Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Desarrollo de una metodología para la gestión de incidentes de ciberseguridad en una organización Alumno: Mª Orosia Santolaria Mairal Plan de Estudios: Máster universitario en ciberseguridad y privacidad Trabajo de fin de master: Seguridad empresarial Director del TFM: Daniel Brande Hernández Fecha de entrega: 31 de mayo de 2022 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN Resumen Mediante el presente trabajo de Fin de Máster se pretende cubrir la necesidad de una metodología para gestionar los incidentes de ciberseguridad. La metodología recogerá los procedimientos para prevenir o restaurar en el menor tiempo posible cualquier interrupción o retraso no planificada que afecte a la calidad del servicio y minimizar el impacto de los servicios. La metodología está pensada para su uso en el entorno de una Administración Pública, mediante la aplicación del ENS. 2 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN Indice Resumen.......................................................................................................................2 1 . Introducción.............................................................................................................5 1.1 . Contexto y justificación del Trabajo...................................................................5 1.2 . Objetivos del Trabajo........................................................................................7 1.3 . Enfoque y método seguido...............................................................................8 1.4 . Planificación del Trabajo...................................................................................9 1.4.1 . Cronología.............................................................................................10 1.4.2 . Diagrama de ejecución..........................................................................10 2 . Estado del arte......................................................................................................11 2.1 . Introducción....................................................................................................11 2.1.1 . Estándares y normas internacionales ISO.............................................11 2.2 . Metodologías en la gestión de incidentes.......................................................14 2.2.1 . En el Sector Privado..............................................................................14 2.2.2 . En el Sector Público y Privado...............................................................16 2.2.3 . En el Sector Público...............................................................................17 2.2.4 . Procedimiento para el sector privado y la ciudadanía del INCIBE..........18 3 . Marco teórico........................................................................................................18 3.1 . Gestión de incidentes de ciberseguridad en el ENS para EELL......................18 3.2 . Fases en la gestión de los ciberincidentes......................................................20 3.2.1 . Prevención y preparación.......................................................................20 3.2.2 . Detección e identificación.......................................................................22 3.2.3 . Notificación............................................................................................23 3.2.4 . Contención.............................................................................................27 3.2.5 . Análisis e investigación..........................................................................27 3.2.6 . Soluciones y recuperación.....................................................................28 3.2.7 . Reflexión y mejora.................................................................................28 3.3 . Métricas e indicadores....................................................................................28 4 . Metodología de gestión de incidentes en la Entidad.............................................31 4.1 . Objetivo...........................................................................................................31 4.2 . Alcance...........................................................................................................31 4.3 . Referencia......................................................................................................31 4.3.1 . Referencia normativa.............................................................................32 4.3.2 . Guías.....................................................................................................33 4.4 . Definiciones....................................................................................................33 4.5 . Adecuación al ENS.........................................................................................34 4.6 . Organización de la seguridad.........................................................................36 5 . Manual de procedimiento......................................................................................38 5.1 . Flujo de un incidente.......................................................................................38 5.2 . Niveles de atención en la Gestión de Incidentes.............................................40 5.3 . Registro de incidentes y eventos....................................................................41 5.3.1 . Registro de eventos...............................................................................41 5.3.2 . Registro de incidentes............................................................................42 5.4 . Gestión del equipo de respuesta.....................................................................44 5.5 . Notificaciones..................................................................................................45 5.5.1 . Notificaciones al CCN-CERT.................................................................45 5.5.2 . Apertura del incidente............................................................................45 5.5.3 . Notificación a la Agencia Española de Protección de Datos..................47 5.5.4 . Comunicación de las brechas de seguridad a las personas afectadas. .47 5.6 . Contención......................................................................................................48 5.7 . Análisis e Investigación...................................................................................48 5.8 . Solución y recuperación..................................................................................49 5.9 . Aprendizaje de los incidentes.........................................................................50 3 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 6 . Gestión de cibercrisis............................................................................................50 7 . Conclusiones.........................................................................................................53 8 . Bibliografía............................................................................................................54 9 . Anexos..................................................................................................................55 ANEXO A. Principales servicios de un CERT..........................................................55 ANEXO B. Guías de actuación, respuesta a incidentes...........................................56 B1. Escenario General.......................................................................................56 B2. Casos de intrusión.......................................................................................57 B3. Casos de código malicioso..........................................................................58B4. Casos de Phishing.......................................................................................59 B5. Casos de denegación de servicio................................................................60 ANEXO C. Clasificación de los ciberincidentes........................................................62 ANEXO D. Criterios de determinación del nivel de peligrosidad..............................64 ANEXO E. Criterios de determinación del nivel de impacto.....................................64 ANEXO F. Modelo de notificación al CCN-CERT....................................................66 ANEXO G. Valoración de las brechas de seguridad................................................67 ANEXO H. Modelo de notificación al afectado.........................................................68 Índice de figuras Figura 1: Sectores afectados por APT en 2020..............................................................6 Figura 2: ISO/IEC 27001 Ciclo de Mejora Continua.....................................................11 Figura 3: Incident Handling Life Cycle..........................................................................13 Figura 4: Ejemplo de implementación de Gestión de Incidentes de ITIL......................15 Figura 5: Enfoque DevOps vs ITIL...............................................................................15 Figura 6: Eje y funciones de un SOC...........................................................................17 