En publicaciones anteriores hemos visto algunos consejos a tener en cuenta para crear una política de seguridad móvil. Pero ¿qué ocurre cuando las herramientas de seguridad no son suficientes y las infecciones logran colarse en los teléfonos y las tabletas corporativas? ¿Cuáles son las acciones a seguir?
El proceso de manejo de incidentes móviles implica controlar y minimizar el daño, preservar la evidencia, proveer una recuperación rápida y eficiente, prevenir eventos similares en el futuro y ganar entendimiento de los riesgos que enfrenta la organización.
Para aquellas empresas que están comenzando a mejorar su seguridad móvil, una buena práctica es comenzar con un modelo de proceso sencillo para luego modificarlo acorde a la experiencia con el paso del tiempo, teniendo en cuenta los recursos disponibles, la cantidad de incidentes y la criticidad de estos eventos.
A continuación proponemos cuatro formas de contener y mitigar los efectos de equipos móviles comprometidos.
#1 Registrar el evento
Es necesario contar con herramientas que permitan rápidamente generar un registro del evento, incluyendo un identificador único y adjuntando algunas palabras claves que lo describan, la fecha en que este tuvo lugar y las características de los equipos damnificados, tanto del hardware como de las aplicaciones que en él se encontraban instaladas.
#2 Priorización del evento
Una vez que ha sido registrado, es necesario asignarle una prioridad con base en la criticidad que este evento tiene para los activos de información organizacional y el normal desempeño de la corporación.
¿Se trata de la explotación de vulnerabilidades, inconsistencias en el acceso y autenticación, o se está ante una infección por malware? Luego de clasificar el tipo de evento, es necesario asignar una categoría (prioridad alta, media o baja) y un responsable para la solución del conflicto. Por supuesto, el último paso en esta segunda etapa del proceso será la emisión del reporte pertinente.
#3 Resolución del conflicto
El tercer paso consiste en subsanar el incidente. Esto implica realizar un proceso cíclico de análisis de datos, investigación de lo que ocurrió, generación de una propuesta de solución, remediación y recuperación.
Esto implica el aislamiento del dispositivo infectado, la identificación de los stakeholders y contactarlos para alertar o recopilar información importante, descubrir cómo se inició la infección, recolectar la muestra, determinar qué realiza la amenaza, a dónde se conecta y demás. Es necesario tener cuidado al utilizar herramientas de análisis que hacen conocer sus reportes de manera pública, ya que el código de la amenaza podría contener información sensible de la empresa en caso de tratarse de un ataque dirigido.
Como resultado de esta actividad se deberá mejorar el reporte del incidente que fue creado al momento de registrar el evento, incluyendo registros de dominios, archivos de captura de tráfico de red, registros de logcat y cualquier otra nueva información arrojada por el análisis de la contingencia.
Esta etapa también incluirá la desinfección del equipo, que puede llegar a darse a través de alguna herramienta antimalware en conjunción con una solución MDM, o bien trabajando directamente sobre el sistema operativo, según el tipo de malware y la magnitud de la infección.
Cabe destacar que las soluciones MDM no pueden ser consideradas por sí mismas un mecanismo integral de defensa y, por tanto, requieren ser incluidas dentro de una política de prevención y mitigación que las combine con otras herramientas orientadas específicamente a la detección, bloqueo y remoción de amenazas.
#4 Etapa de postanálisis
Finalmente, es necesario aprender de los errores cometidos a lo largo del proceso de manejo de contingencias, con el objeto de mejorar el tiempo de respuesta e identificar qué nuevas herramientas pueden ser desarrolladas o adquiridas para optimizar la tanto la protección de los equipos como la respuesta ante los sucesos que pueden poner en peligro la seguridad empresarial.
Para conocer más prácticas de seguridad que protegerán los equipos, sigue leyendo sobre los 5 pasos a seguir tras una infección en la empresa.