24 junio 2011

Qué no hacer al gestionar incidentes de seguridad

En los últimos tiempos se han presentado distintos incidentes de seguridad que han puesto al mundo en alerta, a las compañías involucradas en la mira y a los datos personales y la privacidad en jaque. Gigantes de la Tecnología y el Entretenimiento se han visto afectados, datos personales robados, tus gustos, intereses y hábitos al descubierto.

El objetivo de presente artículo es analizar distintas acciones que se han llevado a cabo en alguno de los incidentes de las empresas descritas, para identificar en base a estas experiencias, ¿qué cosas no debemos hacer si tenemos que gestionar un incidente de seguridad en nuestra Organización?

1) Ocultar el incidente a los clientes

La primera medida que generalmente se encuentra asociada a un incidente de seguridad es el ocultamiento. Nada peor que esta acción si queremos demostrar que hemos sido diligentes con nuestros datos y con los datos de nuestros clientes. Debemos tener presente que los datos personales son de las personas, no son nuestros y que están a nuestro resguardo.

En algunos casos la situación podría tomar una gravedad extrema en la cual el nivel de exposición deje muy claro que no se estaban cumpliendo regulaciones o cuestiones legales, por ejemplo PCIDSS si dentro de la brecha están incluidos datos de medios de pago que se encontraban en plano.



2) Aumentar las cualidades del atacante


Otra situación que se está presentando frecuentemente es buscar de todas maneras omitir los errores que se hayan cometido por falta de diligencia, conocimiento o cualquier otro motivo. Cuando esto sucede lo primero que se busca es centrar la atención en las hipotéticas características que poseía el atacante, siempre haciéndolo mucho más sofisticado de lo que realmente ha sido. Es decir, aumentar el skill del atacante para minimizar nuestros errores. “Hemos sido víctimas de un ataque jamás visto”, “El atacante poseía conocimientos muy sofisticados”, “Fue Anonymous” etc, etc.


3) Describir medidas de seguridad básicas como "sofisticados" planes de mejora a raíz del incidente


Se presenta frecuentemente el hecho de nombrar como planes de acción asociados al incidente la implementación de medidas de seguridad que ya deberían haber implementado con anterioridad, y que son realmente básicas, por ejemplo: “Implementaremos un sistema de gestión de la seguridad basado en ISO/IEC 27001”, “Utilizaremos técnicas de encripción para los datos de carácter personal”, “Entrenaremos a todo nuestro personal para brindar respuesta a incidentes”. Respuestas de este estilo se pueden encontrar en los comunicados que publican las empresas afectadas, lo que no hace más que evidenciar las debilidades de seguridad y negligencia de quienes debían tomar otras acciones y en otros momentos. Está claro que cualquier Organización que deba cumplir leyes o regulaciones como PCIDSS, SOX, u otra similar, ya debía contar con este tipo de medidas de seguridad.


4) No aceptar las equivocaciones


Algo que parece tan simple no se da frecuentemente, lo que el cliente espera más allá de excusas, ocultamiento, mentiras e hipótesis falsas, es que la organización que tuvo el incidente, lo comunique a tiempo, en forma sincera y aceptando los errores que pudiera haber cometido. Es así, “No supimos cuidar sus datos, hemos cometido errores, les pedimos perdón y tenemos todos nuestros recursos a su disposición para cubrir el error y mantenerlo como cliente”. ¿Cuántas empresas están dispuestas a comunicar esto a sus clientes?


5) Ofrecer compensaciones que no están a la altura del incidente


A todo lo que venimos comentando habría que agregar que en varios casos se han presentado planes de compensación para los clientes que realmente parecen una burla, “Welcome Again” “Free Content for Ever”, “Membership Gold”, etc. Al momento de establecer dichos planes se debe priorizar al cliente, no se debe seguir especulando sabiendo que no hicimos lo que debíamos y sumado a esto ofrecer lo que más cómodo nos queda para “mostrar” que estamos preocupados. Debemos estar preocupados y debemos ofrecer un plan de compensación que realmente esté a la altura del impacto provocado.


6) Seguir pensando que la Gestión de Incidentes es un tema menor o que corresponde sólo a IT


Las Organizaciones que mantienen esta postura son aquellas en las cuáles los Directivos aún no han interpretado que la Seguridad de la Información es una prioridad y les compete a ellos por la función que ocupan, gestionar el riesgo y conocer en todo momento la postura de seguridad de su Organización, en definitiva de su negocio.
De este tipo de Organizaciones podríamos recibir “acciones de mejora” tales como “Hemos nombrado un nuevo CSO (Chief Security Officer) que reportará al CIO (Chief Information Officer)”. Lo que demuestra errores conceptuales profundos y que afectan los principios básicos de la seguridad y el control interno.

¿Alguien puede seguir pensando luego de la brecha de la PlayStation Network que la gestión de incidentes es un tema netamente técnico y de IT?


¿Y las tarjetas de pago?


Otra cuestión que también llama la atención es que las Compañías involucradas en forma indirecta, como por ejemplo V1S4, M4st3rC4rd, 4m3r1c4n 3xpr3ss, etc. no emitan ninguna comunicación al respecto.

¿Acaso PCIDSS no surgió debido a las distintas brechas de seguridad que han involucrado datos de tarjetas de pago?

¿Acaso cumplir PCIDSS no hubiera minimizado el impacto de la brecha en el caso de 50NY?


¿Cómo se deberían tomar los incidentes?


A día de hoy, los incidentes se deberían tomar como algo que en algún momento va a suceder, no sigue siendo válido pensar que lo que hacemos o lo que haremos es para no tener incidentes, eso es imposible. Se presentarán incidentes y lo que debemos hacer es establecer los mecanismos, procesos y medidas de seguridad para dar respuesta en forma oportuna y diligente. Esa respuesta a incidentes no la dará únicamente ITOrganización. Así como se aprende de un error o equivocación en la vida cotidiana (o al menos deberíamos), en el caso de los incidentes es fundamental aprender y mejorar.


"Un incidente no se puede presentar 2 veces, sin haber hecho algo al respecto”.


La implementación de un sistema de gestión de la seguridad basado en los riesgos a los que está expuesta la Organización, contemplando en todo momento los requerimientos legales y regulatorios, podría ser el camino a seguir para iniciar la gestión continua y diligente que como Organización debemos brindar a la información propia al igual que la de los clientes.


"La Gestión de la Seguridad no es de única vez o porque debo cumplir, es un proceso contínuo”.



Referencias (no es necesario reinventar la rueda):



--------------------------
Contribución gracias a Mariano del Río

2 comments :

hal jordan dijo...

humm,la cosa esta complicada.ese es el gran reto al cual se estan enfrentado todos las empresas dedicadas a la seguridad.en lo personal creo que esto no parara.

Mariano del Río dijo...

Muchas gracias por la buena recepción! Saludos.