Gestión y Respuesta a

Incidentes
Diplomado en Ciberseguridad
Profa: Mildred Echezano
 Objetivos y Visión General

• La gestión y respuesta a incidentes es la parte operativa de la gestión

de riesgos. Se trata de las actividades que tienen lugar como resultado de
ataques no anticipados, pérdidas, robo, accidentes o cualquier otro evento
adverso inesperado que ocurra como resultado de controles fallidos o
inexistentes.
 Incidente de seguridad
• Un Incidente de Seguridad de la Información
es la violación o amenaza inminente a la
Política de Seguridad de la Información
implícita o explícita.
Conceptos • Según la norma ISO 27035, un Incidente de
Seguridad de la Información es indicado por
Generales un único o una serie de eventos seguridad de
la información indeseados o inesperados, que
tienen una probabilidad significativa de
comprometer las operaciones de negocio y de
amenazar la seguridad de la información.
 • Gestión de Incidente de seguridad
• Tiene como objetivo resolver, de la manera más rápida y
eficaz posible, cualquier incidente que cause una interrupción
en los servicios y posible operación del negocio. (ITIL)
Conceptos
Generales • La gestión de incidentes busca calcular y utilizar
adecuadamente los recursos necesarios para aplicar
correctamente las medidas de prevención, detección o
corrección de incidentes de seguridad.
 • La gestión de incidentes se define como la
capacidad para gestionar efectivamente eventos
perjudiciales inesperados con el objeto de
minimizar los impactos y mantener o restaurar
las operaciones normales dentro de los límites
Gestión y de tiempo definidos.
• La respuesta a incidentes es la capacidad
Respuesta a operacional de la gestión de incidentes que
identifica, prepara y responde a los incidentes
para controlar y limitar los daños; proporciona
Incidentes prácticas forenses y de investigación; y
mantiene, recupera y restaura las operaciones
normales tal como se definió en los Acuerdos
de Nivel de Servicio (SLA).
 • Fases de la Gestión de Incidente de
seguridad
• Prevención de Incidentes de Seguridad
• Detección y Reporte de Incidentes
• Clasificación de Incidentes
• Análisis del Incidente
Conceptos • Respuesta al Incidente (Solución)
• Aprender
Generales • Registrar (Plantilla)
• Notificar e Informar (Informe)
• Cierre
• Monitoreo

*Es un compendio basado en la definición dada por varios autores y la

Norma ISO 27035, de Gestión de Incidentes de Seguridad
 • Gestión de Incidente de seguridad
vs
• Gestión de Problemas

Conceptos • A pesar de que existe una fuerte relación entre ambas, no

Generales debe confundirse una con la otra.
• La gestión de incidentes no se preocupa de encontrar y
analizar las causas subyacentes a un determinado incidente
sino principalmente de restaurar el servicio.
 • Investigación forense de seguridad de la información
(Information Security Forensics). Aplicación de técnicas de
investigación y análisis para recolectar, registrar y analizar
información de incidentes de seguridad de la información.

• Equipo de respuesta a incidentes de seguridad de la

información, ISIRT (por sus siglas en inglés Information
Security Incident Response Team). Equipo conformado por

Conceptos miembros confiables de la organización, que cuentan con las

habilidades y competencias para tratar los incidentes de seguridad
de la información, durante el ciclo de vida de éstos.
Generales
• Evento de seguridad de la información. Presencia identificada
de una condición de un sistema, servicio o red, que indica una
posible violación de la política de seguridad de la información o
la falla de las salvaguardas, o una situación desconocida
previamente que puede ser pertinente a la seguridad.
 Preparación/Planificación
Estrategia
Estrategia de la Gestión de Incidentes

Para poder vigilar es necesario que existan primero decisiones. Tener políticas y normativas de seguridad facilitan las respuestas a cuestiones relevantes sobre lo que está
permitido, no lo está, es tolerable pero indeseable o lo que será permitido por cultura de la organización.
Preparación/Planificación
de la Gestión de
Incidentes
•También es importante conocer el entorno
cambiante de las amenazas que forman el
campo de batalla y ser conscientes de cual
es el caldo de cultivo en el que se produce
una intrusión. Al igual que existe el
triángulo del fuego, una intrusión requiere
de tres factores: Datos, un punto de
entrada y una forma de robarlos. De
estos tres elementos, dos son gestionados
por el que defiende.
 ¿Qué debe ser lo primero en hacerse?
No puede defenderse todo y todo no es crítico para el
negocio.

