Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01 Gestion - de - Incidentes y Amenazas
01 Gestion - de - Incidentes y Amenazas
Incidentes
Diplomado en Ciberseguridad
Profa: Mildred Echezano
Objetivos y Visión General
Para poder vigilar es necesario que existan primero decisiones. Tener políticas y normativas de seguridad facilitan las respuestas a cuestiones relevantes sobre lo que está
permitido, no lo está, es tolerable pero indeseable o lo que será permitido por cultura de la organización.
Preparación/Planificación
de la Gestión de
Incidentes
•También es importante conocer el entorno
cambiante de las amenazas que forman el
campo de batalla y ser conscientes de cual
es el caldo de cultivo en el que se produce
una intrusión. Al igual que existe el
triángulo del fuego, una intrusión requiere
de tres factores: Datos, un punto de
entrada y una forma de robarlos. De
estos tres elementos, dos son gestionados
por el que defiende.
¿Qué debe ser lo primero en hacerse?
No puede defenderse todo y todo no es crítico para el
negocio.
Denegación de Servicio DoS Ataques para saturar sistemas, páginas, servicios y provocar su caída y por ende indisponibilidad
Correo electrónico
Violación a la política de Seguridad de Información
Mal uso de recursos
Violación de normativa de acceso a internet, abuso o mal uso de este
Abuso o mal uso de servicios informáticos en general.
Detección de vulnerabilidades
Intentos de obtención de información
Sniffers
Tercer paso: Conocer los tipos de incidentes a los que estamos expuestos. Para poder documentar las strategias para prevenir, detectar o
corregir/erradicar
Preparación/Planificación de la Gestión de Incidentes
Clasificación y priorización de servicios expuestos
Criterios de clasificación de Incidentes:
Preparación/Planificación de la Gestión de Incidentes
De Respuesta
• Contener los efectos del incidente para que el daño y las pérdidas no alcancen proporciones incontrolables
• Notificar a la gente apropiada el propósito de la recuperación
• Recuperarse rápida y eficazmente de los incidentes
• Minimizar el impacto del incidente
• Responder de forma sistemática y reducir la probabilidad de reincidencia
• Equilibrar los procesos operativos y de seguridad
• Resolver problemas legales y relacionados con el cumplimiento de las leyes
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
A pesar de haber cerrado el incidente, es importante se realice monitoreo a las acciones correctivas aplicadas, para
asegurar su efectividad.
Conceptos Generales
Fases de la Gestión de Incidente de seguridad
*Es un compendio basado en la definición dada por varios autores y la Norma ISO 27035, de Gestión de Incidentes de
Seguridad
Definición de Procedimientos
• Preparar/mejorar/sustentar (preparar)—Este proceso define todo el trabajo
de preparación que se debe realizar antes de contar con alguna capacidad para
responder a incidentes
• Proteger la infraestructura (proteger)—El proceso de protección tiene la
intención de proteger y asegurar los datos críticos y la infraestructura informática,
así como a su comunidad de usuarios cuando se responde a un incidente
• Detectar eventos (detectar)—El proceso de detección identifica cualquier
actividad inusual/sospechosa que pudiera comprometer las funciones de negocio
críticas o la infraestructura
• Eventos de priorización de emergencias (priorización de emergencias)—
La priorización de emergencias es un proceso que consiste en clasificar,
categorizar, correlacionar, priorizar y asignar reportes/eventos entrantes
• Responder—El proceso de respuesta incluye los pasos que se toman para tratar,
resolver o mitigar un incidente.
Recursos disponibles
• Politicas y Estandares
• Tecnologias
• Personal
• Roles y Responsabilidades
• Habilidades
• Concientización y Formación
• Auditorías
• Análisis BIA
• Proveedores externos (Outsourcing)
Roles y responsabilidades
Roles y responsabilidades
Recursos disponibles
Desarrollo de un Plan de
Respuesta a Incidentes
Situación Actual
• Encuesta a la alta dirección, gerentes de negocio y representantes de TI—
Una encuesta resulta de utilidad para determinar cómo se ha ejecutado la capacidad
de gestión de incidentes en el pasado, o bien, la percepción que se tiene de dicha
capacidad.
