Fue aprobada la Guía de Notificación y Gestión de Incidentes de Ciberseguridad[1] la cual resulta obligatoria para todo el Sector Público Nacional.
El Equipo de Respuesta ante Emergencias Informáticas nacional (CERT.ar) fue el encargado de su elaboración y tuvo en miras simplificar la gestión de toda la información sobre reportes de incidentes de ciberseguridad ocurridos en los organismos del Sector Público Nacional, a la vez que incrementar la capacidad de prevención, alerta, detección y recuperación ante incidentes que puedan afectar activos de información críticos del país.
La Guía aborda los siguientes puntos:
- Clasificación del incidente: al tratarse incidentes de diferente naturaleza estos deben ser clasificados por su contenido (si abusivo como el SPAM o dañino como el malware), analizarse la información disponible, cual fue el grado de instrucción, la disponibilidad de los sistemas, la información comprometida, los indicios de fraude y los activos vulnerados.
- Notificación del incidente: estos deben ser informados al CERT.ar dentro de las cuarenta y ocho (48) horas de detectado, a través del correo reportes@cert.ar con la siguiente información:
- Nivel de criticidad (bajo, medio, alto, crítico dependiendo de la información recolectada en el punto anterior).
- Nivel de impacto a ser medido utilizando el Protocolo de Semaforización de Tráfico desarrollado por esta Guía (red, amber, green, clear).
- Contenido:
- Reporte inicial: dentro de las cuarenta y ocho (48) horas de producido el incidente.
- Reporte final: una vez cerrado el incidente.
- Estado del incidente: utilizando una tabla con estados ya definidos y un diagrama de flujo con el ciclo de vida de los estados.
- Estado de cierre: utilizando una tabla de estados ya definidos en la Guía.
- Gestión del incidente: donde se describen las acciones tendientes a contener el impacto y reestablecer lo antes posible los niveles de operación.
- Preparación: permite anticipar y entrenar al personal del equipo de respuesta a incidentes de seguridad.
- Identificación: capacidad de identificar y detectar el incidente, incluyendo el monitoreo, recolección de información, entre otras.
- Contención: se toman las medidas para limitar y aislar el impacto del incidente.
- Mitigación o remediación: acciones necesarias para eliminar la amenaza e incluye las actividades que permitan determinar las medidas de mitigación más eficaces.
- Recuperación: involucra la implementación de procedimientos y actividades que permitan volver a la operatoria normal.
- Post-incidente: análisis de lo sucedido para identificar e implementar medidas de mejora.
- Buenas prácticas: se insta a que los organismos tomen ciertas medidas con posterioridad al acaecimiento de un ciberincidente, tales como el mantenimiento de evidencia digital.
El CERT.ar elabora anualmente un informe sobre los ciberincidentes reportados a través de su formulario de denuncias, del cual se extrae que el Estado es uno de los sectores más comprometido junto con el de Finanzas.
Tal es así que recientemente la Comisión Nacional de Valores ha sufrido la publicación de 1,5 terabytes con información sobre bancos, agentes de bolsa, operadores financieros, inversores y una innumerable cantidad de empresas argentinas. Esta información cruza desde trámites de rutina e información que se encuentra disponible públicamente (por la labor propia del organismo) con contenido sensible. Se publicó prácticamente toda la operatoria del organismo, el flujo de mails y hasta las claves de linkedin y redes sociales de la CNV.
[1] Disposición N° 3/2023 de la Subsecretaría de Tecnologías de la Información.