Gestión de incidentes.
Creado con Inteligencia artificial.
En el tema de la gestión de incidentes es aplicable la máxima popular de que: “de los errores se deben sacar enseñanzas”. Conocer las causas y las soluciones a los incidentes de seguridad contribuyen a cerrar las brechas para que no se reproduzcan los problemas y también a ser ciberesilientes.
En la Universidad de Oriente (UO) la gestión de incidentes es una asignatura pendiente. Es una realidad, que ante la ocurrencia de incidentes no se desarrollan las acciones requeridas para su gestión, de la que se deben extraer enseñanzas para evitar que los problemas se regeneren.
Puede escuchar el texto en formato de audio. Este ha sido creado con una herramienta de inteligencia artificial. .
La gestión de incidentes está regulada en Cuba por la resolución 105/2021 del Ministerio de Comunicaciones y tiene como finalidad gestionar desde la prevención el procesos para detectar, responder y recuperarse de los eventos que afectan la seguridad de la información y las comunicaciones en el país.
La resolución en su artículo 7 define incidente, sin embargo se ha considerado exponerlo de manera más amplia. Por tal motivo puede definirse como cualquier evento que comprometa o amenace la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información o los recursos informáticos.
La gestión de incidentes de ciberseguridad puede definirse como el proceso a través del que se identifica, prioriza, administra y supervisa los impactos que se producen sobre un sistema informático que afectan la confidencialidad, la integridad y la disponibilidad.
El proceso es esencial para garantizar el cumplimiento de la estrategia de la organización para enfrentar en las condiciones más óptimas los impactos que pudiera sufrir. El proceso parte de la existencia de un reporte que se genera en el lugar donde ocurre el incidente, como un acto esencial que activa el mecanismo de gestión.
Todas las acciones a desarrollar están establecidas en la resolución 105/2021 del Ministerio de Comunicaciones. Esta norma legal detalla las etapas en las que se desarrolla la gestión de incidentes.
Las etapas tienen detalladas las acciones a desarrollar en el anexo de dicha resolución. Para la primera etapa nombrada Prevención y Protección se plantean como acciones el establecimiento de bases normativas regulatorias para garantizar la ciberseguridad, el diseño, establecimiento, control y mejora continua de las medidas de protección que permitan la prevención, detección, contención y respuesta ante la ocurrencia de incidentes.
Incluye además la estandarización y certificación de la seguridad de las infraestructuras y servicios, la promoción de soluciones integradas, protegidas para la seguridad tecnológica, la comprobación mediante ejercicios de ciberseguridad en torno a las capacidades reactivas ante posibles incidentes y la implementación del intercambio con entidades especializadas de Ciberseguridad.
Sin embargo, el proceso no está completo sin la realización de campañas comunicacionales para fomentar la cultura de ciberseguridad y percepción de riesgo.
La segunda etapa, nombrada como de detección, evaluación y notificación se establecen como acciones la realización de una evaluación preliminar del daño y de las causas y condiciones que propiciaron el incidente, su clasificación del incidente según peligrosidad, en bajo, medio, alto o muy alto según establece la propia resolución.
También incluye preservar evidencias digitales y las informaciones sobre los eventos de seguridad detectados por los sistemas de supervisión existentes, la notificación que va desde el jefe inmediato hasta la Oficina de seguridad de Redes Informáticas (OSRI).
A partir de aquí se está en condiciones de analizar y recolectar, para su revisión, todos los eventos registrados por los sistemas de supervisión, resultados de auditorías, diagnósticos integrales y ejercicios de Ciberseguridad efectuados. En fin buscar antecedentes del hecho. Solo así se podrá lograr tener un seguimiento para el flujo informativo en las etapas siguientes de la gestión.
La tercera etapa es la de investigación, donde se ejecuta la comprobación del incidente, se caracteriza, se identifican sus causas y condiciones que lo propiciaron. A partir de este momento se desarrolla una reconstrucción de los hechos y la ejecución de un diagnóstico reactivo que complemente la investigación.
Solo así se tendrá una hipótesis a comprobar y validar, de esta manera se podrá determinar la responsabilidad administrativa, jurídica y penal sobre el hecho investigado, si corresponde.
Finalmente en esta etapa se documenta los elementos probatorios que permitan operar el incidente e informar a los directivos involucrados en el incidente, sobre los daños, su repercusión, impacto tecnológico y consecuencias.
La cuarta etapa, que marca el final del proceso, se nombra mitigación y recuperación. En ella, se diseña e implementan soluciones para la erradicación, se solucionan las problemáticas detectadas, se evalúa la pertinencia de restablecer entornos y servicios afectados y se notifica a la máxima dirección de la institución y al órgano de gestión de la Ciberseguridad en el MINCOM.
Como se aprecia el proceso para llegar a la recuperación parte preparación e identificación del incidente, donde desempeña el rol más importante el capital humano de la entidad. A pesar de la existencia de mecanismos de alerta temprana en los sistemas informáticos, es el hombre que se relaciona con la tecnología que aporta la mayor cantidad de elementos para acometer el estudio de la evidencia digital, de ahí la importancia del momento inicial: el reporte, que incluye no solo al personal técnico, sino también a los directivos del área.
Este proceso se relaciona con las contingencias, que en el plan de seguridad de las TIC (PSTIC) tienen detalladas las acciones para cada caso. Esta es la razón por la que el proceso se inicia con la a preparación e identificación del incidente. Esta es la esencia de la prevención como parte del modo de actuación en el uso de las TIC.
Un segundo elemento a destacar es que de cada evento adverso se obtienen enseñanzas. Al detectar un incidente, conocer las causas que lo originan, corregir las deficiencias y fortalecer el sistema para prevenir la ocurrencia de nuevos hechos similares permite documentar la manera de enfrentar los incidentes y aprender del cómo actúan los ciberdelincuentes y como accionar ante cada impacto y en su prevención.
Del estudio de los incidentes, se obtienen medidas para cerrar las brechas y obtener respuestas adecuadas y sólidas, que garanticen la ciberresiliencia. Esto solo es posible si existe un reporte de la incidencia. Entonces, un lugar muy importante lo tiene, la persona que interactúa directamente con la tecnología, que se convierte en la fuente principal de información para el personal técnico y que si además posee competencias para proceder desde la prevención ante cada hecho es capaz de proteger la evidencia digital, que es muy volátil y puede perderse por un proceder inadecuado.