Tres pautas para elaborar un buen plan de acción ante incidentes cibernéticos

 

Nunca antes ha sido tan evidente la necesidad de que las organizaciones se preparen ante posibles crisis como tras la pandemia de COVID-19. Las organizaciones se están orientando hacia el trabajo remoto, que seguramente ha venido para quedarse, y la planificación de la respuesta ante incidentes debería adaptarse a esta nueva realidad.

Fuente: INESE Noticias

Eso significa también tener en cuenta los nuevos riesgos que trae consigo. Para cualquier organización, un incidente importante relacionado con la seguridad cibernética representa una auténtica crisis. Las organizaciones previsoras deberían prepararse adecuadamente al respecto.

Se han desarrollado multitud de pautas para guiar a las organizaciones durante esta planificación, incluidas las detalladas por los centros estadounidenses NIST (Instituto Nacional de Normas y Tecnología), SANS (Administración de Sistemas, Auditoría, Redes y Seguridad) y CERT (Equipo de Eespuesta de Emergencia Comunitaria). No obstante, estas pautas son parecidas en lo esencial. El marco de trabajo del NIST nos resulta especialmente sencillo de aplicar y articula de forma clara todas las fases del plan de respuesta ante incidentes. A continuación, desglosamos el ciclo de vida del plan de respuesta ante incidentes según el marco de trabajo del NIST.

Seguiremos estos pasos para debatir el plan de respuesta ante incidentes y mostrar cómo la prevención diseñada con mucha antelación, antes de que se produzca un incidente, puede marcar la diferencia entre un desastre en la organización y una reacción metódica que ponga orden en el caos.

1. Preparación

1.1 Aspectos fundamentales

En muchos casos, la fortuna favorece más a los bien preparados que a los valientes. Es inevitable que llegue el momento en el que se materialice un riesgo y ocurra un incidente cibernético. La prevención representa los cimientos sobre los que descansa cualquier proceso de respuesta en el futuro. En esta fase, el enfoque sobre la ciberseguridad debe basarse en los riesgos y debes invertir el tiempo necesario en:

  • comprender el entorno tecnológico y comercial de la organización;
  • identificar y rastrear las amenazas, y
  • documentar los riesgos de la organización.

Una vez que hayas definido los riesgos y se hayan identificado los activos críticos, tendrás que implementar un plan practicable que dote a tus equipos de la capacidad necesaria para gestionar incidentes en caso de que ocurran. Un incidente cibernético importante representa un desafío concreto. Suele ser una experiencia difícil, estresante y caótica para los equipos internos implicados, en los que suelen concurrir distintas partes involucradas, tanto internas como externas.

El peor momento para la planificación ante un incidente es en mitad de uno. Sin embargo, un plan de respuesta ante incidentes, si se entrena y se ensaya con regularidad, permitirá que el equipo retenga en su memoria parte del flujo de respuestas. Eso les permitirá ordenar más eficazmente el caos de cualquier respuesta.

Aunque el formato específico del plan es variable, debería:

  • Incluir un flujo de respuestas activable: El lector debe ser capaz de comprender el orden cronológico de las respuestas por pasos activables y concretos. Incluir un diagrama de flujo y listas de comprobación pueden aportar claridad y prevenir pasos en falso en el momento álgido del incidente.
  • Describir cómo deben clasificarse los incidentes: Deben aportarse criterios claros para clasificar adecuadamente los incidentes. Entre las clasificaciones habituales de incidentes se incluyen las categorías de gravedad crítica, alta, moderada o baja. No todos los incidentes requieren la misma atención, asignación de recursos o equipos de respuesta. Los incidentes con gravedad baja o moderada pueden resolverse normalmente dentro de los equipos de TI, mediante manuales de estrategias operativas, mientras que los incidentes de mayor gravedad requerirán a menudo competencias más amplias, asignación adicional de recursos, una gestión más precisa y posiblemente la asistencia de terceros.
  • Establecer canales de comunicación claros: Los planes de respuesta ante incidentes deben detallar qué información, cuándo y cómo debe transmitirse desde los equipos operativos a otras funciones y partes implicadas. La comunicación formal permite que todos dispongan de la misma información y reduce los malentendidos durante una acción de respuesta. Los pequeños fallos en la comunicación pueden avivar una situación difícil hasta convertirla en un desastre total.
  • Asignar y describir roles y responsabilidades: Durante un incidente, todas las partes implicadas deben ser conscientes de su rol y su responsabilidad. Deben señalarse claramente los roles y las responsabilidades formales en una sección del plan de respuesta ante incidentes. Estos deberían ir más allá del equipo técnico fundamental y abarcar a todas las partes implicadas en una respuesta. Las personas implicadas pueden pertenecer al departamento legal, de marketing, de relaciones públicas, de producción y de recursos humanos.
  • Incluir a terceros: Entre estos pueden encontrarse las autoridades policiales o los organismos de regulación, los proveedores de seguros, asesores legales externos como un Cyber Breach Coach, recursos de relaciones públicas o empresas forenses de ciberseguridad.
  • Desarrollar manuales de estrategias más prescriptivos: Identifica los incidentes más habituales o más vinculados con tus riesgos críticos y elabora manuales de estrategias practicables que sirvan de guía operativa para la respuesta a esos riesgos. Esos manuales de estrategias deberían incluir más pasos prescriptivos que los que pueden encontrarse en el flujo de respuestas principal. Por ejemplo, sería deseable que un gran comercio minorista desarrollase un manual de estrategias sobre datos de pago que podrían filtrarse, mientras que un fabricante podría disponer de manuales de estrategias con distintos escenarios de ataque con “ransomware”, a fin de minimizar el tiempo de inactividad.
  • Tener en cuenta otras planificaciones: Los planes de respuesta ante incidentes afectan y dependen de otros planes de la organización. Cualquier plan de respuesta ante incidentes debe hacer referencia y vincularse con los planes de recuperación ante desastres y de continuidad empresarial centrados en las TI relevantes. Deben definirse claramente e incluirse todos los desencadenantes de estos planes, con el objetivo de perfeccionar la coherencia de la respuesta ante crisis.

