Unidad 1 Gestión de Incidentes

CENTRO NACIONAL DE SEGURIDAD DIGITAL
Plataforma Nacional de Gestión de Incidentes
Lic. Max Cossío LLacza

mcossio@cnsd.gob.pe
Tfl. (+51)920.151.260
Descripción del curso
Este curso está diseñado para capacitar al participante en el uso adecuado de la Plataforma
Nacional de Gestión de Incidentes que permitirá un mejor desempeño del equipo de respuesta
ante incidentes de seguridad digital que puedan afectar los activos de una entidad pública o una
red de confianza.
Las instituciones deben estar preparadas de manera preventiva y proactiva para gestionar
incidentes de seguridad digital: logrando la detección temprana y anticipada de los incidentes, el
análisis y la priorización de los incidentes, la notificación de los incidentes y el intercambio de
experiencias con otros equipos de respuesta.
CENTRO NACIONAL DE SEGURIDAD DIGITAL 3

Competencias
• Comprender la importancia de la gestión de incidentes de seguridad digital.
• Comprender la importancia de los equipos de respuestas ante incidentes de seguridad digital
(CSIRT).
• Comprender los principios en los que se basa la gestión de la seguridad de la información.
• Identificar los requisitos establecidos para una adecuada gestión de incidentes.
• Conocimientos básicos sobre metodologías para la implementación de un CSIRT.

• Conocimientos básicos sobre los servicios fundamentales de un CSIRT.

Temario
Unidad 1. Gestión de Incidentes
1.1 ¿Qué es gestión de incidentes?
1.2 Principios de gestión de incidentes ISO 27035-1
1.3 Guía para la preparación y planificación de respuesta a Incidentes ISO 27035-2
1.4 Orquestación y automatización de la seguridad (SAO)
1.5 Plataformas de inteligencia de amenazas (TIP)
1.6 Plataforma de respuesta a incidentes de seguridad (SIRP)
1.7 Orquestación, automatización y respuesta de seguridad (SOAR)
1.8 Ciclo de Gestión de incidentes

Temario
Unidad 2. Plataforma de respuesta a incidentes de seguridad (TheHive)
2.1 Introducción a TheHive.
2.2 Arquitectura TheHive.
2.3 Protocolo de semáforo (TLP).
2.4 Indicadores de compromiso (IOC).
2.5 Tácticas, Técnicas y Procedimientos (TTP).

Temario
2.6 Crear un caso.
2.7 Crear una tarea.
2.8 Crear observables.
2.9 Crear TTP.
2.10 Respondedores y ver respuestas.
2.11 Cerrar casos.

Unidad 1
Gestión de
Incidentes

Unidad 1. Introducción a la Gestión de
Incidentes
1.1 ¿Qué es gestión de incidentes?
1.2 Principios de gestión de incidentes ISO 27035-1.
1.3 Guía para la preparación y planificación de respuesta a
Incidentes ISO 27035-2.
1.4 Orquestación y automatización de la seguridad (SAO).
1.5 Plataformas de inteligencia de amenazas (TIP).
1.6 Plataforma de respuesta a incidentes de seguridad (SIRP).
1.7 Orquestación, automatización y respuesta de seguridad (SOAR).
1.8 Ciclo de Gestión de incidentes.

Centro Nacional de Seguridad Digital
1.1 Gestión de incidentes.

Gestión de Incidentes
En la ISO 27000:2018; un incidente de seguridad se refiere a una serie de eventos de
seguridad de la información no deseados o inesperados que tienen una probabilidad
significativa de comprometer las operaciones comerciales y amenazar la seguridad de la
información.
En la ISO 20000-1:2011; un incidente es una interrupción no planificada de un servicio, una

reducción en la calidad del servicio o de un evento que todavía no afecta el servicio al
cliente.
Un incidente de seguridad informática es una violación o amenaza inminente de violación

de las políticas de seguridad informática, las políticas de uso aceptable o las prácticas de
seguridad estándar.

MEDIOS EXTRAIBLES/
WEB USO INADECUADO OTRO
EXTERNOS
VECTORES DE ATAQUE INCIDENTE DE

SEGURIDAD DIGITAL
CORREO
DESGASTE (ATTRITIO) PÉRDIDA O ROBO OTROS
ELECTRÓNICO

Las organizaciones deben establecer capacidades de

respuesta ante incidentes de manera eficiente y
eficaz, así como proporcionar pautas para el manejo
de cada incidente, y las pautas se pueden aplicar de
manera independiente de las plataformas de
hardware, sistemas operativos, protocolos o
aplicaciones particulares, ESTABLECER LA
CAPACIDAD DE RESPUESTA.

