Seguridad en el ciclo de vida del software

El uso de aplicaciones, servicios, infraestructuras y servicios software, o basados en software, es algo que está a la orden del día y que hacemos varios cientos de veces cada jornada, cuando usamos nuestro móvil personal o corporativo, servicios en la nube, conexiones a nuestra empresa y puesto de trabajo, videoconferencias y reuniones en línea, consulta de nuestro correo electrónico, cuando vemos la tele, e incluso cuando conducimos nuestro coche.

Por ese motivo, es de vital importancia que todo el software en el que se basan los servicios que utilizamos, además de estar bien implementado y no tener problemas, fallos, 𝗯𝘂𝗴𝘀, o 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀, sea completamente seguro.

Ya tenemos asumido que el uso de herramientas, productos y servicio de 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, es algo necesario. Pero, ¿𝘁𝗲𝗻𝗲𝗺𝗼𝘀 𝗮𝘀𝘂𝗺𝗶𝗱𝗼 𝗾𝘂𝗲 𝗹𝗼𝘀 𝗽𝗿𝗼𝗱𝘂𝗰𝘁𝗼 𝘆 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 𝗾𝘂𝗲 𝘂𝘀𝗮𝗺𝗼𝘀, 𝗱𝗲𝗯𝗲𝗻 𝗱𝗲 𝘀𝗲𝗿 𝘁𝗮𝗺𝗯𝗶é𝗻 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗼𝘀, sin agujeros de seguridad, ni 𝗯𝘂𝗴𝘀, ni 𝗽𝘂𝗲𝗿𝘁𝗮𝘀 𝘁𝗿𝗮𝘀𝗲𝗿𝗮𝘀?

Tanto consumidores (usuarios particulares y corporativos), como empresas, debemos exigir a fabricantes y proveedores la adopción del modelo de desarrollo de software centrado en la 𝙘𝙞𝙗𝙚𝙧𝙨𝙚𝙜𝙪𝙧𝙞𝙙𝙖𝙙 𝙙𝙚𝙨𝙙𝙚 𝙚𝙡 𝙙𝙞𝙨𝙚ñ𝙤 y en todo el 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙫𝙞𝙙𝙖 𝙙𝙚𝙡 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚.

Tan importante es realizar un desarrollo seguro del software, como concebirlo y definirlo desde el inicio como tal, teniendo siempre encima de la mesa, el concepto “𝙘𝙮𝙗𝙚𝙧𝙨𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙛𝙞𝙧𝙨𝙩”.

Para lograr un desarrollo seguro de software es necesario implementar la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 en todos los ciclos de desarrollo, desde el diseño hasta el 𝗱𝗲𝘀𝗽𝗹𝗶𝗲𝗴𝘂𝗲 final (sí, en ese momento, también es importante). Esto es posible aplicando determinadas metodologías y tecnologías de desarrollo seguro.

Es fundamental que el foco en la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, esté presente desde la concepción de un nuevo software, servicio, producto o aplicación. Es decir, quien define el software, sus características y casos de uso, debe definir también cómo se debe desarrollar para que acabe siendo un software, producto y/o servicio seguro.

En ese momento de identificación de características y definición de las mismas, también se deben identificar posibles activos y amenazas, así como los 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 y 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱. Existen algunas metodologías y marcos para ayudar en esta tarea, como lo pueden ser el 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝘿𝙚𝙫𝙚𝙡𝙤𝙥𝙢𝙚𝙣𝙩 𝙇𝙞𝙛𝙚𝙘𝙮𝙘𝙡𝙚 (𝙎𝘿𝙇), o el 𝘽𝙪𝙞𝙡𝙙𝙞𝙣𝙜 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙄𝙣 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝘽𝙎𝙄𝙈𝙈2).

Como decíamos en todo el desarrollo, en cualquier momento o ciclo del mismo, la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 debe de estar integrada como un componente más de la implementación, no tratándose de un complemento.

