Respuesta a incidentes

Gestión de la Seguridad IT
CONTENIDO
1. Objetivos

2. Consideraciones Generales

3. Preparación

4. Detección, análisis y notificación

5. Contención, mitigación y recuperación

6. Actividad post incidente

7. Gestión de Brechas

8. Guías oficiales de Gestión de Ciberincidentes

9. Resumen

10. Bibliografía
 Respuesta a incidentes | 3

Objetivos Para que esta colaboración sea efectiva es necesario

establecer un lenguaje común cuando se habla de
• Determinar cómo se realiza una gestión de ciberincidentes. Es fundamental que cuando una
incidentes eficaz para garantizar que la respuesta a organización alerte de un ciberincidente el resto de
incidente cumpla con sus objetivos. organizaciones no tenga dudas sobre la información que
está recibiendo. Para ello, es necesario fijar unas pautas
• Estudiar cómo se limita el impacto del incidente
de clasificación del tipo de ciberincidentes, niveles
en la organización y se restablecen los servicios
de peligrosidad, nivel de impacto y evidentemente los
afectados en un tiempo asumible por la
tiempos y formas de cómo comunicar (se suele imponer
organización.
un sistema de ventanilla única). Una propuesta de
• Identificar las principales fases en la gestión estas clasificaciones y valoración se pueden consultar
de incidentes y repasar las distintas guías en la Guía Nacional de Notificación y Gestión de
internacionales existentes sobre Gestión de Ciberincidentes [1].
Ciberincidentes.
Gracias a esta colaboración se pude recibir ayuda en
Consideraciones caso de estar afectados por un ciberincidente o estar
alertados de problemas en otras organizaciones para
Generales estar preparado en caso de que al final afecte a nuestra
organización. En el mejor de los casos, esta colaboración
Un incidente de seguridad informática o ciberincidente es puede proporcionar soluciones de detección y
una vulneración o amenaza inminente de vulneración de eliminación antes de que una organización empiece a
las políticas de seguridad, las políticas de uso aceptable sufrir los impactos del ciberincidente.
o las prácticas de seguridad estándar.
La gestión de ciberincidentes consta de un ciclo de
Otra posible definición, un incidente de seguridad en cuatro fases (figura 1):
informática es la ocurrencia de uno o varios eventos
que atentan contra la confidencialidad, la integridad y la • Preparación: antes de que el ciberincidente ocurra.
disponibilidad de la información y que violan la Política • Detección, Análisis e Identificación: Durante el
de Seguridad de la Información de la organización. ciberincidente.
Ejemplos de incidentes de seguridad son: • Contención Mitigación y Recuperación: Durante el
incidente.
• Un atacante ordena a una red de bots que envíe • Actividades Post-Ciberincidente: después de que
grandes volúmenes de solicitudes de conexión a un el ciberincidente haya finalizado.
servidor web, lo que hace que se bloquee.
• Se engaña a los usuarios para que abran un
"informe trimestral" enviado por correo electrónico
Preparación
que en realidad es malware; ejecutar la herramienta Se trata de una fase inicial en la que toda organización
infectó sus computadoras y estableció conexiones debe estar preparada para cualquier suceso que pudiera
con un host externo. ocurrir. Una buena anticipación y entrenamiento previo
• Un atacante obtiene datos confidenciales y es clave para realizar una gestión eficaz de un incidente,
amenaza con hacer públicos los detalles si la para lo que hace falta tener en cuenta tres pilares
organización no paga una suma de dinero. fundamentales: Las personas, los procedimientos y la
• Un usuario proporciona o expone información tecnología. Esta fase es previa a que el ciberincidente
confidencial a otros a través de servicios de sea identificado
intercambio de archivos. Algunos de los puntos más relevantes a tener en cuenta
En la actualidad, al aumento del número de ciberincidentes en esta fase son:
que se han producido a nivel global se añade la evolución • Implantar en la organización soluciones de
de la sofisticación de los mismos, es imprescindible monitorización y análisis de la red, los dispositivos,
el trabajo colaborativo entre organizaciones y esta en la nube, etc., para facilitar la identificación de
colaboración se podría establecer entre los foros CSIRT. incidentes.
• Formar y concienciar a toda la organización sobre
ciberincidentes y cómo reportarlos al departamento
correspondiente.
 Respuesta a incidentes | 4

• Después del • Antes del

ciberincidente ciberincidente

Actividad Preparación
portciberincidente

Contención, Detección,
mitigación, análisis,
recuperación identificación

• Durante el • Durante el
ciberincidente ciberincidente

Figura 1. Fases de gestión ciberincidentes.

• Disponer de una herramienta para la gestión de • Realizar análisis de riesgos que permita disponer
ciberincidentes donde poder comunicar y guardar de un plan de tratamiento de riesgos que permita
la evidencias del todo el proceso de gestión del controlarlos pudiendo ser mitigados, transferidos
ciberincidente. aceptados.
• Disponer de información actualizada de contacto, • En base al análisis de riesgos, haber implementado
tanto de personal interno como externo, a implicar salvaguardas que faciliten la detección, contención
en otras fases de gestión del ciberincidente, así y mitigación del ciberincidente.
como las distintas vías de contacto disponibles en • Ejecución de ejercicios a fin de entrenar las
cada caso. capacidades y procedimientos técnicos, operativos,
• Mantener las políticas y procedimientos de gestión y coordinación.
actualizados. Especialmente todos los relativos a
gestión de ciberincidentes, recogida de evidencias,
análisis forense o recuperación de sistemas.
Detección, análisis y
• Herramientas a utilizar en todas las fases de gestión notificación
de un ciberincidente.
El objetivo de esta fase es tener la capacidad detectar
• Formación del equipo humano para mejorar las cualquier ciberincidente que pueda sufrir un organismo y
capacidades técnicas y operativas. con la menor dilación posible, para lo cual es importante
realizar una monitorización lo más completa posible.
Teniendo en cuenta la máxima de que no todos los
eventos o alertas de ciberseguridad son ciberincidentes.
El éxito de esta fase dependerá de la preparación previa
y la sofisticación de los sistemas de detección.
 Respuesta a incidentes | 5

Cabe destacar que la detección puede ser por distintas

vías. Por los sistemas de detección, ser alertados por un Contención, mitigación y
tercero dadas las alianzas con proveedores o estar en recuperación
una red de CSIRT, o por usuarios que han detectado una
anomalía. Fase de contención

Una correcta identificación o detección se basa en los En el momento que se ha identificado un ciberincidente
siguientes principios: la máxima prioridad es contener el impacto del mismo
en la organización de forma que se pueda evitar lo antes
• Registrar y monitorizar los eventos de las redes, posible la propagación a otros sistemas o redes evitando
sistemas y aplicaciones. un impacto mayor, y la extracción de información fuera
• Recolectar información situacional que permita de la organización.
detectar anomalías.
Esta suele ser la fase en la que se realiza el triaje que
• Disponer de capacidades para descubrir consiste en evaluar toda la información disponible en
ciberincidentes y comunicarlos a los contactos ese momento realizar una clasificación y priorización del
apropiados. ciberincidente en función del tipo y de la criticidad de la
• Recopilar y almacenar de forma segura todas las información y los sistemas afectados. Adicionalmente,
evidencias. se identifican posibles impactos en el negocio y en
• Compartir información con otros equipos internos función de los procedimientos se trabaja en la toma
y externos de forma bidireccional para mejorar las de decisiones con las unidades de negocio apropiadas
capacidades de detección. y/o a los responsables de los servicios potencialmente
afectados.
Una vez se produce la detección es importante analizar
el incidente para descartar un falso positivo y proceder a Durante esta fase se debe:
la clasificación del ciberincidente.
• Aislar los equipos y servicios afectados del resto de
Es importante identificar el tipo, el posible impacto, la red. Bloqueando redes, desconectando equipos.
la peligrosidad, área y sistemas afectados. Todo este • Fortalecer las medidas de control de acceso a los
análisis facilitará las acciones de las siguientes fases. sistemas para evitar la propagación. Limitar las
comunicaciones permitidas a lo indispensable.
Por último, en esta fase se debe notificar el ciberincidente.
Se establecerá comunicación interna con los equipos de • Desactivar servicios no esenciales para limitar la
gestión del ciberincidente, a los responsables para la propagación del ciberincidente.
toma de decisiones, a los proveedores para que ayuden • Recopilar y almacenar de forma segura todas las
en la resolución, a agentes externos para la colaboración evidencias.
(CSIRT), etc. • Compartir información con otros equipos internos
y externos de forma bidireccional para mejorar las
Por todo esto, es muy importante el trabajo previo de la
capacidades de mitigación.
fase de preparación donde todas estas comunicaciones
ya tiene que estar definidas y procedimientos de cuándo, Fase de mitigación
cómo y bajo qué circunstancias hacerlas.
Las medidas de mitigación dependerán del tipo de
Hay que considerar que pueden producirse ciberincidentes ciberincidente, ya que en algunos casos será necesario
con impactos muy graves en la organización que pueden contar con apoyo de proveedores de servicios, como
requerir decisiones de alta Dirección, incluyendo la en el caso de un ataque de denegación de servicio
necesidad de salvaguardar la imagen corporativa de la distribuido (DDoS), y en otros ciberincidentes puede
organización ante los medios de comunicación. Quién y suponer incluso el borrado completo de los sistemas
cómo comunicar con la Dirección y el mensaje a trasmitir afectados y recuperación desde una copia de seguridad.
fuera de la organización debe estar perfectamente
definido previamente. A pesar de que las medidas de mitigación dependen del
tipo de ciberincidente y la afectación que haya tenido,
Los planes de gestión de crisis, planes de Continuidad algunas recomendaciones en esta fase son:
de Negocio [2], etc., intervienen cuando el impacto
provocado por el ciberincidente afecta severamente a • Determinar las causas y los síntomas del
los servicios de la organización. ciberincidente para determinar las medidas de
mitigación más eficaces.
• Identificar y eliminar todo el software utilizado por
los atacantes. A menudo la forma que ofrece más
garantías de eliminar todo rastro de un incidente
pasa por un nuevo plataformado de la máquina.
• Recuperación de la última copia de seguridad
limpia.
 Respuesta a incidentes | 6

• Identificar servicios utilizados durante el ataque, ya Las conclusiones de esta fase deben servir como
que en ocasiones los atacantes utilizan servicios entrada de la fase de preparación para mejorar aquellas
legítimos de los sistemas atacados. actuaciones donde se han detectados dificultades.

Fase de recuperación

La finalidad de la fase de recuperación consiste en

Gestión de Brechas
devolver el nivel de operación a su estado normal y Un caso especial de los ciberincidentes son las
que las áreas de negocio afectadas puedan retomar su brechas de seguridad. Una brecha de seguridad es un
actividad. Es importante no precipitarse en la puesta en incidente que permite el acceso no autorizado a datos
producción de sistemas que se han visto implicados en informáticos, aplicaciones, redes o dispositivos. Es
ciberincidentes. decir, permite acceder sin autorización a información.
Normalmente, se produce cuando un intruso logra
Conviene prestar especial atención a estos sistemas
sortear los mecanismos de seguridad.
durante la puesta en producción y buscar cualquier
signo de actividad sospechosa, definiendo un periodo de La gestión de una brecha de seguridad puede tratarse
tiempo con medidas adicionales de monitorización. de igual modo que cualquier otro ciberincidente pero
se debe tener muy presente las obligaciones de las

Actividad post incidente regulaciones que pueden aplicar en este caso.

Si la información que ha sido comprometida está

Una vez que el ciberincidente está controlado y la sometida a algún tipo de regulación, es muy probable que
actividad ha vuelto a la normalidad, es momento de se deba comunicar esa brecha de seguridad al órgano de
llevar a cabo un proceso al que no se le suele dar toda la regulación competente e incluso a los afectados.
importancia que merece: Las lecciones aprendidas.
Dos ejemplos de información regulada son: Hacer los
Lo primero es recabar todas las evidencias y acciones mercados financieros y mercados de valores y los datos
realizadas durante la gestión del incidente. Generar personales [3].
un informe con toda la documentación detallando
cada acción realizada, su repercusión, los sistemas En este segundo caso, en los países donde está regulado,
afectados, el impacto y el coste del ciberincidente para el regulador exige la notificación de la brecha al órgano
la organización. Referente al impacto, no solo debe regulador, en el caso de España la Agencia Española
valorarse el impacto económico, también el reputacional de Protección de Datos [4], y a los dueños de los datos
y para la operación. afectados, clientes, usuarios, empleados, etc.

En paralelo a este informe, puede ser necesaria la Estas comunicaciones deben realizarse en un
realización de investigaciones detalladas sobre las plazo máximo de 72 horas, lo que implica tener un
evidencias obtenidas durante las fases anteriores. En las procedimiento previo para poder cumplir los plazos. La
fases anteriores se prima la contención del incidente y responsabilidad de cumplir con estos plazos y hacer la
la recuperación de servicios, es en esta fase donde se comunicación correspondiente con la AEPD recae en la
pueden hacer análisis más detalles de las evidencias figura del Delegado de Protección de Datos (DPD).
e intentar resolver preguntas de cómo ha pasado, qué
actores han intervenido para facilitar la propagación.
Para responder a este tipo de preguntas suele ser habitual Guías oficiales
realizar técnicas de análisis forense a las evidencias.
de Gestión de
Con el resultado de los análisis forenses, si se
han realizado, y el informe del incidente, es muy
Ciberincidentes
recomendable reunir a las áreas participantes en la Las guías más destacadas para la gestión de incidentes
gestión para comentar lo sucedido y reflexionar sobre de seguridad que se recomiendan consultar son:
las actuaciones realizadas. La idea de estas reuniones
es mejorar la gestión para futuras situaciones: • Ámbito internacional:
- NIST 800-61 Guía para la gestión de incidentes de
• Analizar las causas del problema y buscar seguridad del NIST [5].
soluciones para que no vuelva a producirse. - NIST 800-94 Guía para la prevención y detección
• Mejorar las tareas de detección si se han visto de intrusiones en sistemas [8].
superadas. - ITIL V4 Gestión de incidentes [9].
• Revisar errores en la operativa para buscar - NIST 800-86 Guía para integrar los Análisis
soluciones. Forenses en Respuesta a incidentes [10].
- SANS Respuesta ante Incidentes [11].
 Respuesta a incidentes | 7

• Ámbito nacional – España: [3] “BOE.es - DOUE-L-2016-80807 Reglamento (UE)

- Guía Nacional de notificación y gestión de 2016/679 del Parlamento Europeo y del Consejo, de
ciberincidentes [1]. 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento
- Guía de gestión de brechas de seguridad, AEPD
de datos personales y a la libre circulación de estos
[6].
datos y por el que se deroga la Directiva 95/46/CE
- CCN-STIC 817 - Gestión de ciberincidentes, (Reglamento general de protección de datos)”, www.
CCNM-CERT [7]. boe.es. [En línea]. Disponible en: https://www.boe.
es/buscar/doc.php?id=DOUE-L-2016-80807
Resumen [4] “Documento consolidado BOE-A-2018-16673,” boe.
En este tema se ha abordado la gestión de es. [En línea]. Disponible en: https://www.boe.es/
ciberincidentes. Se ha definido qué es un incidente de buscar/act.php?id=BOE-A-2018-16673
seguridad y la importancia que tiene para la organización [5] P. Cichonski, T. Millar, T. Grance, and K. Scarfone,
realizar una buena gestión de los mismos. En los casos “Computer Security Incident Handling Guide,” csrc.
más extremos un ciberincidente puede impedir las nist.gov, Ago. 06, 2012. [En línea]. Disponible en:
operaciones del negocio llevando a la organización a su https://csrc.nist.gov/publications/detail/sp/800-61/
desaparición. rev-2/final
Se han analizado las fases de gestión de un ciberincidente [6] “Guía para la notificación de brechas de datos
haciendo foco en la finalidad de cada fase y los objetivos personales”, AEPD. [En línea]. Disponible en: https://
de las mismas. www.aepd.es/sites/default/files/2019-09/guia-
brechas-seguridad.pdf
Se ha visto cómo los análisis forenses pueden ser
una herramienta útil de apoyo para el análisis de los [7] “Guía de Seguridad de las TIC CCN-STIC 817
ciberincidentes. Esquema Nacional de Seguridad. Gestión de
ciberincidentes.” [En línea]. Disponible en: https://
Para terminar, se ha visto un caso especial de www.ccn-cert.cni.es/series-ccn-stic/800-guia-
ciberincidente, las brechas de seguridad, y la importancia esquema-nacional-de-seguridad/988-ccn-stic-817-
de estar preparado para gestionarlas y así cumplir con gestion-de-ciberincidentes/file.html
las obligaciones regulatorias [8] K. Scarfone and P. Mell, “Guide to Intrusion
Detection and Prevention Systems (IDPS) (Draft)
Bibliografía Recommendations of the National Institute of
Standards and Technology.” [En línea]. Disponible
en: https://csrc.nist.gov/csrc/media/publications/
[1] “Guía nacional de notificación y gestión de
sp/800-94/rev-1/draft/documents/draft_sp800-94-
ciberincidentes aprobado por el consejo nacional
rev1.pdf
de ciberseguridad el día 21 de febrero de 2020.” [En
línea]. Disponible en: https://www.incibe-cert.es/ [9] “ITIL | IT Service Management | Axelos,” axelos.com.
[En línea]. Disponible en: https://www.axelos.com/
[2] “ISO 22301 Continuidad de Negocio - AENOR,” aenor.
certifications/itil-service-management/what-is-it-
com. [En línea]. Disponible en: https://www.aenor.
service-management/
com/certificacion/tecnologias-de-la-informacion/
continuidad-negocio [10] K. Kent, S. Chevalier, T. Grance, and H. Dang,
“Special Publication 800-86 Guide to Integrating
Forensic Techniques into Incident Response
Recommendations of the National Institute of
Standards and Technology,” Ago. 2006. [En línea].
Disponible en: https://nvlpubs.nist.gov/nistpubs/
Legacy/SP/nistspecialpublication800-86.pdf
[11] “Incident Handler’s Handbook | SANS Institute,” sans.
org. [En línea]. Disponible en: https://www.sans.org/
white-papers/33901/