5.

¿En las clasificaciones de las incidencias en las redes, cuál cree usted es la de
mayor importancia?

R// la de mayor importancia seria la 2 incidencia que es la identificación, sería la

más importante ya que con ella se podrá establecer u encontrar la falla real que se
presenta en la red y así mismo poder corregir la falla.

6. ¿Cuáles son las actividades realizadas en el flujo de la gestión de incidencias? y

explique cada una de ellas

R// las actividades realizadas en el flujo de gestión de incidencias son 7, ellas son:

1. Ciclo de vida de la respuesta al incidente Preparación NIST

Es esencial que cada organización esté preparada para lo peor. Entonces, ¿cómo manejarás
la situación? La preparación es clave e implica identificar el comienzo de un incidente,
cómo recuperarlo, cómo hacer que todo vuelva a la normalidad y crear políticas de
seguridad establecidas que incluyen, entre otras:

banderas de advertencia expectativas de privacidad del usuario procesos establecidos de

notificación de incidentes el desarrollo de una política de contención de incidentes creación
de listas de control de manejo de incidentes asegurar que el plan corporativo de
recuperación ante desastres esté actualizado asegurándose de que el proceso de evaluación
de riesgos de seguridad esté funcionando y activo.
Otros aspectos que deben tenerse en cuenta al prepararse son la capacitación y los recursos
de manejo de incidentes previos al despliegue. Cuando se entrena para un incidente, debe
considerar los diferentes tipos de capacitación que su equipo necesita, como soporte de
sistema operativo, técnicas de investigación especializadas, uso de herramientas de
respuesta a incidentes y requisitos de procedimientos ambientales corporativos.

Al analizar los activos de manejo de incidentes implementados previamente, debe

asegurarse de contar con ciertas herramientas en caso de incumplimiento del sistema. Esto
incluye monitorear sus propios sensores, sondas y monitores en sistemas críticos, rastrear
bases de datos en sistemas centrales y completar registros de auditoría activos para todos
los aspectos y componentes de la red del servidor.

2. Identificación
La siguiente etapa de la respuesta al incidente es identificar el incidente real. La primera
pregunta que quiere que su equipo responda es; ¿Es el evento una actividad inusual o más?
Una vez que se haya establecido esa respuesta, querrá verificar algunas áreas del sistema
afectado. Esto incluye entradas sospechosas en la contabilidad del sistema o de la red,
intentos de inicio de sesión excesivos, nuevas cuentas de usuario inexplicadas, nuevos
archivos inesperados, etc.

Después de haber evaluado la situación, hay seis niveles de clasificación cuando se trata de
incidentes. Usted querrá evaluar a cuál pertenece el incidente.
Nivel 1 - Acceso no autorizado
Nivel 2 - Denegación de servicios
Nivel 3 - Código malicioso
Nivel 4 - Uso incorrecto
Nivel 5 - Escaneos / Sondas / Intento de acceso
Nivel 6 - Incidente de investigación

3. Contención

Una vez que su equipo sepa el nivel de incidente con el que están lidiando, el
siguiente paso es contener el problema. La clave aquí es limitar el alcance y la
magnitud del problema en cuestión. Hay dos áreas principales de cobertura al hacer
esto. Estas áreas esenciales de cobertura son; Proteger y mantener disponibles los
recursos de computación críticos cuando sea posible Determinar el estado
operacional de la computadora, sistema o red infectada. Para determinar el estado
operacional de su sistema y / o red infectados, tiene tres opciones: Desconecte el
sistema de la red y permita que continúe las operaciones independientes Apaga todo
de inmediato Continuar permitiendo que el sistema se ejecute en la red y monitorear
las actividades Todas estas opciones son soluciones viables para contener el
problema al comienzo de la respuesta al incidente y deben determinarse a.s.a.p. para
permitir el movimiento a la siguiente etapa.

4. Investigación

Este es el primer paso para determinar qué sucedió realmente con su sistema,
computadora o red. Se debe llevar a cabo una revisión sistemática en todos los
aspectos: copias de bit-stream de las unidades almacenamiento externo memoria en
tiempo real registros de dispositivos de red registros del sistema registros de
aplicaciones y otros datos de apoyo. También debería ser capaz de responder
preguntas tales como; ¿A qué datos se accedió? ¿quién lo hizo? y ¿qué revelan las
revisiones de registro? Es muy importante mantener documentación bien escrita de
todo lo que hace durante la investigación, especialmente debido a que las amenazas
externas pueden requerir la participación de las fuerzas del orden público.

5. Erradicación

La erradicación es el proceso de deshacerse del problema en su computadora, sistema

o red. Este paso solo debería tener lugar después de que se hayan completado todas
las acciones externas e internas. Hay dos aspectos importantes de la erradicación que
debes tener en cuenta. El primero es limpieza. La limpieza generalmente consiste en
ejecutar su software antivirus, desinstalar el software infectado, reconstruir el sistema
operativo o reemplazar todo el disco duro y reconstruir la red. El segundo paso es la
notificación. La notificación siempre incluye personal relevante, tanto por encima
 como por debajo del administrador del equipo de respuesta a incidentes en la cadena
de informes.

6. Recuperación

Aquí es cuando su empresa u organización vuelve a la normalidad. Hay dos pasos

para la recuperación. Restauración del servicio, que se basa en la implementación de
planes de contingencia corporativos Validación del sistema y / o red, prueba y
certificación del sistema como operativo Cualquier componente que se haya visto
comprometido debe volver a certificarse como operativo y seguro.

7. Seguimiento
Después de que todo ha vuelto a la normalidad, hay algunas preguntas de
seguimiento que deben responderse para garantizar que el proceso sea suficiente y
efectivo.
¿Había suficiente preparación?
¿La detección ocurrió de manera oportuna?
¿Las comunicaciones fueron conducidas claramente?
¿Cuál fue el costo del incidente?
¿Tuviste un Plan de Continuidad del Negocio en su lugar?
¿Cómo podemos evitar que vuelva a suceder?
Una vez que se responden estas preguntas y se realizan las mejoras necesarias, su
empresa y el equipo de respuesta a incidentes deben estar listos para repetir el
proceso. Este proceso puede ayudar a su organización a mantener segura su valiosa
información personal.

8. ¿Cuál de los sistemas informáticos de Gestión de Incidencias considera

aplicable a la red que se viene trabajando en el grupo?

R// pues en lo personal creería que la opción de investigación, ya que esta opción nos
da la posibilidad de determinar qué sucedió realmente con su sistema, computadora o
red. Se debe llevar a cabo una revisión sistemática en todos los aspectos: copias de
bit-stream de las unidades almacenamiento externo memoria en tiempo real registros
de dispositivos de red registros del sistema registros de aplicaciones y otros datos de
apoyo.

9. ¿Para resolver incidencias se deben de determinar los procesos que se afectan

para así determinar los pasos a seguir para dar solución?

R// se creería que es lo más conveniente, ya que a medida que se van siguiendo los
procesos podemos llegar a encontrar la falla que se presente a fondo y una vez
definida la falla se podrá proceder a darle solución.
10. ¿Al Identificar las incidencias podremos determinar la prioridad en la que se
debe solucionar? ¿Por qué?

R// si, por que una vez se determine la falla que se llegara a presentar podremos
determinar su prioridad y darle solución de inmediato.