Transcripción – Gestión de incidentes - II

Procedimiento para el manejo de incidentes

Antes, durante y después.

• Preparación

El proceso de preparación incluye todas aquellas actividades de tipo proactivo que puedan
llevarse a cabo para estar mejor preparado para responder y enfrentar incidentes de seguridad:

- Análisis de alertas y amenazas.

- Actividades de sensibilización y concientización.
- Actividades de entrenamiento.
- Ensayos y evaluaciones de seguridad.
- Definición de procedimientos.
- Análisis y mejora continua del proceso.

• Identificación

La identificación correcta del incidente:

¿Es el caso simplemente una actividad inusual, o puede identificarlo como sospechoso? Si es así,
¿cuáles son las actividades que rodean? ¿Existen múltiples reportes de problemas en la red, o si
se limita a una sola máquina o ubicación?

- Entradas sospechosas en la red o sistema contable.

- Excesivos intentos fallidos Iniciar sesión (> 3 por usuario).
- Inexplicables nuevas cuentas de usuario.
- Inexplicable Nuevos contenidos.
- Nombres de archivo desconocidos.
- Modificaciones para presentar los nombres y/o fechas, en los archivos ejecutables del
sistema.
- Sistemas de Detección de Intrusos (IDS).
- Notificaciones externos (ya sean usuarios externos, clientes o personal de emergencia).
- E-mail con contenido fraudulento.
• Contención

- Limitar el alcance y la magnitud del incidente.

- Proteger y conservar los recursos informáticos críticos.
- Deshabilitar servicios.
- Desconectar el sistemas de la red.
- Apagar equipos infectados.
- Inicializar página transaccional alterna.
- Iniciar protocolos de contingencia.
- Permitir que el sistema continúe funcionando y monitorear.

• Erradicación

Después de que el incidente ha sido contenido se debe realizar una erradicación y eliminación de
cualquier rastro dejado por el incidente:

- Restitución del servicio caído.

- Corrección de efectos producidos.
- Restauración de backups.
- Reparar el sitio web.
- Reinstalación del equipo y recuperación de datos.
- Eliminación de código malicioso.

• Recuperación

Restablecimiento del servicio, basado en la implementación de planes de contingencia de las

empresas:

- Validar y certificar funcionamiento de los sistemas.

- Activar el BCP (Plan de Continuidad del Negocio).
- Activar DRP (Plan de Recuperación de Desastres.

• Seguimiento

La respuesta a incidentes debe evolucionar para reflejar las nuevas amenazas:

Mantener un proceso de "lecciones aprendidas" después de un incidente grave, y periódicamente

después de los incidentes menores.
 - ¿Hubo suficiente preparación?
- ¿La detección se produjo con rapidez?
- ¿Hay Comunicaciones adecuadas?
- ¿Funcionaron los controles implementados?
- ¿Cómo podemos evitar que suceda de nuevo?

Procedimiento para el manejo de incidentes

La clave para prevenir un incidente es eliminar tantas vulnerabilidades como sean posible. Ejemplo

1. Escaneo de red o sistemas para disminuir los huecos de seguridad.

2. Auditar la red o sistemas.
3. Desplegar sistemas de detección de intrusos o sistemas.
4. Establecer una defensa en profundidad.
5. Asegurar los cliente y usuarios remotos.

Origen de accidentes de seguridad en Latinoamérica

- Ex empleados 38,85%
- Actuales empleados 34,53%
- Cibercriminales 28,22%
- Competidores 27,90%
- Actuales proveedores/ contratistas 23,74%
- Ex proveedores/ contratistas 18,23%
- Crimen organizado 17,03%
- Socios de negocio 16,55%
- Organizaciones activistas/ hacktvistas 16,39%
- Desconocido 10,15%
- Naciones o Estados extranjeros 8,87%
- Servicio de inteligencia interno 6,71%