volvervolver
Inteligencia artificial en Ciberseguridad

POR:
CSIRT Team

COMPARTIR

Referencias
GENERAL 9 Abr 24  •  87' LECTURA

SP 800-61r3 - Madurando respuesta ante incidentes

La respuesta a incidentes es una parte crítica de la gestión de riesgos de ciberseguridad y, en una organización madura en materia de ciberseguridad, esta debe integrarse en todas las operaciones.

NIST ha publicado un primer borrador público de su SP 800-61r3, este modelo en plena maduración ofrece recomendaciones y consideraciones para la gestión de incidentes e incluye un “perfil Comunitario del NIST Cybersecurity Framework (CSF) 2.0”.

Esta publicación tiene el objetivo de asistir a las organizaciones en la incorporación de mejores procesos de respuesta a lo largo de sus actividades de gestión de riesgos de ciberseguridad.

Prepararse, reducir el número y el impacto de los incidentes que ocurren, y mejorar la eficiencia y efectividad de las actividades de detección y recuperación.

Esta publicación, una vez finalizada, reemplazará a SP 800-61r2 “Guía de Manejo de Incidentes de Seguridad Informática”.

Ciclo de vida

La versión anterior (SP800-61r2) nos ha guiado por mucho tiempo, aunque en el momento de su desarrollo (2012) los incidentes eran relativamente raros y el alcance estaba mejor definido, la recuperación de incidentes usualmente se completaba en un día o dos.

Bajo esas ideas, era realista tratar la respuesta a incidentes como un conjunto separado de actividades realizadas a su vez por un equipo separado de personas. Todas las actividades de respuesta a incidentes podían volcarse en un ciclo de vida circular. Las actividades posteriores al incidente identificarían todas “las mejoras” y alimentaría la etapa de preparación, iniciando así el ciclo nuevamente.

Las actividades de respuesta a incidentes eran típicamente intermitentes en lugar de continuas.

Ciclo de vida de un incidente (SP800-61r2)


Este modelo ya no refleja el estado actual. Hoy, los incidentes ocurren con mayor frecuencia, causan más daño, y recuperarse de ellos a menudo toma semanas o meses debido a su amplitud, complejidad y naturaleza dinámica. La respuesta a incidentes ahora se considera una parte crítica de la gestión de riesgos de ciberseguridad, no puede ser ajena a las operaciones del negocio.

Hay casos en los que el orden debe cambiar, las lecciones aprendidas generalmente se deben compartir tan pronto como se identifican, sin retraso o espera a que termine la recuperación. No está de más decir que la mejora continua es necesaria para todas las facetas de la gestión de riesgos de ciberseguridad con el fin de mantenerse al día con las amenazas modernas.

En un paso hacia esta integración, este borrador nos propone etapas plenamente alineadas a las funciones del CSF 2.0, las cuales organizan las etapas en su nivel más alto como:

 • Gobernar (GV): La estrategia de gestión de riesgos de ciberseguridad de la organización, las expectativas y la política se establecen, comunican y monitorean.
 • Identificar (ID): Los riesgos de ciberseguridad actuales de la organización se comprenden.
 • Proteger (PR): Se utilizan salvaguardias para gestionar los riesgos de ciberseguridad de la organización.
 • Detectar (DE): Se encuentran y analizan posibles ataques y compromisos de ciberseguridad.
 • Responder (RS): Se toman acciones con respecto a un incidente de ciberseguridad detectado.
 • Recuperar (RC): Los activos y operaciones afectados por un incidente de ciberseguridad se restauran.

En estas seis funciones hay roles vitales en la respuesta a incidentes. Gobernar, Identificar y Proteger ayudan a las organizaciones a prevenir los incidentes, y prepararsepara manejar los incidentes que sí ocurren, reducir el impacto de esos incidentes y mejorar las prácticas de respuesta a incidentes y de gestión de riesgos de ciberseguridad basadas en las lecciones aprendidas. Detectar, Responder y Recuperar ayudan a las organizaciones a descubrir, gestionar, priorizar, contener, erradicary recuperarse de incidentes de ciberseguridad, así como realizar informes de incidentes, notificaciones y otras comunicaciones relacionadas con incidentes.

Modelo propuesto para el ciclo de vida de IR (Borrador SP 800-61r3)


La mitad superior refleja que las actividades de preparación de Gobernar, Identificar y Proteger no son parte del ciclo de vida de respuesta a incidentes. Más bien, son actividades de gestión de riesgos de ciberseguridad mucho más amplias que también apoyan la respuesta a incidentes.

