Respuesta a incidentes de Ciberseguridad rberny 2023

Respuesta a Incidentes de Ciberseguridad

La actividad de incidentes que no se controla adecuadamente puede convertirse en un problema mayor y, en última instancia, conducir a filtraciones de datos, altos costos o interrupciones del sistema, tengamos presente que, al responder rápidamente a los incidentes, las organizaciones pueden minimizar las pérdidas, mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y mitigar el riesgo de futuros incidentes.

En los últimos meses, hemos incursionado en lo que es la ciberseguridad, tipos de amenazas, tendencias, y algunas de las mejores prácticas, así como ver ejemplos y referencias técnicas de eventos ocurridos en años pasados.

Bueno, la mejor práctica nos indica tener un plan, una estrategia a seguir en caso de que alguna vulnerabilidad sea aprovechada, no obstante, y consciente de ello sé que no siempre es una tarea fácil, sin embargo, personalmente recomiendo el prevenir y estas directrices nos apoyan en esta tarea.

De acuerdo a ello, un plan de respuesta a incidentes de seguridad cibernética (CSIRP) es la guía durante el torbellino emocional que sigue a un ataque cibernético, así es puede ser o muy transparente o muy caótico en su desarrollo afectando nuestros recursos informáticos.

Un plan de respuesta a incidentes de ciberseguridad (CSIRP), ayuda a los equipos de seguridad a minimizar el impacto de las amenazas cibernéticas activas y a perfilar estrategias de mitigación para evitar que vuelvan a ocurrir los mismos tipos de incidentes.

No es extraño, sin embargo, hay que tenerlos mucho en cuenta, a medida que aumenta la complejidad de los ciberataques, también deberían hacerlo las estrategias que los previenen, desafortunadamente, muchas empresas confían en planes de respuesta a incidentes obsoletos que son incapaces de abordar las tácticas de ataque cibernético avanzadas de la actualidad.

Para aumentar sus posibilidades de sobrevivir a tu próximo incidente de ciberseguridad, en este artículo describiré el proceso de creación de un Plan de respuesta a incidentes de ciberseguridad, basado en la sugerencia de dos autoridades líderes en respuesta a incidentes:

            NIST                           Instituto Nacional de Estándares y Tecnología

            SANS Institute            Instituto de Auditoría, Redes y Seguridad SysAdmin

Vamos a iniciar con algo sencillo, encontremos la diferencia entre:

  • Un plan de respuesta a incidentes de ciberseguridad (IRP).
  • Un plan de recuperación ante desastres.
  • Un plan de continuidad del negocio.

Un plan de respuesta a incidentes de ciberseguridad ayuda a los equipos de seguridad a abordar incidentes cibernéticos activos.

Un plan de continuidad del negocio mantiene las operaciones comerciales en funcionamiento durante cualquier interrupción, esto podría incluir cualquier incidente relacionado con:

  • Finanzas
  • Gente
  • Cumplimiento
  • La seguridad cibernética
  • Desastres naturales

Los planes de recuperación ante desastres describen un camino de regreso a las operaciones normales después de un incidente importante.

Tengan presente que este tipo de incidentes no se limitan a ciberataques y pueden incluir cualquiera de los eventos de la lista anterior, ya sea sin intención o con toda la alevosía de haber entrado en nuestros sistemas.

Algunos incidentes se pueden abordar por completo con solo un Plan de respuesta a incidentes, sin embargo, los más sofisticados requieren un esfuerzo concertado entre múltiples instancias no únicamente de la empresa, terceros y entidades gubernamentales.

Un ejemplo de un incidente cibernético que solo requiere un plan de respuesta a incidentes es un correo electrónico de phishing al que los miembros del equipo no respondieron, dado que no existe la amenaza de una inyección de malware o una brecha de seguridad, no hay riesgo de interrupción del negocio; por lo tanto, no es necesario apelar a planes de respuesta diseñados para revertir las interrupciones del negocio, sin embargo, esto solo se logra previniendo y como siempre les recomiendo, hay que capacitar a los usuarios finales.

Dicho esto, tenemos que los Incidents Response Platform (IRP), describen los procedimientos de respuesta a incidentes para amenazas cibernéticas que conducen al compromiso de datos confidenciales.

