Los incidentes de seguridad han ido aumentando de forma exponencial en los últimos años, tendencia que se ha visto acrecentada debido a la inminente transformación digital de muchas empresas españolas. Estos cambios tecnológicos, unidos a los que afectan de manera directa tanto al modelo de negocio como al marco legislativo, han moldeado los desafíos en cuanto a la gestión de brechas de seguridad en un mundo, cada vez, más expuesto y conectado que nunca.

Con independencia del marco normativo, la gestión de brechas debe ser tenida en cuenta en el propio diseño de las actividades de tratamiento y formar parte de las medidas de seguridad con el objetivo de garantizar los derechos y libertades de las personas, así como la continuidad del negocio. Todas las grandes organizaciones y agencias gubernamentales que operan en Internet que utilizan el correo electrónico o realizan transacciones comerciales online deben tener la capacidad de responder a un ciberataque inesperado o malicioso para poder mantener la estabilidad de su negocio y realizar sus tareas diarias de manera segura.

¿Qué se entiende por “brecha de seguridad”?

Hasta la publicación del Reglamento General de Protección de Datos (RGPD), se contaba con algunas definiciones generales sobre lo que podría considerarse una “brecha de seguridad”. Así, el Esquema Nacional de Seguridad (ENS) define un “incidente de seguridad” como “aquel suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información”. En la misma línea, la Directiva NIS define “incidente” como “todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información”. El RGPD define las brechas de seguridad como “violaciones de seguridad de los datos personales” o “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

El primer paso en la gestión de brechas de seguridad es ser conscientes de que en todas las organizaciones se tienen incidentes de seguridad y que, por tanto, se debe proceder a gestionar este tipo de incidentes en mayor o menor grado. Dependiendo de cómo esté preparada la organización para afrontar o no la gestión de un incidente de seguridad le permitirá responder de forma rápida, ordenada y eficaz a la eventualidad, pudiendo minimizar las consecuencias de la misma sobre la propia organización, así como a las terceras partes implicadas.

La capacidad de respuesta ante un incidente de seguridad dependerá del tamaño de la organización, del tipo de datos y de la complejidad del tratamiento. Es importante haber determinado de antemano cómo se va a tratar una incidencia de seguridad, quién se va a encargar de cada tarea y cómo se va a escalar a los equipos internos o externos pertinentes. En ocasiones, los medios para dar respuesta al incidente serán mayoritariamente externos (como es en el caso de las pequeñas y medianas empresas), pero en otros casos los medios serán en su mayoría internos. De cualquier forma, la comunicación y coordinación entre equipos debe ser fluida y eficiente.

Durante el proceso de respuesta, en una primera fase se intenta contener el incidente; después, se erradica la situación generada por el mismo y se termina con las acciones de recuperación oportunas. La documentación de todo el proceso de respuesta es también muy importante de cara a comunicaciones a partes interesadas de carácter interno o externo, y a la elaboración de un informe de respuesta que tras su análisis permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.

El plan de actuación para la gestión de brechas de seguridad requiere de determinadas tareas de seguimiento y cierre. Entre ellas, cabe destacar la valoración de contratación de un análisis forense digital experto. En determinados casos está justificado que la investigación sea conducida por un experto forense que tendrá como misión fundamental el análisis de los hechos y la recopilación de evidencias precisas. Su intervención puede resultar de gran utilidad para evidenciar lo sucedido tanto en vía administrativa como en sede judicial.

La activación y gestión de un DFIR se despliega en 3 etapas claves. Estas etapas y tareas principales se resumen a continuación:

1. Activación de un DFIR: la empresa u organización afectada realiza una comunicación de un incidente de seguridad que pueda desencadenar un servicio de tipo DFIR. Esta fase incluye el triaje inicial: tipo de incidente, si es objetivo o aleatorio, gravedad del incidente para un cliente y su alcance. Estos parámetros determinan la confirmación de dicha crisis y la necesidad de tratarlo bajo un paraguas de DFIR.
2. Análisis y apoyo: durante la gestión del incidente se llevan a cabo tareas de investigación, contención, erradicación y recuperación. Todas estas tareas necesitan de una coordinación minuciosa y rigurosa para poder llegar a una recuperación exitosa. Más allá de los roles y contenido de las diferentes partes, es muy importante las metodologías que se implementan para lograr una resolución efectiva. Dicha fase termina con un cierre preliminar de la incidencia.
3. Lecciones aprendidas y pos-incidente:en dicha fase se realiza un análisis de incidente posterior al cierre, revisión de medidas tomadas durante la etapa de gestión, revisión de datos originales y conclusiones, preparación de un informe final.

Los equipos de respuesta a incidentes requieren también de perfiles muy diversos y específicos como los que se describen a continuación:

Más allá de la diversidad de perfiles, también podemos mencionar la cantidad de tecnologías que se operan en estas circunstancias. Una herramienta comercial es capaz de localizar un porcentaje determinado de vulnerabilidades; por ejemplo, generando un informe acorde a las mismas, pero es a través de herramientas propietarias y de los conocimientos específicos que poseen los técnicos donde se puede ser capaz de elevar el nivel de seguridad del cliente final al máximo.

Las técnicas DFIR son muy útiles y necesarias cuando se necesita dar una respuesta rápida a la incidencia; es decir, resolverla, sin tener que detener los equipos y con la mínima afectación posible al negocio. Los equipos de ciberseguridad de todo el mundo se enfrentan a un volumen cada vez mayor de incidentes de seguridad. Si las organizaciones buscan no sufrir pérdidas económicas y reputacionales, una respuesta tardía puede traer graves consecuencias, por lo que es fundamental que actúen con agilidad y eficacia.