• Las acciones de respuesta que se toman frente a los incidentes de seguridad digital se han
convertido en un componente importante de las áreas de tecnología de la información, se sabe
que realizar una respuesta efectiva a los incidentes resulta ser una tarea compleja, establecer
una capacidad de respuesta ante incidentes exitosa requiere de planificación y recursos.
• Este curso proporciona los lineamientos para la puesta en funcionamiento de un Sistema de
Gestión de incidentes de seguridad digital, ha sido desarrollada tomando como base información
de:
• NIST (El Instituto Nacional de Estándares y Tecnología, NIST.SP.800-61 Revisión 2, Computer
Security Incident Handling Guide, Recommendations of the National Institute of Standards
and Technology).
• ISO/IEC 27035:2016 Information technology – Security techniques – Information security
incident management Part 1: Principles of incident management.
• ISO/IEC 27035:2016 Information technology – Security techniques – Information security
incident management Part 2: Guidelines to plan and prepare for incident response.

1.2 Principios de gestión de incidentes ISO 27035-1.

Principios de gestión de incidentes ISO
27035-1
Alcance: Presenta los conceptos básicos y las fases de la gestión de incidentes de seguridad de la información y combina estos
principios con las fases.
Referencias Normativas: ISO/IEC 27001, Tecnología de la Información – Técnicas de Seguridad –SGSI. ISO/IEC 27035-2
Tecnología de la información – Técnicas de Seguridad – Gestión de incidentes de seguridad de la información – Parte 2.
Términos y definiciones: Investigación sobre seguridad de la información, equipo de respuesta a incidentes (IRT), evento
(SI), incidentes (SI), respuesta a incidentes (IR), puntos de contacto(PdC)
Resumen: Conceptos y principios básicos, objetivos de la gestión de incidentes, Ventajas de un enfoque estructurado,
adaptabilidad.
Fases: Planificar y Preparar, Detectar y Notificar, Evaluación y Decisión, Respuestas, Lecciones Aprendidas.

27035-1
Alcance: Presenta los conceptos básicos y las fases de la gestión de incidentes de
seguridad de la información y combina estos principios con las fases
• Los principios de la ISO/IEC 27035 son genéricos y pueden aplicarse a diversas instituciones, al
margen del tipo, tamaño y naturaleza del negocio en relación con la situación de riesgo de la
seguridad de la Información.
• La ISO/IEC 27035 es aplicable a organizaciones externas que prestan servicios a gestión de
incidentes de seguridad de la información.

27035-1
Referencias Normativas: Los documentos referenciados líneas abajo son
indispensables para la aplicación de la norma.
• ISO/IEC 27001, Tecnología de la Información – Técnicas de Seguridad –SGSI.

• ISO/IEC 27035-2 Tecnología de la información – Técnicas de Seguridad – Gestión de incidentes de
seguridad de la información – Parte 2. Directrices para planificar y preparar la respuesta a
incidentes.
• ISO/IEC 27038, Especificaciones para redacción digital, ojo que en este contexto “redacción”
consiste en eliminar la información que no debe divulgarse, cuando se redacta la información
eliminada no debe ser recuperable.
• ISO/IEC 27040, Seguridad del almacenamiento. La seguridad del almacenamiento se aplica a la
protección (seguridad) de la información donde se almacena y a la seguridad de la información
que se transfiere a través de los enlaces de comunicación asociados al almacenamiento.

27035-1
Términos y definiciones: Investigación sobre seguridad de la información, equipo
de respuesta a incidentes (IRT), evento (SI), incidentes (SI), respuesta a incidentes
(IR), puntos de contacto (PdC)
• A los efectos de este documento, se aplican los Definiciones:

términos y definiciones que figuran en la norma
ISO/IEC 27000 y los siguientes enlaces: • Investigación sobre la seguridad de la información
• Equipo de respuesta a incidentes IRT
• El vocabulario electrotécnico en línea • Evento de seguridad de la información
https://www.electropedia.org/ y en Online
Browsing Platform (OBP) (iso.org) • Incidente de seguridad de la información
• Manejo de incidentes
• Respuesta a incidentes
• Punto de contacto PdC

27035-1
Resumen: Conceptos y principios básicos, objetivos de la gestión de incidentes,
Ventajas de un enfoque estructurado, adaptabilidad.
Principios básicos: Objetivos de la gestión de incidentes:

• Un evento de seguridad de la información indica una posible brecha de la • Como parte clave de la estrategia global de seguridad de la información de
seguridad o la falla de un control. una organización, ésta debe establecer controles y procedimientos que
permitan un enfoque estructurado y bien planificado para la gestión de los
• La ocurrencia de un evento de seguridad de la información no significa incidentes de seguridad de la información.
necesariamente que se haya completado un incidente con éxito, existen
muchas implicancias en la confidencialidad, integridad o disponibilidad, no • Desde la perspectiva de una organización, el objetivo principal es evitar o
todos los eventos de seguridad se pueden clasificar como incidentes de contener el impacto de los incidentes de seguridad de la información para
seguridad de la información. minimizar el daño directo e indirecto a sus operaciones causados por los
incidentes.
• Los incidentes de seguridad pueden ser deliberados o accidentales, y puede
ser originado por causas técnicas o no-técnicas. • Los eventos de seguridad de la información se detectan y se tratan de
manera eficiente, clasificándolos, generando respuestas adecuadas, y las
lecciones aprendidas.

27035-1
Resumen: Conceptos y principios básicos, objetivos de la gestión de incidentes,
Ventajas de un enfoque estructurado, adaptabilidad.
Adaptabilidad: Beneficios de un enfoque estructurado

• El tamaño, la estructura y la naturaleza empresarial de una organización, • Mejorar la seguridad general de la información.
incluidos los principales activos, procesos y datos críticos que deben
protegerse. • Reducir el impacto empresarial adverso
• El alcance de cualquier sistema de gestión de la seguridad de la información • Reforzar el enfoque en la prevención de incidentes de seguridad de la
para la gestión de incidentes. información.
• Riesgo potencial debido a un incidente. • Mejorar la priorización.
• Los objetivos de la empresa. • Apoyar la recogida de pruebas y la investigación.

• Contribuir a la justificación del presupuesto y los recursos.
• Mejorar la actualización de los resultados de la evaluación y gestión de los
riesgos para la seguridad de la información.
• Proporcionar un mejor material para el programa de concienciación y
formación en materia de seguridad de la información.
• Aportar información a la política de seguridad de la información y a la
revisión de la documentación correspondiente.
27035-1
Fases: Planificar y Preparar, Detectar y Notificar, Evaluación y Decisión, Respuestas,
Lecciones Aprendidas.
• Planificar y Preparar
• Detectar y Notificar
• Evaluación y Decisión
• Respuestas
• Lecciones Aprendidas

27035-1 : FASES
Es el proceso de gestión de incidentes se describe en cinco fases, ISO/IEC 27035-1 cubre las 5 fases y
la ISO/IEC 27035-2 cubre la fase 1 “Planificar y preparar” y la fase 2 “Lecciones aprendidas”.
Planificar y preparar: establecer una política de gestión de incidentes de seguridad de la información, formar un Incident
Response Team, etc.
Detección y reporte: alguien tiene que detectar y reportar "eventos" que podrían ser o convertirse en incidentes;
Evaluación y decisión: alguien debe evaluar la situación para determinar si en realidad se trata de un incidente;
Respuestas: contener, erradicar, recuperar y analizar forensemente el incidente, cuando proceda;
Lecciones aprendidas: realizar mejoras sistemáticas en la gestión de los riesgos de la información por parte de la
organización como consecuencia de los incidentes experimentados.

27035-1 RELACION DE LOS OBJETOS EN UN INCIDENTE
DE SEGURIDAD DE INFORMACIÓN
CAUSAS AMENAZA EXPLOITS
EVENTO DE CAUSAS VULNERABILI-

SEGURIDAD DE DADES
INFORMACIÓN DEBILIDADES
CLASIFICADO COMO.. EXPONE
INCIDENTE DE IMPACTOS
SEGURIDAD DE ACTIVO DE
OBJETOS PRE-EXISTENTES
INFORMACIÓN INFORMACIÓN
COMPROMETE APOYA
OPERACIÓN OBJETOS NUEVOS QUE
RESULTAN EN UN INCIDENTE
DE SEGURIDAD

