Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1: Incidentes de
Seguridad en TI
Evento
El término evento proviene del latín eventus y, de acuerdo al diccionario
de la Real Academia Española (RAE), tiene tres grandes usos.
Alerta
1. Atento, vigilante.
2. Situación de vigilancia o atención.
3. Aviso o llamada para ejercer vigilancia.
4. Con vigilancia y atención.
5. Para excitar a la vigilancia.
Incidente
Evento Adverso.
i. Concepto de Incidente de Seguridad
Evento de Seguridad
Ejemplos
Son ejemplos de este tipo de eventos:
Un usuario que se conecta a un sistema.
Un intento fallido de un usuario para ingresar a una aplicación.
Un firewall que permite o bloquea un acceso.
Una notificación de cambio de contraseña de un usuario privilegiado,
etc.
Se debe destacar que un Evento de Seguridad Informática no es
necesariamente una ocurrencia maliciosa o adversa.
i. Concepto de Incidente de Seguridad
Incidente de seguridad
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
Incidente de seguridad
Incidente de seguridad
Incidente de seguridad
Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
3. Determine para cada uno de estos, el evento que debe generar la alerta
correspondiente.
Seleccione un Líder
i. Concepto de Incidente de Seguridad
Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna
política de uso de recursos.
i. Concepto de Incidente de Seguridad
Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este
tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear
nuevas categorías.
Unidad temática No.1: Incidentes de
Seguridad en TI
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
ii. Plan y procedimientos de respuesta a incidentes en TI
Plan de Respuesta
Plan de Respuesta
Plan de Respuesta
Plan de Respuesta
Alcance y objetivos del plan. Esta parte del plan define los elementos
fundamentales del plan, lo que se supone que debe lograr y lo que aborda.
Plan de Respuesta
Pasos del proceso de notificación. Es esencial proporcionar información
sobre el incidente a los individuos designados lo antes posible. En esta
sección se define quién se debe contactar, la rapidez con que se debe
contactar después de que ocurra un incidente y la información que debe ser
comunicada.
Plan de Respuesta
Pasos del proceso de declaración. Esta sección proporciona criterios para
que el equipo de respuesta a incidentes pueda declarar un desastre o
proporcionar información a las personas designadas (por ejemplo, los
ejecutivos de la empresa) para que puedan declarar oficialmente un
desastre.
Pasos del proceso de escalamiento. Información sobre la evolución de los
hechos y su expansión (o descenso) es esencial para los socorristas u otras
personas designadas en el plan si las actividades de respuesta a incidentes
deben ser aumentadas (o recortadas).
Decisión de poner en marcha actividades de emergencia adicionales. Con
base en evaluaciones de los miembros del equipo de respuesta a incidentes,
socorristas y otras personas autorizadas, puede requerirse la toma de
decisiones para poner en marcha actividades de respuesta adicionales, tales
como el lanzamiento de un plan de evacuación o de un refugio.
ii. Plan y procedimientos de respuesta a incidentes en TI
Plan de Respuesta
Pasos para desactivar el Plan de Respuesta a Incidentes. Si la situación se
puede llevar con éxito a una conclusión, o si los primeros en responder
toman el control de la situación, en esta sección se describen los
procedimientos para desactivar el plan y retirar el equipo de respuesta a
incidentes.
Plan de Respuesta
Planificar las actividades de mantenimiento. Los planes de respuesta a
incidentes deben tener las actualizaciones programadas para validar los
nombres y datos de contacto de los miembros del equipo, así como cualquier
otra información relevante del plan.
Revisión del plan y mejora continua. Los propietarios del plan deben
programar revisiones periódicas para asegurarse de que el documento está
actualizado, y también deben programarse mejoras para asegurar que el plan
sigue siendo pertinente (por ejemplo, auditorías).
Actividad – Taller 2
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
iii. Análisis y detección de Incidentes
Incidente – Detección
Los indicadores son los eventos que nos señalan que posiblemente un
incidente ha ocurrido generalmente algunos de estos elementos son:
Incidente – Detección
• Logs de servidores
• Logs de aplicaciones
• Logs de herramientas de seguridad
• Cualquier otra herramienta que permita la identificación de un
incidente de seguridad.
Análisis
Análisis
Análisis
Evaluación
• Alto Impacto
• Medio Impacto
• Bajo Impacto
iii. Análisis y detección de Incidentes
Evaluación
La severidad del incidente puede ser:
Evaluación
La severidad del incidente puede ser:
• Prioridad
• Criticidad de impacto
• Impacto Actual
• Impacto Futuro
Tiempos de respuesta
Deben definirse tiempos de respuesta asociados a la criticidad e impacto
de cada tipo de incidente, permitiendo que los actores involucrados
intervengan oportunamente.
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
iv. Tratamiento de Incidentes
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio
• Tiempo y recursos para implementar la estrategia
• Efectividad de la estrategia para contener el incidente (parcial o total)
• Duración de la solución
Lecciones Aprendidas
Mantener un adecuado registro de lecciones aprendidas permite conocer: