Los proveedores de servicios administrados son una opción atractiva para las universidades al fortalecer sus plantillas de TIC y ajustar sus presupuestos. Conocidos como MSP por su nombre en inglés —Managed Service Provider—, ofrecen servicios muy variados. Entre otros: respaldo y recuperación de datos en la nube, soporte de aplicaciones y redes, mesas de ayuda y, por supuesto, ciberseguridad. Sin embargo, el uso de dichos proveedores no está exento de riesgos. Por ello, es importante establecer lineamientos para la adecuada gestión de incidentes de seguridad, pues es probable que tarde o temprano se presenten.

El peligro es importante. Recientemente, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de Estados Unidos alertó sobre la creciente posibilidad de que los MSP sufran ciberataques. El Aviso de Ciberseguridad (AA22-131A) advierte que los delincuentes podrían explotar vulnerabilidades para obtener acceso a los datos y procesos de negocio de los clientes de los MSP. Para agravar el problema, ciertos grupos de delincuentes están respaldos por algunos Estados.

De acuerdo con Jens Bothe, vicepresidente de seguridad de la información en OTRS Group, ahora los hackers no siempre atacan directamente a compañías específicas. En cambio, buscan afectar las cadenas de suministro de TIC al vulnerar los servicios de los MSP: Por ello, es importante que éstos y sus clientes tomen medidas para que la gestión de incidentes de seguridad sea rápida y efectiva. El fin es evitar el caos en una situación de crisis y disminuir el daño.

Etapas en la gestión de incidentes de seguridad

Gestión de incidentes de seguridad

En el mercado se encuentran herramientas para asistir a los equipos de TIC en la gestión de incidentes de seguridad. Uno de ellos es STORM powered by OTRS. Soporta la orquestación y automatiza todos los procesos, desde la alerta hasta la respuesta. Así, asegura que todas las personas, herramientas y servicios involucrados puedan trabajar juntos. Eso es importante, pues los procesos automatizados ayudan a los equipos de TIC para una óptima gestión de incidentes de seguridad. La base consiste en crear un plan en el que se definan las tareas y las responsabilidades. Las siguientes etapas son recomendables para cumplir con ese propósito:

●Preparación: proporcionar procesos y herramientas de gestión de incidentes de seguridad. Con base en las mejores prácticas demostradas, todas las etapas importantes se definen con una herramienta adecuada. Así, en caso de un incidente de seguridad, la información necesaria para responder se puede recopilar en poco tiempo. La comunicación entre todas las partes involucradas y la información de contacto estarán listas.

●Análisis e identificación: decidir si ha ocurrido un incidente de seguridad. Para clasificar los incidentes se requieren los datos de los sistemas de gestión de registros, los IDS/IPS y los sistemas de intercambio de amenazas. Además, por supuesto, los registros del firewall y la actividad de red. Una vez que se identifica una amenaza, se debe documentar y comunicar conforme a las políticas establecidas.

●Contención: contener la propagación y evitar mayores daños. Decidir qué estrategia utilizar es lo más importante en la gestión de incidentes de seguridad. La duda principal es cuál vulnerabilidad permitió la intrusión. La mitigación rápida, como aislar un segmento de la red, es el primer paso. Después se realiza un análisis forense para fines de evaluación.

Lecciones aprendidas

Gestión de incidentes de seguridad

●Erradicación: cerrar los vacíos de seguridad y eliminar el malware. Una vez contenida la posible amenaza, es necesario encontrar la causa raíz del incidente de seguridad. Para lograrlo, se debe eliminar el malware de manera segura, parchar los sistemas, aplicar actualizaciones del software en caso de ser necesario. Por consiguiente, los sistemas deben actualizarse con los parches más recientes y asignarles contraseñas que cumplan los requisitos de seguridad.

●Recuperación: reactivar los sistemas y los dispositivos. Para restablecer la operación normal del sistema, se deben conducir revisiones constantes para asegurar que todos los sistemas operen conforme a lo esperado. Esto se logra por medio de procesos de prueba y supervisión a lo largo de un periodo prolongado. En esta etapa, el equipo de respuesta ante incidentes determina cuándo se restablecerán las operaciones y si los sistemas infectados se han limpiado por completo.

●Lecciones aprendidas: explicar qué funcionó y qué no funcionó. Se debe organizar una reunión de cierre con todas las partes involucradas. Es de suma importancia aclarar las dudas y cerrar el incidente de seguridad. Ya que, con la información obtenida a partir de dicho intercambio, se pueden identificar y definir mejoras para prevenir y abordar de forma más efectiva incidentes futuros.