Actividad 3 - Informe Gestion de Incidentes

INFORME GESTIÓN DE INCIDENTES.
Actividad 3 – Informe gestión de incidentes.
Diego Armando Ardila Vargas
Universidad Manuela Beltrán
Seguridad Informática II
Jose Javier Moreno Corredor.
Abril de 2023
INFORME GESTIÓN DE INCIDENTES. 2
Introducción.
Un informe de gestión de incidentes de seguridad informática es un documento fundamental que se
elabora para registrar y analizar un incidente de seguridad que ha ocurrido en una organización. Este
informe es una herramienta clave en la gestión de incidentes, ya que proporciona una evaluación detallada
del incidente y ayuda a las organizaciones a mejorar sus medidas de seguridad informática.
En este informe se detallan los procedimientos y acciones tomadas por el equipo de respuesta a incidentes
para contener y resolver el incidente, así como las medidas de seguridad adicionales que se pueden
implementar para prevenir futuros incidentes. Además, se incluye una descripción completa del incidente,
incluyendo la fecha, hora, duración y tipo de incidente, y se identifican las causas raíz y el alcance del
impacto.
El informe de gestión de incidentes de seguridad informática es una herramienta valiosa para las
organizaciones, ya que les permite aprender de los incidentes pasados y mejorar su postura de seguridad
informática para protegerse contra futuros incidentes. Al implementar las recomendaciones y mejoras
sugeridas en el informe, las organizaciones pueden mejorar su resiliencia y reducir su exposición a riesgos
de seguridad informática.
Objetivos.
1. Investigar y comprender los estándares internacionales ISO relacionados con la gestión de
incidentes de seguridad informática.
2. Comprender las metodologías de gestión de incidentes y seleccionar una para analizar sus
principales fases y aplicabilidad en el contexto de la organización.
3. Identificar y definir las funciones principales de un CSIRT y su importancia en la gestión de
incidentes.
4. Crear un formato para categorizar vulnerabilidades técnicas, que permita una fácil identificación
y gestión de las mismas.
5. Identificar los diferentes tipos de software malicioso, sus características y ejemplos de casos
reales, y presentarlos en un cuadro a doble entrada para una mejor comprensión y referencia.
ISO 20000-1:2011.
Es una norma internacional que establece los requisitos para un sistema de gestión de servicios de
tecnología de la información (TI). La norma se enfoca en la gestión de servicios de TI, incluyendo la
gestión de incidentes, la gestión de problemas, la gestión de cambios y la gestión de niveles de servicio.
La norma también establece los requisitos para la mejora continua de los servicios de TI.
La norma ISO 20000 se divide en dos partes: ISO 20000-1 y ISO 20000-2. La primera parte, ISO
20000-1, establece los requisitos para el sistema de gestión de servicios de TI y es la parte obligatoria de
la norma. La segunda parte, ISO 20000-2, proporciona una guía para la implementación de la norma.
ISO 20000-1 establece los requisitos para los procesos de gestión de servicios de TI, incluyendo
la gestión de incidentes, la gestión de problemas, la gestión de cambios y la gestión de niveles de servicio.
También establece requisitos para la gestión de la seguridad de la información, la gestión de la
continuidad del negocio y la gestión de la capacidad y disponibilidad de los servicios de TI.
La norma también establece requisitos para la documentación del sistema de gestión de servicios
de TI, incluyendo la documentación del sistema, los procedimientos y los registros. También establece
requisitos para la evaluación del sistema de gestión de servicios de TI, incluyendo la realización de
auditorías internas y la revisión por la dirección.
La implementación de la norma ISO 20000 puede proporcionar una serie de beneficios para las
organizaciones que ofrecen servicios de TI. Estos beneficios incluyen:
1. Mejora de la calidad de los servicios de TI: La implementación de la norma ISO 20000 puede
ayudar a las organizaciones a mejorar la calidad de sus servicios de TI, lo que puede mejorar la
satisfacción del cliente y reducir el tiempo de inactividad.

