Borrador de la Guía de Gestión de Incidentes de Seguridad Computacional del NIST
Como lo indica el propio documento:
La Respuesta a Incidentes de Seguridad Informática se ha convertido en un componente importante de los programas de tecnología de la información (TI). Las amenazas relacionadas con la seguridad de la información no sólo han llegado a ser más numerosas y diversas, sino también más dañinas y perjudiciales. Los nuevos tipos de incidentes relacionados con la seguridad surgen con frecuencia. Actividades preventivas en base a los resultados de las evaluaciones de riesgo puede reducir el número de incidentes, pero no todos los incidentes se pueden prevenir. La capacidad de respuesta a incidentes, es necesaria para la rápida detección de incidentes, minimizando la pérdida y la destrucción, la mitigación de los puntos débiles que fueron explotados, y la restauración de servicios de computación. Para ello, esta publicación ofrece pautas para el manejo de incidentes, en particular para el análisis de los datos relacionados con el incidente y determinar la respuesta adecuada a cada incidente. Las directrices se pueden seguir de forma independiente de las plataformas de hardware en particular, sistemas operativos, protocolos o aplicaciones.
Debido a que la realización de respuesta a incidentes de manera efectiva es una tarea compleja, el establecimiento de una capacidad de respuesta a incidentes con éxito requiere una planificación y recursos sustanciales. El monitoreo continuo de las amenazas a través de la detección de intrusiones y sistemas de prevención (IDPS's) y otros mecanismos es esencial. El establecimiento de procedimientos claros para priorizar el manejo de incidentes es fundamental, como es la aplicación de métodos eficaces de recolección, análisis y reporte de datos. También es vital para construir relaciones y establecer los medios adecuados de comunicación con otros grupos internos (por ejemplo, recursos humanos, legales) y con grupos externos (por ejemplo, otros equipos de respuesta a incidentes, la policía).
Esta publicación tiene por objeto ayudar a los equipos de respuesta a incidentes establecidos y en formación. Esta publicación ayuda a las organizaciones en el establecimiento de capacidades de respuesta a incidentes de seguridad informática y el manejo de incidentes de manera eficiente y eficaz. Esta revisión de la publicación, Revisión 2, refleja en este material las actualizaciones de la publicación en cuanto a cambios en las amenazas e incidentes. A diferencia de la mayoría de las amenazas de hace varios años, que tendían a ser de corta duración y fáciles de notar, muchas de las amenazas de hoy en día son más sigilosas, específicamente diseñadas para ser silentes, lo que poco a poco se extiende a otras máquinas, la recopilación de información durante largos períodos de tiempo y, finalmente, conduce a la exfiltración de los datos sensibles y otros impactos negativos. La identificación de estas amenazas en sus primeras etapas es clave para evitar compromisos posteriores, y el intercambio de información entre las organizaciones con respecto a los signos de estas amenazas es una forma cada vez más eficaz para su identificación.
Lamentablemente, no tengo tiempo para traducir el documento, pero al menos he traducido lo medular del resumen ejecutivo.
He observado que los incidentes de seguridad de la información se hacen cada vez mas frecuentes y están tomando mayor relevancia debido a su variedad y las disrupciones que causan.
Al final del documento hay guías para el manejo de incidentes, particularmente en lo que respecta a los datos relacionados y a la respuesta apropiada para cada incidente. Dichas guías son independientes de la plataforma de hardware, sistemas operativos, protocolos o aplicaciones.
La implementación de los requerimientos y recomendaciones debieran facilitar una respuesta ante incidentes eficiente y efectiva, que permita una adecuada interacción con las agencias gubernamentales del cibercrimen como la Brigada de Ciberdelitos de la PDI en Chile, o más básico aún, saber lo que ocurre en la plataforma de TI que nos interesa proteger.
Mario Lemus Varas
CISSP
- Inicie sesión para enviar comentarios