REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Centro de Respuesta a Incidentes Informáticos… ¿Para qué?

 

Es sorprendente ver cómo la tecnología de la información se incorpora cada vez más a nuestras vidas, inclusive atravesando la última frontera. Algunas de las prestaciones de dispositivos, aplicaciones y sistemas de mayor desarrollo en la actualidad ingresan al interior de nuestro cuerpo con singular éxito: sondas, marcapasos, microelectrónica aplicada para la asistencia a personas con discapacidades auditivas o visuales, localización permanente de personas...

Ese mismo nivel de interacción se observa en las organizaciones, donde ha aumentado radicalmente la facilidad de acceso a las redes con múltiples dispositivos que, además, son multifuncionales. Un teléfono que puede convertirse en Access Point Wi-Fi es algo absolutamente común en nuestros días, así como conexiones USB utilizadas para múltiples dispositivos, etc. Lo único que falta, es inventar discos duros que se parezcan a adornos en los dientes, porque creo que todo lo demás ¡está inventado! (en los lentes, con formas de juguetes, etc.). Si bien parece divertido, a la hora de asegurar la información, toda esta situación genera grandes dificultades y desafíos.

En la medida que los servicios de TI y los dispositivos se hacen más baratos, cercanos, difundidos y omnipresentes, la carencia o mal funcionamiento de alguno de ellos provoca impactos más altos y masivos.

Por ejemplo, los sistemas de prepago de celulares involucran a millones de personas y son lo suficientemente complejos como para tener interrupciones o demoras de forma periódica, siendo en general compleja la recuperación de los servicios.

¿Cuánto demora una comunidad de clientes de prepago en saber que el sistema está caído y (en algunas compañías) puede hablar sin límite? Es cuestión de segundos o minutos  ¿Cuánto dinero e imagen pierde la compañía?, bastante. Lo peor es que estas pérdidas van en rápido ascenso debido a la masificación de los servicios.

Así podemos enumerar múltiples servicios que hoy son indispensables, como la banca en línea, el voto electrónico, la venta de servicios y productos online, además de otros con los que convivimos a diario y que, bajo un incidente, podrían sufrir una interrupción inesperada. Este hecho impacta en forma cada vez más relevante las finanzas o reputación de las organizaciones involucradas.

Para dar este tipo de servicios, la complejidad de los equipamientos, redes y administradores de sistemas ha aumentado exponencialmente, por lo que diagnosticar la causa de una interrupción en un proceso de TI se está volviendo cada vez más complejo.

Existen miles de sistemas operativos, miles de protocolos y miles de formas de configurar las redes e intercambiar datos, además de millones de aplicaciones interactuando. Entonces, esto termina en infinidad de asuntos que atender a la hora de diseñar un nuevo proceso; y otras tantas causas de problemas a la hora de resolver un incidente.

La complejidad existente detrás de un servicio provoca en ocasiones, que frente a una alarma de incidente, distintos operadores de los diversos sistemas que lo soportan comiencen a promover cambios en aras de recuperar el servicio. Lejos de mejorar la situación, la vuelven irreversible, por lo que se ha constatado que es necesario coordinar las acciones de respuesta frente a un incidente de cualquier tipo para lograr una efectiva resolución del problema.

Por otro lado, la mayor parte de los usuarios de TI tienen un alto grado de desconocimiento del tipo de incidentes de seguridad más comunes, por lo que adoptan conductas inadecuadas en el uso de los dispositivos o servicios, colaborando frecuentemente con el éxito de los ataques.

Así las cosas, el proceso de seguridad de la información debe ser atendido y entendido por los directivos, sobre todo si la organización es usuaria intensa de las tecnologías de la información.

¿Qué es un Centro de Respuesta a Incidentes Informáticos?

