Gestión de incidentes de seguridad

Gestión de incidentes de seguridad

POR UNIDAD DE RIESGOS Y SEGURIDAD, URS.CI@UCR.AC.CR
Mar, 20/09/2022 - 14:13
La gestión de incidentes de seguridad tiene como objetivo minimizar el impacto de forma
rápida ante cualquier amenaza que vulnere la seguridad de la organización, por lo que se
recomienda realizar un plan de gestión de incidentes que redunda positiva y directamente
sobre los costes provocados por un incidente. Se recomienda que se apliquen políticas y
planes de contingencia y continuidad, que permitan llevar a cabo una gestión integral de los
incidentes de seguridad.

1. Definir la política de gestión de incidentes de

seguridad
Contar con una política de gestión de incidentes es clave para garantizar la supervivencia de
la organización ante los efectos negativos causados por un ataque de ciberseguridad. Es
fundamental diseñar un plan que determine el alcance de las acciones a realizar en cuanto
se detecte el incidente y la respuesta al mismo para mitigar al máximo su impacto.
Las siguientes políticas de seguridad proporcionarán las claves fundamentales que deben
seguirse para gestionar, de forma exitosa, cualquier tipo de incidente de ciberseguridad, así
como las recomendaciones necesarias para minimizar los riesgos de que se materialicen las
amenazas.
Política de Respuesta a incidentes
a. Definición de tipos de incidentes entre los más comunes:

 incidentes no intencionados o involuntarios.

 Daños físicos.
 Incumplimiento o violación de requisitos y regulaciones legales.
 Fallos en las configuraciones.
 Denegación de servicio.
 Acceso no autorizado, espionaje y robo de información.
 Borrado o pérdida de información.
 Infección por código malicioso.
 
b. Plan de acción
Definir y ejecutar correctamente el plan y evitar que el daño se extienda, se deben detallar
las acciones a realizar en cada momento, definiendo la lista de las personas involucradas y
sus responsabilidades, los canales de comunicación oportunos, el equipo responsable,
mejora continua, caducidad del plan de gestión, detección de incidente, evaluación del
incidente, notificación del incidente, resolución, tratamiento, cumplimiento de la Ley de
Protección de Datos. Tras un incidente y haber aplicado el plan de acción, permitirá tener
información para conocer y valorar los riesgos existentes y así evitar incidentes similares en
el futuro y al mismo tiempo aplicar el plan de contingencia y continuidad del negocio.
 
Política de concienciación y formación
 
Las nuevas tecnologías en las organizaciones hacen indispensable la concienciación sobre
los riesgos asociados, así como formación en ciberseguridad con el objetivo que los
empleados conozcan y apliquen buenas prácticas en el uso de todo tipo de dispositivos y
soluciones tecnológicas, previniendo en lo posible incidentes.

2. Tipos de incidentes de seguridad

Entre los incidentes que pueden afectar al normal funcionamiento de una empresa destacan:

 Infecciones por código malicioso de sistemas, equipos de trabajo o dispositivos

móviles. Este tipo de incidentes, en su mayoría iniciados a través de correo
electrónico, páginas web comprometidas o maliciosas, SMS o redes sociales,
también pueden provocar que los recursos infectados entren a formar parte de
una botnet (conjunto o red de robots informáticos o bots, que se ejecutan de manera
autónoma y automática).
 Intrusiones o intentos de intrusión provocadas por explotación de
vulnerabilidades, ataques mediante exploits y vulneración de credenciales, lo que
conlleva el compromiso de cuentas con o sin privilegios de administrador y el
compromiso de aplicaciones o servicios. Si el servicio comprometido es la página
web, puede dar lugar a incidentes como una suplantación de identidad o distribución
de malware, entre otros. Aquí también pueden incluirse incidentes de robo por
acceso no autorizado a instalaciones físicas.
 Fallos de disponibilidad a través de ataques DoS (denegación de servicio) que
pueden afectar a diferentes recursos de la organización (redes, servidores, equipos
de trabajo, entre otros) e imposibilitar el normal funcionamiento de los mismos.
Este tipo de incidentes incluyen también los provocados por sabotajes o ataques
físicos a los recursos o infraestructuras, así como otro tipo de interrupciones de
origen externo no intencionadas.
  Compromiso de la información como resultado del acceso no autorizado a la
misma o de su modificación (por ejemplo, mediante cifrado por ransomware). Este
tipo de incidentes incluyen además aquellos en los que el resultado es el borrado,
pérdida o fuga de datos, y pueden estar provocados de forma intencionada (a través
del robo o compromiso de credenciales) o por fallo de los dispositivos que los
almacenan.
 Fraude provocado principalmente a través de la suplantación de entidades
legítimas, con el objetivo de engañar a las personas usuarias para obtener un
beneficio económico, o por ataques de phishing, para la obtención de credenciales
privadas de acceso a medios de pago.