Del mismo modo que hemos oído hablar y aplicamos el modelo del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 (𝙎𝘿𝘾𝙇), al aplicar la ciberseguridad como un componente más del mismo, estaremos hablando del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝙨𝙚𝙜𝙪𝙧𝙤 (𝙎𝙎𝘿𝙇𝘾), el cual conforma un marco que asegura la inclusión de la seguridad desde el principio hasta el final del proceso.

En el caso del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚 (en cualquier modo, cascada, ágil, etc.) hablamos de las siguientes etapas, en las que la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 no está integrada ni es un elemento primordial de cada uno de ellas sino, en todo caso, algo que se “comprueba” al finalizar:

• Definición y Planificación

• Análisis

• Diseño

• Programación / Implementación

• Pruebas / Calidad

• Despliegue

• Mantenimiento

• Documentación

Sin embargo, en el caso del 𝙘𝙞𝙘𝙡𝙤 𝙙𝙚 𝙙𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙨𝙚𝙜𝙪𝙧𝙤 𝙙𝙚 𝙨𝙤𝙛𝙩𝙬𝙖𝙧𝙚, embebidos a las etapas tradicionales del desarrollo de software, además, tendremos:

• 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝗶𝗰𝗮𝗰𝗶ó𝗻, 𝗱𝗲𝗳𝗶𝗻𝗶𝗰𝗶ó𝗻 𝘆 𝗮𝗻á𝗹𝗶𝘀𝗶𝘀 𝗱𝗲 𝗹𝗼𝘀 𝗿𝗲𝗾𝘂𝗶𝘀𝗶𝘁𝗼𝘀 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, que aúna los requisitos funcionales y nos funcionales, con los específicos de seguridad/ciberseguridad.

• 𝗗𝗶𝘀𝗲ñ𝗼 𝘀𝗲𝗴𝘂𝗿𝗼/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗼, donde la definición del modelo operativo de cada característica debe aplicar criterios de 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 como el 𝙥𝙧𝙞𝙣𝙘𝙞𝙥𝙞𝙤 𝙙𝙚 𝙢𝙚𝙣𝙤𝙧 𝙥𝙧𝙞𝙫𝙞𝙡𝙚𝙜𝙞𝙤 y el 𝙥𝙧𝙞𝙣𝙘𝙞𝙥𝙞𝙤 𝙙𝙚 𝙙𝙚𝙛𝙚𝙣𝙨𝙖 𝙚𝙣 𝙥𝙧𝙤𝙛𝙪𝙣𝙙𝙞𝙙𝙖𝙙.

• 𝗜𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝗰𝗶ó𝗻, 𝗽𝗿𝗼𝗴𝗿𝗮𝗺𝗮𝗰𝗶ó𝗻, 𝗼 𝗰𝗼𝗱𝗶𝗳𝗶𝗰𝗮𝗰𝗶ó𝗻 𝘀𝗲𝗴𝘂𝗿𝗮/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗮, en la cual los programadores aplican técnicas y hábitos de codificación segura, como la 𝙫𝙖𝙡𝙞𝙙𝙖𝙘𝙞ó𝙣 𝙙𝙚 𝙚𝙣𝙩𝙧𝙖𝙙𝙖𝙨, el 𝙘𝙤𝙣𝙩𝙧𝙤𝙡 𝙙𝙚 𝙖𝙘𝙘𝙚𝙨𝙤, o el análisis y mitigación de 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀.

• 𝗣𝗿𝘂𝗲𝗯𝗮𝘀 𝗱𝗲 𝗰𝗮𝗹𝗶𝗱𝗮𝗱 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 que, al igual que las pruebas de calidad del desarrollo propiamente dicho, se basan en testear si dicho desarrollo realizado puede ser violado o no, si tiene agujeros de seguridad, 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀 y cuánto de robusto es, mediante determinadas 𝙥𝙧𝙪𝙚𝙗𝙖𝙨 𝙙𝙚 𝙥𝙚𝙣𝙚𝙩𝙧𝙖𝙘𝙞ó𝙣, pruebas de 𝙫𝙪𝙡𝙣𝙚𝙧𝙖𝙗𝙞𝙡𝙞𝙙𝙖𝙙𝙚𝙨, etc.

