La importancia de un equipo preparado y con experiencia para la detección y respuesta a incidentes

En materia de ciberseguridad, no podemos suponer que saber operar las diversas herramientas que componen nuestra arquitectura de seguridad será una tarea sencilla y que es suficiente para hacer frente a los retos que afrontan las organizaciones hoy en día. No basta solo con tomar un curso para aprender a operar nuestro firewall o la herramienta de protección para dispositivos finales que adquirimos recientemente, por mencionar dos ejemplos. 

La preparación de nuestro equipo es muy importante, pero es necesario habilitarlo con las herramientas de seguridad necesarias para el análisis, visibilidad y contexto de nuestra infraestructura y aplicaciones. No es posible proteger lo que no se puede ver. 

El infortunio para este tipo de decisiones sobresale con la inexperiencia que el área operativa pudiera mostrar al momento de dar respuesta a un incidente de manera rápida y eficiente. Es en este punto donde nos llegan a surgir interrogantes como:  

• ¿Qué necesita mi equipo para tomar decisiones más inteligentes cuando hace frente a un ciberataque?  
• ¿Cómo puedo desarrollar las habilidades de mis recursos para garantizar una mejor respuesta a un incidente? 
• ¿Cómo identifico los puntos de fallo de mi equipo para abordarlos de manera efectiva?  

Todas las empresas se enfrentan a un amplio panorama de amenazas; de acuerdo con el tipo de sector al que pertenezcan se tornan más complejas y las tasas de ataque son muy diferentes, por ello la dificultad de encontrar los recursos con la experiencia necesaria en temas de ciberseguridad y respuesta a incidentes. Aunado a la experiencia, sumaría la capacidad de inteligencia y análisis de amenazas. 

En el mercado existen diversos socios de negocio que pueden auxiliar en los esfuerzos de la compañía para asegurar los activos, los datos críticos o las llamadas “joyas de la corona”. Sin embargo, muchas veces la elección del proveedor se basa en el costo y no en la experiencia o ventajas que pudiera brindar un equipo robusto, experimentado, o la gran cantidad de información de ciberinteligencia que pudiera estar generando. 

La figura de un auditor financiero es muy relevante, ya que es quien hace el cálculo de los riesgos por daños o pérdidas de la organización a causa de un ciberataque; una figura notable para la justificación de la inversión en el recurso humano, servicios y soluciones tecnológicas. 

No hay una cifra de presupuesto establecida para el entrenamiento y desarrollo del personal y, aunque no debería limitarse, debe alinearse a los objetivos generales de la empresa; es necesario que las organizaciones calculen los gastos que implicará adquirir o renovar tecnologías, capacitación del equipo, simulacros de respuesta a un ataque, entre otros. 

• La seguridad debe ser vista como una inversión, no como un gasto.   – 

¿Cómo enfrentar este reto? 

Desarrollar un enfoque adecuado e integral para el personal, procesos e incluso las herramientas tecnológicas con que se cuenta, suele ser muy complicado; definir la estrategia sobre cómo mitigar los riesgos a los que se enfrenta el negocio es bastante complejo y requiere de años de experiencia. 

Por lo tanto, es crucial seleccionar al personal idóneo y justificar el apoyo de un equipo de profesionales expertos en la materia, que puedan realmente comprender cómo funciona el negocio y brinden la confianza que la organización necesita para enfrentarse al mundo interconectado. 

Es vital entender que no contar con la experiencia o un equipo preparado se refleja en nuestra capacidad para identificar un ataque en la red, lo cual puede llevarnos semanas e incluso meses; además del tiempo que emplearemos en la contención y erradicación total del ataque. A pesar de todas las medidas que pudieran ser elementales, la dificultad se presenta al elaborar y madurar nuestro propio proceso de respuesta a incidentes de seguridad. 

Cuando se busca personal adecuado para dar respuesta a incidentes, deben evaluarse fuertemente los factores de experiencia y conocimiento sobre el proceso. 

La consultoría de ciberseguridad que los proveedores brindan ayuda a diseñar una postura predictiva ante las crecientes amenazas, además de proveer un servicio automatizado y documentado de respuesta a incidentes con políticas, controles, metodologías y estándares de la industria.  