Figura 7: ENS Gestión de incidentes [op.exp.7]...........................................................18 Figura 8: Tipo de documentos ENS.............................................................................19 Figura 9: Ciclo de vida de la respuesta a incidentes....................................................20 Figura 10: Clasificación y porcentaje de los incidentes notificados (SAT-INET)...........22 Figura 11: Incidente de SAT-INET...............................................................................23 Figura 12: Niveles de Peligrosidad según la victima....................................................25 Figura 13: Gestión de métricas según la categoría de seguridad del sistema..............28 Figura 14: Flujo de un incidente...................................................................................39 Figura 15: Niveles de atención.....................................................................................40 Figura 16: Recolector de eventos................................................................................41 Figura 17: Registro de un evento del sistema..............................................................42 Figura 18: Registro de un incidente de la Entidad........................................................43 Figura 19: Aplicación Redmine....................................................................................44 Figura 20: Registros de incidentes en LUCIA..............................................................46 Figura 21: Diagrama de flujo de incidente propio en LUCIA.........................................47 Figura 22: Perfil de un crisis.........................................................................................51 Figura 23: Roles del Comité de crisis...........................................................................52 Índice de tablas Tabla 1: ENS. Principios básico, requisitos mínimos y medidas de seguridad.............12 Tabla 2: CSIRT de referencia. Guía Nacional de Notificación y Gestión de Ciberincidentes............................................................................................................16 Tabla 3: Niveles de peligrosidad..................................................................................25 Tabla 4: Estado de los ciberincidentes notificados por los SAT...................................26 Tabla 5: Seguimiento del ciberincidente por el CCN-CERT.........................................27 Tabla 6: Tiempos de recuperación...............................................................................35 Tabla 7: Dimensiones de seguridad en la Entidad.......................................................36 4 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 1 . Introducción 1.1 . Contexto y justificación del Trabajo El desarrollo de la Administración Electrónica implica el tratamiento de gran cantidad de información por parte de los sistemas de tecnologías de la información y de las comunicaciones. La información está sometida a diferentes tipos de amenazas y de vulnerabilidades que pueden afectar a estos sistemas. El Real Decreto 311/2022, de 3 de mayo, que sustituye al Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en el que los sistemas de información prestan sus servicios y custodian la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas. La Entidad de este trabajo pone a disposición de la ciudadanía la realización de trámites online con el objetivo de impulsar la participación de la ciudadanía en los asuntos públicos estableciendo, de este modo, nuevas vías de participación que garanticen el desarrollo de la democracia participativa y la eficacia de la acción pública. Establece igualmente vías de comunicación con la ciudadanía través de su página web, publicando comunicados, subvenciones, becas y otra información de interés. Este Trabajo Final de Máster (TFM) pretende desarrollar una metodología para la gestión de incidentes de ciberseguridad en una Entidad Local (Entidad). Al objeto de dar cumplimiento al ENS. Conocemos los riesgos que pueden afectar a los sistemas de información que soportan los trámites electrónicos puestos a disposición de la ciudadanía, y teniendo en cuenta que ésta pone a su disposición su activo más valioso “su propia Información” somos conscientes de que éstos deben ser administrados con la suficiente diligencia, y que se deben de tomar las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de la información tratada o de los servicios prestados. Cuando se produce un incidente de seguridad, es crítico para una entidad disponer de un protocolo eficaz de respuesta que ayude a minimizar la perdida o filtración de información, evitar la propagación o la propia interrupción del servicio. Este trabajo trata de un procedimiento integral para la gestión de incidentes y registro de la gestión de incidentes de seguridad, que además tenga en cuenta las obligaciones impuestas por la normativa de protección de datos. Es evidente que todas las entidades se encuentran expuestas a sufrir un incidente de seguridad de manera que la actividad normal se vea afecta, por lo que la gestión de incidentes es una de las medidas organizativas más importantes a la hora de salvaguardar la seguridad de los tratamientos. La metodología aplicada en el trabajo se implantará en una organización con aproximadamente 350 empleados, con 18 sedes repartidas por la provincia y con servicio a 200 ayuntamientos para acceso a la red SARA, portales municipales y trámites. 5 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN El análisis de las ciberamenazas nacionales e internacionales publicado por el CCN-CERT en la edición 2021 "Ciberamenazas y tendencias", presenta los sectores afectados con ataques del tipo APT (Amenaza Persistente Avanzada), el mayor número se concentró en el ámbito gubernamental. Se ha demostrado con ello que las AA.PP. son un punto de ataque para losciberdelincuentes. Figura 1: Sectores afectados por APT en 2020 Otro informe de Sophos "El Estado de Ransomware en las Administraciones Públicas 2021", explora el impacto que tiene el ransomware en las AA.PP. de todo el mundo y qué capacidad tienen estas organizaciones para defenderse. El informe revela que la Administración Local es el sector con menor capacidad para impedir que los atacantes cifren sus datos. El 69% de las AA.PP. locales que han sido atacadas por ransomware durante el último año vieron sus datos cifrados, en comparación con la media intersectorial que se sitúa en el 54%. Una vez cifrados los datos en el ataque, la Administración Local es también el sector con menor tasa de recuperación de datos mediante el uso de copias de seguridad, solo el 42% recupera los datos mediante backups. Las administraciones nacionales están mejor preparadas para defenderse contra el ransomware que las locales, pero el informe de Sophos revela que ahora se enfrentan cada vez más a ataques de ransomware de tipo extorsivo. Es por ello por lo que resulta necesario contar con mecanismos de respuestas a incidentes para conocer nuestro grado de exposición, así como para prepararnos ante un ciberincidente y responder adecuadamente. 6 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 1.2 . Objetivos del Trabajo El objeto de este TFM intenta abordar aspectos de indudable interés para la gestión del riesgo en ciberseguridad y la respuesta a incidentes. Los objetivos marcados son siguientes: � Proponer una metodología de gestión de incidentes de ciberseguridad adecuada al ENS con el objeto de prevenir o restaurar en el menor tiempo posible cualquier interrupción, no planificada que afecte a la calidad de los servicios, de esa manera minimizar el impacto en beneficio último de los ciudadanos y los intereses locales. � Proporcionar una guía con las directrices para el cumplimiento de las obligaciones de reporte de incidentes de ciberseguridad ocasionados en la Entidad, con el propósito de asegurar que los incidentes de seguridad y las debilidades asociadas en los sistemas de información se comuniquen de tal manera que haya tiempo de tomar las adecuadas acciones correctivas y poder evitarlos en un futuro. � Documentar la gestión de violaciones o brechas de seguridad para la coordinación y el intercambio de información con los organismos adecuados y fortalecer la capacidad para responder con eficacia a los ciberincidentes. � Disponer de los indicadores de referencia para medir el nivel de implantación y eficacia del proceso de gestión de incidentes de cara a la evaluación de la implantación, eficacia y eficiencia del proceso de gestión de ciberincidentes. � Estudiar el uso del Sistemas de Alerta Temprana (SAT) para la detección en tiempo real de las amenazas e incidentes y de una herramienta para la Gestión de ciberincidentes adaptada a la Entidad. � Documentar la gestión de violaciones o brechas de seguridad, que afecten a los datos de carácter personal tratados por la Entidad, como Responsable de Tratamiento, de conformidad con la Normativa vigente de Protección de Datos. 