• 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗱𝗲 𝗰𝗮𝗹𝗶𝗱𝗮𝗱 𝗱𝗲 𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱, donde, una vez testeado o probado el software y aplicadas las medidas correctivas necesarias, se comprueba que software desarrollado, además cumple con los estándares de seguridad/ciberseguridad definidos a los que debe ceñirse.

• 𝗗𝗲𝘀𝗽𝗹𝗶𝗲𝗴𝘂𝗲 𝘆 𝗲𝗻𝘁𝗿𝗲𝗴𝗮 𝘀𝗲𝗴𝘂𝗿𝗮/𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗮, pues tan importante es el software en sí mismo como los mecanismos de entrega y puesta en marcha del mismo para su uso definitivo.

Algunos de los marcos, recomendaciones, herramientas y certificaciones a tener en cuenta para el 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼, son las siguientes:

• El 𝗮𝗻á𝗹𝗶𝘀𝗶𝘀 𝗱𝗲 𝗮𝗽𝗹𝗶𝗰𝗮𝗰𝗶𝗼𝗻𝗲𝘀 𝘆 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀, que permite emplear herramientas de escaneo estático y dinámico para la identificación de 𝘃𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝗱𝗮𝗱𝗲𝘀 en el 𝗰ó𝗱𝗶𝗴𝗼 𝗳𝘂𝗲𝗻𝘁𝗲 desarrollado y en la configuración de lo desarrollado. El 𝙉𝙄𝙎𝙏 (𝙉𝙖𝙩𝙞𝙤𝙣𝙖𝙡 𝙄𝙣𝙨𝙩𝙞𝙩𝙪𝙩𝙚 𝙤𝙛 𝙎𝙩𝙖𝙣𝙙𝙖𝙧𝙙𝙨 𝙖𝙣𝙙 𝙏𝙚𝙘𝙝𝙣𝙤𝙡𝙤𝙜𝙮) ayuda en este sentido con recomendaciones, pautas y estándares para el análisis de seguridad del software y aplicaciones.

• El 𝙎𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝘼𝙨𝙨𝙪𝙧𝙖𝙣𝙘𝙚 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝙎𝘼𝙈𝙈), o el 𝙊𝙥𝙚𝙣 𝙎𝙤𝙛𝙩𝙬𝙖𝙧𝙚 𝘼𝙨𝙨𝙪𝙧𝙖𝙣𝙘𝙚 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝙊𝙥𝙚𝙣𝙎𝘼𝙈𝙈), 

• 𝙊𝙥𝙚𝙣 𝙒𝙚𝙗 𝘼𝙥𝙥𝙡𝙞𝙘𝙖𝙩𝙞𝙤𝙣 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙋𝙧𝙤𝙟𝙚𝙘𝙩 (𝙊𝙒𝘼𝙎𝙋), facilita un modelo estructurado para evaluar la seguridad del software, incorporando la evaluación de procesos, la formación y los KPIs o métricas.

• El 𝘽𝙪𝙞𝙡𝙙𝙞𝙣𝙜 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 𝙄𝙣 𝙈𝙖𝙩𝙪𝙧𝙞𝙩𝙮 𝙈𝙤𝙙𝙚𝙡 (𝘽𝙎𝙄𝙈𝙈 𝙮 𝘽𝙎𝙄𝙈𝙈2), que permite comparar la madurez de una organización en materia de desarrollo seguro de software con otras organizaciones de diferentes sectores.

¿𝗧𝘂 𝗲𝗺𝗽𝗿𝗲𝘀𝗮 𝘁𝗶𝗲𝗻𝗲 𝗰𝗮𝗽𝗮𝗰𝗶𝗱𝗮𝗱 𝘆 𝗱𝗲𝘀𝘁𝗿𝗲𝘇𝗮 𝗽𝗮𝗿𝗮 𝗿𝗲𝗮𝗹𝗶𝘇𝗮𝗿 𝗰𝗶𝗰𝗹𝗼𝘀 𝗱𝗲 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼 𝗱𝗲 𝘀𝗼𝗳𝘁𝘄𝗮𝗿𝗲?

