Los proveedores de servicios administrados son una opción atractiva para las empresas modernas, incluidas las de atención a la salud. Los MSP —como se les conoce por su nombre en inglés, Managed Service Provider—, ofrecen múltiples servicios. Por nombrar algunos: soporte de aplicaciones y redes, mesas de ayuda, respaldo y recuperación de datos en la nube y ciberseguridad. Sin embargo, los servicios de los MSP también están expuestos a ciertos riesgos. Por ello, es importante establecer con claridad una guía para la gestión de incidentes de seguridad.
Hace poco más de dos meses, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de Estados Unidos alertó sobre el creciente riesgo de ciberataques enfrentado por los MSP. El Aviso de Ciberseguridad (AA22-131A) señala la posibilidad de que se exploten vulnerabilidades para acceder a los datos y procesos de negocio de los clientes de los MSP. No siempre se trata de criminales independientes: algunos están respaldos por ciertos Estados.
De acuerdo con Jens Bothe, vicepresidente de seguridad de la información en OTRS Group, los ciberdelincuentes buscan afectar las cadenas de suministro de TIC. Por ello intentan vulnerar los servicios de los MSP. Es importante que éstos y sus clientes tomen medidas para que la gestión de incidentes de seguridad sea rápida y efectiva. El fin es evitar el caos en una situación de crisis y disminuir el daño.
Cómo gestionar los incidentes de seguridad
En el mercado se encuentran herramientas para asistir a los equipos de TIC en la gestión de incidentes de seguridad. Uno de ellos es STORM powered by OTRS. Soporta la orquestación y automatiza todos los procesos, desde la alerta hasta la respuesta. Así, asegura que todas las personas, herramientas y servicios involucrados puedan trabajar juntos. Eso es importante, pues los procesos automatizados ayudan a los equipos de TIC para una óptima gestión de incidentes de seguridad. La base consiste en crear un plan en el que se definan las tareas y las responsabilidades. Las siguientes etapas son recomendables para cumplir con ese propósito:
●Preparación: proporcionar procesos y herramientas de gestión de incidentes de seguridad. Con base en las mejores prácticas demostradas, todas las etapas importantes se definen con una herramienta adecuada. Así, en caso de un incidente de seguridad, la información necesaria para responder se puede recopilar en poco tiempo. La comunicación entre todas las partes involucradas y la información de contacto estarán listas.
●Análisis e identificación: decidir si ha ocurrido un incidente de seguridad. Para clasificar los incidentes se requieren los datos de los sistemas de gestión de registros, los IDS/IPS y los sistemas de intercambio de amenazas. Además, por supuesto, los registros del firewall y la actividad de red. Una vez que se identifica una amenaza, se debe documentar y comunicar conforme a las políticas establecidas.
●Contención: contener la propagación y evitar mayores daños. Decidir qué estrategia utilizar es lo más importante en la gestión de incidentes de seguridad. La duda principal es cuál vulnerabilidad permitió la intrusión. La mitigación rápida, como aislar un segmento de la red, es el primer paso. Después se realiza un análisis forense para fines de evaluación.
Previsión a futuro
●Erradicación: cerrar los vacíos de seguridad y eliminar el malware. Una vez contenida la posible amenaza, es necesario encontrar la causa raíz del incidente de seguridad. Para lograrlo, se debe eliminar el malware de manera segura, parchar los sistemas, aplicar actualizaciones del software en caso de ser necesario. Por consiguiente, los sistemas deben actualizarse con los parches más recientes y asignarles contraseñas que cumplan los requisitos de seguridad.
●Recuperación: reactivar los sistemas y los dispositivos. Para restablecer la operación normal del sistema, se deben conducir revisiones constantes para asegurar que todos los sistemas operen conforme a lo esperado. Esto se logra por medio de procesos de prueba y supervisión a lo largo de un periodo prolongado. En esta etapa, el equipo de respuesta ante incidentes determina cuándo se restablecerán las operaciones y si los sistemas infectados se han limpiado por completo.
●Lecciones aprendidas: explicar qué funcionó y qué no funcionó. Se debe organizar una reunión de cierre con todas las partes involucradas. Es de suma importancia aclarar las dudas y cerrar el incidente de seguridad. Ya que, con la información obtenida a partir de dicho intercambio, se pueden identificar y definir mejoras para prevenir y abordar de forma más efectiva incidentes futuros.