Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

martes, 20 de marzo de 2012

Proactividad en la gestión de incidentes de seguridad

Tarde o temprano ocurrirá, interna o externamente habrá que gestionar un incidente de seguridad y reaccionar de acuerdo a un plan, pero ¿qué plan?, ¿estamos preparados para gestionarlo correctamente o iremos dando palos de ciego?, o peor aún, ¿se querrá ocultar y actuar como si no hubiera ocurrido nada?. Esto último es lo peor que se podría hacer.

En primer lugar, pongamos algunos ejemplos de incidentes de seguridad para los cuales debiera existir un plan para su correcta gestión:

  • La infraestructura ha sufrido un ataque exitoso de alguien externo.
  • Fallo en la infraestructura de forma no intencionada por alguien interno
  • Fuga de datos de clientes o productos
  • Vulnerabilidades públicas en productos de amplio uso
Generalmente se pone poca atención en la gestión de un incidente una vez este ha ocurrido. Pero la propia ISO 27001 tiene un apartado -el punto 13- dedicado a ello. Incluso tenemos el estándar ISO 27035:2011 para la administración de incidentes de seguridad, publicado el año pasado, o el más reciente Computer Security Incidente handling guide del NIST -todavía en borrador-

Uno de los beneficios más importantes, pero en muchas ocasiones no considerado de una gestión eficiente de incidentes de seguridad es el componente económico. Disponiendo del personal técnico, ejecutivo y de comunicaciones gestionando un incidente de forma coordinada, requiere una ingente cantidad de recursos (personal y horas). Sí se está preparado, dichos recursos seran menores.

Otro beneficio está relacionado con el departamento de comunicaciones o relaciones públicas. Las noticias sobre incidentes de seguridad están a la orden del día y dañan la imagen de la organización ante actuales y potenciales clientes. Una gestión eficiente de dichos incidentes minimiza un potencial impacto negativo en el negocio.

También se contribuye a la justificación presupuestaria y de recursos, algo que suele ser muy necesario -sobre todo hoy día- para departamentos mal considerados como 'de gasto'. Y se proporciona una mayor conciencia de seguridad de la información en la cultura interna.

Finalmente otro beneficio es el tema legal. Multiples circunstancias pueden dar lugar a responsabilidades penales. Por ejemplo el hecho de haber usado recursos de una infraestructura para realizar un DDoS, usarla como puente para atacar otros sistemas, o la exposicion de datos personales y o confidenciales. Conocer qué ha sucedido y reaccionar de forma adecuada es clave para afrontar los posibles problemas legales que se puedan presentar.

(Continuará...)