Fase de Erradicación y Recuperación ( Fase de remediación)

Fase de remediación
La fase de remediación sigue los siguientes objetivos:
Objetivos de la fase  Contiene el mecanismo tecnico de la “Violación de Datos”
 Erradicar el mecanismo técnico de la “Violacipon de Datos”
 Recuperar los sistemas afectados y los servicios a un estado de “igual que siempre”

Actividad Descripción Stakeholders

Erradicación Activities may include, but are not limited to:

Eliminar todo tipo de malware identificado durante la fase de análisis usando las  Information Security Manager
herramientas adecuadas.  Core IT CIRT

Eliminar todo tipo de artefactos identificados y que fueron usados para la filtración de  Information Security Manager
datos, tales como scripts, código y archivos binarios  Core IT CIRT

Deshabilitar el sistema y la cuenta de usuario que se usó como conducto para realizar el  Information Security Manager
ataque.  Core IT CIRT

Identificar métodos de eliminación por parte de fuentes confiables, como lo son los  Information Security Manager
proveedores de software de antivirus  Core IT CIRT
 Completar un proceso automatizado o manual para remover malware, usando  Information Security Manager
herramientas apropiadas.  Core IT CIRT

Realizar una restauración de los sistemas de red afectados usando una copia de  Information Security Manager
seguridad de confianza.  Core IT CIRT

Re-instalar cualquier sistema independiente a partir de una copia de seguridad limpia del  Information Security Manager
sistema operativo, antes de hacer una actualización usando una copia de seguridad de  Core IT CIRT
datos confiable.

Cambiar todos los detalles de las cuentas afectadas  Information Security Manager
 Core IT CIRT

 Information Security Manager

Se debe confirmar el cumplimiento de la política en la organización  Core IT CIRT
 CIRT

Activity Description Stakeholders

Recuperación Activities may include, but are not limited to:

Recuperar los sistemas basados en el análisis de impacto empresarial y criticidad  Information Security Manager
empresarial.  Core IT CIRT
 CIRT

Escanar completamente todos los sistemas con antivirus y anti malware.  Information Security Manager
 Core IT CIRT
Reconfigurar las credenciales de todos los sistemas involucrados, incluyendo los detalles  Information Security Manager
de la cuenta de los usuarios.  Core IT CIRT

Reintegrar los sistemas previamente comprometidos  Information Security Manager

 Core IT CIRT

Restaurar la data dañada o destruida  Information Security Manager

 Core IT CIRT

Restaurar cualquier servicio suspendido  Information Security Manager

 Core IT CIRT

 Information Security Manager

Establecer un monitoreo para detectar otras actividades sospechosas  CIRT
 SIEM Provider

Coordinar la implementación de cualquier parche necesario o coordinar las actividades  Information Security Manager
de remediación de vulnerabilidades.  Core IT CIRT