En el último año más de 200 billones de eventos cibernéticos, fueron atendidos por el equipo de Respuesta a Incidentes Cibernéticos de SISAP.
Redacción Perspectiva
El equipo de Respuesta a Incidentes Cibernéticos de SISAP, (CERT por sus siglas en inglés) dio a conocer los impactantes números de ciberseguridad que día a día se detectan y contienen por parte de esta organización dedicada a combatir las ciberamenazas.
Los 3 pilares de la seguridad de la información que se buscan resguardar son: la confidencialidad, integridad y disponibilidad.
El CERT de SISAP, se compone de tres departamentos que se encargan de una estrategia completa en ciberseguridad: Next Generations Security Operations Center, Cyber Threat Intelligence Services y el Digital Forensics & Incident Response, cada uno de ellos juega un papel importante en el proceso de atención a los incidentes cibernéticos, desde la detección, análisis y reacción ante los ataques que ocurren.
Con varias afiliaciones, autorizaciones y acreditaciones de organizaciones internacionales como la Universidad de Carnegie Mellon y Sistemas de Gestión de Seguridad de la Información de ISO 27001, el CERT ubicado en Guatemala es el encargado de ofrecer servicios en toda la región, gracias a una iniciativa de mejora continua en la búsqueda de minimizar el impacto de futuros incidentes.
De acuerdo con Mauricio Nanne, CEO de SISAP, las organizaciones que cuentan con el respaldo de una organización dedicada a la ciberseguridad como SISAP, pueden tener la tranquilidad de que todo un equipo de profesionales está resguardando sus activos cibernéticos, más valiosos 24/7, permitiéndo con esto que la organización se enfoque en el desarrollo óptimo de sus actividades principales.
¿Cómo se organiza y funciona el CERT de SISAP?
Un equipo de Respuestas a Incidentes Ciberneticos, debe tener la capacidad de detectar las amenazas desde antes que las mismas hayan logrado impactar significativamente a la organización. Así mismo, deben contar con un equipo dedicado a combatir los ataques en tiempo real, y por último pero no menos importante deben contar con un equipo que luego de solventado el problema pueda investigar detenidamente cómo ocurrió el ataque cibernético y brindar directrices para que se solventen las brechas de ciberseguridad.
Nivel 1: Detección de la ciberamenaza
El equipo responsable de la detección de ciberamenazas dentro del CERT se llama NxSOC, y está enfocado en la detección y respuesta sobre los eventos de seguridad de la información con métodos modernos y escalables, priorizando la clasificación adecuada y una respuesta eficaz ante incidentes.
El NxSOC identificó y atendió en el último año más de 200 billones de eventos cibernéticos, muchos de ellos fueron clasificados de manera automática a través de procesos automáticos. El equipo de especialistas del NxSOC de SISAP se apoya a través de la automatización, y de tecnologías como el aprendizaje de máquina (Machine Learning) e inteligencia artificial, para defender con metodologías “state of the art” comprobadas por la industria. Los 3 pilares de la seguridad de la información que se buscan resguardar son: la confidencialidad, integridad y disponibilidad.
“El propósito de este grupo de Especialistas es proteger a las organizaciones y a las personas mientras se desenvuelven constantemente en la nueva sociedad digital para comunicarse, hacer negocios, y sostener la vida diaria. Esto se logra a través de la identificación de eventos de seguridad, contextualizando aquellos que pueden ser el resultado de una explotación, una vulnerabilidad o debilidad en el sistema de seguridad.” Mencionó Dereck Olson, Director del CERT de SISAP.
Nivel 2: Análisis y resolución del ciberdelito
La arquitectura de operaciones de seguridad en el CERT de SISAP integra los procesos y funciones de Inteligencia de Ciberamenazas que el equipo de expertos utiliza para recolectar y analizar las tendencias de ataques, actores y las amenazas globales que permiten calcular el riesgo al que se exponen las organizaciones.
“Conocer y comprender las amenazas cibernéticas que están ocurriendo alrededor del mundo, son de vital importancia ya que nos permiten anticiparnos e identificar de mejor manera, cualquier incidente o brecha de seguridad que se presenta a nuestros clientes” indicó Daniel Álvarez, gerente del CERT de SISAP.
Este equipo está en constante investigación del entorno digital de amenazas, al estudiar comportamientos y generando estudios que luego sirven para proteger a las organizaciones de la comunidad.
El departamento tiene como propósito ayudar a las entidades a entender su contexto y amenazas específicas, actuando como un sistema de alerta temprana y atención proactiva. Por medio de tecnologías cutting-edge la información de las investigaciones se integra en las funciones de monitorización de los eventos en búsqueda de pistas de amenazas avanzadas que supondrían un riesgo para las organizaciones.
Nivel 3: Intervención y contención del incidente
El departamento de Forense Digital y Respuesta a Incidentes forma parte del modelo por capas en la arquitectura del CERT de SISAP, aparece cuando se presenta un incidente crítico que ha superado los dos niveles previos, es decir, este Equipo de profesionales es el principal actor cuando un incidente de seguridad de alto impacto se materializa.
Estos especialistas multidisciplinarios en la seguridad son necesarios para identificar, contener, erradicar y recuperar los activos digitales de una organización afectada, desde un centro de comando de incidentes.
La Forense Digital y la Respuesta a Incidentes son ramas directamente conectadas. En incidentes de seguridad se aplican las prácticas de marcos de referencia de clase mundial y en el proceso se integran también las técnicas de Forense Digital para el manejo seguro de la información de los clientes que, luego puede convertirse en evidencia mientras se garantiza la confianza y se apoya a las organizaciones en procesos legales.
Utilizan entre otros, el marco de referencia NIST para la atención a Incidentes (Preparación, Detección/Análisis, Contener, Erradicar, Recuperar, Lecciones Aprendidas). No se debe perder de vista el objetivo único de una respuesta a un incidente: devolver el Servicio o Equipo afectado a producción en el menor tiempo posible.