Tres pautas para elaborar un buen plan de acción ante incidentes cibernéticos
Nunca antes ha sido tan evidente la necesidad de que las organizaciones se preparen ante posibles crisis como tras la pandemia de COVID-19. Las organizaciones se están orientando hacia el trabajo remoto, que seguramente ha venido para quedarse, y la planificación de la respuesta ante incidentes debería adaptarse a esta nueva realidad. |
Fuente: INESE Noticias |
Eso significa también tener en cuenta los nuevos riesgos que trae consigo. Para cualquier organización, un incidente importante relacionado con la seguridad cibernética representa una auténtica crisis. Las organizaciones previsoras deberían prepararse adecuadamente al respecto. Se han desarrollado multitud de pautas para guiar a las organizaciones durante esta planificación, incluidas las detalladas por los centros estadounidenses NIST (Instituto Nacional de Normas y Tecnología), SANS (Administración de Sistemas, Auditoría, Redes y Seguridad) y CERT (Equipo de Eespuesta de Emergencia Comunitaria). No obstante, estas pautas son parecidas en lo esencial. El marco de trabajo del NIST nos resulta especialmente sencillo de aplicar y articula de forma clara todas las fases del plan de respuesta ante incidentes. A continuación, desglosamos el ciclo de vida del plan de respuesta ante incidentes según el marco de trabajo del NIST. Seguiremos estos pasos para debatir el plan de respuesta ante incidentes y mostrar cómo la prevención diseñada con mucha antelación, antes de que se produzca un incidente, puede marcar la diferencia entre un desastre en la organización y una reacción metódica que ponga orden en el caos. 1. Preparación1.1 Aspectos fundamentales En muchos casos, la fortuna favorece más a los bien preparados que a los valientes. Es inevitable que llegue el momento en el que se materialice un riesgo y ocurra un incidente cibernético. La prevención representa los cimientos sobre los que descansa cualquier proceso de respuesta en el futuro. En esta fase, el enfoque sobre la ciberseguridad debe basarse en los riesgos y debes invertir el tiempo necesario en:
Una vez que hayas definido los riesgos y se hayan identificado los activos críticos, tendrás que implementar un plan practicable que dote a tus equipos de la capacidad necesaria para gestionar incidentes en caso de que ocurran. Un incidente cibernético importante representa un desafío concreto. Suele ser una experiencia difícil, estresante y caótica para los equipos internos implicados, en los que suelen concurrir distintas partes involucradas, tanto internas como externas. El peor momento para la planificación ante un incidente es en mitad de uno. Sin embargo, un plan de respuesta ante incidentes, si se entrena y se ensaya con regularidad, permitirá que el equipo retenga en su memoria parte del flujo de respuestas. Eso les permitirá ordenar más eficazmente el caos de cualquier respuesta. Aunque el formato específico del plan es variable, debería:
1.2 Concienciación Disponer de un plan de respuesta bien diseñado es esencial, pero no tiene valor para una organización salvo que se comparta por quienes probablemente van a verse implicados. Cómo compartir los planes de respuesta ante incidentes pueden variar. En el caso de los equipos técnicos, que conformarán el núcleo del proceso de respuesta, sin duda habrá que incluir las sesiones de preguntas y respuestas, además de los simulacros basados en escenarios. En el caso de los equipos de liderazgo, materiales de referencia rápida donde se señalen los roles, responsabilidades y medidas esperadas pueden ser de un valor incalculable en la preparación de su respuesta ante incidentes. 1.3 La práctica hace al maestro (¡hay que ensayar!) Para extraer el máximo valor del plan es necesario ensayarlo periódicamente y actualizarlo con mejoras constantes. Una vez completada la formación, el plan debe ponerse a prueba en algún tipo de ejercicio teórico. En el caso de los planes desarrollados recientemente puede tratarse de sesiones menos intensas; por ejemplo, repasar el plan contrastándolo con distintos escenarios y comprobar que sea exhaustivo y fluido. En el caso de los programas más maduros, puede desarrollarse un ejercicio más intenso. Aquí habrá que probar la toma de decisiones, el conocimiento y la comunicación en el equipo de respuesta con una serie de «acontecimientos» que modifiquen la situación conforme se desarrolla. Cualquiera de estos enfoques puede mejorar aprovechando la experiencia de terceros que diseñen y gestionen el ejercicio. Un tercero puede aportar experiencia adicional en cuanto al realismo del escenario y permitir que participen más miembros del equipo, en lugar de tener que preparar la sesión. Las pruebas funcionales de las soluciones tecnológicas que permiten dar una respuesta eficiente, como la restauración de copias de seguridad, son igualmente prioritarias. Pueden adoptar el formato de ensayos de interrupción en paralelo: se configura y se prueba un segundo conjunto de infraestructuras, de modo que no se interrumpan las operaciones diarias de la organización. En el caso del ensayo de interrupción completa, se pone a prueba toda la infraestructura real de la organización. Por su naturaleza, los ensayos de interrupción completa perturban en mayor medida las operaciones, pero ofrecen la información más útil sobre los planes de restauración. 2. Detención y análisis2.1 Métodos de detección En la fase de detección se usan controles de seguridad técnicos o administrativos para detectar actividades malintencionadas en el entorno. A continuación, se detallan algunas de las medidas habituales en esta fase.
