Gestión y respuesta de incidentes

Módulo 2: Metodologías para la gestión de incidentes

 Gestión y respuesta de incidentes

Contenido

Etapa de preparación ........................................................................................................................................................ 3

Etapa de detección y análisis ............................................................................................................................................ 4
Indicadores.................................................................................................................................................................... 4
Precursores ................................................................................................................................................................... 4
Consideraciones ............................................................................................................................................................ 5
Etapa de contención, resolución y recuperación.............................................................................................................. 6
Acciones posteriores al cierre ........................................................................................................................................... 6
Métricas y costo ............................................................................................................................................................ 6
 Gestión y respuesta de incidentes

Introducción
En este módulo, se tratarán temas referidos a las diferentes metodologías que permiten implementar un plan de
respuesta a incidentes.

Para desarrollar un plan de gestión de incidentes se involucran diferentes etapas. Cada una de ellas se describirá de
forma tal que se puedan delimitar las responsabilidades y el alcance. La planificación de las etapas y la ejecución de
las mismas, respetando las jerarquías, darán la estructura necesaria para completar un proceso de gestión de
incidentes. Asimismo, dentro de cada etapa existen diferentes metodologías para poder implementar los
procedimientos necesarios.

El ciclo está compuesto por cuatro etapas que se detallarán a lo largo de este módulo:

Etapa de preparación
La etapa de preparación es el pilar fundamental para una gestión efectiva de los incidentes. Esta etapa contempla
tanto el establecimiento de la capacidad de respuesta a incidentes como la prevención de los mismos. Existen ciertos
procedimientos que permiten una mejor preparación ante eventos adversos. Los medios de gestión se enfocan en la
administración para mejorar el manejo de los incidentes. Asimismo, la capacidad de respuesta permite una reacción
eficiente ante la aparición de un incidente. Los eventos adversos pueden originarse y materializarse de diferentes
maneras, es por esto que debe desarrollarse una política de gestión y procedimientos que permitan tratar los tipos de
incidentes con más probabilidad de ocurrencia o que pueden tener mayor impacto dentro de la empresa.
 Gestión y respuesta de incidentes

En este sentido, en necesario contemplar un factor vital en lo que respecta a la respuesta frente a un incidente: la
capacidad de respuesta. Para esto, se deben considerar los siguientes factores:

Factores
Existencia de personal para la respuesta a
incidentes
Existencia de documentación específica sobre los
sistemas presentes y redes.
Evaluación de la existencia de informes sobre la
actividad.
Detalles
Puede estar compuesto por un equipo o ser
posiciones unipersonales.
Permite determinar el inventario de activos y los
procedimientos y ficheros de configuración.
Permite obtener información específica de redes
y sistemas. De esta manera, es posible diferenciar
la operatoria normal de la anormal, a fin de
detectar actividades no deseadas.

Etapa de detección y análisis

Las actividades que comprenden la etapa de detección y análisis de incidentes pueden afectar a la empresa de forma
directa, ya que son las que determinan el curso de las actividades que se realizarán posteriormente. Si no se
contemplara esta instancia, la empresa podría pasar un evento adverso por alto pudiendo afectar la continuidad del
negocio. La detección de “signos indicadores y precursores de incidentes” pueden ser determinantes para mejorar la
respuesta frente a un incidente.

Los signos de un incidente pueden ser de dos tipos:

Indicadores
Estos signos indican la ocurrencia de un incidente, por ejemplo, el alerta de un sensor que avisa que ha ocurrido algún
tipo de error de software en un servidor, o bien, un antivirus que informa sobre una infección en uno o varios sistemas
pertenecientes a la empresa.

Precursores
Estos signos permiten determinar la posibilidad de existencia de un incidente en el futuro, por ejemplo, el escaneo de
puertos de determinados sistemas de la empresa para controlar cuáles están disponibles, o la mitigación de ciertas
vulnerabilidades en los sistemas de la empresa, debido a la existencia un exploit publicado recientemente que puede
poner en riesgo los activos corporativos.

Frente a estos tipos de indicadores, se deben poner en marcha determinadas acciones. En el caso de los signos
indicadores, deberían contemplarse acciones reactivas previstas por la empresa, mientras que en el caso de los signos
precursores, se deben tomar acciones preventivas debido a que el incidente aún no ha ocurrido y todavía existe
posibilidad de evitarlo.
 Gestión y respuesta de incidentes

Analizando los signos precursores e indicadores se pueden determinar distintas fuentes que brinden información. En
la siguiente tabla se indican algunos ejemplos:

Fuente Detalle
Incluye sistemas de detección y prevención de
intrusiones (IPS/IDS), software antivirus, firewall,
Alerta de software
sistemas de monitorización de servicios, entre
otras alternativas.
Especifican los eventos ocurridos en los sistemas
de vital importancia para la organización. Por
Logs
ejemplo, los logs del sistema operativo, de los
dispositivos de red y de aplicaciones de terceros.
Empleados de la propia compañía que informan
Personal
sobre la posible materialización de incidentes.
Contempla la existencia de vulnerabilidades y
exploits, sitios webs, foros o incluso listas de
Información pública
correos de especialistas donde se haga referencia
a experiencias de incidentes.

