CanciĆ³n triste de Hill Streetā¦ Ā”Tengan cuidado ahĆ fuera!
Aquellos lectores nacidos en las penĆŗltimas dĆ©cadas del siglo pasado aĆŗn recordarĆ”n la serie policĆaca āCanciĆ³n triste de Hill Streetā, con el ācapitĆ”n Furilloā al mando, cuya trama giraba en torno a posibles diferencias entre lo correcto y lo que funciona.
Justo un aƱo despuĆ©s de esa serie, en 1988, la universidad Carnegie Mellon en Pennsylvania, Estados Unidos, acuĆ±Ć³, y patentĆ³, el tĆ©rmino āComputer Emergency Security Teamā (CERT). Este primer CERT fue la respuesta a la apariciĆ³n la noche del 2 al 3 de noviembre de 1988 del pionero de los software maliciosos y auto-replicantes: el gusano de Morris. Desde entonces, la necesidad de disponer de un equipo profesional de intervenciĆ³n rĆ”pida frente a emergencias digitales sĆ³lo ha crecido y crecido.
Dr. Alberto Partida
linkedin.com/in/albertopartida
Por cierto, como el nombre de CERT estĆ” patentado, se recomienda utilizar el tĆ©rmino genĆ©rico āComputer Security Incident Response Teamā (CSIRT) para cualquier otro equipo de emergencias digitales que exista. Los CSIRTs iniciales han evolucionado hasta los centros de operaciones de seguridad (SOCs) actuales, cuya misiĆ³n es la monitorizaciĆ³n en tiempo real de los eventos de seguridad de una organizaciĆ³n y la respuesta frente a posibles incidentes de seguridad.
Hoy en dĆa hay cientos de CSIRTs por todo el mundo, de origen privado y pĆŗblico, sectoriales, nacionales, multinacionales, etc. La organizaciĆ³n que agrupa a mĆ”s CSIRTs es FIRST (el āForum of Incident Response and Security Teamsā), creado en Carolina del Norte en 1990 como organizaciĆ³n sin Ć”nimo de lucro.
El servicio de respuestas a incidentes es esencial para cualquier empresa conectada a Internet, independientemente de su tamaƱo. Eurostat publicĆ³ en 2017 que el 66% de la poblaciĆ³n activa en la UniĆ³n Europea, unos 94 millones de personas, trabajan en pequeƱas y medianas empresas (pymes). Un ataque certero a cualquiera de estas empresas, por ejemplo un āphishing a medidaā o un āransomwareā bien inyectado, puede suponer un daƱo de reputaciĆ³n irreparable o, incluso, sencillamente su desapariciĆ³n. Los recursos disponibles de estas pequeƱas empresas no permiten la creaciĆ³n de su propio CSIRT. Desde esta columna sĆ³lo puedo recomendar a empresarios y autĆ³nomos que contraten un servicio profesional de respuesta a incidentes digitales. ĀæCĆ³mo elegir el adecuado? AquĆ van algunas pistas para seleccionar el SOC adecuado:
- Averigua el tamaƱo medio de sus clientes, no te interesa ser el cliente āmĆ”s diminuto de su carteraā.
- Confirma cĆ³mo recogen inteligencia operativa de ataques reales en tu sector y cĆ³mo interactĆŗan con CSIRTs pĆŗblicos autonĆ³micos, nacionales y europeos.
- Es importante que reciban y compartan informaciĆ³n operativa con otros SOCs.
- Solicita informaciĆ³n sobre su grado de automatizaciĆ³n de respuestas frente a incidentes: en ocasiones aĆŗn estamos anclados en la imagen de un analista junior pegado a una pantalla de monitorizaciĆ³n sin pestaƱear, confiando en que sepa reaccionar frente a todas las alertas que el SIEM (āSecurity Incident and Event Monitoringā) de turno le muestre.
- Un detalle controvertido pero crucial es conocer al equipo que protegerĆ” tu informaciĆ³n: su experiencia, su formaciĆ³n, su motivaciĆ³n y, relacionado con este punto, sus condiciones laborales y nivel de rotaciĆ³n.
- Adicionalmente, infĆ³rmate sobre cĆ³mo pueden ayudarte en tus procesos de comunicaciĆ³n con clientes, fuerzas del orden, proveedores y empleados, tras sufrir un ataque digital.
- Finalmente, recomiendo que denuncies todo ataque exitoso. Tus atacantes son delincuentes digitales.
Como bien decĆa el ācapitĆ”n Furilloā, tengan cuidado ahĆ fueraā¦ y busquen un SOC que les funcione.
