Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Plan de respuesta a incidentes de OWASP. Seguridad desde el diseño.

Plan de respuesta a incidentes de OWASP. Seguridad desde el diseño.

Seguridad desde el diseño. Plan de respuesta a incidentes de OWASP

 

Es más que evidente (y ya lo hemos comentado en otras ocasiones) el espectacular aumento de la hiperconectividad que estamos viviendo y el consiguiente salto a la movilidad que conlleva. Todo lo hacemos ya desde nuestros dispositivos y esa dependencia no dejará de aumentar en los próximos años.

Este escenario no pasa desapercibido tampoco a los cibercriminales que están centrando cada vez más sus actividades delictivas en el mundo móvil en general y en las apps en particular, siendo conscientes, como son, de que aún falta mucho recorrido en concienciación y en seguridad desde el diseño.

De hecho, de acuerdo con un informe de Verizon, el 40% de todas las brechas de seguridad detectadas en 2015 se dieron en el entorno móvil. Cifra que, en 2016 habrá aumentado considerablemente.

Ese creciente aumento del uso de soluciones en la nube y en movilidad que nos ofrecen los proveedores de servicio, a las que en una gran mayoría se accede vía aplicación móvil, hace que los factores de riesgo aumenten de manera exponencial.

lan de Respuesta a Incidentes OWASPLa seguridad desde el diseño obliga analizar los riesgos de seguridad y las posibles vulnerabilidades de nuestro proyecto desde el mismo momento que comenzamos a diseñarlo, así como a hacer una evaluación de la previsión del ciclo de vida de la seguridad en el proyecto. Open Web Application Security (OWASP) es un proyecto de código abierto dedicado a determinar y combatir las causas de que el software sea inseguro.

Entre sus múltiples apartados, todos ellos más que recomendables y a los que dedicaré otros posts más adelante, me voy a centrar hoy en su Plan Integral de Respuesta a Incidentes aplicable no solo a aplicaciones móviles (el objeto principal de Owasp) sino que puede ser extensible a cualquier otro ámbito de la ciberseguridad de una empresa o institución. Dicho plan permite a las organizaciones ser proactivas y capaces de responder rápida y eficazmente cuando un sistema es comprometido.

El plan, que está disponible en su totalidad en la web en inglés) establece diez consideraciones que deberíamos tener en cuenta e implementadas antes de que sea demasiado tarde: antes de ser atacados.

  • Auditoría previa

Antes de cualquier otra consideración debemos conocer el verdadero estado de la situación en nuestra organización y tomar conciencia del nivel de preparación que tenemos de cara a enfrentar un incidente desde distintos puntos de vista:

  • Personal: Deberemos comprobar si existe un equipo de respuesta a incidentes formalmente designado y, en caso de existir, verificar si los miembros de dicho equipo tienen bien asignadas sus funciones, responsabilidades, roles y recursos disponibles para que puedan cumplir sus funciones; así como las habilidades técnicas adecuadas para las funciones o tareas designadas.
  • Proceso: determinar si, ante un incidente, el plan establece exactamente qué se debe hacer, si existe un timing y una organización entre los miembros del equipo de manera que sepan qué hacer, cuándo hacerlo, cómo hacerlo y cómo documentarlo.
  • Medios necesarios: identificar los medios necesarios para hacer frente al ataque y si los miembros del equipo tienen acceso a ellos en el momento preciso.

Además, y aunque no sea objeto específico del plan, es necesario conocer las interacciones entre todos los procesos de negocio y cuál es el estado de seguimiento y documentación de dichas interacciones.

  • Equipo de Respuesta

Es sorprendente que, en un escenario como en el que nos encontramos, comprobar que son muy pocas las organizaciones que están completamente preparadas para reaccionar ante incidentes de manera rápida y efectiva.

Es esencial crear un equipo de respuesta a incidentes cuyo objetivo sea establecer prioridades para la gestión, respuesta y recuperación ante la ocurrencia de un incidente de seguridad.

Obviamente, el equipo de respuesta a incidentes debe estar formado por personas con suficientes habilidades técnicas que sean capaces de tomar las decisiones adecuadas en el momento oportuno, incluso de manera autónoma, en muchas ocasiones.

