Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Informática
Julio Ardita
jardita@cybsec.com
CYBSEC
Manejo y Análisis de Incidentes de Seguridad Informática
Agenda
Incidentes en Argentina
70% 63%
58%
60% 52%
50% Sistemas interno s
0%
Año 2002 Año 2003 Año 2004
Incidentes en Argentina
40%
35%
29% Año 2002
30%
25% 22% Año 2003
20% Año 2004
15% 12%
10% 6% 7% 7%
4% 3%
5% 1% 2% 2% 2% 1% 2%
0%
De S F C Ac V Fr A Pe Sa R Ro M O
ne pa m ra u ap
t
ce i ru
s
a u bu
s n e b o
ob
o bo od tro
ga m d u s o d o t t de i fica s
ci ó in e te ra d no
e
f in
de ra c aje
ió
de
no c ió
n g le e au an la in
d n f
de e fó n in fo t ci e c ce d orm teb n de
s e c or ic o rm oriz ro so e s ac oo
pa
rv re ac a a is ión k
ic i o do i te gin
o el ió p nt m c a
ec n or ern as o nf we
tró pe et id b
ni rs enc
co on ia
al l
i ..
.
Incidentes en Argentina
16
14
12
Cantidad
10
8
6
4
2
0
2001 2002 200 3 200 4 200 5 200 6 200 7
Año
- Fraude financiero
- Los intrusos “saben” más técnicas para evitar que los rastreen
Tips:
- No ocultarlo. ”Las malas noticias hay que darlas rápido” (Silvio Szostak)
- Mantener la calma por la situación personal del CSO
- No comenzar buscando culpables
- Obtener información de primera mano y verificarla
- Establecer un Plan de Acción y coordinarlo
120
100 0 hs
% Nivel de Atención
80 12 hs
60
24 hs
40
20 48 hs
72 hs
0 96 hs
Tiempo
Procedimientos necesarios:
- Detección y Denuncia de Incidentes
- Recepción y Análisis de Incidentes
- Neutralización del ataque
- Búsqueda de información y rastreo del intruso
- Secuestro y preservación de evidencia
- Recuperación de datos o sistemas afectados
- Restauración de la información
- Cierre y documentación del proceso de manejo de incidentes
2. Verificar la información.
Documentar la Escena
¿Secuestrar Si
Capturar volátiles
volátiles?
Hacer imágenes
Generar
Investigar en el Laboratorio
Conclusiones
Si ¿Volver a buscar más
información?
Julio Ardita
jardita@cybsec.com
CYBSEC