Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de Incidentes de Seguridad de la
Informacin.
Gua No. 21
HISTORIA
HISTORIA ................................................................................................................ 2
TABLA DE CONTENIDO ......................................................................................... 3
1. DERECHOS DE AUTOR ............................................................................... 5
2. AUDIENCIA ................................................................................................... 6
3. INTRODUCCIN ........................................................................................... 7
4. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN ........ 8
4.1 OBJETIVO ......................................................................................................... 8
4.2 CARACTERSTICAS DE UN MODELO DE GESTIN DE INCIDENTES ......... 9
5. DEFINICIN FORMAL DE LA GUA PROPUESTA PARA LA GESTIN DE
INCIDENTES ......................................................................................................... 11
5.1 PREPARACIN ............................................................................................... 11
5.2 RECURSOS DE COMUNICACIN ........................................................... 12
5.3 HARDWARE Y SOFTWARE ..................................................................... 13
5.3 RECURSOS PARA EL ANLISIS DE INCIDENTES ................................ 13
5.4 RECURSOS PARA LA MITIGACIN Y REMEDIACIN .......................... 14
5.5 DETECCIN, EVALUACION Y ANLISIS ...................................................... 14
5.5.1 Deteccin Identificacin y Gestin de Elementos Indicadores de un
Incidente .......................................................................................................... 14
5.5.2 Anlisis ................................................................................................... 14
5.5.3 Evaluacin .............................................................................................. 15
5.5.4 Clasificacin De Incidentes De Seguridad De La Informacin ............... 16
5.5.5 Priorizacin De Los Incidentes Y Tiempos De Respuesta ..................... 16
5.5.6 Tiempos de Respuesta........................................................................... 18
5.5.7 Declaracin y Notificacin de Incidentes ................................................ 19
5.6 CONTENCIN ERRADICACIN Y RECUPERACIN ................................... 20
5.7 ACTIVIDADES POST-INCIDENTE .................................................................. 23
5.7.1 Lecciones Aprendidas: ........................................................................... 24
6. ROLES Y PERFILES NECESARIOS PARA LA ATENCIN DE INCIDENTES
25
7. RECOMENDACIONES FINALES Y A QUIN DEBO INFORMAR .............. 28
1. DERECHOS DE AUTOR
Este anexo entrega los lineamientos bsicos para poner en marcha un Sistema de
Gestin de Incidentes de Seguridad de la informacin, a travs de un modelo
propuesto, el cual est concebido para que se puedan integrar los incidentes de
seguridad sobre los activos de informacin, independiente del medio en el que se
encuentren.
4. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN
4.1 OBJETIVO
El objetivo principal del Modelo de Gestin de Incidentes de seguridad de la
informacin es tener un enfoque estructurado y bien planificado que permita
manejar adecuadamente los incidentes de seguridad de la informacin.
Esta gua le permitir a las entidades estar preparadas para afrontar cada una de
las etapas anteriores, y adicionalmente definiendo responsabilidades y
procedimientos para asegurar una respuesta rpida, eficaz y ordenada a los
incidentes de seguridad de la informacin.
Para definir las actividades de esta gua se incorporaron componentes definidos por
el NIST alineados con los requerimientos normativos de la NTCISOIEC 27035-
2013 para la estrategia de Gobierno en Lnea.
5.1 PREPARACIN
Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse
pensando no slo en crear un modelo que permita a la entidad estar en capacidad
de responder ante estos, sino tambin en la forma como pueden ser detectados,
evaluados y gestionar las vulnerabilidades para prevenirse, asegurando que los
sistemas, redes, y aplicaciones son lo suficientemente seguros . Aunque el equipo
de respuesta a incidentes no es normalmente responsable de la prevencin de
incidentes, es muy importante que se considere como un componente fundamental
de los programas de respuesta. El equipo de respuesta a incidentes debe actuar
como una herramienta de experiencia en el establecimiento de recomendaciones
para el aseguramiento de los sistemas de informacin y la plataforma que los
soporta.
En esta etapa el grupo de gestin de incidentes o quien se designe para esta labor
debe velar por la disposicin de los recursos de atencin de incidentes y las
herramientas necesarias para cubrir las dems etapas del ciclo de vida del mismo,
creando (si no existen) y validando (si existen) los procedimientos necesarios y
programas de capacitacin.
Porttiles Forenses:
Analizadores de protocolos.
Software de adquisicin.
Software para recoleccin de evidencia.
Kit de respuesta a incidentes.
Software de anlisis forense.
