SEGURILATAM 008

62 Segundo cuatrimestre 2018 artículo técnico Ciberseguridad A ntes de un incidente informá- tico, las organizaciones nece- sitan contar con un procedi- miento de actuación enmarcado dentro de su política de seguridad según el tipo de incidente –siniestros, intrusiones o sa- botajes–. Procedimientos que no deben depender únicamente del CISO y que han de estar acompañados de simula- cros que les permitan ejecutar la cadena de mando y las labores necesarias. Los simulacros deberán realizarse du- rante turnos laborales previamente es- tablecidos y estarán acompañados de un ROF (rol operativo de funciones) que indique bajo qué responsabilidades queda el desempeño de las contingen- cias creadas para evitar una actividad maliciosa; esta es la piedra angular de la ciberestructura de una entidad. Mu- chos incidentes son conocidos meses después de efectuarse, algo que ocurre incluso en entidades que cuentan con certificaciones ISO en seguridad. Por otro lado, las organizaciones de- ben contar con profesionales cualifi- cados, así como con certificaciones vi- gentes (cada certificación internacional cuenta con un periodo de vigencia en- tre dos y tres años). Al caducar las mis- mas, el personal deberá desarrollar un proceso de revalidación. Asimismo, en materia de ciberseguri- dad es necesaria una actualización. Mu- cho del hardware que se emplea en las entidades cuenta con sus propias certi- ficaciones, las cuales se ofrecen al per- sonal cuando se instalan. El personal que se certifique deber contar con un contrato renovado, lo que contribuye a que se establezcan procesos que per- duren en el tiempo. El hecho de que la entidad no cuente con unas políticas claras de cibersegu- ridad le traerá graves consecuencias. No se puede establecer un proceso post mortem que subsane el descono- cimiento de actuación en incidentes. Es de carácter obligatorio que el personal de la entidad se actualice y capacite de forma rotativa sobre las amenazas infor- máticas vigentes. Las organizaciones tampoco pue- den permitirse un desfase de conoci- miento tecnológico. Todo el personal debe asistir a charlas técnicas y tecno- lógicas desarrolladas por entidades que oferten soluciones en el mercado local e internacional. La asistencia a estos en- cuentros deberá estar monitorizada por el área de Recursos Humanos con el fin de evitar la rotación de asistencia de ca- pacitaciones de dicha índole en caso de que el personal migre hacia otras enti- dades o la propia organización decida no renovar su contrato. Durante del incidente Las entidades deberán seguir unos pro- tocolos establecidos. Si el servidor ha sido comprometido, se pasa al backup ; el servidor secundario ayudará en este caso a que los usuarios puedan seguir operando, minimizando la pérdida de reputación al dejar inactivo el servidor comprometido. Se requiere efectuar un análisis forense que determine el daño causado en el servidor primario, ce- rrando conexiones indebidas. Se crean nuevas shells de acceso para evitar pos- teriores ingresos, se analizan movimien- tos de logs y los últimos archivos carga- dos en el servidor, se crea un registro de los IPS que tuvieron acceso al servidor y se examinan los archivos cifrados. En esta fase deberá informarse a los superiores para que decidan si repor- tan el incidente a las autoridades com- petentes en materia de cibercrimen. Por ello es primordial conocer de ante- mano el protocolo de comunicación es- tablecido por las autoridades. Merece la pena indicar que la cifra negra entre los incidentes sufridos y los denunciados es alta. Lamentablemente, muchos de los cibercriminales quedarán guarecidos César Chávez Consultor en Seguridad Informática Procedimiento de actuación e investigación forense en caso de sufrir un incidente informático