Se suele considerar que la seguridad y la protección organizacional es solo aplicable a grandes empresas que mueven mucho dinero y cuentan con varios empleados y recursos, pero muchos de los casos de debilidades en empresas actuales serían diferentes si desde pequeñas hubieran considerado implementar seguridad
Continue readingLos ingredientes para la sesión de lecciones aprendidas
En la primera parte de esta serie exploramos la importancia de las lecciones aprendidas. En esta entrada nos enfocaremos en lo que las organizaciones requieren para implementar efectivamente este proceso y continuaremos con el ejemplo del robo en mi hogar de la infancia para ilustrar el diseño del documento base de lecciones aprendidas.
La importancia de una política
Con el fin de que este proceso sea incorporado a nivel organizacional, debemos crear una política o simplemente agregar un apartado específico de lecciones aprendidas en la política o procedimiento de respuesta a incidentes.
Andrew Baze en el documento Improving Incident Response Through Simplified Lessons Learned Data Capture da una guía de como implementar esta política, la clave es definir que el equipo de respuesta a incidentes deberá capturar las lecciones aprendidas para cada incidente de severidad alta y crítica.
Andrew hace énfasis en utilizar la palabra “deberá” en lugar de “debería” y en las formas de recolectar las lecciones las cuales podrían ser vía correo electrónico, o una reunión formal.
Los ingredientes para capturar las lecciones aprendidas
Antes de convocar a la sesión de lecciones aprendidas, debemos contar con algunos elementos, con el fin de garantizar un proceso efectivo:
- Reporte del incidente: El documento que detalla lo qué ocurrió, incluyendo la cronología de los eventos, los sistemas, cuentas y procesos afectados, y las acciones tomadas en respuesta al incidente. Este documento también nos ayudará a definir quienes deberían participar en la sesión.
- Notas y comunicaciones: Todas las notas tomadas durante y después del incidente, incluyendo comunicaciones internas y externas.
- Personas que deben estar en la sesión: Debemos crear un listado con las personas que deben asistir a la sesión, podríamos incluir personal técnico (seguridad, mesa de ayuda, personal de TI) y personal no técnico (Legal, líderes de área o negocio, comunicaciones, recursos humanos, e incluso proveedores si es requerido.
- Documento base: El documento base actúa como la agenda y el marco para la sesión de lecciones aprendidas. Debe ser preparado con antelación y distribuido entre los participantes para su revisión. El documento debe incluir por lo menos los siguientes elementos:
- Objetivos de la sesión: Ayuda a clarificar qué se espera lograr con la sesión de lecciones aprendidas.
- Agenda detallada: Desglose de los temas a discutir, asignando tiempos específicos para cada punto para asegurar que todos los temas importantes sean cubiertos.
- Preguntas o temas para reflexionar: Preguntas o temas que los participantes deben considerar antes de la sesión, con el fin de fomentar una discusión más profunda y enfocada. En la página 38 del documento de NIST SP 800-61 podemos encontrar algunas preguntas para usar como guía.
Rebekah Brown y Scott J.Roberts en la segunda edición de su libro Intelligence-Driven Incident Response mencionan que en la fase de las lecciones aprendidas, se debe evaluar el desempeño del equipo durante cada una de las fases de la respuesta a incidentes, respondiendo las siguientes preguntas base:
- ¿Qué pasó?
- ¿Qué hicimos bien?
- ¿Qué podríamos haber hecho mejor?
- ¿Que haríamos diferente ante un futuro incidente?
En este libro también encontraremos una serie de preguntas por cada una de las fases del ciclo de respuesta a incidentes y a continuación vamos a usar ese enfoque para crear el documento base y analizar el incidente de mi niñez. Aún no vamos a responder las preguntas, simplemente las vamos a plantear en la plantilla.
Plantilla base para la sesión de lecciones aprendidas
Objetivo de la sesión:
Detalles del Incidente
Cronología del incidente:
Impacto del incidente:
Participantes:
Nombre | Rol |
Puntos de discusión
Preparación
- ¿Cómo podríamos haber evitado el incidente por completo?
- ¿Qué prácticas o herramientas podrían haber mejorado todo el proceso?
Identificación
- ¿Qué herramientas podrían haber facilitado la identificación de la amenaza?
- ¿Que investigación sobre la amenaza hubiesen ayudado?
Contención
- ¿Qué medidas de contención fueron efectivas?
- ¿Cuáles no?
- ¿Habrían sido útiles otras medidas de contención si hubieran sido más fáciles de implementar?
Erradicación
- ¿Qué mecanismos de erradicación salieron bien?
- ¿Qué se hubiese podido hacer mejor?
Recuperación
- ¿Qué demoró la recuperación? (Sugerencia: concéntrese en la comunicación, ya que es una de las partes más difíciles de la recuperación).
Plan de Implementación
Actividad | Responsable | Fecha de validación |
Esta plantilla está diseñada para ser adaptable en diferentes tipos de incidentes y organizaciones. En el siguiente enlace podrán descargar la plantilla que usamos para incidentes de seguridad.
En la próxima entrada utilizaremos el incidente y la plantilla para simular una sesión de lecciones aprendidas con base en el ejemplo del robo.
Saludos
¿Y las lecciones aprendidas?
Cuando era niño, mis padres construyeron una casa muy humilde, en obra gris como se le dice; en un barrio al sur de Bogotá; era víspera de navidad y estábamos muy felices de cumplir nuestro sueño de tener casa propia. Sin embargo, unos días después, entraron unas personas mientras dormíamos y nos robaron absolutamente todo, ya que construimos una casa habitable, pero jamás pensamos en la seguridad; no pensamos en los riesgos, ni en las amenazas, ni en nuestras vulnerabilidades y por lo tanto no implementamos los controles adecuados.
En la mañana siguiente al incidente devastador, algunos vecinos se acercaron a decirnos que el vecindario era peligroso, que había que colocar ciertos controles y que sabían como operaban los ladrones, ya que tenían rato haciendo de las suyas en el sector. Bonita la hora de decirnos!, pensé.
Traigo este evento de mi niñez para usarlo como ejemplo y explicar el tema de hoy, ya que hace unos días, fuimos invitados a un panel de seguridad de la información en una universidad de Colombia y una de las preguntas que más disfruté fue:
¿Qué lecciones se han aprendido de los principales incidentes de seguridad de los últimos años? ¿Cómo pueden las organizaciones mejorar su capacidad de respuesta ante incidentes?
A continuación quiero dar mi punto de vista ya que quedé bastante sorprendido y a la vez bastante en desacuerdo con los panelistas.
Mi respuesta corta, es “las empresas no están aprendiendo un carajo, ¿ lecciones aprendidas? eso no existe o no se hace con seriedad en las organizaciones“.
¿Pero qué son las lecciones aprendidas?
Las “lecciones aprendidas” según el National Institute of Standards and Technology (NIST) de Estados Unidos, son parte integral de la gestión de incidentes de seguridad informática y la mejora continua de las prácticas de seguridad; las lecciones aprendidas se refieren al proceso de reflexionar sobre incidentes de seguridad recientes para identificar tanto los aciertos como los errores, con el objetivo de mejorar la respuesta futura y prevenir incidentes similares. NIST promueve la idea de que este proceso debe ser un ejercicio continuo y sistemático que contribuya al fortalecimiento de las políticas de seguridad, los procedimientos y las operaciones del negocio.
En ese incidente que marcó parte de mi niñez hicimos unas lecciones aprendidas con mi familia (obviamente a mis 7 años no las llamé así) e implementamos los controles para que bajo ninguna circunstancia nos volviera a pasar algo similar y nos encargamos de comunicar a nuevos vecinos las amenazas y riesgos del vecindario.
La Dura Realidad en las Organizaciones
Durante mis años como consultor he visto como las organizaciones que experimentan brechas de seguridad omiten el proceso de lecciones aprendidas, lo ven como una pérdida de tiempo, o simplemente nunca hay tiempo/interés para su desarrollo.
Por otro lado, las empresas que no han sido afectadas por incidentes de seguridad (o posiblemente no saben que fueron victimas) tienden a subestimar de que en cualquier momento, podrían ser objetivo de un incidente; y aquí es donde toma mucha relevancia analizar que incidentes están ocurriendo en empresas similares, del mismo sector o empresas que utilicen tecnologías similares.
A continuación algunas métricas que hemos tomado de un muestreo de los 25 incidentes más críticos en los que hemos participado durante los últimos 10 años sobre el proceso de respuesta a incidentes.
Este análisis muestra, que tan solo en un 4.8% de los incidentes se desarrolló un documento y sesiones con un equipo multidisciplinar, para analizar lo que salió bien, lo que salió mal y lo que había por mejorar; el cuál sería el escenario ideal.