Primer paso: Inventariar activos tecnológicos y de información.

Incluso en las herramientas SIEM existe un importante aspecto a configurar vinculado con los activos en
donde la relevancia o severidad de las alarmas está condicionada por el valor de los activos o las redes en
las que se producen los eventos. Sin un inventario completo de qué aspectos clave son los que inicialmente
deben centrar el despliegue, el equipo de seguridad está perdido y desorientado.
Preparación/Planificación
de la Gestión de
Incidentes

Segundo paso: La identificación de la

criticidad de los activos, debe ser
evaluada a través de un análisis de
riesgo, donde es el negocio que
identificará que es lo crítico.
 Preparación/Planificación de la Gestión de Incidentes
Son numerosos los posibles incidentes de seguridad que pueden ocurrir en un
sistema, una posible clasificación sería.
Tipo de incidente Incidente
Acceso no autorizado con éxito
Robo de Información
Alteración de la información
Acceso no autorizado Borrado de información

Intentos de acceso no autorizado recurrentes y no recurrentes

Mal uso o abuso de los servicios informáticos que necesitan autenticación

Virus
Código malicioso
Troyanos

Denegación de Servicio DoS
Mal uso de recursos
Intentos de obtención de información
Ataques para saturar sistemas, páginas, servicios y provocar su caída y por ende indisponibilidad
Correo electrónico
Violación a la política de Seguridad de Información
Violación de normativa de acceso a internet, abuso o mal uso de este
Abuso o mal uso de servicios informáticos en general.
Detección de vulnerabilidades
Sniffers

Tercer paso: Conocer los tipos de incidentes a los que estamos expuestos. Para poder documentar las strategias para prevenir, detectar o
corregir/erradicar
Preparación/Planificación de la Gestión de Incidentes
Clasificación y priorización de servicios expuestos
Criterios de clasificación de Incidentes:
Preparación/Planificación de la Gestión de Incidentes

Cuarto paso: Planear la estrategia, para prevenir, detectar y corregir.

Documentar procedimiento (responsables del proceso, herramientas que lo
soportan, personal externo (proveedores, outsourcing)).
Preparación/Planificación de la Gestión de Incidentes
Identificación y caracterización de datos del sistema.
Log: registro de los eventos del sistema producido a lo largo de un periodo de
tiempo determinado.

En estos se registran datos de eventos referentes a:

✓Tipo de evento que ha ocurrido
✓Quien origino el evento
✓Cuando se ha producido el evento.
✓Donde se ha producido el evento
✓Porque se ha producido el evento

Se pueden a través de estos eventos detectar:

✓Incidentes de seguridad
✓Funcionamientos anómalos
✓Cambio de configuración de aplicaciones o dispositivos
✓Utilización y rendimiento de recursos
✓Intentos fallidos de acceso usuarios no autorizado
 El Plan de Respuesta a Incidentes
Como parte del proceso de planificación, las partes interesadas deben tomar varias decisiones,
las cuales deberán ser ratificadas por la alta dirección. Entre esas decisiones se encuentran las
siguientes:
• Capacidades de detección de incidentes
• Criterios de gravedad claramente definidos
• Capacidades de evaluación y priorización de emergencias
• Criterios de declaración
• Alcance de la gestión de incidentes
• Capacidades de respuesta
 Roles y Responsabilidades
De Gestion
• Desarrollar planes de gestión y respuesta a incidentes
• Manejar y coordinar las actividades de respuesta a incidentes de manera eficaz y eficiente
• Validar, verificar y reportar las soluciones de protección o de contramedidas, tanto técnicas como administrativas
• Llevar a cabo la planificación, la elaboración de presupuesto y el desarrollo del programa para todos los aspectos
relativos a la gestión y respuesta a incidentes