¿Necesitas tu empresa ayuda con 𝘀𝗲𝗿𝘃𝗶𝗰𝗶𝗼𝘀 𝗲𝘀𝗽𝗲𝗰𝗶𝗮𝗹𝗶𝘇𝗮𝗱𝗼𝘀 𝗱𝗲 𝗱𝗲𝘀𝗮𝗿𝗿𝗼𝗹𝗹𝗼 𝘀𝗲𝗴𝘂𝗿𝗼, como los que ofrecemos en 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅: 𝘿𝙚𝙨𝙖𝙧𝙧𝙤𝙡𝙡𝙤 𝙎𝙚𝙜𝙪𝙧𝙤.

Puedes ampliar detalles sobre nuestros servicios visitando la página de 𝗭𝗲𝗿𝗼𝗹𝘆𝗻𝘅

Si lo prefieres, contáctanos y hablamos.

GRC, resiliencia y servicios de Análisis de Cumplimiento Normativo

 

El panorama actual al que las empresas se tienen que enfrentar en materia de seguridad, privacidad y ciberseguridad, es complejo y dicha complejidad crece exponencialmente con el tiempo.

Si ese, junto con la protección y prevención, es uno de los puntos sobre sobre los que las empresas deben poner foco, no lo es menos el cumplir con los requisitos normativos al respecto.

Quizá todas no (aunque convendría que sí) pero, dependiendo de su actividad, sector al que se dedican, tamaño, tipo de clientes, etc., muchas empresas estarán obligadas a cumplir con determinadas normativas, directivas, reglamentos, regulaciones y leyes. Y, en caso de no cumplir con ellas, además de estar expuestas a posibles incidentes, podrán verse afectadas por sanciones y multas por dicho incumplimiento.

El objetivo final es la seguridad, la protección, la prevención y la resiliencia. Por ese motivo, la regulación en materia de protección de datos, seguridad y ciberseguridad es clave y se ampara en la necesidad de implementar robustos sistemas de GRC (Gobierno / Gobernance, Riesgo / Gestión del Riesgo / Risk Management y Cumplimiento / Compliance) en las organizaciones afectadas.

Pero, ¿conocemos las normativas que podrían afectar o aplicar en nuestra empresa? ¿Sabemos si tenemos obligatorio cumplimiento de las mismas o sólo a nivel de recomendación? ¿Sabemos si las cumplimos y en qué grado las cumplimos? Y, si no las cumplimos, o no al 100%, ¿sabemos qué tenemos que hacer para cumplirlas?¡Quizá haya que ponerse a ello lo antes posible!

Pero, en términos de Gobierno, Riesgo y Cumplimiento (GRC) respecto a la ciberseguridad, ¿de qué estamos hablando exactamente? Hablamos del establecimiento, implementación y gestión de determinadas políticas, procedimientos, recursos, modos de funcionar, servicios, controles, tecnologías, etc., en nuestra empresa, con las que poder garantizar que cumplimos con los principales marcos normativos internacionales de seguridad.

Existen multitud. Pero centrándonos en marcos o normas relativas a la ciberseguridad y a la protección de datos, entre las cuales podríamos identificar las siguientes (entre muchas otras):

• ISO/IEC (International Standarization Organization), y concretamente, la norma ISO 27001, que se focaliza en garantizar la seguridad, confidencialidad e integridad de los datos en los sistemas digitales que los procesan.

• NIST (Instituto Nacional de Estándares y Tecnología).

• CIS (Centro de Ciberseguridad), que ofrece controles críticos de seguridad para la prevención y mitigación de ciberamenazas.

• Directivas NIS y NIS2 (Network and Information Security), directiva europea para garantizar la seguridad en las redes y sistemas TI de la Unión Europea.

• ENS (Esquema Nacional de Ciberseguridad), que establece la política de seguridad para el uso de medios electrónicos en la Administración Pública (afectada y obligada y las empresas que trabajen con ella).

• RGPD / GDPR (Reglamento General de Protección de Datos), para el establecimiento de normas de protección de los derechos y libertades en lo que a los datos personales respecta.

