1

INSTITUTO TECNOLOGICO
DE APIZACO




Ing. Tecnologas de la Informacin y
Comunicaciones
Materia:
Administracin y seguridad de redes
Alumnos:
Catedrtico:
M.A. Carolina Anica Gonzlez
Tema:
Plan de Respuesta a Incidentes en Seguridad en
TI
8vo Semestre 11/Mayo/2014




2

Contenido
Introduccin ........................................................................................................................................ 3
Qu es un Centro de Respuesta a Incidentes Informticos? ............................................................ 4
Vinculacin entre un SGSI y un CSIRT ................................................................................................. 4
Una visin directiva de la implantacin (beneficios y esfuerzos) ....................................................... 5
De quin debemos protegemos? ...................................................................................................... 7
De qu nos protegemos? .................................................................................................................. 7
Procedimiento de manejo de incidentes de seguridad informtica ................................................... 8
Conclusin ........................................................................................................................................... 8
Referencias .......................................................................................................................................... 8















3

Introduccin
Es sorprendente ver cmo la tecnologa de la informacin se incorpora cada vez ms
a nuestras vidas, inclusive atravesando la ltima frontera. Algunas de las
prestaciones de dispositivos, aplicaciones y sistemas de mayor desarrollo en la
actualidad ingresan al interior de nuestro cuerpo con singular xito: sondas,
marcapasos, microelectrnica aplicada para la asistencia a personas con
discapacidades auditivas o visuales, localizacin permanente de personas...
En la medida que los servicios de TI y los dispositivos se hacen ms baratos,
cercanos, difundidos y omnipresentes, la carencia o mal funcionamiento de alguno
de ellos provoca impactos ms altos y masivos.
Por ejemplo, los sistemas de prepago de celulares involucran a millones de personas
y son lo suficientemente complejos como para tener interrupciones o demoras de
forma peridica, siendo en general compleja la recuperacin de los servicios.
Cunto demora una comunidad de clientes de prepago en saber que el sistema est
cado y (en algunas compaas) puede hablar sin lmite? Es cuestin de segundos o
minutos Cunto dinero e imagen pierde la compaa?, bastante. Lo peor es que
estas prdidas van en rpido ascenso debido a la masificacin de los servicios.
Para dar este tipo de servicios, la complejidad de los equipamientos, redes y
administradores de sistemas ha aumentado exponencialmente, por lo que
diagnosticar la causa de una interrupcin en un proceso de TI se est volviendo cada
vez ms complejo.
Existen miles de sistemas operativos, miles de protocolos y miles de formas de
configurar las redes e intercambiar datos, adems de millones de aplicaciones
interactuando. Entonces, esto termina en infinidad de asuntos que atender a la hora
de disear un nuevo proceso; y otras tantas causas de problemas a la hora de
resolver un incidente.
La complejidad existente detrs de un servicio provoca en ocasiones, que frente a
una alarma de incidente, distintos operadores de los diversos sistemas que lo
soportan comiencen a promover cambios en aras de recuperar el servicio. Lejos de
mejorar la situacin, la vuelven irreversible, por lo que se ha constatado que es
necesario coordinar las acciones de respuesta frente a un incidente de cualquier tipo
para lograr una efectiva resolucin del problema.



