Un modelo simplificado para la atencin de incidentes de seguridad informtica: PTIARA

Julio E. lvarez
Departamento de Seguridad Informtica Banco de la Repblica, COLOMBIA jalvarbe@banrep.gov.co

Jeimy J. Cano
Facultad de Derecho Universidad de los Andes, COLOMBIA jcano@uniandes.edu.co

Resumen
La inseguridad informtica es la constante en un mundo interconectado. En este sentido contar con estrategias y acciones concretas para la atencin de incidentes en las organizaciones es un factor crtico para fortalecer los modelos de seguridad en las mismas. Este artculo presenta un modelo simplificado para atencin de incidentes que permite aprender de la inseguridad y generar una base confiable experiencia y conocimiento para incrementar la resistencia del sistema de gestin de la seguridad de la informacin.

actuaciones del equipo de atencin de incidentes. Equipo que requiere un reconocimiento organizacional, es decir una designacin administrativa de su existencia, un cuerpo de conocimiento tanto tecnolgico como estratgico de la organizacin, un conjunto de herramientas que faciliten su accin y documentacin de los casos y una serie de contactos con terceros que le permitan actuar con diligencia y efectividad en la comprensin y procesamiento del caso. Los incidentes de seguridad informtica establecen un reto para la gestin de la seguridad de la informacin. En este sentido, se requiere una estructura que permita administrar los incidentes y decirle a los posibles intrusos, que la organizacin esta preparada para enfrentarlos, para seguirlos, estudiarlos y, si es posible, judicializarlos. Este documento presenta una arquitectura base para la atencin de incidentes en las organizaciones, detallando aspectos prcticos de la misma a nivel estratgico, tctico y operativo, de tal forma, que se pueda implementar de manera sencilla y efectiva. As mismo, establece elementos para definir que son los incidentes de seguridad informtica y posibles estrategias de tratamiento sustentados en un modelo simplificado de atencin de incidentes, extrado de la buena prctica internacional sobre el tema. El documento concluye con recomendaciones para mantener un buen funcionamiento de la arquitectura para la atencin de incidentes como la base del fortalecimiento del sistema de gestin de seguridad de la informacin.

1. Introduccin
La inseguridad de la informacin es parte inherente de las relaciones definidas en un mundo interconectado. Por tanto, se hace necesario no solamente descubrirla, sino entenderla y aprender de ella. En este sentido, si las vulnerabilidades y fallas son la constante, la atencin de incidentes debera ser la norma. Atender un incidente, exige de la organizacin destinar recursos importantes para contar con un equipo que entre en accin cuando esto ocurre. Un equipo que no debe conocer exclusivamente de elementos tecnolgicos, sino con habilidades gerenciales que le permitan comprender en los procesos de negocio cmo se ha materializado la inseguridad, para por un lado, contener los posibles avances e impactos de la misma y por otro, detallar en profundidad las implicaciones de los posibles daos en el contexto del negocio. En consecuencia, las fallas o vulnerabilidades en la seguridad informtica que se presentan en una organizacin, son el insumo de las

2. Qu son los incidentes de seguridad informtica?

Definir un incidente de seguridad informtica es en s mismo es detallar que es una intrusin informtica. Una intrusin se puede definir como cualquier conjunto de acciones adelantadas por un intruso sobre un recurso informtico, que compromete cualquiera de los principios base de la seguridad de la informacin como son la integridad, la confidencialidad o la disponibilidad. [Adaptado de: 8] Basado en lo anterior, un incidente de seguridad informtica se podra enmarcar como cualquier evento adverso que ocurre en un sistema informtico o telemtico causado por la explotacin de una (o diversas) falla(s) del mismo, o por la materializacin de una vulnerabilidad en cualquiera de sus relaciones o componentes de hardware o software, que impacta cualquiera de los principios de seguridad de la informacin. En este contexto, clasificar los incidentes de seguridad informtica implica comprender las diferentes manifestaciones de la inseguridad generalmente conocidas y difundidas como la negacin del servicio, la inundacin de paquetes, el acceso no autorizado, entre otros, dentro de los principios de seguridad informtica establecidos como son: confidencialidad, integridad, disponibilidad - CID. De esta manera, sin importar el tipo de accin que se adelante o manifieste posteriormente, se deber enmarcar dentro del contexto de CID. Esta propuesta tiene como ventaja, que sin importar el tipo de manifestacin de la inseguridad que se presente, se buscar comprenderla bajo los principios fundamentales de la seguridad, afianzando la distincin de seguridad y afinando los posibles controles que se puedan instalar para minimizar la presencia de un nuevo incidente. Sin embargo, esta clasificacin, no entra a distinguir elementos de la infraestructura como enrutadores, servidores de datos o acceso, mecanismos de seguridad donde se pueden materializar los incidentes, limitando una revisin estadstica apoyada sobre los componentes de la misma. Considerando la propuesta de clasificacin de incidentes, se procede a presentar un ejemplo para detallar y distinguir cmo cada una de las

acciones efectuadas se puede analizar de manera concreta sobre la confidencialidad, integridad y disponibilidad. Accin efectuada Negacin de Servicio Monitoreo no autorizado de la red Acceso no autorizado a los datos Inundacin de paquetes Configuracin insuficiente o inadecuada Revelacin de informacin sensible Eliminacin de archivos o directorios Virus Modificacin no autorizada de datos Suplantacin de datos o direcciones IP CONF. X X X X INT. X X X X X X DISP. X X X X X X

Tabla No.1 Clasificacin de Incidentes de Seguridad Informtica Cuando podemos enmarcar los incidentes y su impacto en la confidencialidad, integridad y disponibilidad, no solamente se facilita la comprensin y alcances de los mismos, sino que se orienta las medidas preventivas y correctivas requeridas para fortalecer la gestin de seguridad de la informacin. Complementario a lo anterior, se requiere una estrategia de tratamiento de los incidentes de seguridad que permita actuar con oportunidad y efectividad para limitar los impactos que el mismo pueda tener sobre los procesos de negocio. Dicha estrategia de tratamiento debe ser operacionalmente viable y prctica para enfrentar

las amenazas que advierte la presencia del incidente. Para ello se ha consultado la buena prctica internacional, las ideas de la administracin de riesgos y los estndares que detallen acciones precisas de actuacin para enfrentar el incidente que se desarrolla. 9

Requiere de conocimientos tcnicos y cuidado especial Se requieren herramientas especializadas para adelantar las acciones requeridas

3. Modelo simplificado para la atencin de incidentes

Luego de revisar diferentes enfoques sobre la atencin de incidentes, se encuentran por lo general algunas actividades equivalentes que son inherentes a todos aquellos revisados. Las actividades comunes en los modelos revisados son: [8, 3, 5, 1, 2] 9 Preparacin Contar con controles y defensas basadas en anlisis de riesgos previos. Procedimientos y guas especficas para la atencin de incidentes Contar con los recursos necesarios para tomar la acciones Diseo del esquema de notificacin, atencin y reporte Deteccin Revisin de registros o pistas de auditora Procedimientos para validacin de situaciones que pueden ser catalogadas como incidentes Estrategias para la recoleccin de evidencia Contencin Toma de control de la situacin Desconexin de servicios Procedimientos de notificacin Erradicacin Eliminacin de causas del incidente Aseguramiento de la infraestructura Ajustes en el monitoreo de la ventana de exposicin a las vulnerabilidades Recuperacin Recuperacin de informacin

Follow-up Seguimiento Lecciones aprendidas Documentacin y anlisis

Para cada uno de las actividades se detallan algunas de las acciones que se espera realizar en cada una de ellas. Es importante anotar que cada etapa requiere de procedimientos especficos para lograr materializar correctamente las actividades previstas.

Figura No.1 Modelo Simplificado para la Atencin de Incidentes - PTIARA Basado en la revisin anterior se establece un modelo simplificado para la atencin de incidentes que se presenta en la figura No.1. Este modelo considera todas las actividades anteriormente detalladas y adicionalmente incorpora un elemento que no es considerado en ningn otro modelo, la prevencin. Es importante anotar que algunas de las actividades de la etapa de preparacin mencionada anteriormente (y en los modelos previos) pueden considerarse de alguna manera preventiva. La novedad en la etapa de prevencin de este modelo es el uso y aplicacin de buenas prcticas sobre la tecnologa existente dentro de cada organizacin y el trabajo de concientizacin de usuarios (finales, tcnicos, etc) en temas de manejo de incidentes (e.g. reporte de actividades sospechosas), como una extensin de lo que se conoce en la literatura

como Security Awareness apoyndose en este caso en los usuarios para mejorar la deteccin de potenciales incidentes. Resumiendo, la prevencin se considera parte del modelo de atencin de incidentes dado que es posible trabajar en el buen uso de las tecnologas, de las aplicaciones y el reporte de actividades sospechosas. Mientras las personas se habiten a utilizar los recursos tecnolgicos basados en las buenas prcticas establecidas por la organizacin, el nmero de incidentes podra crecer inicialmente pero estabilizarse ms adelante (como se puede ver en la figura No. 2) mientras se incrementa al mismo tiempo la cultura de seguridad de la informacin en los procesos de negocio.

A continuacin se detallan cada una de las actividades presentadas en el modelo simplificado para la atencin de incidentes.

3.1. Prevencin Este componente es novedad en el modelo de atencin de incidentes presentado. Esta distincin exige el desarrollo de guas de uso y aplicacin de buenas prcticas sobre las tecnologas y las aplicaciones, as como los mecanismos previsto para notificacin de posibles situaciones sospechas o anormales que los usuarios puedan detectar. El resultado que se espera de esta etapa es elevar el nivel de conciencia de seguridad de la informacin, el cual se podr evaluar a travs de encuestas, ejercicios, cursos o talleres que se definan con una muestra representativa de la poblacin de la organizacin

3.2. Toma de control Una vez ocurre el incidente, es decir se ha detectado una situacin anormal (aquella que est fuera de las caractersticas definidas como normales para la organizacin) se procede a adelantar las acciones respectivas para controlar la situacin. La definicin de qu actividades puede considerarse normales o no dentro de una organizacin o unidad organizacional puede demandar un esfuerzo importante, pero debe adelantarse como parte de la etapa de prevencin. Estos resultados debern difundirse en los miembros de la organizacin a travs de los mecanismos enunciados anteriormente dentro de la mencionada etapa. Este control debe considerar y balancear sus decisiones entre la disponibilidad del servicio y la necesaria recoleccin de evidencia requerida para analizar los hechos de manera posterior. La toma de control incluye los pasos de deteccin y contencin de tal forma que se notifiquen a los interesados y se proceda a recolectar los registros requeridos y evaluar las acciones requeridas para mantener la disponibilidad del servicio afectado, bien sea utilizando un infraestructura alterna o redireccionando las conexiones a sitios confiables.

Figura No.2 Posible evolucin del nmero de incidentes en PTIARA La estabilizacin podra darse por encima o por debajo del nmero de incidentes inicial. El escenario de estabilizacin por encima correspondera al caso de organizaciones con mayor exposicin al riesgo, en las que el slo hecho de concientizar a los usuarios permite que se detecten incidentes que estaban pasando desapercibidos y precisamente, por el mayor grado de exposicin que enfrentan, no es posible reducir este nmero. El escenario de estabilizacin por debajo corresponde a organizaciones muy maduras en cultura de seguridad o en su defecto enfrentando bajos niveles de riesgo.

3.3. Investigacin y anlisis Luego de reestablecer el servicio, sistemas o hardware afectado, se procede a la comprensin de lo que ha ocurrido para tratar de responder las preguntas obligadas que surgen: qu, quin, dnde, cuando, porqu y cmo. Para ello, basado en un adecuado control de la evidencia y de la escena del incidente, es posible adelantar la aplicacin de las herramientas de cmputo forense [4] requeridas para estudiar y conceptuar sobre lo ocurrido. De manera paralela, se adelantan en un ambiente controlado, los ajustes requeridos para mitigar las vulnerabilidades identificadas, documentando los impactos de las mismas y los correctivos efectuados. Estas actividades corresponden a lo presentado en las etapas de erradicacin y recuperacin.

negocio se ven impactados y que tan efectivas han sido las medidas de proteccin all instaladas. De manera complementaria, en la parte interna del pentgono se observan las palabras alertas, notificacin, estrategias y actualizacin, que no son otra cosa que las actividades propias que se deben adelantar para mantener la dinmica del modelo planteado. Todas ellas implican una gestin interna del grupo de atencin de incidentes para coordinar esfuerzos con las reas de negocio para mejorar las guas de prevencin y as posibilitar mayores y mejores distinciones de inseguridad en los procesos mismos, vistos con los ojos del dueo del proceso y afinado con la prctica del grupo de atencin de incidentes.

3.4. Reporte y Ajuste Una vez concluidos los ajustes y se ha concluido la investigacin asociada con el incidente, se procede a documentar y generar los informes requeridos tanto para la gerencia como para el rea tcnica. Este ejercicio debe registrar el conocimiento adquirido luego del evento y plantear un objeto de monitoreo nuevo que puede impactar cualquiera de las otras fases de la atencin de incidentes. En este sentido, las lecciones aprendidas son la fuente misma de la memoria y aprendizaje del modelo de atencin de incidentes, pues all reside parte de la comprensin de la inseguridad y cmo esta fue enfrentada. Adicionalmente esta fase, exige del equipo de atencin de incidentes la generacin de estadsticas de incidentes, basadas en su clasificacin y luego analizadas a la luz de los impactos de los cambios requeridos sobre los componentes de la infraestructura, como una mtrica de qu tanto se est comprendiendo y administrando/gestionando la inseguridad y cmo estos resultados han impactado de manera positiva los resultados de la gestin de la seguridad informtica en la organizacin. Las estadsticas (indicadores) de atencin de incidentes son la carta de navegacin de cmo los procesos de

4. Arquitectura base para atencin de incidentes de seguridad informtica

Cuando se habla de arquitectura se habla de estructuras, de componentes que se coordinan para lograr una construccin balanceada y ajustada con las expectativas y consideraciones de sus diseadores. En la atencin de incidentes ocurre algo semejante. Ya en las secciones anteriores se han detallados aspectos tcticos y operacionales para afrontar la atencin de incidentes y es tiempo, de establecer los referentes estratgicos que permitan terminar de cimentar una adecuada administracin de incidentes de seguridad. La administracin de incidentes de seguridad informtica establece el conjunto de directrices y acciones que permiten a una organizacin confrontar la inseguridad de la informacin inherente a las relaciones de cada uno de los sistemas disponibles en la organizacin. Entendiendo por sistema, el conjunto de objetos (personas, hardware, software, datos, documentacin, entre otros) y sus relaciones para el logro de un fin comn. Particularmente en nuestro caso, es comprender las interacciones del sistema de gestin de seguridad y sus puntos vulnerables, con el fin de aprender de los mismos, cmo prevenirlas y cmo atenderlos cuando estos se materializan. En este contexto, la atencin de incidentes constantemente debe ser una funcin de

evaluacin de riesgos, pero no cualquier tipo riesgo, sino de aquellos que de manera inteligente detecta y que puede comprometer la esencia misma del negocio. Esos riesgos de los cuales puede rpidamente aprender, valorar y considerar, bien sea para prevenir o para controlar en el caso que ste se materialice. A nivel estratgico la atencin de incidentes juega un papel fundamental en la gestin de la seguridad de la informacin, pues basada en ella, los responsables de seguridad tienen una forma de acercarse a una mtrica de evolucin de la funcin de la seguridad y la efectividad de sus medidas. Un incidente de seguridad no debe ser considerado como una amenaza contra los responsables de la seguridad, sino como una estrategia responsable para aprender de la inseguridad y promover ajustes y mejoramientos que lleven a la organizacin en el largo plazo a incrementar sus niveles de seguridad. Si la alta gerencia reconoce en la informacin un activo fundamental para el desarrollo de su negocio y conoce que ste se encuentra constantemente expuesto a mltiples escenarios de falla, entonces podr comprender que mientras ms se comprendan los incidentes y las vulnerabilidades mejor se podr asegurar los procesos de negocio crticos para brindarle a los usuarios sistemas ms confiables y funcionales. En este contexto, se requiere apalancar una serie de estructuras o cimientos fundamentales desde la perspectiva de negocio, que encuentre en la atencin de incidentes la manera como la organizacin se protege de las diversas amenazas y la forma de responder con responsabilidad al usuario, sobre las fallas que los sistemas puedan presentar. Basado en esta reflexin una arquitectura de atencin de incidentes estar conformada por elementos bsicos como polticas, estndares y mtricas, tecnologas (representadas en herramientas) y procedimientos como la base de los aspectos operacionales requeridos, los cuales estn relacionados con lo previamente conversado en el contexto del modelo simplificado de atencin de incidentes.

5. Recomendaciones para mantener una arquitectura base para la atencin de incidentes de seguridad informtica
La atencin de incidentes como funcin base para la administracin de la inseguridad informtica, requiere ofrecer resultados tangibles y verificables que generen valor para los procesos de negocio. Por tanto es necesario que los responsables de la seguridad anen esfuerzos con los responsables de los procesos, para evidenciar los puntos vulnerables y crticos de cada uno de ellos, para avanzar en grupo focalizados en la creacin de una distincin de seguridad de la informacin ms all de un fenmeno tecnolgico. Si bien la parte operacional de la atencin de incidentes, inmersa dentro de la arquitectura propuesta, requiere conocimientos tcnicos, legales y de procedimiento, sta debe vincular de manera directa al usuario y el dueo del proceso para que en la prctica vea aspectos donde pueda visualizar posibles incidentes de seguridad de la informacin. Nadie conoce mejor los procesos que su propio dueo, de esta forma se pueden aprovechar los conocimientos de los usuarios para identificar situaciones problemticas a priori como parte de la etapa de prevencin antes descrita (primera etapa del modelo PTIARA). No se quiere que el usuario sea experto en temas de seguridad, sino intuitivo para notificar y reportar posibles anormalidades de manera oportuna para su pronta deteccin y control. Una arquitectura para la atencin de incidentes exige un repensar permanente de la funcin de seguridad, apoyar los procesos de aprendizaje y generacin de nuevas distinciones de seguridad en la organizacin, para sacar a la administracin de la seguridad de la rutina de lo conocido y vincularla con los escenarios ms recientes de inseguridad. Para ello, se requiere que tanto los responsables de la seguridad de la informacin como los usuarios se vinculen a travs de canales de comunicacin especficos y abiertos, con el fin de que ambas audiencias se reconozcan del mismo lado de la distincin y no como antagonistas. La atencin de incidentes como elemento estratgico del fortalecimiento de la funcin de

seguridad de la informacin no debe caer en la paranoia o excesivo protagonismo, para lo cual es necesario dimensionar claramente sus hallazgos y acciones que permitan una presentacin concreta de las problemticas atendidas, las respuestas a las preguntas previamente presentadas y las medidas seleccionadas para mitigar nuevas incursiones de la inseguridad en los sistemas de la organizacin.

gestin de incidentes previos. Esta debe apoyarse no slo en sus propios hallazgos o conclusiones sino en buenas prcticas (procedimientos, guas, metodologas, intercambio de informacin, etc) establecidos por organismos internacionales, pues en un mundo globalizado un impacto ocasionado por incidentes de seguridad en un pas puede llegar a repercutir en todo una malla interconectada de organizaciones. Recuerde que la atencin de incidentes no es algo que hay que hacer para cumplir con una regulacin, sino el compromiso del rea de seguridad para con los objetivos de negocio y sus clientes.

6. Conclusiones
La inseguridad de la informacin como propiedad inherente a todos los sistemas deben ser descubierta y comprendida, para lo cual la atencin de incidentes establece un paradigma de aprendizaje valioso tanto para la organizacin y sus negocios, como para la funcin de seguridad y sus responsabilidades. Tarde o temprano una organizacin ser sometida por un incidente de seguridad, por lo tanto la ventaja estar en qu tan preparada est para atenderlo o no. En esta medida, las sugerencias establecidas en el modelo simplificado de atencin de incidentes muestran un camino prctico para enfrentar los impactos del incidente. Esta propuesta operacional de accin ante los incidentes, constituye el grado en que la imagen de la organizacin ser afectada y cmo los terceros perciben la gestin de la seguridad. Si bien un incidente es una falla real que se materializa en la organizacin, ste debe ser tomado como el insumo para afinar el sistema de gestin. Ntese que esta posicin no disculpa ni justifica a los responsables de la seguridad informtica, sino que los compromete; no solamente a mantener funcionando la infraestructura de seguridad disponible, sino a mantenerse vigilantes a los nuevos vectores de ataques que puedan comprometer la confidencialidad, integridad y disponibilidad de los sistemas. Finalmente, una arquitectura para la atencin de incidentes es el resultado natural de la evolucin de la inseguridad en los sistemas informticos, lo que exige de ella un comportamiento dinmico, memoria y un aprendizaje continuo de los resultados de la

Referencias
[1] BROWNLEE, N y GUTTMAN, E. (1998) RFC 2350 Expectations for Computer Security Incident Response. http://www.rfceditor.org [2] CENTER FOR INFORMATION TECHNOLOGY. NATIONAL INSTITUTE FOR HEALTH. INCIDENT HANDLING GUIDELINES. (?) http://irm.cit.nih.gov/security/ih_guidelines.ht ml [3] COMPUTER SECURITY INCIDENT HANDLING. (2006) Disponible en: http://www.nswc.navy.mil/ISSEC/Docs/Ref/G eneralInfo/incident_handle.html. Mayo. [4] KRAUSE, W y HEISER, J. (2002) Computer Forensics. Incident response essentials. Addison Wesley [5] MANDIA, K y PROSISE, C. (2001) Incident Response. Investigating computer crime. McGraw Hill. [6] NIST (2004) Computer Security incident handling guide. Disponible en: http://csrc.nist.gov/publications/nistpubs/80061/sp800-61.pdf [7] SCHULTZ et al (1990) Responding to computer security incidents: Guidelines for incident handling. Julio. UCRL-ID-104689 [8] SCHULTZ, E y SHUMWAY, R. (2002) Incident response. A strategic guide to handling system and network security breaches. New Riders.