Consideraciones
La actividad dentro de las redes de una compañía puede brindar información para la detección y análisis de los
incidentes. El conocimiento y la interiorización en estas funcionalidades, permiten establecer parámetros y mediciones
sobre el comportamiento natural y normal de la red dentro de una compañía. De esta forma, es posible incorporar
conocimiento sobre las métricas de las redes y los sistemas de la organización.

Respecto a los logs, existe la posibilidad de establecer uno o más servidores de la empresa donde se pueden consolidar
y conservar los ficheros de los distintos sistemas existentes. Específicamente, estos archivos deben estar relacionados
con los cortafuegos (firewalls), los dispositivos de comunicaciones y sistemas de detección y prevención de intrusiones.
El concepto a destacar en este caso, es la correlación entre la información de los diferentes logs.

Es necesario recurrir, además, a lo que se conoce como clasificación y priorización de los incidentes. Esto consiste en
que una vez que se detecta un incidente, se lo clasifica en uno de los tipos que se contemplaron en los procedimientos
de gestión. Si no es posible realizar tal acción, se debe recurrir al tratamiento de dicho incidente mediante un
procedimiento genérico de gestión de incidentes.

Asimismo, el análisis de las particularidades de los incidentes es de suma importancia. Se contemplan las
características y los factores tales como el número y tipo de recursos afectados. La criticidad que posean estos recursos
dentro de la empresa, será determinante en el impacto para la organización y el orden de prioridad en el tratamiento
de los incidentes. En caso de que surja más de uno simultáneamente, la prioridad será clave para poder resolverlo.

Finalmente, se torna necesaria la notificación del incidente. Una vez detectado, analizado y determinada su prioridad
de acuerdo con algún factor de peso dentro de la organización, el equipo de respuesta realizará la notificación al
personal responsable. Además, se debe considerar la notificación a otras organizaciones o clientes que puedan ser
afectados.
 Gestión y respuesta de incidentes

Etapa de contención, resolución y

recuperación
Las estrategias de contención son la primera instancia para aplacar el propio incidente. Asimismo, se deben
complementar con una correcta verificación para corroborar si es necesario eliminar o limpiar algún componente
asociado al incidente y proceder a la recuperación de la operativa normal en la empresa. Por ejemplo, en caso de que
un servidor perteneciente a la compañía sufra la explotación de una vulnerabilidad, es aconsejable contar con un
servidor espejo para poder responder hasta que se tomen las medidas adecuadas.

Las actividades de resolución se realizan para poder llevar a cabo la eliminación de los componentes asociados al
incidente y a otras actividades que se consideren adecuadas para resolver o prevenir futuras ocurrencias. Para citar
algunos ejemplos, se puede mencionar la instalación de parches de seguridad, los cambios en las reglas de los
cortafuegos, entre otros.

Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar backups,
reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar
contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos, entre otras.

Acciones posteriores al cierre

Una vez que el incidente ha sido contenido y se ha llevado a cabo el proceso de recuperación correspondiente, se debe
realizar un estudio analizando las características de los incidentes, el impacto y las acciones que se realizaron para la
detección, el análisis y la recuperación.

Es recomendable implementar un formulario que describa el contexto completo del incidente, es decir, el origen y la
persona que detectó el incidente, los servicios y sistemas afectados, la fecha/hora de inicio y cierre, el responsable de
la gestión del incidente y las acciones tomadas para la resolución del mismo.

Métricas y costo
Por último, es recomendable el ejercicio de analizar las métricas sobre los tipos de incidentes que han ocurrido en la
empresa y la frecuencia de los mismos. Además, otra buena práctica que puede realizarse, es un estudio sobre el
impacto financiero, obligaciones legales, imagen frente a terceros o incluso cómo afectó a nivel operativo la empresa.
Otro punto importante para destacar, es el estudio de los métodos de resolución, costo en la resolución de incidentes
y acciones correctivas o preventivas. Todas estas actividades, se pueden utilizar en un ciclo de realimentación que
afina el proceso completo de respuesta a incidentes, permitiendo obtener una mejora continua.