¿Cómo se pueden gestionar eficazmente los incidentes de seguridad?

Hoy más que nunca Las organizaciones están expuestas a experimentar un sin número de incidentes de seguridad que las pueden afectar; sin importar que sean grandes o pequeñas,  que tengan una importante asignación  presupuestal para la seguridad o una más bien modesta, o que sean públicas o privadas, la realidad es que los incidentes no escogen momento ni lugar sino que  suceden; y es por esta razón que debemos estar preparados, para así poder enfrentar los desafíos que tales incidentes conllevan.

En términos generales un incidente de seguridad es un evento en que una o varias situaciones convergen sobre la organización y atentan contra la confidencialidad, la integridad o la disponibilidad de los datos que ésta maneja, produciendo dificultades de todo tipo. En el caso de los datos personales, los incidentes en primera instancia afectan directamente los derechos del titular y en casos muy específicos afectan la continuidad de la operación de la misma organización. Un ejemplo real que ilustra bien el problema es el de un incendio de una oficina bancaria, aquí la situación va más allá del daño a la infraestructura y el local; pues, la pérdida de bases de datos, expedientes y diversa información propia de la oficina bloqueará en forma parcial o total las actividades económicas que puede realizar el titular.

Por otra parte, el simple cambio de local, la reposición de mobiliario y de equipos informáticos no le solucionará el inconveniente a la sucursal; pues, ésta deberá iniciar un proceso de recomposición de sus archivos para así poder operar con normalidad y esto tomará un tiempo.

¿Por qué se producen los incidentes?

Éstos son producto de las debilidades o vulnerabilidades de los sistemas o de la infraestructura que no fueron consideradas cuando se realizaron los análisis de riesgos, o que se consideraron, pero no se le otorgó una calificación válida en el impacto en los titulare y en la organización.

Generalmente estas debilidades o vulnerabilidades crean una brecha de seguridad que día a día crece en la medida que los registros en las bases de datos aumentan y el número de transacciones de datos de titulares se ven incrementadas. Los incidentes de seguridad más frecuentes a nivel de la protección de datos personales son:

• Destrucción o corrupción de la información: Aquí el daño o afectación de los datos es producto de incendios, inundaciones, caída de rayos, fallas eléctricas o fallas en la infraestructura de almacenamiento y de flujo de datos.
• Filtración de información confidencial: En general esto ocurre por un acto intencional o accidental de un funcionario quien entrega la información que está reservada para la organización y el titular a terceros no autorizados para leerla.
• Acceso no autorizado a los sistemas de información y sus datos: Dentro de la organización tan solo un pequeño grupo de personas tiene acceso a los datos para poder tratarlos; sin embargo, personas ajenas al tratamiento o cibercriminales en ocasiones acceden de forma irregular a tal información, por ejemplo, robando las claves de los usuarios autorizados o quebrando la seguridad de la organización para acceder directamente los datos.
• Infección por malware: En este caso los datos pueden ser corrompidos, destruidos o robados mediante el uso de programas espía o software malintencionado que busca entrar en los sistemas de la organización para romper sus defensas. Estas infecciones generalmente ocurren por uso de software ilegal o no autorizado, por la ejecución de comandos de programa en los ordenadores que hacen parte de la red de la organización, o por el contacto con medios que ya están infectados como son las famosas memorias USB y discos de almacenamiento externo.
• Ataques para denegación de servicio: Este incidente ocurre cuando un servicio que es dispuesto a atender a un grupo de personas se ve truncado por un aumento del tráfico de datos, allí lo que se busca es inundar el sistema de información con múltiples peticiones, de esa manera al estar congestionada la red no se pueden satisfacer las necesidades de los usuarios reales.

 Entonces… ¿Cómo detectamos los incidentes de seguridad?

Planear la seguridad es un factor de vital importancia para toda organización, y dentro de tal planeación se deben considerar al menos los siguientes aspectos:

• Monitorear periódicamente los sistemas de información: Los puntos de acceso, los sistemas de control de flujo de datos y los sistemas de almacenamiento son de revisión primordial; además, siempre se debe comenzar por los sistemas que involucran el manejo de datos sensibles de los titulares y la administración de los datos críticos para el funcionamiento de la organización.
• Establecer herramientas de revisión de la concordancia de datos y de revisión de los registros de eventos del sistema: Con estos procesos se pretende detectar patrones de comportamiento del flujo de la información no habituales y uso de datos en forma anormal.
• Implementar servicios de inteligencia sobre los datos almacenados y su flujo: Aquí se busca detectar fugas de información y verificar cuáles sistemas de seguridad pueden estar comprometidos.
• Capacitar al personal en temas de seguridad informática y protección de datos personales: Aquí no solo se le ilustra al funcionario qué debe hacer para mantener segura la información a su cargo, sino que se le explican cuáles son solo síntomas de un equipo o sistema vulnerado, cuáles son las fallas más comunes, los comportamientos extraños y cómo debe comunicar estos eventos a las autoridades de seguridad de la organización.