Proceso de respuesta a incidentes de datos

 Descargar versión en PDF

Introducción

La mayor prioridad de Google Cloud es mantener un entorno seguro para los datos de los clientes. Para proteger esos datos, Google cuenta con una operación de seguridad de la información líder en el sector, que combina procesos exigentes, un equipo de expertos de primera categoría y una infraestructura multicapa de seguridad y privacidad de la información. En esta publicación nos centramos en el enfoque firme que sigue Google para gestionar y hacer frente a los incidentes que tienen que ver con los datos en Google Cloud.

La respuesta a incidentes es uno de los aspectos clave del programa general de seguridad y privacidad de Google. Seguimos un proceso muy riguroso a la hora de gestionar incidentes que tienen que ver con datos. En este proceso se definen las acciones y derivaciones que se deben llevar a cabo, así como las estrategias para mitigar, resolver y notificar cualquier posible incidente que afecte a la confidencialidad, integridad o disponibilidad de los datos de los clientes.

En Google, concebimos los incidentes de datos como brechas en nuestra seguridad que llevan una situación accidental o ilegítima de destrucción, pérdida, alteración, acceso sin autorización o divulgación no autorizada de datos de clientes alojados en sistemas que Google gestiona o controla de alguna forma. Aunque tomamos medidas para hacer frente a las amenazas previsibles que puedan afectar a los datos y sistemas, no contemplamos como incidentes de datos las actividades o los intentos fallidos que no comprometan la seguridad de los datos de los clientes; por ejemplo, los intentos fallidos de inicio de sesión, las ocasiones en que se hace ping, los análisis de puertos, los ataques de denegación de servicio, así como otros ataques de red contra cortafuegos o sistemas conectados.

Cómo ayuda Google a proteger los datos de los clientes

La seguridad de los datos de los clientes es de vital importancia, pero solo se puede conseguir mediante la colaboración entre Google y dichos clientes. Por su parte, Google se encarga de mantener la seguridad de la infraestructura y los servicios subyacentes en la nube. Por otro lado, los clientes deben proteger sus aplicaciones, dispositivos y sistemas cuando llevan a cabo labores de desarrollo usando la infraestructura de Google Cloud. Google ofrece directrices y numerosas funciones de seguridad a los clientes para poner en marcha sus prácticas de seguridad:

  • Gestión de identidades y accesos

  • Encriptado de los datos en reposo y en tránsito de forma predeterminada; es decir, sin que los clientes tengan que hacer nada.

  • Autenticación multifactor, incluida la clave de segundo factor de hardware resistente a la suplantación de identidad (phishing).

  • Un abanico de opciones de seguridad de red, como la nube privada virtual (VPC) y VPC compartida, la protección DDoS integrada en el software como servicio (SaaS), soluciones de plataforma como servicio (PaaS) y la posibilidad de utilizar también estas opciones en las soluciones de infraestructura como servicio (IaaS).

  • Registros de auditoría detallados.

Para obtener más información acerca de cómo protege Google la nube, consulta el documento Descripción general del diseño de seguridad de la infraestructura de Google y la presentación sobre seguridad de NEXT '18 relacionada, o bien visita el sitio web de seguridad de Google Cloud.

Google ofrece a los clientes visibilidad de los servicios que utilizan en Google Cloud, y pueden utilizar el centro de seguridad de G Suite para prevenir, detectar y solucionar problemas de Gmail, Drive, diferentes dispositivos, OAuth y cuentas de usuarios. En el caso de GCP, los clientes disponen de Cloud Security Command Center para obtener más información acerca de los recursos, las vulnerabilidades, los riesgos y las políticas de sus organizaciones.

Por su parte, los clientes deben adaptar las funciones de seguridad de forma adecuada y conforme a sus propias necesidades. También deben encargarse de instalar actualizaciones de software, configurar cortafuegos y zonas de seguridad de red, y asegurarse de que los usuarios finales tienen las credenciales de sus cuentas a buen recaudo y no muestran datos sensibles a usuarios no autorizados.

En la imagen 1 se ofrece un ejemplo ilustrativo de cómo varía la responsabilidad entre Google y el cliente según la proporción de servicios gestionados que utiliza este último. A medida que el cliente pasa de utilizar soluciones on-premise a recurrir a productos de cloud computing de IaaS, PaaS y SaaS, aumenta la proporción general del servicio en la nube que gestiona Google y se reducen las responsabilidades del cliente en cuanto a la seguridad.

Para obtener más información sobre las configuraciones de seguridad en la nube, los clientes deben acudir a la documentación del producto correspondiente.

Imagen de reparto de responsabilidades

Respuesta a incidentes de datos

La gestión del programa de respuesta a incidentes de Google recae sobre equipos de expertos en la materia de distintas funciones especializadas. De esta manera, se asegura que todas las respuestas están a la altura de los desafíos específicos que presenta cada incidente. Según el tipo de incidente, el equipo profesional de respuesta puede incluir expertos de las siguientes disciplinas:

  • Gestión de incidentes en la nube
  • Ingeniería de productos
  • Site Reliability Engineering
  • Seguridad y privacidad en la nube
  • Análisis forense digital
  • Investigación mundial
  • Detección de señales
  • Asesoría de seguridad, privacidad y productos
  • Confianza y seguridad
  • Tecnología frente a usos indebidos
  • Servicio de asistencia

Los expertos de estos equipos participan en el proceso de distintas formas. Por ejemplo, los líderes de incidentes se encargan de coordinar las respuestas a incidentes y, cuando es necesario, el equipo de análisis forense digital detecta ataques que estén teniendo lugar y lleva a cabo investigaciones forenses. Los ingenieros de productos trabajan para limitar el impacto sobre las operaciones de los clientes y ofrecen soluciones para resolver los problemas de los productos afectados. El equipo legal trabaja con miembros del equipo pertinente de seguridad y privacidad para recoger pruebas según la estrategia de Google, colaborar con los servicios policiales y órganos reguladores de las administraciones públicas y ofrecer asesoría sobre asuntos y requisitos legales. El personal de asistencia responde a las solicitudes y peticiones de los clientes para ofrecerles más información.

Organización del equipo

Cuando declaramos un incidente, designamos a un líder que se encarga de coordinar la respuesta a dicho incidente y su resolución. Este líder elige a especialistas de los distintos equipos y forma un equipo de respuesta. En la imagen 2 se ilustra la organización típica de un equipo de respuesta. El líder de incidente delega la responsabilidad de la gestión de distintos aspectos de lo ocurrido a estos profesionales y se ocupa del incidente desde que se declara hasta que se cierra. En la imagen 2 se describen la organización de varios roles y sus responsabilidades durante la respuesta a un incidente.

Organización de un equipo de respuesta a incidentes

Proceso de respuesta a incidentes de datos

Cada incidente de datos es único, y el objetivo del proceso de respuesta a incidentes de datos es proteger los datos de los clientes, devolver el sistema a la normalidad lo antes posible y cumplir tanto los requisitos de las normativas como los contractuales. El programa de respuesta a incidentes de Google lleva a cabo el siguiente proceso:

Flujo de trabajo del proceso de respuesta a incidentes

Identificación

Identificar los incidentes rápido y con precisión es clave para gestionarlos de forma eficaz. Esta fase se centra en monitorizar la actividad relacionada con la seguridad para detectar cualquier posible incidente e informar al respecto.

El equipo de detección de incidentes de Google utiliza herramientas, señales y mecanismos de alerta avanzados que permiten obtener indicios tempranos de posibles incidentes.

Algunas de las fuentes de detección de incidentes que utiliza Google son las siguientes:

  • Análisis automático de registros de red y sistema: el análisis automático del tráfico de red y los accesos al sistema identifica la actividad sospechosa, inadecuada o no autorizada e informa al personal de seguridad de Google al respecto.

  • Pruebas: el equipo de seguridad de Google busca de forma activa amenazas de seguridad mediante pruebas de penetración, procesos de control de calidad, detección de intrusiones y revisiones de la seguridad del software.

  • Revisiones del código interno: al revisar el código fuente se sacan a la luz vulnerabilidades ocultas y fallos de diseño, y se comprueba si se han implementado controles de seguridad clave.

  • Herramientas y procesos específicos de los productos: siempre que es posible, los equipos utilizan herramientas automáticas específicas para su función, con lo que se mejora la capacidad de Google para detectar incidentes a nivel de producto.

  • Detección de anomalías de uso: Google utiliza multitud de capas de sistemas de aprendizaje automático para distinguir entre actividades de usuarios seguras y anómalas en navegadores, dispositivos, inicios de sesión de aplicaciones y otros eventos de uso.

  • Alertas de seguridad de centros de datos o servicios de lugar de trabajo: las alertas de seguridad de los centros de datos buscan incidentes que puedan afectar a la infraestructura de la empresa.

  • Empleados de Google: los empleados detectan anomalías e informan al respecto.

  • Vulnerability Reward Program de Google: en algunas ocasiones, investigadores de seguridad externos informan de posibles vulnerabilidades de las extensiones de navegador de Google y de las aplicaciones web y móviles que puedan afectar a la confidencialidad o integridad de los datos de los usuarios.

Coordinación

Cuando se denuncia un incidente, la persona que responde se encarga de revisar y evaluar la naturaleza de la denuncia para determinar si se trata de un posible incidente de datos y se debe poner en marcha el proceso de respuesta a incidentes de Google.

Una vez que se confirma, el incidente se transfiere a un líder, que se ocupa de evaluar su naturaleza y de desarrollar una estrategia coordinada para hacerle frente. En esta fase, la respuesta consiste en completar la valoración del incidente, ajustar su gravedad si es necesario y poner en marcha al equipo de respuesta a incidentes pertinente con los jefes operativos y técnicos que correspondan, quienes revisan los hechos e identifican aspectos clave que se deben investigar. Designamos a un jefe de productos y a uno legal para que tomen decisiones esenciales sobre cómo responder. El líder de incidente asigna las responsabilidades de la investigación y se reconstruyen los hechos.

Muchos aspectos de la respuesta de Google dependen de la evaluación de la gravedad, que se basa en hechos clave que el equipo de respuesta a incidentes se ocupa de recopilar y analizar. Entre los factores que se tienen cuenta se incluyen los siguientes:

  • Posibles daños a clientes, a terceros o a Google.

  • Naturaleza del incidente. Por ejemplo, si es posible que se hayan destruido datos, que se haya accedido a ellos o que no estén disponibles.

  • Tipo de datos que se pueden haber visto afectados.

  • Impacto del incidente en el uso del servicio por parte de los clientes.

  • Estado del incidente. Por ejemplo, si se ha aislado, si sigue en marcha o si se ha contenido.

El líder de incidente y otros jefes vuelven a evaluar periódicamente estos factores a lo largo del proceso de respuesta a medida que aparece nueva información para asegurarse de que Google asigna los recursos y la urgencia pertinentes al incidente. Por ejemplo, a los eventos que producen un impacto más crítico se les asigna la mayor gravedad. Se designa a un jefe de comunicaciones para que desarrolle un plan de comunicación con otros jefes.

Resolución

Esta fase se centra en investigar la causa del incidente, limitar su impacto, resolver cualquier riesgo de seguridad inmediato, incluir las correcciones pertinentes como parte de la solución y recuperar los sistemas, datos y servicios afectados.

Los datos afectados se devolverán a su estado original en la medida de lo posible. Google tomará distintas medidas para resolver un incidente en función de lo que sea razonable y necesario en cada ocasión. Por ejemplo, es posible que se necesite una investigación técnica o forense para reconstruir la causa de un problema o para determinar su impacto sobre los datos de los clientes. Si los datos se han destruido o alterado de forma incorrecta, es posible que Google trate de recuperar copias de estos a partir de sus copias de seguridad.

Un aspecto clave de la solución es notificar a los clientes en aquellos casos en que los incidentes afectan a sus datos. Los factores más importantes se evalúan a lo largo del incidente para determinar si este ha afectado a los datos de los clientes. Si es pertinente notificar a los clientes, el líder de incidente es quien se encarga de poner en marcha el proceso de notificación. El jefe de comunicaciones desarrolla un plan de comunicación con la ayuda del jefe de productos y del legal, informa a los afectados y atiende las solicitudes del cliente tras la notificación con la ayuda de nuestro equipo de asistencia.

Google trata de notificar de forma rápida, clara y precisa sobre los detalles conocidos acerca del incidente de datos, los pasos que se han tomado para mitigar los posibles riesgos y las acciones que recomienda para resolver el incidente. Ponemos todo nuestro empeño en ofrecer una descripción clara del incidente para que los clientes puedan valorar y cumplir sus propias obligaciones de notificación.