En el 9.5% de los incidentes se desarrolló simplemente una reunión donde se creó el documento, generalmente solo con los integrantes del equipo de seguridad. En el 19% de los casos se creó un simple registro (por si pregunta el auditor 🥸) y en el 66.7% de los incidentes no hubo ni sesión, ni documento, es decir no hay lecciones aprendidas.
¿Y cuál es el resultado? Pues que seguimos teniendo incidentes de seguridad aniquiladores, seguimos cometiendo los mismos errores una y otra y otra vez. Es decir que nos pasan cosas o vemos que a nuestros vecinos les pasan cosas y no hacemos nada pensando que no nos va a tocar, o no nos va a volver a pasar.
¿Eso quiere decir, que si realizamos un proceso serio de lecciones aprendidas no vamos a tener incidentes? No es tan así, pero con toda seguridad se va a reducir la probabilidad y el impacto; y en caso de que suceda sabremos como actuar para recuperarnos más rápido y de forma efectiva.
La Importancia de Implementar un Proceso de Lecciones Aprendidas
Desarrollar un proceso de lecciones aprendidas en una organización, ofrece múltiples beneficios que pueden mejorar significativamente la capacidad de recuperación (resiliencia). A continuación algunos de los aspectos más destacados:
- Mejora de los procesos de respuesta a Incidentes
Un proceso estructurado de lecciones aprendidas ayuda a identificar tanto las fortalezas como las debilidades en la respuesta a incidentes. Esto permite a las organizaciones ajustar sus estrategias, tácticas y la toma de decisiones. - Prevención de incidentes futuros
Al analizar los incidentes y entender sus causas, las organizaciones pueden implementar medidas preventivas más eficaces. Esto no solo reduce la frecuencia de los incidentes, sino que también minimiza su potencial impacto. - Cultura de aprendizaje continuo
Fomentar un proceso de lecciones aprendidas promueve una cultura de aprendizaje y mejora continua. Esto implica que los integrantes del grupo de respuesta y gestión de incidentes están más comprometidos y conscientes de la importancia de la seguridad, lo cual puede llevar a una mayor proactividad en la identificación y mitigación de riesgos. - Refuerzo de la confianza
Cuando los clientes, socios, proveedores, auditores y entes reguladores ven que una organización toma en serio la seguridad y aprende activamente de los incidentes, se fortalece la confianza en la organización. Una buena reputación en cuanto a la gestión de la seguridad puede ser un diferenciador clave en mercados competitivos. Hemos trabajado en organizaciones que comparten las lecciones aprendidas con las partes interesadas para que la cadena de valor se fortalezca. - Optimización de recursos
De las fallas es de donde más se aprende; las organizaciones pueden optimizar el uso de sus recursos al analizar que es lo que falló o podría fallar. Esto incluye la asignación de presupuesto para seguridad, donde los fondos se pueden dirigir de manera más eficiente, tomando decisiones financieras con base en los riesgos más relevantes. - Reducción de costos asociados a incidentes
Los incidentes de seguridad son costosos, no solo en términos de las acciones técnicas y operativas sino también por el daño a la reputación y las posibles sanciones legales o regulatorias. Si no hacemos lecciones aprendidas, pues tendremos que entrar en costos enormes ante un incidente. - Innovación en seguridad
Las lecciones aprendidas pueden impulsar la innovación. Al revisar y analizar constantemente los incidentes, las organizaciones pueden descubrir nuevas formas de abordar problemas de seguridad, desarrollando soluciones innovadoras. Son increíbles las ideas que se generan durante los ejercicios post-mortem en los que acompañamos a nuestros clientes. - Mejora de la comunicación
El proceso de revisar y discutir incidentes y lecciones aprendidas mejora la comunicación entre diferentes áreas del negocio. Esto ayuda a romper silos y fomenta un enfoque más colaborativo para la gestión de riesgos y seguridad.
Así que si nuestra organización sufre un incidente de seguridad, pues saquemos un tiempo para hacer la tarea y evitar incidentes similares en el futuro.
Si por fortuna, no hemos sufrido un incidente de seguridad, pero una empresa similar, o una empresa del sector o una empresas con tecnologías similares a las que usamos, han sido victimas; pues hagamos la bendita tarea, analicemos que pasó para aprender y mejorar.
¿Cómo pueden las organizaciones implementar efectivamente un proceso de lecciones aprendidas?
Bueno, eso lo veremos en nuestra próxima entrada. En donde usaremos el incidente del robo a nuestra casa como ejemplo para construir unas lecciones aprendidas.
Saludos 🤙