Sin importar el tipo de evento que se presente, sea desastre natural, conflagración, hurto, fraude de funcionarios, ataques informáticos, malware, errores humanos o un malfuncionamiento del hardware o el software, ante una posible ocurrencia se deben considerar medidas de mitigación que planteen tiempos extra rápidos de resolución, de lo contrario, los efectos adversos de tal evento podrían diseminarse y perjudicar tanto a la organización como a los Titulares de los datos.
En innumerables ocasiones el tiempo requerido para mitigar completamente una amenaza es subestimado; pues, se considera que tan solo con identificar y tomar ciertas medidas estándar en su contra será suficiente para estar seguro y protegido; pero ese concepto dista enormemente de la realidad y trae consigo infinidad de problemas; pues, a la hora de restaurar los sistemas de información el tiempo va en nuestra contra ya que tanto la devastación de la información como el perjuicio a los Titulares no se detienen.
Si hablamos específicamente de las amenazas activas: (ataques informáticos, malware e infracciones a la seguridad producto del error humano), existen diferentes de metodologías de respuesta rápida, enfocándose todas ellas en cuatro aspectos fundamentales que de ser posible deben incorporarse a los procesos de gestión de incidentes, y estos son:
- Identificación:
Aquí es fundamental disponer de mecanismos de detección temprana tales como software antivirus, anti espía y de monitoreo de conexiones entrantes y salientes, de esa manera se podrá contar con medios de alerta e información específica acerca de la amenaza detectada. Por supuesto que en algunas ocasiones se partirá de sistemas que han quedado totalmente inoperantes después de un incidente informático, pero esa es la excepción y no la regla, ya que en general éstos se presentan después de vulneraciones leves que se van manifestando durante un lapso de tiempo determinado, es por ello que el entrenamiento previo de usuarios será indispensable para detectar con prontitud tales anomalías y así responder con rapidez.
Una vez se detecta algún tipo de ataque será necesario identificar cuáles son los dispositivos comprometidos (ordenadores, portátiles, servidores, Smartphone), qué software ha sido vulnerado (sistemas operativos, aplicaciones), qué información posiblemente fue afectada tanto en su existencia como en su integridad, cuales datos o grupo de datos se han vuelto no confiables y qué servicios quedaron inoperantes o fueron disminuidos. Esta labor a veces no es fácil y requiere de mecanismos que permitan aislar ciertas áreas de la organización para impedir la diseminación del ataque, es por ello que aquí interviene la planeación, estableciendo con anticipación acciones de respuesta inicial y mecanismos que ayuden a aislar o sofocar las amenazas.
- Caracterización:
Este aspecto se desarrolla paralelamente al anterior, y con él se verifica la existencia de actividades contradictorias entre el recurso humano y los procedimientos de la organización, y entre los sistemas de protección y los protocolos de funcionamiento de los mismos, esto conducirá a disponer de datos generales y específicos que permitan realizar labores de respuesta y corrección de fallas. En realidad, la evaluación plantea realizarse cuando se detecta una amenaza porque a veces son los mismos permisos de los usuarios o el conocimiento marginal de los límites de los dispositivos o software de protección los que facilitan que un incidente de seguridad ocurra, es por ello que al buscar la causa de la brecha se le dará celeridad al cierre de la misma.
- Neutralización:
Una vez identificadas y caracterizadas las amenazas será necesario tomar acciones inmediatas para enfrentarlas, tales acciones se enfocan en eliminar el acceso a los atacantes con la finalidad de detener cualquier daño adicional tanto a los activos informáticos como a los datos y evitar la filtración de la información privada de la organización. En este caso se aborda la causa de raíz y se elimina definitivamente sea por métodos blandos: (Confinamiento de malware, reconfiguración de parámetros de seguridad, bloqueo de direcciones IP), o por métodos duros: (Borrado y reinstalación de sistemas operativos, aplicaciones o archivos), en cuyo caso se deberá desarrollar un plan especializado sobre cada usuario para verificar que se han restaurado todas las funcionalidades y archivos que estaban contenidos en un determinado dispositivo y que los datos pueden fluir a través de las redes con total normalidad.
- Monitoreo:
Realizar actividades de seguimiento continuo para detectar recurrencias será indispensable para dar cierre a un incidente de seguridad, este seguimiento requiere de informes periódicos y de un resumen posterior al incidente que detalle las acciones tomadas, los descubrimientos realizados y las recomendaciones que orientan a futuros encargados sobre cómo mitigar la recurrencia de eventos similares y cómo detectar tempranamente las amenazas con características afines a la tratada.
El monitoreo implicará formación de los usuarios para hacer transición a un nuevo nivel de seguridad en donde la organización estará lista para responder a cierto tipo de amenazas y será proactiva de cara a las exigencias de seguridad de la información.
