Proceso de respuesta ante incidentes de datos

Descargar la versión en PDF

Introducción

Mantener un entorno seguro y protegido para los datos de clientes es la mayor prioridad de Google Cloud. A fin de proteger los datos de clientes, Google ejecuta una operación de seguridad de la información líder en el sector en la que se combinan procesos estrictos, un equipo de primer nivel y una infraestructura de privacidad y seguridad de la información de varias capas. En este documento, se trata el enfoque de principios que adopta Google para administrar y responder a los incidentes de datos de Google Cloud.

La respuesta ante incidentes es un aspecto clave del programa de privacidad y seguridad general de Google. Contamos con un proceso riguroso para la administración de los incidentes de datos. En este proceso, se especifican las acciones, elevaciones, mitigación, resolución y notificación de cualquier incidente posible que afecte la confidencialidad, integridad o disponibilidad de los datos del cliente.

En Google, un incidente de datos se define como un incumplimiento de la seguridad de Google que puede dar como resultado, de forma accidental o ilegal, la destrucción, pérdida, alteración o divulgación no autorizada de los datos del cliente, o el acceso no autorizado a ellos, en los sistemas administrados o controlados por Google Aunque Google toma medidas para abordar las amenazas previsibles a los datos y los sistemas, los incidentes de datos no incluyen actividades o intentos fallidos que no comprometen la seguridad de los datos del cliente, incluidos los intentos de acceso, los pings, los análisis de puertos, los ataques de denegación del servicio y otros ataques de redes en firewalls o sistemas conectados en red que se realicen sin éxito.

Cómo ayuda Google a proteger los datos del cliente

La seguridad de los datos del cliente es de suma importancia, pero es el resultado de la colaboración entre Google y el cliente. Mientras que Google protege los servicios y la infraestructura de nube subyacentes, el cliente protege las aplicaciones, los dispositivos y los sistemas cuando compila en la infraestructura de nube de Google. Google guía a los clientes y les ofrece varias funciones de seguridad para lograr prácticas de seguridad con la calidad de Google:

  • Administración de identidades y accesos

  • Encriptación de datos en reposo y en tránsito de forma predeterminada, es decir, sin un esfuerzo adicional por parte de los clientes

  • Autenticación de varios factores, incluida la clave como segundo factor de hardware resistente a la suplantación de identidad

  • Un rango de opciones de seguridad de redes que incluye nube privada virtual (VPC) y VPC compartida, protección contra DSD integrada para software como servicio (SaaS), soluciones de plataforma como servicio (PaaS) y la opción de utilizarlas para las soluciones de infraestructura como servicio (IaaS) también

  • Registros de auditoría detallados

Si deseas aprender más sobre cómo Google protege la nube, consulta el informe Descripción general del diseño de seguridad de la infraestructura de Google y la presentación de seguridad de NEXT ’18 asociada, o visita el sitio de seguridad de Google Cloud.

Google brinda a los clientes visibilidad en los servicios que usan en Google Cloud. Pueden usar el centro de seguridad para Google Workspace a fin de prevenir, detectar y solucionar problemas con Gmail, Drive, Dispositivos, OAuth y las cuentas de usuarios Es similar en GCP: los clientes pueden usar Cloud Security Command Center para obtener visibilidad de los activos, las vulnerabilidades, los riesgos y la política en toda su organización.

Por su parte, los clientes deben configurar las funciones de seguridad de manera adecuada para que cumplan con sus propias necesidades, instalar las actualizaciones de software, configurar los firewalls y las zonas de seguridad de redes, y asegurarse de que los usuarios finales protejan las credenciales de la cuenta y que no estén exponiendo datos sensibles a personas no autorizadas.

En la figura 1, se ofrece un ejemplo ilustrativo de cómo varía la responsabilidad entre el cliente y Google con base en la extensión de los servicios administrados que utiliza el cliente. A medida que el cliente migra de las soluciones locales a las ofertas de computación en la nube de IaaS, PaaS y SaaS, Google administra más elementos del servicio en la nube, y el cliente tiene menos responsabilidades relacionadas con la seguridad.

