Adecuación de las IICC a Incidentes Digitales
Enero 2021
Roberto Peña Cardeña
Director Ciberseguridad e Inteligencia MNEMO
Autor: Roberto Peña Cardeña
Cargo: Director Ciberseguridad e Inteligencia MNEMO
Adecuación de las IICC a Incidentes Digitales
Los ciberataques siempre han estado entre las principales amenazas para las infraestructuras críticas, ocupando en muchas ocasiones el primer puesto en las listas de incidentes de mayor impacto.
Desde hace años estamos viendo como grupos organizados criminales atentan contra todo tipo de infraestructuras a lo largo del mundo, las diferentes motivaciones pasan desde la exfiltración de información sensible y su capitalización a través de chantaje o venta en el mercado negro, hasta la parálisis de actividad global operativa y por lo tanto la carencia de servicios esenciales para la sociedad, todo esto sin olvidar los continuados ataques que tienen como finalidad causar desastres físicos que en una gran mayoría de ocasiones atentan contra la integridad de las vidas humanas.
La situación se agrava en fases de digitalización extrema, como en la que nos hemos visto abocados por el teletrabajo y realización gran parte de los procesos desde puntos remotos, son en estas fases donde las infraestructuras han “abierto sus puertas” a cada uno de los hogares de sus trabajadores, y con mayores o menores medidas de seguridad hemos depositado la responsabilidad de trabajar de forma segura y con buenas prácticas a personas que muchas veces carecen de formación para realizar tal tarea, y mucho menos de calibrar la importancia y relevancia que tiene abrir una brecha de seguridad en los sistemas corporativos.
Es en este punto, tras evaluar la situación en la que nos encontramos, donde nos debemos de realizar la siguiente pregunta, ¿están preparadas las IICC para responder ante un ciberincidente?, viendo cómo se acontecen continuos ataques con éxito y cada vez más daños estructurales, operacionales, de disponibilidad y de imagen, la respuesta puede parecer obvia, pero se puede interpretar desde múltiples puntos de vista, y según el seleccionado las respuestas seguro que son totalmente diferentes, pero vamos a optar por el estratégico, donde se evalúa la capacidad de respuesta por el grado de adecuación de la arquitectura tecnológica, los procesos operativos y equipos ante cualquier eventualidad crítica de origen digital, y es bajo este prisma donde en las siguientes líneas veremos los puntos esenciales a evaluar para poder determinar el grado de preparación y respuesta de nuestra estructura.
A continuación, se identificarán los principales puntos a tener en cuenta a la hora de diseñar una estrategia de respuesta a incidentes efectiva, resumiendo sus características y centrándonos en los estratégicos, queriendo definir los conceptos base sobre los que se desarrollarán los “Planes de Evaluación de la Madurez en Actividades de Respuesta a Incidentes”:
- Identificación de Procesos de Negocio Críticos (PNC)
Para una respuesta efectiva es esencial tener un mapa actualizado de los procesos de negocio críticos para la organización, organizados por relevancia e interdependencia entre ellos. Esto nos proporcionará una guía que priorizará las actividades a realizar enfocándolas a preservar la operación en los más relevantes y sacrificar esfuerzos en los menos.
- Arquitectura Tecnológica PNC
Deberemos de poder identificar la estructura tecnológica que da soporte a los PNC, desde los sistemas a las comunicaciones, para poder realizar una evaluación de impacto una vez que se haya producido el incidente y verificada su afectación en la arquitectura. Este proceso nos dará visibilidad sobre el estado actual de la criticidad de los sistemas afectados, ya que tras realizar la comparativa entre, Arquitectura Afectada Vs Arquitectura de Soporte PNC, el resultante nos indicará donde se deben de enfocar las actividades urgentes de contención, remediación y recuperación.
- Arquitectura con soporte al tratamiento por anillos de seguridad
La estructura tecnológica identificada debe de evaluarse por la capacidad de realizar adecuaciones técnicas y operativas que permitan establecer controles de seguridad y una respuesta adecuada en tiempo y forma. Para realizar un modelado de las acciones que se realizan se suele utilizar el concepto de anillos, y aunque se suelen diseñar entre 5 y 10 anillos, se indican los más importantes y relevantes para entender el concepto:
Anillo Rojo, corresponde a toda aquella arquitectura que tiene enlace directo con los sistemas y comunicaciones involucrados en el incidente.
Anillo Naranja, arquitectura tecnológica que presta servicio al anillo rojo, este anillo depende de esta para realizar su actividad de forma correcta.
Anillo Verde, sistemas y redes de la organización que, sin estar en contacto de forma directa con el anillo rojo, pueden llegar a él a través de enlaces y zonas intermedias.
- Controles técnicos y procedimentales por anillos de seguridad
Dentro de cada uno de los anillos se deberá de diseñar los controles de seguridad que se implementarán, al estar englobados dentro del concepto anillo será aplicable en cualquier parte de la infraestructura que haya sufrido el impacto del incidente.
No es la finalidad de este artículo indicar controles técnicos, pero entre ellos se encuentran la generación de DMZ,s de servicio, los planes de contención, habilitación de comunicación unidireccional, sentido de la misma y protocolos, entre zonas y anillos, soluciones de visibilidad y remediación, etc…
Si realizamos un correcta evaluación e implementación de los puntos indicados tendremos una infraestructura preparada para poder empezar a gestionar los incidentes con garantías de poder habilitar las capacidades adecuadas según el impacto y la criticidad adecuada al contexto real de la organización.
Como hemos podido ver, es esencial trabajar antes de que se provoquen los incidentes, trabajar en obtener el conocimiento y adecuar la infraestructura para la reacción, contención y prevención, trabajar para que los equipos puedan salvaguardar la información y operación minimizando el tiempo de respuesta y el impacto, siendo una obligación de toda la organización y todos sus departamentos.