De Respuesta
• Contener los efectos del incidente para que el daño y las pérdidas no alcancen proporciones incontrolables
• Notificar a la gente apropiada el propósito de la recuperación
• Recuperarse rápida y eficazmente de los incidentes
• Minimizar el impacto del incidente
• Responder de forma sistemática y reducir la probabilidad de reincidencia
• Equilibrar los procesos operativos y de seguridad
• Resolver problemas legales y relacionados con el cumplimiento de las leyes
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

A pesar de haber cerrado el incidente, es importante se realice monitoreo a las acciones correctivas aplicadas, para
asegurar su efectividad.
Conceptos Generales
Fases de la Gestión de Incidente de seguridad

*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
 Definición de Procedimientos
• Preparar/mejorar/sustentar (preparar)—Este proceso define todo el trabajo
de preparación que se debe realizar antes de contar con alguna capacidad para
responder a incidentes
• Proteger la infraestructura (proteger)—El proceso de protección tiene la
intención de proteger y asegurar los datos críticos y la infraestructura informática,
así como a su comunidad de usuarios cuando se responde a un incidente
• Detectar eventos (detectar)—El proceso de detección identifica cualquier
actividad inusual/sospechosa que pudiera comprometer las funciones de negocio
críticas o la infraestructura
• Eventos de priorización de emergencias (priorización de emergencias)—
La priorización de emergencias es un proceso que consiste en clasificar,
categorizar, correlacionar, priorizar y asignar reportes/eventos entrantes
• Responder—El proceso de respuesta incluye los pasos que se toman para tratar,
resolver o mitigar un incidente.
 Recursos disponibles
• Politicas y Estandares
• Tecnologias
• Personal
• Roles y Responsabilidades
• Habilidades
• Concientización y Formación
• Auditorías
• Análisis BIA
• Proveedores externos (Outsourcing)
Roles y responsabilidades
Roles y responsabilidades
Recursos disponibles
Desarrollo de un Plan de
Respuesta a Incidentes
 Situación Actual
• Encuesta a la alta dirección, gerentes de negocio y representantes de TI—
Una encuesta resulta de utilidad para determinar cómo se ha ejecutado la capacidad
de gestión de incidentes en el pasado, o bien, la percepción que se tiene de dicha
capacidad.
• Autoevaluación—El GRI lleva a cabo una autoevaluación comparada con el
conjunto de criterios para desarrollar un entendimiento de las capacidades actuales.
• Evaluación o auditoría externa—La opción más detallada que combina
entrevistas, encuestas, simulación y otras técnicas de evaluación en la evaluación.
 Situación Actual – Otros recursos
• HISTORIAL DE INCIDENTES
• AMENAZAS (Ambientales, Técnicas, Ocasionadas por el Hombre)
• VULNERABILIDADES
• RIESGOS y TOLERANCIA AL RIESGO
• INTEGRACIÓN DE UN ANÁLISIS DE IMPACTO AL NEGOCIO EN LA
RESPUESTA DE INCIDENTES
• INTEGRACIÓN DEL TIEMPO OBJETIVO DE RECUPERACIÓN EN LA
RESPUESTA A INCIDENTES
• INTEGRACIÓN DEL PUNTO OBJETIVO DE RECUPERACIÓN EN LA
RESPUESTA A INCIDENTES
• INTEGRACIÓN DE LOS OBJETIVOS DE LA PRESTACIÓN DE SERVICIOS
A LA RESPUESTA A INCIDENTES
• INTEGRACIÓN DE LA INTERRUPCIÓN MÁXIMA TOLERABLE A LA
RESPUESTA A INCIDENTES
 Elementos de un Plan de Respuesta a Incidentes
• Preparación—Esta fase prepara a una organización para desarrollar un plan de
respuesta a incidentes antes de que ocurra un incidente.
• Identificación—Esta fase tiene el propósito de verificar si ha ocurrido un
incidente y determinar mayores detalles.
• Contención/Limitación del riesgo—Tiene el propósito de limitar la
consecuencia del evento.
