jueves, 14 de marzo de 2013

Centro de Respuesta a Incidentes Informáticos… ¿Para qué?

Es sorprendente ver cómo la tecnología de la información se incorpora cada vez más a nuestras vidas, inclusive atravesando la última frontera. Algunas de las prestaciones de dispositivos, aplicaciones y sistemas de mayor desarrollo en la actualidad ingresan al interior de nuestro cuerpo con singular éxito: sondas, marcapasos, microelectrónica aplicada para la asistencia a personas con discapacidades auditivas o visuales, localización permanente de personas...
Ese mismo nivel de interacción se observa en las organizaciones, donde ha aumentado radicalmente la facilidad de acceso a las redes con múltiples dispositivos que, además, son multifuncionales. Un teléfono que puede convertirse en Access Point Wi-Fi es algo absolutamente común en nuestros días, así como conexiones USB utilizadas para múltiples dispositivos, etc. Lo único que falta, es inventar discos duros que se parezcan a adornos en los dientes, porque creo que todo lo demás ¡está inventado! (en los lentes, con formas de juguetes, etc.). Si bien parece divertido, a la hora de asegurar la información, toda esta situación genera grandes dificultades y desafíos.
En la medida que los servicios de TI y los dispositivos se hacen más baratos, cercanos, difundidos y omnipresentes, la carencia o mal funcionamiento de alguno de ellos provoca impactos más altos y masivos.
Por ejemplo, los sistemas de prepago de celulares involucran a millones de personas y son lo suficientemente complejos como para tener interrupciones o demoras de forma periódica, siendo en general compleja la recuperación de los servicios.
¿Cuánto demora una comunidad de clientes de prepago en saber que el sistema está caído y (en algunas compañías) puede hablar sin límite? Es cuestión de segundos o minutos ¿Cuánto dinero e imagen pierde la compañía?, bastante. Lo peor es que estas pérdidas van en rápido ascenso debido a la masificación de los servicios.
Así podemos enumerar múltiples servicios que hoy son indispensables, como la banca en línea, el voto electrónico, la venta de servicios y productos online, además de otros con los que convivimos a diario y que, bajo un incidente, podrían sufrir una interrupción inesperada. Este hecho impacta en forma cada vez más relevante las finanzas o reputación de las organizaciones involucradas.
Para dar este tipo de servicios, la complejidad de los equipamientos, redes y administradores de sistemas ha aumentado exponencialmente, por lo que diagnosticar la causa de una interrupción en un proceso de TI se está volviendo cada vez más complejo.
Existen miles de sistemas operativos, miles de protocolos y miles de formas de configurar las redes e intercambiar datos, además de millones de aplicaciones interactuando. Entonces, esto termina en infinidad de asuntos que atender a la hora de diseñar un nuevo proceso; y otras tantas causas de problemas a la hora de resolver un incidente.
La complejidad existente detrás de un servicio provoca en ocasiones, que frente a una alarma de incidente, distintos operadores de los diversos sistemas que lo soportan comiencen a promover cambios en aras de recuperar el servicio. Lejos de mejorar la situación, la vuelven irreversible, por lo que se ha constatado que es necesario coordinar las acciones de respuesta frente a un incidente de cualquier tipo para lograr una efectiva resolución del problema.
Por otro lado, la mayor parte de los usuarios de TI tienen un alto grado de desconocimiento del tipo de incidentes de seguridad más comunes, por lo que adoptan conductas inadecuadas en el uso de los dispositivos o servicios, colaborando frecuentemente con el éxito de los ataques.
Así las cosas, el proceso de seguridad de la información debe ser atendido y entendido por los directivos, sobre todo si la organización es usuaria intensa de las tecnologías de la información.

¿Qué es un Centro de Respuesta a Incidentes Informáticos?

Un Centro de Respuesta a Incidentes de Seguridad Computacionales (CSIRT) es un equipo de técnicos especialmente entrenados para resolver y gestionar incidentes informáticos de alto impacto. Dicho entrenamiento provee capacidades al mencionado equipo para gestionar crisis, coordinar acciones, estar preparado para prevenir y detectar los ataques cibernéticos más comunes, así como para conocer profundamente las debilidades de sistemas, infraestructuras y personas de su organización. El objetivo es dar una efectiva y rápida respuesta a los incidentes que puedan ocurrir.