Qué debemos hacer si en nuestra organización se diera un incidente de seguridad? ¿Cuáles son los pasos que se deben seguir y en qué orden? ¿Tengo la obligación de informar a alguna autoridad? ¿Puedo contar con ayuda? Por muchas y muy bien implantadas que estén las medidas de seguridad en tu negocio, siempre estará presente el riesgo de que se materialice una amenaza. Por este motivo, es imprescindible contar con un plan de acción que marque las pautas a seguir en caso de que se produzca algún incidente de seguridad.
Los incidentes de seguridad son situaciones que pueden causar un gran daño en nuestros entornos (sistemas de información, personas, negocios…); por este motivo es importante tener la capacidad, en primer lugar, de prevenirlos, y en segundo, de detectarlos y de responder adecuadamente a ellos.
La detección se basa obligatoriamente en el despliegue de sistemas de vigilancia y en el uso adecuado de los mismos, mientras que la respuesta adecuada a los incidentes de seguridad pasa, en primer lugar, por la identificación clara de cualquier incidente, su escalado hacia los grupos gestores del mismo, correctos en cada caso y su contención, erradicación y recuperación.
La última versión de la “Guía Nacional de Notificación y Gestión de Ciberincidentes”, que ofrece a toda entidad, pública o privada, y ciudadanos en general, el esquema y la orientación precisa acerca de a quién y cómo debe reportar un incidente de ciberseguridad acaecido en el seno de su ámbito, ha sido actualizada para precisar y mejorar los siguientes puntos:
- Una clasificación/taxonomía homogénea de los ciberincidentes.
- Los impactos y umbrales de notificación, así como los tiempos de cierre de un ciberincidente sin respuesta, en función de su nivel de peligrosidad o impacto.
- La asignación de métricas e indicadores de referencia, recomendadas para medir el nivel de implantación y eficacia del proceso de gestión de incidentes de cada organización.
Adicionalmente a esta actualización, desde INCIBE-CERT se ha publicado el anexo de “Procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía” que pretende servir de apoyo en estas tareas, así como recoger los mecanismos, referencias y canales para su notificación al Centro de Respuesta a Incidentes de Seguridad de INCIBE (INCIBE-CERT) cuando así proceda.
La gestión de incidentes de seguridad de la información es un conjunto ordenado de acciones enfocadas a prevenir, en la medida de lo posible, la ocurrencia de ciberincidentes y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.
El anexo comienza con un repaso por cada una de las fases más habituales de este proceso, las cuales son:
- Preparación: en este estado previo al ciberincidente se busca que toda la entidad esté preparada ante la llegada de cualquier posible suceso, para ello, la anticipación y el entrenamiento previo son claves, siempre teniendo en cuenta tres pilares fundamentales: las personas, los procedimientos y la tecnología.
- Identificación: conociendo el estado normal de la operativa diaria, la organización es capaz de identificar anomalías que requieran de análisis en profundidad. Si el evento finalmente se descarta, se vuelve a la fase de preparación.
- Contención: el tiempo es determinante cuando ocurre un ciberincidente, ya que la reputación o la continuidad de negocio están en juego. En esta fase se busca contener el problema, evitando que el atacante cause más daños como, por ejemplo, comprometiendo dispositivos adicionales o divulgando más información. Posteriormente se estudia la situación y se clasifica el ciberincidente. También conviene registrar y documentar lo ocurrido con ayuda de herramientas de gestión y ticketing, además de llevar a cabo procedimientos de toma y preservación de evidencias para analizarlos más tarde.
- Mitigación: se toman las medidas necesarias para la mitigación, las cuales dependerán del tipo de ciberincidente. En algunos casos, puede ser necesario solicitar asistencia de entidades externas, como proveedores de servicios de mitigación de este tipo de ataques o un CSIRT nacional como INCIBE-CERT, que puedan apoyar en el análisis y definición de la estrategia de mitigación.
- Recuperación: la finalidad de esta fase consiste en devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad. También se debe realizar un seguimiento durante la puesta en producción, en busca de posibles actividades sospechosas.
- Actuaciones post-incidente: una vez que el ciberincidente está controlado y la actividad ha vuelto a la normalidad llega la hora de las lecciones aprendidas, cuya finalidad es aprender de lo sucedido para que se puedan tomar las medidas adecuadas y evitar que una situación similar se pueda volver a repetir.
También se aborda el procedimiento y los mecanismos para la notificación de ciberincidentes al CSIRT de referencia, que puede realizarse desde la entidad afectada, ciudadanos, pymes, entidades de derecho privado o instituciones afiliadas a RedIRIS hacia INCIBE-CERT o viceversa, para beneficiarse del servicio de respuesta, independientemente de que finalmente resuelva el ciberincidente por sus propios medios. Se divide en 3 fases:
- Apertura: cuando se recibe una notificación, el equipo técnico de INCIBE-CERT realiza un análisis inicial para determinar el ámbito de actuación.
- Priorización: a cada ciberincidente se le asignará una prioridad en función de la peligrosidad y del impacto potencial del mismo.
- Resolución: una vez que se ha alcanzado una solución que implique el cierre del incidente, tanto por parte del afectado como por parte de INCIBE-CERT, esta será comunicada a los actores implicados en el ciberincidente.
Para finalizar, en el documento también se facilita una sección de ayuda para el cálculo del impacto, con criterios adicionales a los incluidos en la Guía Nacional, con el ánimo de facilitar a ciudadanos, empresas y entidades afiliadas a RedIRIS las labores de cálculo de impacto de un incidente de seguridad.
Recuerda que nuestro servicio público y gratuito de respuesta a incidentes pone a tu disposición nuestra capacidad tecnológica y de coordinación que permita ofrecerte un apoyo operativo ante ciberamenazas o ante la ocurrencia de ciberincidentes.
Este anexo se encuentra disponible junto con la Guía Nacional de Notificación y Gestión de Ciberincidentes en el siguiente enlace:
Guía nacional de notificación y gestión de ciberincidente.