27035-1 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN EN RELACIÓN
CON EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
INCIDENTE DE IMPACTOS
SEGURIDAD DE ACTIVO DE
INFORMACIÓN INFORMACIÓN
COMPROMETE
APOYA
OPERACIONES
MANEJADO
POR PROTEGE INFORMACIÓN DE
SEGURIDAD DE
GESTION DE
INCIDENTES DE
SEGURIDAD DE LA CONTROLES REDUCIR RIESGO
COMPARTIR INFORMACIÓN
INFORMACIÓN CON COMPLETAR LOS OBJETOS PRE-EXISTENTES
REQUERIMIENTOS DE IMPLEMENTAR
STAKEHOLDERS ISMS / SGSI -SISTEMA

EXTERNOS Y EQUIPO DE GESTIÓN DE LA
DE RESPUESTA A SEGURIDAD DE LA OBJETOS NUEVOS QUE
MEJORAS INFORMACIÓN
INCIDENTES RESULTAN EN UN INCIDENTE
DE SEGURIDAD

1.3 Guía para la preparación y planificación de respuesta a

Incidentes ISO 270335-2.

Guía para la preparación y planificación de
respuesta a Incidentes ISO 27035-2
• La ISO/IEC 27035 aborda el desarrollo de directrices para aumentar la confianza de la preparación
real de una organización para responder a un incidente de seguridad de la información. Esto se
consigue abordando las políticas y planes asociados a la gestión de incidentes, así como la forma
de establecer la respuesta a incidentes.
• La Parte 2 de la ISO/IEC 27035 esta enfocada en las directrices para planificar y preparar la
respuesta a incidentes.

• Alcance y propósito: esta parte se refiere a la garantía de que la organización está de hecho lista
para responder adecuadamente a los incidentes de seguridad de la información que aún pueden
ocurrir.
• Aborda la pregunta "¿Estamos listos para responder a un incidente?" y promueve el aprendizaje
de los incidentes para mejorar las cosas para el futuro. Cubre las fases de:
• Planificación y Preparación.
• Lecciones Aprendidas del proceso.

Antes de formular la política de gestión de incidentes de seguridad de la información la institución
debe:
Identificar tipos de incidentes

Identificar partes interesadas
Identificar Objetivos. y vulnerabilidades
al interno y al externo.
resaltantes.
Identificar los beneficios para

la organización y cada una de
Identificar roles requeridos. las áreas.

Las partes involucradas deben ir desde el nivel mas

alto hasta todos los involucrados en la entidad.
Para lograr una exitosa implementación de las
políticas de gestión de incidentes de la seguridad de la
información esta debe ser creada e implementada
como un proceso transversal dentro de la institución.
Para tal fin todos los involucrados deben participar en
el desarrollo de la política desde el inicio de las etapas
de planificación hasta que se implemente algún
proceso o equipo de respuesta.

Es importante contar con apoyo constante de la alta dirección.
El personal necesita reconocer un incidente, que hacer y entender los beneficios de este enfoque
en la organización.
Sistemas
Consejeros Relacionistas Staff de Jefes de Staff de Mesa de Ejecutivos del
administrador Otros
legales públicos marketing departamento seguridad ayuda mas alto nivel
es de redes

Contenido del documento “política de gestión de incidentes de seguridad de la información” el
documento debe tener estas partes:
1. Información del Documento 2.10 Más información 4.3 Comunicación y Autenticación

2.11 Horario de atención
1.1 Fecha de la última actualización 2.12 Puntos de contacto para la comunidad 5. Servicios
1.2 Lista de distribución
1.3 Ubicación del documento 3. Constitución 5.1 Prevención
1.4 Autenticación del documento 5.2 Respuesta de incidentes
3.1 Misión 5.2.1 Clasificación de incidente
2. Información de Contacto 3.2 Comunidad a la que brinda los servicios 5.2.2 Coordinación de incidente
3.3 Patrocinio y/o afiliación 5.2.3 Resolución del incidente
2.1 Nombre del equipo 3.3.1 Entidad 5.3 Análisis forense y malware
2.2 Dirección 3.3.2 Miembro de asociaciones
2.3 Zona horaria 3.4 Autoridad
2.4 Número de teléfono 6. Formas de notificación de incidentes
2.5 Número de Fax
4. Políticas 1. Correo
2.6 Otras comunicaciones
2.7 Dirección de correo electrónico 2. Sitio / Portal Web
2.8 Claves públicas y cifrado de la información 4.1 Tipo de incidente y nivel de soporte 3. Teléfonos
2.9 Miembros del equipo 4.2 Cooperación, interacción y divulgación de la
información 7. Exclusión de responsabilidad

Formulario modelo para reportar

Eventos de seguridad de la información.

Formulario modelo para reportar Incidentes de
seguridad de la información 1, 2 y 3 de 6

Formulario modelo para reportar Incidentes de
seguridad de la información 4, 5 y 6 de 6


Vulnerabilidades de seguridad de la
información.

Entre las preguntas que deben responderse en la reunión de lecciones aprendidas están las
siguientes:
Preguntas
¿Qué ocurrió exactamente y en qué momento?
¿En qué medida actuaron el personal y la dirección en la gestión del incidente? ¿Se
siguieron los procedimientos documentados? ¿Fueron adecuados?
¿Qué información se necesitaba antes?
¿Se tomaron medidas o acciones que podrían haber impedido la recuperación?
¿Qué harían el personal y la dirección de manera diferente la próxima vez que ocurra
un incidente similar?

Entre las preguntas que deben responderse en la reunión de lecciones aprendidas están las
siguientes:
Preguntas
¿Cómo se podría haber mejorado el intercambio de información con otras
organizaciones?
¿Qué medidas correctoras pueden evitar incidentes similares en el futuro?
¿Qué precursores o indicadores habría que vigilar en el futuro para detectar

incidentes similares?
¿Qué herramientas o recursos adicionales se necesitan para detectar, analizar y

mitigar futuros incidentes?


Lecciones aprendidas.

1.4 Orquestación y automatización de la seguridad (SAO).

Orquestación y automatización de la
seguridad (SAO)
SAO: Orquestación y Automatización de la seguridad.
• SAO nos permite armar los equipos de seguridad con las herramientas que se necesitan para
detectar y mostrar alertas que se pueden procesar de manera eficiente.
• Las soluciones de Gestión de Eventos de Seguridad de la Información (SIEM) están disponibles
desde hace una década, el surgimiento de diversos productos de AUTOMATIZACIÓN y
ORQUESTACIÓN de SEGURIDAD (SAO) siguen ganando popularidad, generando inquietudes sobre
SIEM, la práctica nos demuestra que SAO debe convivir con SIEM.

seguridad (SAO)
• Funciones del SIEM:

• Recolectar datos y pistas de auditoria.
• Priorizar.
• Generar alertas de TI.

seguridad (SAO)
• SAO proporciona:
• Automatización de la investigación: Nos puede ayudar a eliminar tareas que consumen
tiempo debido a la gran cantidad de datos que proporcionan los SIEM.
• Escalada de alertas: Se pueden configurar los procedimientos de automatización, los

integrantes del equipo se pueden enfocar en alertas críticas que presentan una mayor
amenaza para el sistema.
• Respuesta automática: Cuando se presenta una amenaza el SAO puede programar para
ejecutar acciones del sistema previamente aprobadas y comprendidas correctamente.

1.5 Plataformas de inteligencia de amenazas (TIP).

Plataformas de inteligencia de amenazas (TIP)
Threat Intelligence Platform o Plataforma de Inteligencia de Amenazas.
• Una TIP tiene como objetivo bloquear a los atacantes repetidos e identificar vectores de intrusión
comunes. TIA tiene como origen los sistemas de antivirus y firewall. TIP protege a los equipos de
TI mediante la aplicación de estrategias basadas en IA (Inteligencia Artificial).
• Centraliza el conjunto de datos de amenazas de diversas fuentes y diversos formatos.
• Considerando que el volumen de datos es alto la plataforma permite gestionar los datos en un
solo lugar y gestionarlos de manera que podamos presentarlos en formatos comprensible y de
fácil uso.
• Nos permite gestionar los datos de diversas fuentes en un solo contenedor.

• Recomendaciones para seleccionar una plataforma de inteligencia de amenazas.
• Aprendizaje automático para una línea de base de actividad normal.
• Detección de actividad anómala.
• Fuentes de inteligencia de amenazas que adaptan las rutinas de detección.
• Alertas de actividad sospechosa para atraer técnicos.
• Intercambio de experiencias y resúmenes de notificaciones de amenazas en todo el sector.
• Una demostración o una prueba gratuita para una oportunidad de evaluación sin riesgos.
• Buena relación calidad-precio de un feed integral de inteligencia de amenazas a un precio justo.

