Antes de iniciar entendamos la diferencia entre un evento y un incidente ya que suelen confundirse, distinguirlos es de suma importancia debido a que los dos términos se utilizan a menudo como sinónimos, a pesar de que tiene diferentes significados.
Un evento es cualquier ocurrencia observable en un sistema o red de información que indica una posible violación de la seguridad de la información. por ejemplo, un ataque de piratas informáticos fallido.
Un incidente indica una posible violación de la seguridad de la información. es un evento único o una serie de eventos no deseados o inesperados que pueden comprometer la confidencialidad, integridad o disponibilidad de la información. por ejemplo, un ataque de piratas informáticos exitoso.
En resumen, un evento es cualquier cambio, error o interrupción dentro de una infraestructura de TI como un fallo del sistema, un error de disco o un usuario que olvido su contraseña; en cambio un incidente puede ser “el intento o éxito en el acceso no autorizado, uso, revelación, modificación o perdida de información o la interferencia con las operaciones de red o de sistemas”.
No podemos olvidarnos de un concepto clave dentro de este tema – las Debilidades: se considera que la debilidad es una falla o punto débil en el sistema de información y los servicios de la empresa. Por ejemplo, controles inadecuados para detener los ataques de piratas informáticos.
La importancia de gestionar las debilidades y los eventos de seguridad de la información es evitar que ocurran incidentes. Si las empresas se enteran antes de que tiene controles inadecuados para detener los ataques de piratas informáticos, entonces puede implementar controles adicionales para disminuir la posibilidad de un ataque exitoso. Además, los eventos deben evaluarse para decidir si deben clasificarse como incidentes y si se requieren algunas acciones para hacer frente a esos eventos.
Gestión de incidentes no es más que la definición y documentación de responsabilidades y procedimientos para una respuesta rápida y eficaz a los incidentes de seguridad.
La falta de procedimientos de respuesta a incidentes puede crear un gran problema cuando se le presenten amenazas criticas. Por ende, las empresas deben plantearse objetivos para disminuir el número de incidentes de seguridad de la información forjarse una meta medible y un marco de tiempo para este cumplimiento. Para asegurar el cumplimiento de los objetivos, las empresas deben planificar cómo lograrlos: asignando una persona responsable, asignando recursos, definiendo el plazo de cumplimiento y otros detalles relevantes.
Básicamente cada empresa debe contar con dos equipos:
- IMT: Equipo de Gestión de incidentes (Incident Management Team)
- IRT: Equipo de Respuesta a incidentes (Incident Response Team)
Equipo de Gestión de incidentes
El Anexo A de la ISO 27001 – A.16 Gestión de incidentes de seguridad de la información describe los controles para la gestión de incidentes de seguridad de la información, incluidos los eventos y debilidades de seguridad de la información, informar dichos eventos y debilidades, definir responsabilidades, procedimientos de respuesta y recopilación de evidencia.
El procedimiento de gestión de incidentes de seguridad de la información debe incluir los siguientes aspectos que se prescriben a través de varios controles en esta sección del Anexo A:
- Definir responsabilidades para informar y gestionar las incidencias.
- Definir un punto de contacto para informar incidentes, eventos y debilidades; por ejemplo, podría ser una dirección de correo electrónico o un número de teléfono del oficial de seguridad.
- Definir cómo monitorear, detectar y reportar incidentes y eventos.
- Defina cómo registrar los incidentes y las actividades al tratar con el incidente, por ejemplo, utilizando una herramienta de software para la gestión de incidentes o teniendo un registro de incidentes en una hoja de Excel para empresas más pequeñas.
- Definir cómo responder a los incidentes: esto también incluye las responsabilidades de recopilar y analizar pruebas, resolver el incidente, etc.
- Evaluar las debilidades y los eventos informados. Priorizar y escalar incidentes.
- Aprendiendo de los incidentes
Equipo de Respuesta a incidentes
La respuesta a incidentes es un programa formal que prepara una entidad para un incidente, generalmente incluye las siguientes fases de Respuesta a Incidentes:
- Preparación: contar con un mapeo de sistemas de TI a funciones, procesos y servicios, red de comunicación empresarial, personal con destrezas y habilidades, establecer roles y responsabilidades y planes de cómo será manejado un incidente
- Detección y análisis: capacidad para identificar incidentes tan pronto como sea posible y evaluar eficazmente la naturaleza del incidente. Integrar el Análisis de impacto al negocio (BIA) y además de comunicar los incidentes a las partes interesadas del negocio.
- Contención: Compromiso continuo con las partes interesadas del negocio (Aislar equipos, Desconectar equipos, Copia forense, análisis SandBox, capacidad de investigación, identificación del adversario)
- Erradicación: Procedimientos de mitigación (Ejecutar plan de recuperación: restaurar imágenes, actualizar parches, hardening del S.O, tuning de aplicaciones, Actualización de ACL, Indicadores de compromiso)
- Recuperación: Reducir las pérdidas y volver las operaciones a la normalidad (Promover al sitio alterno/restaurar backups, evaluar el incidente, decidir si es posible retornar las operaciones del sitio alterno al sitio principal).
- Lecciones Aprendidas: Análisis de causa raíz y supervisión de remediación.
Mejores prácticas para la gestión de incidentes de seguridad
Las organizaciones de todos los tamaños y tipos necesitan planificar el proceso de gestión de incidentes de seguridad. Se recomienda que implementen estas mejores prácticas para desarrollar un plan integral de gestión de incidentes de seguridad:
- Desarrolle un plan de gestión de incidentes de seguridad y políticas de apoyo que incluyan orientación sobre cómo se detectan, informan, evalúan y responden a los incidentes. Tenga lista una lista de verificación para un conjunto de acciones basadas en la amenaza. Actualice continuamente los procedimientos de gestión de incidentes de seguridad según sea necesario, particularmente con las lecciones aprendidas de incidentes anteriores.
- Establezca un equipo de respuesta a incidentes que incluya funciones y responsabilidades claramente definidas. Su equipo de respuesta a incidentes debe incluir roles funcionales dentro del departamento de TI/seguridad, así como representación de otros departamentos, como legal, comunicaciones, finanzas y administración u operaciones comerciales.
- Desarrollar un programa de formación integral para cada actividad necesaria dentro del conjunto de procedimientos de gestión de incidentes de seguridad. Practique su plan de gestión de incidentes de seguridad con escenarios de prueba de manera constante y realice mejoras según sea necesario.
- Después de cualquier incidente de seguridad, realice un análisis posterior al incidente para aprender de sus éxitos y fracasos y realice ajustes en su programa de seguridad y proceso de gestión de incidentes cuando sea necesario.