2. Mayor eficiencia: La implementación de la norma ISO 20000 puede ayudar a las organizaciones a
mejorar la eficiencia de sus procesos de gestión de servicios de TI, lo que puede reducir los costos
y mejorar la productividad.
3. Mayor capacidad de respuesta: La implementación de la norma ISO 20000 puede ayudar a las
organizaciones a mejorar su capacidad de responder a los incidentes de seguridad de la
información y otros problemas de los servicios de TI.
4. Cumplimiento regulatorio: La implementación de la norma ISO 20000 puede ayudar a las
organizaciones a cumplir con las regulaciones y requisitos legales relacionados con los servicios
de TI.
ISO 22301.
Es un estándar internacional que establece los requisitos para un sistema de gestión de la
continuidad del negocio (SGCN). El objetivo de esta norma es proporcionar un marco para la gestión de
la continuidad del negocio, permitiendo a las organizaciones prepararse y responder a situaciones
adversas que puedan afectar a su capacidad para operar normalmente.
La norma ISO 22301:2012 establece los requisitos para la planificación, establecimiento,
implementación, operación, supervisión, revisión, mantenimiento y mejora continua de un SGCN. Los
requisitos establecidos en la norma se basan en el ciclo de mejora continua Planificar-Hacer-Verificar-
Actuar (PHVA).
Entre los requisitos de la norma se encuentran la identificación de las necesidades y expectativas
de las partes interesadas, la evaluación de los riesgos y la planificación de la continuidad del negocio, la
implementación y operación del SGCN, la evaluación y revisión del desempeño del SGCN y la mejora
continua del mismo.
La norma ISO 22301:2012 es aplicable a cualquier tipo de organización, independientemente de
su tamaño, sector o ubicación geográfica. También es aplicable a cualquier tipo de amenaza o situación
adversa que pueda afectar a la continuidad del negocio.
La implementación de un SGCN basado en la norma ISO 22301:2012 puede aportar diversos
beneficios a una organización, como la reducción de los riesgos y la minimización del impacto de las
situaciones adversas, la mejora de la capacidad de respuesta y la recuperación ante situaciones adversas,
la mejora de la confianza de los clientes y otras partes interesadas, y el cumplimiento de los requisitos
legales y regulatorios.
ISO 27002:2013.
También conocida como ISO/IEC 27002:2013, es una norma internacional que establece las
mejores prácticas para la gestión de la seguridad de la información. La norma es una guía para el
establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de
Seguridad de la Información (SGSI).
El objetivo principal de la norma ISO 27002:2013 es proporcionar una guía para la
implementación de medidas de seguridad de la información efectivas y apropiadas para las necesidades
específicas de una organización. La norma se basa en el ciclo de mejora continua Planificar-Hacer-
Verificar-Actuar (PHVA) y establece una serie de controles de seguridad de la información que una
organización puede implementar para proteger sus activos de información.
La norma ISO 27002:2013 cubre una amplia variedad de temas relacionados con la seguridad de
la información, incluyendo la gestión de riesgos de seguridad de la información, la seguridad de la red y
los sistemas, la gestión de accesos y los controles de autenticación, la seguridad física, la seguridad de los
datos, la gestión de incidentes y la continuidad del negocio.
La norma ISO 27002:2013 es aplicable a cualquier tipo de organización, independientemente de
su tamaño, sector o ubicación geográfica. La implementación de la norma puede aportar diversos
beneficios a una organización, como la mejora de la confidencialidad, integridad y disponibilidad de los
datos, la mejora de la eficiencia y eficacia de los procesos, la reducción de los riesgos y la mejora de la
confianza de los clientes y otras partes interesadas.
CSIRT (por sus siglas en inglés, Computer Security Incident Response Team).
Un equipo de respuesta a incidentes de seguridad informática, también conocido como CSIRT
(por sus siglas en inglés, Computer Security Incident Response Team), es un grupo especializado de
expertos en seguridad informática que se encargan de responder a incidentes de seguridad cibernética en
una organización. Las funciones principales del CSIRT incluyen:

 Prevención: El CSIRT trabaja en colaboración con otros departamentos de seguridad para
identificar y corregir vulnerabilidades de seguridad, y prevenir incidentes de seguridad
cibernética antes de que ocurran.
 Detección: El CSIRT monitorea constantemente la red de la organización para detectar incidentes
de seguridad cibernética. Esto implica analizar los registros de eventos y de seguridad, y realizar
pruebas regulares de penetración y vulnerabilidades.
 Respuesta: Cuando se produce un incidente de seguridad cibernética, el CSIRT actúa rápidamente
para limitar el daño y restaurar la normalidad en la red. Esto implica identificar y contener el
incidente, investigar y analizar la causa raíz, y tomar medidas correctivas para evitar futuros
incidentes.
 Análisis forense: El CSIRT utiliza técnicas de análisis forense para recopilar y analizar evidencia
digital relacionada con el incidente de seguridad cibernética. Esto puede incluir la recuperación
de datos, el análisis de registros de eventos y el análisis de malware.
 Comunicación y coordinación: El CSIRT trabaja en estrecha colaboración con otros
departamentos de seguridad, así como con proveedores de servicios externos, para coordinar la
respuesta al incidente de seguridad cibernética y comunicar la situación a los stakeholders
relevantes. Esto incluye la comunicación con los usuarios afectados y los medios de
comunicación, y la coordinación con las autoridades de aplicación de la ley y los reguladores.
En resumen, las funciones principales del CSIRT incluyen la prevención, detección, respuesta,
análisis forense, comunicación y coordinación en relación con los incidentes de seguridad cibernética. El
CSIRT es un componente clave en la gestión de la seguridad cibernética de una organización y es
fundamental para garantizar la protección de los activos y la información crítica de la organización.

Metodologías de gestión de incidentes.
Metodología del Departamento de Justicia (DOJ) de los Estado Unidos
El modelo del DOJ no hace distinción entre los métodos forenses aplicados a computadores o a algún otro
dispositivo electrónico. Intenta construir un modelo general para aplicarlo a la mayoría de dispositivos
electrónicos.
Metodología del instituto SANS
Es una organización cooperativa de investigación y educación para profesionales de la seguridad. El
manejo adecuado de una investigación forense es clave para luchar contra los delitos informáticos,
requiriendo un profundo conocimiento de muchas áreas para una investigación adecuada. La metodología
del Instituto SANS para la gestión de la seguridad de la información se basa en seis fases:
1. Identificación: Esta fase consiste en identificar y catalogar los activos de información, los
sistemas y las redes de la organización. Esto implica identificar los riesgos y las amenazas
potenciales que puedan afectar a la organización.
2. Protección: En esta fase, se desarrollan y se implementan políticas, procedimientos y controles de
seguridad para proteger los activos de información de la organización. Esto incluye la
implementación de medidas físicas, técnicas y administrativas para reducir el riesgo de
exposición a amenazas.
3. Detección: La fase de detección implica la identificación de incidentes de seguridad y la respuesta
a ellos. Esto incluye la implementación de tecnologías y procesos de monitorización y alerta
temprana para detectar las amenazas de seguridad antes de que causen daño.
4. Respuesta: La fase de respuesta implica la planificación y la ejecución de estrategias para manejar
los incidentes de seguridad y minimizar los daños. Esto incluye la identificación de un equipo de
respuesta a incidentes y la elaboración de planes de acción para abordar incidentes de seguridad
específicos.
5. Recuperación: La fase de recuperación implica la restauración de los sistemas y la información
después de un incidente de seguridad. Esto incluye la evaluación de los daños y la
implementación de medidas para restaurar los sistemas afectados a su estado normal de
funcionamiento.
6. Mejora continua: La fase final de la metodología del Instituto SANS consiste en la mejora
continua de la seguridad de la información. Esto incluye la revisión y la actualización de las
políticas y los controles de seguridad, la realización de pruebas de seguridad periódicas y la
formación continua del personal para asegurar que estén actualizados y capacitados para manejar
las amenazas de seguridad emergentes.
Digital Forensics Research Workshop (DFRW)
Es un grupo dirigido por la academia más que por el mundo legal, ayuda a definir y enfocar la dirección
de la comunidad científica en relación al análisis forense digital

Propuesta de formato para categorizar vulnerabilidades técnicas.
Formato para categorizar vulnerabilidades técnicas

F-VT-001
Identificación de las Inyección SQL en la aplicación web
vulnerabilidades técnicas Buffer overflow en el servidor de correo electrónico
Selección de criterios de Gravedad de la vulnerabilidad (1 - 5)
categorización Facilidad de explotación (1 - 5)
Tipo de vulnerabilidad
Impacto en la confidencialidad, integridad y disponibilidad de los datos
Definición de los valores Gravedad de la vulnerabilidad (1 bajo - 5 critico)
de cada criterio Facilidad de explotación (1 difícil - 5 fácil)
Tipo de vulnerabilidad
Impacto en la confidencialidad, integridad y disponibilidad de los datos (1 bajo - 5 critico)
Asignación de valores a las
vulnerabilidades técnicas
Calculo de puntajes
Categorización de las Criticas (puntaje de 18 a 20)

vulnerabilidades técnicas Altas (puntaje de 14 a 17)
Medias (puntaje de 10 a 13)
Bajas (puntaje de 6 a 9)
Mínimas (puntaje de 2 a 5)
Notas
Realizó: ______________________________ Revisó: _____________________________________

