Cómo proteger los activos de información

Autor:
Ricardo Naranjo Faccini
Fecha de publicación:
miércoles 26 abril 2023
Tema:
Seguridad de la información, seguridad informática y cibernética
Revisado por :
Ricardo Naranjo Faccini
(miércoles 26 abril 2023)

Resumen

Para proteger los activos de información de una organización es necesario implementar un plan integral que contemple actividades preparativas, preventivas, reactivas y de mejora continua. Solo así se puede garantizar una protección adecuada contra posibles amenazas y una rápida respuesta ante un incidente de seguridad.

Las actividades preparativas incluyen la identificación de los activos de información, la evaluación de riesgos y la definición de políticas y procedimientos. Estas medidas buscan preparar a la organización para enfrentar posibles amenazas y minimizar el impacto de un incidente.

Las actividades preventivas se enfocan en evitar que ocurran incidentes de seguridad. Entre ellas se encuentran la implementación de controles de acceso, la monitorización de los activos de información y la concientización y entrenamiento del personal. Estas medidas ayudan a reducir la probabilidad de que un ataque tenga éxito.

Las actividades reactivas, por su parte, se enfocan en responder de manera adecuada a un incidente de seguridad. Entre ellas se encuentran la detección temprana, la contención, la recuperación y la recopilación de evidencias. Estas medidas buscan minimizar el impacto del incidente y prevenir que vuelva a ocurrir.

Finalmente, las actividades de mejora continua buscan evolucionar el plan de seguridad de la organización para incrementar su capacidad de prevención, detección, contención, análisis, erradicación y recuperación. Entre ellas se encuentran la adopción de nuevas herramientas, la capacitación permanente del personal y la comunicación con pares.


Introducción

La protección de los activos de información es una preocupación constante para cualquier organización, especialmente en la era digital en la que vivimos. Las empresas se enfrentan a una gran cantidad de amenazas y riesgos, incluyendo ciberataques, robo de información, espionaje industrial, entre otros. Por lo tanto, es esencial contar con un plan efectivo para proteger los activos de información de la organización. En este artículo, se describirán las actividades preparativas, preventivas, reactivas y de mejora continua que se deben llevar a cabo para proteger los activos de información.

1. Actividades Preparativas

1.a. SGSI

El SGSI (Sistema de Gestión de Seguridad de la Información) es un conjunto de políticas, procesos, procedimientos y controles que una organización implementa para gestionar y proteger sus activos de información. El SGSI se basa en los principios de la norma ISO/IEC 27001, que es un estándar internacional para la gestión de la seguridad de la información.

El objetivo del SGSI es establecer una estructura de gestión de la seguridad de la información que permita a la organización identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información. El SGSI también se enfoca en la implementación de medidas para prevenir incidentes de seguridad y minimizar los daños económicos y reputacionales en caso de un incidente.

El SGSI incluye la definición de una política de seguridad de la información, que establece las directrices generales para la gestión de la seguridad de la información en la organización. La política de seguridad de la información se basa en los objetivos y la estrategia de la organización, así como en las leyes y regulaciones aplicables.

El SGSI también incluye la definición de un marco de riesgos, que permite a la organización identificar y evaluar los riesgos relacionados con la seguridad de la información. El marco de riesgos establece los criterios para la evaluación y gestión de los riesgos, así como los procedimientos para el tratamiento de los riesgos identificados.

Otro elemento importante del SGSI es la implementación de controles de seguridad de la información. Los controles se dividen en tres categorías: controles técnicos, controles físicos y controles administrativos. Los controles técnicos incluyen medidas como firewalls, antivirus, y detección de intrusiones. Los controles físicos incluyen medidas como la protección de los centros de datos y el acceso controlado a las instalaciones. Los controles administrativos incluyen medidas como políticas de seguridad, entrenamiento y concientización de los empleados, y la gestión de incidentes.

Por último, el SGSI incluye la implementación de un ciclo de mejora continua. El ciclo de mejora continua permite a la organización evaluar regularmente la efectividad del SGSI y realizar mejoras en el mismo. El ciclo se compone de cuatro etapas: planificar, hacer, verificar y actuar.

1.b. El SOC

El SOC (Centro de Operaciones de Seguridad) es el equipo responsable de la monitorización, detección, respuesta y recuperación de incidentes de seguridad de la información en una organización. El SOC es una parte integral del SGSI y es esencial para garantizar la seguridad de los activos de información de la organización.

El SOC debe contar con personal capacitado y actualizado en diversos roles:

  • El CISO (Chief Information Security Officer) es el responsable de la estrategia de seguridad de la información en la organización y lidera el equipo del SOC.

  • El coordinador de operaciones es el encargado de la gestión diaria del SOC y coordina los esfuerzos del equipo para garantizar una respuesta rápida y efectiva a los incidentes de seguridad.

  • El equipo del SOC también incluye a los analistas de inteligencia y análisis de amenazas, que monitorizan las amenazas y vulnerabilidades externas e internas y proporcionan información crítica para la toma de decisiones.

  • El analista de vulnerabilidades es responsable de identificar y evaluar las vulnerabilidades en los sistemas de la organización y proponer medidas de mitigación.

  • Los operadores 24/7 son el núcleo del equipo del SOC y se encargan de la monitorización constante de la infraestructura de la organización y de la detección temprana de posibles amenazas. También son responsables de la evaluación de alertas y de la realización de investigaciones iniciales de incidentes.

  • La respuesta a incidentes y los restauradores de continuidad son responsables de la coordinación de la respuesta a los incidentes, la mitigación de los daños y la restauración de los sistemas y servicios críticos.

  • Los forenses son responsables de la recopilación y análisis de evidencia digital en caso de un incidente de seguridad, con el fin de identificar la causa raíz y prevenir futuros incidentes similares.