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que viene a -sustituir a la antigua LOPD (Ley Orgánica de Protección de Datos) y trata de ser la equiparación de la RGPD al ordenamiento jurídico español.

• LSSICE (Ley de Servicios de la Sociedad de la Información y comercio Electrónico), que regula cómo deben ser los servicios TI y las contrataciones electrónicas.

La adhesión a estas normativas no solo es un requisito legal en muchos casos, sino que también es esencial para proteger los activos digitales de la empresa y la confianza de los clientes.

Por tanto, la evaluación del cumplimiento normativo es el primer paso en el proceso de consecución de un buen modelo GRC en materia de privacidad y ciberseguridad.

Esto implica un análisis exhaustivo por parte de expertos de las prácticas de seguridad y privacidad de la empresa, teniendo en cuenta los requisitos establecidos por los marcos normativos aplicables a cada caso.

En dicha tarea, los analistas revisan las políticas y procedimientos existentes en la organización, identifican vulnerabilidades y brechas de seguridad, y, con todo ello, determinan acciones de mejora y/o correctivas para incrementar el cumplimiento al mayor nivel posible.

Tras una concienzuda evaluación del cumplimiento normativo por parte de expertos, la empresa debe realizar una serie actividades recomendadas, con el fin de garantizar la adecuación técnica al cumplimiento normativo en materia de ciberseguridad, correspondiente al framework que haya sido analizado.

Digamos que el ejercicio o servicio profesional se compone de dos fases. La primera de ellas la auditoría del estado actual y la segunda de ellas la consultoría. El asesoramiento técnico profesional y experto, es vital, orientando sobre las medidas específicas que una organización concreta debe tomar para cumplir con los requisitos normativos.

La implementación de medidas para alcanzar un buen nivel de GRC, implica:

• Configuración y administración de sistemas de seguridad.

• Concienciación, educación y capacitación del personal en las políticas de seguridad.

• Implementación de controles y medidas técnicas de seguridad.

• Definición y aplicación de un Plan de Respuesta a Incidentes.

• Definición y puesta en marcha de una nueva estrategia y de consultorías periódicas.

Como decíamos, cada empresa, dependiendo de su sector, mercado, tipo de clientes, volumen, etc., tendrá sus propias necesidades y desafíos particulares y únicos en el ámbito de la ciberseguridad y la privacidad.

Esto es lo que hace necesario que, cada una de ellas, cuente con estrategias de consultoría y acción personalizadas, adaptadas 100% a las casuísticas específicas de cada empresa, con un enfoque particular para abordar ausencias detectadas y diseñar soluciones convenientes ajustadas a las circunstancias particulares de cada organización.

Las empresas no cuentan con un equipo experto dedicado a esto, por lo que subcontratan este tipo de servicios especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: GRC, Análisis de Cumplimiento Normativo y Adecuación Técnica para el Cumplimiento Normativo.

¿Quieres que averigüemos si tu empresa cumple con la/s normativa/s que le pueda/n afectar y, si no cumple, indicarte qué debes hacer para cumplir?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Tan importante es protegerse como responder

Estar convenientemente protegidos es importante pero, cuando sucede algo, cuando se produce un ciberincidente o un ciberataque en la empresa, también hay que saber responder a él como se debe, sin dejar nada al azar si es posible, ejecutando un plan previamente definido y probado.

La respuesta a incidentes es vital. En esa situación podemos correr como pollos sin cabeza haciendo cosas que creemos que aportan pero no lo hacen, o ejecutar el plan de acción, el plan de contingencia, plan de recuperación, paso a paso, tal y como se ha definido que se deba hacer.

Enmarcado en el framework de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la respuesta ante incidentes cobra toda la importancia que se merece, pues se sustenta en sus funciones principales desde un punto de vista holístico: identificar, proteger, detectar, responder y recuperar.

La respuesta ante incidentes de ciberseguridad por tanto se erige como un pilar fundamental que permite minimizar impacto y daños, así como salvaguardar la integridad de los activos de información. Esto de muy necesario en empresas y organizaciones.

