El ciclo de gestión de un ciberincidente, entendiendo como tal un incidente de seguridad, consta de varias fases. Dentro de las fases más tempranas, el Centro de Operaciones de Seguridad (SOC) debe clasificarlos claramente con el fin de aplicar un adecuado tratamiento. Esta tarea de clasificación, también conocida como taxonomía, está ampliamente desarrollada en las normas que son de aplicación en nuestro país dentro del ámbito de la seguridad de la información.
Es el caso del “Esquema Nacional de Seguridad” (ENS), norma de referencia para las entidades públicas. Allí se señala la obligación de establecer una Política de Seguridad de la Información que defina una serie de requisitos de seguridad, siendo necesario contemplar los que permitan gestionar los incidentes de seguridad. Entre éstos, la norma establece que deberán incluirse unos adecuados criterios de clasificación.
Teniendo en cuenta que no todos los incidentes poseen las mismas particularidades ni tienen el mismo impacto, cada organización podrá definir su propia taxonomía de los incidentes a gestionar. Esta clasificación facilitará el análisis posterior de los ciberincidentes y, también, la generación de indicadores que permitirán identificar su tipología y, como consecuencia, adoptar medidas para su prevención.
En cuanto al impacto, éste se podrá medir teniendo en cuenta las consecuencias que puede desencadenar el ciberincidente en la operación de la organización, en sus activos o, incluso, en los propios individuos.
Completada la clasificación del ciberincidente, se deberá realizar un seguimiento exhaustivo del mismo, documentando todas las acciones incluidas en su gestión y el desarrollo que ha llevado a lo largo de su ciclo de vida. Existen numerosas herramientas y sistemas de gestión diseñados para este fin.
El SOC de Global Technology ha diseñado un modelo de clasificación de los ciberincidentes tomando como referencia las normas citadas anteriormente que, apoyado en diferentes herramientas de gestión, le permite documentar todo el tratamiento seguido desde su detección.
Fases de la gestión de incidentes de seguridad.
Es el caso del “Esquema Nacional de Seguridad” (ENS), norma de referencia para las entidades públicas. Allí se señala la obligación de establecer una Política de Seguridad de la Información que defina una serie de requisitos de seguridad, siendo necesario contemplar los que permitan gestionar los incidentes de seguridad. Entre éstos, la norma establece que deberán incluirse unos adecuados criterios de clasificación.
Teniendo en cuenta que no todos los incidentes poseen las mismas particularidades ni tienen el mismo impacto, cada organización podrá definir su propia taxonomía de los incidentes a gestionar. Esta clasificación facilitará el análisis posterior de los ciberincidentes y, también, la generación de indicadores que permitirán identificar su tipología y, como consecuencia, adoptar medidas para su prevención.
¿Cómo elaborar una taxonomía?
Elaborar una taxonomía no es una tarea sencilla. En todo caso, la definición de este proceso puede verse favorecido por la adopción de modelos de taxonomía diseñados por organismos de referencia. Es el caso de la “Guía de Seguridad de las TIC CCN-STIC 817” del CCN-CERT en donde se establecen los factores a considerar a la hora de establecer criterios de clasificación:- Tipo de amenaza: código dañino, intrusiones, fraude, etc.
- Origen de la amenaza: Interna o externa.
- La categoría de seguridad de los sistemas afectados.
- El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
- El número y tipología de los sistemas afectados.
- El impacto que el incidente puede tener en la organización, desde los puntos de vista de la protección de la información, la prestación de los servicios, la conformidad legal y/o la imagen pública.
- Los requerimientos legales y regulatorios.
Tipos de incidentes y clasificación.
La siguiente tabla contiene una clasificación de los ciberincidentes tomando como referencia la incluida en la guía CCN-STIC 817.
Fuente: https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html
Para completar una adecuada clasificación de los ciberincidentes, además de asignarlos a un grupo o tipo, será necesario determinar tanto el grado de peligrosidad como el impacto que puede tener en la organización. El establecimiento de ciertos criterios permitirá asignar el grado de peligrosidad en la primera fase de detección.
En cuanto al impacto, éste se podrá medir teniendo en cuenta las consecuencias que puede desencadenar el ciberincidente en la operación de la organización, en sus activos o, incluso, en los propios individuos.
Completada la clasificación del ciberincidente, se deberá realizar un seguimiento exhaustivo del mismo, documentando todas las acciones incluidas en su gestión y el desarrollo que ha llevado a lo largo de su ciclo de vida. Existen numerosas herramientas y sistemas de gestión diseñados para este fin.
El SOC de Global Technology ha diseñado un modelo de clasificación de los ciberincidentes tomando como referencia las normas citadas anteriormente que, apoyado en diferentes herramientas de gestión, le permite documentar todo el tratamiento seguido desde su detección. 
Responsable de SOC en Global Technology