Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Plan de Respuestas A Incidentes

    Cargado por

    wacheco
    352 vistas6 páginas
    Este plan de respuesta a incidentes define lo que constituye un incidente y describe las fases del ciclo de vida de la respuesta, incluida la preparación, el descubrimiento, la notificación, el análisis, la estrategia de respuesta, la contención, la prevención de reinfecciones, la restauración de sistemas, la documentación, la preservación de pruebas y la revisión de políticas. El objetivo es proteger los recursos de la organización y minimizar el impacto de los incidentes de seguridad.

    Descripción original:

    Título original

    Plan de Respuestas a Incidentes

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este plan de respuesta a incidentes define lo que constituye un incidente y describe las fases del ciclo de vida de la respuesta, incluida la preparación, el descubrimiento, la notificación, el análisis, la estrategia de respuesta, la contención, la prevención de reinfecciones, la restauración de sistemas, la documentación, la preservación de pruebas y la revisión de políticas. El objetivo es proteger los recursos de la organización y minimizar el impacto de los incidentes de seguridad.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    352 vistas6 páginas

    Plan de Respuestas A Incidentes

    Cargado por

    wacheco
    Este plan de respuesta a incidentes define lo que constituye un incidente y describe las fases del ciclo de vida de la respuesta, incluida la preparación, el descubrimiento, la notificación, el análisis, la estrategia de respuesta, la contención, la prevención de reinfecciones, la restauración de sistemas, la documentación, la preservación de pruebas y la revisión de políticas. El objetivo es proteger los recursos de la organización y minimizar el impacto de los incidentes de seguridad.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Plan de Respuesta a Incidentes

    1.0 Descripción General


    Este plan de respuesta a incidentes define lo que constituye un incidente de
    seguridad y esboza las fases de respuesta a incidentes. El documento de plan
    de respuesta a incidentes explica cómo la información pasa al personal
    adecuado, la evaluación del incidente, la minimización de los daños y
    estrategia de respuesta, la documentación y la preservación de las pruebas. El
    plan de respuesta a incidentes definirá áreas de responsabilidad y establecerá
    los procedimientos de entrega de los diversos incidentes de seguridad. Este
    documento analiza las consideraciones necesarias para construir un plan de
    respuesta a incidentes.

    2.0 Propósito
    Esta política está diseñada para proteger los recursos de la organización contra
    la intrusión.

    3.0 Objetivos de la Respuesta a Incidentes


    1. Verificar que un incidente se ha producido.
    2. Mantener o restaurar la continuidad del negocio.
    3. Reducir el impacto del incidente.
    4. Determinar la forma en que el ataque se convirtió en incidente.
    5. Prevenir futuros ataques o incidentes.
    6. Mejorar la seguridad y respuesta a incidentes.
    7. Perseguir las actividades ilegales.
    8. Mantenerse informado de la gestión de la situación y la respuesta.

    4.0 Definición de Incidente


    Un incidente es uno o cualquiera de los siguientes:
    1. Pérdida de información confidencial (robo de datos)
    2. Compromiso de la integridad de la información (daños a datos o
    modificaciones no autorizadas).
    3. Robo de activos de TI físicos incluyendo computadoras, dispositivos de
    almacenamiento, impresoras, etc.
    4. Daños a los activos de TI físicos incluyendo computadoras, dispositivos
    de almacenamiento, impresoras, etc
    5. Denegación de servicio.
    6. Uso indebido de los servicios, información o activos.
    7. Infección de los sistemas por software no autorizado.
    8. Intento de acceso no autorizado.
    9. Cambios no autorizados a la organización de hardware, software, o la
    configuración.
    10. Reportes de comportamientos inusuales del sistema.
    11. Respuesta a las alarmas de detección de intrusos.

    5.0 Planificación de Incidentes


    En el plan de respuesta a incidentes, haga lo siguiente:
    1. Definir los roles y responsabilidades
    2. Establecer procedimientos detallados de las medidas a tomar durante el
    incidente.
    1. Detalle de las acciones basadas en el tipo de incidente, como virus,
    intrusiones de hackers, robo de datos, sistema de destrucción.
    2. Los procedimientos deben considerar las amenazas a los sistemas o
    datos críticos.
    3. Examinar si el incidente está en curso o realizado.

    6.0 Ciclo de Vida a la Respuesta a Incidentes

    1. Preparación para incidentes


    1. Políticas y Procedimientos
    • Políticas de Seguridad – Estas cubren muchas de las políticas
    incluyendo las de contraseña, detección de intrusos, control de la
    propiedad de los bienes, de evaluación de datos, y otros.
    • Procedimientos de Respuesta a Incidentes.
    • Procedimientos de Backup y Recuperación.
    2. Implementar políticas con herramientas de seguridad que incluyen
    firewalls, sistemas de detección de intrusos, y otros elementos necesarios.
    3. Colocar banners de advertencia contra el uso no autorizado en los
    puntos de acceso del sistema.
    4. Establecer directrices de respuesta considerando y discutiendo posibles
    escenarios.
    5. Capacitación de los usuarios sobre la seguridad y entrenar a personal de
    TI en el manejo de situaciones de seguridad y el reconocimiento de intrusiones.
    6. Establecer Contactos – la información de contacto de los miembros del
    equipo de respuesta de incidentes deben estar fácilmente disponible. Un
    procedimiento de contacto de emergencia debería ser establecido. Debe haber
    una lista de contactos con los nombres figurando la prioridad de los contactos.
    7. Prueba del proceso.