Un Centro de Respuesta a Incidentes de Seguridad Computacionales (CSIRT) es un equipo de técnicos especialmente entrenados para resolver y gestionar incidentes informáticos de alto impacto. Dicho entrenamiento provee capacidades al mencionado equipo para gestionar crisis, coordinar acciones, estar preparado para prevenir y detectar los ataques cibernéticos más comunes, así como para conocer profundamente las debilidades de sistemas, infraestructuras y personas de su organización. El objetivo es dar una efectiva y rápida respuesta a los incidentes que puedan ocurrir.

Dicho equipo es muy parecido a una brigada de bomberos, ellos deben entrenar en forma continua para poder controlar rápidamente los incidentes más comunes. Cuanto más rápidamente mitiguen al incidente, menos impacto sufrirá la organización.

Es frecuente encontrarse con sistemas que facturan más de cincuenta mil dólares por hora. Contar o no con una respuesta acertada provoca bajar la discontinuidad de la operación en el orden de 10 horas promedio por incidente, por lo que la velocidad de la respuesta de recuperación se vuelve crucial.

Un CSIRT bien diseñado se encarga de proteger las infraestructuras críticas de la organización y vela por la continuidad de los servicios principales de la misma.

Existen diferentes tipologías de centros de respuesta que permiten adaptar y mejorar el desempeño de dichos grupos, según se encuentre alojado en una universidad, empresa, gobierno u organización internacional. Dichas tipologías están fuertemente vinculadas con la misión de la organización (sobre todo en términos de autoridad y funciones), además de la dispersión geográfica de la misma.

Vinculación entre un SGSI y un CSIRT

Un SGSI es un Sistema de Gestión de Seguridad de la Información y un CSIRT, como lo hemos dicho, es un Centro de Respuesta a Incidentes de Seguridad Informática, según sus siglas en inglés.

Uno de los principales problemas que un buen desempeño en la respuesta a incidentes desafía, es la existencia de una adecuada cultura de prevención y cuidado de los activos de información difundida entre los integrantes de la organización.

Para ello, dichos activos deben estar correctamente identificados, las personas que manejan dicha información deben estar suficientemente sensibilizadas y capacitadas sobre los riesgos inherentes a manipular los activos y, en general, debe haber un buen manejo (preventivo) de los sistemas, infraestructura y dispositivos en torno a dicha información.

Es frecuente encontrarse en las organizaciones con funcionarios indiferentes respecto a la seguridad informática que promueven conductas inadecuadas, por ejemplo, con respecto a los privilegios de sus cuentas de usuario ¡Todos quieren ser administradores! En la mayoría de los casos sin siquiera conocer los riesgos asociados a dicha condición.

Por otra parte, es necesario que esté claramente definida la política de seguridad de la información para poder discernir qué es un incidente de seguridad y qué no lo es. En ciertos ambientes, un port-scanning[i] no es un incidente y en otros es un incidente gravísimo, eso debe ser claramente establecido por la política de seguridad de la información y normas asociadas.

En resumen, tener un SGSI definido da el marco normativo necesario para una acción efectiva del CSIRT, promueve una cultura de seguridad, sensibiliza y alerta a los funcionarios de la organización acerca de qué es un incidente de seguridad. Antes de implementar el CSIRT, se recomienda desarrollar o fortalecer el programa de seguridad de la información de la organización.

Tener un SGSI sin disponer de un CSIRT que responda a los incidentes es ineficiente y frustrante, es similar a tener leyes de conducta ciudadana sin que existan policías o bomberos para desestimular, desactivar, mitigar o reprimir los incidentes. El sistema detecta la existencia del incidente, pero la organización no podrá dar una respuesta coordinada y efectiva.

Por otra parte, la gestión del conocimiento es totalmente inefectiva, puesto que en cada incidente se deberá crear nueva experiencia porque no existe ningún sitio en la organización que acumule y gestione el conocimiento propio o ajeno en la resolución de los incidentes previos, lo que provoca demoras y falta de asertividad en la recuperación.

