¿Preparados para un incidente de ciberseguridad? (Parte 1)

Gabriel Bergel    16 enero, 2020
¿Preparados para un incidente de ciberseguridad?

Ha quedado demostrado en el ultimo tiempo que la ciberseguridad ya no es un tema de TI (Tecnología de Información) o de algunos pocos dentro de la organización. Es responsabilidad de la Dirección, pero también de todos, incluso en la vida personal de cada uno.

¿Por qué? se preguntarán muchos, porque cada uno de nosotros en el día a día hace uso de mucha tecnología, plataformas inteligentes e información digital. Me atrevería a decir que muy pocas personas no tienen un smartphone, no tienen correo electrónico ni redes sociales y no usan la web para hacer trámites y compras online. Hoy en día todo el mundo hace uso intensivo de internet y de las distintas plataformas que lo conforman.

La edad determina la conciencia en ciberseguridad

La principal diferencia entre los usuarios está en la edad o generación a la que pertenecen, ya que esto determina si son nativos digitales o no. Esto afecta directamente a la denominada “conciencia digital”, sobre todo en lo que respecto a ciberseguridad, me refiero a saber usar la tecnología y plataformas digitales de manera higiénica y segura. Aquí se produce uno de los principales desafíos a los cuales nos vemos enfrentados como sociedad, la alfabetización digital y concientización sobre las nuevas ciberamenazas, desde los más jóvenes que comienzan a utilizar la tecnología de manera consciente y no solo por diversión (9-10 años), hasta la tercera edad, siendo los dos colectivos más atractivos el ciberacoso y cibercrimen.

Por lo tanto, el foco para los siguientes años debería ser tratar de acortar la brecha en este aspecto, considerando la ciberseguridad como una materia más en el colegio, como matemáticas o historia y asegurar un plan de estudios que continúe en la enseñanza superior hasta crear organismos públicos que permitan educar y capacitar a la población en materia de ciberseguridad.

Ciberseguridad en el ámbito corporativo

Si nos situamos en el ámbito corporativo, el desafío actual que se presenta en materia de incidentes de ciberseguridad es, según mi opinión, cómo recuperarse de un incidente. Para ello se debe empezar cambiando el viejo paradigma de “mi empresa no es foco para un cibercriminal”, ya que el escenario actual cambió radicalmente en los últimos 10 años, principalmente porque hoy la mayoría de los cibercriminales son millenians, piensan de manera distinta, usan otras herramientas y tienen otras estrategias. Hoy en día lo que más buscan es ser eficientes, o sea, gastar la mínima cantidad de recursos (tiempo) para conseguir su objetivo.

Por lo tanto, la mayoría de los ciberataques se basan en el “volumen”. Esto quiere decir que sus técnicas se basan en la masividad y, por ende, no están buscando a una empresa en particular. Al contrario, buscan que su ataque llegue a la mayor cantidad de empresas, sin importar el sector o su tamaño, y que caigan las que no estaban preparadas. Si lo llevamos a un ejemplo mas práctico y entendible, es cambiar, por ejemplo, la forma de pescar: no ir a pescar con una caña buscando una zona en particular y un tipo de pez en particular, sino con una red lo más extensa posible y pescar todo lo que quede atrapado en esa red.

Este ejemplo puede aplicarse a un tipo de cibercriminales, ya que en el otro se encuentran los cibercriminales de élite, patrocinados por Estados, como es el caso de Lazarus. Por tanto, bajo este nuevo escenario, el combate contra la ciberdelincuencia se vuelve aún más asimétrico y quedó demostrado con la cantidad de brechas que se producen día a día. Un sitio web que tiene una infografía que se actualiza regularmente sobre estas brechas es Information is Beatiful.

En mi opinión, en ciberseguridad hay 2 procesos muy importantes: la Evaluación de los Riesgos, que es una actividad fundamental que debe realizarse de manera constante buscando prevenir los riesgos, y la gestión de incidentes y el BCP o plan de continuidad de negocios. Ambos tienen directa relación cuando el riesgo no se puede prevenir y el incidente se produce. Se deben tomar acciones para entrar en estado de contingencia y mantener la continuidad operacional.

Gestión de incidentes

Para comenzar, debemos recordar qué es un incidente, que no es lo mismo que un evento, según el NIST 800-61 (Computer Security Incident Handling Guide). Un evento es cualquier ocurrencia observable en un sistema o red. Los eventos incluyen un usuario que se conecta a un recurso compartido de archivos, un servidor que recibe una solicitud de una página web, un usuario que envía un correo electrónico y un firewall que bloquea un intento de conexión. Los eventos adversos son eventos con una consecuencia negativa, como bloqueos del sistema, inundaciones de paquetes, uso no autorizado de privilegios del sistema, acceso no autorizado a datos confidenciales y ejecución de malware que destruye datos. Esta guía aborda solo los eventos adversos relacionados con la seguridad informática, no los causados por desastres naturales, fallas de energía, etc.

Un incidente de seguridad informática es una violación o amenaza inminente de violación de las políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar. Algunos ejemplos de incidentes son:

  • Un atacante ordena a una botnet que envíe grandes volúmenes de solicitudes de conexión a un servidor web, lo que hace que se bloquee.
  • Se engaña a los usuarios para que abran un “informe trimestral” enviado por correo electrónico que en realidad es malware: ejecutar la herramienta infecta el ordenador y establece conexiones con un host externo.
  • Un atacante obtiene datos confidenciales y amenaza con divulgarlos públicamente si la organización no paga una suma de dinero designada.
  • Un usuario proporciona o expone información confidencial a otros a través de servicios de intercambio de archivos punto a punto.

Una vez que acordamos lo que es un incidente, deberíamos crear y definir (en caso de que no tuviéramos) una política, procedimiento, herramientas y estructura necesarias para recepcionar, analizar y responder a incidentes de seguridad. Lo siguiente debería ser adherirse a algún estándar o modelo. A continuación las fases del Estándar ISO 27035 y del NIST:

Como se puede observar, son casi lo mismo, sin importar el modelo, frameworks o estándar que se use. La idea básica es que la gestión de incidentes debe ser un modelo estructurado, separado en fases, con la idea de poder mejorar cada fase por separado y medirlas de mejor manera. 

¿Qué aprendimos después del dolor?

Una de las partes mas importantes en respuesta a incidentes es también la más omitida. Es recomendable que todos los involucrados en el incidente se reúnan tras el incidente y expongan las lecciones aprendidas, para que quede todo documentado e incluso lo aprendido sea parte del programa de concientización de la organización. Algunas de las preguntas de dicha reunión serían:

  • ¿Exactamente qué ocurrió y cuándo?
  • ¿Cómo de bien lo hicimos?
  • ¿Los procedimientos documentados se siguieron? ¿Fueron adecuados?
  • ¿Qué podríamos cambiar la próxima vez para hacerlo mejor?
  • ¿Qué Precursores e Indicadores deberíamos vigilar más de cerca la próxima vez?

Conoce más sobre incidentes de ciberseguridad en la segunda parte de este post. Te invitamos también a ver la 5ª temporada de nuestros #11PathsTalks.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *