Acciones de una gestión de incidentes siguiendo normas ISO y NIST-SP. 

Por Juan Carlos Cisneros, Coordinador de Seguridad de la Información, UIDE.

La gestión de incidentes de seguridad es una preocupación para todas las empresas, independientemente de la vertical de negocio. Frente a la adopción de tecnologías emergentes, soluciones en nube, automatización de procesos, Big data y una transformación digital que genera valor, pero a la par desencadena riesgos. Ante esta realidad, los incidentes de seguridad son inevitables, sin más remedio que plantearnos cómo actuar de manera ágil y efectiva garantizando la continuidad operativa de la organización, sino que dependerá de la magnitud del incidente, al menos los procesos críticos. 

Basado en la experiencia, frente a un ransomware, es recomendable alinearse en dos referentes, por ejemplo: la norma ISO 27035:2023 y NIST-SP 800-61 rev.2. Siguiendo estos marcos, se detallan 10 primordiales pasos que las organizaciones deben cumplir para gestionar incidentes de seguridad. 

1. Estructurar una política de gestión de incidentes de seguridad que articule lineamientos de apoyo por parte de la alta dirección, compromisos y responsabilidades. Se suma la planificación donde se define un esquema de acción por parte de los equipos internos y apoyo técnico externo que se requiera ante un incidente. Además, es importante contemplar los diversos escenarios de riesgo y el impacto de los incidentes que determinarán acciones con mayor o menor grado de inversión de recursos humanos y tecnológicos. 
2. Establecer y coordinar un plan de comunicación empresarial. Comunicar apropiadamente y manejar este punto con cautela y transparencia es trascendental para la imagen de la organización, demostrar control y aplacar incertidumbres que en ese momento se generan, producto de los eventos que originan durante un incidente.  
3. Definir un equipo de gestión ante incidentes de seguridad acorde al tamaño y naturaleza del negocio. Si la organización no cuenta con el personal necesario, será importante buscar mecanismos de apoyo en un tercero quien cuente con las herramientas necesarias y el personal capacitado para brindar una respuesta oportuna y adecuada. Este tipo de apoyo lo podemos recibir de un SOC o un CSIRT. Sin embargo, debemos tener en el mapa de apoyo proveedores de servicio (ISP), proveedores comerciales e incluso equipos de asesoría legal que nos brinden asesoría. De igual manera, es necesario que el equipo interno cuenta con un plan de capacitación continua entorno a la gestión de incidentes de seguridad y se ponga a prueba skills que serán necesarios durante un incidente de alto impacto. 
4. En relación a la detección es prioritario trabajar en la recolección de eventos de seguridad a nivel de infraestructura tecnológica on-premise y en nube, contemplando visibilidad de extremo a extremo (integraciones, API, gestión de identidades, EDR, equipos perimetrales, etc.) a través de mecanismos de procesamiento centralizado, como SIEM, XDR, es importante evaluar vulnerabilidades y establecer un proceso de gestión continua anclado a actividades threat hunting que nos permitan investigar y correlacionar posibles vulnerabilidades que se están intentando explotar o ya están vulneradas a la espera de desencadenar un ataque de mayor envergadura. Para ello es importante integrar nuevos mecanismos apoyados en Inteligencia Artificial, UEBA, etc. 
5. Contar con reportería concisa y notificaciones afinadas, exige un trabajo continuo y “de hormiga”, su precisión discriminando entre un evento y un incidente de seguridad será vital para desencadenar acciones proactivas justo a tiempo, sin gastar recursos innecesariamente. Sumar el monitoreo de un SOC es clave, pero implica responsabilidad y trabajo arduo que obliga desde resolver falsos positivos, definir procedimientos y responsabilidades, establecer consensos, implementar controles técnicos hasta crear casos de uso y generar notificaciones basada en una matriz de riesgo. El resultado aportará directamente a promover una eficaz gestión de incidentes de seguridad.  
6. Poner a prueba los controles técnicos, mecanismos de detección y los planes de acción planteados ante escenarios de incidencia que podrían materializarse es fundamental, el propósito es evaluar que tan efectivos somos, la planificación es solo papel o verdaderamente detalla tácticas que nos orientan y permiten enfrentarnos con una mejor postura ante un incidente. En la fase de pruebas es donde se permiten equivocaciones. La gestión de incidentes no debe considerarse un listado de actividades que demarcan un fin, sino un proceso sujeto a una mejora continua PDCA (Círculo de Deming).  
7. Las decisiones por tomar ante un incidente de seguridad deben ser pertinentes, sustentadas en una notificación oportuna derivada de un nivel de impacto que obliga a tomar acciones concretas y efectivas que van de la mano con un roadmap de actividades previamente definidas, comprobadas, y que garantizan la contención del incidente. En este punto contar con un árbol de comunicación actualizado y preciso será importante en pro de la eficacia. 
8. Actualmente se busca la proactividad y esto muchas veces se encuentra en la automatización. Los ataques de hoy día son sofisticados e integran inteligencia artificial, ante este tipo de escenario es recomendable responder a un mismo nivel, por ejemplo, contar con un SOAR sería parte de uno de los mejores escenarios, sin embargo, se pueden integrar mecanismos compensatorios, como son los playbooks que nos permitan definir flujos de acción automáticos dando un grupo de condiciones. Automatizar acciones de respuesta descarga tareas cotidianamente asociadas a eventos de seguridad, proporcionando tiempo que puede ser invertido en investigación que definitivamente nos permita mejorar nuestra postura y reducir la superficie de materialización de un incidente. 
9. La respuesta ante un incidente definitivamente debe estar orientada a contenerlo. El equipo de respuesta ante incidentes debe actuar en sincronía con equipos externos que apoyen técnicamente desencadenando de inmediato acciones de contención y reducción de la superficie de ataque. Es importante identificar los activos y sectorizar la infraestructura comprometida para iniciar actividades de análisis y remediación. Dependiendo del grado de compromiso y considerando tiempos de recuperación que se traducen en pérdidas monetarias para la empresa, se deberá acudir a mecanismos de recuperación, como respaldos, y restituirlos en un ambiente controlado evaluando su integridad y calidad de datos. El monitoreo detallado (procesos, aplicaciones, conexiones, sesiones, etc.) tanto a nivel de host como de sistemas es primordial. Las actividades de restitución deben cumplir un patrón de evaluación estricto, pero a la vez preciso, evitando pérdidas de tiempo sin descuidar la seguridad. 
10. El registro detallado de eventos y patrones asociados al incidente de seguridad junto con una adecuada evaluación forense, evidenciarán los posibles vectores de ataque y vulnerabilidades que fueron explotadas. La reconstrucción del incidente se debe analizar y acorde a la brecha identificada establecer una planificación estratégica apoyada en el fortalecimiento e implementación de nuevos controles de seguridad estrictos, pero sobre todo alineado a promover el apoyo de la alta dirección entorno a la ciberseguridad de la mano con el entrenamiento a los colaboradores de la empresa.