Cómo gestionar incidentes y respuesta ante crisis

En esta sesión Liliana Silva, experta en gestión de riesgos, nos enseña la diferencia entre saber, saber hacer y saber qué hacer, qué es la ISO 27001 VS ISO 27035, concepto de incidente y evento de ciberseguridad, la importancia de la gestión, proceso de gestión de incidentes y Check List.

Diferencia: Saber, Saber hacer, Saber que hacer.

"Saber", "saber hacer" y "saber qué hacer" son conceptos que se relacionan con el conocimiento, las habilidades y la aplicación de este en situaciones prácticas, respectivamente. "Saber" implica tener conocimiento o información sobre algo. "Saber hacer" se refiere a la capacidad de aplicar ese conocimiento de forma práctica, demostrando habilidades y destrezas. "Saber qué hacer" implica discernir la acción más adecuada en una situación específica, tomando decisiones basadas en el conocimiento y la experiencia.

ISO 27001 VS ISO 27305

La diferencia clave entre ISO 27001 y ISO 27305 radica en su enfoque. ISO 27001 establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI), mientras que ISO 27305 proporciona una guía específica para la gestión de la seguridad de la información.

En resumen, ISO 27001 es una norma de certificación que define los requisitos para un SGSI, mientras que ISO 27305 es una norma complementaria que brinda directrices y herramientas para la gestión de la seguridad.

La diferencia clave entre ISO 27001 y ISO 27305 radica en su enfoque. 

• ISO 27001: Norma de certificación para un SGSI, establece los requisitos generales.
• ISO 27305: Norma complementaria que proporciona guía práctica para la gestión de la seguridad de la información.

Relación entre ambas normas: 

• ISO 27001 establece el marco general para el SGSI, incluyendo la gestión de riesgos como un requisito fundamental.
• ISO 27305 complementa a ISO 27001, proporcionando una guía detallada para la gestión de riesgos y otros aspectos relacionados con la seguridad de la información.
• Se pueden utilizar juntas para construir una estrategia de seguridad integral y alineada con los requisitos regulatorios.
• ISO 27305 ayuda a las organizaciones a cumplir con los requisitos de gestión de riesgos de ISO 27001 de manera más efectiva.

Concepto de Evento e incidente de Ciberseguridad

Evento

El evento es un hecho, un acontecimiento o un suceso que indica o permite inferir que un control falló o fallará o que lo dispuesto en una política puede no cumplirse. El comportamiento atípico de un Sistema o un proceso es también un evento.

Los eventos pueden no ser nada o pueden ser la primera señal de un problema grave. La falta de comprensión sobre la gravedad del evento es una de las características de este tipo de desviaciones.

Incidente

El incidente es considerado por algunos especialistas en Seguridad de la información como una etapa posterior al evento. El incidente es entonces un evento, o la conjunción de varios eventos, que causan un daño real, una infracción de seguridad o una afectación a la integridad y la confidencialidad de la información.

Un empleado que abandona una computadora activa, sin control de acceso, durante algunos minutos, es un evento de seguridad que puede o no evolucionar a el estado de incidente. Una falla de seguridad permite el acceso y tránsito de una persona no autorizada por esa área, en el mismo momento, facilitando el uso de la computadora sin autorización. Dos eventos confluyen en este ejemplo para generar un incidente de Seguridad de la Información.

Por qué es importante la Gestión de Incidentes

Las amenazas a la ciberseguridad afectan a organizaciones de diversos sectores a nivel mundial, especialmente en la era actual de rápido progreso tecnológico, donde estas amenazas se han vuelto cada vez más avanzadas. La importancia de la gestión de incidentes,, reside en su enfoque integral para la preparación, respuesta y recuperación ante incidentes de seguridad de la información.

Establecer un robusto sistema de gestión de incidentes, capacita a las personas para establecer, operar y perfeccionar la gestión de incidentes de seguridad de la información en sus organizaciones. Esta gestión proactiva de incidentes cibernéticos minimiza el impacto de las brechas y fortalece la resiliencia de la organización ante futuras amenazas. Garantiza que las empresas puedan mantener la continuidad y proteger su reputación en un entorno donde la seguridad digital es fundamental para el éxito operativo y competitivo.

Proceso de Gestión de Incidentes

• 1. Preparación:
  Establecer políticas, procedimientos y herramientas para la detección, análisis y respuesta a incidentes. 
• 2. Identificación o Detección:
  Identificar y evaluar la gravedad de los incidentes, utilizando diferentes fuentes de información como alertas de sistemas de seguridad, reportes de usuarios y registros de sistemas. 
• 3. Contención:
  Aislar el incidente y minimizar su impacto, implementando medidas de control para prevenir la propagación. 
• 4. Remediación:
  Corregir la causa raíz del incidente y restaurar los sistemas a su estado normal. 
• 5. Recuperación:
  Restaurar los datos perdidos o dañados y asegurar la continuidad del negocio.
• 6. Aprendizaje:
  Analizar el incidente para identificar lecciones aprendidas y mejorar la seguridad en el futuro.