Los siguientes roles son imprescindibles para cualquier equipo de respuesta:

  • Jefe de equipo, que deberá coordinar los esfuerzos del equipo y asegurar que las tareas asignadas se ejecuten de manera eficiente.
  • Oficial de intervención, se ocupa de los incidentes que se informan y deberá decidir si se trata de un incidente propiamente dicho que deba ser atendido por el equipo y en qué circunstancias.
  • Agentes de intervención, que analizarán la información, propondrán soluciones, resolverán incidentes y darán cuenta de los progresos o retos enfrentados.

En ocasiones, algunos servicios de terceros cuyas actividades son relevantes en la Gestión de Incidentes, como pueda ser el proveedor de servicios de comunicación, pueden y deben ayudar a responder a los incidentes de una forma más rápida y efectiva.

Un miembro esencial y que debería existir en todo Equipo de Respuesta a Incidentes es un Asesor Jurídico que vele por el alcance e implicaciones legales del ataque y ayude a determinar el nivel de importancia y las prioridades a la hora de proteger y rescatar la información comprometida, además de velar por la privacidad y protección de la misma durante todo el proceso de respuesta a incidentes.

  • Documentar el plan de respuesta a incidentes

Una organización debe tener un plan de respuesta a incidentes bien documentado y puesto en conocimiento de todo aquel que pudiera resultar implicado. Podemos encontrar infinidad de documentos de muestra que pueden ser de utilidad. Un buen punto de partida es la ISO 27000 y, a partir de ella, diseñar y adaptar el plan a las concretas necesidades de cada organización.

Debemos ser conscientes de que, para seguir siempre las mejores prácticas, nuestro plan debe ser factible y alcanzable para la organización. Solicitar su conformidad a un auditor externo experto a través de la ISO 27001 es, sin duda, una práctica recomendable que garantizará su completa adaptación a las necesidades de la organización.

Los puntos mínimos que debe cubrir todo Plan de Respuesta a Incidentes son: Roles y responsabilidades, Investigación, Protocolo de actuación y Mitigación, Recuperación y Documentación.

  • Identificar sus indicadores y desencadenantes.

Debemos dejar bien claro qué será categorizado como incidente en la organización. No todo evento que suceda desencadenará en un incidente por lo que es muy importante cuantificar y determinar el peso de los factores potencialmente susceptibles de desencadenar un incidente. Algunos ejemplos pueden ser:

  • Pérdida o robo de Equipo.
  • Pérdida o robo de información.
  • Instalación de software o hardware no autorizada.
  • Transmisión de información no autorizada (tanto interna como externa).
  • Intentos de obtener acceso no autorizado a datos, equipos o dispositivos.
  • Intento de comprometer o romper redes de seguridad definidas dentro de la organización
  • En general, no cumplir las políticas de seguridad de la organización.
  • Investigar el problema

Cuando se produce un evento, lo primero que debe hacerse es categorizar dicho evento,  identificar si supone o no un incidente y determinar si se trata de un incidente potencial válido o no.

La investigación, que requerirá la intervención del equipo descrito, dependerá de la causa del incidente y del plan de acuerdo con la documentación de respuesta a incidentes. Es muy importante cuidar la comunicación entre todas las partes implicadas y documentar al máximo posible todos los detalles del incidente guardando de todo evidencia.

Entre otras acciones, algunas de las que se deberán llevar a cabo en esta investigación son:

  • Establecer claramente lo que ha ocurrido (definir si se trata de un ataque de malware, hack del sistema, secuestro de sesión, denegación de servicio, etc.)
  • Identificar qué sistemas, personas o procesos han sido comprometidos o afectados
  • Determinar el punto de origen o fuente del vector de ataque.
  • Recopilar, revisar y analizar toda la información relativa al incidente
  • Comprobar los equipos afectados y qué vulnerabilidad desencadenó el incidente.
  • Identificar si ha habido información revelada a personas no autorizadas, eliminada o dañada.
  • Valorar el posible impacto comercial del incidente (interrupción de negocio, pérdidas, costes).
  • Determinar el alcance y responsabilidades legales que pudiera suponer el incidente.
  • Protocolo de actuación y Mitigación.

Esa investigación da paso al protocolo de actuación y resolución. A medida que el equipo va identificando y haciendo averiguaciones sobre lo que ha pasado, va planificando y ejecutando las acciones necesarias para su resolución definitiva. Todo plan debe describir, para cada tipo de incidente, los pasos necesarios para su mitigación.

Los tres puntos que debe incluir todo protocolo de actuación son:

  • Clasificación del incidente.
  • Priorización de incidentes.
  • Asignar tareas específicas a personas específicas.

En algunos incidentes, la respuesta puede requerir acciones más complicadas y coordinadas para eliminar los vectores de ataque de su entorno. Si la organización no tiene la experiencia o los medios necesarios para ejecutar y documentar todos los pasos, deberá externalizar este servicio.

  • Recuperación.

Una vez que se ha llevado a cabo una investigación exhaustiva y determinado las acciones a ejecutar, la recuperación se conformará como la vuelta de los equipos afectados al estado anterior al incidente. El procedimiento de recuperación debe incluir los pasos necesarios para la transición en función del entorno, el enfoque y necesidades de la empresa.

Algunos puntos a tener en cuenta en la fase de recuperación son:

  • Realizar un escaneo de malware.
  • Dejar un tiempo prudencial que demuestre que una red que ha quedado comprometida es otra vez segura.
  • Eliminar las restricciones temporales impuestas durante el período de investigación.
  • Sustituir registros comprometidos por versiones fiables.
  • Restablecer contraseñas en cuentas comprometidas.
  • Instalar actualizaciones y parches.
  • Instalar o reemplazar equipos que sean susceptibles a exploits.

En general, llevar a cabo todas las acciones necesarias que impidan que el incidente se pueda reproducir a futuro, o al menos minimizar el riesgo de que ello suceda.

  • Documentación y presentación de informes.

La presentación de informes y la documentación es una acción crítica que siempre deberá llevarse a cabo antes, durante y después de la respuesta al incidente. Algunas acciones clave, eventos y procesos que requieren documentación se han detallado en las secciones anteriores.

Deberá, además, hacerse hincapié:

  • La fecha, la hora y la ubicación real del incidente.
  • Quién descubrió y reportó el incidente.
  • Sistemas, materiales, procesos o información afectados.
  • Interesados ​​involucrados en el incidente.
  • Descripción completa de lo que sucedió y cómo se operó.
  • Quién ha sido informado sobre el incidente y las medidas adoptadas.

Se debe tener en cuenta, en función de la gravedad del incidente, a quién deberemos informar del incidente. El órgano de administración debe ser notificado inmediatamente si el incidente es considerado importante dentro de la categorización realizada. A medida que se disponga de más información durante todo el proceso de respuesta, del mismo modo deberá ir actualizándose la información ofrecida.

Debemos determinar quiénes son los interesados, tanto ​​internos como externos (incluyendo proveedores de servicios), de esa información.

Es muy recomendable para las organizaciones involucrar al asesor jurídico en la creación de todos los informes para garantizar el cumplimiento de cualquier obligación a la que estuviera sujeta en materia de seguridad y protección de datos, ya que como hemos comentado en varias ocasiones, a partir de mayo de 2018 vamos a tener que notificar las brechas que supongan fuga de información de carácter personal.

  • Revisión del proceso

Es imperativo monitorizar continuamente un incidente y la carga de trabajo de los distintos roles y equipos de actuación para que el proceso de respuesta a incidentes sea lo más eficaz posible.

Durante la revisión del proceso deben tenerse en cuenta todas las acciones emprendidas y su influencia sobre futuros desarrollos y procesos, integrando aquellas que han funcionado como procedimientos habituales y constatando la necesidad de implementar o revisar las que no han funcionado en su totalidad.

  • Práctica

Nunca esperemos a que un incidente suceda para tener el equipo funcionando y dispuesto. Es vital de cara a una efectiva respuesta a incidentes el ejecutar, de manera organizada, todo o parte del Plan como entrenamiento previo y comprobar las debilidades del mismo.

Sólo si conocemos nuestras debilidades y vulnerabilidades podemos proponernos el objetivo de mejorar.

Hacer simulacros de ataque o test de intrusión para comprobar cómo reaccionan, si se producen inconsistencias en el Plan de Acción o hay algún aspecto que se ha quedado sin cubrir.

Es importante documentar los resultados de estos simulacros y ejercicios e incorporar los hallazgos en el plan, introduciendo las correcciones necesarias. Solo así conseguiremos un plan que se adapte verdaderamente a las necesidades concretas de nuestra organización.

El objetivo de estas acciones no es intimidar a los miembros del equipo o compañeros de trabajo, sino determinar si el Plan de Respuesta funciona o no antes de que ocurra el evento real.

Conclusión

Se considera incidente a cualquier evento adverso que amenace la confidencialidad, integridad o disponibilidad de los activos de información o recursos de una organización. Es vital concienciar a todos los trabajadores de la organización y, en particular, a los integrantes del equipo de Respuesta a Incidentes de la necesidad de formarse, participar en eventos externos, asistir a conferencias, inscribirse en cursos y todo tipo de actividades que les mantengan al día en materia de seguridad.

La Respuesta a Incidentes implica a toda la organización y no debe restringirse únicamente a la unidad de TI, al administrador de sistemas o al director de seguridad.

Debería comunicarse de manera clara que la actividad principal de una organización, la producción o la prestación de servicios puede verse seriamente comprometida y puesta en peligro cuando tiene lugar un incidente de seguridad. Un Plan de Respuesta a Incidentes bien implantado conseguirá prevenir, manejar, controlar, resolver y documentar adecuadamente los incidentes que puedan surgir.

La Recuperación de Incidentes es una necesidad para cualquier organización reconocida y apoyada en las normas de seguridad ISO 27001 y en marcos como ITIL y COBIT.

¿He conseguido orientarte un poco sobre lo que supone un Plan de Respuesta a Incidentes? Cualquier duda, no dejes de preguntarme y de solicitar información sobre cómo podemos implantarlo en tu empresa.

By | 2017-04-17T19:34:31+00:00 Marzo 26th, 2017|Blog|4 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

4 Comments

  1. rosa fernandez 26/03/2017 at 7:17 pm - Reply

    Un gran artículo, como todo lo tuyo. Gracias por tus aportaciones y por compartir conocimiento

    • Susana 03/04/2017 at 12:18 pm - Reply

      Mil gracias Rosa! Es un lujo recibir apoyos así. Cuando escribes buscas aportar, y el tiempo dedicado se premia si se recibe con agrado y sirve para algo. Un abrazo.

  2. José Luis Navarro 27/03/2017 at 5:26 pm - Reply

    Hola Susana.

    Me parece un artículo estupendo, tanto por la claridad de los conceptos, como por el lenguaje sencillo que empleas para darlo a conocer a quienes no son técnicos informáticos. Sin embargo, el problema de las PYMES, esas pequeñas empresas que son más del 75% del tejido empresarial español, no está en que no se entiendan estos conceptos o no haya buenos técnicos capaces de dar respuesta. El problema es el desinterés y la falta de conciencia tecnológica de los responsables de las empresas.
    Muchas veces nos encontramos con que desde la propia dirección de las empresas se considera al propio departamento IT (si es que existe siquiera) como un gasto, y todo lo que implique invertir en cualquier cosa que huela a ordenadores es tirar dinero. Con esta pobre mentalidad, todo esto queda por desgracia en agua de borrajas.

    Un saludo

    • Susana 03/04/2017 at 12:21 pm - Reply

      Muchas gracias José Luis! Sí, tienes toda la razón. Queda un largo camino todavía hasta que los usuarios (y quienes administran y asumen responsabilidades en las empresas son usuarios) vean claro que invertir en prevención es lo más ventajoso. Hoy por hoy todavía se invierte en tangible más que en prevención en ciberseguridad y, así van las cosas… El gran problema es que todo se mide en términos de productividad y conversión en dinero a la cuenta de resultados, hasta que un día sucede algo y se paraliza la producción y la productividad se ve afectada al 100% además de otras sanciones e indemnizaciones. Ahí empieza ya a haber empresarios concienciados, a golpe de robo o sanción. Un abrazo.

Leave A Comment