En el ámbito de la seguridad informática, muchas veces suele decirse que existen dos clases de empresas: las que han sido atacadas y las que serán atacadas. Normalmente, cuando una organización es víctima de un primer ataque informático se genera un estado de pánico y una sensación de incertidumbre.
En esta entrada te daremos algunos consejos conceptuales que ayudarán a no entrar en pánico y estar prevenido. De este modo, actuando proactivamente, se podrán encarar mejor diversas problemáticas con el fin de disminuir los tiempos de resolución y las pérdidas económicas controlando el incidente para mitigar su impacto.
1. Considerar los recursos de la empresa
Una de las principales acciones a tomar de forma proactiva es saber cuáles son los recursos disponibles. La cantidad de horas hombre y la evaluación de sus capacidades técnicas para la resolución de diversos incidentes será necesaria para crear un equipo de respuestas, pero esto no alcanzará para mitigar un incidente.
También es importante contar con hardware y soluciones de seguridad personalizadas para cada ambiente, herramientas imprescindibles que deben estar actualizadas para una mayor eficiencia.
2. Crear un plan de acción
En todo sistema de gestión de la seguridad de la información debe existir un plan sólido de continuidad del negocio para una eventual contingencia. Es el caso de los BCP (Business Continuity Plan), que permiten restaurar las actividades críticas para el negocio de una forma rápida y controlada.
Para más información, ver estos consejos para mejorar el Plan de Respuesta a Incidentes.
3. Categorizar los posibles incidentes
La evaluación del tipo de incidente en cuanto a variables como el tiempo de resolución, impacto al negocio y criticidad son otra parte importante. Teniendo en cuenta estas problemáticas se deberá decidir qué tipo de incidente procesar en primera instancia, ya que como vimos anteriormente, los recursos son limitados y se deben establecer prioridades.
Este proceso variará mucho teniendo en cuenta el tipo de institución afectada y su negocio; por ejemplo, no tiene el mismo impacto que una PyME dedicada a la producción de artículos cosméticos sufra una denegación de servicio, que le suceda a una empresa dedicada al almacenamiento en la nube. Por supuesto que en este último caso la problemática es mucho más crítica y debe ser solucionada cuanto antes.
4. Dedicar tiempo a la investigación
Es importante entender la causa del incidente, la profundidad de la brecha, en dónde faltaron controles o cuáles fallaron. Resolver estas incógnitas servirá como base para la prevención de un futuro incidente. En caso de no poder responderlas, el panorama para apalear este tipo de problemática es muy complejo y probablemente se vuelvan a repetir. Para esta etapa es muy útil tener gente con conocimientos de informática forense para la preservación de muestras.
5. Restablecer el orden
Una vez finalizada la etapa de investigación, deberá procederse a la fase más esperada por el departamento de IT, que es el recovery. Es en donde se restablecen todos los servicios para que funcionen de manera habitual.
Este proceso puede ensayarse fácilmente provocando incidentes de forma controlada en los ambientes críticos para evaluar los procedimientos de recuperación de servicios y las tecnologías empleadas.
Conclusión
La gestión de las contingencias es un aspecto muy importante al asegurar la información e inclusive la continuidad del negocio. Aplicar los conceptos explicados no será una tarea simple, sobre todo si es la primera vez que se aplica en una empresa; sin embargo, este esfuerzo ahorrará grandes dolores de cabeza y pérdidas económicas en un futuro.
Algunas normativas utilizadas como estándar son las ISO 27000, bibliotecas de Infraestructura de Tecnologías de Información (ITIL), Objetivos de Control para Información y Tecnologías Relacionadas (COBIT), que proporcionan un conjunto de buenas prácticas referidos a estos temas. Si bien no son una solución definitiva, constituyen un buen camino para empezar y utilizar como referencia.
