SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

La ISO 27001 define evento de seguridad como la ocurrencia de un estado en un sistema, servicio o red que indique una posible violación de la política de seguridad, un fallo de las medidas de seguridad o un estado desconocido hasta el momento que pueda ser relevante para la seguridad de la información.

La misma norma define incidencia de seguridad como la ocurrencia única o continuada de eventos de seguridad no deseados o no esperados que tienen una probabilidad significativa de interrumpir las operaciones de negocio o comprometer la seguridad de la información.

Mientras que el evento de seguridad por si solo, a pesar de representar un problema de seguridad, no tiene capacidad de molestar a la empresa, se convierte en incidencia cuando afecta a la seguridad de la misma.

El dominio de seguridad A.13 de la norma ISO 27001 está dedicado a la gestión de incidencias de seguridad de la información. Este dominio está formado por dos objetivos de seguridad. El primero, con código A.13.1, se centra en la notificación de eventos y debilidades de seguridad, mientras que el segundo, con código A.13.2, contiene controles enfocados a la gestión de incidencias y mejoras que puedan repercutir sobre el SGSI como consecuencia de la gestión de dichas incidencias.

Este dominio requiere que los eventos y vulnerabilidades de seguridad de la información se comuniquen de manera efectiva, con el objetivo de abrir las acciones correctivas oportunas. Para poder cumplir este objetivo de seguridad, lo recomendable es definir y documentar un procedimiento de notificación de eventos y debilidades de seguridad que sea conocido y utilizado por todos los empleados. Además, es recomendable definir y documentar un procedimiento de gestión de incidencias de seguridad, que debe ser conocido y utilizado por las personas responsables de llevar a cabo dicha gestión en la organización. Ambos procedimientos deberían estar basados en los requisitos de la ISO 27001 y las buenas prácticas de la ISO 27002. Si la empresa, antes de decidirse a implantar estos controles, ya hace uso de un sistema similar, por ejemplo, un sistema de ticketing, es interesante analizar las propiedades del mismo y, en la medida de lo posible, utilizar dicho sistema en los procedimientos de notificación de eventos de seguridad y gestión de incidencias. Durante la implantación de la norma ISO 27001 en una organización es importante hacer un esfuerzo en integrar los requisitos de la norma con los sistemas de información de los que ya hacemos uso.

El control A.13.1.1, definido dentro del objetivo de seguridad A.13.1, requiere que los eventos de seguridad se notifiquen por los canales adecuados lo antes posibles. Para ello es recomendable definir un punto de contacto que debe ser conocido por todos los empleados. Este punto de contacto puede ser una dirección de email, una aplicación web o cliente-servidor, un número de teléfono o cualquier otro canal de comunicación que la empresa decida, pero debe estar siempre disponible y el personal detrás del punto de contacto debe estar capacitado para responder adecuada y rápidamente a las incidencias que se presenten.

El control A.13.1.2, definido en el mismo objetivo de seguridad que el anterior, requiere que empleados, contratistas y terceros que sean usuarios de los sistemas de información en el alcance del SGSI, participen en el procedimiento de notificación de eventos de seguridad. Todos ellos deben de conocer el punto de contacto, que puede ser diferente para cada grupo de usuarios.

Debemos alertar a todos los usuarios de nuestros sistemas de información de que nunca deben tratar de verificar vulnerabilidades identificadas o que sospechen que existen, ya que dicha verificación puede interpretarse como una violación de la política de seguridad o incluso un ataque, y puede dañar los sistemas de información de la organización.

Es recomendable que el procedimiento de notificación de eventos y debilidades de seguridad articule un sistema de feedback que permita que el usuario que reporte un evento de seguridad realice un seguimiento de su gestión o cierre.

Con el objetivo de facilitar la introducción de los datos de un evento de seguridad y evitar errores humanos, el procedimiento de notificación debe proporcionar a los usuarios plantillas o formularios predefinidos con los campos que son necesarios completar y encaminar a los usuarios al siguiente paso en el procedimiento.

Los sistemas de monitorización, alertas y vulnerabilidades deben utilizarse para identificar eventos e incidencias de seguridad y, en la medida de lo posible, es recomendable que dichos sistemas estén integrados en los procedimientos de notificación y gestión.

El objetivo de seguridad A.13.2 requiere que el procedimiento de gestión de incidencias y debilidades de seguridad sea consistente y efectivo. Para ello deben definirse claramente responsabilidades y procedimientos (A.13.2.1). Deben implantarse las medidas necesarias para poder clasificar las incidencias de seguridad según su tipo, evaluar su gravedad y poder cuantificar y monitorizar volumen y coste de los mismos para la organización (A.13.2.2). Con ello se pretende reducir o evitar su recurrencia e identificar incidencias que puedan tener un impacto importante en la organización.

En el caso de incidencias de seguridad graves, que impliquen acciones legales contra personas u organizaciones, deben recopilarse y almacenarse las evidencias necesarias según la legislación local de la organización (A.13.2.3). En este caso, lo mejor es disponer de contactos profesionales expertos en el campo del peritaje informático y el análisis forense.

El procedimiento de respuesta ante incidencias de seguridad debe incluir el análisis e identificación de la causa de las mismas, medidas de contingencia, escalado a acción preventiva y correctiva en caso de ser necesario para evitar su recurrencia, aviso a aquellas personas u organizaciones implicadas la solución de la incidencia y la notificación, en su caso, a las autoridades pertinentes.

Tras la incidencia deben recopilarse las evidencias necesarias (logs, ficheros, observaciones…) y protegerse adecuadamente con el objetivo de poder analizar el problema a posteriori, como evidencia forense o como prueba para posibles compensaciones por parte de proveedores.

Las acciones para recuperarnos de las incidencias de seguridad deben definirse cuidadosa y formalmente. El procedimiento de respuesta debe asegurar que solo personal claramente identificado y autorizado puede acceder a los sistemas y los datos, que se notifica de todas las acciones de emergencia a Dirección, que éstas son documentadas y revisadas y que la integridad de los sistemas de negocio se confirma con la mayor rapidez posible.

Los objetivos de la gestión de incidencias de seguridad deben definirse claramente y deben ser conocidos y aprobados por Dirección.

Un buen sistema de notificación de eventos de seguridad y debilidades, y gestión de incidencias permite a una empresa gestionar la seguridad de manera ordenada y eficiente, reducir el tiempo necesario de resolución de incidencias y mejorar de manera continua los sistemas de información.