• Erradicación—Luego de aplicar las medidas de contención, se debe determinar
la causa raíz del incidente y erradicarla.
• Lecciones aprendidas—Por último, se debe elaborar un reporte para compartir
lo que sucedió, las medidas que se tomaron y los resultados obtenidos después
de que se ejecutó el plan.
 Ejemplo: Código malicioso
• Etapa 1 (Preparación): Crear políticas y procedimientos: las políticas deben requerir que las
auditorías estén habilitadas en todos los sistemas críticos; adquirir e instalar software
antimalware; adquirir herramientas de forensia.
• Etapa 2 (Identificación): Monitorear regularmente las alertas de los antivirus y otros
productos antimalware y los logs de auditoria de sistemas (eventviewer, journals, etc.).
Controlar existencia de herramientas no autorizadas en el sistema; Informes de usuarios
alertando comportamientos anómalos del sistema; detección de procesos extraños;
generación de tráficos anormal en la red; etc. Se puede utilizar una matriz de diagnostico.
• Etapa 3 (Contención): Determinar la inmediatez de la contención. Si es posible, desconectar
de la red.
 Ejemplo: Código malicioso
• Etapa 4 (Erradicación): Realice análisis; use las herramientas de antimalware o
procedimientos manuales (o ambos) para borrar todo el malware del sistema.
• Etapa 5 (Recuperación): Regrese los sistemas, aplicaciones y datos a su estado de
operación habitual usando los procedimientos preestablecidos a tal fin; validar que
el sistema esta libre de amenazas ; cambiar todas las passwords si el sistema fue
vulnerado a un nivel de superusuario.
• Etapa 6 (Seguimiento): Recolectar toda la información sobre el incidente y escribir
un reporte para la superioridad; analice y ponga en práctica las lecciones aprendidas
para manejar este tipo de incidentes.
 Desarrollo de Planes de Respuesta y
Recuperación
• Organizar, capacitar y equipar al personal de respuesta a incidentes
• Planes de recuperación y procesos de recuperación de negocio
• Estrategias de recuperación
• Tratamiento de amenazas
• Sitios de recuperación y fundamentos para su selección
• Acuerdos recíprocos
• Implementación de estrategias
• Equipos de gestión y respuesta a incidentes (de emergencia, de evaluación de daños, etc.)
• Requerimientos de notificación (a quien y como notificar)
• Suministros (insumos necesarios a disposición ante evento)
 Desarrollo de Planes de Respuesta y
Recuperación
• Redes de comunicaciones y Métodos para proporcionar continuidad de los servicios
de redes
• Consideraciones de alta disponibilidad (UPS, RAID, CLUSTERING, etc.)
• Seguros (a equipos o instalaciones de TI, software, interrupción del negocio,
fidelidad, etc.)
• Actualización de los planes de recuperación
• Comprensión de las prácticas de respuesta y recuperación
• Seguridad de la información de los planes de recuperación
 Ejecución de los Planes
• GARANTIZAR LA EJECUCIÓN DE LOS PLANES SEGÚN LO REQUERIDO:
implica que una persona actúe como facilitador o director para coordinar las tareas que
formen parte de los planes, supervisar su ejecución, coordinarse con la alta dirección y
tomar decisiones según sea necesario
• PROCESO DE ESCALAMIENTO PARA UNA GESTION EFICAZ DE INCIDENTES
• POLÍTICAS Y PROCESOS PARA LA DETECCIÓN DE INTRUSOS
• PROCESOS DE CENTRO DE SOPORTE (HELP DESK) PARA IDENTIFICAR LOS
INCIDENTES RELACIONADOS CON LA SEGURIDAD
• EL PROCESO DE NOTIFICACIÓN
• OPERACIONES DE RECUPERACIÓN
 Documentación de Eventos
• Formularios de cadena de custodia que incluyen:
• el nombre y la información de contacto de los custodios
• cuándo, por qué y por quién fue adquirida o movida la evidencia