Revisemos las siguientes plataformas, herramientas y proveedores de software de inteligencia de
amenazas:
1.- Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)
2.- ManageEngine Log360 (PRUEBA GRATUITA)
3.- CrowdStrike Falcon Intelligence (PRUEBA GRATUITA)
4.- Datadog Threat Intelligence (PRUEBA GRATUITA)
5.- Atera
6.- Plataforma de seguridad FireEye Helix
7.- Monitor de amenazas N-able
8.- Administración unificada de seguridad de AlienVault

1.6 Plataforma de respuesta a incidentes de seguridad (SIRP).

Plataforma de respuesta a incidentes de
seguridad (SIRP)
Security Incidente Response Plan (SIRP), o Plan de
Respuesta a incidentes es una guía para aplicar una
serie de medidas en caso de una violación o brecha
de seguridad.
El objetivo principal del SIRP es minimizar la cantidad
y gravedad de los incidentes de ciberseguridad.
Si tenemos un SIRP podremos atender la incidencia
en cuanto se presente, conteniendo los daños para
que no se extiendan, y aplicando las soluciones
inmediatamente.

Plataforma de respuesta a incidentes de
seguridad (SIRP)
Contar con un equipo de respuesta ante incidentes de
seguridad (CSIRT=Computer Security Incident
Response Team).
Un SIRP exitoso requerirá de un equipo de TI maduro
y experimentado, pero podemos empezar
preparando el plan y no quedarnos esperando que
sucedan para recién reaccionar.

Plan de respuesta a incidentes de seguridad
(SIRP)
Definir el Proceso de Atención

de incidentes en el CSIRT.

(SIRP)
Marco de servicio
del equipo CSIRT
Fuente: Marco de Servicios del Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT)
(SIRP)

(SIRP)
Guía para la Conformación e Implementación de Equipos de Respuestas ante Incidentes de Seguridad Digital - Informes y publicaciones -
Presidencia del Consejo de Ministros - Gobierno del Perú (www.gob.pe)

1.7 Orquestación, automatización de la seguridad (SOAR).

Orquestación, automatización de la seguridad
(SOAR)
• Security Orchestration Automation & Response: El objetivo de la orquestación es automatizar las
tareas de ciberseguridad para que los analistas puedan invertir mayor tiempo en analizar.
• Debemos tener en cuenta que para poder orquestar de manera adecuada las organizaciones
deben contar con un grado de madurez en ciberseguridad, esto se logrará paso a paso.
• El CEO de OYLO menciona 4 caminos a seguir dentro de las organizaciones que cuentan con un
buen nivel de dependencia de la tecnología y apuntan al uso de SOAR:
• Elaborar un informe que muestre su situación y un plan a partir de este informe.
• Implementar tecnología que ayude a disminuir el riesgo.
• Unir la tecnología en un SOC OT.
• Establecer una política de continuidad de negocio.

(SOAR)
SOAR: Automatización, Remediación y Orquestación de la Ciberseguridad:
• Respuesta mas rápida y precisa: Las tecnologías SOAR nos permiten automatizar acciones y dará
una respuesta mas rápida a amenazas.
• Impulsado por la inteligencia: La detección y las respuestas se alimentan de diferentes fuentes
publicas y/o privadas de terceras partes que proporcionan información sobre amenazas recientes.
• Equipo de Inteligencia: La mayoría de soluciones cuentan con equipos y grupos de interés que
recogen investigaciones diarias, proporcionando indicadores de recuperación.

(SOAR)
Plataformas SOAR
1.- Splunk Phantom
2.- IBM Resilient
3.- DFLabs IncMan
4.- Insightconnect
5.- RespondX
6.- Exabeam
7.- ServiceNow
8.- SIRP

1.8 Ciclo de Gestión de incidentes.

Ciclo de Gestión de Incidentes
ID FASES DEL PROCESO DE RESPUESA A INCIDENTES
(NIST: NATIONAL INSTITUTE OF STANDARS AND TECHNOLOGY)
NIST.SP.800-61R2
1 PREPARACIÓN
2 DETECCIÓN Y ANÁLISIS
3 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN
4 ACTIVIDADES POST-INCIDENT

ID FASES DEL PROCESO DE RESPUESTA A INCIDENTES
(ISO/IEC 27035-1:2016 PRINCIPIOS DE LA GESTIÓN DE INCIDENTES)
1 PLANIFICACIÓN Y PREPARACIÓN
2 DETECCIÓN Y NOTIFICACIÓN
3 EVALUACIÓN Y DECISIÓN
4 RESPUESTAS
5 LECCIONES APRENDIDAS


¡Muchas gracias!