7 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 1.3 . Enfoque y método seguido Al tratarse de una Entidad Local de la Administración Pública, la metodología de trabajo está condicionada por las normativas legales. El ENS es una norma de obligado cumplimiento para los Sistemas de Información y se encuentra asociada a la realización del derecho de los ciudadanos a relacionarse por medios electrónicos con las AA.PP y utilizaremos la metodología de trabajo guiada por el Centro Criptológico Nacional (CCN). El R.D. del ENS, se desarrolla mediante Instrucciones Técnicas de Seguridad (ITS) y Guías CCN que ayudan al mejor cumplimiento de lo establecido en el ENS, en particular la Serie CCN-STIC-800 que establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS. Para realizar una buena metodología seguiremos los pasos de adecuación al ENS inspeccionaremos los puntos en los que hay que reforzar la seguridad pero nos centraremos y trataremos en profundidad aquellos que nos lleven a la gestión de incidentes de ciberseguridad. El capitulo IV del ENS "Capacidad de respuesta a incidentes de seguridad" es donde el CCN articula la respuesta a los incidentes de seguridad, prestando soporte y coordinación para el tratamiento de vulnerabilidades y resolución de incidentes de seguridad a las AA.PP. EL CCN-CERT, como CERT Gubernamental Nacional brinda apoyo técnico y operativo (ver Anexo A. Principales servicios de un CERT). Analizaremos la guía CCN-STIC 883 de "Implantación del ENS para EELL". La Entidad tiene que contar con un procedimiento integral para la gestión de incidentes y registro de la gestión de incidentes de seguridad, además de las obligaciones impuestas por la normativa de protección de datos. También será de aplicación la "Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad". La ITS tiene por objeto determinar los casos en qué por el nivel de impacto es obligatorio notificar el incidente al CCN-CERT y establecer evidencias, estadísticas e información para la investigación de los incidentes significativos. Seguiremos los requerimientos marcados por el CCN para la notificación de incidentes, y haremos una evaluación de las distintas herramientas que nos permitan dotarnos de esta capacidad. También aplicaremos el artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo, relativo a la protección de las personas física en lo que respecta al tratamiento de sus datos personales y la libre circulación de estos dados, amparada en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, notificando cuando sea el momento de una violación de la seguridad de los datos personales a la autoridad de control. 8 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 1.4 . Planificación del Trabajo La distribución del trabajo está asociada a las entregas periódicas de las PEC de evaluación. La Fase1, "Plan de trabajo", trata de leer, consultar, buscar, estudiar y organizar toda la bibliografía disponible para el desarrollo del TFM. La Fase2, "Gestión de incidentes" es el enfoque teórico sobre el tema: fases, clasificaciones, métricas, etc. para ser de aplicación en la Fase 3 que será el contexto de aplicación en la organización. En la Fase 4 revisaremos las posibles desviaciones de los objetivos planteados y trataremos el tema de la gestión de cibercrisis. Terminaremos con las conclusiones y la revisión final. Fase 1. Plan de trabajo (16/02/2022 - 01/01/2022) Contexto y justificación del trabajo Objetivos del Trabajo Enfoque y método seguido Listado de tareas a realizar Planificación del Trabajo Estado del arte Fase 2. Marco teórico. (02/03/2022 - 29/03/2022) La gestión de los incidentes de ciberseguridad Fases en la gestión de los ciberincidentes Preparación y prevención Detección e identificación Sistema de alerta temprana (SAT-INET) Análisis (investigación) Contención, mitigación y recuperación Notificación Herramientas de notificación Actividad post-ciberincidente La clasificación de los ciberincidentes La peligrosidad de los ciberincidentes Nivel de impacto del ciberincidente en la organización Métrica e indicadores Fase 3. Marco aplicado a la organización (30/03/2022 - 26/04/2022) Contexto de aplicación Recogida de incidentes, catalogación y registro Gestión del equipo de respuesta Análisis Gestión de conocimiento Servicio de notificaciones Respuesta a incidentes Fase 4. Métrica e indicadores (27/04/2022 - 31/05/2022) Revisión de objetivos Gestión de cibercrisis Conclusiones Revisión yredacción final 9 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 1.4.1 . Cronología 1.4.2 . Diagrama de ejecución 10 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 2 . Estado del arte 2.1 . Introducción Un incidente es un evento que causa una interrupción del servicio o una reducción en la calidad del mismo, y que requiere una respuesta de emergencia, por ello, la gestión de los mismos debe ser un conjunto ordenado de acciones enfocadas a prevenir, en la medida de lo posible, la ocurrencia de ciberincidentes y, en caso de que ocurran, restaurar los niveles de operación lo antes posible. La ciberseguridad o seguridad de la tecnología de la información es el área de la informática que se encarga de proteger la integridad de la infraestructura computacional y la información que se almacena en ella. Las amenazas de seguridad van cobrando una mayor relevancia, provocando, entre otras cosas que la ciberseguridad cobre un papel cada vez más relevante en las organizaciones. De esta forma, surge la necesidad de establecer procesos claros y consistentes para la gestión de incidentes de seguridad que en la mayoría de los casos está integrada en el área de las Tecnologías de la Información (TI). Es importante la capacidad de monitorización de sistemas para detectar incidentes y la de respuesta a los mismos. 2.1.1 . Estándares y normas internacionales ISO En la actualidad y considerando el ámbito nacional, existen dos estándares como herramientas básicas para la prevención y defensa en ciberseguridad, el estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la Información y el actual Real Decreto Español 311/2022 por el que se regula el Esquema Nacional de Seguridad (ENS). � ISO/IEC 27001: Orientado a los procesos y objetivos del negocio es el medio más eficaz para minimizar los riesgos, al asegurar que se identifican y valoran los procesos de negocio o servicios de TI, los activos, sus riesgos y considerar el impacto en la organización. Además, se implantan los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio. Esta gestión eficaz de la ciberseguridad permite garantizar: la confidencialidad, la integridad y la disponibilidad de los datos, además, facilita el cumplimiento legal relacionado con la protección de datos personales o la propiedad intelectual. Figura 2: ISO/IEC 27001 Ciclo de Mejora Continua Fuente: https://revista.aenor.com/ 11 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN � Esquema Nacional de Seguridad o ENS es una normativa que tiene como objetivo establecer los principios que regulan y aseguran el acceso, integridad, disponibilidad y veracidad de la información empleada en medios electrónicos en o relacionados con las AA.PP (estatales, autonómicas y locales). Actualmente recogido en el Real Decreto 311/2022, el ENS se crea con la necesidad de establecer aspectos y metodologías comunes relativas a la seguridad en la implantación y utilización de los medios electrónicos por las AA.PP, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos. El ENS surgió como el resultado del trabajo coordinado por el Ministerio de la Presidencia y posteriormente por el Ministerio de Política Territorial y Administración Pública, contando con el apoyo del Centro Criptológico Nacional (CNN) y la participación de todas las AA.PP, incluidas universidades públicas y los órganos colegiados con competencias en materia de administración electrónica. Para lograr los objetivos el Esquema ENS se basa en una serie de Principios Básicos de Seguridad y los Requisitos Mínimos que permitan una protección adecuada de la información tratada y los servicios prestados. Se crean así las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad para garantizar la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos. Lo dispuesto en el ENS afecta a los sistemas de información utilizados para la prestación de los servicios públicos, ya sea desde la propia Administración o externalizados en terceros. Se manejan dimensiones de seguridad con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias. El ENS se basa en: Principios básicos (7) son los fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. Para garantizar que se pueden cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias 1. La seguridad como un proceso integral. 2. Gestión de la seguridad basada en los riesgos. 3. Prevención, detección, respuesta y conservación. 4. Existencia de líneas de defensa. 5. Vigilancia continua. 6. Reevaluación periódica. 