Reacción ante incidentes de seguridad

Septiembre 2017
Es fundamental identificar las necesidades de seguridad de una organización para establecer las medidas que permitirán a dicha organización evitar una situación catastrófica, como una intrusión, una falla en los equipos o incluso un daño por filtración de agua. No obstante, es imposible evitar por completo todo tipo de riesgos, por lo que todas las empresas deben estar preparadas para experimentar algún día una situación catastrófica.

En estas circunstancias, resulta fundamental una reacción rápida, ya que una máquina afectada hace peligrar el sistema de información de la compañía en su totalidad. Además, cuando el compromiso provoca el mal funcionamiento del servicio, una interrupción prolongada puede aparejar pérdidas económicas. Por último, en los casos en los que se ha alterado un sitio web (modificación de páginas) la reputación de la compañía está en juego.

Etapa de reacción

Generalmente, la etapa de reacción es la que menos se toma en cuenta en los proyectos de seguridad informática. Esta etapa consiste en prever eventos y planificar las medidas que deben tomarse si surge un problema.

En el caso de una intrusión, por ejemplo, el administrador de sistemas puede reaccionar de una de las siguientes maneras:

  • Obtener la dirección del hacker y contraatacar
  • Cortar el suministro eléctrico de la máquina
  • Desconectar la máquina de la red
  • Reinstalar el sistema


El problema es que cada una de estas acciones puede resultar más perjudicial (particularmente en términos de costos) que la intrusión en sí misma. En efecto, si el funcionamiento de la máquina comprometida es fundamental para el funcionamiento del sistema de información o si se trata de un sitio web de ventas online, una interrupción prolongada del servicio podría ser catastrófica.

A su vez, en este tipo de situaciones es importante establecer pruebas en caso de que se realice una investigación judicial. De lo contrario, si la máquina comprometida se ha usado para realizar otro ataque, la compañía corre el riesgo de ser considerada responsable.

La implementación de un plan de recuperación de desastres permite a la organización evitar que el desastre empeore y tener la certeza de que todas las medidas tomadas para establecer pruebas se aplicarán correctamente.

Asimismo, un plan contra desastres desarrollado correctamente define las responsabilidades de cada individuo y evita que se emitan órdenes y contraórdenes, que impliquen una pérdida de tiempo.

Restauración

En el plan de recuperación, se debe especificar en detalle cómo hacer que el sistema comprometido vuelva a funcionar correctamente. Es necesario tomar en cuenta los siguientes elementos:

  • Anotar la fecha de intrusión: conocer la fecha aproximada en la que se ha comprometido la máquina permite a la organización evaluar el nivel de riesgo de intrusión para el resto de la red y el grado de compromiso de la maquina.
  • Restringir el compromiso: tomar las medidas necesarias para que el compromiso no se expanda
  • Estrategia de seguridad: si la compañía tiene una estrategia de seguridad, se recomienda comparar los cambios que se realizaron a los datos del sistema comprometido con los datos supuestamente fiables. Si los datos están infectados con un virus o un troyano, la restauración de éstos puede expandir aún más el daño.
  • Establecer pruebas: por razones legales, es necesario guardar los archivos de registro diario del sistema corrompido para poder restituirlos en caso de una investigación judicial
  • Cómo configurar un sitio de reemplazo: en lugar de reinstalar el sistema comprometido, es preferible desarrollar y activar a tiempo un sitio de reemplazo que permita que el servicio continúe activo cuando sea necesario.

Práctica del plan contra desastres

De la misma forma en que los simulacros de incendio son fundamentales para repasar un plan de escape en caso de incendio, la práctica del plan contra desastres permite a una organización confirmar que el plan funciona y garantizar que todas las personas involucradas sepan qué hacer.

Consulta también


Réaction aux incidents de sécurité
Réaction aux incidents de sécurité
Reazione agli incidenti di sicurezza
Reazione agli incidenti di sicurezza
Reacção aos incidentes de segurança
Reacção aos incidentes de segurança
Última actualización: 21 de octubre de 2016 a las 13:31 por Carlos-vialfa.
El documento «Reacción ante incidentes de seguridad» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.