• la identificación detallada de la evidencia (números de serie, información sobre el
modelo, etc.)
• dónde está guardada (física o lógicamente)
• cuándo/si fue devuelta
• Listas de verificación para contratar técnicos (que incluyen detalles de
prácticas forenses legalmente aceptables)
• Formularios firmados de confidencialidad/no divulgación para todos los
técnicos involucrados en la recuperación de evidencia
 Documentación de Eventos
• Un registro (log) de casos actualizados que detalle:
• fechas en que se recibieron las solicitudes
• fechas en que se asignaron las investigaciones a los investigadores
• nombre e información de contacto de investigador y solicitante
• número de caso
• notas básicas sobre el caso y sus requerimientos y procedimientos
• fecha en que se completó
• Plantillas de informes de investigación que incluyan:
• nombre e información de contacto de investigadores
• fecha de la investigación y un número de caso
• detalles de entrevistas o comunicaciones con la gestión
• detalles de dispositivos o datos que se adquirieron
• detalles de herramientas de software o hardware utilizadas
• detalles de resultados y firmas finales del investigador a cargo
 Documentación de Eventos
• Procedimientos para iniciar una investigación forense que sea acordada,
documentada, seguida cuidadosamente y comprendida por todos en la
empresa. El gerente de seguridad de la información debería trabajar con la
gestión y recursos humanos (y otras partes interesadas) para establecer un
proceso que asegure que todas las investigaciones sean justas, imparciales y
bien documentadas
 Revisiones posteriores al evento
IDENTIFICACIÓN DE CAUSAS Y ACCIONES CORRECTIVAS
• ¿Quién está involucrado?
• ¿Qué sucedió?
• ¿De dónde se originó el ataque?
• ¿Cuándo (qué margen de tiempo)?
• ¿Porque sucedió?
• ¿Cómo se vulneró el sistema o cómo ocurrió el ataque?
• ¿Cuál fue la razón para perpetrar el ataque?
Entender el propósito y la estructura de las revisiones posteriores al incidente y los procedimientos de seguimiento permite al
gerente de seguridad de la información mejorar continuamente el programa de seguridad
Algunos indicadores comunes:
▪Número total de incidentes reportados
▪Número total de incidentes detectados
▪Tiempo promedio para responder a un incidente en relación con la AIW
▪Tiempo promedio para resolver un incidente
▪Número total de incidentes resueltos satisfactoriamente
▪Medidas proactivas y preventivas tomadas
▪Número total de empleados que reciben cursos de concienciación sobre
seguridad
▪Daño total ocasionado por incidentes reportados y detectados en caso
de que no se haya respondido a ellos
▪Ahorros totales de los posibles daños que se hubieran generado por
incidentes resueltos
Beneficios de la planificación de la Gestión de Incidentes:

•Optimización de recursos disponible.

•Enfocar esfuerzos en los recursos realmente críticos para la organización.

•Mayor control y monitoreo de los procesos de sistemas críticos.

•Rápida, eficiente y sistemática respuesta ante la aparición de incidentes.

•Rápida restauración del sistema informático, garantizando la mínina pérdida de

información posible.

•Establecimiento de un proceso de mejora continua de la gestión y tratamiento

de incidentes.
Sin embargo, una gestión de incidentes ineficientes puede llevar a efectos
adversos importantes, tales como:

•Desperdicio y bajo rendimiento de los recursos.

•Pérdida de información valiosa para la organización.

•Pérdida de productividad de los servicios y por ende desmejoría del mismo

para los clientes.

•Pérdidas económicas importantes.

•Caos, sobre esfuerzo para restablecer la operación normal.

•Posible repercusiones legales.