• Autoevaluación—El GRI lleva a cabo una autoevaluación comparada con el
conjunto de criterios para desarrollar un entendimiento de las capacidades actuales.
• Evaluación o auditoría externa—La opción más detallada que combina
entrevistas, encuestas, simulación y otras técnicas de evaluación en la evaluación.
Situación Actual – Otros recursos
• HISTORIAL DE INCIDENTES
• AMENAZAS (Ambientales, Técnicas, Ocasionadas por el Hombre)
• VULNERABILIDADES
• RIESGOS y TOLERANCIA AL RIESGO
• INTEGRACIÓN DE UN ANÁLISIS DE IMPACTO AL NEGOCIO EN LA
RESPUESTA DE INCIDENTES
• INTEGRACIÓN DEL TIEMPO OBJETIVO DE RECUPERACIÓN EN LA
RESPUESTA A INCIDENTES
• INTEGRACIÓN DEL PUNTO OBJETIVO DE RECUPERACIÓN EN LA
RESPUESTA A INCIDENTES
• INTEGRACIÓN DE LOS OBJETIVOS DE LA PRESTACIÓN DE SERVICIOS
A LA RESPUESTA A INCIDENTES
• INTEGRACIÓN DE LA INTERRUPCIÓN MÁXIMA TOLERABLE A LA
RESPUESTA A INCIDENTES
Elementos de un Plan de Respuesta a Incidentes
• Preparación—Esta fase prepara a una organización para desarrollar un plan de
respuesta a incidentes antes de que ocurra un incidente.
• Identificación—Esta fase tiene el propósito de verificar si ha ocurrido un
incidente y determinar mayores detalles.
• Contención/Limitación del riesgo—Tiene el propósito de limitar la
consecuencia del evento.
• Erradicación—Luego de aplicar las medidas de contención, se debe determinar
la causa raíz del incidente y erradicarla.
• Lecciones aprendidas—Por último, se debe elaborar un reporte para compartir
lo que sucedió, las medidas que se tomaron y los resultados obtenidos después
de que se ejecutó el plan.
Ejemplo: Código malicioso
• Etapa 1 (Preparación): Crear políticas y procedimientos: las políticas deben requerir que las
auditorías estén habilitadas en todos los sistemas críticos; adquirir e instalar software
antimalware; adquirir herramientas de forensia.
• Etapa 2 (Identificación): Monitorear regularmente las alertas de los antivirus y otros
productos antimalware y los logs de auditoria de sistemas (eventviewer, journals, etc.).
Controlar existencia de herramientas no autorizadas en el sistema; Informes de usuarios
alertando comportamientos anómalos del sistema; detección de procesos extraños;
generación de tráficos anormal en la red; etc. Se puede utilizar una matriz de diagnostico.
• Etapa 3 (Contención): Determinar la inmediatez de la contención. Si es posible, desconectar
de la red.
Ejemplo: Código malicioso
• Etapa 4 (Erradicación): Realice análisis; use las herramientas de antimalware o
procedimientos manuales (o ambos) para borrar todo el malware del sistema.
• Etapa 5 (Recuperación): Regrese los sistemas, aplicaciones y datos a su estado de
operación habitual usando los procedimientos preestablecidos a tal fin; validar que
el sistema esta libre de amenazas ; cambiar todas las passwords si el sistema fue
vulnerado a un nivel de superusuario.
• Etapa 6 (Seguimiento): Recolectar toda la información sobre el incidente y escribir
un reporte para la superioridad; analice y ponga en práctica las lecciones aprendidas
para manejar este tipo de incidentes.
Desarrollo de Planes de Respuesta y
Recuperación
• Organizar, capacitar y equipar al personal de respuesta a incidentes
• Planes de recuperación y procesos de recuperación de negocio
• Estrategias de recuperación
• Tratamiento de amenazas
• Sitios de recuperación y fundamentos para su selección
• Acuerdos recíprocos
• Implementación de estrategias
• Equipos de gestión y respuesta a incidentes (de emergencia, de evaluación de daños, etc.)
• Requerimientos de notificación (a quien y como notificar)
• Suministros (insumos necesarios a disposición ante evento)
Desarrollo de Planes de Respuesta y
Recuperación
• Redes de comunicaciones y Métodos para proporcionar continuidad de los servicios
de redes
• Consideraciones de alta disponibilidad (UPS, RAID, CLUSTERING, etc.)