  • Por último, el encargado de comunicaciones es responsable de la comunicación externa e interna durante un incidente de seguridad, incluyendo la coordinación con las autoridades y la gestión de la comunicación con los medios de comunicación y el público en general.

Es importante destacar que un buen equipo del SOC debe tener todos los roles mencionados anteriormente, aunque una sola persona puede asumir varios roles en organizaciones más pequeñas o incluso ser personal externo que esté disponible para ser contratado en caso de requerirse sus servicios.

Es crucial que el equipo del SOC se autoproteja antes de proteger a la organización, tal como lo indica la analogía de ponerse la mascarilla de oxígeno en un avión antes de ayudar a otros. Esto significa que el equipo del SOC debe garantizar que su propia infraestructura y sistemas estén seguros y protegidos antes de abordar la protección de la organización.

1.c. Mecanismo de comunicaciones

La comunicación es una parte crítica en el funcionamiento de un SOC, ya que permite la coordinación de las actividades del equipo y la rápida respuesta a incidentes. Es importante establecer mecanismos de comunicación interna y externa efectivos para asegurar una adecuada gestión de la seguridad de la información.

Dentro del SOC, es necesario establecer canales de comunicación eficaces entre los distintos miembros del equipo. Esto se logra mediante la utilización de herramientas de comunicación como chats, correos electrónicos, sistemas de tickets, entre otros. Es importante que estos canales estén protegidos y sean seguros para garantizar la confidencialidad de la información.

Además, es fundamental establecer protocolos claros de comunicación entre los miembros del equipo y los demás funcionarios de la organización, como el personal de TI, los gerentes de línea y los empleados en general. Esto se logra mediante la definición de los roles y responsabilidades de cada persona en caso de un incidente de seguridad de la información, y estableciendo procedimientos para reportar incidentes de seguridad y solicitar soporte.

Por otro lado, también es importante mantener una comunicación regular con otros SOC y equipos de seguridad de la información externos a la organización. Esto permite mantenerse al tanto de las últimas tendencias y amenazas de seguridad, y colaborar en la gestión de incidentes de seguridad a nivel global. La comunicación con pares se logra mediante la participación en foros, grupos de discusión, conferencias y otros eventos de la industria.

Además, es importante establecer canales redundantes de comunicación, que permitan asegurar la disponibilidad de la información y la capacidad de comunicación del equipo en caso de una interrupción en los sistemas principales de comunicación. Esto se logra mediante la utilización de múltiples canales de comunicación, como redes telefónicas, redes de radio y sistemas de comunicación satelital.

En cuanto a los reportes de incidentes, es fundamental establecer protocolos claros y detallados que permitan a los miembros del equipo reportar incidentes de seguridad de la información de manera efectiva. Esto incluye la definición de los procedimientos de reporte, los canales de comunicación a utilizar, las personas o entidades a las que se debe reportar, y el nivel de detalle requerido en los reportes.

Asimismo, es importante establecer protocolos para reportar incidentes a organismos externos o internos, como la policía, organismos reguladores o clientes. Estos protocolos deben definir los procedimientos a seguir, los canales de comunicación a utilizar, y el nivel de detalle requerido en los reportes.

Por último, es importante establecer protocolos para denunciar incidentes ante las autoridades competentes. Estos protocolos deben definir los procedimientos a seguir, los canales de comunicación a utilizar, y el nivel de detalle requerido en las denuncias. Es importante que estos protocolos se mantengan actualizados y que se comunique regularmente a todo el equipo para asegurar que estén disponibles y sean efectivos en caso de ser necesarios.

1.d. Inventario inicial de activos

El inventario de activos de información es un proceso fundamental para la gestión de la seguridad de la información en una organización. Este proceso implica la identificación y clasificación de los activos de información de la empresa y la documentación de sus características y propiedades.

Elementos TIC

Los activos de información pueden incluir información (archivos, bases de datos, documentos importantes, metadatos, bitácoras, llaves de cifrado, firmas electrónicas), hardware (servidores, computadoras, dispositivos de almacenamiento, portátiles, móviles, IoT, ciberfísicos, domótica, redes, enrutadores, gateways, firewalls, appliances), software (motores de base de datos, aplicaciones web, aplicaciones en la nube, aplicaciones de escritorio), y servicios (aplicaciones web, correo electrónico, SSH, ERP, CRM, LMS, mesa de ayuda y servicios en la nube).

Para cada elemento en el inventario, es importante que se le asigne un identificador único y se documente su responsable, sus vulnerabilidades conocidas, el impacto de su pérdida, las amenazas a las que está expuesto y los tipos de incidentes esperados. Esto proporciona una visión global de los activos de información de la organización y permite una gestión más efectiva de la seguridad de la información.

Elementos no - TIC

Es importante destacar que en el inventario de activos de información no se deben incluir solo elementos relacionados con las tecnologías de la información y la comunicación (TIC), sino también otros aspectos relevantes para el correcto funcionamiento de la organización.

Entre los elementos NO-TIC que se deben incluir en el inventario se encuentran:

  • Fluido eléctrico: Es importante conocer los proveedores de energía eléctrica y los planes de contingencia en caso de interrupciones o fallas en el suministro eléctrico.

  • Conectividad con Internet: Se debe identificar a los proveedores de conectividad con internet que puedan brindar el servicio a la empresa, indicando el canal regular establecido y el canal .

  • Conectividad con terceros: Se debe tener en cuenta la conectividad de la organización con proveedores, clientes y otras entidades con las que se tenga relación.

  • Infraestructura: Es necesario incluir en el inventario la infraestructura física de la organización, como edificios, instalaciones, equipos, extintores de incendio, plantas eléctricas, puertas, muros, vallas, ventanas, exclusas...

  • Buen nombre / Reputación: La reputación de la organización es un activo intangible valioso y se debe tener en cuenta en la gestión de riesgos.

