Gestión de incidentes de seguridad
La gestión de incidentes de seguridad tiene como objetivo minimizar el impacto de forma rápida ante cualquier amenaza que vulnere la seguridad de la organización, por lo que se recomienda realizar un plan de gestión de incidentes que redunda positiva y directamente sobre los costes provocados por un incidente. Se recomienda que se apliquen políticas y planes de contingencia y continuidad, que permitan llevar a cabo una gestión integral de los incidentes de seguridad.
-
Definir la política de gestión de incidentes de seguridad
Contar con una política de gestión de incidentes es clave para garantizar la supervivencia de la organización ante los efectos negativos causados por un ataque de ciberseguridad. Es fundamental diseñar un plan que determine el alcance de las acciones a realizar en cuanto se detecte el incidente y la respuesta al mismo para mitigar al máximo su impacto.
Las siguientes políticas de seguridad proporcionarán las claves fundamentales que deben seguirse para gestionar, de forma exitosa, cualquier tipo de incidente de ciberseguridad, así como las recomendaciones necesarias para minimizar los riesgos de que se materialicen las amenazas.
Política de Respuesta a incidentes
a. Definición de tipos de incidentes entre los más comunes:
- incidentes no intencionados o involuntarios.
- Daños físicos.
- Incumplimiento o violación de requisitos y regulaciones legales.
- Fallos en las configuraciones.
- Denegación de servicio.
- Acceso no autorizado, espionaje y robo de información.
- Borrado o pérdida de información.
- Infección por código malicioso.
b. Plan de acción
Definir y ejecutar correctamente el plan y evitar que el daño se extienda, se deben detallar las acciones a realizar en cada momento, definiendo la lista de las personas involucradas y sus responsabilidades, los canales de comunicación oportunos, el equipo responsable, mejora continua, caducidad del plan de gestión, detección de incidente, evaluación del incidente, notificación del incidente, resolución, tratamiento, cumplimiento de la Ley de Protección de Datos. Tras un incidente y haber aplicado el plan de acción, permitirá tener información para conocer y valorar los riesgos existentes y así evitar incidentes similares en el futuro y al mismo tiempo aplicar el plan de contingencia y continuidad del negocio.
Política de concienciación y formación
Las nuevas tecnologías en las organizaciones hacen indispensable la concienciación sobre los riesgos asociados, así como formación en ciberseguridad con el objetivo que los empleados conozcan y apliquen buenas prácticas en el uso de todo tipo de dispositivos y soluciones tecnológicas, previniendo en lo posible incidentes.
-
Tipos de incidentes de seguridad
Entre los incidentes que pueden afectar al normal funcionamiento de una empresa destacan:
- Infecciones por código malicioso de sistemas, equipos de trabajo o dispositivos móviles. Este tipo de incidentes, en su mayoría iniciados a través de correo electrónico, páginas web comprometidas o maliciosas, SMS o redes sociales, también pueden provocar que los recursos infectados entren a formar parte de una botnet (conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática).
- Intrusiones o intentos de intrusión provocadas por explotación de vulnerabilidades, ataques mediante exploits y vulneración de credenciales, lo que conlleva el compromiso de cuentas con o sin privilegios de administrador y el compromiso de aplicaciones o servicios. Si el servicio comprometido es la página web, puede dar lugar a incidentes como una suplantación de identidad o distribución de malware, entre otros. Aquí también pueden incluirse incidentes de robo por acceso no autorizado a instalaciones físicas.
- Fallos de disponibilidad a través de ataques DoS (denegación de servicio) que pueden afectar a diferentes recursos de la organización (redes, servidores, equipos de trabajo, entre otros) e imposibilitar el normal funcionamiento de los mismos. Este tipo de incidentes incluyen también los provocados por sabotajes o ataques físicos a los recursos o infraestructuras, así como otro tipo de interrupciones de origen externo no intencionadas.
- Compromiso de la información como resultado del acceso no autorizado a la misma o de su modificación (por ejemplo, mediante cifrado por ransomware). Este tipo de incidentes incluyen además aquellos en los que el resultado es el borrado, pérdida o fuga de datos, y pueden estar provocados de forma intencionada (a través del robo o compromiso de credenciales) o por fallo de los dispositivos que los almacenan.
- Fraude provocado principalmente a través de la suplantación de entidades legítimas, con el objetivo de engañar a las personas usuarias para obtener un beneficio económico, o por ataques de phishing, para la obtención de credenciales privadas de acceso a medios de pago.
-
Pasos de la gestión de incidentes
La gestión de los incidentes conlleva la realización de una serie de pasos para ofrecer una respuesta adecuada a cada tipo de incidente, para contener y minimizar sus posibles efectos en la organización.
- Preparación: donde se reúnen las herramientas necesarias para el tratamiento del incidente (antimalware, comprobadores de integridad de ficheros o dispositivos, escáneres de vulnerabilidades, análisis de logs, sistemas de recuperación y backup, análisis forense, entre otros).
- Identificación: donde se detecta el incidente, se determina el alcance y se conforma una solución. Esta fase engloba a los responsables del negocio, operaciones y comunicación (contactos con soportes técnicos, CERT, peritos forenses, policía o asesores legales si fueran necesarios).
- Contención: impidiendo que el incidente se extienda a otros recursos. Como consecuencia, se minimizará su impacto: separando equipos de la red afectada, deshabilitando cuentas comprometidas, cambiando contraseñas.
- Mitigación: donde se procede a la eliminación de los elementos comprometidos, - en caso de ser necesario y posible -, y reinstalación de sistemas afectados o respaldos (backups). En cualquier caso, las medidas de mitigación dependerán del tipo de incidente.
- Recuperación: donde se intenta devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad.
- Recapitulación: donde se documentan los detalles del incidente. Para ello, se archivarán los datos recogidos y se debatirán las lecciones aprendidas. Se informará a los empleados y se les enseñarán las recomendaciones dirigidas a prevenir situaciones de riesgo futuras.
-
Medidas preventivas adicionales
Además de las medidas recogidas en la política de gestión de incidentes, se pueden aplicar otras medidas adicionales con carácter preventivo:
- La contratación de una póliza que tenga cobertura frente a incidentes de ciberseguridad. Las aseguradoras, para realizar el cálculo de la póliza, obligan a llevar a cabo una auditoría por parte de terceros, y gracias a esto, las empresas pueden adoptar mejores medidas de seguridad, contribuyendo así a mejorar la ciberseguridad de la organización.
- Los acuerdos de nivel de servicio, también conocidos como SLA (acrónimo en inglés de Service Level Agreement), permiten a una organización que contrate un servicio externo con garantías. En estos acuerdos, entre otros aspectos, se deben incluir las características del servicio, las garantías y las medidas de seguridad exigibles al proveedor en materia de disponibilidad.
- Plan Director de Seguridad, en el que se especificarán las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de seguridad de la organización en el mundo digital.
-
Plan de Contingencia y Continuidad
Como la seguridad al 100% no existe, es conveniente que las organizaciones estén preparadas para proteger su actividad y reaccionen de forma adecuada ante los posibles incidentes de seguridad. Por ello, es importante que dispongan de planes de contingencia y continuidad de negocio que les permitan dar una respuesta rápida y eficaz ante cualquier incidente, pudiendo recuperar la actividad en un breve plazo de tiempo.
Desarrollar dicho plan proporcionará a largo plazo una considerable mejora en la imagen y reputación de la organización, además de minimizar los efectos económicos del incidente y evitando, de esta manera, que la propia supervivencia de la organización se vea amenazada.
https://www.incibe.es/protege-tu-empresa/tematicas/gestion-incidentes-seguridad