SEGURILATAM 008

Segundo cuatrimestre 2018 63 artículo técnico Ciberseguridad por esta cuestión, cometiendo delitos de manera reincidente y saliendo impu- nes de los mismos. Pocas entidades cuentan con un es- pecialista en análisis forense. La presen- cia de profesionales de este perfil opti- mizará y posibilitará establecer procedi- mientos de recopilación de información que sirvan para proteger a la entidad, desarrollando procesos óptimos que faciliten judicializar una investigación. Para ello, existen procedimientos confi- denciales creados por cada entidad con el objetivo de evitar filtraciones públi- cas del incidente. Actuación en incidentes Es innegable que las amenazas a la ci- berseguridad podrían producir un cibe- rapocalipsis en entidades que cuentan con interconectividad a otros servicios alojados en la Red, sobre todo si habla- mos del sistema financiero. Como me- dida preventiva, los CISO deben tener en cuenta lo siguiente: 1. Contar con monitores en tiempo real que permitan verificar ataques efec- tuados desde servidores externos. 2. Disponer de un equipo para monito- reo de flujo de tráfico para conocer cualquier trafico anómalo dentro de un servidor. 3. Desconectar las direcciones MAC que están desarrollando ataques internos o externos. Por política de seguridad, el analista de sistemas debe tener un mapa de los equipos conectados a la Red, habiendo establecido direccio- nes IP fijas y MAC a las máquinas que tiene activas e inactivas, lo que ayuda a establecer medidas correctivas y de cierre de forma rápida y efectiva. 4. Comunicar el incidente a las entidades que cuentan con servicios compartidos en la Red con el fin de que establezcan las medidas correctivas oportunas. 5. Determinar la gravedad del ataque con el objetivo de activar el servidor de respaldo. 6. Desconectar accesos a la Red en caso de no contar con un servidor de res- paldo. 7. Comunicar el incidente al departa- mento de Seguridad con el fin de im- pedir la salida de personal o visitantes de la entidad. 8. Comunicar al área de Recursos Hu- manos lo acontecido. 9. Enviar comunicación del incidente a la cadena de mando. 10. Proceder con las medidas correcti- vas relacionadas con la investigación. Después del incidente Y una vez que se ha registrado el inci- dente, habrá que tener en cuenta una serie de cuestiones en función de si el mismo ha sido interno o externo. En caso de incidente interno: 1. Determinar los registros de acceso de la máquina comprometida, verifi- cando los horarios de apertura de los usuarios. 2. Comprobar si el incidente comenzó por contaminación mediante uni- dades removibles de propiedad del usuario que las ejecutó. 3. Aclarar si el incidente fue causado por un externo de la entidad. Para ello deberán verificarse las cámaras de se- guridad correspondientes. 4. Evaluar los daños causados dentro de la red interna y si el ataque informático fue causado como medio destructivo para causar un daño más grande. 5. En caso de contar con accesos remo- tos compartidos, o usuarios que no de- berían tener permisos administrativos, debe determinarse la fecha en la que se elevaron privilegios y si existe complici- dad con personal de otras áreas. 6. Verificar las comunicaciones de los usuarios y el movimiento de docu- mentación importante a la que tuvie- ran acceso durante el periodo de vul- nerabilidad del sistema. 7. Comprobar los sistemas informáti- cos comprometidos, analizando el re- gistro de ejecución y las aplicaciones instaladas en los equipos con el fin de establecer una cronología de las in- fecciones. 8. Aplicar las sanciones correspon- dientes al personal que violó las políticas de seguridad de la em- presa. 9. Adoptar las medidas correctivas y es- tablecer el incidente en una bitácora interna de la empresa. En caso de incidente externo: 1. Determinar la presunta geolocaliza- ción del atacante. 2. Observar el periodo de incubación y proliferación de las vulnerabilidades afectadas en el servidor. 3. Determinar la cantidad mínima de máquinas afectadas en el incidente. 4. Revisar los reportes de errores o fallos previos al ataque. 5. Determinar los falsos positivos gene- rados en el tiempo en que los equi- pos fueron comprometidos. 6. Verificar los intentos de acceso efec- tuados desde configuraciones exter- nas a la entidad. Para ello deberán analizarse los logs del servidor. 7. Comprobar si existen carpetas o uni- dades ocultas en el servidor y equi- pos comprometidos. 8. Analizar el tráfico de salida hacia apli- caciones no permitidas. 9. Supervisar los procesos activos y el comportamiento de las aplicaciones operativas en el sistema. 10. Determinar mediante ingeniería in- versa el procedimiento que efectuó el atacante informático, verificando si tuvo colaboración con personal in- terno o que ya no tiene vínculo labo- ral con la empresa. El hecho de que una entidad no cuente con unas políticas claras de ciberseguridad le traerá graves consecuencias