Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

01 diciembre 2015

Ciclo de vida en la gestión de incidentes: triage

 
Vimos en el post anterior que entre los servicios reactivos de un ERI se encuentra la respuesta a incidentes. Ésta se desarrolla en varias etapas y es cíclica:
- Primero está la fase de preparación y prevención: aquí podemos incluir la formación y concienciación del personal (tanto de los implicados en la resolución de incidentes, como de los usuarios) y la puesta en marcha y revisión de los procedimientos adecuados.
- Detección y triage de incidentes: se pueden utilizar diversos mecanismos para detectar los incidentes, pero siempre habrá que comprobar en qué consisten porque pueden darse falsos positivos. Además, no todos los incidentes tendrán el mismo impacto en la organización.
- La contención: evitar que el incidente se propague, minimizando sus daños. Simultaneamente, se hará un análisis del mismo para ver qué ha ocurrido, por qué y qué implicaciones tiene.
- La recuperación: tratar de revertir en la medida de lo posible los daños y conseguir que el sistema continúe o vuelva funcionar con normalidad.

- Aprendizaje y mejora: después de todo lo anterior, debemos sacar algunas conclusiones para ver qué ha ido mal y cómo se puede mejorar en la organización; ya que la seguridad no es un producto, sino un proceso continuo. Es por ello que, realimentándose de esta fase, se inicia de nuevo la fase inicial de preparación y prevención frente a futuros incidentes.



La fase de triage es muy importante porque consiste en la clasificación y priorización de los incidentes de seguridad, para determinar la asignación de recursos. Es esencial cuando éstos son limitados, de modo que se haga una buena gestión de ellos; de este modo, los incidentes que puedan llegar a tener un mayor impacto se resolverán antes. El propósito es determinar la siguiente información: ¿se trata realmente de un incidente de seguridad?, ¿de qué tipo de incidente se trata?, ¿cuál es su gravedad?, ¿cuál es el impacto potencial?, ¿qué recursos serán necesarios para atenderlo?

Consiste en tres fases: verificación, clasificación inicial y asignación.

- En la verificación se analiza el incidente para ver si se trata o no de un falso positivo.

- Si se determina que se trata de un incidente real, se hará una clasificación inicial del mismo para determinar qué tipo de incidente es (contenido abusivo, código dañino, obtención de información, intrusiones, violación de las políticas de seguridad, denegación de servicio, confidencialidad, integridad, fraude, etc.), cuál es su gravedad, el posible impacto, origen (externo o interno), categoría de los sistemas afectados, perfiles de los usuarios afectados, si se trata de un ataque dirigido o no, etc. En un principio puede que no sea posible responder a todas esta preguntas totalmente, pero hay que hacer una estimación inicial para poder pasar a fase siguiente.

- Asignación de recursos: en función de la información anterior, se asignarán los recursos (personas, tiempos y otros) dedicados a la resolución del incidente. Los incidentes no deben resolverse según van llegando, sino que se dará prioridad a aquellos que puedan tener un mayor impacto en la seguridad del sistema, según la criticidad de los recursos afectados y teniendo en cuenta la gravedad de la amenaza implicada.


En un futuro post, explicaremos más en detalle en qué consiste la fase de análisis.


Referencias: