Los incidentes de ciberseguridad, como ataques de programas malignos, phishing y ransomware, pueden tener consecuencias devastadoras, desde pérdidas financieras hasta daños reputacionales. Siempre deben ser considerados como una emergencia, teniendo inclusive graves consecuencias.
Según el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), un incidente de ciberseguridad es “la violación de la política de seguridad de un sistema para afectar a su integridad o disponibilidad y el acceso o intento de acceso no autorizado a un sistema”.
Otros investigadores lo definen como cualquier evento que se produzca de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de la información y la comunicación o los procesos que con ellas se realizan.
Cuanto más tiempo se deje desatendido o se controle de forma inadecuada, más graves serán las consecuencias.
Por ejemplo, si un incidente cibernético no se mitiga rápidamente es probable que el ataque cause más daños. El adversario podría borrar o destruir datos probatorios para evitar ser detectado o procesado, filtrar datos empresariales, implantar puertas traseras y ejecutar ataques de varios pasos que lleven a la explotación de servicios y organizaciones interconectados.
Un incidente cibernético, como una emergencia, a menudo no se anuncia. Es abrupto, urgente y grave; por lo tanto, la clave para mitigar, contener y controlar los incidentes cibernéticos es estar preparado.
Incluso, cuando el incidente está previsto (o anunciado), como las predicciones o pronósticos meteorológicos severos, o los anuncios de inteligencia sobre amenazas y vulnerabilidades, o los sistemas de alerta temprana, la preparación de la institución o misión determinará la rapidez con que el incidente puede ser controlado y contenido, y su efecto, minimizado.
La preparación es un aspecto importante para una gestión eficaz de los incidentes cibernéticos. Abarca la planificación, la preparación, los ejercicios y ensayos, la política, la detección, la notificación, la respuesta, la recuperación y el informe posterior al incidente.
Por ello, la gestión de incidentes de ciberseguridad es un pilar fundamental para proteger los activos digitales y garantizar la continuidad del funcionamiento operativo de los principales sistemas informáticos existentes.
De una manera formal, puede definirse como el proceso cuyo objetivo es prevenir, detectar y enfrentar los incidentes de ciberseguridad y comprende las acciones que se hacen antes, durante y después de su ocurrencia. Este enfoque estructurado permite a las organizaciones reaccionar de manera rápida y efectiva ante cualquier incidente, minimizando su daño y previniendo futuros ataques.
Cuando se produce un incidente de ciberseguridad, ya sea una violación de los datos, una infracción de la política o un compromiso, las primeras personas con las que se contacta son los centros de operaciones de seguridad (SOC) de la organización, que se encargan de la tarea de salvaguardar, proteger, supervisar y gestionar los incidentes de seguridad de las organizaciones.
Esto se agrava aún más por la gran cantidad de activos, así como la envergadura de los sistemas y servicios que el SOC tiene la tarea de supervisar. Mantener el control de la situación de estos servicios frente a la creciente complejidad y frecuencia de los ciberataques contra estos servicios es un reto en sí mismo.
La gestión de incidentes se divide en varias fases claves:
• Preparación: implica la capacitación del personal y la implementación de herramientas adecuadas para detectar y analizar incidentes. La preparación también incluye la creación de un plan de respuesta a incidentes bien definido.
• Identificación: en esta etapa se detectan los incidentes mediante herramientas de monitorización y análisis. La identificación temprana es crucial para contener el daño.
• Contención: una vez identificado el incidente, se toman medidas para limitar su efecto. Esto puede incluir el aislamiento de sistemas afectados para evitar la propagación del ataque.
• Erradicación: en esta fase se elimina la amenaza de los sistemas afectados. Esto puede implicar la eliminación de malware o la corrección de vulnerabilidades.
• Recuperación: después de erradicar la amenaza, se restauran los sistemas y operaciones a su estado normal. Es importante asegurarse de que los sistemas estén completamente limpios antes de reanudar las operaciones.
• Lecciones aprendidas: finalmente, se evalúa el incidente y se analizan las lecciones aprendidas. Esta fase es crucial para mejorar los procesos y prevenir futuros incidentes.
Tener un plan de respuesta a incidentes bien definido es esencial para cualquier organización. Este plan debe incluir procedimientos claros para cada fase del manejo de incidentes y debe ser revisado y actualizado regularmente. Un plan efectivo puede marcar la diferencia entre una respuesta caótica y una gestión ordenada y eficiente.
Un ejemplo notable de gestión de incidentes fue el ataque de ransomware WannaCry en 2017. Este ataque afectó a miles de organizaciones en todo el mundo. Se estima que provocó pérdidas por valor de 4 000 millones de dólares.
No obstante, aquellas organizaciones con planes de respuesta bien definidos pudieron contener y erradicar la amenaza de manera más efectiva. Este caso subraya la importancia de estar preparados y tener un plan de acción claro.
Durante un incidente de ciberseguridad, la comunicación efectiva con las partes interesadas es crucial para gestionar la crisis de manera adecuada.
