Muchos ciberdelincuentes quieren adueñarse de nuestra información realizando acciones maliciosas. Por fortuna, suelen generar mucho ruido y dejar pistas a través de las cuales podemos detectarlos mientras intentan vulnerar nuestros dispositivos para obtener acceso a nuestros datos.
Teniendo en cuenta lo anterior, en cualquier organización es indispensable detectar todo tipo de eventos. No importa si son internos o externos, ya que pueden convertirse en incidentes de seguridad si no se tratan correctamente. Estos pueden afectar la confidencialidad, integridad y disponibilidad de los datos.
Para tener una correcta gestión desde el inicio, es importante tener en cuenta las siguientes actividades:
- Preparación
- Detección y análisis
- Contención, erradicación y recuperación
- Actividades posincidentes
**Fuente: https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf
Preparación
Debe generarse la documentación de un plan de respuesta de incidentes que permita estar alineados a nivel interno. Esto se puede lograr mediante herramientas que ayuden en la detección y respuesta ante eventos maliciosos. Un ejemplo podría ser un SIEM (Security Information and Event Management) como Eventlog Analyzer. En esta solución se pueden integrar otro tipo de herramientas de seguridad —tales como Firewalls, Antivirus e IPS (Intrusion Prevention System)— y tener visibilidad de lo que está sucediendo en su infraestructura. De esta forma, se puede identificar ese ruido que generan los ciberdelincuentes.
Detección y análisis
Es indispensable tener una notificación al momento en el que se presentan estos posibles incidentes. Esto se puede conseguir por medio de la generación de alertas y tickets a los administradores responsables. Estos los analizarán y catalogarán con base en el impacto y la criticidad que se les debe asignar.
Contención, erradicación y recuperación
Una de las posibles acciones es contar con configuraciones de Workflow que ayuden a tomar medidas en tiempo real para contener o, si es posible, mitigar las consecuencias del incidente de seguridad. Una vez el evento ha sido contenido, deben eliminarse los rastros y aplicarse controles a las debilidades que se hayan presentado en los sistemas. Las medidas pueden ir desde implementar parches de seguridad hasta cerrar puertos inseguros. Todo esto se hace con el fin de evitar que se repitan este tipo de eventos.
Actividades posincidentes
Esta es una fase muy importante, ya que supone la asimilación de las lecciones aprendidas. Deben registrarse todas las acciones realizadas durante el ciclo de vida del incidente: desde su detección hasta su erradicación y recuperación. Esto se hace con el fin de tener un conocimiento previo de cómo se debe actuar en caso de que suceda un evento similar en el futuro.
El proceso de lecciones aprendidas puede poner de manifiesto la falta de un paso o una inexactitud en un procedimiento. Este es un punto de partida para el cambio. Debido a la naturaleza cambiante de la tecnología de la información y el personal, el equipo de respuesta a incidentes debe revisar toda la documentación y los procedimientos para el manejo de eventos en determinados intervalos.
En resumen, una gestión de incidentes le ayudará a estar preparado cuando los ciberdelincuentes intenten afectar su infraestructura e información. Posteriormente, permitirá identificar dónde lo están atacando y al responsable. Con esa información, podrá reportar y alertar al grupo de respuesta de incidentes para que tomen las medidas necesarias para llevar a cabo la contención, erradicación y recuperación. Por último, tendrá una documentación de los controles aplicados durante el incidente. Esta servirá de aprendizaje para desarrollar medidas de respuesta ante eventos similares en el futuro.