Manejo De Malware Destructivo

Resumen: Un sistema de gestión de la seguridad de la información tendrá como objetivo implementar metodologías, procedimientos, protocolos, auditorías entre otras actividades para poder disminuir los riesgos a los que se enfrentan las empresas, riesgos que podrían representar una gran amenaza interna, para ello se determina la probabilidad haciendo un análisis de los incidentes y su ocurrencia, siendo un factor importante darle prioridad a aquellos riesgos que son muy probables que se materialicen, además del nivel de impacto al analizar las consecuencias que podrían volverse realidad al no controlar los riesgos. Las consecuencias dependen de los recursos que sean de gran valor para una empresa. Entonces la seguridad de la información tendrá como objetivo primordial la prevención y disminución de los riesgos.

Palabras Claves: programa malicioso, nivel de impacto, ciberseguridad, incidentes, prevención.

Abstract: An information security management system will aim to implement methodologies, procedures, protocols, audits, among other activities, in order to reduce the risks that companies face, risks that could represent a major internal threat, for which it is determined the probability making an analysis of the incidents and their occurrence, being an important factor to give priority to those risks that are very likely to materialize, in addition to the level of impact when analyzing the consequences that could become reality by not controlling the risks. The consequences depend on the resources that are of great value to a company. Then information security will have as its primary objective the prevention and reduction of risks.

Desarrollo: 

Independiente de nivel de sofisticación que tenga el malware al final importará el impacto que ocasione en el ecosistema que llego a vulnerar en la organización, al integrar la seguridad de la información a la estrategia corporativa se incrementan los niveles de prevención y protección entonces el resultado será una minimización del riesgo, sin embargo, no se debe subestimar el residuo del riesgo, porque por mínima que sea su probabilidad el impacto podría ser alto y si existe ocurrencia será suficiente para poner en situaciones catastróficas a las empresas. Aunque se reduzcan los riesgos al mínimo se deben de considerar las situaciones que tienen baja probabilidad de ocurrir.

Entonces también será una actividad de la seguridad de la información crear la gestión de respuesta ante cualquier riesgo de carácter destructivo. Dando origen a varios aspectos que definirán la mejor respuesta a situaciones que pongan en peligro la integridad, disponibilidad y privacidad de la información. Como parte de la preparación de una gestión de respuesta hay aspectos que deben existir y así tener un mínimo de control ante estas situaciones:

Definición de la prioridad de la seguridad de la información: Basado en la estrategia y objetivos de la empresa al estar operando con normalidad existirá una prioridad jerárquica de la integridad, confidencialidad o disponibilidad. Por ejemplo, un banco donde ocurren muchas transacciones desde diferentes orígenes podría definir como prioridad la alta disponibilidad, seguido estará su integridad y por último su confidencialidad, sin discriminar la importancia de cada una. Al ocurrir una infección que busque extraer información se puede establecer que al estar identificada y certificada la ocurrencia la prioridad sería la confidencialidad y disponer que no exista la disponibilidad por un tiempo estipulado hasta que se logre certificar que la información estará protegida al máximo.

Identificación de recursos y dispositivos: La seguridad de la información contempla este aspecto, para esta planeación, adicional contemplar aquellos recursos de información y dispositivos que serán un pilar para una respuesta efectiva ante cualquier incidente.

Recurso Humano: Dentro de la planeación serán de alta importancia los especialistas de cada sistema, dispositivo y principalmente aquellos expertos en situaciones donde han ocurrido infecciones y que el nivel de propagación e impacto han sido elevados. Cada especialista aportará elementos a considerar que son vitales ante situaciones de este tipo. También podrán indicar qué actividades deben realizarse con el objetivo de detener la propagación e impacto. Tanto lo que puede, debe hacerse o lo que no debe hacerse. Deben contemplarse aquellos asesores que pueden involucrarse y definir un contrato para que asistan al ocurrir un incidente.

Definición de síntomas: Indicadores para incidentes de infección para casos conocidos, además de establecer mecanismos que puedan identificar comportamiento de actividades de software destructivo.

Elementos de monitoreo: Tendrán como principal objetivo informar de comportamiento atípico dentro de la red y los sistemas. También de ir registrando la disponibilidad de los recursos y así tener una métrica del avance del impacto. Las bitácoras de los sistemas deberán centralizarse y protegerse para determinar qué está ocurriendo y como está sucediendo.

Protección de recursos de respuesta: Definir cómo proteger aquellos recursos de información y dispositivos para que estén disponibles en el momento de ocurrencia del evento. Es vital porque de ello depende de las decisiones que se tomen el momento del incidente.

Normas: Definir las reglas, autoridad y autorización en escenarios donde ha sobrepasado los controles de seguridad y se está esparciendo.

En situaciones caóticas es importante mantener el orden y la organización en los planes que se están aplicando, principalmente con escenarios donde se están tratando con programas malignos destructivos y que el impacto podría ser alto y que sus consecuencias devastadoras.

La estrategia permitirá tener un control global de lo que se está realizando y así poder determinar el avance de respuesta al incidente.  La táctica permitirá definir la mejor forma de realizar las actividades y procedimientos, por ello la importancia de incluir a diferentes actores con la experiencia suficiente para determinar una ejecución eficiente de las actividades y tareas.

Al ocurrir un incidente de infección el plan de respuesta deberá considerar como prioridad la prevención de infección total de los sistemas, seguido de esto contener y aislar los sistemas infectados. Paralelo a las acciones de prevención y contención deberán realizarse aquellas actividades para eliminar la amenaza y recuperar la operación con mínima pérdida de información.

Es de gran importancia la preparación ante situaciones no importando su probabilidad de ocurrencia. En la mayoría de los casos se desconoce cuándo ocurrirá por primera vez y por eso no basta con hacer un análisis de probabilidad. Se deben incluir análisis que permitan identificar las amenazas a los que se está expuesto, aunque no exista la probabilidad de ocurrir. El análisis permitirá la creación de planes de respuesta que podrán variar según las amenazas identificadas.

Los planes de respuesta tendrán un orden de prioridad, iniciando con prevención de infección en los recursos no afectados, después se pondrán en cuarentena aquellos que están sufriendo de infección y para finalizar será la desinfección. El objetivo primordial será el recuperar la funcionalidad con la mínima pérdida de datos.

Referencias bibliográficas

Stewart, J. M., Chapple, M., & Gibson, D. (2015). Certified Information Systems Security Professional Study Guide (7ª ed.). Indianapolis, Indiana, US: SYBEX.

Mathew, M. (2014). Introducción a la programación (2ª ed.). México: Grupo Editorial Patria.

Baum, J. (1986). The Calculating Passion of Ada Byron. London:Archon Books

Aycock, J. (2006). Computer Viruses and Malware. Canada: Springer