Para obtener más información sobre las configuraciones de seguridad en la nube, los clientes deben consultar la documentación del producto aplicable.

Gráfico de responsabilidad

Respuesta ante incidentes de datos

El programa de respuesta de Google ante incidentes está administrado por grupos de expertos de respuesta ante incidentes de varias funciones especializadas para asegurarse de que cada respuesta sea adecuada a los desafíos que presenta cada incidente. Según la naturaleza del incidente, el equipo de respuesta profesional puede incluir:

  • Administración de incidentes en la nube
  • Ingeniería de productos
  • Ingeniería de confiabilidad de sitios
  • Privacidad y seguridad de la nube
  • Detección de intrusiones digitales
  • Investigaciones globales
  • Detección de señales
  • Asesoramiento sobre productos, privacidad y seguridad
  • Confianza y seguridad
  • Tecnología contra abusos
  • Atención al cliente

Los expertos en la materia de estos grupos participan de diferentes formas. Por ejemplo, los comandantes de incidentes coordinan la respuesta ante el incidente y, cuando es necesario, el equipo de detección de intrusiones digitales descubre ataques en curso y realiza investigaciones. Los ingenieros de los productos trabajan para limitar el impacto en los clientes y ofrecer soluciones con el fin de corregir los productos afectados. El equipo legal trabaja con miembros del equipo de privacidad y seguridad correspondiente para implementar la estrategia de Google en cuanto a la recopilación de evidencia, el compromiso con el orden público y las entidades reguladoras del Gobierno, y los consejos sobre problemas y requisitos legales. El personal de asistencia responde las consultas y solicitudes de los clientes para brindar información y asistencia adicionales.

Organización del equipo

Cuando se declara un accidente, se designa un comandante de incidentes que coordina la respuesta ante el incidente y la resolución. El comandante de incidentes selecciona especialistas de diferentes equipos y forma un equipo de respuesta. En la figura 2 a continuación se muestra una organización de respuesta típica. El comandante de incidentes delega la responsabilidad de administrar los diferentes aspectos del incidente a estos profesionales y administra el incidente desde el momento de la declaración hasta el cierre. En la figura 2, se muestra la organización de varias funciones y sus responsabilidades durante la respuesta ante el incidente.

Organización del equipo de respuesta ante incidentes de datos

Proceso de respuesta ante incidentes de datos

Cada incidente de datos es único y el objetivo del proceso de respuesta ante incidentes de datos es proteger los datos de los clientes, restablecer el servicio normal lo más rápido posible y respetar los requisitos de cumplimiento normativos y contractuales. El programa de respuesta ante incidentes de Google sigue este proceso:

Flujo de trabajo de la respuesta ante incidentes

Identificación

La identificación temprana y exacta de incidentes es clave para lograr una administración de incidentes sólida y efectiva. El enfoque de esta fase está en la supervisión de los eventos de seguridad para la detección y la denuncia de los posibles incidentes de datos.

El equipo de detección de incidentes de Google emplea herramientas, señales y mecanismos de alerta de detección avanzada que ofrecen una indicación temprana de posibles incidentes.

Las fuentes de detección de incidentes de Google incluyen las siguientes opciones:

  • Análisis automatizado de redes y registros de sistemas: el análisis automatizado del tráfico de redes y el acceso a los sistemas ayuda a identificar actividad inadecuada, sospechosa o no autorizada y a remitir el problema al personal de seguridad de Google.

  • Pruebas: el equipo de seguridad de Google analiza de forma activa las amenazas de seguridad a través de pruebas de penetración, medidas de garantía de calidad (QA), detección de intrusiones y revisiones de la seguridad del software.

  • Revisiones del código interno: la revisión del código fuente descubre vulnerabilidades ocultas y defectos de diseño, y verifica si los controles clave de seguridad están implementados.

  • Herramientas y procesos específicos de un producto: cuando es posible, se emplean las herramientas automatizadas específicas de la función del equipo para mejorar la capacidad de Google de detectar incidentes en el nivel del producto.

  • Detección de anomalías en el uso: Google utiliza varias capas de sistemas de aprendizaje automático para diferenciar la actividad segura del usuario de la que no lo es en navegadores, dispositivos, accesos a aplicaciones y otros eventos de uso.

  • Alertas de seguridad para los centros de datos o los servicios del lugar de trabajo: las alertas de seguridad en los centros de datos buscan incidentes que puedan afectar la infraestructura de la empresa.

  • Empleados de Google: un empleado de Google detecta una anomalía y la informa.

  • Programa de recompensas por detección de vulnerabilidades de Google: a veces, son investigadores de seguridad externos los que informan las posibles vulnerabilidades técnicas en las extensiones de navegadores, los móviles y las aplicaciones web de Google que afectan la confidencialidad o integridad de los datos del usuario.

Coordinación

Cuando se informa un incidente, el experto de respuestas de guardia revisa y evalúa la naturaleza del informe de incidencias para determinar si representa un posible incidente de datos y comienza el proceso de respuesta de Google ante incidentes.

Una vez que está confirmado, el incidente se remite a un comandante de incidentes que evalúa la naturaleza del incidente y, luego, implementa un enfoque coordinado para la respuesta. En esta etapa, la respuesta incluye completar la evaluación de clasificación del incidente, ajustar la gravedad si es necesario y activar el equipo de respuesta ante incidentes correspondiente con los líderes técnicos u operativos adecuados que revisen los hechos para identificar áreas clave que requieran investigación. Se designa un líder de producto y un líder legal para que tomen decisiones clave acerca de cómo responder. El comandante de incidentes asigna la responsabilidad de la investigación y pone en conjunto los hechos.

Muchos aspectos de la respuesta de Google dependen de la evaluación de la gravedad, basada en hechos clave que el equipo de respuesta ante incidentes recopila y analiza. Estos pueden incluir:

  • El posible daño a clientes, terceros y Google

  • La naturaleza del incidente (p. ej., si es posible que los datos se hayan destruido, se haya accedido a ellos o no estén disponibles)

  • El tipo de datos que se puede ver afectado

  • El impacto del incidente en el uso del servicio por parte del cliente

  • El estado del incidente (p. ej., si el incidente fue aislado, continúa o está controlado)

El comandante de incidentes y otros líderes evalúan diariamente estos factores durante la respuesta a medida que la nueva información evoluciona para asegurarse de asignar a la respuesta de Google los recursos y la urgencia adecuados. A los eventos que suponen el impacto más importante se les asigna la mayor gravedad. Se asigna un líder de comunicación para desarrollar un plan de comunicación con otros líderes.

Resolución

En esta etapa el enfoque está en investigar la causa principal, limitar el impacto del incidente, resolver los riesgos de seguridad inmediatos (si existen), implementar las correcciones necesarias como parte de la solución y recuperar los sistemas, los datos y los servicios afectados.

Si es posible, los datos afectados se restablecen a su estado original. Google puede realizar diferentes pasos para resolver un incidente, según lo que sea razonable y necesario en cada caso. Por ejemplo, se puede necesitar una investigación técnica o forense para reconstruir la causa principal de un problema o identificar cualquier impacto en los datos del cliente. Google puede intentar recuperar copias de los datos a través de las copias de seguridad de Google si los datos se destruyeron o alteraron de manera inadecuada.

Un aspecto clave de la solución es informar a los clientes cuando los incidentes tienen un impacto en sus datos. Los hechos clave se evalúan en todo el incidente para determinar si afectó los datos del cliente. Si es adecuado informar a los clientes, el comandante de incidentes inicia el proceso de notificación. El líder de comunicación desarrolla un plan de comunicación con información de los líderes de producto y legal, informa a aquellos afectados y responde las solicitudes de los clientes luego de la notificación con la ayuda del equipo de asistencia.

Google trabaja a fin de ofrecer notificaciones rápidas, claras y exactas que contengan los detalles conocidos del incidente de datos, los pasos que realizó Google con el objetivo de mitigar los riesgos posibles y las acciones que Google les recomienda a los clientes para responder al incidente. Hacemos todo lo posible para brindar un panorama claro del incidente, de manera que los clientes pueden evaluar y cumplir con sus propias obligaciones de notificación.