  • Clima / plagas / polvo / sal marina: Factores ambientales externos pueden tener un impacto en la operación de la organización, por lo que es importante incluirlos en el inventario.

  • Relaciones con funcionarios y externos: Las relaciones con los directivos, implicados, clientes, proveedores, pares y entes de control también son importantes en la gestión de riesgos. Es necesario tener un directorio actualizado.

  • Personal con condiciones especiales: Se debe tener en cuenta a las personas con discapacidades, enfermedades o condiciones especiales como reinsertados de la guerrilla o ex-paramilitares para garantizar su control, seguridad y bienestar.

  • Secretos industriales: Información confidencial, como patentes o estrategias comerciales, deben ser identificadas y protegidas adecuadamente.

  • Propiedad intelectual: Se deben incluir las marcas registradas, derechos de autor, diseños y otros activos de propiedad intelectual de la organización en el inventario.

La identificación y documentación de los activos de información también puede ser útil para la elaboración de políticas de seguridad de la información y para la toma de decisiones sobre la asignación de recursos de seguridad.

Es importante destacar que el inventario de activos de información debe ser actualizado regularmente para reflejar los cambios en la infraestructura y los nuevos activos que se añadan a la organización. Es una tarea continua y en constante evolución.

1.e. Establecer una línea base

Establecer una línea base en un inventario de activos de información se refiere a definir una referencia de los valores normales o estándares de ciertos parámetros de los elementos incluidos en el inventario. La línea base es un punto de partida para detectar desviaciones que puedan indicar posibles vulnerabilidades o incidentes de seguridad.

En el caso de la línea base de tráfico de red, se pueden establecer los horarios pico y valle de uso de la red y los flujos de tráfico típicos de diferentes áreas de la empresa. Así, si se detecta un tráfico inusualmente alto en un horario en el que normalmente no hay mucho tráfico, puede ser una señal de que algo anómalo está sucediendo y debe investigarse.

En cuanto a la línea base de consumo de almacenamiento, se puede establecer un límite superior para el espacio de almacenamiento utilizado por diferentes áreas de la empresa. Si se detecta que una de las áreas está consumiendo un espacio de almacenamiento inusualmente alto, puede ser una señal de que hay un archivo malicioso en su sistema.

Además, la línea base también puede incluir ciertos archivos que no deben cambiar, como ejecutables y archivos de configuración. La idea es establecer una referencia para el comportamiento normal de los activos de información y detectar cualquier desviación que pueda ser indicativa de una amenaza de seguridad.

2. Actividades Preventivas

Las actividades preventivas son aquellas que se llevan a cabo para evitar que ocurran incidentes de seguridad de la información.

2.a. Hardening

El hardening es una técnica de seguridad que consiste en aplicar medidas de configuración y endurecimiento en sistemas, aplicaciones y dispositivos con el objetivo de reducir su superficie de ataque. Esto implica desactivar servicios y funciones innecesarias, limitar los permisos de los usuarios y establecer políticas de seguridad más restrictivas.

El hardening se complementa con otras técnicas y herramientas de seguridad para ofrecer una protección más completa y efectiva. Los antivirus, por ejemplo, son programas que buscan identificar y eliminar software malicioso en los sistemas y dispositivos. Los firewalls, por su parte, son sistemas que permiten controlar el tráfico de red y bloquear accesos no autorizados.

La actualización permanente de los sistemas operativos, aplicaciones, lenguajes de programación y motores de bases de datos es una medida esencial para garantizar la seguridad de la información. Esto incluye la aplicación de parches de seguridad y actualizaciones regulares para reducir las vulnerabilidades.

Las sandboxes son entornos de pruebas aislados en los que se pueden analizar programas y archivos sospechosos sin poner en riesgo el sistema principal. Los honeypots son sistemas falsos que simulan vulnerabilidades y atraen a los atacantes para detectar y analizar sus técnicas. Los IDS (Intrusion Detection Systems) y IPS (Intrusion Prevention Systems) son sistemas que permiten detectar y prevenir intrusiones y ataques en tiempo real.

OSSIM (Open Source Security Information Management) es un sistema de gestión de la información de seguridad que recopila y analiza eventos de seguridad procedentes de diversos sistemas y herramientas de seguridad. SOAR (Security Orchestration, Automation and Response) es una plataforma que permite automatizar y coordinar las respuestas a incidentes de seguridad de manera eficiente.

En conjunto, estas herramientas y técnicas de seguridad permiten fortalecer la seguridad de los sistemas y reducir los riesgos de sufrir incidentes de seguridad.

2.b. Cambiar claves prestablecidas

La importancia de cambiar las claves prestablecidas por fábrica en aplicativos, appliances, enrutadores, proxies y otros dispositivos de red es fundamental para mantener la seguridad de los activos de información de una organización. Las claves predeterminadas son conocidas por los atacantes y pueden ser utilizadas para acceder de manera no autorizada a estos dispositivos.

Muchos fabricantes proporcionan una clave predeterminada para sus dispositivos para facilitar la instalación y configuración de los mismos. Sin embargo, es importante recordar que estas claves son públicas y pueden ser fácilmente encontradas en línea por los atacantes. Una vez que un atacante obtiene acceso a un dispositivo con una clave predeterminada, puede tomar el control del dispositivo y utilizarlo para llevar a cabo ataques maliciosos o para robar información confidencial.

Para evitar este tipo de ataques, es esencial que las claves predeterminadas sean cambiadas por claves fuertes y seguras tan pronto como sea posible después de la instalación del dispositivo. Las claves fuertes deben tener al menos 8 caracteres, incluyendo letras mayúsculas y minúsculas, números y caracteres especiales.

Además, es importante cambiar regularmente las claves para mantener la seguridad de los dispositivos. Un buen enfoque es establecer una política de cambio de claves periódica, como cada 90 días, para garantizar que las claves sigan siendo seguras.

