Servicios de apoyo y el factor humano en la respuesta ante incidentes de seguridad
Seguro que muchos de nosotros conocemos casos o hemos sufrido directamente algún ataque informático que ha causado problemas graves, pérdidas económicas o daños reputacionales a empresas u organizaciones.
Pero, planteémonos las siguientes preguntas: ¿cuento con especialistas en incidentes de seguridad? ¿Tengo suficiente personal y específicamente formado para recuperar la normalidad? ¿Hemos podido identificar el origen, el alcance y las consecuencias del incidente? ¿Qué hemos hecho para solucionarlo? ¿Hemos podido restaurar el estado normal de nuestros sistemas y datos?
Si no hemos contado con unos buenos servicios de respuesta ante incidentes de seguridad y análisis forense (DFIR por sus siglas en inglés) y de apoyo a las operaciones de recuperación de un incidente de ciberseguridad, es muy probable que hayamos tenido dificultades para responder a estas preguntas y eso puede tener un impacto negativo en nuestro negocio, en nuestra reputación como compañía y por tanto en la confianza de nuestros clientes.
Estos servicios son los que nos permiten identificar la causa raíz del problema, determinar el vector de ataque, qué vulnerabilidades se explotaron, y qué tácticas, técnicas y procedimientos (TTP) fueron utilizados por el actor malicioso.
Son los que nos ayudan en la ejecución de nuestro plan de recuperación ante desastres (DRP por sus siglas en inglés) a evaluar el impacto y sus consecuencias, establecen las medidas correctivas y preventivas necesarias para evitar que vuelva a ocurrir y, por último y no menos importante, recopilan las evidencias que se han de custodiar para una futura acción judicial.
Este análisis es esencial para orientar las acciones de recuperación, que consisten en eliminar las amenazas, reparar los daños, restablecer los servicios y aplicar medidas correctivas y preventivas.
Planificación y coordinación
Todos somos conscientes que no siempre contamos con el personal necesario en nuestra operación diaria y esto se manifiesta de forma alarmante cuando hay que implantar nuevos proyectos, desplegar herramientas o implantar la nueva actualización de una directiva de seguridad. Si a esta situación le añadimos que sufrimos un incidente de seguridad grave que hay que contener y solucionar: tenemos una situación muy complicada.
Con un buen trabajo de planificación y coordinación previo, se orienta el esfuerzo de recuperación en base a tareas y acciones claramente identificadas, evitando cambios de criterio, pérdidas de tiempo y de recursos. De especial importancia es el apoyo a las operaciones de recuperación, ayudando a implementar las medidas necesarias para impedir la reactivación del incidente, restablecer el estado normal y ejecutar las acciones identificadas como lecciones aprendidas que nos permitirán evitar un futuro incidente.
Factor humano
Será muy difícil que contemos con especialistas con los conocimientos y entrenamiento necesarios para que nos ayuden en las funciones de análisis del origen, evaluación del impacto y definición de las acciones de contención, mitigación y restauración. No debemos de olvidar, además, que detrás de estos especialistas hay personas, profesionales cualificados y comprometidos que trabajarán duro para lograr cerrar los incidentes de ciberseguridad.
Pero estas personas también se cansan, tiene una vida familiar que se ve interrumpida durante días o semanas y que se comprensiblemente se desmoralizan cuando se enfrentan a estas situaciones difíciles y estresantes.
Conclusión
En consecuencia, es importante afinar muy bien la planificación de las acciones de recuperación en base a un buen trabajo previo especializado que oriente el esfuerzo en el camino correcto, sin cambios de criterio y que trabaje coordinadamente con el personal interno complementando sus funciones y apoyándoles ahí donde puede que no lleguen.
Solo así podremos contar con un equipo humano capaz de conseguir en el menor tiempo posible gestionar el incidente de forma eficiente.
Sin el personal especializado en número, disponibilidad y conocimiento, estaríamos a merced de los ciberdelincuentes, que podrían seguir explotando nuestras vulnerabilidades o llevarnos a demorarnos en exceso en volver al estado de normalidad ocasionando un serio impacto en los servicios e imagen de la compañía.
Gabriel Aracil Pizarro
Govertis, parte de Telefónica Tech
