¿Cómo se manejan acertadamente los incidentes de seguridad? ¿Cuáles son las características de un modelo de gestión de este tipo de sucesos? Prevenirlos, evitarlos y, cuando ocurren, tratarlos adecuadamente resulta básico para mitigar sus posibles daños. Te contamos un poco más sobre ellos.
Qué son los incidentes de seguridad
Son sucesos que comprometen la integridad, disponibilidad o confidencialidad de los recursos de los sistemas tecnológicos de seguridad de una organización. Así queda recogido en el Glosario de Términos de Ciberseguridad del Instituto Nacional de Ciberseguridad INCIBE.
Dada su proliferación y la magnitud, la práctica totalidad de las empresas han comenzado a dedicar recursos a esta cuestión. La preparación, detección y análisis, contención, erradicación y recuperación y las actividades post-incidente contribuyen a la adecuada gestión.
Ejemplos de sucesos de esta naturaleza son:
- Infecciones por malware.
- Ataques de denegación de servicio (DoS o DDoS).
- Filtraciones de datos o información confidencial.
- Intrusiones o accesos no autorizados a sistemas de información.
- Eliminación, destrucción o corrupción de archivos.
Como queda en evidencia en el Informe de Ciberamenazas y Tendencias del CCN-CERT IA.23/21, los riesgos no dejan de aumentar. Las empresas han incrementado el uso que hacen de las nuevas tecnologías y de Internet. Los trabajadores desarrollan sus labores desde puntos muy diversos, en algunos casos itinerantes o de forma remota desde sus domicilios. A eso se une el incremento del número y de la complejidad de los cibercrímenes.
Por qué se producen
Sus causas son variadas, aunque todas ellas pueden explicarse por fallos en algunos de los siguientes puntos:
Parches de seguridad mal gestionados
Hay empresas con altos niveles de estratificación que no disponen de programas para gestionar vulnerabilidades. Por lo tanto, no protegen sus software, sistemas operativos o bases de datos. Este tipo de programas contribuyen a identificar, adquirir, probar y también a instalar parches.
Plataforma con escasa o deficiente seguridad y configuración
En muchas ocasiones, se configuran más servicios de los necesarios, algo contraproducente para la seguridad. Por otro lado, hay que revisar configuraciones por default (usuarios, contraseñas y archivos compartidos). Las configuraciones de los recursos deben incluir advertencias o sistemas de auditoría para permitir el login de eventos.
Fallos en protocolos de seguridad en redes
Cuando no se revisan a menudo los firewalls o no se actualizan dispositivos como IDS o IPS, aumenta el riesgo. De igual manera, hay que sincronizar los elementos de seguridad y de red. Sumado a eso, sus logs tienen que ser proporcionados a especialistas de seguridad para ser analizados.
Política preventiva deficiente para casos de código malicioso
Tanto los servidores como los dispositivos de los usuarios tienen que disponer de un antivirus activo y actualizado.
Falta de formación, entrenamiento y sensibilización de usuarios
La formación, sensibilización, capacitación y entrenamiento de toda la plantilla es básica para prevenir fallos de seguridad.
Cómo evitar incidentes de seguridad
Prevenir y evitar incidentes de seguridad va unido a la seguridad de la información y a la seguridad tecnológica. Esto, a su vez, pasa por el cumplimiento de la legislación vigente en esta materia. En el marco normativo a cumplir se incluyen las siguientes legislaciones, regulaciones, normas internacionales o guías de buenas prácticas:
- ISO 27001/27002. Norma sobre la seguridad de la información y protección de datos.
- Esquema Nacional de Seguridad o ENS.
- Reglamento General de Protección de Datos (RGPD).
- Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Marco para la mejora de la seguridad cibernética en infraestructuras críticas NIST.
- Objetivos de control para la información y tecnologías relacionadas COBIT.
- Guía de buenas prácticas para la gestión de servicios de tecnologías de la información ITIL.
Sumado a eso, resulta esencial la implantación de modelos de gestión de incidentes de seguridad que los prevengan y, si ocurren, los traten de manera adecuada.