Combinar el cambio de claves con otras medidas de seguridad, como antivirus, firewalls, sandboxes, honeypots, IDS, IPS, OSSIM y SOAR, es fundamental para garantizar la seguridad de los activos de información. Estas medidas pueden ayudar a detectar y prevenir ataques maliciosos antes de que puedan causar daño a la organización.

2.c. Actualización permanente del inventario de activos

La actualización permanente del inventario de activos es fundamental para la gestión de la seguridad de la información en una organización. La razón principal es que los activos son la base de la protección de la información y es necesario saber en todo momento qué activos existen, quién los posee y cuál es su estado de seguridad.

Cuando se adquieren nuevos activos, es necesario incluirlos en el inventario para que puedan ser gestionados adecuadamente desde el punto de vista de la seguridad de la información. Esto implica establecer medidas de seguridad adecuadas para proteger el activo y la información que maneja, y asegurarse de que las políticas de seguridad se aplican a dicho activo.

Cuando se actualizan activos existentes, es importante actualizar también la información del inventario para reflejar los cambios realizados. Esto asegura que las medidas de seguridad estén actualizadas y adaptadas a las nuevas funcionalidades o vulnerabilidades que puedan haber surgido.

En caso de daño o pérdida de activos, es necesario actualizar el inventario para eliminar los activos afectados y ajustar las medidas de seguridad en consecuencia.

En caso de contratación o despido de personal, también es importante actualizar el inventario para reflejar los cambios en la propiedad y la responsabilidad de los activos. Esto permite asegurarse de que los activos están en manos de las personas adecuadas y que se aplican las medidas de seguridad apropiadas.

Finalmente, durante las licencias del personal por vacaciones o enfermedad, es importante asegurarse de que el inventario esté actualizado para que los activos no queden sin vigilancia y se mantengan las medidas de seguridad apropiadas.

Mantener un inventario de activos actualizado es crucial para una adecuada gestión de la seguridad de la información. Esto permite establecer y mantener medidas de seguridad adecuadas para proteger los activos y la información que manejan, así como asegurar que los activos estén en manos de las personas adecuadas en todo momento.

2.d. Plan de mejora contínua del SOC

El plan de mejora continua del SOC es esencial para garantizar que la organización pueda responder de manera efectiva y oportuna a las amenazas de seguridad en constante evolución. Esto implica la adquisición y apropiación de nuevas herramientas de seguridad, la capacitación permanente del personal en las mejores prácticas y procedimientos y en el uso de las nuevas herramientas adquiridas, y el establecimiento de canales de comunicación con pares para identificar nuevas amenazas, informar sobre incidentes y detectar amenazas o vulnerabilidades emergentes.

La adquisición y apropiación de nuevas herramientas de seguridad es fundamental para mantenerse al día con las amenazas de seguridad en constante evolución. La tecnología de seguridad está en constante evolución, y las herramientas que eran efectivas hace unos años pueden no serlo en la actualidad. El plan de mejora continua del SOC debe tener en cuenta la evaluación constante de las herramientas de seguridad existentes y la adquisición de nuevas herramientas que puedan ayudar a mejorar la capacidad de respuesta de la organización ante las amenazas de seguridad.

La capacitación permanente del personal en las mejores prácticas y procedimientos y en el uso de las nuevas herramientas adquiridas es fundamental para garantizar que el personal del SOC esté actualizado en las últimas tendencias y técnicas de seguridad. Además, la capacitación constante ayuda a asegurar que el personal del SOC pueda responder de manera efectiva y oportuna a los incidentes de seguridad y pueda identificar nuevas amenazas y vulnerabilidades.

El establecimiento de canales de comunicación con pares es importante para garantizar que el SOC esté actualizado sobre las últimas amenazas y vulnerabilidades. Esto puede incluir la participación en grupos de discusión, conferencias y reuniones con otros expertos en seguridad de la industria. También puede incluir la colaboración con otros SOCs para compartir información y mejorar la capacidad de respuesta del SOC.

2.e. Plan de continuidad del negocio y reacción ante incidentes

El plan de continuidad del negocio es una estrategia integral que busca asegurar la supervivencia de la organización en caso de que ocurran eventos inesperados que puedan afectar su funcionamiento normal. Estos eventos pueden incluir desastres naturales, fallas en los sistemas, crisis económicas, entre otros.

La importancia del plan de continuidad del negocio radica en que permite que la organización pueda anticiparse a posibles contingencias y estar preparada para enfrentarlas. De esta manera, se minimizan los riesgos y se evita la pérdida de información, clientes, ingresos y reputación.

El plan de continuidad del negocio incluye la identificación de los procesos y activos críticos de la organización, así como la evaluación de los riesgos asociados a su interrupción. También contempla la definición de los procedimientos y protocolos necesarios para responder a estos eventos, así como la implementación de medidas de prevención y recuperación.

Un plan de continuidad del negocio debe contener los siguientes elementos clave:

  1. Identificación de riesgos y evaluación de impacto: Identificación de las posibles interrupciones del negocio y la evaluación del impacto que pueden tener en la organización.

  2. Procedimientos de respuesta: Establecimiento de procedimientos claros para responder a los eventos disruptivos, incluyendo la asignación de roles y responsabilidades.

  3. Planes de recuperación: Desarrollo de planes para la recuperación de los procesos críticos de negocio, sistemas y datos, incluyendo los procedimientos de backup y recuperación.

  4. Comunicación y notificación: Establecimiento de un plan de comunicación efectivo para asegurar que el personal, clientes, proveedores y otras partes interesadas sean notificados de los eventos disruptivos y de los planes de continuidad del negocio.

  5. Pruebas y mantenimiento: Desarrollo de un plan para realizar pruebas periódicas y mantenimiento regular del plan de continuidad del negocio para asegurar su eficacia y relevancia.

