_ Ricardo Pelaz
“4 A.M, suena el móvil de guardia a todo volumen, algo ha sucedido y no puede esperar. Descolgamos con urgencia y sí, hay un incidente. Han vulnerado la seguridad de la compañía X, por ahora solo se sabe que han hecho un ‘defacement’, modificando la imagen de la página web de la compañía, indicando que ya no tienen el control del servidor web. ¿Cuán profunda será la brecha de seguridad?”
El relato anteriormente expuesto puede ser el inicio de una respuesta ante un incidente de seguridad, puede ser un caso aislado, o la punta del iceberg de un ataque mucho más elaborado. Los indicativos que pueden establecer que nos encontramos ante un ataque pueden ser: la modificación de la página web, pérdida de disponibilidad en algún servicio, generación de alarmas en los sistemas de monitorización, una alerta ante una frase de jactancia en las redes sociales, etc.
Disponer de servicios de monitorización puede suponer un punto crucial a la hora de responder ante una brecha de seguridad y remediarla o tener que realizar un análisis forense posterior.
El tiempo de reacción y actuación será la principal diferencia entre sufrir daños o mitigar el ataque y no transcienda, tal y como se puede apreciar en el siguiente gráfico:
En la actualidad, el número de amenazas que se ciernen contra las compañías es muy variada y poder defenderse contra todas ellas es imposible. Por lo que si partimos de que en algún momento va a producirse un incidente de seguridad, estar preparado para responder en el menor tiempo posible y tener la capacidad de detectar un comportamiento anómalo, son cruciales para mitigar con éxito todos los ataques que puedan producirse.
Hay una frase muy conocida de Abraham Lincoln la cual refleja la importancia de la preparación.
“Si dispusiera de ocho horas para cortar un árbol, emplearía seis en afilar el hacha”.
Aplicando dicho concepto en la respuesta ante incidentes, nos damos cuenta de la necesidad de un Plan de Actuación por parte de la compañía. Siguiendo el relato inicial, la persona que debe actuar ante el incidente a las 4 A.M tendrá que recabar información de los distintos sistemas de la compañía para poder determinar la mejor manera de proceder.
En ese momento, deberá contactar con los encargados de los distintos sistemas para poder obtener esa información. Si en la compañía X no están preparados para proporcionar dichos datos, el tiempo de respuesta se dilatará y puede que se pierda la posibilidad de disminuir el impacto.
Para responder ante este acontecimiento, se necesitará una metodología estableciendo un ciclo de vida y obrar adecuadamente en todos los casos, preparándose ante un posible suceso, detectarlo, contenerlo y finalmente aprender de lo ocurrido.
Sin la preparación y sin la metodología, solo podremos responder ante los ataques cuando éstos hayan hecho todo el mal posible, dejándonos en un escenario en el que habrá que buscar el “por qué” de lo sucedido, así como el “quién”, cuando posiblemente se podría haber disminuido el daño.
¿Estás preparado? ¿Sabes a quién acudir?