Destacados /

¡Qué no cunda el pánico! Vol. I

¿Cómo prevenir ataques cibernéticos?

Comúnmente, los sitios web y las cuentas de RRSS gubernamentales suelen ser el blanco de ataques cibernéticos en eventos coyunturales, como cuando se presentan hechos de alteración del orden público, descontento ciudadano o previo a eventos importantes como fiestas patrias o procesos electorales.

Cuando nuestra entidad es atacada, es normal sentirnos abrumados debido a que este tipo de agresiones son inesperadas, pero debemos entender que puede sucedernos a cualquiera de nosotros y en cualquier momento. Asimismo, hay que ser conscientes de que hablar de seguridad total es un imposible pues así la tecnología avance, las vulnerabilidades siempre están presentes. Sin embargo, sí hay acciones que podemos tomar con anterioridad para reducir la fragilidad a la que pueden estar expuestos nuestros canales de comunicación.

En la primera parte de esta nota compartimos recomendaciones para que puedas evitar ataques, sepas cómo reaccionar y, sobre todo, trates de fortalecer la seguridad de la información del sitio web de tu entidad.

Imagen de Pete Linforth en Pixabay

CSIRT GOBIERNO, un aliado desde el MinTIC

Este equipo del Ministerio de Tecnologías de la Información y las Comunicaciones, surge para apoyar a todas las entidades del Gobierno en implementar una adecuada gestión y reacción ante incidentes cibernéticos. Para ello, “realiza seguimiento de manera unificada a las principales tipologías de ciber incidentes que atentan contra la defensa del Gobierno, para realizar de manera eficiente la gestión de sus riesgos” como lo indica en su página web.

Imagen CSIRT Gobierno de Colombia

Para el CSIRT es primordial brindar acompañamiento y apoyo a las entidades del Estado con el fin de propiciar una cultura de seguridad digital en todos los funcionarios. Así que estas son algunas recomendaciones básicas que este equipo comparte con Gobierno en Redes.

También puede interesarte: La seguridad en la red también nos interesa

Como entidad, ¿cómo me preparo para la gestión de un incidente de seguridad digital?

Para el CSIRT es clave involucrar los siguientes procesos:

  1. Planificación y preparación: La etapa de preparación está en cabeza del responsable de seguridad y las áreas misionales, pero debe ser apoyada por la dirección de tecnologías de la información o quien haga sus veces, incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y aplicaciones, por ejemplo.

En la entidad debe existir un listado de fuentes generadoras de eventos que permitan la identificación de un incidente de seguridad de la información.

  1. Detección y análisis: En esta fase se determina si ha ocurrido un incidente, se validan los reportes de los equipos de seguridad, se indaga sobre información relacionada con el incidente, se documenta la investigación, se recopila la evidencia, se prioriza la gestión del incidente según su impacto y se reporta el incidente al interior y al CSIRT Gobierno según corresponda.
  1. Contención, erradicación y recuperación: En esta etapa se recomienda a la entidad dependiendo de la criticidad del evento y de sus consecuencias, adquirir, preservar y asegurar la evidencia, identificar el vector de ataque, eliminar el malware, deshabilitar la cuenta de usuario comprometida, entre otros, así como identificar y mitigar todas las vulnerabilidades que fueron explotadas, devolver los sistemas afectados a un estado operativo y confirmar si los sistemas afectados funcionan con normalidad.
  1. Actividades Post-Incidente: Las lecciones aprendidas siempre se deben tomar en cuenta en el plan de mejoramiento de la entidad, una vez se identifican las brechas de seguridad y vulnerabilidades en el entorno tecnológico; también se realiza un seguimiento periódico establecido en las políticas de la entidad para observar los factores que aún se deben mejorar.

¿Si mi entidad es víctima de un incidente de seguridad cómo debo actuar?

Si se detecta un incidente, de acuerdo con el CSIRT esto es lo que podrías hacer:

1️⃣ Un usuario, tercero o contratista que sospeche sobre la materialización de un incidente de seguridad deberá notificarlo al primer punto de contacto establecido (Ej: Soporte de primer nivel de la mesa de servicio) a través de los canales definidos por la entidad.

2️⃣El primer punto de contacto identificará el tipo de incidente (de acuerdo con la tabla de clasificación de incidentes que realiza la entidad). Analizará si el incidente reportado corresponde a un incidente de seguridad de la información y será el encargado de realizar el seguimiento del Incidente hasta su cierre definitivo.

3️⃣El punto de contacto es la persona encargada de la atención de estos, el cual coordina y asigna las actividades con las partes interesadas.

4️⃣La persona encargada de la atención de incidentes tendrá la potestad para decidir sobre las acciones que se deban ejecutar ante la presencia de un incidente de seguridad y es quién que notificará a las altas directivas de la entidad.

5️⃣Identificado el incidente cibernético, por el CISO o encargado de seguridad digital de la entidad, se debe reportar el incidente diligenciando este formato de reporte de incidentes en su totalidad y enviarlo al CSIRT Gobiernocsirtgob@mintic.gov.co  para realizar el apoyo en su gestión, acompañamiento y coordinación con otras instancias.

Lee también: Haz segura tu cuenta de WhatsApp con estos consejos

Una vez identificado el incidente, ¿a quién debo reportar?

Los incidentes se deberán reportar ante el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Digital) de Gobierno, teniendo en cuenta lo siguiente:

1️⃣ Los incidentes catalogados por el responsable de seguridad digital de la entidad, como Menos Grave y Menor, deben ser comunicados al CSIRT Gobierno en el formulario establecido una vez sea gestionado, con el fin de poder llevar una estadística de los incidentes y conocer las tipologías de estos.

2️⃣ Por otro lado, los incidentes catalogados como Muy Grave y Grave por la entidad, para el respectivo apoyo y coordinación en la gestión de estos, deben ser informados a través del formato de reporte establecido por el CSIRT Gobierno, el cual estará disponible por los canales de comunicación autorizados:

  • Contactando a la mesa de servicio, llamando a la línea gratuita Línea de atención: (+ 57 601) 344 22 22.
  • Enviando un mensaje de correo electrónico informando el incidente al buzón csirtgob@mintic.gov.co, adjuntando el Formato de Reporte de incidentes debidamente diligenciado.

Sabemos que este tema genera mucho interés debido a la importancia de velar por la seguridad de nuestros sitios web, y posiblemente quieras compartir o consultar esta nota con los encargados de tecnología de tu entidad, así que para ampliar la información adjuntamos el manual completo que creó el CSIRT para la gestión de incidentes. En la segunda parte de esta nota, te daremos recomendaciones para el uso seguro de tus redes sociales.

Descarga aquí ABC Proceso de Gestión de Incidentes

Imágenes Ghipy.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Icono para Twitter Icono para Facebook