverso, y comenzar a dimensionar el impacto. Para ello, el NIST recomienda lo siguiente:

  • Contar con perfiles de lo que es un estado “normal” en los sistemas. Esto permite identificar anormalidades o desviaciones, que podrían ser síntomas de un incidente.
  • Definir reglas de retención de bitácoras (Logs), de forma que existan registros que puedan ser analizados por los especialistas.
  • Correlacionar eventos. Así, se puede ampliar la visión del equipo. Un evento por sí sólo, pudiese no decir nada, sin embargo, una cadena de eventos asociados (por ejemplo, cincuenta intentos de acceso fallidos, seguidos de uno exitoso) podrían ser indicadores de un incidente. A estas reglas de correlación se refiere el NIST.

Algo vital en esta etapa es la priorización del incidente, basado en el impacto de este.

[/vc_column_text][vc_custom_heading text=”Etapa de contención, erradicación y recuperación” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”CONTENCION”][vc_column_text]

Nuevamente, las acciones a ejecutar en cada incidente pueden ser distintas. La contención de un ciberataque distribuido de denegación del servicio es muy distinta a la de un equipo infectado con malware. Es importante que la estrategia cuente con medidas a tomar, al menos, para los distintos escenarios definidos en la etapa de preparación. Algunas medidas a considerar pueden incluir el monitoreo de los activos afectados, idealmente en un ambiente controlado, de forma que se adquiera mayor evidencia del incidente, obteniendo posibles indicios que ayuden en la mitigación. Algo muy importante para tener en cuenta, según lo señala el NIST, es que “No se debe asumir que, por desconectar un equipo de la red, se ha prevenido el daño al equipo”. Es decir, se debe pensar en acciones que vayan más allá de aislar a los equipos infectados.

La erradicación y recuperación, a diferencia de la contención, considera acciones para eliminar la causa, o causas, que dieron origen al incidente; así como restaurar la operación a un estado aceptable.

Algo de suma importancia en esta etapa, es la adquisición y manejo de evidencia del incidente. Esto, debido a que dicha evidencia, además de servir para dar solución al incidente, puede ser relevante en caso de que se quiera tomar acción legal. Además de colectar información como datos de los equipos, direcciones IP, nombre y datos de los involucrados, fechas y horas; el NIST sugiere tomar las medidas necesarias para el manejo de la información.

[/vc_column_text][vc_custom_heading text=”Etapa de actividades Post Incidente” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”POST”][vc_column_text]

Finalmente, esta fase comprende las actividades de registro y cierre del incidente, además de las acciones de mejora sobre todo el proceso durante su ciclo de vida.

El NIST recomienda documentar las lecciones aprendidas del incidente de seguridad, considerando preguntas como “¿Qué sucedió exactamente?”, “¿Las acciones ejecutadas fueron las más adecuadas?”, “¿Qué medidas pueden prevenir la ocurrencia de este incidente en el futuro?”; a fin de modelar de forma más precisa lo ocurrido. Esto, considerando en la medida de lo posible, a todos los involucrados en el incidente.

Por otro lado, sugiere obtener datos estadísticos y métricas que permitan hacer más eficientes los recursos al interior de la organización entorno a este tema.

[/vc_column_text][vc_custom_heading text=”Conclusión” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_id=”CONCLUSION”][vc_column_text]

No existe una fórmula mágica que permita implementar un proceso de administración de incidentes al interior de las organizaciones, no hay plantillas predefinidas que puedan ser aplicadas de forma transparente en las empresas. Sin embargo, dar un primer paso y seguir marcos de referencia internacional, puede ser de gran ayuda. Los pasos definidos tanto por el NIST como por otras instituciones no distan mucho entre sí. No importa si al principio no fueron considerados todos los elementos, ya que las mismas actividades de aprendizaje y mejora, permiten ir creciendo y mejorando las capacidades de respuesta de las empresas.

Y, a pesar de la gran evolución de los ciberataques hoy en día y su alta especialización, los pasos para la respuesta a incidentes se mantienen.

Acércate a Silent4Business y pregunta por los distintos servicios que ofrecemos en torno a la respuesta a incidentes, enviándonos un correo a contact@silent4business.com y permítenos acompañarte en esta labor.

[/vc_column_text][/vc_column][/vc_row]