Medios de almacenamiento
Logs de servidores
Logs de aplicaciones
Logs de herramientas de seguridad
Cualquier otra herramienta que permita la identificacin de un incidente de
seguridad
5.5.2 Anlisis
Las actividades de anlisis del incidente involucran otra serie de componentes, es
recomendable tener en cuenta los siguientes:
5.5.3 Evaluacin
Para realizar la evaluacin de un incidente de seguridad se debe tener en cuenta
los niveles de impacto con base en los insumos entregados por el anlisis de riesgos
y la clasificacin de activos de informacin de la entidad.
A manera de ejemplo se definen una serie de variables que podrn ser utilizadas
para realzar la evaluacin de los incidentes
Prioridad
Criticidad de impacto
Impacto Actual
Impacto Futuro
Nivel de Prioridad: Depende del valor o importancia dentro de la entidad y del
proceso que soporta el o los sistemas afectados.
Nivel
Valor Definicin
Criticidad
Bajo 0,25 Sistemas que apoyan a una sola dependencia o proceso de una entidad.
Nivel
Valor Definicin
Impacto
Y los resultados obtenidos se deben compara con la siguiente tabla para determinar
la prioridad de atencin:
Nivel
Valor
Prioridad
Nivel Tiempo de
Prioridad Respuesta
Inferior 3 horas
Bajo 1 hora
Medio 30 min
Alto 15 min
Superior 5 min
Cabe resaltar que cada entidad est en la libertad de definir tiempos de atencin a
incidentes como crean conveniente y dependiendo de la criticidad de los activos
impactados.
Contencin: esta actividad busca la deteccin del incidente con el fin de que no se
propague y pueda generar ms daos a la informacin o a la arquitectura de TI,
para facilitar esta tarea la entidad debe poseer una estrategia de contencin
previamente definida para poder tomar decisiones por ejemplo: apagar sistema,
desconectar red, deshabilitar servicios.
Acceso no
Compromiso del Root Apagado del sistema
autorizado
Incorporacin de reglas de
Reconocimiento Scanning de puertos
filtrado en el firewall
Criterios Forenses
Dao potencial y hurto de activos
Necesidades para la preservacin de evidencia
Disponibilidad del servicio
Tiempo y recursos para implementar la estrategia
Efectividad de la estrategia para contener el incidente (parcial o total)
Duracin de la solucin
Erradicacin y Recuperacin: Despus de que el incidente ha sido contenido se
debe realizar una erradicacin y eliminacin de cualquier rastro dejado por el
incidente como cdigo malicioso y posteriormente se procede a la recuperacin a
travs de la restauracin de los sistemas y/o servicios afectados para lo cual el
administrador de TI o quien haga sus veces deben restablecer la funcionalidad de
los sistemas afectados, y realizar un endurecimiento del sistema que permita
prevenir incidentes similares en el futuro.
DoS (denegacin de
SYN Flood Restitucin del servicio cado
servicio)
Correccin de efectos
Virus Gusano en la red producidos. Restauracin de
backups
DoS (denegacin de
SYN Flood Restitucin del servicio cado
servicio)
Correccin de efectos
Virus Gusano en la red producidos. Restauracin de
Backups
Integracin del Proceso de Atencin de Incidentes de Seguridad con el Proceso de Contingencia y Disaster Recovery.
Este no es un actor que realiza la centralizacin de los incidentes reportados por los
usuarios, da un tratamiento inicial y escala el incidente para que sea tratado.
Lder del Grupo de Atencin de Incidentes: Responde a las consultas sobre los
incidentes de seguridad que impacten de forma inmediata, y es el encargado de
revisar y evaluar los indicadores de gestin correspondientes a la atencin de
incidentes de seguridad para poder ser presentados a los directivos. El Lder Grupo
de Atencin de Incidentes estar en la capacidad de convocar la participacin de
otros funcionarios de la organizacin cuando el incidente lo amerita (Prensa y
Comunicaciones, Gestin de Talento Humano, Gestin Jurdica, Tecnologa,
Representante de las Directivas para el SGSI).
2. Coordinar con los responsables de soporte tcnico, que stos hayan ejecutado
o ejecuten con prontitud, todas las acciones que se requieran para asegurar y
fortalecer los componentes de tecnologas de la informacin mencionados en la
etapa de preparacin. Dichas acciones contemplan verificacin de usuarios y
claves de acceso, actualizaciones de sistemas operativos y software de
plataformas de servicios de base y gestin de contenidos, entre otros. Cualquier
ejercicio de auditoria o verificacin del cumplimiento de este tipo de actividades
ser de mucha utilidad.