1- Check List para La Preparación

• ¿Todos los miembros son conscientes de las políticas de seguridad de la organización?
• ¿Todos los miembros del Equipo de Respuesta a Incidentes Informáticos (Computer Security Incident Response Team - CSIRT) saben a quién contactar?
• ¿Todos los miembros del equipo tienen acceso a las herramientas de respuesta a incidentes para realizar el proceso correctamente?
• ¿Todos los miembros han participado en ejercicios de respuesta a incidentes para practicar el proceso de respuesta a incidentes y mejorar el conocimiento general sobre una base establecida con regularidad (simulacros)

2- Check List para La Identificación

• ¿Donde ocurrió el Incidente?
• ¿Quien informo o descubrió el incidente
• ¿Cómo fue descubierto
• ¿Existen otra áreas que han sido comprometidas por el incidente? Si es asi, ¿cuales son?
• ¿Cual es el alcance del impacto?
• ¿Cual es el alcance en el negocio?
• ¿Tiene localizado las fuentes de la incidencia? En caso afirmativo, ¿dónde, cuando y que?

3 - Check List para La Contención

• Contención a corto plazo
  • ¿El problema puede ser aislado?

• Si es así, entonces proceder a aislar los sistemas afectados
• Si no, entonces trabajar con los propietarios de los sistemas o gerentes para determinar otras medidas necesarias para contener el problema

• ¿Todos los sistemas afectados están aislados de los sistemas no afectados?
  • Si es así, continuar con el proceso siguiente
  • Si no, continuar para aislar los sistemas afectados, hasta que a corto plazo se haya logrado la contención, para impedir la escalada de más incidentes.

• ¿Hay copias/imágenes disponibles de los hosts afectados?
  • ¿Los forenses tienen copia de los sistemas afectados para profundizar en el análisis?
  • Tienen todos los comando y el resto de la documentación desde que el incidente se ha producido hasta la fecha actual?
  • Los forenses tienen copias almacenadas en un lugar seguro?

4 - Check List para Erradicación

• ¿Es posible restaurar y luego proteger con parches u otras medidas  para evitar o reducir el riesgo de ataques?
  • Si no, entonces explicar porque
• ¿Se ha quitado todo el Malware y otros elementos o rastros dejados por los atacantes y los sistemas se han protegido contra nuevos ataques?
  • Si no, entonces explicar ¿porque?

5 - Check List para Recuperación

• ¿Está el sistema afectado parcheado y protegido contra el reciente ataque, así como posibles ataques futuros?
• ¿Qué día y hora sería viable para restaurar los sistemas afectados en producción?
• Cuales con las herramientas que vamos a utilizar para probar, supervisar y verificar que los sistemas que se restauran a producción no están comprometidos por los mismos métodos que causaron la incidencia original?
• ¿Cuanto tiempo se van a supervisar los sistemas restaurados y que se va a buscar?
• ¿Hay alguna referencia previa que pueda ser utilizada como un punto de partida para comparar los resultados el monitoreo del sistema restaurado contra los de la línea de producción?

6 - Check List para Aprendizaje

• Documentación del incidente:
  • Registrar detalles precisos del incidente, incluyendo fecha y hora de detección, acciones tomadas y sistemas afectados. 
  • Documentar la cadena de eventos que condujeron al incidente. 
  • Mantener una copia de las pruebas del incidente. 
•  Análisis de la causa raíz:
  • Identificar la causa fundamental del incidente, no solo los síntomas. 
  • Evaluar qué fallos en las políticas, procedimientos o tecnología permitieron el incidente. 
  • Determinar qué medidas de seguridad existentes fueron insuficientes.

• Implementación de medidas correctivas:
  • Implementar medidas para abordar la causa raíz identificada. 
  • Reforzar las medidas de seguridad existentes. 
  • Actualizar políticas y procedimientos de seguridad. 
•  Mejora continua del plan de respuesta a incidentes:
  • Analizar los resultados de las medidas correctivas. 
  • Evaluar la efectividad del plan de respuesta a incidentes. 
  • Actualizar el plan de respuesta a incidentes según sea necesario. 
•  Comunicación y capacitación:
  • Compartir las lecciones aprendidas con los equipos de seguridad y otros interesados. 
  • Ofrecer capacitación para mejorar la respuesta a incidentes. 
  • Fomentar la cultura de seguridad en toda la organización.

Complementa tu conocimiento 👇