Procedimientos de Comunicación en la Preparación para el Equipo de Respuesta ante Incidentes

  • Posted on: 12 February 2021
  • By: ReYDeS

Durante un incidente se requieren tener diversos equipos de profesionales trabajando de manera concurrente; como el equipo de investigación central, los equipos auxiliares, los equipos legales, y los administradores de sistemas, quienes no únicamente responden hacia las tareas del equipo central, sino son quienes también realizan las acciones pertinentes por si mismos. Una buena comunicación es fundamental, consecuentemente resulta esencial definir como esto funciona de manera óptima antes de el inicio de un incidente.

Comunicaciones Internas

En un gran número de investigaciones los atacantes se orientaron directamente hacia los servidores de correo electrónico. En varios servidores se pudo encontrar evidencia de los atacantes obtuvieron acceso a los buzones de personal de TI. Luego los atacantes retornaron y buscaron en el servidor de correo por cadenas relacionadas con la investigación. Desafortunadamente la amenaza de los atacantes observen no es teórica. Consecuentemente se debe tener en consideración los problemas de seguridad en las comunicaciones cuando se prepare para una respuesta de incidentes.

  • Encriptar los mensajes de correo electrónico. Antes de ocurra un incidente, obtener certificados para los miembros de los equipos centrales y auxiliares. Verificar con el departamento de TI de la organización, pues podrían entregar certificados hacia los empleados sin costo adicional. Se pueden utilizar alternativas como PGP o GPG.
  • Etiquetar adecuadamente todos los documentos y comunicaciones. Frases como “Privilegiado & Confidencial”, “Producto del Trabajo del Abogado”, y “Preparado bajo la Dirección de un Abogado”, pueden ser prudentes e incluso requeridas. Se debe buscar asesoría legal para establecer etiquetas, pues si las hay, son apropiadas.
  • Vigilar la participación en las conferencias. Asegurarse el sistema para las conferencias permita vigilar quienes están participando o viendo. Estar atento a la lista de participantes, para proceder a desconectar a quienes no se puede verificar.
  • Utilizar números de caso o nombres de proyectos para referirse a una investigación. Utilizar los nombres de proyecto ayuda a mantener los detalles fuera de las conversaciones, invitaciones a las reuniones, o facturas para terceros. Esto es menos susceptible a la posible interceptación de atacantes, pues se minimiza el número de personal quien tiene detalles sobre la respuesta de incidentes. Exteriormente tratarlo como se haría con cualquier otro proyecto. Cuantas menos personas conozcan sobre una posible falla en seguridad es mejor.

Comunicaciones con Partes Externas

Si una organización tiene suerte, el impacto de una intrusión no requerirá notificación o consulta con entidades externas. Con la creciente cantidad de legislaciones y gobernanza, sin mencionar el lenguaje para la divulgación de incidentes en los contratos, es altamente probable la organización necesite determinar como comunicarse con terceros. La planificación de una potencial divulgación es un proceso el cual debe involucrar a un asesor legal, oficiales en cumplimiento, y otro personal.

No es tan sencillo proporcionar una guía sobre este tema. Se deben utilizar los canales apropiados, como el de relaciones públicas, o la oficina legal. Una vez suscitada la divulgación, se puede perder control de la investigación. Otras entidades pueden utilizar los contratos para acciones de demandas, o etapas de investigación las cuales protegen sus intereses sobre los intereses de la organización. Algunas cuestiones a considerar cuando se determine el contenido y tiempo de cualquier notificación son:

  • ¿Cuando el incidente alcanza el umbral para su reporte?. ¿Inmediatamente después de su detección?. ¿Quizás después del incidente haya sido confirmado?
  • ¿Cómo se pasa una notificación hacia un tercero?. ¿Cual lenguaje del contrato existe para proteger la confidencialidad?
  • Si el incidente amerita una divulgación pública. ¿Quién es el responsable por el contenido y tiempo de la comunicación. ¿Cómo ocurrirá la divulgación?
  • ¿Cuales penalidades o fines se imponen contra la organización luego de la divulgación?. Considerar el tiempo de la notificación impacta este factor.
  • ¿Cuales limitaciones se esperan para la investigación después de la divulgación?. ¿Se requiere un tercero participe en la investigación?
  • ¿Como afecta la divulgación en la remediación?

Fuentes:

https://oit.ncsu.edu/it-security/incident-communications-procedures/
https://lifars.com/2020/09/communication-during-incident-response/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: https://www.reydes.com/d/?q=node/1