  6. Recursos y presupuesto: Asignación adecuada de recursos y presupuesto para el desarrollo, implementación y mantenimiento del plan de continuidad del negocio.

  7. Gestión de crisis: Establecimiento de un plan para la gestión de crisis, incluyendo la identificación de un equipo de gestión de crisis y la formación de sus miembros.

  8. Controles de seguridad físicos y lógicos: Implementación de medidas de seguridad físicas y lógicas para proteger los activos críticos de la organización y asegurar su continuidad en caso de eventos disruptivos.

  9. Políticas y procedimientos: Desarrollo de políticas y procedimientos claros para guiar las acciones del personal en caso de eventos disruptivos.

  10. Documentación y seguimiento: Documentación adecuada de todas las actividades relacionadas con el plan de continuidad del negocio y seguimiento continuo de su implementación y eficacia.

  11. Auditorías periódicas que permitan evaluar la eficacia del plan de continuidad del negocio, identificar áreas de mejora y asegurarse de que se están cumpliendo los objetivos del plan. Es importante que las auditorías sean realizadas por personas independientes y con experiencia en la materia.

  12. Simulacros de incidentes que permiten poner a prueba el plan de continuidad del negocio y detectar posibles debilidades en el mismo. De esta manera, se pueden realizar ajustes y mejoras al plan antes de que ocurra un incidente real. Es importante que los simulacros sean lo más realistas posible y que involucren a todas las áreas y personas que puedan verse afectadas por un incidente.

2.f. Monitoreo permanente

El monitoreo permanente de los activos de información es fundamental para detectar cualquier anomalía o actividad sospechosa en la red o en los sistemas. Al comparar los datos obtenidos en el monitoreo con la línea base establecida, es posible identificar cualquier desviación en los patrones de uso y consumo de los recursos de la red.

Este monitoreo debe ser periódico y homogéneo, es decir, debe seguir una lista de verificación bien definida para garantizar que no se salte ningún paso y se detecten todos los posibles problemas. Además, se deben establecer alertas y notificaciones en caso de que se detecte una actividad inusual para poder tomar medidas inmediatas.

El monitoreo continuo también permite realizar correcciones en la operación diaria y ajustar la línea base si se detectan cambios permanentes en el uso de los recursos de la red. Por ejemplo, si se detecta un aumento en el consumo de almacenamiento o en el tráfico de red, se pueden tomar medidas para optimizar el uso de los recursos o para actualizar la línea base y así tener un mejor control y comprensión del comportamiento normal de la red y los sistemas.

2.g. Detección de incidentes y triage

El triage de incidentes es el proceso de priorizar y clasificar los incidentes de seguridad en función de su gravedad y de la respuesta que se requiere. El objetivo del triage es determinar la importancia de cada incidente para poder asignar los recursos necesarios para su resolución.

Cuando se detecta un incidente, el primer paso es realizar una evaluación inicial para determinar su gravedad y prioridad. Este proceso se llama triage y se realiza para clasificar el incidente y decidir cuánta atención inmediata requiere.

El triage implica responder preguntas clave como: ¿qué sistemas o datos están afectados? ¿Cuál es el impacto en el negocio o en la organización? ¿Cuál es la probabilidad de que el incidente se propague o se intensifique?

Una vez que se ha clasificado el incidente, se asigna una prioridad y se inicia el proceso de respuesta, que puede incluir la contención del incidente, la investigación y el análisis forense, la notificación a las partes interesadas y la recuperación de los sistemas y datos afectados.

Es importante que el triage se realice de manera consistente y se documente adecuadamente para garantizar que se tomen las medidas adecuadas y que se puedan realizar mejoras en la gestión de incidentes en el futuro.

3. Actividades Reactivas

Las actividades reactivas son aquellas que se llevan a cabo después de que se ha producido un incidente de seguridad de la información.

3.a. Contención

Actividad que se lleva a cabo después de haber detectado un incidente de seguridad. Consiste en tomar medidas para limitar la propagación del incidente y minimizar el impacto que pueda tener en la organización.

La contención es una parte fundamental del proceso de gestión de incidentes y se debe realizar de manera rápida y eficaz para evitar que el incidente se propague y cause más daño. Las acciones que se toman durante la contención dependen del tipo y gravedad del incidente, pero pueden incluir la desconexión de sistemas afectados, la eliminación de archivos infectados, el aislamiento de redes comprometidas y la eliminación de cuentas de usuario comprometidas.

Es importante tener en cuenta que la contención no resuelve el problema subyacente que causó el incidente, sino que solo lo limita y minimiza el impacto. Por lo tanto, una vez que se ha contenido el incidente, se deben llevar a cabo medidas adicionales para investigar las causas del incidente y tomar medidas preventivas para evitar que se vuelva a producir en el futuro.

3.b. Erradicación o remediación

La remediación o erradicación es la actividad que busca solucionar completamente el incidente de seguridad. Las estrategias de remediación pueden variar dependiendo de la naturaleza del incidente y la infraestructura afectada. Algunas estrategias comunes son:

  1. Remediar durante la operación del equipo: En algunos casos, se puede remediar el incidente mientras el equipo continúa funcionando normalmente. Por ejemplo, si se detecta una vulnerabilidad en un software, se puede instalar un parche de seguridad sin detener la operación del equipo.

  2. Apagar algunos servicios o todos: En casos más graves, puede ser necesario detener algunos o todos los servicios afectados por el incidente para evitar la propagación de la amenaza. Por ejemplo, si se detecta un ataque de ransomware, se puede detener el servicio de archivos afectado para evitar que el ransomware cifre todos los archivos.

  3. Cambiar a modo administrador: En algunos casos, se puede cambiar a modo administrador para realizar una tarea de remediación específica. Por ejemplo, si se detecta un malware, se puede cambiar a modo administrador para ejecutar una herramienta de limpieza que requiere permisos de administrador.

