Estrategias de Forensic Readiness y Gestión de Incidentes según ISO 27035

Forensic Readiness: Preparación para la Evidencia Digital

El Forensic Readiness es un enfoque preventivo en el que la evidencia digital es recolectada y asegurada de manera anticipada. Este método maximiza la capacidad del negocio para reunir evidencia confiable y minimizar el coste de un incidente.

Diferencias con la Informática Forense

A diferencia de la informática forense, que actúa después del suceso (carácter reactivo) cuando el dispositivo ya ha sido incautado —enfrentando problemas como la volatilidad, la falta de preparación y el elevado coste de investigación—, el Forensic Readiness busca la proactividad.

Objetivos Principales

• Anticiparse a los sucesos y garantizar la admisión de la evidencia como prueba legal.
• Almacenar evidencias sin interferir en la operatividad del negocio.
• Realizar investigaciones con un coste proporcional.
• Minimizar las interrupciones del negocio.
• Asegurar que la evidencia tenga un impacto positivo en el resultado de cualquier acción legal.

Beneficios Organizacionales

• Reducción de costes y preparación de la organización ante la recolección de evidencias.
• Disminución del coste de posibles sanciones.
• Evitar el borrado de rastros.
• Mostrar diligencia, buen gobierno corporativo y compliance regulatorio.
• Detectar temprano los incidentes mediante una aproximación integral y logística, con la participación de todos los actores y el criterio crítico del departamento jurídico.

Pasos para la Implementación

1. Definir los ámbitos que requieren evidencias.
2. Identificar las fuentes de prueba y clasificarlas.
3. Establecer los requerimientos legales a través del departamento jurídico.
4. Aplicación de técnicas forenses.
5. Monitoreo para detectar incidentes (establecer protocolo de actuación).
6. Documentación muy rigurosa para garantizar la validez legal.

ISO 27035/2011: Gestión de Incidentes en el SGSI

La norma ISO 27035/2011 se enfoca en actuar cuando los controles han fallado y ocurre un incidente. La gestión de incidentes implica la existencia de controles de detección y correctivos para reducir impactos desfavorables y aprender lecciones para la mejora continua.

Enfoque Estructurado

Este estándar proporciona un marco para:

• Identificar, comunicar y evaluar incidentes.
• Gestionar los incidentes de forma eficiente.
• Identificar, examinar y gestionar vulnerabilidades.
• Aumentar la mejora en la continuidad de la seguridad y la gestión de incidentes.

Las 5 Etapas de la Gestión de Incidentes

1. Planificación y Preparación

Consiste en definir la política de gestión de incidentes, el procedimiento y el esquema del proceso. En esta fase se establecen los equipos de respuesta:

• ISIRT (Information Security Incident Response Team): Equipo principal de respuesta.
• CERT (Computer Emergency Response Team): Atiende incidentes de urgencia.
• CSIRT (Computer Security Incident Response Team): Revisa y responde a los informes de incidentes.

2. Detección y Reporte

Incluye el monitoreo de eventos que puedan derivar en incidentes, la recolección de información, la gestión de vulnerabilidades y el diligenciamiento del formato de detección de incidentes.

3. Evaluación y Decisión

El gestor de incidentes, junto con el CERT, debe validar si el incidente reportado es efectivamente de seguridad, basándose en una categorización previa de incidentes de seguridad.

4. Respuesta

Según la valoración del incidente, el ISIRT define un conjunto de actividades de forma casi inmediata a la detección:

• Identificación de acciones de respuesta.
• Definición de controles.
• Notificación a los interesados sobre los resultados de la evaluación.
• Activación de la sala de crisis según el grado de severidad.