2.2 Procesos de alerta Disponer de un plan de respuesta ante incidentes adecuado, unido a un personal bien formado, aumenta enormemente la posibilidad de que, cuando los equipos detecten actividades malintencionadas, sepan reconocerlas, intervenir de forma adecuada y alertar al resto de la organización cuando sea necesario. En tales casos, el personal podrá seguir procesos documentados para determinar la gravedad del incidente, qué equipos deben involucrarse y a qué terceros se debe avisar. Por ejemplo, una alerta de los servicios de supervisión donde se señale que se está produciendo un incidente de “ransomware” puede provocar el pánico. No obstante, si se tiene un equipo bien instruido sobre cómo implementar el plan de respuesta, aumenta la probabilidad de que se deje a un lado el pánico y se tomen las decisiones adecuadas. Todo son ventajas para la organización si es capaz de empezar a trabajar en el problema con los pasos desarrollados en los momentos de calma. Disponer de terceros colaboradores, como Breach Coaches o empresas forenses de Cyber, puede ofrecer información adicional y aprendizajes para el futuro.
3. Contención, erradicación y recuperación
Como se puede ver en este flujo de respuestas dentro del marco de trabajo NIST, de la detección se pasa a la contención, la erradicación y la recuperación, teniendo en cuenta que cada paso puede repetirse varias veces en un determinado incidente. Se trata de dar cuenta del hecho de que, conforme se aplica el proceso de respuesta, es probable que surjan nuevos problemas que haya que detectar y afrontar. Pensemos en el incidente con “ransomware” mencionado anteriormente. Para nuestro ejemplo, imaginemos que todo está en marcha: la detección inicial de la infección, la contención de su propagación, los esfuerzos para erradicar el propio “ransomware” y la recuperación a partir de copias de seguridad. Mientras todo esto ocurre, la investigación forense podría sacar a la luz que el atacante sigue teniendo acceso a otros sistemas. Eso representa una nueva detección que requiere que el proceso comience de nuevo. Sin una planificación previa, este nuevo hilo de respuestas puede perderse entre los detalles de las acciones que ya están en marcha, lo que provocará medidas equivocadas y futuros dolores de cabeza. Durante esta fase, la notificación y la comunicación son primordiales. Con unos métodos y un ritmo de comunicaciones ya conocidos y definidos en el plan de respuesta ante incidentes, los líderes y otras partes implicadas pueden estar siempre al tanto de la situación. Eso les permitirá tomar decisiones informadas, perturbando lo mínimo al equipo operativo que se encarga de llevar a cabo la respuesta. Actividad tras el incidente Una vez que se ha completado la recuperación en toda la organización, uno puede estar tentado de, sencillamente, olvidar el incidente. Sin embargo, hacerlo perjudicaría al crecimiento de tu organización y a tu preparación para afrontar incidentes similares en el futuro. Comprender la causa del incidente, revisar cómo puede mejorar tu programa e implementar estas mejoras constituye un circuito de retroalimentación esencial. Este circuito de retroalimentación debe quedar formalizado en el plan de respuesta ante incidentes. Disponer de terceros colaboradores puede ofrecer información adicional y aprendizajes para el futuro. Los conocimientos legales que ofrecen los Breach Coaches pueden ayudarte a comprender mejor el entorno legal en el que opera tu organización, para adaptar sus prácticas consecuentemente. Además, las empresas forenses suelen aportar una enorme experiencia, dado que responden a incidentes en multitud de sectores todos los días. Están en buena disposición, por tanto, para ofrecer información sobre cómo se ha desarrollado un incidente en particular, así como consejos sobre prácticas recomendadas en las respuestas futuras. Toda esa información debería incorporarse en cualquier evaluación a posteriori para seguir mejorando los planes de respuesta ante incidentes, los procesos y procedimientos. ConclusiónUn incidente grave de seguridad cibernética puede ponerte ante uno de los peores días de tu vida profesional. No obstante, con la adecuada planificación y preparación, la organización podrá responder de forma eficaz y recuperarse de un incidente importante. Al hacerlo, habrá avanzado mucho a la hora de minimizar el impacto del incidente en la medida de lo posible e incluso marcará la diferencia entre un desastre organizativo y una meritoria historia de éxito. |