    2. Descubrimiento - Alguien descubre que algo no anda bien o es


    sospechoso. Esto quizás puede provenir de cualquiera de las siguientes
    fuentes:
    • Helpdesk
    • Sistema de detección de intrusos
    • Un administrador del sistema
    • Un administrador del firewall
    • Un socio de negocios
    • Un equipo de monitoreo
    • Un gerente
    • El departamento de seguridad o una persona de seguridad.
    • Una fuente externa.

    3. Notificación - El procedimiento de contacto de emergencia se utiliza


    para ponerse en contacto con el equipo de respuesta a incidentes.
    4. Análisis y Evaluación - Son muchos los factores que determinarán la
    respuesta adecuada, lo cual incluye:
    • Si el incidente es real o percibido?
    • El incidente aún está en curso?
    • ¿Qué datos o propiedades se ven amenazados y que tan crítico es?
    • ¿Cuál es el impacto sobre el negocio en caso de que el ataque tenga
    éxito? Mínimo, grave o crítico?
    • ¿A qué sistema o sistemas se dirigen, dónde están ubicados físicamente
    y en la red?
    • El incidente se encuentra en el interior de la red de confianza?

    5. Estrategia de respuesta - Determinar una estrategia de respuesta.


    • Es la respuesta urgente?
    • Puede ser ubicado rápidamente el incidente?
    • Será la respuesta de alerta de un atacante lo que nos importa?

    6. Contención - Adoptar medidas para prevenir nueva intrusión o daño y


    eliminar la causa del problema. Puede necesitar:
    • Desconecte el sistema afectado (s)
    • Cambie las contraseñas.
    • Bloquear algunos puertos o algunas conexiones de direcciones IP.

    7. Prevención de la re-infección
    1. Determinar la forma en que ocurrió la intrusión - Determinar la fuente de
    la intrusión si es el correo electrónico, formación inadecuada, ataque a través
    de un puerto, un ataque a través de servicios innecesarios, debido al ataque sin
    parchar el sistema o aplicación.
    2. Tomar medidas inmediatas para evitar una nueva infección que puede
    incluir uno o más de:
    • Cerrar un puerto en un servidor de seguridad
    • La revisión del sistema afectado
    • Apague el sistema infectado hasta que se pueda volver a instalar
    • Vuelva a instalar el sistema infectado y restaurar los datos de copia de
    seguridad. Asegúrese de que la copia de seguridad se haya hecho antes
    de la infección.
    • Cambiar configuración de correo electrónico para evitar que un tipo de
    archivo adjunto que se permiten a través del sistema de correo
    electrónico.
    • Plan de formación para algunos usuarios.
    • Desactivar los servicios sin utilizar en el sistema afectado.

    8. Restaurar los sistemas afectados - Restaurar los sistemas afectados a


    su estado original. Asegúrese de conservar las pruebas en contra de la
    intrusión de copias de seguridad de los registros o, posiblemente, todo el
    sistema. Dependiendo de la situación, restaurar el sistema podría incluir una o
    más de lo siguiente:
    • Vuelva a instalar el sistema afectado (s) a partir de cero y la restauración
    de datos de copias de seguridad si es necesario. Asegúrese de
    conservar las pruebas en contra de la intrusión de copias de seguridad
    de los registros o, posiblemente, todo el sistema.
    • Los usuarios pueden cambiar las contraseñas, si las contraseñas han
    sido interceptadas.
    • Asegúrese de que el sistema se ha establecido para desactivar o
    desinstalar los servicios no utilizados.
    • Asegúrese de que el sistema está completamente parchado.
    • Asegúrese de que la protección antivirus en tiempo real y detección de
    intrusos se está ejecutando.
    • Asegúrese de que el sistema es el correcto registro de los artículos

    9. Documentación - Documento sobre lo que se descubrió del incidente


    incluyendo la forma en que se produjo, cuando se produjo el ataque a partir de
    la respuesta, si la respuesta fue efectiva.

    10. Preservación de pruebas - Haga copias de los registros, correo


    electrónico y otros documentos de comunicación. Mantener las listas de
    testigos.

    11. Adecuada notificación de las agencias externas - Notificar a la policía


    en caso de persecución del intruso si es posible.
    12. Evaluar los daños y el costo - Evaluar los daños a la organización y
    estimación de costos, tanto los daños y el costo de los esfuerzos de
    contención.

    13. Revisión y actualización de políticas de respuesta - Plan de


    prevención y toma de medidas para que la intrusión no pueda volver a ocurrir.
    • Considere si una política podría haber evitado la intrusión.
    • Considere si una política o procedimiento no se siguió, lo que permitió la
    intrusión y, a continuación, estudiar qué se podría cambiar para
    asegurarse de que el procedimiento o la política sea seguida en el
    futuro.
    • ¿Fue la respuesta a incidentes apropiado? ¿Cómo podría ser mejorado?
    • Se informó a todas las partes apropiadas de manera oportuna?
    • ¿Fueron los procedimientos de respuesta a incidentes detallados y
    cubrieron toda la situación? ¿Cómo pueden mejorarlo?
    • ¿Los cambios han sido realizados para evitar una re-infección de la
    infección? Están todos los sistemas parcheados, los sistemas cerrados,
    cambiar contraseñas, antivirus actualizados, establecer políticas de
    correo electrónico, etc?
    • ¿Los cambios han sido realizados para evitar una nueva infección y
    similares?
    • ¿Debería actualizarse cualquier política de seguridad?
    • ¿Qué lecciones se han aprendido de esta experiencia?

    También podría gustarte