7. Diferenciación de responsabilidades. Requisitos mínimos (15) son las exigencias mínimas necesarias para asegurar la información tratada y los servicios prestados Permitirán una protección adecuada de la información 1. Organización e implantación del sistema de seguridad 2. Análisis y gestión de riesgos 3. Gestión del personal 4. Profesionalidad 5. Autorización y control de accesos 6. Protección de las instalaciones 7. Adquisición de productos de seguridad y contratación de servicios de seguridad 8. Mínimo privilegio 9. Integridad y actualización del sistema 10. Protección de la información almacenada en tránsito 11. Prevención ante otros SI interconectados 12. Registro de la actividad y detección de código dañino 13. Incidentes de seguridad 14. Continuidad de la actividad 15. Mejora continua del proceso de seguridad Medidas de seguridad (73) Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplican las medidas de seguridad recogidas en el Anexo II del ENS, que se dividen en tres grupos. - Marco organizativo - Marco operacional - Medidas de protección Tabla 1: ENS. Principios básico, requisitos mínimos y medidas de seguridad 12 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN El ENS es un esquema inspirado en la familia de estándares ISO 27000 y más concretamente en la Norma ISO/IEC 27001. En ambos casos se consideran tres aspectos claves: � El análisis, gestión y mitigación de los ciberriesgos en las Tecnologías de la Información y las Comunicaciones (TIC) de las organizaciones. � Los principales controles/medidas para una protección adecuada de la información, los servicios y los sistemas de la organización � El ciclo de mejora continua (PDCA-Plan, Do, Check, Act). En ciberseguridad destacan dos entidades, la europea ENISA y la norteamericana NIST, ambas definen planes de acción para llevar a cabo actividades que permitan que los incidentes sucedidos no vuelvan a repetirse (o al menos se minimice la posibilidad), se establecen las distintas etapas, teniendo como actividad post-incidente aquella asociada a la identificación de lecciones aprendidas. � NIST (National Institute of Standards and Technology). El Instituto Nacional de Estándares y Tecnología norteamericano a raíz de la creciente cantidad de ataques informáticos a sistemas de infraestructuras críticas desarrolló un marco de trabajo para la reducción de riesgos asociados con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios. NIST proporciona una serie de guías que cada organización puede usar como referencia para desarrollarsu programa de respuesta a incidentes. En particular la guía 800-61 Revisión 2 "Guía de manejo de incidentes de seguridad informática" aporta las recomendaciones para administrar un posible incidente de la manera más efectiva posible. Según el NIST, un plan de respuesta debe incluir cuatro fases principales: preparación, detección y análisis, contención, erradicación y recuperación y por último, actividad post-incidente. Figura 3: Incident Handling Life Cycle � ENISA (Agencia Europea para la ciberseguridad). La ENISA trabaja con la Unión Europea (UE), los Estados miembros, la Comisión Europea y otras agencias para ayudar a prevenir o responder de manera efectiva a los incidentes y crisis de seguridad cibernética. Es el punto de referencia, el timón del plan europeo de seguridad de la red y la información. Se encarga de analizar los riesgos informáticos y proponer soluciones al respecto a los países miembros de la UE. El organismo intenta aumentar la concienciación sobre la importancia de la ciberseguridad y trabaja en conjunto con el sector TIC para mejorar los niveles de protección. Ayuda a establecer prioridades para la inversión en investigación y desarrollo y a crear un sistema de certificados de seguridad para productos y servicios TIC en la UE. 13 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN Entre sus funciones destaca la coordinación de una red de equipos de respuesta ante emergencias informáticas (EU CERT) repartidos por todas las capitales y con el que ha redactado una guía de recomendaciones para mejorar la ciberseguridad de las organizaciones. La ENISA dispone de más de 70 informes para mejorar las funciones de respuesta a incidentes, la preparación del equipo en su conjunto, así como la cooperación en el intercambio de información. 2.2 . Metodologías en la gestión de incidentes La gestión de incidentes de ciberseguridad es el proceso que utilizan los equipos de TI para responder a eventos no planificados o interrupciones del servicio, a fin de recuperar el estado operativo. Estudiando la bibliografía consultada sobre la forma de gestionar los incidentes se observa una evolución en la forma de estructurar y organizar los equipos de seguridad para que proporcionen las capacidades y servicios para mantener un nivel de seguridad. Así como empresas u organizaciones de tipos distintos tienden a utilizar diferentes tipos de procesos de gestión de incidentes, no existe un proceso universal, cada una utiliza un enfoque diferente. Muchos utilizan un proceso de gestión más tradicional, basado en TI, como los descritos en ITIL (Biblioteca de Infraestructura de Tecnologías de Información). Otros prefieren un proceso de gestión basado en DevOps o en la ingeniería de fiabilidad de sitios (SRE). Sin embargo, a grandes rasgos y de forma general el marco de trabajo viene a detallar conceptos más o menos parecidos con un jerga ligeramente distinta. La clave para la gestión de incidentes es tener un proceso que sea bueno y ceñirse a él. Para encarar este apartado, se hace necesario separar las metodologías en dos ámbitos el Sector Público y el Sector Privado. 2.2.1 . En el Sector Privado 2.2.1.1 . Proceso de gestión de incidentes de ITIL ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Su proceso de gestión de incidentes se centra únicamente en el manejo y la escalada de los incidentes a medida que se producen para restaurar los niveles de servicio definidos. No considera el análisis de la causa raíz ni la resolución de problemas más profundos. En su lugar, se centra en la resolución de procesos y problemas. ITIL propone categorías para determinar el orden para tratar los incidentes y asignada una prioridad a los mismos que depende de la combinación del impacto que afecta al negocio del cliente y el tiempo que se puede postergar la resolución del problema. Teniendo lo anterior en cuenta, un incidente de alto impacto y urgencia máxima debe ser tratado con prioridad absoluta. El proceso de gestión de incidentes se puede resumir en las siguientes fases: � Identificar un incidente y registrarlo � Categorizar el incidente � Jerarquizar el incidente por orden de prioridad 14 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN � Respuesta (diagnostico inicial, escalación del incidente, investigación y diagnostico, resolución y recuperación) � Cierre Figura 4: Ejemplo de implementación de Gestión de Incidentes de ITIL Fuente: https://geniusitt.com/blog/incidentes-y-su-relacion-con-itil/ 2.2.1.2 . Proceso de gestión basado en DevOps A diferencia de marcos como ITIL, no hay ningún documento “oficial” de prácticas recomendadas para los equipos que utilizan DevOps. DevOps consiste esencialmente en ofrecer valor empresarial a una organización al eliminar los grupos aislados, aumentar la transparencia y fomentar la comunicación abierta los equipos de operaciones de TI. El enfoque de gestión de incidentes de DevOps ayuda a los equipos que desean ponerse a trabajar de inmediato a unirse y a materializar beneficios con más agilidad. El proceso de gestión de incidentes de DevOps no se diferencia demasiado de los pasos tradicionales (detección, respuesta, resolución, análisis y preparación), pero incluye un énfasis explicito en implicar a todos los equipos desde el principio y asignar el trabajo en función de la experiencia. 15 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 2.2.1.3 . Centros de Operaciones de Seguridad (SOC) Los Centros de Operaciones de Seguridad se encargan de realizar un seguimiento y analizar la actividad en redes, servidores, puntos finales, bases de datos, aplicaciones, sitios web y otros sistemas, buscando actividades anómalas que puedan ser indicativas de un incidente o compromiso de seguridad. Un SOC es responsable de garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen correctamente. Sus objetivos son: � Incrementar la capacidad de vigilancia y detección de amenazas en las actividades diarias de los sistemas de información y comunicaciones de una empresa. � Analizar los ataques o posibles amenazas. � Recuperar información perdida o dañada que una empresa haya podido tener por consecuencia de dichos ataques. � Mejorar la capacidad de respuesta ante cualquier ataque. A diferencia de un departamento de TI tradicional, el personal de un SOC incluye principalmente un equipo de analistas y técnicos de ciberseguridad altamente experimentados y especializados. 2.2.2 . En el Sector Público y Privado 2.2.2.1 . Guía Nacional de notificación y gestión de ciberincidentes Aprobada por el Consejo Nacional de Ciberseguridad el día 21 de febrero de 2020, está alineada con la normativa española, transposiciones europeas y documentos emanados de organismos supranacionales. Se define como la referencia estatal respecto a la notificación y gestión de ciberincidentes, así como en lo relativo a la capacidad de respuesta y se consolida como una referencia de mínimos en la cual toda entidad encuentre un esquema y orientación acerca de quién y como se debe gestionar y reportar un incidente de seguridad. Los criterios que se recogen en la guía atienden a buenas practicas en la gestión de incidentes que pueden servir de referencia en el diseño e implementación de este servicio en cualquier ámbito. Proporciona a los Responsables de Seguridad de la Información (RSI) las directrices para el cumplimiento de las obligación de reporte de incidentes en el seno de las Administraciones Públicas y entidadescomprendidas en el Real Decreto Ley 12/2019 y el esquema acerca de autoridades competentes y CSIRT de referencia. Equipo de respuesta a incidentes de seguridad informática Tipo de operador Características Organismocompetente Operador de servicios esenciales Sector Público (entidades incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015) CCN-CERT Sector Privado (entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015) INCIBE-CERT Proveedor de Servicios Digitales Sector Público (entidades incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015) CCN-CERT Sector Privado (entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015) INCIBE-CERT Tabla 2: CSIRT de referencia. Guía Nacional de Notificación y Gestión de Ciberincidentes. 16 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 2.2.3 . En el Sector Público 2.2.3.1 . Centro Criptológico Nacional (CCN) Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT. Las más importantes para la gestión de incidentes son: � Guía CCN-STIC-403 Guías generales, Gestión de incidentes de seguridad informática, para la implantación de una capacidad de respuesta ante incidentes informáticos, definiendo procedimientos de actuación e identificando responsabilidades, y recursos humanos y materiales para resolver en el menor tiempo posible y del modo más efectivo un incidente. � Guía CCN-STIC-817 Esquema Nacional de Seguridad, Gestión de ciberincidentes, con el propósito de ayudar al Sector Público al establecimiento de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento, eficaz y eficiente, dirigido especialmente a Equipos de Respuesta y Responsables de Seguridad de la información. 2.2.3.2 . Red Nacional de SOC Para disponer en tiempo real de un panorama de amenazas, medios para reaccionar y capacidades de detección, la Comisión Europea, a través de la "Estrategia de Ciberseguridad para la Década Digital de la UE", propone crear una red de centros de operaciones de seguridad, coordinados con la red de CERT/CSIRT. El CCN-CERT considera necesario el desarrollo de servicios horizontales de seguridad gestionados a través de SOC en diferentes ámbitos: Administración General del Estado (AGE), Comunidades Autónomas, Entidades Locales y Sectoriales, que además de coordinar el intercambio de información entre los SOC nacionales, actuará como nexo entre los diferentes SOC europeos. Todos los SOC se integraran con el CCN-CERT mediante las herramientas LUCIA1 y REYES2 que constituirán la base la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Figura 6: Eje y funciones de un SOC Fuente: CCN-Aproximación-SOC-Nacionales 1 LUCIA, (Listado Unificado de Coordinación de Incidentes y Amenazas) es una herramienta desarrollada por el CCN-CERT para la Gestión de Ciberincidentes. 2 REYES, es una solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciberincidentes y compartir información de ciberamenazas. 17 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 2.2.4 . Procedimiento para el sector privado y la ciudadanía del INCIBE En España el Instituto Nacional de Ciberseguridad (INCIBE) es la entidad de referencia para el desarrollo de la ciberseguridad y el INCIBE-CERT es su equipo de respuesta, encargado de la prevención mitigación y respuesta ante incidentes cibernéticos en el ámbito de los ciudadanos, red académica y de investigación, profesionales, empresas, sectores estratégicos y proveedores de servicios digitales en el ámbito privado. Elaboran guías alienadas con la "Guía nacional de notificación y gestión de ciberincidentes" que sirven de apoyo en las tareas de gestión de ciberincidentes así como recoger los mecanismos, referencias y canales para su notificación al Centro de Respuesta. Estás guías atienden a buenas prácticas reconocidas en la gestión de incidentes y como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier ámbito. El proceso de gestión de incidentes consta de las fases de Preparación, Identificación, Contención, Mitigación, Recuperación y Post-incidente y aunque todas son necesarias, algunas pueden estar incluidas como parte de otras o tratarse de manera simultánea. 3 . Marco teórico 3.1 . Gestión de incidentes de ciberseguridad en el ENS para EELL El ENS a lo largo de sus artículos y anexos refleja la necesidad u obligatoriedad de una gestión de incidentes. La gestión de los incidentes, forma parte de los requisitos mínimos de la Política de Seguridad3, está integrada en la seguridad de los sistemas atendidos por el personal, es necesario un procedimiento de gestión de incidentes de seguridad y de debilidades en los elementos del sistema y forma parte de los servicios de respuesta a incidentes con el CCN. En el anexo II del ENS y acorde a la categoría del sistema es necesario disponer de un registro y gestión de incidentes, de un proceso integral para hacer frente a los mismos y es indispensable para el sistema de métricas. En el nuevo ENS publicado recientemente la Gestión de incidentes se ha visto incrementada en todas sus categorías. En el apartado 4.3.7 "Gestión de incidentes" del Anexo II, Medidas de seguridad, 3 Marco operación [op], se incluyen los requisitos necesarios del proceso integral para hacer frente a los incidentes. Figura 7: ENS Gestión de incidentes [op.exp.7] En el Real Decreto 311/2022, del nuevo ENS en todas las categorías se debe disponer de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, que incluya detalle de los criterios de clasificación y el escalado de la notificación. En la gestión de incidentes que afecten a datos personales se aplicará lo dispuesto en el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018, de 5 de diciembre. En las categorías Media y Alta que se incrementa un Refuerzo R1, se dispondrá de soluciones de ventanilla única para la notificación de incidentes al CCN- 3 Documento de la Entidad que define todo lo aplicable y relacionado en términos de seguridad. 18 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN CERT, que permita la distribución de notificaciones a las diferentes entidades de manera federada, utilizando para ello dependencias administrativas jerárquicas. Si el sistema es de categoría Alta además habrá que disponer del refuerzo R2- Detección y Respuesta y R3, que deberá incluir: � La implantación de medidas urgentes, incluyendo la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros. � Asignar recursos para investigar las causas, analizar las consecuencias y resolver el incidente. � Informar del incidente a los responsables de la información y servicios afectados y de las actuaciones llevadas a cabo para su resolución. � Medidas para: ◦ Prevenir que se repita el incidente. ◦ Incluir en los procedimientos de usuario la identificación y forma de tratar el incidente. ◦ Actualizar, extender, mejorar u optimizar los procedimientos de resolución. Dentro del Refuerzo R3-Reconfiguración dinámica, el ENS obliga a: � Detener, desviar o limitar ataques, acotando los daños, incluyendo, por ejemplo, cambios en las reglas de los enrutadores (routers), listas de control de acceso, parámetros del sistema de detección / prevención deintrusiones y reglas en los cortafuegos y puertas de enlace, aislamiento de elementos críticos y aislamiento de las copias de seguridad. � Se adaptarán los procedimientos de reconfiguración dinámica recibidos del CCN-CERT relativos a ciberamenazas sofisticadas y campañas de ataques. La gestión de incidentes de seguridad en los sistemas engloba el ciclo de vida completo del incidente en sus diferentes áreas: inicio, gestión y resolución. La Capacidad de Respuesta (CIRC) es el conjunto de medios humanos, materiales y procedimientos encargados de identificar y gestionar los incidentes de seguridad y dentro de esta capacidad destaca especialmente el papel de los Equipos de Respuesta (ERI, CERT, CSIRT o ERC), un conjunto de expertos en redes, sistemas y seguridad en las TIC cuyo principal objetivo es dar respuesta a los incidentes de seguridad. En el Anexo A, "Principales servicios de un CERT" hay una descripción más detallada de los principales servicios. Al igual que intervienen diferentes grupos de respuesta, existen diferentes tipos de documentos que nos sirven de guía para llegar a implantar una metodología. Los tipos de documentos vienen reflejados en la Figura siguiente. Figura 8: Tipo de documentos ENS Fuente: Guía CCN-STIC 883 19 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 3.2 . Fases en la gestión de los ciberincidentes Un incidente de seguridad pasa por diversas etapas desde su notificación e identificación hasta su respuesta y solución. Es importante seguir el flujo establecido y adaptándolo a nuestro caso de actuación. Las fases son las siguientes: ◦ Prevención y preparación ◦ Detección e identificación ◦ Notificación ◦ Contención ◦ Análisis e investigación ◦ Solución y recuperación ◦ Reflexión y mejora. Es importante no saltarse ningún paso, pero puede que todas no sean necesarias y alguna puede estar incluida como parte de otras o tratarse de manera simultánea. Figura 9: Ciclo de vida de la respuesta a incidentes. Fuente: https://www.ccn-cert.cni.es Las diferentes fases se puede dividir en tres áreas de trabajo: ◦ Inicial, donde se recibe la información del incidente. ◦ Gestión, se analiza el incidente y se realizan acciones de investigación, contención y notificación. ◦ Resolución, se aplican las medidas correctoras necesarias. Para facilitar el proceso existe la posibilidad de hacer uso de una lista resumen con los pasos a realizar desde la fase de Identificación hasta la de Reflexión y Mejora. Ver Anexo B, "Guías de actuación, respuesta a incidentes". 3.2.1 . Prevención y preparación La fase inicial contempla la creación y formación del Equipo de Respuesta a Ciberincidentes (ERC), y la utilización de las herramientas y recursos necesarios. Durante esta fase la Entidad, atendiendo a lo dispuesto en los Anexos I y II del ENS habrá identificado y desplegado un determinado conjunto de medidas de seguridad, 20 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN por ejemplo la adhesión a los servicios de Sistema de Alerta Temprana (SAT) del CCN-CERT, tanto en la red SARA (SAT-SARA) como en internet (SAT-INET) o en los Sistemas de Control Industrial (SAT-ICS). Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse pensando no sólo en crear un modelo que permita a la entidad estar en capacidad de responder ante estos, sino también en la forma como pueden ser detectados, evaluados y gestionar las vulnerabilidades para prevenirse, asegurando que los sistemas, redes, y aplicaciones son lo suficientemente seguros . En esta etapa el ERC debe velar por la disposición de los recursos de atención de incidentes y las herramientas necesarias para cubrir las demás etapas del ciclo de vida del mismo, creando (si no existen) y validando (si existen) los procedimientos necesarios y programas de capacitación. Incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y aplicaciones. Algunos puntos más relevantes en esta fase son: ◦ Revisar los planes de copia de seguridad y realizar test de recuperación de servicios completos. ◦ Actualizar todos los sistemas y equipos con los últimos parches de seguridad ◦ Monitorizar de forma proactiva y continua la seguridad de las infraestructuras ◦ Activar las auditorias de los sistemas de acceso perimetral. ◦ Disponer de información actualizada de contacto, tanto de personal interno como externo implicado en las fases de gestión del ciberincidentes, así como las vías de contacto en cada caso. ◦ Mantener las políticas y procedimientos actualizados. Especialmente todos los relativos a la gestión de incidentes, recogida de evidencias, análisis forense o recuperación de sistemas. ◦ Herramientas a utilizar, en todas las fases de gestión del ciberincidente ◦ Formación del equipo humano para mejorar las capacidades técnicas y operativas La prevención es vital para intentar minimizar el número o impacto de los incidentes que llegan al ERC. Esta tarea esta relacionada con el seguimiento de las amenazas y vulnerabilidades fuera de la organización y su identificación en la misma. 3.2.1.1 . Sistemas de alerta temprana El Equipo de Respuesta ante Incidentes de Seguridad de la Información del CCN-CERT poner a disposición de AA.PP dos tipos de Sistemas de Alerta Temprana. Primero comenzó con la monitorización de la Red de Intercomunicación de todos los organismos de la AA.PP (SARA) y posteriormente se extendió a los accesos de Internet de las distintas AA.PP (SAT de Internet). El SAT de Internet (SAT-INET) se implanta para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico que fluye entre la red interna del Organismo adscrito e Internet. Su misión es detectar patrones de distintos tipos de ataque y amenazas mediante el análisis del tráfico y sus flujos. Consiste en la implantación de una sonda en la red pública de la AP que recolecta la información de seguridad y después de filtrar el tráfico, envía los eventos de seguridad a un sistema central. El Organismo adscrito recibe los avisos y alertas sobre los incidentes detectados. 21 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN La sonda se gestiona completamente desde el CCN-CERT y no es necesaria la realización de tareas de administración por parte del personal del Organismo. El Sistema de Alerta Temprana de Internet tiene como principal función la protección proactiva (detectar amenazas) y protección reactiva (fortalecer la defensa). Es capaz de detectar todo tipo de ataques y dar una respuesta rápida y eficaz a cualquier incidente. La información que envían las sondas es posteriormente normalizada en el sistema central, donde se analiza de forma unificada, dando lugar a una correlación avanzada y una mayor fiabilidad en la detección. Figura 10: Clasificación y porcentaje de los incidentes notificados (SAT-INET) 3.2.2 . Detección e identificación No es fácil en todos los casos determinar con precisión si se ha producido o no un ciberincidente y, si es así, identificar su tipo y evaluar a priori su peligrosidad. Es más probable que los indicios de que nos encontremos ante un ciberincidente puedan provenir de dos tipos de fuentes: los precursores y los indicadores. Un precursor es un indicio de que puede ocurrir un incidente en el futuro y un indicador es un indicio de que un incidente puede haber ocurrido o puede estar ocurriendo ahora. Algunos ejemplos de precursores son: ◦ Las entradas de log del servidor Web, con los resultados de un escáner de vulnerabilidades. ◦ El anuncio de un nuevo exploit, dirigido a una atacar una vulnerabilidad que podría estar presente en los sistemas de la organización. ◦ Amenazas explícitas provenientes de grupos oentidades concretos, anunciado ataques a organizaciones objetivo. Los indicadores son muy comunes, tales como: ◦ El sensor de intrusión de una red emitiendo una alerta cuando ha habido un intento de desbordamiento de buffer contra de un servidor de base de datos. ◦ Las alertas generadas por software antivirus. ◦ La presencia de un nombre de archivo con caracteres inusuales. ◦ Un registro de log sobre un cambio no previsto en la configuración de un host. ◦ Los logs de una aplicación, advirtiendo de reiterados intentos fallidos de login desde un sistema externo desconocido. ◦ La detección de un número importante de correos electrónicos rebotados con contenido sospechoso. ◦ Desviación inusual del tráfico de la red interna. 22 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN Figura 11: Incidente de SAT-INET En otros casos puede comenzar con las notificaciones recibidas por los miembros de la organización que alertan de la existencia de un posible incidente, para ello es necesario disponer de un mecanismo de interfaz ERI (Equipo de Respuesta Inmediata) que permita describir en un formato establecido toda la información necesaria. La adecuada implantación de las medidas impuestas por el ENS ayudan a detectar las posibles brechas de seguridad de los sistemas de Información y su análisis. La detección de la amenaza, una vez penetrado en el organismo, puede ser realizada por el propio organismo y/o por las sondas desplegadas por el CCN-CERT. Una correcta identificación o detección se basa en los siguientes principios: ◦ Registrar y monitorizar los eventos de las redes, sistemas y aplicaciones ◦ Recolectar información situacional que permita detectar anomalías ◦ Disponer de capacidades para descubrir ciberincidentes y comunicarlos a los contactos apropiados ◦ Recopilar y almacenar de forma segura todas las evidencias. Conviene registrar y documentar el ciberincidente con el apoyo de una herramienta de gestión de incidentes o ticketing, incluyendo la información obtenida durante la fase de identificación así como los valores de clasificación, peligrosidad e impacto inicial (Ver Anexo C. Clasificación de los ciberincidentes y Anexo D. Criterios de determinación del nivel de peligrosidad). También es el momento de considerar la necesidad de comunicar la existencia de un incidente de seguridad a un nivel superior en la estructura organizativa de la entidad (responsables de departamentos, comité de crisis, equipo de recuperación…) en función de cómo se haya definido en los procedimientos. 3.2.3 . Notificación La Instrucción Técnica de Seguridad de Notificación de incidentes de Seguridad señala la obligatoriedad de notificar cualquier incidente de seguridad con 23 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN niveles Alto, Muy Alto y Crítico en función de la información manejada o los servicios prestados. Señala que una vez detectado un incidente, la entidad deberá clasificarlo y recopilar evidencias del mismos, documentarlas y custodiarlas con garantía, tal y como se indica en la Guía CCN-STIC 817 del CCN. Con el propósito de facilitar los mecanismos necesarios de notificación, comunicación e intercambio de información sobre incidentes de seguridad, el CCN ha desarrollado la herramienta conocida como LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), la cual se mantendrá permanentemente actualizada. Los criterios de determinación del Nivel del impacto están contemplados en la Guía Nacional de Notificación en función del tipo de sistemas a los que afecta el ataque, así como al número de equipos afectados (Anexo D, Criterios de determinación del nivel de Impacto). 