En Cuba los incidentes informático se gestionan a partir de un Modelo de Actuación Nacional para la respuesta a incidentes de Ciberseguridad en el ámbito del Ciberespacio Nacional, esta actuación está normada por la resolución 105/2021 del Ministerio de Comunicaciones de la República de Cuba.
Este reglamento como se expresa en la propia resolución, gestiona en el país el proceso que debe desarrollarse para gestiona un incidente.
Para comprender el proceso debe partirse de una definición de que se entiende por incidente y también gestión de incidente de ciberseguridad.
Para definir incidente se toma la definición que aporta el Centro de Respuesta a Incidentes de la Universidad de Varacruz en México que expresa:
“Un incidente de Ciberseguridad es un evento o serie de eventos inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio; provocando una pérdida o uso indebido de información, interrupción parcial o total de los Sistemas, siendo los más comunes, la infección por malware, phishing, etc”.(UV-CSIRT)
INCIBE de España por su parte lo expone como: “Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información de la empresa, por ejemplo: acceso o intento de acceso a los sistemas, uso, divulgación, modificación o destrucción no autorizada de información”.
Cualquiera de las dos definiciones puede dar la idea de lo que se denomina incidente, no obstante a los efectos de la lógica de la exposición se asume la de INCIBE a partir de que deja explícito el hecho de que cualquier incidente incide directamente sobre los pilares de la ciberseguridad.
La gestión de incidentes de seguridad, por su parte es vista como un proceso de identificar, administrar, registrar y analizar las amenazas o incidentes de seguridad ocurridos en una organización. Este proceso busca ofrecer una visión sólida y completa de cualquier problema de seguridad informática dentro de la plataforma tecnológica, de ahí que la referida resolución lo muestre como: “Artículo 3. Se entiende por respuesta a un incidente de Ciberseguridad, a todo el proceso que se realiza para su gestión”.
Las fases del proceso de gestión de incidentes son definidas de diversas maneras según las normas y los fundamentos sociales que las sustentan y la óptica que se siga por lo autores. En algunos casos se parte del análisis y prioridad de los activos hasta llegar a la formación del capital humano para enfrentar los riesgos.
La primera cuestión de la que debe tomarse conciencia por todos es la necesidad de que todas las situaciones que ocurran alrededor de las tecnologías de la información deben ser comunicados a los directivos del nivel inmediato superior con los todos los detalles necesarios para la investigación del incidente. Esto luego de asentar los datos del incidente en el libro de incidencias del área.
La gestión de incidentes se desarrolla en Cuba a partir de lo expuesto en el Anexo 1 de la resolución 105/2021 del Ministerio de Comunicaciones, que establece las etapas para el proceso.
La primera etapa Prevención y Protección atraviesa por procesos que comienzan en la prevención que parte del conocimiento de las normas regulatorias en el país sobre ciberseguridad, que forman parte de la cultura que haga posible una actuación proactiva en el uso seguro de las TIC.
La filosofía de trabajo debe partir de la previsión que parta del diseño de una estrategia con capacidad para reaccionar demostrada en la práctica con acciones de control que sea capaz de gestionar situaciones que puedan no estar predeterminadas a partir de soluciones de seguridad tecnológica y el trabajo previo de preparación de las infraestructuras y servicios.
La segunda etapa, de Detección, evaluación y notificación, agrupa procesos en los que se destaca a partir del conocimiento detallado del incidente, el análisis de las causas que propiciaron el problema y la clasificación de su peligrosidad según establece la propia resolución a partir de los efectos para el sistema informático y la consecuente notificación a las autoridades.
La tercera etapa, denominada de Investigación, trabaja en la caracterización del fenómeno desde su reconstrucción, como vía para lograr un conocimiento del mismo para su enfrentamiento, las responsabilidades en la situación a partir de la modelación y generación de las hipótesis del incidente para determinar como operar en la etapa superior e informar sobre los efectos en todos los sentidos del mismo a partir de su alcance.
La cuata etapa, nombrada como Mitigación, parte de las soluciones para la erradicación de los efectos del incidente así como de sus causas y las condiciones que lo propiciaron, evaluando la conveniencia de restablecer las condiciones del sistema informático previa corrección de las fallas detectadas. A esto se añade una nueva notificación oficial a los organismos competentes.
Sin embargo el proceso no acaba aquí, porque el proceso de evaluación y reevaluación debe continuar de manera ininterrupida, con la certeza de que una buena parte de los incidentes, son el resultado de las fallas en el mecanismo de actualización de los sistemas operativos, plataformas, software y plugins utilizados en los sistemas informáticos.
Esto responde a la utilización del modelo de gestión para la seguridad de los sistemas de gestión PHVA (Planificar – Hacer – Verificar – Actuar) que se expone en el Anexo de la resolución 129/19 del Ministerio de Comunicaciones que explica las bases del proceso para la elaboración del análisis de riesgos y del Plan de seguridad de las TIC.
Referencias bibliográficas:
España. INCIBE. Guía Glosario de Ciberseguridad.
Universidad Veracruzana. UV-CSIRT. ¿Qué es un incidente de ciberseguridad?