4

Qu es un Centro de Respuesta a Incidentes Informticos?
Un Centro de Respuesta a Incidentes de Seguridad Computacionales (CSIRT) es un
equipo de tcnicos especialmente entrenados para resolver y gestionar incidentes
informticos de alto impacto. Dicho entrenamiento provee capacidades al
mencionado equipo para gestionar crisis, coordinar acciones, estar preparado para
prevenir y detectar los ataques cibernticos ms comunes, as como para conocer
profundamente las debilidades de sistemas, infraestructuras y personas de su
organizacin. El objetivo es dar una efectiva y rpida respuesta a los incidentes que
puedan ocurrir.
Dicho equipo es muy parecido a una brigada de bomberos, ellos deben entrenar en
forma continua para poder controlar rpidamente los incidentes ms comunes.
Cuanto ms rpidamente mitiguen al incidente, menos impacto sufrir la
organizacin.
Es frecuente encontrarse con sistemas que facturan ms de cincuenta mil dlares por
hora. Contar o no con una respuesta acertada provoca bajar la discontinuidad de la
operacin en el orden de 10 horas promedio por incidente, por lo que la velocidad de
la respuesta de recuperacin se vuelve crucial.
Un CSIRT bien diseado se encarga de proteger las infraestructuras crticas de la
organizacin y vela por la continuidad de los servicios principales de la misma.
Existen diferentes tipologas de centros de respuesta que permiten adaptar y mejorar
el desempeo de dichos grupos, segn se encuentre alojado en una universidad,
empresa, gobierno u organizacin internacional. Dichas tipologas estn fuertemente
vinculadas con la misin de la organizacin (sobre todo en trminos de autoridad y
funciones), adems de la dispersin geogrfica de la misma.
Vinculacin entre un SGSI y un CSIRT
Un SGSI es un Sistema de Gestin de Seguridad de la Informacin y un CSIRT, es
un Centro de Respuesta a Incidentes de Seguridad Informtica, segn sus siglas en
ingls.
Uno de los principales problemas que un buen desempeo en la respuesta a
incidentes desafa, es la existencia de una adecuada cultura de prevencin y cuidado
de los activos de informacin difundida entre los integrantes de la organizacin.
Para ello, dichos activos deben estar correctamente identificados, las personas que
manejan dicha informacin deben estar suficientemente sensibilizadas y capacitadas
sobre los riesgos inherentes a manipular los activos y, en general, debe haber un

5

buen manejo (preventivo) de los sistemas, infraestructura y dispositivos en torno a
dicha informacin.
Es frecuente encontrarse en las organizaciones con funcionarios indiferentes
respecto a la seguridad informtica que promueven conductas inadecuadas, por
ejemplo, con respecto a los privilegios de sus cuentas de usuario Todos quieren ser
administradores! En la mayora de los casos sin siquiera conocer los riesgos
asociados a dicha condicin.
Por otra parte, es necesario que est claramente definida la poltica de seguridad de
la informacin para poder discernir qu es un incidente de seguridad y qu no lo es.
En ciertos ambientes, un port-scanning no es un incidente y en otros es un incidente
gravsimo, eso debe ser claramente establecido por la poltica de seguridad de la
informacin y normas asociadas.
En resumen, tener un SGSI definido da el marco normativo necesario para una
accin efectiva del CSIRT, promueve una cultura de seguridad, sensibiliza y alerta a
los funcionarios de la organizacin acerca de qu es un incidente de seguridad.
Antes de implementar el CSIRT, se recomienda desarrollar o fortalecer el programa
de seguridad de la informacin de la organizacin.
Tener un SGSI sin disponer de un CSIRT que responda a los incidentes es
ineficiente y frustrante, es similar a tener leyes de conducta ciudadana sin que
existan policas o bomberos para desestimular, desactivar, mitigar o reprimir los
incidentes. El sistema detecta la existencia del incidente, pero la organizacin no
podr dar una respuesta coordinada y efectiva.
Por otra parte, la gestin del conocimiento es totalmente inefectiva, puesto que en
cada incidente se deber crear nueva experiencia porque no existe ningn sitio en la
organizacin que acumule y gestione el conocimiento propio o ajeno en la
resolucin de los incidentes previos, lo que provoca demoras y falta de asertividad
en la recuperacin.
Una visin directiva de la implantacin (beneficios y esfuerzos)
Disponer de un centro de respuesta brinda a los directivos de una organizacin los
siguientes beneficios:
Un punto de contacto focal reconocido y confiable dentro de la organizacin
para la denuncia y gestin de los incidentes.
Promover la utilizacin de la infraestructura informtica bajo buenas y
mejores prcticas.

6

Disponer de un equipo especializado y asesor para la proteccin de los
nuevos desarrollos, basado en tecnologas no conocidas.
Brindar informacin en tiempo real a toda la organizacin sobre
vulnerabilidades, asociar y promover sus respectivas recomendaciones en
forma ms asertiva, adems de mejorar significativamente su mitigacin y/o
control.
Proveer servicios de publicacin de informacin difundiendo la cultura de
seguridad informtica.
Conocer, participar y compartir las experiencias de equipos similares
estableciendo y haciendo propias las mejores estrategias para el manejo
efectivo de incidentes de seguridad informtica en la organizacin.
Administrar puntos de contacto con otros CSIRT para promover alertas
tempranas de ataques que estn siendo exitosos en otros entornos u
organizaciones.
Poseer un equipo de personal especializado en constante proceso de
actualizacin con la intencin de brindar servicios de soporte informtico.
Respecto a los esfuerzos necesarios, un CSIRT habitualmente se compone de pocos
funcionarios bien entrenados (una estimacin reciente establece un funcionario
CSIRT en cada ochocientos puestos en organizaciones medias), con presupuestos
anuales en general menores a los diez mil dlares por funcionario, excluyendo
salarios. Con el costo evitado, la inversin inicial se recupera en menos de un ao y
los costes operativos son cubiertos al tercer incidente resuelto en forma efectiva en
dicho ao.
Un esfuerzo importante que debe considerarse es el apoyo a este equipo desde la
direccin de la organizacin, promoviendo y cuidando que no sea excluido por sus
pares de los equipos tcnicos.
Ocasionalmente y debido a problemas de insercin derivados de la falta de
comunicacin, los tcnicos del CSIRT son visualizados por el resto de los gestores
de TI como un grupo de lite que oficia de auditor, juzgando el accionar de los
dems con altos privilegios en la organizacin. Promover esta imagen es un error,
indirectamente promueve que los operadores del sistema de informacin que estn
siendo objeto de un ataque o que tienen un problema operativo serio, intenten
ocultar el incidente por temor a los informes o represalias que puedan ocurrir si el
incidente se hace pblico en la organizacin, en vez de recurrir a la ayuda de su
centro de respuesta.
La direccin y los integrantes del centro de respuesta, en consecuencia, deberan
promover activamente una funcin de auxilio y apoyo a los dems actores tcnicos
de la organizacin (al igual que un cuerpo de bomberos) y ponerse al servicio de su
comunidad minimizando conductas competitivas o agresivas de los interlocutores.

7

La frase que sigue pertenece a un amigo director de una gran organizacin,
consultado respecto del funcionamiento de su CSIRT, considero que puede
constituir un excelente cierre para este artculo.
De quin debemos protegemos?
-Intrusos informticos.
-Extorsionadores.
-Espas industriales.
-Usuarios del sistema.
-Ex empleados.
-Crakers.

De qu nos protegemos?
Objetivos de los intrusos sobre un sistema informtico
-Robo de informacin confidencial.
-Fraude financiero.
-Dao a la imagen.
-Modificacin de archivos.
-Indisponibilidad de servicios crticos.
-Destruccin del sistema informtico.
-Sabotaje corporativo.


8

Procedimiento de manejo de incidentes de seguridad
informtica
Procedimientos
-Deteccin y denuncia de incidentes.
-Recepcin y anlisis de incidentes.
-Neutralizacin del ataque o intruso.
-Bsqueda de informacin y rastreo del intruso.
-Secuestro y preservacin de evidencia.
Recuperacin de datos o sistemas afectados.
-Restauracin de la informacin.
-Finalizacin del proceso de manejo de incidentes

Conclusin
Tener un centro de respuesta es una excelente solucin para entender las TI de una
organizacin, obteniendo respuestas de un tercer actor independiente, capaz y
objetivo.
Procedimientos claramente definidos y comunicados, ayudan a que la organizacin
se pueda mover mejor durante un incidente de seguridad y que al mismo impacte lo
menor posible

Referencias

http://revista.seguridad.unam.mx/numero-16/centro-de-respuesta-incidentes-
inform%C3%A1ticos-para-qu%C3%A9
http://blink.ucsd.edu/technology/security/CIRT/index.html

9






























10