1.2 Concienciación

Disponer de un plan de respuesta bien diseñado es esencial, pero no tiene valor para una organización salvo que se comparta por quienes probablemente van a verse implicados. Cómo compartir los planes de respuesta ante incidentes pueden variar. En el caso de los equipos técnicos, que conformarán el núcleo del proceso de respuesta, sin duda habrá que incluir las sesiones de preguntas y respuestas, además de los simulacros basados en escenarios. En el caso de los equipos de liderazgo, materiales de referencia rápida donde se señalen los roles, responsabilidades y medidas esperadas pueden ser de un valor incalculable en la preparación de su respuesta ante incidentes.

1.3 La práctica hace al maestro (¡hay que ensayar!)

Para extraer el máximo valor del plan es necesario ensayarlo periódicamente y actualizarlo con mejoras constantes. Una vez completada la formación, el plan debe ponerse a prueba en algún tipo de ejercicio teórico.

En el caso de los planes desarrollados recientemente puede tratarse de sesiones menos intensas; por ejemplo, repasar el plan contrastándolo con distintos escenarios y comprobar que sea exhaustivo y fluido. En el caso de los programas más maduros, puede desarrollarse un ejercicio más intenso. Aquí habrá que probar la toma de decisiones, el conocimiento y la comunicación en el equipo de respuesta con una serie de «acontecimientos» que modifiquen la situación conforme se desarrolla. Cualquiera de estos enfoques puede mejorar aprovechando la experiencia de terceros que diseñen y gestionen el ejercicio. Un tercero puede aportar experiencia adicional en cuanto al realismo del escenario y permitir que participen más miembros del equipo, en lugar de tener que preparar la sesión.

Las pruebas funcionales de las soluciones tecnológicas que permiten dar una respuesta eficiente, como la restauración de copias de seguridad, son igualmente prioritarias. Pueden adoptar el formato de ensayos de interrupción en paralelo: se configura y se prueba un segundo conjunto de infraestructuras, de modo que no se interrumpan las operaciones diarias de la organización. En el caso del ensayo de interrupción completa, se pone a prueba toda la infraestructura real de la organización. Por su naturaleza, los ensayos de interrupción completa perturban en mayor medida las operaciones, pero ofrecen la información más útil sobre los planes de restauración. 

2. Detención y análisis

2.1 Métodos de detección

En la fase de detección se usan controles de seguridad técnicos o administrativos para detectar actividades malintencionadas en el entorno. A continuación, se detallan algunas de las medidas habituales en esta fase.

  • Supervisión de redes: Bien sea mediante controles básicos, como un cortafuegos, o a través de soluciones más avanzadas, como un sistema de detección de intrusos (IDS, por sus siglas en inglés), rastrear la actividad de dispositivos y usuarios en la red es esencial. Gracias al aumento del rastreo conductual sustentado por el aprendizaje automático, estas soluciones generan alertas significativas de forma más sencilla, inteligente y ágil que nunca antes. No obstante, esa supervisión tiene sus limitaciones. Pensemos en el cambio masivo a los modelos de trabajo desde casa a raíz de la pandemia de COVID-19. Como resultado, muchos de estos controles de supervisión de la red se han visto impotentes, dado que gran parte de la actividad de la red que genera alertas ahora tiene lugar fuera del alcance de las soluciones de seguridad ubicadas en las instalaciones.
  • Supervisión de terminales: Las soluciones de antivirus tradicionales, al igual que otras soluciones más avanzadas basadas en el comportamiento, pueden proporcionar alertas sobre infecciones en dispositivos concretos. Dado que no requieren que el dispositivo esté presente en una red corporativa, pueden solventar parcialmente las lagunas de visibilidad que ha provocado el cambio al trabajo remoto.
  • Rastreo de la Web Oscura: Los proveedores externos suelen ofrecer este servicio como método de detección de intrusiones, supervisando la web oscura y otros mercados negros en busca de información corporativa robada, para alertar en caso de encontrarla. Este tipo de rastreo puede resultar esencial, ya que es la última línea de defensa para detectar un incidente antes de que se reconozca públicamente.

