Actividad de Aprendizaje 1

Gestión de Incidentes

John Edinson Alvarez Ramirez

Fundación universitaria

Compensar

Facultad de ingeniería de sistemas

informática forense

Bogotá

2023
Tabla de contenido

Introducción ................................................................................................................................................ 3

1. GESTION DE INCIDENTES ............................................................................................................ 4

2. CICLO DE VIDA DE LA GESTIÓN DE INCIDENTES ............................................................... 5

2.1 Preparación ................................................................................................................................. 5

3. DETECCIÓN, EVALUACIÓN Y ANÁLISIS ................................................................................. 7

3.1 Detección ............................................................................................................................................ 7

3.2 Análisis ............................................................................................................................................... 7

3.3 Evaluación ......................................................................................................................................... 7

4. CONTENCIÓN ERRADICACIÓN Y RECUPERACIÓN ............................................................. 7

5. ACTIVIDADES POST-INCIDENTE ............................................................................................... 8

6. ¿CÓMO SE RELACIONA LA GESTIÓN DE INCIDENTES CON LA INFORMÁTICA

FORENSE?.................................................................................................................................................. 8

Conclusiones ................................................................................................................................................ 9

Referencias................................................................................................................................................. 10
 Introducción

Cuando se presenta un evento no planificado o interrupciones de servicios es necesario

recuperar el estado operativo; a esto se llama gestión de incidentes, con ello se garantiza

recuperar el funcionamiento normal del servicio lo antes posible para minimizar el impacto en el

negocio; los incidentes son eventos que reducen la calidad del servicio.

La gestión de incidentes se puede definir como una serie de pasos que permiten analizar,

subsana o prevé incidentes críticos que podrían afectar a una organización; con la gestión de

incidentes se restaura la operación de servicio normal y se minimiza el impacto en las

operaciones comerciales para mantiene la calidad.

 1. GESTION DE INCIDENTES

El objetivo principal de la gestión de incidentes es detectar, reportar, controlar, monitorear y

responder de manera oportuna en el momento que se llegue a presentar un evento y/o incidente

de seguridad de la información.

Hoy día debido a la sistematización, autonomía de procesos, manejos de datos es necesario

metodologías de prevención con un enfoque estructurado y bien planificado, esto con el fin de

manejar adecuadamente los incidentes de seguridad de la información.

Los objetivos de este modelo son:

 Se deben definir roles dentro de la organización para evaluar riesgos

 Gestionar eventos de seguridad de la información para ser tratados con eficiencia.

 Salvaguardadas para minimizar los impactos de los eventos en la organización

 Analizar los incidentes sucedidos y plantar mecanismos y estructuras que eviten que se

generen nuevamente estas afectaciones

 Bases de conocimiento para cuantificar y monitorear los tipos de incidentes de la

seguridad de la información.

 Definir procedimientos y alertas para poder valorar los aspectos sensibles de los sistemas

de información.

Para cumplir con estos objetivos, es necesario; involucrar algunos procesos en la gestión de

incidentes tales como:

 Planificación y preparación para la gestión del Incidente

 Detección y análisis.
  Contención, erradicación y recuperación.

 Actividades Post-Incidente.

Se recomienda que las entidades creen equipos de respuesta a incidentes de seguridad –

Computer Security Incident Response Team, con los que se busca restituir las actividades con el

impacto mínimo aceptable para las organizaciones; estos grupos son los encargados de definir

los procedimientos a la atención de incidentes, realizar la atención, manejar las relaciones con

entes internos y externos, definir la clasificación de incidentes.

En el momento que se presente un incidente el equipo de respuesta debe cumplir diferentes

propósitos.

 controlar y minimizar cualquier tipo de daño a la organización y su información.

 coordinar las actividades para una recuperación rápida y eficiente de las actividades que

se han visto afectadas.

 prevenir que eventos similares puedan ocurrir en el futuro.

El CSIRT principalmente se encarga de atender los incidentes de seguridad de la información

que se presentan sobre los activos soportados por la plataforma tecnológica de la entidad.

2. CICLO DE VIDA DE LA GESTIÓN DE INCIDENTES

2.1 Preparación

Esta etapa debe estar apoyada por la dirección de tecnologías de la información; en esta etapa

se debe pensar en cómo responder a eventos presentados y también en la forma como se deben

detectar, evaluar y gestionar las debilidades para prevenirlas y tener una buena seguridad.
 En esta etapa se deben incluir las mejores prácticas con el fin de salvaguardar los sistemas,

aplicaciones y las redes; algunas de estas prácticas son:

 Gestión de parches de seguridad: Para ayudar a los administradores en la gestión en la

identificación, adquisición, prueba e instalación de los parches se debe contar con un

programa de gestión de vulnerabilidades.

 Aseguramiento de plataforma: Con el fin de proveer solo los servicios necesarios las

entidades deben ser aseguradas correctamente, determinar que recursos y archivos son

manejados de manera compartida y quien tiene uso de estos.

