Responder a intrusiones de red
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir los elementos clave de un plan de respuesta ante incidentes.
- Explicar cómo las organizaciones deben poner a prueba el plan.
- Identificar estrategias de comunicación de respuesta ante incidentes.
Crear un plan de respuesta ante incidentes
Imagine un equipo de fútbol que compite en la Copa del Mundo. El equipo tiene un alto nivel de entrenamiento y espera ganar sin problemas. Sin embargo, para el final del primer tiempo, van perdiendo por dos goles y se sienten derrotados. En el vestuario, el entrenador decide ajustar el plan. Implementarán una jugada diferente que estuvieron practicando, en la cual aprovechan la debilidad del defensor derecho del otro equipo. Cada jugador conoce su función y cómo ejecutar los movimientos. Con la ayuda del entrenador, el liderazgo de su capitán y las energías renovadas de algunos reemplazos esenciales, logran recuperarse y ganar el partido por un gol en los segundos finales, por lo que obtienen la medalla de oro.
De la misma forma que el entrenador implementa un plan para ganar el partido, los ingenieros de seguridad de red implementan un plan de respuesta ante incidentes cuando se presentan dificultades en la red. El plan ayuda a detener, contener y controlar el daño que un rival puede causar al tratar de interrumpir la conexión de los servicios, robar datos o acceder a información de forma ilícita. Contar con un plan implementado hace que responder ante un incidente sea más rápido e implique menos costos. Por lo general, el equipo dedicado de respuesta ante incidentes (IRT), compuesto por profesionales en seguridad, lidera la respuesta ante el incidente. De la misma forma en que el entrenador, el capitán y los reemplazos cumplieron una función a la hora de ganar el partido, los otros miembros de la organización, como los abogados, los especialistas en comunicación, la junta ejecutiva e, incluso, el orden público, cuentan con una función que cumplir. En el plan, se enumeran estas funciones y responsabilidades, y se garantiza una cobertura ininterrumpida durante la respuesta.
Al elaborar un plan de respuesta ante incidentes, el ingeniero de seguridad de red hace lo siguiente:
- Identifica y prioriza los componentes más esenciales de la red.
- Replica y almacena datos confidenciales en ubicaciones remotas que se puedan utilizar como una copia de seguridad en caso de que los hackers destruyan o modifiquen los datos.
- Identifica puntos únicos de error en la red y los fortalece mediante redundancias.
- Considera la continuidad de las operaciones: si los hackers ponen en riesgo el sistema de email, ¿de qué forma la compañía envía mensajes a los empleados sobre las medidas que se deben implementar a continuación?
La próxima fase de la respuesta ante incidentes involucra la detección de una intrusión. Los ingenieros de seguridad de red cumplen un papel fundamental en esta fase, como se describió en el módulo anterior. Cuando un ingeniero de seguridad de red detecta un incidente, sigue los procedimientos documentado en torno a qué información recopilar, cómo comunicarlo y a quiénes. Ante todo, el ingeniero de seguridad de red debe recopilar información adicional para que el IRT la analice.
Durante la fase de análisis, el IRT intenta comprender cuándo ocurrió el evento, cuál fue el punto de entrada y cómo se lo descubrió. Intenta determinar con rapidez el alcance y el impacto del peligro. Durante esta fase, puede que el ingeniero de seguridad de red necesite proporcionar registros e información adicional para ayudar al IRT a investigar los detalles del problema.
Este análisis permite que el IRT gestione la respuesta. Para comenzar, debe evitar que la infracción se propague. Para ello, puede interrumpir la conexión de los dispositivos a Internet, aislar los segmentos de la red, colocar el malware en estado de cuarentena o actualizar y fortalecer los sistemas. Es probable que el ingeniero de seguridad de red deba intervenir para ayudar a realizar estas tareas. Una vez que se haya contenido la amenaza, es importante erradicarla por completo de la red. Para ello, se debe buscar y eliminar la causa raíz. Se debe eliminar todo el malware, y se deberían cambiar los mecanismos de autenticación y replantear los sistemas, de ser necesario. Puede que también se produzca un fortalecimiento y la implementación de parches adicionales en los sistemas. A medida que el equipo avance en la fase de recuperación, puede que el ingeniero de seguridad de red también necesite coordinar copias de seguridad del sistema para restaurar las operaciones comerciales.
Los profesionales en seguridad realizan este tipo de planificación para ayudar a la organización y, a menudo, para cumplir con los requisitos regulatorios. El plan se debe aprobar y debe contar con la participación de ejecutivos y con financiación. Debe ser práctico y flexible para garantizar que las funciones, las responsabilidades y los procedimientos sean claros, pero también debe permitir respuestas a situaciones inesperadas. Por último, todos los miembros de la organización deben conocer el plan y contar con capacitación para llevarlo a cabo. Además, el equipo de seguridad debe probar el plan (aprenderá más sobre este asunto en la siguiente sección).
Probar el plan de respuesta ante incidentes
Los profesionales en seguridad también garantizan que la empresa conozca y comprenda el plan, y realizan prueba y actualizaciones del plan con regularidad. Los equipos tecnológicos y comerciales deben comprender el plan, su importancia y los conceptos básicos de seguridad. La capacitación puede ayudar a lograr esto.
Los profesionales en seguridad también prueban el plan al menos una vez al año. Los escenarios de desglose pueden ayudar al IRT a prepararse para implementar el plan, de la misma forma que la práctica ayuda a un equipo de fútbol a prepararse para ganar un partido importante. Puede utilizar una herramienta, como ejercicios de simulación, con el equipo ejecutivo para realizar un simulacro de infracción de datos.
Exponer a los ejecutivos a un escenario de respuesta que en verdad podría ocurrir ayuda a preparar a la organización completa para poder responder ante un incidente, comunicarse y tomar decisiones durante este. Esto no solo ayuda al equipo a sentirse preparado cuando en verdad se produzca un incidente, sino que también demuestra que el equipo de seguridad considera las amenazas de forma proactiva. También puede indicar los aspectos en los que se precisan políticas o procedimientos más claros para ayudar a guiar la respuesta o en los que se necesitan más recursos financieros o personal. Además, ayuda a destacar la importancia de la organización de seguridad al equipo de ejecutivos, lo cual ayuda a la hora de generar la participación de los ejecutivos en el plan.
Por último, se debe revisar y actualizar el plan con regularidad. Además de las actualizaciones programadas, los equipos de seguridad revisan el plan luego de una infracción, como respuesta a las amenazas que evolucionan o cuando se producen cambios significativos en la tecnología que utiliza la organización, en la estructura o en el liderazgo de la organización.
Realizar comunicados durante un incidente
Como parte del plan de respuesta ante incidentes, los profesionales en seguridad documentan la estrategia de comunicación interna y externa que se debe seguir durante un incidente. ¿Quién debe realizar los comunicados, qué deben informar y a través de qué canales? Debería haber una persona específica designada para realizar los comunicados externos. El plan también debe incluir criterios que involucren el orden público y utilicen directrices regulatorias al formular los criterios de distribución. Debe proporcionar una estrategia de comunicación de respaldo en caso de que los canales habituales de comunicación (como el email) se encuentren en riesgo debido a la infracción.
Como parte de la estrategia de comunicación, los profesionales en seguridad documentan cómo se comunica la organización con sus clientes, en específico qué información comunicar sobre una infracción, cuándo y cómo hacerlo. Las organizaciones deben tratar este asunto con sumo cuidado debido a que los clientes pueden enojarse o perder la confianza en la marca cuando se produce un incidente, y debido a que las regulaciones y las normativas de privacidad y seguridad cuentan con directrices específicas sobre qué asuntos se deben abordar.
Si la compañía oculta el incidente, no lo informa en el plazo requerido o no realiza comunicados de forma correcta, esto podría afectar la reputación de la compañía, la cual podría enfrentarse a multas o acciones legales. Conocer las regulaciones y las mejores prácticas que se deben aplicar en la organización y detallar cómo implementarlas durante la respuesta a un incidente son aspectos clave del plan de comunicación.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para empezar a trabajar, disponga la lista de elementos en la secuencia correcta para que reflejen el orden en el que deberían producirse. Cuando termine de reordenar todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.
¡Excelente trabajo! Revisó la importancia de contar con un plan implementado a la hora de responder ante un incidente y describió la función de un ingeniero de seguridad de red para identificar puntos únicos de error en la red. También exploró cómo detectar un incidente, cómo proporcionar información para que el IRT la analice y cómo contar con conocimientos y capacitación acerca del plan de respuesta ante incidentes, el plan de comunicación y los escenarios de prueba asociados. En la próxima unidad final, se describen las responsabilidades de un ingeniero de seguridad de red a la hora de recuperarse de un incidente y restablecer el funcionamiento habitual.
Recursos
- Sitio externo: Guía de gestión de incidentes de seguridad informática de NIST
- Sitio externo: Control de CIS 19: Gestión y respuesta a incidentes
- Sitio externo: Manual del controlador de incidentes de SANS
- Sitio externo: Cómo formular su plan de respuesta ante incidentes de SANS
- Sitio externo: Guía para la gestión de incidentes de Cybersecurity Coalitions
- PDF: Marco de trabajo de NIST para mejorar la ciberseguridad de la infraestructura crítica