Inicio / Blog / ¿Aprendemos de los Incidentes de Seguridad?

¿Aprendemos de los Incidentes de Seguridad?

Publicado el 05/09/2013, por Mariano del Río
incidentes

En esta oportunidad, y luego de un tiempo importante, quería compartir con todos ustedes una serie de reflexiones respecto a una etapa crucial de la gestión de incidentes de seguridad, y es aquella referida a las lecciones aprendidas. Ese hito en el cual se supone que todos los actores relevantes del proceso participan en sesiones para identificar aspectos a mejorar, definir planes de acción y llevar a cabo las actividades que, en el mejor de los casos, permitan que lo sucedido no vuelva a repetirse (o al menos se minimice la posibilidad).

En distintos estándares, como por ejemplo los de ENISA (http://www.enisa.europa.eu/activities/cert/support/incident-management) o el NIST (http://csrc.nist.gov/publications/nistpubs/800-61rev2/SP800-61rev2.pdf) se establecen las distintas etapas, teniendo como actividad post-incidente aquella asociada a la identificación de lecciones aprendidas.

Sin embargo, es frecuente que las sesiones o encuentros para llevar a cabo dicha actividad no se realicen. Ya sea porque no se cuenta con el tiempo, la metodología o el interés de los participantes, el resultado final es que "pasamos" el incidente y al momento de presentarse nuevamente, no hicimos nada al respecto. Esta situación, además de poner en riesgo a la organización afectada, significa un incumplimiento de las principales regulaciones en materia de seguridad de la información, ya que la gestión de incidentes es un requerimiento. Por ej: PCI-DSS, Leyes de Protección de Datos Personales, etc. Vale recordar que en muchos casos la información involucrada no es de la Organización, sino de los clientes, socios y o empleados, para con los cuales la Organización tiene el deber de custodia (due care / due diligence) y notificación de incidentes)

Por más que logremos contener el incidente en un buen tiempo, con las habilidades cada vez más desarrolladas, si no logramos trabajar en las posibles causas que originaron el mismo, no estaremos haciendo las cosas bien. El proceso de gestión de incidentes debe verse como una gran oportunidad de mejorar, ya sea para obtener el apoyo y recursos para trabajar sobre los distintos temas que requieran ser resueltos, como para alimentar otros procesos dentro del gobierno de la seguridad de la información. Cada incidente es una oportunidad de mejorar!!

Ahora bien, creo que para lograr una adecuada gestión de incidentes, debemos conocer el escenario que estamos protegiendo, su comportamiento, sus componentes, las partes involucradas, no sirve de mucho tener el SIEM lleno de logs si no conocemos como funciona el entorno. Qué cosas son válidas y cuáles no, aún siendo que las válidas nos resulten llamativas o incorrectas. Debemos estudiar y conocer nuestro entorno. Debemos a su vez, contar con ciertas bases sólidas para que la gestión de incidentes se pueda desarrollar en forma efectiva. Por ej: Nomenclatura de Activos, Inventario, Clasificación, Ownership, Relaciones/Dependencias de los Sistemas, son elementos fundamentales y que impactan directamente en la adecuada gestión de incidentes.

Un tema no menor en relación a la gestión de incidentes, es que aún en aquellos casos en los que no se realicen las acciones referidas a las lecciones aprendidas, debemos tener claro que ello podría impactar negativamente el "due diligence" de la Organización. ¿Es de una Organización responsable no trabajar sobre los motivos que originan sus incidentes? En muchos casos se ha demostrado que no, por ej: PlayStation Network.

Nos queda pensar que hay que madurar, que los líderes en las organizaciones deben tener mayor reconocimiento de los temas de seguridad de la información como elemento clave del logro de los objetivos.

Nos queda aceptar que no somos capaces de influir en los que toman las decisiones.

Nos queda analizar si para muchos es más cómodo "apagar incendios y generar dependencia" que trabajar profesionalmente, orientados a la mejora continua.

Nos queda mucho por hacer, pero mientras tanto, parece que no aprendemos de los incidentes de seguridad.

NOTA: Los dejo porque tengo que atender un incidente que se viene repitiendo hace meses :P