EXISTEN OTROS CONTROLES QUE PUEDEN IMPLEMENTARSE; LOS PASOS DE LA FASE DE PREPARACIÓN DEBERÍAN PERMITIR A LA ORGANIZACIÓN DETERMINAR LAS PRIORIDADES DENTRO DE DICHOS CONTROLES.

2.2 Procesos de alerta

Disponer de un plan de respuesta ante incidentes adecuado, unido a un personal bien formado, aumenta enormemente la posibilidad de que, cuando los equipos detecten actividades malintencionadas, sepan reconocerlas, intervenir de forma adecuada y alertar al resto de la organización cuando sea necesario. En tales casos, el personal podrá seguir procesos documentados para determinar la gravedad del incidente, qué equipos deben involucrarse y a qué terceros se debe avisar.

Por ejemplo, una alerta de los servicios de supervisión donde se señale que se está produciendo un incidente de “ransomware” puede provocar el pánico. No obstante, si se tiene un equipo bien instruido sobre cómo implementar el plan de respuesta, aumenta la probabilidad de que se deje a un lado el pánico y se tomen las decisiones adecuadas. Todo son ventajas para la organización si es capaz de empezar a trabajar en el problema con los pasos desarrollados en los momentos de calma.

Disponer de terceros colaboradores, como Breach Coaches o empresas forenses de Cyber, puede ofrecer información adicional y aprendizajes para el futuro.

3. Contención, erradicación y recuperación 

Como se puede ver en este flujo de respuestas dentro del marco de trabajo NIST, de la detección se pasa a la contención, la erradicación y la recuperación, teniendo en cuenta que cada paso puede repetirse varias veces en un determinado incidente. Se trata de dar cuenta del hecho de que, conforme se aplica el proceso de respuesta, es probable que surjan nuevos problemas que haya que detectar y afrontar.

Pensemos en el incidente con “ransomware” mencionado anteriormente. Para nuestro ejemplo, imaginemos que todo está en marcha: la detección inicial de la infección, la contención de su propagación, los esfuerzos para erradicar el propio “ransomware” y la recuperación a partir de copias de seguridad. Mientras todo esto ocurre, la investigación forense podría sacar a la luz que el atacante sigue teniendo acceso a otros sistemas. Eso representa una nueva detección que requiere que el proceso comience de nuevo. Sin una planificación previa, este nuevo hilo de respuestas puede perderse entre los detalles de las acciones que ya están en marcha, lo que provocará medidas equivocadas y futuros dolores de cabeza.

Durante esta fase, la notificación y la comunicación son primordiales. Con unos métodos y un ritmo de comunicaciones ya conocidos y definidos en el plan de respuesta ante incidentes, los líderes y otras partes implicadas pueden estar siempre al tanto de la situación. Eso les permitirá tomar decisiones informadas, perturbando lo mínimo al equipo operativo que se encarga de llevar a cabo la respuesta.

Actividad tras el incidente

Una vez que se ha completado la recuperación en toda la organización, uno puede estar tentado de, sencillamente, olvidar el incidente. Sin embargo, hacerlo perjudicaría al crecimiento de tu organización y a tu preparación para afrontar incidentes similares en el futuro. Comprender la causa del incidente, revisar cómo puede mejorar tu programa e implementar estas mejoras constituye un circuito de retroalimentación esencial. Este circuito de retroalimentación debe quedar formalizado en el plan de respuesta ante incidentes.

Disponer de terceros colaboradores puede ofrecer información adicional y aprendizajes para el futuro. Los conocimientos legales que ofrecen los Breach Coaches pueden ayudarte a comprender mejor el entorno legal en el que opera tu organización, para adaptar sus prácticas consecuentemente. Además, las empresas forenses suelen aportar una enorme experiencia, dado que responden a incidentes en multitud de sectores todos los días. Están en buena disposición, por tanto, para ofrecer información sobre cómo se ha desarrollado un incidente en particular, así como consejos sobre prácticas recomendadas en las respuestas futuras. Toda esa información debería incorporarse en cualquier evaluación a posteriori para seguir mejorando los planes de respuesta ante incidentes, los procesos y procedimientos.

Conclusión

Un incidente grave de seguridad cibernética puede ponerte ante uno de los peores días de tu vida profesional. No obstante, con la adecuada planificación y preparación, la organización podrá responder de forma eficaz y recuperarse de un incidente importante. Al hacerlo, habrá avanzado mucho a la hora de minimizar el impacto del incidente en la medida de lo posible e incluso marcará la diferencia entre un desastre organizativo y una meritoria historia de éxito.