Cierre

Una vez que un incidente de datos se soluciona y se resuelve correctamente, el equipo de respuesta a incidentes lo evalúa para extraer información que pueda ser útil en ocasiones futuras. Si un incidente da lugar a problemas críticos, el líder de incidente puede iniciar un análisis posterior. A lo largo de este proceso, el equipo de respuesta revisa las causas del incidente y la respuesta de Google para buscar aspectos clave que mejorar. En algunos casos, puede que sea necesario ponerse en contacto con distintos equipos de productos, ingeniería y operaciones, así como realizar tareas de mejora de productos. Si hay que llevar a cabo este tipo de trabajo de seguimiento, el equipo de respuesta a incidentes desarrolla un plan de acción para llevarlo a cabo y asigna a gestores de proyectos para encabezar esta labor a largo plazo. Cuando la solución se da por concluida, se cierra el incidente.

Mejora continua

En Google, intentamos aprender de cada incidente e implementar medidas preventivas para evitar futuros incidentes.

Las métricas útiles que extraemos al analizar los incidentes nos permiten mejorar nuestras herramientas, formaciones y procesos, así como la seguridad general de Google, el programa de protección de la privacidad de los datos, las políticas de seguridad y los procesos de respuesta. Este aprendizaje también nos ayuda a priorizar las iniciativas de ingeniería y a crear mejores productos.

Los profesionales de seguridad y privacidad de Google revisan los planes de seguridad de todas las redes, sistemas y servicios de la empresa para mejorar su programa de seguridad, y ofrecen servicios de asesoría específicos de cada proyecto a los equipos de productos e ingeniería. Hacen uso del aprendizaje automático, del análisis de datos y de otras tecnologías punteras para monitorizar la actividad sospechosa en las redes de Google, se ocupan de las amenazas de seguridad de la información, llevan a cabo evaluaciones y auditorías rutinarias de seguridad y colaboran con expertos externos que realizan evaluaciones de seguridad de forma regular. Además, disponemos de un equipo a tiempo completo, llamado Project Zero, que tiene como objetivo evitar ataques dirigidos informando a los proveedores de software de los errores que encuentran y archivándolos en una base de datos externa.

Google imparte formaciones con regularidad y pone en marcha campañas de concienciación para fomentar la innovación en cuestiones de seguridad y privacidad de los datos. El personal dedicado de respuesta a incidentes está formado en el ámbito forense y en la gestión de pruebas, y está familiarizado con el uso de herramientas propias y de terceros. Se realizan pruebas de los procesos y procedimientos de respuesta a incidentes en ámbitos claves; por ejemplo, en el de los sistemas que almacenan información delicada de los clientes. Estas pruebas tienen en cuenta distintas situaciones, como las vulnerabilidades de software y las amenazas internas, y nos ayudan a prepararnos mejor para hacer frente a incidentes de seguridad y privacidad.

Los procesos de Google se someten regularmente a pruebas como parte de nuestros programas ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 y FedRAMP, con el objetivo de ofrecer a los clientes una verificación independiente de nuestros controles de seguridad, privacidad y cumplimiento. Puedes usar este enlace para consultar una lista más exhaustiva de los certificados de terceros de Google Cloud.

Resumen

Tal como hemos expuesto anteriormente, Google cuenta con un programa de respuesta a incidentes de primera categoría que dispone de las siguientes funciones clave:

  • Es un proceso desarrollado con técnicas líderes en el sector para resolver incidentes y ajustado para funcionar de forma eficiente a escala de Google.

  • Cuenta con sistemas de monitorización, analíticas de datos y servicios de aprendizaje automático punteros que detectan y limitan incidentes de forma proactiva.

  • Dispone de expertos en la materia dedicados a los que se puede recurrir para responder a incidentes de datos de cualquier tipo y envergadura.

  • Incluye un proceso bien desarrollado para notificar al instante a los clientes afectados. Esto va en línea con los compromisos que establece Google en los términos del servicio y en los contratos con los clientes.

Proteger los datos es esencial para el negocio de Google. Por ello, invertimos continuamente en nuestro programa general de seguridad y en recursos y expertos; de esta forma, podemos ofrecer un servicio de confianza a nuestros clientes, responder de forma eficaz cuando ocurren incidentes, proteger sus datos y mantener las altas expectativas de fiabilidad que esperan los clientes de un servicio de Google.