Se debe establecer una comunicación interna constante entre los equipos de respuesta a incidentes, incluyendo TI, seguridad y alta dirección. Esto asegura que todos estén al tanto de la situación y puedan coordinar sus acciones.
También se debe informar a los empleados sobre el incidente y las medidas que deben tomar, como cambiar contraseñas o evitar el uso de ciertos sistemas. Son esenciales para contener el daño.
La comunicación externa también es muy importante. Las organizaciones deben notificar a sus clientes y usuarios sobre el incidente, especialmente si sus datos personales han sido comprometidos. La transparencia es clave para mantener la confianza.
Dependiendo de la gravedad del incidente, puede ser necesario informar a las autoridades reguladoras. Esto es especialmente importante en sectores altamente regulados como el financiero o el de la salud.
En algunos casos, puede ser necesario emitir comunicados de prensa para informar al público y controlar la narrativa del incidente. Una comunicación clara y efectiva no solo ayuda a gestionar mejor el incidente, sino que también demuestra la responsabilidad y el compromiso de la organización con la seguridad y la transparencia.
Hay diversas normativas y estándares que guían la gestión de incidentes de ciberseguridad. Uno de los más reconocidos es el marco del NIST (National Institute of Standards and Technology), que proporciona directrices detalladas para la gestión de incidentes. Cumplir con estos estándares no solo mejora la seguridad, sino que también puede ser un requisito legal en muchas industrias.
De igual manera, en la Gaceta Oficial de la República Cuba está legislado en la Resolución 105/ 2021, Reglamento sobre el Modelo de Actuación Nacional para la Respuesta ante Incidentes de Ciberseguridad, el cual tiene los siguientes objetivos:
a) Garantizar que a través de la gestión de incidentes de ciberseguridad se pueda prevenir, detectar y responder oportunamente ante posibles actividades enemigas, delictivas y nocivas que puedan ocurrir en el ciberespacio, así como realizar el enfrentamiento y neutralización de estos sucesos y atender a lo que a cada organismo que participan en la seguridad de las tecnologías de la información y la comunicación (TIC), le corresponde;
b) coordinar la actuación oportuna, ordenada y efectiva de las personas jurídicas, involucradas en un incidente y su intervención en cada una de las etapas;
c) evaluar el daño causado y minimizar sus consecuencias;
d) establecer la cooperación entre los organismos que participan en la seguridad de las TIC y la defensa del ciberespacio nacional, y
e) adoptar una terminología común para clasificar los incidentes de ciberseguridad.
La actuación ante un incidente de ciberseguridad en nuestro país transcurre por etapas, con independencia de la clasificación de este, y se ejecutan a todos los niveles las acciones comprendidas en cada una, las que se definen en el anexo I del reglamento. Se establecen como obligatorias las siguientes:
a) Etapa 1: prevención y protección. Se refiere a las acciones preventivas y de protección de carácter extensivo que coadyuvan y contribuyen a evitar incidentes cibernéticos que pueden impactar en la ciberseguridad.
b) Etapa 2: detección, evaluación y notificación. Se refiere a todo el proceso en que se detecta, se evalúa su efecto y se notifica el incidente.
c) Etapa 3: investigación. Incluye el proceso de esclarecimiento del incidente de acuerdo a las competencias de los organismos que participan en la seguridad de las TIC y la defensa del ciberespacio nacional.
d) Etapa 4: mitigación y recuperación. Incluye las acciones organizativas y tecnológicas que permitan remediar los daños causados, mitigar las vulnerabilidades que propiciaron la ocurrencia del incidente, la recuperación y el seguimiento a las medidas tomadas.
Tanto la tipificación de los incidentes como la caracterización de la peligrosidad son establecidos en este reglamento.
De igual manera, queda muy bien explicado cómo debe ser la actuación ante cada uno de los incidentes teniendo en cuenta el nivel de peligrosidad y los niveles de seguridad existentes.
Los responsables vinculados directamente a la informática en las infraestructuras donde ocurran incidentes de ciberseguridad están obligados a informar al jefe inmediato superior y al Equipo de Respuesta a Incidentes Computacionales de Cuba, CuCERT, perteneciente a la Oficina de Seguridad para las Redes Informáticas del Ministerio de Comunicaciones.
Debido a lo anterior, subrayamos la importancia que tiene la labor de estos colegas, que cada día se levantan con el escudo en mano y disponen su sabiduría en función de proteger el ciberespacio nacional. Se puede observar cómo, de forma general, en este modelo se integraron las mejores buenas prácticas internacionales que existen.
La gestión de incidentes de ciberseguridad es una disciplina esencial en la era digital. Una preparación adecuada y una respuesta efectiva pueden mitigar los riesgos y proteger los activos digitales de una organización.
En un entorno donde las amenazas cibernéticas son cada vez más sofisticadas, invertir en la gestión de incidentes no es solo una buena práctica, sino una necesidad imperativa.
Cubadebate.
1- Que no debe utilizar un lenguaje ofensivo.
2- Que debe ajustarse al tema del artículo.
El administrador del portal se reserva el derecho a no publicar los comentarios que incumplan las políticas anteriores.