3.2.3.1 . Clasificación de los ciberincidentes No todos los ciberincidentes poseen las mismas características ni la misma peligrosidad por ello es necesario disponer de una taxonomía de los ciberincidentes que ayude a su análisis, contención y erradicación. Los factores a la hora de establecer criterios de clasificación son, entre otros: ◦ Tipo de amenaza: código dañino, intrusiones, fraude, etc. ◦ Origen de la amenaza: Interna o externa. ◦ Categoría de seguridad de los sistemas afectados (atendiendo a los criterios señalados en el Anexo I del ENS para categorizar los Sistemas de Información) ◦ Perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial. ◦ Número y tipología de los sistemas afectados. ◦ Impacto que el incidente puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los servicios, la conformidad legal y/o la imagen pública. ◦ Los requerimientos legales y regulatorios. La combinación de uno o varios de estos factores es determinante a la hora de tomar la decisión de crear un ciberincidente o determinar su peligrosidad y prioridad de actuación. La clasificación recoge nueve tipos de ciberincidentes distintos y 36 subcategorías, entre las que se incluyen algunos de los ataques y vulnerabilidades más detectados como Troyanos, Spyware, Cross-Site Scripting (XSS), Inyección SQL, DDoS, Exfiltración de Información, Phishing o Ransomware. Ver Anexo C. Clasificación de los ciberincidentes. Además, y en función de distintos parámetros (como la amenaza subyacente, el vector de ataque o las características potenciales del ciberincidente), se recoge una tabla para determinar la peligrosidad potencial (Anexo D. Criterios de determinación del nivel de peligrosidad) y de esta forma, poder asignar prioridades y recursos. 3.2.3.2 . Herramienta de notificación La herramienta desarrollada por el CCN-CERT para gestionar los ciberincidentes es LUCIA de obligado cumplimiento en el ENS. Ofrece un lenguaje 24 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN común de clasificación y peligrosidad de los incidentes manteniendo la trazabilidad y seguimiento del mismo. Lucia permite integrarse con otros sistemas ya implantados en la organización y se pueden gestionar tres tipos de ciberincidentes: � Los incidentes propios del Organismo � Los provenientes del Sistema de Alerta Temprana de Red SARA (SAT-SARA) � Los provenientes del Sistema de Alerta Temprana de Internet (SAT-INET) 3.2.3.3 . Peligrosidad de los ciberincidentes Además de tipificar los ciberincidentes dentro de un determinado grupo o tipo, para la gestión de los mismos, asignación de prioridades y recursos, etc. se exige determinar la peligrosidad potencial que el ciberincidente posee. Para ello, es necesario fijar ciertos Criterios de Determinación de la Peligrosidad con los que comparar las evidencias que se disponen del ciberincidente, en sus estadios iniciales. A la peligrosidad de un ciberincidente se le asigna un valor de una escala de cinco valores, de menor a mayor peligrosidad. Nivel Peligrosidad 1 BAJO 2 MEDIO 3 ALTO 4 MUY ALTO 5 CRITICO Tabla 3: Niveles de peligrosidad En la Tabla 3 y el Anexo D se muestra el Nivel de Peligrosidad de los Ciberincidentes, atendiendo a la repercusión de que la amenaza se materialice y el impacto que podría tener en los sistemas de información de las entidades del ámbito de aplicación del ENS. Este criterio es el utilizado en las comunicaciones del CCN- CERT y las entidades afectadas, adheridas a los Sistemas de Alerta Temprana. En la imagen siguiente se muestra el nivel de peligrosidad de los ciberincidentes, atendiendo según la victima. Figura 12: Niveles de Peligrosidad según la victima 25 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 3.2.3.4 . Nivel de impacto del ciberincidente El ENS señala que el impacto de unciberincidente en un organismo público se determina evaluando las consecuencias que dicho ciberincidente tiene en las funciones de la organización, en sus activos o en los individuos afectados. La tabla del Anexo E. Criterios de determinación del Nivel de impacto de los ciberincidentes, muestra cómo se debe determinar en la Entidad el Nivel de Impacto Potencial en el organismo afectado por los Ciberincidentes. El impacto producido por el ciberincidente es un valor con carácter dinámico y puede variar a lo largo del ciclo de vida del incidente ya que, lo que inicialmente puede parecer un problema simple relacionado con un correo electrónico podría resultar finalmente una crisis con robo de propiedad intelectual y daño de reputación. 3.2.3.5 . Seguimiento por parte del CCN-CERT La herramienta LUCIA, a disposición de los organismos de ámbito de aplicación del ENS, utiliza un sistema de seguimiento de tickets que puede usarse para documentar el desarrollo del ciberincidente y las acciones que se han llevado a cabo en cada momento, correspondientes a las fases de detección, contención, erradicación y recuperación. Una vez notificado el incidente al organismo afectado por parte del Sistema de Alerta Temprana de Internet (SAT-INET), realizará un seguimiento del mismo, asignándole un determinado Estado. La tabla siguiente muestra los diferentes estados que puede tener un ciberincidente, en un instante dado. Estado Descripción Cerrado (Resuelto y sin respuesta) No hay respuesta por parte del organismo afectado en un periodo determinado. No obstante, el incidente parece estar resuelto. Cerrado (Resuelto y con respuesta) El organismo afectado ha solventado la amenaza y notifica a su CSIRT de referencia el cierre del ciberincidente. Cerrado (Sin impacto) La detección ha resultado positiva pero el organismo no es vulnerable o no se ve afectado por el ciberincidente. Cerrado (Falso positivo) La detección ha sido errónea. Cerrado (Sin resolución y sin respuesta) Si el ciberincidente no ha sido resuelto por el organismo afectado y este no ha comunicado con el CSIRT de referencia, es cerrado con este estado. Cerrado (Sin resolución y con respuesta) No se ha alcanzado una solución al problema o el afectado indica que no sabe solventarlo incluso con las indicaciones proporcionadas por el CSIRT. Abierto Estado que va desde que el organismo afectado notifica la amenaza al CSIRT de referencia, o bien este último lo comunica al afectado, hasta que se produce el cierre del mismo por alguna de las causas anteriormente descritas. Tabla 4: Estado de los ciberincidentes notificados por los SAT El seguimiento se hace en función del nivel de peligrosidad o impacto del ciberincidente, en la tabla siguiente se muestra los días tras lo que se cerrara un ciberincidente sin respuesta. 26 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN Nivel de peligrosidad o impacto Obligación de notificar al CCN- CERT Cierre del ciberincidente (días naturales) Precisiones CRÍTICO Sí 120 Se cierran automáticamente por los Sistemas de Alerta Temprana trascurrido el número de días especificado en la columna anterior desde la última actualización del incidente en LUCIA. El Sistema de Alerta Temprana envía recordatorios del aviso al organismo. MUY ALTO Sí 90 ALTO Sí 45 MEDIO No 30 BAJO No 21 Tabla 5: Seguimiento del ciberincidente por el CCN-CERT 3.2.4 . Contención Es necesario contener la propagación del código dañino por la red para evitar que un atacante remoto con acceso a los sistemas pueda continuar con su actividad. Dependiendo del volumen de equipos afectados en la red y su naturaleza, se procederá a bloquear las conectividades de forma física (desconectando el cable de red) o lógica (bloqueando a nivel de Firewall). La velocidad con la que se actúa para frenar la infección y evitar un impacto más severo es clave en la resolución del incidente. De la misma forma, la implicación a todos los niveles dentro de la organización. En esta fase el CSIRT decide un método para detener la propagación de las amenazas detectadas. La estrategia de contención elegida debe considerar la posibilidad de daños adicionales, la conservación de la evidencia y la duración del tiempo de contención. Por lo general, esto significa aislar los sistemas comprometidos, segmentar partes de la red o colocar las máquinas afectadas en un entorno limitado. Un entorno limitado tiene el beneficio de permitir un mayor monitoreo de la amenaza, así como también de recolectar más evidencias. Una correcta clasificación de los ciberincidentes permite a los equipos de respuesta asignar la prioridad adecuada a cada problema, asegurando que se tratan en primer lugar o que se asignan más recursos a aquellos casos más graves. Una vez que se han tomado las medidas iniciales para contener el problema, es momento de comenzar con los procedimientos de toma y preservación de evidencias. Este paso resulta importante, tanto por si finalmente es necesario judicializar el incidente, como para poder analizar correctamente el origen y determinar el impacto real del problema. Los datos volátiles almacenados en la memoria del equipo pueden resultar muy importantes para el proceso de análisis en casos de programas maliciosos o de intrusiones y éstos se perderían si se apagara el equipo, por lo que en caso de considerarlo relevante se han de aplicar técnicas para su adquisición antes del apagado de los equipos. 3.2.5 . Análisis e investigación En esta etapa, el ERC aporta su conocimiento, experiencia y pensamiento lógico para abordar toda la información que les presentan las herramientas y los registros de monitoreo y comprender exactamente qué está sucediendo en la red y qué se puede hacer. 