  4. Apagar el sistema: Si la amenaza es muy grave y no se puede remediar de otra manera, se puede optar por apagar el sistema. Por ejemplo, si se detecta un ataque que compromete la integridad del sistema, se puede optar por apagar el equipo para evitar que la amenaza siga propagándose.

  5. Desconectar el sistema: En algunos casos, puede ser necesario desconectar el sistema de la red para evitar la propagación de la amenaza. Por ejemplo, si se detecta un malware que se propaga por la red, se puede desconectar el sistema para evitar que siga infectando otros equipos.

  6. Desensamblar el equipo: En casos extremadamente graves, puede ser necesario desensamblar el equipo para buscar la causa del incidente y eliminar la amenaza. Por ejemplo, si se sospecha que el incidente es causado por un dispositivo de hardware comprometido, puede ser necesario desensamblar el equipo para buscar el dispositivo y reemplazarlo.

3.c. Recuperación

La recuperación de sistemas de información es una actividad reactiva que se lleva a cabo después de un incidente que ha afectado la disponibilidad, integridad o confidencialidad de los sistemas. El objetivo principal de la recuperación es restaurar el sistema afectado a un estado funcional y seguro lo más rápido posible para minimizar el impacto en la organización.

La recuperación puede incluir varias acciones, dependiendo de la gravedad del incidente y del tipo de sistema afectado. En general, las estrategias de recuperación incluyen:

  1. Restauración de backups: Si se han realizado backups del sistema afectado, la restauración de estos backups puede ser la solución más rápida para recuperar el sistema.

  2. Reinstalación del sistema: Si los backups no están disponibles o no son útiles, la reinstalación del sistema operativo y las aplicaciones afectadas puede ser la mejor opción para recuperar el sistema.

  3. Recuperación de datos: Si los datos han sido afectados por el incidente, la recuperación de los mismos puede ser prioritaria para minimizar la pérdida de información valiosa.

  4. Cambio de contraseñas: En caso de que el incidente haya sido causado por una brecha de seguridad que comprometa las contraseñas, cambiar las contraseñas de los usuarios y sistemas afectados puede ser una medida necesaria.

  5. Análisis de causa raíz: Es importante analizar las causas del incidente y tomar medidas para prevenir futuros incidentes similares. Esto puede implicar cambios en la infraestructura de seguridad, capacitación de usuarios y/o mejora de procesos de seguridad.

En general, la recuperación de sistemas de información es una actividad crítica que debe ser llevada a cabo por un equipo capacitado y con experiencia en la materia, ya que una recuperación mal ejecutada puede empeorar la situación y generar nuevos riesgos para la organización.

3.d. Recopilación de evidencias y análisis forense

La recopilación de evidencias y el análisis forense son actividades reactivas que se llevan a cabo después de que se ha producido un incidente de seguridad. Su objetivo es identificar las causas raíz del incidente, recopilar información y evidencias que ayuden a entender lo ocurrido, y tomar medidas para evitar que vuelva a suceder.

La recopilación de evidencias consiste en reunir toda la información relevante del incidente. Esto puede incluir registros de sistemas, archivos de configuración, datos de red, capturas de pantalla y cualquier otro tipo de información que pueda ayudar a entender lo que sucedió. Es importante que la recopilación de evidencias se realice de manera sistemática y bien documentada, para que se puedan presentar de manera adecuada en caso de ser necesarias para una investigación legal.

El análisis forense, por su parte, es un proceso que busca entender cómo sucedió el incidente y determinar la causa raíz del mismo. Esto puede incluir identificar los sistemas afectados, los usuarios involucrados, los patrones de tráfico de red y cualquier otro tipo de información que ayude a entender lo ocurrido. El análisis forense también puede incluir la identificación de vulnerabilidades y debilidades en la infraestructura de seguridad que pueden haber permitido que el incidente ocurriera.

Es importante que la recopilación de evidencias y el análisis forense se realicen de manera cuidadosa y bien documentada, para evitar la pérdida o alteración de datos y para garantizar que la información recopilada sea útil para la toma de decisiones futuras.

3.e. Alertas, reportes y denuncias

El reporte de incidentes es una actividad reactiva crucial en la gestión de incidentes de seguridad de la información. Este reporte consiste en informar a los afectados, los responsables y/o a los interesados sobre los detalles del incidente, su impacto y las acciones tomadas para su resolución y mitigación.

Es importante tener en cuenta que el impacto del reporte dependerá de quién sea el receptor del mismo: si es interno, público o una denuncia penal. Además, todo reporte debe tener ciertas características como ser claros, sucintos, oportunos, pertinentes y homogéneos.

En cuanto a la claridad del reporte, éste debe ser adaptado a la formación del interlocutor. Es decir, se debe utilizar un lenguaje técnico en el caso de que el receptor tenga conocimientos de seguridad de la información, o un lenguaje más sencillo si se trata de un usuario común.

El reporte también debe ser sucinto, teniendo en cuenta el nivel jerárquico del interlocutor. Es decir, los altos mandos necesitan una visión general del incidente, mientras que los técnicos necesitan detalles más específicos.

La oportunidad del reporte debe ser acorde a la prioridad del incidente. Es decir, incidentes críticos deben ser reportados de forma inmediata, mientras que los incidentes de menor impacto pueden ser reportados más tarde.

El reporte también debe ser pertinente y específico al valor del activo comprometido, es decir, el impacto que el incidente ha tenido en los activos de información de la organización.

Es importante que los reportes sean homogéneos y sigan una estructura establecida, para asegurar que no se salte ningún detalle relevante. Además, se debe describir en detalle los activos comprometidos, las acciones tomadas y las recomendaciones para evitar futuros incidentes similares. También se debe informar sobre el riesgo residual, es decir, el riesgo que sigue existiendo después de haber tomado las medidas necesarias para resolver y mitigar el incidente.

