Respuesta a incidentes (o mejor dicho) eventos de ciberseguridad

Algunas definiciones indican que un incidente corresponde a “una violación o inminente amenaza de violación a las políticas de ciberseguridad de una organización… ”. Hoy en día he observado que las organizaciones se refieren a ello como “un evento” a pesar que el mismo estándar (NIST 800-61r2) define a esto último como “una ocurrencia observable […]

Algunas definiciones indican que un incidente corresponde a “una violación o inminente amenaza de violación a las políticas de ciberseguridad de una organización… ”. Hoy en día he observado que las organizaciones se refieren a ello como “un evento” a pesar que el mismo estándar (NIST 800-61r2) define a esto último como “una ocurrencia observable en un sistema o red”.

Columna por Andrés Godoy, Analista forense NIVEL4.

Independientemente de lo anterior, existe una tendencia (debido a los últimos acontecimientos) a estar preparados para enfrentar adecuadamente un incidente de seguridad ya sea por requerimiento del regulador o por la alta dirección. En ese sentido, parte de la preparación debe incluir aspectos legales, comunicacionales y técnicos.

Volviendo a la idea principal, entonces, surge la interrogante ¿cómo podemos establecer si nos encontramos frente a un incidente informático? La respuesta podría darse por un procedimiento de Respuesta a Incidentes o tal vez, llevar a cabo un Análisis Forense Digital.

La respuesta a incidentes conlleva una serie de etapas no obstante dentro de las principales se encuentran la de detección, análisis, contención y erradicación. Pero lo realmente importante es cómo podemos ayudar a la organización a mantenerse en pie y, a su vez, preservar las evidencias para la investigación. 

En lo práctico esto implica una búsqueda frenética del vector de entrada, intentar remover los accesos del atacante y expulsarlo de la organización, o detener la propagación del malware dentro plazos muy acotados. En paralelo, el área comunicacional debería trabajar en conjunto con los abogados y preparar al directorio para estar al tanto de lo que está ocurriendo, qué acciones se están llevando a cabo y cuáles son los siguientes pasos. Sumado a esto, riesgo operacional se encargará de sus tareas propias pero, tal vez lo más importante, será establecer el impacto que generó el atacante, si hubo exfiltración y desde cuándo y saber si aún sigue dentro de la red.

Todo esto parece complicarse aún más cuando entra en juego el concepto de “Análisis Forense Digital”. Estos procedimientos provienen del mundo policial y judicial donde la evidencia cobra un valor sagrado y su integridad debe ser preservada a lo largo de la investigación. Por una parte Respuesta a Incidentes busca la celeridad y si ello implica ocupar las mismas máquinas para resolver el problema, esto se hará, mientras que lo Forense persigue todo lo contrario, es decir, evitar que las evidencias sean manipuladas y alteradas para no afectar un futuro procedimiento penal o civil. Además, el proceso forense en estricto rigor realiza un análisis completo a un volumen de datos y puede tardar un tiempo demasiado prolongado para una respuesta a incidentes.

Entonces la interrogante es ¿Cómo nos preparamos para estos escenarios?. Podemos seguir una serie de frameworks de ciberseguridad los cuales estén orientados a seguridad de la información tal como la ISO 27001 o controles de seguridad como CIS Controls. Lo importante, tal como señalan estos marcos de trabajo, es enfocarse en: 

• Identificar y proteger activos. 
• Definir listas de acceso tanto para software como aplicaciones. 
• Gestión de contraseñas.
• Utilización de MFA.
• Gestión sobre vulnerabilidades.
• Gestión y auditoría de de registros log.
• Protección de correo electrónico.
• Defensa contra malware, entre otros.

Una adecuada preparación frente a incidentes implica priorizar estas tareas dentro de las posibilidades que tenga la organización, seguir políticas de seguridad de la información, concientización y otras actividades que siguen la misma línea.