Segurilatam 013

Primer cuatrimestre 2020 33 artículo técnico Seguridad en Entidades Financieras cada acción sea analizada desde todos los ángulos. Por sus siglas en inglés, el equipo se denomina CSIRT y suele estar integrado por profesionales de las siguientes áreas de un banco: Relaciones Públicas, Legal, Cumplimiento, Sistemas, Ciberseguri- dad y Operaciones. Conclusiones Concluyendo, dentro de un banco se han de mantener mecanismos para ase- gurar la continuidad del negocio consi- derando las posibles amenazas a las que puede estar sujeta. Entre ellas, una de las más probables es un ciberataque. Por dicha razón, es importante considerar un protocolo de respuesta a incidentes acorde a alguna metodología recono- cida que tenga en cuenta desde el mo- mento en que se detecta un incidente hasta cuando haya sido totalmente re- mediado. También es básico contar con un equipo multidisciplinario que haga posible atender el incidente de una ma- nera rápida, eficiente y holística. En los próximos años, las industrias, y en particular la banca, tendrán que asignar cada vez más recursos para mi- tigar el riesgo de un ciberataque que pueda ocasionar un daño a su opera- ción y/o reputación. Y que llegue a de- jarla fuera del negocio. La amenaza de ciberataque llegó para quedarse y, a nivel mundial, cons- tituye una de las diez preocupaciones más grandes que las empresas tienen y tendrán que aprender a manejar de una manera costo-efectiva a través de una mayor conciencia de su impacto. rramientas o procesos adicionales cuya implementación llevase algo de tiempo. Remediación. En esta etapa se han realizado todas aquellas tareas que im- piden que un incidente de ciberse- guridad en particular vuelva a ocurrir. En esta fase no sólo ya se tienen ope- rando todos los procesos críticos que fueron afectados por el incidente en cuestión, sino que, además, estamos mejor preparados para impedir que esto pase de una forma similar en el futuro. Lecciones aprendidas. Por último, se analiza cómo se atendió el incidente de seguridad, qué estuvo bien y qué pudo haberse hecho de una mejor forma. Esta etapa es una crítica cons- tructiva al proceso de respuesta a in- cidentes que se siguió. Todas aque- llas acciones que se detecten en esta etapa deberán ser incorporadas a nuestros protocolos y herramientas de respuesta a incidentes. Como parte fundamental de nuestro sistema de respuesta a incidentes, de- bemos contar con un equipo de res- puesta que sea multidisciplinario y que se encargue en lo táctico/operativo de considerar todas las aristas derivadas de un incidente de ciberseguridad. Por ejemplo, en un caso de robo de infor- mación confidencial de clientes, qué ac- ciones legales, regulatorias, reputacio- nales, etc., se tendrán que ejecutar de manera inmediata y subsecuente. Por lo tanto, gente experta en estos campos deberá ser parte del equipo para que metodología reconocida. En este caso vamos a utilizar la que nos marca ISC2, una prestigiosa asociación internacio- nal especializada en ciberseguridad. La metodología marca los siguientes pa- sos a seguir: Detección. Es la etapa donde ha- cemos toda la planeación de herra- mientas y procesos que sistemática- mente detecten posibles incidentes de seguridad. Aquí nos damos cuenta de que algo ha ocurrido. Ejemplos en esta fase pueden ser las alertas deri- vadas de un sistema de prevención de pérdida de datos (DLP, por sus si- glas en inglés), de un sistema de ges- tión de información y eventos de se- guridad (SIEM, por sus siglas en in- glés) o de un centro de operaciones de seguridad (SOC, por sus siglas en inglés). Respuesta. Es la fase de acciones in- mediatas para impedir que el pro- blema se propague o afecte más o a mayor cantidad de computadoras, servidores, aplicativos, bases de da- tos, etc. Algunas acciones típicas de esta etapa son aislar el segmento de red, bloquear la IP, aislar la computa- dora o incluso desconectar algún ser- vidor o endpoint . Mitigación. Una vez entendido el ori- gen del incidente y/o las causas que lo originaron, en esta etapa procedemos a aplicar las acciones que mitigan el in- cidente en cuestión. Esta fase es úni- camente inicial y comprende acciones muy básicas encaminadas a reestable- cer la normalidad lo antes posible. Reportar. En esta etapa se debe deci- dir a qué organismos internos y exter- nos se comunicará que ha ocurrido un incidente de seguridad. En muchos ca- sos, en los países existen requerimien- tos por parte de la autoridad, para es- tar enterada, que pueden conllevar multas y/o sanciones, así como posi- bles auditorías de seguimiento. Recuperar. Aquí se establecen las me- didas necesarias para que los servi- cios y la operación vuelvan a la nor- malidad, aunque podría suceder que las causas raíz aún no se hubieran ata- cado y que implicasen establecer he-