Es importante que los reportes de incidentes sean precisos y pertinentes, pero también es crucial que se manejen de manera responsable para evitar generar pánico y daños a la reputación de la empresa. Los reportes deben ser claros y sucintos, pero sin caer en la exageración o en la minimización del impacto del incidente.

Además, no se deben exponer públicamente vulnerabilidades aún no controladas, ya que esto puede permitir que los atacantes aprovechen dichas vulnerabilidades y causen aún más daño. Es importante que los reportes sean compartidos únicamente con las personas que necesiten conocerlos, como el equipo de respuesta a incidentes o la alta gerencia de la empresa.

Es importante recordar que el objetivo de los reportes de incidentes es ayudar a prevenir futuros ataques y mejorar la seguridad de la empresa, y no causar pánico o dañar la reputación de la empresa. Por lo tanto, los reportes deben ser manejados con responsabilidad y profesionalismo en todo momento.

4. Actividades de Mejora Continua

Las actividades de mejora continua son aquellas que se llevan a cabo para evolucionar y mejorar el plan de seguridad de la organización. Después de un incidente de seguridad, es importante llevar a cabo reuniones post-incidentes para analizar lo sucedido y determinar qué medidas se pueden tomar para prevenir incidentes similares en el futuro.

Las actividades de mejora continua tienen como objetivo evolucionar el SOC (Centro de Operaciones de Seguridad) para incrementar su capacidad en distintas áreas, incluyendo:

  1. Prevención: la mejora continua en la prevención se enfoca en implementar nuevas medidas de seguridad para evitar que los incidentes ocurran en primer lugar. Esto puede incluir la adquisición de nuevas herramientas de seguridad, la actualización de políticas y procedimientos, y la capacitación constante del personal.

  2. Detección: la mejora continua en la detección se enfoca en mejorar la capacidad del SOC para identificar rápidamente los incidentes. Esto puede incluir la implementación de sistemas de monitoreo avanzados, la integración de nuevas fuentes de información, y la mejora de los procedimientos de alerta temprana.

  3. Contención: la mejora continua en la contención se enfoca en mejorar la capacidad del SOC para limitar el daño causado por los incidentes. Esto puede incluir la implementación de sistemas de aislamiento de red, la mejora de los procedimientos de bloqueo de cuentas y contraseñas, y la capacitación constante del personal en la gestión de incidentes.

  4. Análisis: la mejora continua en el análisis se enfoca en mejorar la capacidad del SOC para investigar y analizar los incidentes. Esto puede incluir la adquisición de nuevas herramientas de análisis forense, la mejora de los procedimientos de recopilación de evidencia, y la capacitación constante del personal en la investigación de incidentes.

  5. Erradicación: la mejora continua en la erradicación se enfoca en mejorar la capacidad del SOC para eliminar completamente el malware o la vulnerabilidad que causó el incidente. Esto puede incluir la implementación de nuevas herramientas de eliminación de malware, la mejora de los procedimientos de parcheo de software, y la capacitación constante del personal en la erradicación de amenazas.

  6. Recuperación: la mejora continua en la recuperación se enfoca en mejorar la capacidad del SOC para restaurar los sistemas afectados por los incidentes. Esto puede incluir la implementación de sistemas de respaldo y recuperación de datos, la mejora de los procedimientos de restauración de sistemas, y la capacitación constante del personal en la recuperación de sistemas.

4.a. Reuniones post-incidente

Las reuniones post-incidente son una actividad esencial de mejora continua en cualquier programa de seguridad de la información. Estas reuniones tienen como objetivo identificar las lecciones aprendidas de un incidente y proporcionar una retroalimentación valiosa para mejorar la preparación y respuesta ante futuros incidentes.

Para que estas reuniones sean efectivas, es importante que se realicen con la participación de todos los implicados, incluyendo a los miembros del equipo de respuesta a incidentes, el personal de TI, la gerencia y cualquier otra persona que haya estado involucrada en el incidente.

Durante estas reuniones, se deben discutir las lecciones aprendidas antes, durante y después del incidente. Es necesario analizar lo que sucedió exactamente, en qué momento, y cómo se desempeñó el personal y la gerencia en el manejo del incidente. También se debe evaluar si se siguieron los procedimientos documentados y si estos fueron adecuados para el incidente.

Además, es importante identificar qué información se necesitaba antes y cómo se puede mejorar la preparación para futuros incidentes. Se deben discutir los aspectos técnicos y no técnicos, como la comunicación, la colaboración y la coordinación.

El resultado de estas reuniones debe ser un informe que incluya las recomendaciones para mejorar los procedimientos, herramientas y capacitación del equipo de respuesta a incidentes, con el objetivo de mejorar la capacidad de prevención, detección, contención, análisis, erradicación y recuperación ante futuros incidentes.

4.b. Medición

La medición de la capacidad de un SOC es fundamental para determinar si está mejorando o empeorando en términos de su capacidad para prevenir, detectar y responder a incidentes de seguridad. Para medir la capacidad de un SOC, se pueden utilizar diferentes KPI (Indicadores Clave de Rendimiento) y métricas que miden el desempeño y la eficacia del SOC.

A continuación, se presentan algunos KPI que se pueden utilizar para medir la capacidad de un SOC, basados en el documento de Diseño del Servicio de ITIL:

  1. Tiempo de respuesta a incidentes: Este KPI mide el tiempo que tarda el SOC en responder a un incidente desde el momento en que se detecta hasta el momento en que se toman medidas para contenerlo.

  2. Tiempo de resolución de incidentes: Este KPI mide el tiempo que tarda el SOC en resolver un incidente desde el momento en que se toman medidas para contenerlo hasta el momento en que se completa la eliminación del incidente.

