Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Definir los actores que estarán involucrados en Detecte la infección La célula de crisis deberá de realizar y monitorear las
la célula de crisis dentro de cada entidad. Estos Se debe recopilar y analizar la información proveniente siguientes acciones:
actores deberán estar especificados en una lista de diferentes fuentes:
de contactos permanentemente actualizada. 1. Desconecte el área infectada de Internet
• Bitácoras de antivirus,
• Asegúrese que las herramientas de análisis • Sistemas de Detección de Intrusión (IDS), 2. Aísle el área infectada. Desconéctela de
(antivirus, IDS, analizadores de logs) estén • Intentos sospechosos de conexión a servidores, cualquier red
activas, funcionales, no comprometidas y • Gran cantidad de cuentas bloqueadas,
actualizadas. • Tráfico de red sospechoso, 3. Si no se puede desconectar del tráfico crítico,
permítalo después de asegurarse que no es un
• Intentos sospechosos de conexión a los
Asegúrese de tener un mapa de la arquitectura vector de infección o después de aplicar
• firewalls,
de sus redes técnicas validadas de elusión.
• Gran incremento en llamadas a Soporte,
• Cargas altas o sistemas “colgados”, 4. Neutralice los vectores de propagación. Un
• Asegúrese de tener disponible un inventario • Grandes volúmenes de email enviados, vector de propagación puede ser cualquier cosa
actualizado de activos
desde el tráfico de red hasta una falla en el
Si se observan uno o mas de estos síntomas, deberán software. Se aplicarán contramedidas
• Realice una observación contínua de seguridad de contactarse a los actores definidos en la etapa relevantes (parches, bloqueo de tráfico,
e informe sobre las tendencias de amenazas a “Preparación” y si es necesario, crear una célula de deshabilitar dispositivos, etc.) Por ejemplo, se
las personas a cargo de la seguridad. crisis. pueden emplear las siguientes:
• Herramientas de despliegue de parches
Identifique la infección (WSUS),
Analice los síntomas para identificar el gusano, sus
• Windows GPO,
vectores de propagación y contramedidas.
• Reglas de firewall,
Se pueden hallar pistas en: • Procedimientos operacionales.
Boletines de CERTs, 5. Repita los pasos 2 al 4 en cada sub-área del
Contactos externos de soporte (casas de antivirus, etc.), área infectada hasta que el gusano deje de
Sitios de Seguridad (Secunia, SecurityFocus, etc.) propagarse. Si es posible, monitoree la infección
empleando herramientas de análisis (consola
Notifique al Jefe de Seguridad de la Información. del antivirus, bitácoras de servidor, llamadas a
Contacte a su CSIRT si es necesario. Soporte)