Llegamos a ustedes gracias a:



Reportajes y análisis

Incidente de seguridad

¿Cómo responder ante él?

[13/03/2009] Muchas personas se introducen en el incidente y comienzan a dar órdenes, de acuerdo a Lenny Zeltser, miembro senior de la facultad de SANS, quien también es director de SANS.

Zeltser fue uno de los expositores en la conferencia SOURCE de Boston en esta semana y les dio a los asistentes algunos consejos acerca de qué hacer cuando un incidente inesperado golpea a la organización. En lugar de saltar inmediatamente a tomar rápidas decisiones, haga preguntas. Muchas preguntas. Zeltser detalló cuatro etapas clave para la respuesta, que le ayudarán a ganar control y proceder con confianza.
Comprenda los antecedentes del incidente
Tiene que entender que va a entrar a la situación con los ojos vendados, señala Zeltser, quien también recomienda afirmar la autoridad de una forma calmada para ganar la situación. Escuche más y hable menos.
Lo primero que debe preguntar: ¿Cuál es la naturaleza del problema, de lo que se ha podido ver hasta el momento? Quizás el diagnóstico inicial era incorrecto, afirma, señalando que un problema que inicialmente se pensó originario de un servidor puede terminar siendo un asunto del firewall.
Algunas otras preguntas por hacer: ¿Cómo se detectó inicialmente el problema? ¿Cuándo fue detectado y por quién? ¿Qué componentes de la infraestructura de seguridad hay en el ambiente afectado (por ejemplo, firewalls, antivirus, etc.)?
Zeltser también recomendó no temer preguntar acerca de los componentes de la infraestructura de TI afectada. No tema parecer ignorante. Y no asuma que tienen antivirus o firewalls.
También averigüe qué grupos fueron afectados por el incidente. De nuevo, si es el servidor web, averigüe quién lo usa y dígale del problema.
Defina los parámetros de comunicación
Va a trabajar remotamente con personas que no les son familiares, anota Zeltser. Debe saber quién tiene cuáles responsabilidades y asignar roles. Si usted es el que se encarga de los incidentes, la gente va a esperar esto de usted. En muchos casos, las personas esperan que alguien las dirija.
Otras preguntas fundamentales que hacer en esta etapa: ¿Qué personas están al tanto del incidente? ¿Cuáles son sus nombres y grupo o relación con la compañía? Escríbalos y asigne a alguien la responsabilidad de comunicarse con ellos, afirma Zeltser.
También, determine exactamente quién es el principal coordinador de respuesta a incidentes.
Algunas veces hay muchas personas que creen que están a cargo, señaló. Creo que solo debe haber una persona quien en último término se encuentre a cargo.
Considere también, quien se encuentra autorizado para tomar decisiones de negocio con respecto al incidente. ¿Es un ejecutivo o un administrador? Y decida cómo se debe comunicar el equipo de respuesta. ¿Por teléfono, correo electrónico? ¿Qué capacidades de encriptamiento deben utilizarse para esa comunicación?
También determine el cronograma de novedades sobre progresos internos y externos, y quién es el encargado de difundir las novedades. Es necesario difundir las novedades porque, como lo señala Zeltser: Si las personas no tienen noticias suyas, asumirán lo peor.
Por último, decida quién será el encargado de las pruebas en el campo de la infraestructura TI afectada. El encargado de incidentes podría no ser una persona técnica. Alguien más también tendría que manejar la comunicación con otros departamentos, como los del área legal y los miembros del equipo de relaciones públicas.
Evalúe el alcance del incidente
En este paso es crucial entender la forma en que los datos fluyen por el sistema, señaló Zeltser. ¿Qué pasa si los componentes de la infraestructura TI (sitios web, redes, servidores, etc.) se encuentran directamente afectados por el incidente? También, ¿qué aplicaciones y procesos de datos hacen uso de los componentes de la infraestructura afectada?
En esta etapa, también debe considerar el tema del cumplimiento. Si su compañía tiene un ejecutivo de cumplimiento, él o ella, debería ser contactado ahora.
Considere no solo lo que usted desea hacer sino también lo que tenemos que hacer dentro de la ley, señaló Zeltser. En este punto es prudente considerar la forma en que el incidente ocurrió. ¿Cómo se llegó ahí?, dijo Zeltser. ¿Cuáles fueron los puntos de ingreso y egreso que afectaron el ambiente?
Las teorías acerca de cómo ocurrió el incidente también deberían ser exploradas ahora. Y, para mantener una buena ciudadanía corporativa, considere si el incidente podría implicar algún riesgo para las organizaciones externas.
Revise los resultados del sondeo inicial del incidente
Ahora tiene que considerar cuáles datos del análisis inicial puede usar de ahora en adelante. Durante este paso también debe determinar qué detalles forenses podrían haberse perdido. Cada vez que toca un sistema, modifica su estado, afirmó Zeltser.
¿Qué comando o herramientas fueron ejecutados sobre los sistemas afectados? ¿Qué medidas fueron tomadas para contener el alcance del incidente? Todas ellas pueden impactar sobre la evidencia forense.
También tómese un tiempo ahora para revisar los logs y vea si hay alguna entrada sospechosa.
Prepárese para los pasos de respuesta para el siguiente incidente
¿Tiene su grupo u organización, instrucciones de respuesta a incidentes específicas o pautas? Si usted es externo a la organización, no asuma que las personas saben qué es lo que hace. Puede estar tratando con procedimientos anticuados y personal no capacitado, afirmó Zeltser.
Ahora es el momento de decidir si proceder con un análisis en el momento, o comenzar un examen forense formal. Algunas compañías se preocupan menos de la parte forense y simplemente desean hacer un análisis en el momento para tratar con el problema y volver al negocio tan pronto como sea posible, señaló Zeltser.
Otras cosas importantes que preguntar: ¿Qué herramientas se encuentran disponibles para monitorear la red o las actividades basadas en alojamiento en el ambiente afectado? ¿Qué mecanismos existen para transferir archivos hacia y desde los componentes de la infraestructura TI afectados durante el análisis (por ejemplo, red, USB, CD-ROM, etc.)? ¿Dónde se encuentran físicamente localizados los componentes de la infraestructura TI afectada? ¿Qué capacidades de respaldo y restauración existen para ayudar en la recuperación del incidente?
Por último, decida cuáles serán los siguientes pasos. ¿Quién hará qué y cuándo? Ahora tiene una detallada masa de información que usar para ayudarlo a tomar una decisión.
Joan Goodchild, CSO (USA)