3. Pasos de la gestión de incidentes

La gestión de los incidentes conlleva la realización de una serie de pasos para ofrecer una
respuesta adecuada a cada tipo de incidente, para contener y minimizar sus posibles efectos
en la organización.

 Preparación: donde se reúnen las herramientas necesarias para el tratamiento del

incidente (antimalware, comprobadores de integridad de ficheros o dispositivos,
escáneres de vulnerabilidades, análisis de logs, sistemas de recuperación y backup,
análisis forense, entre otros).
 Identificación: donde se detecta el incidente, se determina el alcance y se conforma
una solución. Esta fase engloba a los responsables del negocio, operaciones y
comunicación (contactos con soportes técnicos, CERT, peritos forenses, policía o
asesores legales si fueran necesarios).
 Contención: impidiendo que el incidente se extienda a otros recursos. Como
consecuencia, se minimizará su impacto: separando equipos de la red afectada,
deshabilitando cuentas comprometidas, cambiando contraseñas.
 Mitigación: donde se procede a la eliminación de los elementos comprometidos, -
en caso de ser necesario y posible -, y reinstalación de sistemas afectados o
respaldos (backups). En cualquier caso, las medidas de mitigación dependerán del
tipo de incidente.
 Recuperación: donde se intenta devolver el nivel de operación a su estado normal y
que las áreas de negocio afectadas puedan retomar su actividad.
 Recapitulación: donde se documentan los detalles del incidente. Para ello, se
archivarán los datos recogidos y se debatirán las lecciones aprendidas. Se informará
a los empleados y se les enseñarán las recomendaciones dirigidas a prevenir
situaciones de riesgo futuras.

4. Medidas preventivas adicionales

Además de las medidas recogidas en la política de gestión de incidentes, se pueden aplicar
otras medidas adicionales con carácter preventivo:
  La contratación de una póliza que tenga cobertura frente a incidentes de
ciberseguridad. Las aseguradoras, para realizar el cálculo de la póliza, obligan a
llevar a cabo una auditoría por parte de terceros, y gracias a esto, las empresas
pueden adoptar mejores medidas de seguridad, contribuyendo así a mejorar la
ciberseguridad de la organización.
 Los acuerdos de nivel de servicio, también conocidos como SLA (acrónimo en
inglés de Service Level Agreement), permiten a una organización que contrate un
servicio externo con garantías. En estos acuerdos, entre otros aspectos, se deben
incluir las características del servicio, las garantías y las medidas de seguridad
exigibles al proveedor en materia de disponibilidad.
 Plan Director de Seguridad, en el que se especificarán las prioridades, los
responsables y los recursos que se van a emplear para mejorar el nivel de seguridad
de la organización en el mundo digital.

5. Plan de Contingencia y Continuidad

Como la seguridad al 100% no existe, es conveniente que las organizaciones estén
preparadas para proteger su actividad y reaccionen de forma adecuada ante los posibles
incidentes de seguridad. Por ello, es importante que dispongan de planes de contingencia y
continuidad de negocio que les permitan dar una respuesta rápida y eficaz ante cualquier
incidente, pudiendo recuperar la actividad en un breve plazo de tiempo.
Desarrollar dicho plan proporcionará a largo plazo una considerable mejora en la imagen y
reputación de la organización, además de minimizar los efectos económicos del incidente y
evitando, de esta manera, que la propia supervivencia de la organización se vea amenazada.
 
https://www.incibe.es/protege-tu-empresa/tematicas/gestion-incidentes-seguridad