  3. Porcentaje de incidentes resueltos: Este KPI mide el porcentaje de incidentes que se resuelven satisfactoriamente por el SOC.

  4. Número de falsos positivos: Este KPI mide el número de alertas de seguridad que resultan ser falsos positivos, lo que indica la efectividad de las herramientas de seguridad del SOC.

  5. Número de incidentes atendidos: Este KPI mide el número total de incidentes que el SOC ha atendido durante un periodo de tiempo determinado.

Además de estos KPI, es importante realizar una evaluación de la madurez del SOC utilizando modelos como el modelo de madurez de CERT, que mide la madurez del SOC en términos de su capacidad para prevenir, detectar, responder y recuperarse de incidentes de seguridad.

Es importante que estas mediciones se realicen de manera regular y consistente para asegurarse de que el SOC está mejorando su capacidad de manera constante y para identificar cualquier debilidad o área de mejora en el SOC.

4.c. Mejora de capacidades

La mejora de capacidades es una actividad clave en el proceso de mejora continua de un plan de seguridad de una organización. Esto implica adoptar nuevas herramientas y tecnologías, así como capacitar al personal de manera permanente en las últimas prácticas y procedimientos de seguridad.

Además, es importante establecer canales de comunicación efectivos con los pares de la industria y otros especialistas en seguridad para identificar nuevas amenazas, informar sobre incidentes y compartir las mejores prácticas.

La adopción de nuevas herramientas puede mejorar la eficiencia y eficacia del SOC en la detección, análisis y respuesta a incidentes de seguridad. Es importante evaluar y seleccionar herramientas que se integren adecuadamente con el entorno existente y que sean fáciles de usar y mantener.

La capacitación permanente del personal es fundamental para mantener las habilidades y conocimientos actualizados, y para garantizar que el personal esté al tanto de las últimas amenazas y soluciones de seguridad. La capacitación puede incluir cursos en línea, entrenamiento en el trabajo, participación en conferencias y talleres, entre otros.

La comunicación con pares es importante para mantenerse actualizado sobre las últimas amenazas y soluciones de seguridad, y para compartir las mejores prácticas en la industria. Esto puede incluir la participación en grupos de discusión en línea, la asistencia a eventos de seguridad y la colaboración con otros profesionales de la industria en proyectos de investigación y desarrollo.

5. Conclusión

En conclusión, se puede afirmar que el diseño y la implementación de un SOC es una actividad compleja que requiere de una planificación cuidadosa y una gestión rigurosa para garantizar su éxito. Es importante tener una estrategia clara y una definición de los objetivos del SOC, para poder diseñar una arquitectura adecuada y seleccionar las herramientas de seguridad necesarias.

La adopción de buenas prácticas y procedimientos es fundamental para asegurar la eficacia del SOC, así como la capacitación permanente del personal en el uso de estas herramientas y en la identificación de amenazas emergentes. La comunicación con pares y la colaboración en la identificación de amenazas y vulnerabilidades emergentes también son cruciales.

En caso de detectarse un incidente, el SOC debe contar con un plan de contingencia y un equipo capacitado para actuar de manera rápida y eficiente. La contención, remediación, recuperación, análisis forense y reporte de incidentes son actividades reactivas importantes que deben ser gestionadas con cuidado y eficacia.

La mejora continua es un proceso clave en la gestión de un SOC, que debe incluir la adopción de nuevas herramientas, la capacitación permanente del personal y la comunicación con pares. La medición de la capacidad del SOC es esencial para verificar si se está progresando o retrocediendo, y para identificar áreas de mejora.

En resumen, la implementación de un SOC es un proceso complejo y continuo que requiere de una planificación cuidadosa, una gestión rigurosa y una mejora continua constante para garantizar la seguridad de la organización.

Bibliografía

  1. C. Peltier, T. R. Peltier, and A. N. Menk, "Information Security Policies and Procedures: A Practitioner's Reference," 2nd ed. Boca Raton, FL: Auerbach Publications, 2012.

  1. J. Voas and A. Kolkman, "Security Standards for the Cloud," IT Professional, vol. 16, no. 5, pp. 50-56, 2014.

  2. M. E. Whitman and H. J. Mattord, "Management of Information Security," 4th ed. Boston, MA: Cengage Learning, 2014.

  3. D. D. Carney, "Incident Response: A Strategic Guide to Handling System and Network Security Breaches," Indianapolis, IN: Wiley, 2002.

  4. S. Bosworth, M. Kabay, and E. Whyne, "Computer Security Handbook," 6th ed. Hoboken, NJ: Wiley, 2014.

  5. ISO/IEC, "ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements," Geneva, Switzerland: ISO/IEC, 2013.

  6. S. J. Andress, "The Basics of Information Security," 2nd ed. Waltham, MA: Syngress, 2014.

  7. ITIL, "ITIL Service Design," 2011 ed. London, UK: TSO, 2011.

  8. NIST, "NIST Cybersecurity Framework," Apr. 2018. [En línea]. Disponible en: https://www.nist.gov/cyberframework. [Accedido: Apr. 26, 2023].

  9. A. Kumar and A. Kumar, "Information Security: Principles and Practices," 2nd ed. Boca Raton, FL: CRC Press, 2018.

Licencia

 
Cómo proteger los activos de información está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.

Ricardo Naranjo Faccini

Ricardo Naranjo Faccini Desarrollador WWW

Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971

  • Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
  • Ingeniero Civil de la Universidad de Los Andes 1995
  • Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
  • Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
  • CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
  • Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
  • Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
  • Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
  • Colaborador del grupo ACIS-Linux.

Calle 95 #47-33 int 8

Calle 95 #47-33 int 8, Bogotá, Colombia

Tel: +57 300 214 6210

ventas@skinait.com

Desarrollado por Skina IT Solutions