 Seguridad en redes: Se deben revisar constantemente las reglas de seguridad de los

equipos, es importante una implementación de recursos y protocolos que brinden una

mayor seguridad.

 Prevención de código malicioso: Es necesario contar con un software de antivirus,

antimalware con las firmas de actualización al día para prevenir estos ataques.

 Sensibilización y entrenamiento de usuarios: Es importante dar a conocer a todos los

usuarios de la entidad los riesgos y amenazas que se pueden presentar con el uso

apropiado de redes, sistemas y aplicaciones en concordancia con los estándares de

seguridad de la entidad.

Estas actividades buscan prevenir la ocurrencia de incidentes de seguridad de la

información.
 3. DETECCIÓN, EVALUACIÓN Y ANÁLISIS

3.1 Detección

Identificar elementos que alerten sobre un incidente nos suministra información que nos

ayuda a buscar procedimientos con los cuales podamos minimizar el impacto en un futuro

sobre estos incidentes.

3.2 Análisis

Con el análisis se debe formular una proyección que permita la correcta clasificación que

permita determinar los incidentes, clasificar los tipos y qué medidas se deben implementar.

3.3 Evaluación

La evaluación nos permite determinar el nivel de riesgo y nivel de afectación de cada

evento o incidente, los incidentes se pueden ser de alto, mediano o bajo impacto y se debe

implementar un esquema de seguridad, recuperación o contingencia que puedan resultar

efectivos para cada nivel que de impacto que se llegue a presentar.

4. CONTENCIÓN ERRADICACIÓN Y RECUPERACIÓN

Se deben implementar estrategias que eviten la propagación del incidente, con esto se

busca disminuir daños a los recursos de TI y la pérdida de la confidencialidad, integridad y

disponibilidad de la información.

La contención lo que busca es detectar incidentes con el fin de evitar su propagación y así

liberar de daños la información, se debe contar con una estrategia de contención previamente

definida para poder tomar decisiones; esta estrategia debe variar según el tipo de incidente.
 Una vez contenido el incidente debemos realizar una erradicación y eliminación de los

rastros dejados por el incidente y luego se procede a la recuperación a través de la

restauración de los sistemas y/o servicios restableciendo la funcionalidad de los sistemas

afectados.

5. ACTIVIDADES POST-INCIDENTE

Las actividades post incidente se realizan con la finalidad de tomar medidas preventivas,

estas actividades se componen del reporte apropiado del Incidente, de la generación de

lecciones aprendidas, del establecimiento de medidas tecnológicas, disciplinarias y penales

de ser necesarias, así como el registro en la base de conocimiento para alimentar los

indicadores.

6. ¿CÓMO SE RELACIONA LA GESTIÓN DE INCIDENTES CON LA

INFORMÁTICA FORENSE?

La informática forense como ciencia de la computación es la encargada de implementar

técnicas de análisis, prevención, recuperación, reconstrucción de datos en distintos campos

de aplicación y su objetivo es la obtención de evidencias relativas a un crimen digital; por

otro lado, la gestión de incidentes comparte metodologías similares, ya que busca evaluar,

determinar y llevar a cabo métodos efectivos contra amenazas informáticas. Por lo tanto, se

concluye que ambas utilizan sus tipologías en la formación de métodos que permitan

expulsar amenazas, prever ataques, resguarda información o recuperar sistemas o activos

relevantes.
 Conclusiones

Toda entidad que maneje activos relevantes debe implementar metodologías con el fin de

mantener a salvo toda la información, el constante monitoreo y supervisión de los controles

de seguridad ha permitido concientizar al personal en los hábitos de la seguridad de la

información.

Con la gestión de incidentes logramos que los servicios de TI; regresen a su estado

original aun después de la aparición de algún evento catastrófico; el hecho de no contar con

una estrategia de Gestión de Incidentes efectiva puede ser desastroso para la empresa; incluso

pueden llevar a la interrupción prolongada de las operaciones vitales del negocio.

El no usar las estrategias adecuadas o no llevar a cabo el proceso de Gestión de Incidentes

puede traer graves consecuencias para la empresa. Por lo tanto es esencial que las

organizaciones lleven a cabo esta gestión utilizando las mejores prácticas.

 Referencias

MINTIC. (06 de 11 de 2016). www.mintic.gov.co. Obtenido de

https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

MINTIC. (s.f.). https://gobiernodigital.mintic.gov.co. Obtenido de

https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/CSIRT-

Gobierno/

safetyculture.com. (22 de 06 de 2022). https://safetyculture.com. Obtenido de

https://safetyculture.com/es/temas/gestion-de-incidentes/

ATLASSIAN. (s.f.). Gestión de servicios de TI (ITSM). Obtenido de

https://www.atlassian.com/es/itsm/incident-

management#:~:text=La%20gesti%C3%B3n%20de%20incidentes%20es,de%20recupera

r%20el%20estado%20operativo.

Servicenow. (s.f.). Obtenido de https://www.servicenow.com/es/products/itsm/what-is-incident-

management.html