Cierre

Luego de solucionar con éxito un incidente de datos, el equipo de respuesta ante incidentes evalúa las lecciones que se aprendieron debido al incidente. Cuando el incidente causa problemas graves, el comandante de incidentes puede iniciar un análisis a posteriori. Durante este proceso, el equipo de respuesta ante incidentes revisa las causas del incidente y la respuesta de Google y, luego, identifica las áreas clave de mejora. En algunos casos, puede que se requiera consultar a diferentes equipos de producto, ingeniería y operaciones, y trabajar en mejorar el producto. Si se requiere un trabajo de seguimiento, el equipo de respuesta ante incidentes desarrolla un plan de acción para completar el trabajo y asigna gerentes de proyecto que se encarguen a largo plazo. El incidente se cierra luego de concluir el esfuerzo de solución.

Mejora continua

En Google trabajamos para aprender de cada incidente y poder implementar medidas preventivas que eviten incidentes futuros.

La estadística práctica del análisis de incidentes nos permite mejorar nuestras herramientas, entrenamientos y procesos; el programa de protección de datos de privacidad y seguridad general de Google; las políticas de seguridad o la respuesta. El aprendizaje clave también facilita la priorización de los esfuerzos de ingeniería y la compilación de mejores productos.

Los profesionales de la privacidad y seguridad de Google mejoran el programa de seguridad cuando revisan los planes de seguridad de la empresa para todas las redes, sistemas y servicios, y ofrecen servicios de asesoría específicos de los proyectos destinados a los equipos de ingeniería y producto. Implementan el aprendizaje automático, el análisis de datos y otras técnicas innovadoras para supervisar la actividad sospechosa en las redes de Google, abordar las amenazas a la seguridad de la información, realizar evaluaciones y auditorías de seguridad de rutina y trabajar junto con expertos para llevar a cabo evaluaciones de seguridad con regularidad. Además, nuestro equipo de tiempo completo, conocido como Project Zero, informa los errores a los proveedores de software y los archiva en una base de datos externa con el fin de prevenir los ataques dirigidos.

Google realiza entrenamientos y campañas de concientización para impulsar la innovación en los ámbitos de la seguridad y la privacidad de datos. El personal de respuesta ante incidentes dedicado está entrenado en la detección de intrusiones y en el manejo de evidencia, incluido el uso de herramientas propias y de terceros. Las pruebas de los procesos y procedimientos de respuesta ante incidentes se realizan para las áreas clave, como los sistemas que almacenan información sensible del cliente. Estas pruebas consideran varias situaciones, como las amenazas de los usuarios con información privilegiada y las vulnerabilidades de software, y nos ayudan a estar mejor preparados para los incidentes de seguridad y privacidad.

Los procesos de Google se prueban con regularidad como parte de nuestros programas ISO 27017, ISO 27018, ISO 27001, PCI DSS, SOC 2 y FedRAMP para ofrecerles a nuestros clientes y entes reguladores una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Se puede acceder a una lista más completa de las certificaciones de terceros que tiene Google Cloud aquí.

Resumen

Como se indicó antes, Google opera un programa de respuesta ante incidentes de primer nivel que ofrece estas funciones clave:

  • Un proceso creado a partir de técnicas líderes en la industria para resolver incidentes y mejor definido a fin de operar de forma eficiente a la escala de Google

  • Estadísticas de datos, servicios de aprendizaje automático y sistemas de supervisión pioneros para detectar y detener los incidentes de forma proactiva

  • Expertos en la materia dedicados a quienes acudir para que respondan a cualquier tipo o tamaño de incidente de datos

  • Un proceso maduro para informar con rapidez a los clientes afectados, en consonancia con los compromisos de Google en nuestros acuerdos del cliente y de las Condiciones del Servicio

La protección de datos es esencial para el negocio de Google. Invertimos continuamente en nuestro programa de seguridad general, recursos y expertos, lo que permite que nuestros clientes confíen en que responderemos de manera eficiente en caso de que se produzca un incidente, protegeremos sus datos y mantendremos la alta confiabilidad que ellos esperan de un servicio de Google.