Administración de Incidentes
Por Mauricio Arreola.
Cuando escuchamos pláticas de Ciberseguridad, los que tenemos formación en el área de las TIC nos encanta que nos hablen de la parte técnica: Malware, Análisis forense, Criptografía, Cuidado de sistema operativos y equipos virtualizados, Protección de vulnerabilidades, Esquemas de autenticación, Programación segura, Seguridad en la Web o móviles, Seguridad de la red, infraestructura, hardware, IoT.
Pero hay algunos otros temas como la administración del riesgo, leyes y regulaciones, privacidad de los datos y administración de incidentes, cosas que nos gustaría dejar de lado. Desafortunadamente para los que somo muy técnicos, debemos entender que el tema de la Ciberseguridad se debe tratar de forma integral.
Y precisamente aterrizando uno de estos temas no tan técnicos, quiero centrarme en los incidentes de seguridad de la información, ya que se han convertido en un tema muy importante de los programas de seguridad, debido a que los ataques relacionados con la ciberseguridad se han vuelto no solo más numerosos y diversos, sino también más dañinos y disruptivos.
Algo importante a mencionar es que las actividades preventivas basadas en los resultados de las evaluaciones de riesgos pueden reducir el número de incidentes, pero no todos los incidentes pueden prevenirse. Por lo tanto, se requiere una capacidad de respuesta a incidentes que permita detectarlos rápidamente con el fin de minimizar la pérdida e impacto, resolver las debilidades que se explotaron y restaurar los servicios de TI lo antes posible. Esto es lo que al final da importancia al manejo de incidentes, en particular porque genera la materia prima para poder analizar los datos relacionados con incidentes y determinar la respuesta adecuada a cada uno de ellos.
Para que esto funcione, se deben de establecer procedimientos claros para priorizar el manejo de incidentes, al igual que implementar métodos efectivos para la recopilación, análisis y reporte de los resultados de estos hallazgos.
También es vital establecer relaciones y establecer medios adecuados de comunicación con otros grupos internos (por ejemplo, recursos humanos, legales) y con grupos externos (incluso con las autoridades en caso de ser requerido).
Afortunadamente, existen diferentes formas de implementar un proceso para atender estos incidentes, desde algo tan genérico como lo definido por CMMI-SVC, un sabor a infraestructura como lo que proponer ITIL o quizá lo más ad-hoc como el Incident Handling Guide del NIST. No es que uno sea mejor que otro, cada uno tiene diferentes visiones y se ajusta por ende a diferentes necesidades.
Independiente del que pudieras elegir (porque hay más) en cualquier de ellos requerirás:
· Definir una política y un plan de respuesta a incidentes
· Desarrollar procedimientos para la administrar los incidentes y presentación de informes
· Establecer la manera en que te comunicarás con terceros con respecto a ciertos incidentes
Y estos son solo algunos de los puntos a tomar en cuenta.
¡Lo sé! No es tan divertido como instalar una VPN, configurar una VLAN u organizar las políticas… del Active Directory, pero es algo que definitivamente agrega valor y debemos hacer.
