Principios y tecnologia habilitadora para una correcta gestion de incidentes ciberneticos

Debido al meteórico aumento de los costos y daños provocados por la ocurrencia de brechas e incidentes de seguridad en organizaciones públicas y privadas de la región, estas han visto la urgencia de reforzar sus capacidades de atención y respuesta a incidentes cibernéticos.

En base al contexto que nos rodea, GBM en su carácter de Proveedor de Servicios de Seguridad Gestionados (MSSP por sus siglas en inglés) define algunos principios y tecnologías/servicios habilitadores que pueden ayudar a sus clientes y organizaciones a desarrollar y establecer un modelo de trabajo proporcionado y consistente para gestionar ciberataques.

PRINCIPIOS BASICOS PARA LA GESTION DE INCIDENTES CIBERNETICOS

El éxito a la hora de gestionar un evento o incidente cibernético no dependerá únicamente con detectar y actuar rápido, sino más bien, en que las actividades, procesos y fases de la gestión del ciclo de vida del incidente estén bien definidas, diseñadas, enfocadas y ejecutadas. Por tanto, GBM recomienda tomar en consideración al menos los siguientes principios de gestión de incidentes cibernéticos:

  • Gestion de la capacidad: es importante que los CISOs se aseguren que su estrategia y plan de seguridad podrá ser ejecutado de forma correcta y que cuentan con suficientes tecnologías, expertise y recurso humano para atender un proceso tan crítico como es la atención y respuesta a incidentes.
  • Joyas de la corona: conocer cuáles son los activos más críticos de la propia organización es sumamente importante. No considerar el valor del activo implicado en el incidente podría llevar al analista o CSIRT a subestimar la situación (impacto y prioridad). Además, tomar en consideración la relevancia del activo ayuda a evitar omisiones en la fase de integración de los sistemas de TI al ecosistema de respuesta a incidentes/SOC.
  • Marco de trabajo: adoptar una metodología nos ahorrara tiempo, esfuerzo y trabajo, tres cosas que debemos aprovechar al máximo en un incidente cibernético. Por ejemplo, la norma “NIST SP 800-61” es ampliamente utilizada y recomendada por su manera practica y sencilla de abordar todo el ciclo de vida de un incidente.
  • Preparación: directivas, procedimientos, guías de casos de uso, directorios de escalamiento, runbooks, playbooks y tecnologías son elementos básicos en este punto. Lo anterior puede potenciarse considerando elementos establecidos dentro de la “Cyber Kill Chain”.
  • Identificación y análisis: al momento de gestionar un evento o incidente cibernético, es necesario hacer una identificación precisa y correcta de: la categorización del incidente, vector de amenaza, alcance, nivel de severidad, nivel de prioridad, TTP MITRE ATT&CK, IoC, IoA, etc.
  • Gestion del incidente: durante la gestión de los eventos o incidentes, es muy importante que el responsable de este sea capaz de identificar correctamente cual fue la causa raíz u origen de este, así como también, identificar el gap, brecha o debilidad de seguridad.
  • Post incidente: muchas organizaciones pueden cometer el error de subestimar el valor que pueden llegar a obtener de esta fase de la gestión de incidentes. Hacer un buen análisis del post incidente puede no solo aportar lecciones y oportunidades de mejora de la gestión del incidente, sino también, obtener un reporte de puntos débiles de la estrategia, postura o arquitectura de seguridad de la organización (según la ISO 27002:2014 – 16.1.3 Reporte de debilidades de seguridad de la información).

TECNOLOGIAS Y SERVICIOS HABILITADORES PARA LA GESTION DE INCIDENTES

Demasiadas herramientas de seguridad pueden inhibir las capacidades de un equipo de respuesta a incidentes. En este sentido, GBM recomienda una serie de tecnologías y servicios habilitadores que las organizaciones pueden tomar en consideración para unificar, simplificar y mejorar sus capacidades de detección, atención y respuesta a incidentes de ciberseguridad/seguridad.  Entre algunas de estas soluciones se pueden mencionar:

  • IBM Security Qradar XDR: integra y unifica todas las capacidades de automatización SOAR, SIEM potenciada con UBA e IA, NDR, threat hunting, threat intelligence. Sin embargo, IBM también cuenta con estas capacidades en formato individual dentro de la gama de productos IBM Security Qradar con el fin de satisfacer las necesidades específicas de sus clientes.
  • VMaaS: el proceso de gestión de vulnerabilidades es sumamente importante a nivel de gestión del riesgo cibernético y de cumplimiento de seguridad. Tercerizar este proceso es una grandiosa solución para liberar carga operativa y lograr desarrollar y establecer un nivel de madures optimo, reduciendo la exposición de riesgos cibernéticos por explotación de vulnerabilidades.
  • SOCaaS: aunque ya existen muchos proveedores tipo SOC, estos trabajan bajo un modelo tradicional, lo cual generan un valor muy limitado y ROI difícil de justificar para los CISOs. SOCaaS (SOC as a Service) ofrece todos los beneficios de un SOC sin el costo, complejidad y la inversión de tiempo de una operación SOC tradicional. Además, permite crear un mayor nivel de integración y sinergia entre el proveedor y la propia organización, generando valor agregado y acompañamiento más directo.

CONCLUSION

GBM está consciente de los retos que enfrentan las organizaciones a la hora de responder y hacer frente a un ciberataque. Es por esta razón que pone a su disposición un amplio portafolio de soluciones y servicios de seguridad de categoría mundial (IBM, Cisco, Microsoft, App Gate, Thales, Tenable, Helpsystems, CheckPoint) en el momento en el que lo necesite. Además, nuestro GBM Cyber Security Center cuenta con recursos, expertise y capacidad para ayudarle a gestionar cualquier incidente de seguridad (incluidos tipo ransomware). Acceda a un equipo de seguridad multidisciplinario de profesionales de elite para recibir asesoramiento y apoyo sobre gestión de incidentes cibernéticos con soporte local o remoto.

Conozca más sobre cómo podemos apoyarlo:  https://www.gbm.net/es/ciberseguridad.