El proceso de respuesta a incidentes contiene procesos, procedimientos, acciones y medidas para reaccionar ante un incidente de seguridad. El SANS Institute (SysAdmin Audit, Networking and Security Institute) refiere que el proceso de respuesta a incidentes debe estructurarse de la siguiente forma: 

1.Preparación

Antes de enfrentarse a una situación tan complicada, habrá que formar al personal que dará respuesta a los incidentes, es decir, crear un equipo de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés), esto incluye auditar los recursos y activos para definir cuáles serán los criterios de la atención a un incidente de seguridad, establecer las reglas, procedimientos y políticas, así como evaluar los riesgos a los que están expuestos los activos críticos y confidenciales. 

2. Identificación 

Para identificar un incidente es necesario mantener un monitoreo continuo sobre los sistemas para detectarlo a tiempo y, por supuesto, validar si se trata realmente de un incidente de acuerdo con el funcionamiento del negocio o marcarlo como un falso positivo. Para ello se requiere reunir evidencia y tipificar el incidente con el objetivo de establecer la gravedad y, sobre todo, documentar cada punto sin omisiones. 

3. Contención 

La contención debe ser rápida, posiblemente aislando el segmento de red o el equipo que se encuentra bajo ataque, buscando detener el ataque o reducir el daño; posteriormente será posible aplicar algunos cambios de manera temporal para permitir la continuidad del negocio mientras se realizan los trabajos para la completa eliminación del incidente de seguridad. 

4. Erradicación 

Se busca la mitigación del malware involucrado en los sistemas y la identificación de la causa raíz (cómo se concretó el ataque), así como cerrar y eliminar todos los vectores de ataque; de esta forma será factible tomar medidas para prevenir ataques en el futuro. 

5. Recuperación 

Es la etapa en la que se levantan nuevamente los servicios y se ponen en producción, mientras se siguen monitoreando los servicios afectados, con el fin de asegurarse de no permitir ataques adicionales y que todo vuelva a la normalidad. 

6. Lecciones aprendidas 

Por último, después de un periodo de tiempo, que pudieran ser dos semanas, se realiza una retrospectiva de lo que aconteció en el incidente de seguridad; se elabora un informe con el detalle, las investigaciones y acciones que se ejercieron durante el evento. De esta forma es posible identificar cómo mejorar el proceso o dónde se requiere hacer algún cambio. 

Después de haber sufrido algún ataque, cual sea, la información ya fue expuesta, el ataque fue noticia y la reputación se vio dañada; sin embargo, el alcance que sigue teniéndose para un análisis posterior profundo es muy, muy reducido y me atrevería a decir NULO.  

Hacer ciberinteligencia no es solo recabar información sobre las amenazas del sector al que pertenecemos o validar las tendencias de los ataques o campañas que están dando en las noticias; conlleva un esfuerzo mucho más elaborado, con una planeación, una contextualización y colección de datos de fuentes de lo que únicamente se tiene una idea por las películas de ficción. Con esta documentación y análisis podríamos ayudar grandemente a prevenir un ataque a nuestra organización.  

Si bien el esfuerzo puede ser en casa, es necesario considerar una inversión en herramientas y personal que llevará a cabo la contextualización e investigaciones; también, algunos proveedores ofrecen la ventaja de contar con visibilidad mediante las alianzas con entidades de ciberinteligencia, por ejemplo, la Cyber Threat Alliance. Estas alianzas proveen un amplio panorama de las amenazas más relevantes del mundo, lo cual aumenta la calidad en los servicios y generación de contenido que contribuye a la estrategia del negocio para robustecer la postura y también para prepararse ante los ciberatacantes.  

Las habilidades en ciberseguridad son escasas, lo que ocasiona una dificultad para encontrar y mantener en el equipo a personas adecuadas para hacer frente a los desafíos de los ciberataques. Hoy en día resulta fundamental contar con amplia visibilidad y control sobre las amenazas a las que se enfrentan las compañías, por lo que enfocarse a resolver cada problemática puede demorar tanto como las capacidades del equipo lo permitan. 

El costo de un incidente de seguridad es la suma total de las pérdidas directas e indirectas posteriores a la recuperación de los sistemas. Las pérdidas pueden ser: infraestructura dañada desde ruteadores hasta bases de datos, información sensible de la organización o de su personal, credibilidad del negocio y pérdidas materiales en algunos casos, además de las consecuencias monetarias con las entidades regulatorias y de cumplimiento. 

¿Cuánto estás dispuesto a perder a causa de un ciberataque? 

[email protected] 

Referencias: 

https://www.sans.org/reading-room/whitepapers/incident/incident-response-zero-trust-world-39445