Claves para gestionar incidentes de ciberseguridad

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Con esta guía, el Instituto Nacional de Ciberseguridad quiere ofrecer un marco de referencia consensuado por parte de los organismos nacionales competentes en el ámbito de la notificación y gestión de incidentes de ciberseguridad, alineado con la normativa española, transposiciones europeas, así como documentos de organismos supranacionales que pretenden armonizar la capacidad de respuesta ante incidentes.

Esta edición actualizada incluye datos muy útiles como, por ejemplo, a quién y cómo se debe reportar un incidente, además de proporcionar una clasificación homogénea de los ciberincidentes; los impactos y umbrales de notificación, así como los tiempos de cierre de los incidentes sin respuesta, en función de su nivel de peligrosidad o impacto.

Además, trata de asignar métricas e indicadores de referencia para medir el nivel de implantación y eficacia del proceso de gestión de incidentes de cada organización, un tema que, además, trata ampliamente en un anexo. En esta parte repasar cada una de las fases más habituales de este proceso, que son las siguientes:

- Preparación: en este estado previo al incidente se busca que toda la entidad esté preparada ante la llegada de cualquier posible suceso, para ello, la anticipación y el entrenamiento previo son claves, siempre teniendo en cuenta tres pilares fundamentales: las personas, los procedimientos y la tecnología.

- Identificación: conociendo el estado normal de la operativa diaria, la organización es capaz de identificar anomalías que requieran de análisis en profundidad. Si el evento finalmente se descarta, se vuelve a la fase de preparación.

- Contención: el tiempo es determinante cuando ocurre un problema de este tipo, ya que la reputación o la continuidad de negocio están en juego. En esta fase se busca contener el problema, evitando que el atacante cause más daños como, por ejemplo, comprometiendo dispositivos adicionales o divulgando más información. Posteriormente se estudia la situación y se clasifica la incidencia. También conviene registrar y documentar lo ocurrido con ayuda de herramientas de gestión y ticketing, además de llevar a cabo procedimientos de toma y preservación de evidencias para analizarlos más tarde.

- Mitigación: se toman las medidas necesarias para la mitigación, las cuales dependerán del tipo de ataque. En algunos casos, puede ser necesario solicitar asistencia de entidades externas, como proveedores de servicios de mitigación de este tipo de ataques o un CSIRT nacional como INCIBE-CERT, que puedan apoyar en el análisis y definición de la estrategia de mitigación.

- Recuperación: la finalidad de esta fase consiste en devolver el nivel de operación a su estado normal y que las áreas de negocio afectadas puedan retomar su actividad. También se debe realizar un seguimiento durante la puesta en producción, en busca de posibles actividades sospechosas.

- Actuaciones post-incidente: una vez que el incidente está controlado y la actividad ha vuelto a la normalidad llega la hora de las lecciones aprendidas, cuya finalidad es aprender de lo sucedido para que se puedan tomar las medidas adecuadas y evitar que una situación similar se pueda volver a repetir.