• Seguros (a equipos o instalaciones de TI, software, interrupción del negocio,
fidelidad, etc.)
• Actualización de los planes de recuperación
• Comprensión de las prácticas de respuesta y recuperación
• Seguridad de la información de los planes de recuperación
Ejecución de los Planes
• GARANTIZAR LA EJECUCIÓN DE LOS PLANES SEGÚN LO REQUERIDO:
implica que una persona actúe como facilitador o director para coordinar las tareas que
formen parte de los planes, supervisar su ejecución, coordinarse con la alta dirección y
tomar decisiones según sea necesario
• PROCESO DE ESCALAMIENTO PARA UNA GESTION EFICAZ DE INCIDENTES
• POLÍTICAS Y PROCESOS PARA LA DETECCIÓN DE INTRUSOS
• PROCESOS DE CENTRO DE SOPORTE (HELP DESK) PARA IDENTIFICAR LOS
INCIDENTES RELACIONADOS CON LA SEGURIDAD
• EL PROCESO DE NOTIFICACIÓN
• OPERACIONES DE RECUPERACIÓN
Documentación de Eventos
• Formularios de cadena de custodia que incluyen:
• el nombre y la información de contacto de los custodios
• cuándo, por qué y por quién fue adquirida o movida la evidencia
• la identificación detallada de la evidencia (números de serie, información sobre el
modelo, etc.)
• dónde está guardada (física o lógicamente)
• cuándo/si fue devuelta
• Listas de verificación para contratar técnicos (que incluyen detalles de
prácticas forenses legalmente aceptables)
• Formularios firmados de confidencialidad/no divulgación para todos los
técnicos involucrados en la recuperación de evidencia
Documentación de Eventos
• Un registro (log) de casos actualizados que detalle:
• fechas en que se recibieron las solicitudes
• fechas en que se asignaron las investigaciones a los investigadores
• nombre e información de contacto de investigador y solicitante
• número de caso
• notas básicas sobre el caso y sus requerimientos y procedimientos
• fecha en que se completó
• Plantillas de informes de investigación que incluyan:
• nombre e información de contacto de investigadores
• fecha de la investigación y un número de caso
• detalles de entrevistas o comunicaciones con la gestión
• detalles de dispositivos o datos que se adquirieron
• detalles de herramientas de software o hardware utilizadas
• detalles de resultados y firmas finales del investigador a cargo
Documentación de Eventos
• Procedimientos para iniciar una investigación forense que sea acordada,
documentada, seguida cuidadosamente y comprendida por todos en la
empresa. El gerente de seguridad de la información debería trabajar con la
gestión y recursos humanos (y otras partes interesadas) para establecer un
proceso que asegure que todas las investigaciones sean justas, imparciales y
bien documentadas
Revisiones posteriores al evento
IDENTIFICACIÓN DE CAUSAS Y ACCIONES CORRECTIVAS
• ¿Quién está involucrado?
• ¿Qué sucedió?
• ¿De dónde se originó el ataque?
• ¿Cuándo (qué margen de tiempo)?
• ¿Porque sucedió?
• ¿Cómo se vulneró el sistema o cómo ocurrió el ataque?
• ¿Cuál fue la razón para perpetrar el ataque?
Entender el propósito y la estructura de las revisiones posteriores al incidente y los procedimientos de seguimiento permite al
gerente de seguridad de la información mejorar continuamente el programa de seguridad
Algunos indicadores comunes:
▪Número total de incidentes reportados
▪Número total de incidentes detectados
▪Tiempo promedio para responder a un incidente en relación con la AIW
▪Tiempo promedio para resolver un incidente
▪Número total de incidentes resueltos satisfactoriamente
▪Medidas proactivas y preventivas tomadas
▪Número total de empleados que reciben cursos de concienciación sobre
seguridad
▪Daño total ocasionado por incidentes reportados y detectados en caso
de que no se haya respondido a ellos
▪Ahorros totales de los posibles daños que se hubieran generado por
incidentes resueltos
Beneficios de la planificación de la Gestión de Incidentes: