Seguridad Inteligente: Gestión de Incidentes y Continuidad con Visión de Negocio

Bruno Alejandre González, Consultor Técnico De Archer Egrc para América Latina y El Caribe de RSA, la división de seguridad de EMC

Seguridad Inteligente: La historia ha demostrado que, a pesar de la implementación de seguridad basada en estrategias de endurecimiento perimetral y preventivo, las empresas siguen siendo atacadas.

Derivado de este hecho, resulta necesario dar un vuelco al enfoque tradicional de seguridad preventiva, para concentrar los esfuerzos en dos temas: primero, mejorar la resistencia de la empresa mediante la gestión de Incidentes y Continuidad del Negocio; segundo, optimizar la detección de ataques y su respuesta, con el objetivo de detener el ataque antes de que se concrete.

Para lograr este cambio de enfoque, es necesario gestionar los incidentes desde una perspectiva integral de negocio, que incluya:

• Documentación del Modelo de Negocio.
• Monitoreo de Seguridad basado en Criticidad.
• Identificación de Comportamientos Anómalos  basados en Patrones.
• Automatización de la Atención a Incidentes.
• Activación de Planes de Continuidad y Recuperación con base en la Criticidad de los Incidentes.
• Mecanismos de Mejora Continua para el Sistema Completo.

El modelado del negocio debe partir de la documentación de los activos críticos de la empresa, incluyendo las relaciones entre ellos, para poder reflejar el contexto del negocio. De esta forma, se construye una base de datos para la gestión de la configuración inicial (CMDB, por sus siglas en inglés), con los componentes más relevantes de la arquitectura empresarial. Para este propósito se pueden emplear herramientas de descubrimiento automático.

Sobre la base de este modelo de negocio y sus relaciones, los expertos de cada área deben participar en la evaluación y calificación de la criticidad, tanto relativa como absoluta de cada componente. De esta manera se genera un modelo de negocio inteligente, que permitirá contextualizar los esfuerzos encaminados a robustecer la seguridad y, más aún, elaborar un primer esfuerzo sobre el análisis de impacto al negocio (BIA, por sus siglas en inglés). En este punto son imprescindibles herramientas de Gobierno, Riesgo y Cumplimiento Empresarial (eGRC, por sus siglas en inglés) que permitan documentar el modelo y la colaboración entre los expertos de distintas disciplinas, bajo un marco metodológico ordenado.

El modelo de negocio inteligente permitirá que el monitoreo, tanto de eventos y logs, como de paquetes de red, se enfoque en aquéllos componentes que representan un mayor impacto al negocio. Esta concentración de esfuerzos en elementos críticos, hace más eficiente el trabajo de los analistas y reduce la dispersión de su espectro de atención, posibilitando la identificación temprana de ataques para emitir alertas que los trunquen antes de que logren su cometido. Para habilitar estas capacidades se requieren plataformas analíticas de seguridad, que son la siguiente generación de los antiguos Sistemas de Gestión de la Seguridad de la Información y Eventos (SIEM, por sus siglas en inglés) y monitores de actividad en la red.

Por otra parte y con base en la documentación de patrones de comportamiento, es necesario el monitoreo de actividad de los usuarios, con el objetivo de identificar comportamientos anómalos que sugieran ataques basados en la suplantación del usuario, o bien, en el uso de robots para simular la actividad. Este tipo de monitoreo es complementario y agrega mayor efectividad al simple establecimiento de reglas de seguridad preventivas.

Un claro ejemplo de ello es la regla de intentos de inicio de sesión fallidos: normalmente los sistemas implementan un máximo de tres (3) intentos de inicio de sesión fallidos antes de bloquear un nombre de usuario y lanzar una alerta. Los nuevos ataques se basan en el respeto a las reglas establecidas en los sistemas, es decir, actualmente un ataque para inicio de sesión hará un máximo de dos intentos por cada nombre de usuario que tenga en su poder, con lo cual realiza un ataque horizontal que no viola ninguna regla, hasta conseguir el acceso con alguno de los usuarios.

Con el usuario obtenido mediante este mecanismo, el atacante comienza a explorar sus capacidades e, invariablemente, realiza operaciones poco comunes o anómalas para el comportamiento típico del usuario. Es aquí donde herramientas de monitoreo de patrones de comportamiento y navegación son útiles para la detección de ataques, posibilitando su remediación antes de que el atacante logre su cometido final.

