Los planes de respuesta a incidentes son, en muchos aspectos, como reliquias familiares. Ésas instrucciones escritas que detallan cómo las empresas deben detectar, responder y limitar adecuadamente los efectos de un incidente de seguridad de la información, son muy apreciadas por algunos; y, sin embargo, con demasiada frecuencia se dejan acumulando polvo en el estante. Para muchos, siguen sin probarse durante años, y por lo tanto la mayoría no están aptos cuando una violación de datos ocurre en realidad.
Los expertos dicen que un plan de respuesta a incidentes (IR, por sus siglas en inglés) sólido hoy en día debe incluir una política que defina específicamente qué constituye un incidente, y que este documento debe proporcionar una guía específica paso a paso en cuanto a cómo las empresas responden a un incidente. Siguiendo estas pautas, las organizaciones esperan limitar el daño de un ataque y reducir los altos costos y el tiempo de recuperación prolongado, que normalmente se asocian con las violaciones de datos.
A pesar de todo esto, los planes de respuesta a incidentes dividen a la comunidad de InfoSec. eBay fue muy criticado por su falta de respuesta a la violación de sus datos el año pasado, mientras que muchos planes de IR a menudo se consideran mal pensados, o mal equipados, para el mundo de hoy. Peor aún, algunas empresas ni siquiera tienen uno.
Por ejemplo, un estudio de PAC que sondeó a 200 personas de empresas con más de 1.000 empleados en el Reino Unido, Francia y Alemania encontró que casi el 40% de las empresas no tienen un plan de IR. Y de las que tienen planes de IR, solo el 30% dijeron que se prueban y actualizan con regularidad, lo cual supone una preocupación dado el creciente paisaje de amenazas.
De hecho, citando el aumento de los ataques de amenaza persistente avanzada (APT, por sus siglas en inglés), la creciente actividad cibercriminal y la falta de inversión en la protección y detección, el experto en criptografía Bruce Schneier, dijo en el 2014 que era la década de la “respuesta”.
Sin embargo, por desgracia, esto es tomarse el tiempo para la captura; un informe de AT&T el mes pasado indicó que mientras que el 81% de los profesionales de TI dijeron que sus empresas tenían planes de respuesta a incidentes bien establecidos, solo el 31% de ellos cree que estos fueron realmente eficaces. Es evidente que hay trabajo por hacer.
Fallas del plan de IR
El problema para la mayoría de las empresas es que, incluso, si tienen planes de IR, a menudo no son aptos para el propósito. McKinsey informa que la mayoría de las organizaciones “en realidad no pone en práctica sus planes de IR, que son ineficaces debido a un mal diseño o aplicación, o ambas cosas”. La firma asegura que dicha documentación está a menudo “fuera de fecha” y es “genérica”, y “no es útil para orientar las actividades específicas durante una crisis”.
Además, la consultora dijo que estos planes pueden ser creados por un departamento, pero no implementadas por otros. El desarrollo de tales planes en silos no solo daña la respuesta de los negocios, sino que también puede inhibir el intercambio de conocimientos y mejores prácticas pertinentes.
McKinsey agrega que quienes toman las decisiones sobre IR “a menudo se basan en el conocimiento de la tribu y las relaciones existentes”, con guías a la organización a través de la crisis. Esto puede resultar en un único punto de falla cuando el experto residente no está disponible, o no tiene la capacidad de dirigir la respuesta.
Dane Warren, CISO de la compañía de pruebas de productos Intertek, con sede en el Reino Unido, le dijo a CSO Online que es difícil decir por qué fallan ciertos planes de respuesta a incidentes.
“Es difícil de decirlo, sin conocer la empresa. Sin embargo, es fácil decir que un plan de IR efectivo es de suma importancia es cualquier organización incluso si solo se utiliza para la preparación”.
Pero James Mckinlay, consultor de seguridad principal en Praetorian Consulting International y ex jefe de seguridad de la información en Worldline Global UK&I, le dijo a CSO que a menudo las fallas se reducen a cuestiones departamentales.
“No involucrar todo lo que será necesarios, la comunicación interna, la comunicación externa, área legal, recursos humanos, los ejecutivos, el director de riesgos, el CISO, las relaciones con los clientes”.
¿Cómo debería ser su plan?
Al crear su plan de IR, los profesionales de InfoSec señalan que debe establecer su propósito, el papel que cada equipo juega en un incidente, así como el ciclo de vida del propio plan. También se impulsan los ejercicios de simulación para realizar pruebas de esfuerzo en estos procesos, y para evitar la confusión de negocios, así como el papel y la responsabilidad de cada departamento.
Esto es fundamental, ya que los planes de IR deben involucrar varios departamentos, incluyendo seguridad de la información, área legal y cumplimiento, recursos humanos, y comunicaciones. También se debe seleccionar a un equipo central de repeticiones entre departamentos para tomar la iniciativa en respuesta a los incidentes. Algunos dicen que un ejecutivo debe ser responsable del plan y su integración en toda la empresa.