El nuevo ciclo de vida de respuesta, para cada incidente, se observa en la mitad inferior del modelo: Detectar, Responder y Recuperar. Además, la mejora continua se indica dentro de la función Identificar y las líneas punteadas verdes.

Las lecciones aprendidas entonces surgen de todas las funciones, estas se analizan, priorizan y se utilizan para informar a su vez a todas las funciones. Esto refleja que las organizaciones deberían estar aprendiendo lecciones nuevas en todo momento (por ejemplo, detectando la presencia de una nueva amenaza y caracterizando su comportamiento) y comunicando esas lecciones al personal apropiado para que las políticas, procesos y prácticas de respuesta a incidentes de la organización y otros aspectos de gestión de riesgos de ciberseguridad puedan ajustarse según sea necesario.

Si quisiéramos conectar lo conocido con lo nuevo, podemos hacer un mapeo de las fases del anterior SP 800-61 a las del nuevo borrador:

Mapeo SP 800-61r2 vs CSF 2.0


Perfiles Comunitarios

Los Perfiles Comunitarios ofrecen una manera para que grupos de organizaciones, que comparten un contexto común y una postura de ciberseguridad, describen un punto de vista en conjunto sobre la gestión de riesgos de ciberseguridad.

El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) proporciona ejemplos de estos perfiles y otros recursos para ayudar a las comunidades a entender y desarrollarse. Un Perfil Comunitario del CSF funciona como una línea base de resultados.

Estos perfiles se desarrollan típicamente para un sector específico, subsector, tecnología, tipo de amenaza u otro caso de uso (CSF2.0). La revisión 3 se define entonces como un perfil comunitario del CSF 2.0 específico para la respuesta a incidentes. Utiliza el Núcleo del CSF como base para resaltar y priorizar los resultados que son importantes para la respuesta a incidentes, hace recomendaciones y proporciona otra información de apoyo para ciertos resultados del CSF dentro del contexto de respuesta a incidentes.

Se pueden ver que el perfil comunitario en la guía se divide en dos tablas: la primera tabla que cubre la Preparación (Gobernar, Identificar y Proteger), mientras que la segunda cubre el Ciclo de Vida de Respuesta a Incidentes (Detectar, Responder y Recuperar).

La prioridad relativa de cada fila se indica con como:

 • Alta: Funciona como una actividad central de respuesta a incidentes para la mayoría de las organizaciones.

 • Media: Apoya directamente las actividades de respuesta a incidentes para la mayoría de las organizaciones.

 • Baja: Apoya indirectamente las actividades de respuesta a incidentes para la mayoría de las organizaciones.

La última columna puede contener uno o más elementos que recomiendan qué hacer o describen consideraciones adicionales o información de apoyo para algunas filas. Cada elemento en esa columna tiene un ID que comienza con uno de los siguientes:

 • “R” (recomendación: algo que la organización debería hacer)

 • “C” (consideración: algo que la organización debería considerar hacer)

 • “N” (nota: información adicional, además de recomendaciones y consideraciones)

Una designación R, C, o N y su número se pueden agregar al ID del CSF de la fila para crear un identificador que es único dentro del Perfil Comunitario (por ejemplo, “GV.OC-03.R1” es la recomendación 1 para la Subcategoría del CSF GV.OC-03). Las recomendaciones y notas no son exhaustivas, y no todas serán aplicables a cada organización.

El Perfil Comunitario está destinado para ser utilizado por la mayoría de las organizaciones, independientemente del sector, tamaño u otros factores.

Extracto perfil comunitario del CSF 2.0 para la respuesta a incidentes


Conclusiones

El alcance de la Revisión 3 es significativamente diferente de las revisiones anteriores. Debido a que los detalles de cómo realizar actividades de respuesta a incidentes cambian tan a menudo y varían tanto entre tecnologías, ambientes y organizaciones, ya no es factible capturar y mantener esa información en una única publicación estática. En su lugar, esta revisión se centra en la mejora continua de la gestión de riesgos de ciberseguridad para todas las funciones del NIST CSF 2.0. Esto apoya mejor las capacidades de respuesta a incidentes de las organizaciones y aborda el creciente volumen de incidentes dañinos con períodos de recuperación extendidos.

Si bien es cierto que cada organización debería usar el marco o modelo de ciclo de vida de respuesta a incidentes que mejor se adapte a ellas. El modelo propuesto aprovecha la riqueza de recursos disponibles y permite que sea de fácil adopción para las organizaciones que ya están utilizando el CSF. Cada organización debe tomar en consideración la respuesta a incidentes en contexto de su gestión de riesgo y su propio negocio.