Tipos de software malicioso, características y ejemplo de caso real.
Tipos de Características Ejemplo de caso real
software
malicioso
Virus Se replica y se propaga a través de archivos infectados. Melissa, ILOVEYOU,
Puede dañar o destruir archivos o todo el sistema. Code Red.
Gusano (worm) Se replica a sí mismo y se propaga a través de redes. Morris Worm, Conficker,
Puede consumir ancho de banda, dañar o destruir WannaCry.
archivos y sistemas.
Troyano Se presenta como un software legítimo, pero tiene Back Orifice, DarkComet,
(Trojan) funciones maliciosas ocultas. Puede proporcionar acceso Poison Ivy.
no autorizado al sistema o instalar otros programas
maliciosos.
Ransomware Bloquea el acceso a los archivos del sistema o encripta WannaCry, Petya, Locky.
los datos y exige un rescate para recuperarlos. Puede
propagarse a través de correos electrónicos de phishing o
explotar vulnerabilidades en el sistema.

Adware Muestra anuncios no deseados o engañosos y puede Superfish, Yontoo,
recopilar información del usuario. Puede venir incluido Jollywallet.
en software gratuito o instalarse a través de descargas
maliciosas.
Spyware Recopila información del usuario sin su consentimiento FinFisher, Galileo, Hacking
y envía datos a terceros. Puede rastrear la actividad del Team.
usuario, capturar contraseñas o información financiera.
Bot Se ejecuta en un sistema infectado y permite el control Zeus, Mirai, Satori.
remoto del equipo. Puede ser utilizado para realizar
ataques de denegación de servicio (DDoS), spam, fraude
publicitario y otras actividades maliciosas.

Conclusiones
1. Conocer los estándares ISO relacionados con la gestión de incidentes de seguridad informática es
importante para poder implementar un sistema de gestión de incidentes efectivo y cumplir con las
regulaciones internacionales.
2. Comprender las metodologías de gestión de incidentes y seleccionar la adecuada para la
organización puede ayudar a mejorar la eficiencia en la gestión de incidentes y a minimizar el
impacto de los mismos.
3. La identificación y definición de las funciones principales de un CSIRT (Equipo de Respuesta a
Incidentes de Seguridad Informática) es fundamental para la respuesta efectiva ante incidentes de
seguridad, y su importancia radica en la capacidad de mitigar los riesgos y minimizar los
impactos.
4. La creación de un formato para categorizar vulnerabilidades técnicas facilita la identificación y
gestión de las mismas, permitiendo una respuesta más rápida y eficiente ante incidentes de
seguridad.
5. Identificar los diferentes tipos de software malicioso, sus características y ejemplos de casos
reales, y presentarlos en un cuadro a doble entrada, proporciona una visión general de las
amenazas de seguridad informática y ayuda a la toma de decisiones en cuanto a la
implementación de medidas de seguridad adecuadas.

Bibliografía.
1. Telefónica S.A. ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de
tecnologías de la información. AENOR. Recuperado de:
https://www.academia.edu/29219511/ISO_IEC_20000_Gu%C3%ADa_completa_de_aplicaci
%C3%B3n_para_la_gesti%C3%B3n_de_los_servicios_de_tecnolog
%C3%ADas_de_la_informaci%C3%B3n
2. Mike. H. (2018). ISO 22301. Sistemas de gestión de continuidad del negocio. Cartagena,
Colombia. Recuperado de:
http://siga.unal.edu.co/images/informes-presentaciones/ISO_22301_Continuidad_Negocio.pdf
3. Diego. P. (2014). Metodología de análisis forense orientada a incidentes en dispositivos móviles.
Recuperado de:
https://dspace.ucuenca.edu.ec/bitstream/123456789/21381/1/TIC.EC_04_Pinto.pdf

Actividad 3 - Informe Gestion de Incidentes

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Actividad 3 - Informe Gestion de Incidentes

Cargado por

Copyright:

Formatos disponibles

INFORME GESTIÓN DE INCIDENTES.

Actividad 3 – Informe gestión de incidentes.

Diego Armando Ardila Vargas

Universidad Manuela Beltrán

Jose Javier Moreno Corredor.