Unidad 1 Gestión de Incidentes

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad 1 Gestión de Incidentes

Cargado por

Copyright:

Formatos disponibles

CENTRO NACIONAL DE SEGURIDAD DIGITAL

Plataforma Nacional de Gestión de Incidentes

Lic. Max Cossío LLacza

CENTRO NACIONAL DE SEGURIDAD DIGITAL 3

• Identificar los requisitos establecidos para una adecuada gestión de incidentes.

• Conocimientos básicos sobre metodologías para la implementación de un CSIRT.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 4

CENTRO NACIONAL DE SEGURIDAD DIGITAL 5

CENTRO NACIONAL DE SEGURIDAD DIGITAL 6

CENTRO NACIONAL DE SEGURIDAD DIGITAL 7

CENTRO NACIONAL DE SEGURIDAD DIGITAL 8

CENTRO NACIONAL DE SEGURIDAD DIGITAL 9

1.1 Gestión de incidentes.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 10

En la ISO 20000-1:2011; un incidente es una interrupción no planificada de un servicio, una

Un incidente de seguridad informática es una violación o amenaza inminente de violación

CENTRO NACIONAL DE SEGURIDAD DIGITAL 11

VECTORES DE ATAQUE INCIDENTE DE

CENTRO NACIONAL DE SEGURIDAD DIGITAL 12

Las organizaciones deben establecer capacidades de

CENTRO NACIONAL DE SEGURIDAD DIGITAL 13

CENTRO NACIONAL DE SEGURIDAD DIGITAL 14

1.2 Principios de gestión de incidentes ISO 27035-1.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 16

CENTRO NACIONAL DE SEGURIDAD DIGITAL 17

CENTRO NACIONAL DE SEGURIDAD DIGITAL 18

• ISO/IEC 27001, Tecnología de la Información – Técnicas de Seguridad –SGSI.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 19

• A los efectos de este documento, se aplican los Definiciones:

CENTRO NACIONAL DE SEGURIDAD DIGITAL 20

Principios básicos: Objetivos de la gestión de incidentes:

CENTRO NACIONAL DE SEGURIDAD DIGITAL 21

Adaptabilidad: Beneficios de un enfoque estructurado

• Riesgo potencial debido a un incidente. • Mejorar la priorización.

• Los objetivos de la empresa. • Apoyar la recogida de pruebas y la investigación.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 23

Respuestas: contener, erradicar, recuperar y analizar forensemente el incidente, cuando proceda;

CENTRO NACIONAL DE SEGURIDAD DIGITAL 24

EVENTO DE CAUSAS VULNERABILI-

CLASIFICADO COMO.. EXPONE

CENTRO NACIONAL DE SEGURIDAD DIGITAL 25

STAKEHOLDERS ISMS / SGSI -SISTEMA

CENTRO NACIONAL DE SEGURIDAD DIGITAL 26

1.3 Guía para la preparación y planificación de respuesta a

CENTRO NACIONAL DE SEGURIDAD DIGITAL 27

CENTRO NACIONAL DE SEGURIDAD DIGITAL 28

CENTRO NACIONAL DE SEGURIDAD DIGITAL 29

Identificar tipos de incidentes

Identificar los beneficios para

CENTRO NACIONAL DE SEGURIDAD DIGITAL 30

Las partes involucradas deben ir desde el nivel mas

CENTRO NACIONAL DE SEGURIDAD DIGITAL 31

CENTRO NACIONAL DE SEGURIDAD DIGITAL 32

1. Información del Documento 2.10 Más información 4.3 Comunicación y Autenticación

CENTRO NACIONAL DE SEGURIDAD DIGITAL 33

Formulario modelo para reportar

CENTRO NACIONAL DE SEGURIDAD DIGITAL 34

CENTRO NACIONAL DE SEGURIDAD DIGITAL 35

CENTRO NACIONAL DE SEGURIDAD DIGITAL 36

Formulario modelo para reportar

CENTRO NACIONAL DE SEGURIDAD DIGITAL 37

¿Qué información se necesitaba antes?

¿Se tomaron medidas o acciones que podrían haber impedido la recuperación?