Como podemos visualizar estos tres planes se entrelazan en la respuesta para ayudar a los miembros del equipo de respuesta a incidentes a comprender cómo abordar las infracciones de gravedad creciente, así como su nivel de impacto.

Recordemos una cosa, debido a que los ataques de Ransomware están diseñados específicamente para interrumpir las operaciones comerciales, estos eventos requerirán más que solo plan de respuesta a incidentes, hay que tomar acciones de acuerdo a los síntomas que ayuden al Personal de TI a aislar los sistemas afectados y evitar daños mayores.

Un plan de continuidad del negocio ayudará a que la empresa vuelva a funcionar para cumplir con las expectativas mínimas de los contratos SLA, y un plan de recuperación ante desastres ayudará a que la empresa vuelva a su estado operativo original antes del ataque, también acordado previamente.

Aquí hay un breve desglose de cada plan de respuesta para resaltar aún más sus diferencias:

Planes de respuesta a incidentes:

  • Describe un criterio de escalamiento para diferentes amenazas cibernéticas.
  • Mapee los impactos potenciales en la seguridad de la información a los estándares y regulaciones relevantes de la industria.
  • Describa los procedimientos de remediación para mantener el cumplimiento con los estándares y regulaciones de la industria.
  • Describa las funciones y responsabilidades de respuesta de seguridad en todos los departamentos.
  • Describir los planes de comunicación para mantener informadas a las partes interesadas durante los procesos de manejo de incidentes.
  • Describa los planes de comunicación para informar a las víctimas de violaciones de seguridad cuando su información de identificación personal (PII, por sus siglas en inglés) se vea comprometida.
  • Describa los planes de comunicación para informar a las autoridades/organismos reguladores pertinentes sobre la brecha de seguridad dentro del marco de tiempo regulado, esto puede variar según la jurisdicción en la que opere y quién se vea afectado.
  • Defina los roles y responsabilidades en cada proceso de respuesta a incidentes.
  • Se incluyeron estrategias de medición para probar la efectividad de las respuestas de remediación.
  • Incluya la mejor herramienta de comunicación e información de contacto actualizada para el equipo de respuesta de seguridad.

Planes de Continuidad de Negocios:

  • Identificar las funciones críticas del negocio y cuál es su plan de continuidad y recuperación.
  • Apoyar la disponibilidad de las operaciones comerciales críticas.
  • Resuma el análisis de impacto comercial (BIA) para determinar las respuestas de remediación apropiadas
  • Esbozar un plan de acción para volver a la normalidad.
  • Trate de minimizar la interrupción de las tareas diarias.
  • Apuntar a devolver rápidamente los servicios a los clientes y usuarios.
  • Describir los procedimientos de seguridad de las personas.
  • Indique la información de contacto de las autoridades locales.
  • Incluya plantillas de comunicación relevantes.

Planes de recuperación ante desastres:

  • Describir la implementación y activación de sistemas de respaldo de datos.
  • Describa un cronograma de auditoría regular para probar la integridad de estos sistemas de respaldo de datos.
  • Determine si habrá tiempo de inactividad e impactos en los SLA para los clientes.
  • Describa qué tipo de configuración de recuperación ante desastres se requiere: sitio de recuperación caliente, tibio o frío.

Existen superposiciones obvias entre los procesos de cada estrategia de respuesta porque cada plan de respuesta se asigna al mismo objetivo de seguridad general:

Minimizar el impacto de todos los riesgos de seguridad.

El nivel de riesgo aceptable o tolerancia al riesgo que rige cada uno de estos planes se describe en la Declaración de gestión de riesgos empresariales de una organización.

¿Es obligatorio un plan de respuesta a incidentes de ciberseguridad?

Por ejemplo, en los Estados Unidos tienen leyes de notificación de infracciones que requieren que las empresas privadas y, en algunos casos, las entidades gubernamentales notifiquen a las víctimas de infracciones de seguridad cuando su información de identificación personal se ve comprometida.

En México la Ley Federal de Protección de datos personales en posesión de los particulares, su reglamento, asi como el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, la seguridad digital de los titulares en México, Ley que Regula el Uso de Tecnologías de la Información y Comunicación para la Seguridad Pública del Estado de México, Ley federal del derecho de autor, Ley federal de la propiedad industrial (LFPI), entre otras.

Pues bien, un plan de respuesta a incidentes de seguridad cibernética debe describir el protocolo de notificación para tales eventos, lo que hace que el documento sea una necesidad crítica para cumplir con las leyes del país o región, según se requiera.

La respuesta a incidentes es el proceso de lidiar con una violación de datos o un ataque cibernético, incluida la forma en que una organización intenta controlar las consecuencias de dicho incidente, porque el objetivo principal es administrar incidentes de manera efectiva para minimizar el daño a los sistemas y datos, reducir el tiempo y el costo de recuperación y controlar el daño a la reputación de la marca.

Las organizaciones deben implementar un plan claro de respuesta a incidentes, este plan debe indicar lo que constituye un incidente de seguridad y describir un proceso sencillo que los equipos pueden seguir cuando ocurre un incidente.

Algo que puede resultar obvio más no inútil es que las organizaciones designen un equipo, empleado o líder responsable de administrar la iniciativa general de respuesta a incidentes y ejecutar el plan, en una organización más grande, este equipo se denomina Equipo de respuesta a incidentes de seguridad informática (CSIRT).

Resumiendo:

La actividad de incidentes que no se controla adecuadamente puede convertirse en un problema mayor y, en última instancia, conducir a filtraciones de datos, altos costos o interrupciones del sistema, tengamos presente que, al responder rápidamente a los incidentes, las organizaciones pueden minimizar las pérdidas, mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y mitigar el riesgo de futuros incidentes.

La respuesta a incidentes permite a las organizaciones hacer lo siguiente:

  • Prepárate para lo conocido y lo desconocido
  • Identificar inmediatamente los incidentes de seguridad
  • Establezca las mejores prácticas para bloquear las intrusiones antes de que causen daños

En mi sitio web describiré las fases de un plan de respuesta, con gráficos y las mejores prácticas, está disponible a partir del 13 de febrero, en la sección de Ciberseguridad, agradeceré su visita y sus comentarios, este artículo es una introducción al tema.

Saludos,

Firma-RBGM-2023-B
Firma-RBGM-2023-B

AGPD – Reglamento General de protección de datos
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.phpREFERENCIAS

BID. (2020). Estado de preparación en ciberseguridad del sector eléctrico en américa latina.
Consejo Nacional de Operación. (16 de 09 de 2020). Guía de Ciberseguridad Acuerdo 1347.
Obtenido de https://www.cno.org.co/content/acuerdo-1241-por-el-cual-se-aprueba-laactualizacion-de-la-guia-de-ciberseguridad

Deloitte. (12 de 2020). Deloitte. Obtenido de Deloitte:
https://www2.deloitte.com/content/dam/Deloitte/cl/Documents/risk/cyber/clciberseguridad-en-el-sector-electrico-diciembre-2020.pdf

ESET. (15 de junio de 2016). welivesecurity. Obtenido de El troyano BlackEnergy ataca a una
planta de energía eléctrica en Ucrania: https://www.welivesecurity.com/laes/2016/01/05/troyano-blackenergy-ataca-planta-energia-electrica-ucrania/

Kaspersky. (2016). Centros de operaciones de seguridad con tecnología Kaspersky Lab.
Obtenido de https://media.kaspersky.com/es-xl/SOC-Powered-by-KL-LATAM.pdf

NERC. (2020). North American Electric Reliability Corporation. Obtenido de
https://www.nerc.com/pa/Stand/Pages/default.aspx

NIST-800-61r2. (2012). Guía de gestión de incidentes de seguridad informática.
NIST-800-82r2. (2015). Guide to Industrial Control Systems (ICS) Security, Publication 800-82.
Washington State University.

NIST-CSF. (2018). Marco para la mejora de la seguridad cibernética en infraestructuras críticas.
OEA. (2020). Ciberseguridad Marco NIST.
XM. (2015). Descripcion del sistema electrico colombiano. Obtenido de
https://www.xm.com.co/Paginas/Mercado-de-energia/descripcion-del-sistema-electricocolombiano.aspx

Views: 38

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.