Un informe de gestión de incidentes de seguridad informática es un documento fundamental que se

1. Investigar y comprender los estándares internacionales ISO relacionados con la gestión de

incidentes de seguridad informática.

principales fases y aplicabilidad en el contexto de la organización.

3. Identificar y definir las funciones principales de un CSIRT y su importancia en la gestión de

y gestión de las mismas.

tecnología de la información (TI). La norma se enfoca en la gestión de servicios de TI, incluyendo la

gestión de incidentes, la gestión de problemas, la gestión de cambios y la gestión de niveles de servicio.

la gestión de incidentes, la gestión de problemas, la gestión de cambios y la gestión de niveles de servicio.

También establece requisitos para la gestión de la seguridad de la información, la gestión de la

continuidad del negocio y la gestión de la capacidad y disponibilidad de los servicios de TI.

auditorías internas y la revisión por la dirección.

organizaciones que ofrecen servicios de TI. Estos beneficios incluyen:

satisfacción del cliente y reducir el tiempo de inactividad.

organizaciones a mejorar su capacidad de responder a los incidentes de seguridad de la

información y otros problemas de los servicios de TI.

4. Cumplimiento regulatorio: La implementación de la norma ISO 20000 puede ayudar a las

Es un estándar internacional que establece los requisitos para un sistema de gestión de la

la continuidad del negocio, permitiendo a las organizaciones prepararse y responder a situaciones

adversas que puedan afectar a su capacidad para operar normalmente.

La norma ISO 22301:2012 establece los requisitos para la planificación, establecimiento,

implementación, operación, supervisión, revisión, mantenimiento y mejora continua de un SGCN. Los

requisitos establecidos en la norma se basan en el ciclo de mejora continua Planificar-Hacer-Verificar-

Entre los requisitos de la norma se encuentran la identificación de las necesidades y expectativas

continua del mismo.

La norma ISO 22301:2012 es aplicable a cualquier tipo de organización, independientemente de

adversa que pueda afectar a la continuidad del negocio.

La implementación de un SGCN basado en la norma ISO 22301:2012 puede aportar diversos

situaciones adversas, la mejora de la capacidad de respuesta y la recuperación ante situaciones adversas,

establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de

Seguridad de la Información (SGSI).

El objetivo principal de la norma ISO 27002:2013 es proporcionar una guía para la

implementación de medidas de seguridad de la información efectivas y apropiadas para las necesidades

específicas de una organización. La norma se basa en el ciclo de mejora continua Planificar-Hacer-

organización puede implementar para proteger sus activos de información.

la información, incluyendo la gestión de riesgos de seguridad de la información, la seguridad de la red y

datos, la gestión de incidentes y la continuidad del negocio.

La norma ISO 27002:2013 es aplicable a cualquier tipo de organización, independientemente de

su tamaño, sector o ubicación geográfica. La implementación de la norma puede aportar diversos

beneficios a una organización, como la mejora de la confidencialidad, integridad y disponibilidad de los

confianza de los clientes y otras partes interesadas.

Un equipo de respuesta a incidentes de seguridad informática, también conocido como CSIRT

expertos en seguridad informática que se encargan de responder a incidentes de seguridad cibernética en

una organización. Las funciones principales del CSIRT incluyen:

 Prevención: El CSIRT trabaja en colaboración con otros departamentos de seguridad para

identificar y corregir vulnerabilidades de seguridad, y prevenir incidentes de seguridad

cibernética antes de que ocurran.

 Detección: El CSIRT monitorea constantemente la red de la organización para detectar incidentes

pruebas regulares de penetración y vulnerabilidades.

 Respuesta: Cuando se produce un incidente de seguridad cibernética, el CSIRT actúa rápidamente

de datos, el análisis de registros de eventos y el análisis de malware.

 Comunicación y coordinación: El CSIRT trabaja en estrecha colaboración con otros

respuesta al incidente de seguridad cibernética y comunicar la situación a los stakeholders

comunicación, y la coordinación con las autoridades de aplicación de la ley y los reguladores.

CSIRT es un componente clave en la gestión de la seguridad cibernética de una organización y es

fundamental para garantizar la protección de los activos y la información crítica de la organización.

Metodologías de gestión de incidentes.

Metodología del Departamento de Justicia (DOJ) de los Estado Unidos

Metodología del instituto SANS

Realizó: Revisó: _______