Con todos estos mecanismos de detección y alerta de incidentes y eventos, la empresa está habilitada para orquestar una respuesta oportuna y efectiva, sin embargo, se requieren mecanismos que le permitan:

• Documentar y mantener una biblioteca de procedimientos de respuesta estandarizados.
• Asignar propiedad sobre la ejecución de los procedimientos de respuesta.
• Cuando un incidente es reportado, identificar los procedimientos de respuesta que apliquen para su remediación.
• Notificar a los responsables de la ejecución de los procedimientos de respuesta, coordinando la secuencia de acción de cada uno de ellos.
• Monitorear el estado y resultados de la respuesta al incidente, para detectar la necesidad de activación de planes de continuidad de negocios y planes de recuperación de desastres.

Para lograr la gestión eficiente de todas estas tareas, es necesario automatizar la atención a incidentes. Las plataformas eGRC, mencionadas anteriormente, representan una excelente alternativa para la implementación del sistema automatizado de gestión de incidentes.

Cuando se detecta la aparición de un evento de crisis que requiere la activación de sus respectivos planes de continuidad del negocio y de recuperación de desastres, es necesario contar con:

• Una biblioteca de procedimientos de continuidad y recuperación, debidamente documentada y actualizada.
• Planes probados de continuidad de negocio y recuperación de desastres, vinculados con los procedimientos de la biblioteca.
• Asignación de responsabilidades para la continuidad del negocio y la recuperación de desastres, con la definición de los respectivos árboles de llamadas, en las secuencias requeridas.
• Mecanismos para la declaración de un evento de crisis.
• Mecanismos para la coordinación de los equipos de continuidad y recuperación, con capacidad de monitorear el estado y resultados de la ejecución de los planes.
• Mecanismos para asegurar el paso ordenado del estado de emergencia al estado normal de operación.

Para la habilitación de todas estas capacidades, también se puede echar mano de las plataformas eGRC, las cuales deben ofrecer estas capacidades mínimas, así como la posibilidad de gestionar los eventos de crisis mediante dispositivos móviles que permitan el funcionamiento fuera de línea y la coordinación por medios alternos de comunicación, como mensajes de texto y llamadas directas a los equipos de continuidad y recuperación.

Por último, el sistema completo debe sujetarse a mecanismos de mejora continua que le permitan seguir vigente y responder al dinamismo del negocio:

• La CMDB debe enriquecerse y ampliarse, de acuerdo a la evolución del modelo de negocio y a la incorporación paulatina de componentes con grados de criticidad menores, hasta llegar a la documentación del modelo de negocio completo. La calificación de criticidad debe revisarse periódicamente, con el objetivo de que refleje los cambios en el negocio.
• Las reglas de monitoreo y correlación, así como los patrones de comportamiento deben ser revisados y ajustarse, de acuerdo a los resultados obtenidos y a los falsos positivos emitidos.
• La gestión de incidentes debe evaluar la efectividad de los procedimientos de respuesta y realizar análisis forenses, basados en la reconstrucción de sesiones, la vinculación de incidentes, la detección y deslinde de responsabilidades, ya sea de empleados o terceros. Con esta información se pueden mejorar los procedimientos de respuesta y robustecer los controles implementados.
• Evaluar la efectividad de los planes de continuidad de negocio y recuperación de desastres, con la finalidad de eliminar puntos de falla y garantizar resultados exitosos tras su ejecución.
• Gestión del personal involucrado en todo el sistema, desde la definición de habilidades técnicas y personales, hasta el seguimiento al plan de carrera. Esto con el propósito de formar un equipo de especialistas con la capacidad y compromiso suficientes para tomar la responsabilidad requerida por el sistema completo.

Para gestionar la mejora continua se requiere la integración de todas las tecnologías mencionadas, mediante la plataforma eGRC como sistema consolidador. En este punto, el eGRC tiene la responsabilidad de garantizar la interoperabilidad entre plataformas, así como la interacción entre los usuarios de las distintas plataformas y la comunicación hacia el equipo ejecutivo de la empresa, mediante la exposición de indicadores clave de desempeño (KPI, por sus siglas en inglés) e indicadores clave de riesgos (KRI, por sus siglas en inglés), todos ellos alineados con las directrices estratégicas del negocio y bajo el marco normativo correspondiente.

Como puede intuirse, la implementación del sistema completo de Gestión de Incidentes y Continuidad con Visión de Negocio no es un asunto menor, implica la inversión de recursos y la coordinación de esfuerzos entre distintas áreas de la empresa, por ello, se aconseja definir un programa de implementación que aporte una visión holística y derivar proyectos específicos, que obedezcan a las prioridades del negocio y que nos permitan entregar valor en el menor tiempo posible.

Por Bruno Alejandre González, Consultor Técnico De Archer Egrc para América Latina y El Caribe de RSA, la división de seguridad de EMC