Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión y Respuesta de
incidentes
Plan de respuesta a incidentes
Índice
Introducción .................................................................................................................................................................................................. 3
¿Qué es un plan de respuesta a incidentes? ............................................................................................................................................. 3
Elementos de un plan de respuesta a incidentes .......................................................................................................................................... 3
Fase de preparación .................................................................................................................................................................................. 3
Fase de identificación ................................................................................................................................................................................ 4
Fase de contención .................................................................................................................................................................................... 4
Fase de erradicación .................................................................................................................................................................................. 4
Fase de recuperación ................................................................................................................................................................................. 4
Fase de lecciones aprendidas .................................................................................................................................................................... 5
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes 3
Introducción
Para llevar a cabo una gestión eficaz de incidentes es necesario considerar ciertos aspectos. En primera instancia, hay que tener
en cuenta el desarrollo de un plan de respuesta a incidentes para atacar un suceso adverso de la mejor forma posible. A partir de
esto, será factible desarrollar un plan de recuperación que permita definir las actividades y responsabilidades, a fin de que la
organización normalice su estado y regularice su operatividad.
¿Qué es un plan de respuesta a incidentes?
El plan de respuesta a incidentes es un componente de la gestión de incidentes. En este plan, se detallan todas las acciones junto
a toda la información requerida, como el personal y las actividades, para poder realizarlas en caso de que ocurra un evento
adverso.
A lo largo de este módulo, se especificarán los distintos elementos necesarios para poder desarrollar un plan de respuestas a
incidentes basándose en un modelo específico.
Elementos de un plan de respuesta a incidentes
Desarrollar un plan de respuesta a incidentes permite adquirir un componente activo en lo que respecta a la gestión de
incidentes. Existen diferentes elementos que permiten armar un plan de respuesta que contemple todos los aspectos necesarios.
Uno de los modelos más comunes (Schultz, Brown y Longstaff) consta de seis fases:
Preparación
Identificación
Contención
Erradicación
Recuperación
Lecciones aprendidas
A continuación se detallarán los objetivos de cada una de las etapas junto a las responsabilidades y el alcance en las mismas.
Fase de preparación
Esta fase consiste en la preparación por parte de la organización para desarrollar un plan adecuado antes de la ocurrencia de
algún incidente. En este sentido, existen algunas actividades que deben ser contempladas. En primera instancia se deben
establecer enfoques, políticas, planes de comunicación y advertencias en los diferentes sistemas de información, con la finalidad
de disuadir intrusos y permitir la recopilación de información. La estandarización de canales de comunicación permite definir con
claridad los mensajes aumentando la eficiencia y disminuyendo los posibles errores o malentendidos. Es importante la definición
de criterios para poder reportar un incidente a las autoridades competentes. Esto debe establecerse previamente, ya que
permite estandarizar y definir específicamente la ocurrencia de un evento adverso. Además, es necesario definir un proceso para
activar al equipo de gestión de incidentes. Al igual que los criterios, los procedimientos permiten estandarizar la forma de
operación en caso de un evento adverso.
Finalmente, se debe contar con una ubicación segura para poder llevar a cabo el proceso de recuperación, como también sucede
a la hora de asegurar la disponibilidad de los recursos necesarios para la ejecución de esta tarea. En muchos casos, como frente a
un desastre natural, es indispensable disponer de recursos en un punto geográfico diferente para poder responder al incidente.
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes 4
Fase de identificación
Es muy importante fijar como propósito la identificación de la ocurrencia de un incidente y determinar los detalles de este. Esta
etapa permite el reconocimiento de un suceso adverso para luego tomar las acciones necesarias.
Las actividades que comprenden esta fase son:
Asignar la propiedad de un incidente posible o incluso real a un administrador de incidentes.
Verificar reportes y cerciorar que realmente se trata de un incidente.
Asignar una cadena de custodia sobre las potenciales evidencias.
Determinar y escalar la gravedad del incidente.
Fase de contención
Una vez que se ha identificado y confirmado el incidente, se debe compartir toda la información con el administrador de
incidentes. El equipo especializado debe llevar a cabo una evaluación completa de la situación. Además, se debe contactar a los
encargados de los sistemas que se vieron afectados por el incidente, con el fin de coordinar las acciones que se llevarán a cabo.
Esta fase tiene como propósito la limitación de la exposición que puede sufrir la organización como resultado del incidente.
Algunas de las actividades que se ejecutan es esta etapa son:
Activar el equipo de gestión y respuesta de incidentes a fin de contener el incidente ocurrido.
Notificar a las partes que hayan sido afectadas por el incidente.
Involucrar al sector de IT para implementar métodos y medidas de contención.
Obtener y mantener la evidencia.
Documentar y generar respaldos de las acciones tomadas.
Fase de erradicación
El objetivo de esta fase es eliminar la causa del incidente. La erradicación se puede llevar a cabo de varias formas: el
restablecimiento del sistema a un estado seguro en el pasado, la eliminación de la causa raíz, el análisis de la vulnerabilidad para
evitar futuros incidentes que puedan ocurrir de la misma causa raíz, entre otras alternativas.
Las actividades de esta fase incluyen:
Determinar las causas del incidente.
Estimar la versión más reciente de los respaldos con los que se cuenta.
Eliminar la causa raíz.
Realizar un análisis para detectar nuevas vulnerabilidades que puedan haber surgido a partir del incidente.
Fase de recuperación
Esta fase es la que garantiza que los sistemas o servicios afectados se restablezcan adecuadamente y queden totalmente
funcionales. Esta etapa, posiblemente, es la que más impacta en la organización, ya que es la que le permite volver a la
operatoria normal.
Algunas de las actividades que se realizan son:
Restablecer las operaciones a su estado normal.
Validar las acciones que fueron tomadas.
Informar a las personas que operan los sistemas afectados del restablecimiento de la operatoria normal. Asimismo,
dicho personal debe ser incluido en las pruebas a fin de tener conocimiento de los detalles.
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes 5
Fase de lecciones aprendidas
En esta última fase se debe elaborar un reporte en donde se documente todo lo sucedido. Este documento debe especificar
cuáles fueron las medidas que se tomaron, así como también los resultados obtenidos luego de haber aplicado el plan de
respuesta. Posteriormente, todo lo documentado debe utilizarse para desarrollar mejoras en la capacidad de gestión de
incidentes.
Las actividades que comprenden esta fase son:
Redactar un reporte detallando todos los aspectos importantes del incidente.
Analizar los problemas encontrados y proponer mejoras.
Presentar el reporte a quienes corresponda.
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes 6
Copyright © 2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas
registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET, spol. s.r.o.
© ESET, 2012
Acerca de ESET
Con 25 años de trayectoria en la industria de la seguridad de la información, ESET es una compañía global de soluciones de
software de seguridad, creadora del legendario ESET NOD32 Antivirus y orientada a proveer protección de última generación
contra amenazas informáticas. Actualmente cuenta con oficinas centrales en Bratislava (Eslovaquia) y de Coordinación en San
Diego (Estados Unidos) Buenos Aires (Argentina) y Singapur. Además, posee otras sedes en Londres (Reino Unido), Praga
(República Checa), Cracovia (Polonia), Jena (Alemania) San Pablo (Brasil) y México DF (México).
Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de
profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un Laboratorio de
Investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.
La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una
navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de
seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.
Para más información, visite www.eset‐la.com