27 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN La tarea consiste en correlacionar eventos para recrear secuencias de eventos que conducen al incidente. Es especialmente crucial poder identificar la causa principal, para avanzar a los pasos de contención lo más rápido posible. 3.2.6 . Soluciones y recuperación Una vez contenido, deben restablecerse los sistemas comprometidos. Las vulnerabilidades deben parchearse, los sistemas y archivos deben restaurarse a partir de copias de seguridad limpias, las contraseñas deben cambiarse, las reglas del Firewall deben ajustarse, etc. Un retorno completo a las operaciones normales puede llevar meses dependiendo del incidente. A corto plazo, se debe establecer un sistema más seguro y refinado de ingreso de credenciales y monitoreo para que los administradores de IT puedan evitar que vuelva a ocurrir el mismo incidente. A largo plazo, es posible que se produzcan más cambios en la infraestructura para ayudar a transformar la red en una más segura. 3.2.7 . Reflexión y mejora Mantener un proceso de "lecciones aprendidas" después de un incidente grave, y periódicamente después de los incidentes menores, es sumamente útil en la mejora de las medidas de seguridad y el proceso de gestión de incidentes. La finalidad es aprender de lo sucedido y que se puedan tomar las medidas adecuadas para evitar que una situación similar se pueda volver a repetir. Esto ayudará a conocer lo que exactamente sucedió en qué momento y cómo el personal gestionó el incidente, también a evaluar los procedimientos de actuación, la cadena de mando, las políticas de seguridad y entrenará a los implicados para futuras situaciones de crisis. Cada miembro del equipo implicado en la gestión del ciberincidente debe aportar sus anotaciones y todas deben ser recogidas en un informe general que puede ser revisado en una reunión. 3.3 . Métricas e indicadores El ENS al igual que establece la necesidad evaluar elgrado de implantación de la seguridad del sistema, establece la medición de la gestión de incidentes en su Anexo II, 2 Selección de medidas de seguridad, dentro del marco operacional [op.mon.2] Motorización del sistema, Sistema de métricas. Por categoría o dimensión Categoría de seguridad del sistema BÁSICA MEDIA ALTA Categoría aplica + R1 + R2 + R1 + R2 Figura 13: Gestión de métricas según la categoría de seguridad del sistema Se emplean los colores verde, amarillo y rojo de la siguiente forma: el color verde para indicar que una cierta medida se aplica en sistemas de categoría Básica o 28 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN superior; el amarillo para indicar qué medidas y refuerzos empiezan a aplicar en categoría Media o superior; y el rojo para indicar qué medidas o refuerzos son solo de aplicación en categoría Alta o requieren un esfuerzo en seguridad superior al de categoría Media. Dependiendo de la categoría del sistema, se recopilaran los datos necesarios para proveer el informe anual requerido en el artículo 32 del ENS. Con R1- Efectividad del sistema de gestión de incidentes, se recopilarán los datos que posibiliten evaluar el comportamiento de acuerdo a la ITS de Notificación de Incidentes de Seguridad y la correspondiente guía del CCN-STC. Con la necesidad de un refuerzo R2- Eficiencia del sistema de gestión de la seguridad, se recopilaran datos en relación con los recursos consumidos, en términos de horas y presupuesto. Los organismos del ámbito de aplicación del ENS pueden evaluar la implantación, eficacia y eficiencia del proceso de Gestión de Ciberincidentes a través de seis métricas. � Métricas de implantación M1 Indicador Alcance del sistema de gestión de ciberincidentes Objetivo Saber si todos los sistemas de información están adscritos al servicio Método Se cuentan cuántos servicios están bajo control. (Si se conociera cuántos servicios hay en total, se podría calcular un porcentaje). · #servicios de categoría ALTA (ENS Anexo I) · #servicios de categoría MEDIA (ENS Anexo I) Caracterización Objetivo 100% Umbral amarillo ALTA: 4/5 (80%) MEDIA: 2/3 (67%) Umbral rojo ALTA: 2/3 (67%) MEDIA: ½ (50%) Frecuencia medición trimestral Frecuencia reporte anual � Métricas de resolución de incidentes M2 Indicador Resolución de ciberincidentes de nivel de impacto ALTO (ENS Anexo I – afectando a sistemas de categoría ALTA) Objetivo Ser capaces de resolver prontamente incidentes de alto impacto Método Se mide el tiempo que se tarda en resolver un incidente con un impacto en sistemas de categoría ALTA: desde que se notifica hasta que se resuelve · T(50) tiempo que se tarda en cerrar el 50% de los incidentes · T(90) tiempo que se tarda en cerrar el 90% de los incidentes Caracterización Objetivo T(50) = 0 && T(90) = 0 Umbral amarillo T(50) > 5d || T(90) > 10d Umbral rojo T(50) > 10d || T(90) > 20d Frecuencia medición anual Frecuencia reporte anual 29 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN M3 Indicador Resolución de ciberincidentes de nivel de impacto MEDIO (ENS Anexo I – afectando a sistemas de categoría MEDIA) Objetivo Ser capaces de resolver prontamente incidentes de impacto medio Método Se mide el tiempo que se tarda en resolver un incidente con un impacto en sistemas de categoría MEDIA: desde que se notifica hasta que se resuelve: · T(50) tiempo que se tarda en cerrar el 50% de los incidentes · T(90) tiempo que se tarda en cerrar el 90% de los incidentes Caracterización Objetivo T(50) = 0 && T(90) = 0 Umbral amarillo T(50) > 10d || T(90) > 30d Umbral rojo T(50) > 15d || T(90) > 45d Frecuencia medición anual Frecuencia reporte anual � Métricas de recursos M4 Indicador Recursos consumidos Objetivo Conocer si es necesario aumentar la fuerza de trabajo Método Estimación del número de horas-hombre dedicadas a resolver incidentes de seguridad. Fórmula: #horas dedicadas a incidentes / #horas formalmente contratadas para seguridad TIC Caracterización Objetivo < 20% Umbral amarillo 20% Umbral rojo 50% Frecuencia medición trimestral Frecuencia reporte anual � Métricas de gestión de incidentes M5 Indicador Estado de cierre los incidentes Objetivo Ser capaces de gestionar incidentes de seguridad Método Se mide el número de incidentes que han sido cerrados sin respuesta. Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de incidentes notificados Caracterización Objetivo Umbral amarillo Umbral rojo Frecuencia medición Frecuencia reporte anual M6 Indicador Estado de cierre los incidentes de peligrosidad MUY ALTA/CRÍTICA Objetivo Ser capaces de gestionar incidentes de seguridad de alta peligrosidad Método Se mide el número de incidentes que han sido cerrados sin respuesta. Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de incidentes notificados Caracterización Objetivo 0% Umbral amarillo 5% Umbral rojo 20% Frecuencia medición Trimestral Frecuencia reporte anual 30 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 4 . Metodología de gestión de incidentes en la Entidad 4.1 . Objetivo El objeto de este procedimiento es definir la sistemática establecida en la Entidad para llevar a cabo la notificación y gestión de incidentes y/o vulnerabilidades de seguridad con el propósito de asegurar que los incidentes de seguridad y las debilidades asociadas con los sistemas de información se comunican de tal manera que haya tiempo de tomar las adecuadas acciones correctivas y poder evitarlos en un futuro, así como para: ◦ Restaurar el servicio tan pronto como sea posible o responder a solicitudes del servicio ◦ Restablecer la operación normal del servicio lo más rápido posible ◦ Minimizar el impacto adverso en las operaciones ◦ Asegurar que los niveles de calidad y disponibilidad de los servicios se mantengan en lo establecido. Además este procedimiento tiene por objeto documentar la gestión de violaciones o brechas de seguridad, que afecten a los datos de carácter personal tratados por la Entidad, como Responsable de Tratamiento, de conformidad con la Normativa vigente de Protección de Datos. En esta sección se detallan los pasos para diseñar un proceso en la gestión de incidentes. Al tratarse de una Entidad en fase de ser auditada para la certificación de su sistema en el ENS, se disponen de procedimientos y medidas de seguridad implantadas para dicho propósito. 4.2 . Alcance Todos los sistemas de información y personal que se encuentre afectado dentro del alcance del Esquema Nacional de Seguridad (ENS). En la Entidad tratada el alcance está reflejado en la Política de Seguridad y se aplicará a los siguientes sistemas: 1. Los sistemas de información del Portal 2. Los portales de los ayuntamientos, entidad local o comarca que estén alojados en sus sistemas. Ambos están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo. 4.3 . Referencia Para la realización del presente procedimiento se tienen en cuenta las referencias incluidas en la normativa de aplicación así como las Guías de las Autoridades y Organismos de Control. 31 DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN 4.3.1 . Referencia normativa El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica establece en su Capítulo III (Política de seguridad y requisitos mínimos de Seguridad) uno de los principios básicos que debe desarrollar la Política de Seguridad de las Administraciones Públicas
Compartir