Algunas definiciones indican que un incidente corresponde a “una violación o inminente amenaza de violación a las políticas de ciberseguridad de una organización… ”. Hoy en día he observado que las organizaciones se refieren a ello como “un evento” a pesar que el mismo estándar (NIST 800-61r2) define a esto último como “una ocurrencia observable en un sistema o red”.
Columna por Andrés Godoy, Analista forense NIVEL4.
Independientemente de lo anterior, existe una tendencia (debido a los últimos acontecimientos) a estar preparados para enfrentar adecuadamente un incidente de seguridad ya sea por requerimiento del regulador o por la alta dirección. En ese sentido, parte de la preparación debe incluir aspectos legales, comunicacionales y técnicos.
Volviendo a la idea principal, entonces, surge la interrogante ¿cómo podemos establecer si nos encontramos frente a un incidente informático? La respuesta podría darse por un procedimiento de Respuesta a Incidentes o tal vez, llevar a cabo un Análisis Forense Digital.
La respuesta a incidentes conlleva una serie de etapas no obstante dentro de las principales se encuentran la de detección, análisis, contención y erradicación. Pero lo realmente importante es cómo podemos ayudar a la organización a mantenerse en pie y, a su vez, preservar las evidencias para la investigación.
En lo práctico esto implica una búsqueda frenética del vector de entrada, intentar remover los accesos del atacante y expulsarlo de la organización, o detener la propagación del malware dentro plazos muy acotados. En paralelo, el área comunicacional debería trabajar en conjunto con los abogados y preparar al directorio para estar al tanto de lo que está ocurriendo, qué acciones se están llevando a cabo y cuáles son los siguientes pasos. Sumado a esto, riesgo operacional se encargará de sus tareas propias pero, tal vez lo más importante, será establecer el impacto que generó el atacante, si hubo exfiltración y desde cuándo y saber si aún sigue dentro de la red.
Todo esto parece complicarse aún más cuando entra en juego el concepto de “Análisis Forense Digital”. Estos procedimientos provienen del mundo policial y judicial donde la evidencia cobra un valor sagrado y su integridad debe ser preservada a lo largo de la investigación. Por una parte Respuesta a Incidentes busca la celeridad y si ello implica ocupar las mismas máquinas para resolver el problema, esto se hará, mientras que lo Forense persigue todo lo contrario, es decir, evitar que las evidencias sean manipuladas y alteradas para no afectar un futuro procedimiento penal o civil. Además, el proceso forense en estricto rigor realiza un análisis completo a un volumen de datos y puede tardar un tiempo demasiado prolongado para una respuesta a incidentes.
Entonces la interrogante es ¿Cómo nos preparamos para estos escenarios?. Podemos seguir una serie de frameworks de ciberseguridad los cuales estén orientados a seguridad de la información tal como la ISO 27001 o controles de seguridad como CIS Controls. Lo importante, tal como señalan estos marcos de trabajo, es enfocarse en:
- Identificar y proteger activos.
- Definir listas de acceso tanto para software como aplicaciones.
- Gestión de contraseñas.
- Utilización de MFA.
- Gestión sobre vulnerabilidades.
- Gestión y auditoría de de registros log.
- Protección de correo electrónico.
- Defensa contra malware, entre otros.
Una adecuada preparación frente a incidentes implica priorizar estas tareas dentro de las posibilidades que tenga la organización, seguir políticas de seguridad de la información, concientización y otras actividades que siguen la misma línea.