La ocurrencia de un incidente constituye un freno al desarrollo de los procesos sustantivos de una organización, por ello, la tenencia de un sistema que cuente con todos los requerimientos para enfrentar este tipo de hechos, constituye un imperativo.
De ello se deriva que, cuando el sistema informático es impactado, se deben desarrollar un conjunto acciones, que permitan reducir los daños, a la mínima expresión. Para que esto ocurra, se debe seguir un conjunto de pasos, establecidos de antemano, que definirán el éxito en la tarea.
Aunque la ley establece las obligaciones de los usuarios de las TIC en torno a la protección de la información, lo esencial en esta ocasión es que se comprenda la importancia de que la manera en que actúen cada persona dentro del proceso es esencial para proteger la información personal y la de todos en el sistema informático, porque permite desarrollar acciones para prevenir nuevos incidentes.
Las acciones a partir de la ocurrencia de un impacto siguen un orden lógico es lo que se conoce como gestión de incidentes. En Cuba este proceso está reglamentado por una norma jurídica del Ministerio de Comunicaciones, que es el organismo rector del Estado para el tema.
La norma, ordenada con el número 105, se establece en 2021 como parte del proceso de fortalecimiento de la ciberseguridad en el país y tiene como precedentes el decreto 360/2019 y la resolución 128/2019 del MINCOM entre otras sobre la temática de las TIC.
La resolución 128/2019, que es el Reglamento de seguridad de las Tecnologías de la Información y la Comunicación en Cuba establece en su articulado que las entidades ante la posibilidad de un incidente, deben poseer una estrategia que parta de la prevención de los riesgos, dando prioridad en la atención a los procesos críticos. Además por el impacto probable sobre la gestión institucional de una incidencia, la comprobación periódica de las acciones preestablecidas para el enfrentamiento y las acciones recuperativas constituyen un imperativo.
De lo anterior se deduce, que este proceso posee un orden histórico lógico para su desarrollo, que se agrupa en fases. Pero que se sustenta sobre todo en la información a quien corresponde de la ocurrencia de un incidente, cuestión está que es esencial y que no siempre se cumple.
Si no existe la información del incidente no puede desencadenarse las acciones posteriores que tienen como objetivo, reducir al mínimo las pérdidas y evitar que se reproduzca en el futuro este tipo de problemas.
La resolución 105/2021, antes mencionada es el Reglamento sobre el modelo de actuación nacional para la respuesta a incidentes de ciberseguridad y establece cuatro etapas para el proceso:
1. Prevención y Protección,
2. Detección, Evaluación y Notificación,
3. Investigación y
4. Mitigación y Recuperación.
En el Anexo I de la norma de respuesta a incidencias, se establece el componente de cada una de las cuatro etapas y junto a estas se establece una tipificación de los incidentes para nuestro país. A su vez se establece el nivel de criticidad del incidentes, que según su peligrosidad se tipifican en bajo, medio, alto y muy alto. Esto se define por factores que están contenidos en los artículos 12 al 19 de la resolución. Además en el Anexo II, se expone una tabla que amplia los detalles sobre cada tipo de incidentes agrupados en 17 categorías.
EL Plan de seguridad de las TIC (PSTIC) de la Universidad de Oriente (UO) establece que quien detecte una situación anómala en torno al uso de las TIC debe comunicarla de inmediato al directivo responsable de su radio de acción y preservar las evidencias del problema. Esto se acompaña del envío al grupo de seguridad informática de la institución del modelo donde se informa sobre el incidente y que aparece en el anexo 7 del PSTIC.
En el modelo se recoge información esencial que sirve como sustento para los procesos posteriores en la gestión del incidente y que además deben ser anotados, con todo detalle, en el libro de incidencias del área, que se corresponde con el anexo 2 del PSTIC.
A partir de la colecta de las evidencias se podrá desarrollar la investigación que permita determinar las causas del incidente y corregir las brechas para que no se reproduzca. Esto es esencial porque de ello depende que se establezcan nuevas políticas, medidas, procedimientos y controles que prevengan nuevas incidencias.
Esto se vincula a la cuarta etapa mitigación y recuperación. De nada vale restaurar el sistema si no se han corregido las causas que hicieron posible el incidente.
Si se profundiza en las etapas se aprecia que la primera es la prevención y protección, que depende de lo expuesto en el párrafo anterior sobre el establecimiento de nuevos controles para proteger, pero sobre todo para prevenir.
El proceso se aprecia como un ciclo, pues se relaciona estrechamente con el modelo de gestión del sistema de gestión de la seguridad de la información (SGSI) que cuenta con cuatro momentos Planificar, Hacer, Verificar y Actuar (PHVA) y que se explica en el anexo de la resolución 129/2019 del MINCOM.
Las etapas de detección, evaluación y notificación, junto a la de investigación son el núcleo para conocer del incidente, sus causas y las conclusiones para enfrentarlo y prevenir un incidente de ese tipo.
Pero es esencial que se comprenda que los especialistas no podrán realizar una investigación para lograr la prevención sin que exista el concurso de las personas que utilizan las TIC en cada área de la institución, porque son ellas las que detectan y avisan de la incidencia y preservan las evidencias.
Se hace énfasis en lo de preservar las evidencias, porque de manera habitual las personas pagan los medios técnicos, cuando la medida debe ser la desconexión del equipo de la red y llamar al personal especializado y al jefe inmediato para que se realicen las acciones adecuadas.
Como conclusión se puede obtener entonces que la participación de las personas que operan las TIC es esencial para desencadenar un proceso adecuado de gestión de incidentes y por ello, todos han de preparase para un evento de este tipo.