Warren cree que los equipos de seguridad pueden salir adelante en este proceso mediante la comprensión del negocio y sabiendo cuáles son sus principales activos.
“Entienda su negocio, y entienda qué necesita proteger. La alineación de estas dos cosas le dará la base para las actividades posteriores en un escenario de respuesta a incidentes “, anota Warren.
“Los roles y responsabilidades claramente definidos son la clave. Asegurarse de que las personas están capacitadas para realizar con eficacia esas funciones y responsabilidades es esencial. Un plan de comunicación claro, basado en la severidad, es una necesidad.
Esto puede incluir al público en general, los clientes, el personal interno, funcionarios del gobierno y/o proveedores”. Mckinlay añade que la preparación es clave, así como lo es tener al líder adecuado.
“Preparar un plan de respuesta a incidentes decente requiere un poco de investigación y adaptarse a la empresa en cuestión”.
“Poner a prueba un plan, como los planes de continuidad o planes de recuperación de desastres, requiere a un líder listo y con una seguridad proactiva o un hallazgo de auditoría que dicta una prueba.
“Debido a que la responsabilidad de tener un plan de respuesta a incidentes probablemente recaiga sobre el gestor de seguridad de la información, tienen que entender que tener uno bueno, implica gran cantidad de otras personas y áreas fuera de TI y de la seguridad”.
SANS, por su parte, cree que hay seis fases clave para el desarrollo de un plan de éxito IR:
– Preparación: Capacitación de usuarios y TI para manejar incidentes potenciales en caso de que sucedan.
– Identificación: Averiguar lo que se entiende por un “incidente de seguridad”, y qué eventos deben actuar en consecuencia y cuáles deben ser ignorados.
– Contención: Aislamiento de los sistemas atacados para evitar daños mayores.
– Erradicación: Buscar y eliminar la causa raíz (esencialmente quitar de producción a los sistemas afectados).
– Recuperación: Permitir los sistemas afectados, una vez reparados, de nuevo en el entorno de producción.
– Lecciones aprendidas: Revisar todo de nuevo, y revisar y analizar con todos los miembros del equipo, para que pueda mejorar los esfuerzos futuros de respuesta a incidentes.
Equipo y habilidades
Otros profesionales de InfoSec ponen de relieve la importancia de tener un buen equipo de seguridad; En una conferencia desarrollada en Londres el año pasado, el instructor de SANS Steve Armstrong señaló que un equipo de respuesta a incidentes debe ser casi igual que el equipo de Scooby Doo con diferentes personas que tengan diferentes habilidades.
Armstrong dijo que un plan de respuesta a incidentes eficaz debería tener “geeks que aman serlo, líderes que aman dirigir y administradores a los que les guste manejar”, pero admitió que esto no siempre es el caso. Dijo que los planes a menudo caen solo en comunicaciones. Armstrong añadió que un fuerte plan de análisis forense digital y respuestas a incidentes (DFIR, por sus siglas en inglés) se basa en trabajadores que envían buena inteligencia y estadísticas a los directivos, quienes a su vez traducen esto en un lenguaje de negocios para líderes de la compañía. Sin embargo,
Armstrong advirtió que cualquier desconexión en el camino tendría “riesgo de comprensión y fuga de fondos”, con “directores que ya no están enganchados con lo que está pasando”.
En lugar de ello, instó a los CISOs a seguir el muy publicitado OODA (observar, orientar, detectar y actuar), que fue utilizado por la fuerza aérea, para ser más rápida y ágil. Este enfoque también se ve favorecido por Schneier.
Por ejemplo, Armstrong anotó que un administrador de sistemas o equipo de seguridad TI podría observar un intruso en la red, decidir un plan de acción y luego remediarlo. Instó a que las empresas piensen en su plan, su comunicación (por ejemplo, ¿cómo se van a comunicar si su red se ha convertido en un medio hostil?) y cómo ampliar sus operaciones. Todo el plan, señaló Armstrong, requiere la participación de todos los departamentos.
Esto, sin embargo, requiere de personal capacitado, y Armstrong advirtió entre las habilidades percibidas y la capacidad real.
“Los atacantes pueden ver las deficiencias de su equipo saben que usted no es Bruce Lee. Así que hay que asegurarse de que nos fijamos en el equipo, ver con objetividad lo que son capaces de hacer. Si no lo son, ayúdelos con información y capacitación in situ”.
Así que saque ese plan de respuesta a incidentes fuera de la plataforma; un plan robusto es mucho más alcanzable, siempre y cuando consiga los procesos adecuados, las personas adecuadas y que se pruebe con regularidad para asegurarse de que es adecuado para el propósito. ¿Que está esperando?
-Doug Drinkwater, CSO