Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa.
Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), si no más bien cuando ocurre. No piense en un sistema como débil o vulnerable, es importante darse cuenta que dado el tiempo suficiente y los recursos necesarios, alguien romperá la seguridad hasta del sistema o red más seguro y protegido. Basta con revisar el sitio web de Security Focus en http://www.securityfocus.com para una descripción detallada referente a violaciones recientes de seguridad, desde los ataques más frecuentes a las páginas web corporativas, hasta los ataques en los servidores de nombres DNS en el año 2002[1].
El aspecto positivo de entender la inevitabilidad de una violación a los sistemas es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Acción inmediata para detener o minimizar el incidente
Investigación del incidente
Restauración de los recursos afectados
Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro.
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)
Una estrategia legal revisada y aprobada
Soporte financiero de la compañía
Soporte ejecutivo de la gerencia superior
Un plan de acción factible y probado
Recursos físicos, tal como almacenamiento redundante, sistemas en standby y servicios de respaldo
El Equipo de respuestas a emergencias de computación (CERT) es un grupo de expertos locales que están preparados para actuar rápidamente en el evento de una catástrofe computacional. Encontrar las competencias esenciales para un CERT puede ser todo un reto. El concepto de personal adecuado va mucho más allá de la experiencia técnica e incluye logísticas tales como ubicación, disponibilidad y el deseo de poner a la organización más allá de la vida personal cuando surge una emergencia. Una emergencia nunca es planeada, puede ocurrir en cualquier momento y todos los miembros del CERT deben estar dispuestos a aceptar la responsabilidad que les es requerida para responder a una emergencia a cualquier hora.
Los equipos CERT típicamente incluyen administradores de redes y de sistemas así como también expertos de seguridad de la información. Los administradores de sistemas proporcionarán el conocimiento y la experiencia de los recursos del sistema, incluyendo respaldo de los datos, hardware de respaldo disponible para ser usado y más. Los administradores de redes proporcionarán su conocimiento de protocolos de redes y la habilidad de redirigir el tráfico de la red dinámicamente. El personal de seguridad de la información es útil para hacer un seguimiento detallado de los problemas de seguridad así como también llevar a cabo análisis port-mortem de los sistemas en peligro.
Puede que no siempre sea posible, pero debería haber personal redundante dentro de un CERT. Si no se requiere un conocimiento profundo en ciertas áreas clave, entonces se debería implementar entrenamiento cruzado siempre que sea posible. Tenga en cuenta que si sólo una persona tiene la llave a la seguridad e integridad de los datos, entonces la empresa completa estará desamparada si la persona está ausente.
Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis post-mortem, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos.
| [1] |