Una visión directiva de la implantación (beneficios y esfuerzos)

Disponer de un centro de respuesta brinda a los directivos de una organización los siguientes beneficios:

  • Un punto de contacto focal reconocido y confiable dentro de la organización para la denuncia y gestión de los incidentes.
  • Promover la utilización de la infraestructura informática bajo buenas y mejores prácticas.
  • Disponer de un equipo especializado y asesor para la protección de los nuevos desarrollos, basado en tecnologías no conocidas.
  • Brindar información en tiempo real a toda la organización sobre vulnerabilidades, asociar y promover sus respectivas recomendaciones en forma más asertiva, además de mejorar significativamente su mitigación y/o control.
  • Proveer servicios de publicación de información difundiendo la cultura de seguridad informática.
  • Conocer, participar y compartir las experiencias de equipos similares estableciendo y haciendo propias las mejores estrategias para el manejo efectivo de incidentes de seguridad informática en la organización.
  • Administrar puntos de contacto con otros CSIRT para promover alertas tempranas de ataques que están siendo exitosos en otros entornos u organizaciones.
  • Poseer un equipo de personal especializado en constante proceso de actualización con la intención de brindar servicios de soporte informático.

Respecto a los esfuerzos necesarios, un CSIRT habitualmente se compone de pocos funcionarios bien entrenados (una estimación reciente establece un funcionario CSIRT en cada ochocientos puestos en organizaciones medias), con presupuestos anuales en general menores a los diez mil dólares por funcionario, excluyendo salarios. Con el costo evitado, la inversión inicial se recupera en menos de un año y los costes operativos son cubiertos al tercer incidente resuelto en forma efectiva en dicho año.

Un esfuerzo importante que debe considerarse es el apoyo a este equipo desde la dirección de la organización, promoviendo y cuidando que no sea excluido por sus pares de los equipos técnicos.

Ocasionalmente y debido a problemas de inserción derivados de la falta de comunicación, los técnicos del CSIRT son visualizados por el resto de los gestores de TI como un grupo de élite que oficia de auditor, juzgando el accionar de los demás con altos privilegios en la organización. Promover esta imagen es un error, indirectamente promueve que los operadores del sistema de información que están siendo objeto de un ataque o que tienen un problema operativo serio, intenten ocultar el incidente por temor a los informes o represalias que puedan ocurrir si el incidente se hace público en la organización, en vez de recurrir a la ayuda de su centro de respuesta.

La dirección y los integrantes del centro de respuesta, en consecuencia, deberían promover activamente una función de auxilio y apoyo a los demás actores técnicos de la organización (al igual que un cuerpo de bomberos) y ponerse al servicio de su comunidad minimizando conductas competitivas o agresivas de los interlocutores.

La frase que sigue pertenece a un amigo director de una gran organización, consultado respecto del funcionamiento de su CSIRT, considero que puede constituir un excelente cierre para este artículo.

“Tener un centro de respuesta es una excelente solución para entender las TI de mi organización, obteniendo respuestas de un tercer actor independiente, capaz y objetivo. Recuerdo cuando uno de los muchachos de la división informática había sido víctima de un ataque que comprometió nuestros servicios en línea. Para esa persona, el soporte del CSIRT fue fundamental porque demostró que él no fue culpable de nada, sino que fue atacado y que nada podía hacer, más que avisar. Gracias a su aviso y a una respuesta adecuada, salvamos un par de millones y pudimos detectar a los responsables del ataque y su móvil de actuación. Él no tuvo consecuencias en su carrera funcional, en definitiva evitamos un montón de costos humanos y materiales, el incidente no se ha vuelto a repetir”.

Si quieres saber más, visita:

 

Referencias:

www.cert.org

www.proyectoamparo.net

[i] El término port-scanning, en español escáner de puertos, se emplea para designar la acción de analizar, por medio de un programa, el estado de los puertos de una máquina conectada a través de una red de comunicaciones. Detecta si un puerto está abierto, cerrado o protegido por un cortafuegos o firewall. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red. Existen varios programas escaneadores de puertos por la red. Uno de los más conocidos es Nmap, disponible tanto para Linux como Windows.

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2018.