Alineado con el NIST el enfrentarse a un ciberincidente, consiste en detectar, contener y mitigar los efectos de un ataque. Su objetivo esencial es reducir el impacto y restaurar la normalidad operativa de la empresa lo antes posible y del mejor modo posible.

Por otra parte, la experiencia es madre de la ciencia y debemos tener muy en cuenta las lecciones aprendidas tras haber sufrido un ciberincidente. Así, con ese conocimiento de lo vivido, podemos prepararnos para prevenir futuras situaciones similares.

Pero, entonces, ¿Qué debemos hacer exactamente en caso de que se produzca un incidente? Debemos seguir un guion (adaptado y personalizado a nuestra empresa). Ese guion se traduce en unas pautas a seguir en determinadas fases de actuación o de evolución del propio ciberincidente, que también determina el NIST:

• Fase de Preparación. El incidente aún no ha tenido lugar pero la empresa ya se prepara para ello, con el objetivo de estar prevenidos y saber cómo actuar cuando suceda. Los responsables de la ciberseguridad deben definir y establecer los controles, políticas, procedimientos y equipos de respuesta adecuados. Además se pueden realizar ejercicios de simulación para estar preparados para cuando algo ocurra realmente.

• Fase de Detección. Cuanto antes nos demos cuenta, antes reaccionaremos y menos impacto tendrá el incidente, por lo que la detección temprana es vital. Para poder hacerlo, las empresas deben contar con herramientas de monitorización (tráfico por la red, estado de sistemas y dispositivos, etc.). Recabar toda la información y todas las evidencias posibles, a efectos de un forense informático posterior, también es de mucha importancia.

• Fase de Análisis. Cuando se ha detectado el incidente, debemos conocerlo, saber cómo actúa y valorar su peligrosidad potencial. El análisis del tráfico de red por ejemplo, nos ayuda a identificar actividad sospechosa, patrones no habituales, comportamientos extraños, etc. Con ello conoceremos no solo el origen del incidente, sino su gravedad, alcance y naturaleza.

• Fase de Contención. Es el momento de actuar para detener, por lo que la empresa debe de tomar medidas para evitar la propagación del ataque (isolation o aislamiento de sistemas afectados, desactivación de cuentas comprometidas, aplicación de actualizaciones y parches disponibles, etc.).

• Fase de Erradicación. Ahora ya podemos eliminar la amenaza que ha causado el incidente e incluso dejar sin capacidad de actuación al ciberatacante.

• Fase de Recuperación. Tratemos de volver a la normalidad aunque, de momento (y es muy probable) ésta no pueda ser aún del 100% como antes del ciberincidente. La empresa debe restaura sistemas y servicios afectados, realiza pruebas, garantizar que ya no existe amenaza e ir asegurando la continuidad del negocio.

Hasta aquí llegaría el marco de actuación del NIST, pero, además, sugiere realizar otras actividades de interés y relevancia, aunque sea a toro pasado, que dependerán de cada empresa.

La primera de ellas es tomar nota de las lecciones aprendidas. Como decíamos, la experiencia es madre de la ciencia y, por tanto, aprendamos del incidente sufrido. Debemos evaluar lo sucedido desde todas las perspectivas y anotar lo que se hizo bien, lo que se hizo mal, el por qué salió bien o mal y los resultados.

Al final deberíamos tener un documento de best practices e incluso, de esa recopilación y reflexión, deberíamos poder generar, enriquecer y mejorar el plan corporativo de respuesta a incidentes que nos servirá el día de mañana como guion para actuar en caso de nuevos incidentes.

En todo este proceso debemos tener en cuenta además aspectos también importantes como la coordinación, la colaboración, la comunicación, la correcta gestión y preservación de evidencias del ataque.

Como ves, no es algo tan trivial como parece y debe ser definido y guiado por expertos en ciberseguridad.

Nuestro servicio de Respuesta Ante Incidentes, presta a las organizaciones apoyo técnico en la evaluación y contención de los incidentes de seguridad que tu empresa pueda sufrir, con un personal experto te ayudará a contener el problema y a tomar las medidas necesarias para restablecer el servicio.

¿Hablamos?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.