UNIVERSIDAD TECNOLÓGICA DE PANAMA

Materia: Gestion de Incidentes

Profesor: Boris Landero

Temas:
 Objetivos de gestión de incidentes
 Métricas e indicadores de gestión de incidentes
 Definición de procedimientos de gestión de incidentes
 Capacidad actual de respuesta al estado de los
incidentes

Estudiantes:
 Keimer Martinez
 Cecil Lezcano
 Gladys Guerra

Fecha de entrega: 27 de abril del 2023

 INDICE

INTRODUCCION.....................................................................................................................................2
V OBJETIVOS DE GESTIÓN DE INCIDENTES............................................................................................3
V.1 DEFINIR OBJETIVOS.....................................................................................................................3
V.2 EL ESTADO DESEADO...................................................................................................................4
V.3 ALINEACIÓN ESTRATÉGICA..........................................................................................................4
V.4 GESTIÓN DE RIESGOS..................................................................................................................6
V.5 INTEGRACION DEL PROCESO DE ASEGURAMIENTO....................................................................6
V.6 ENTREGA DE VALOR....................................................................................................................6
V.7 GESTIÓN DE RECURSOS...............................................................................................................7
VI MÉTRICAS E INDICADORES DE GESTIÓN DE INCIDENTES..................................................................7
VI.1 MEDICIÓN DEL RENDIMIENTO...................................................................................................8
VII DEFINIENDO PROCEDIMIENTOS DE ADMINISTRACION DE INCIDENTES...........................................8
VII.1 PLAN DETALLE DE ACCION PARA LA GESTION DE INCIDENTES..................................................9
VIII ESTADO ACTUAL DE LA CAPACIDAD DE RESPUESTA A INCIDENTES..............................................13
VIII.1 HISTORIA DE INCIDENTES.......................................................................................................13
VIII.2 AMENAZAS.............................................................................................................................14
VIII.3 VULNERABILIDADES................................................................................................................14
RECOMENDACIONES...........................................................................................................................15
CONCLUSIONES...................................................................................................................................16
 INTRODUCCION

El crecimiento de la tecnologia a aumentado considerablmente en lo

ultimos años pero con tanto avance que a traido consigo mismo ahi que
tener algun tipo de contingencia o en este caso un plan de gestion de
incidente cual cuyo objetivo sea la seguridad informatica que garantice
el tratamiento y solucion a cualquier causa para la prevencion a un daño
a corto o largo plazo.

ademas de tener una herramienta en este caso un plan de gestion de

incidentes es necesario establcer las resposabilidades de dicho plan
debe ser rápido, efectivo y concisa, estos procesos deben contribuir a
lograr de mejorar continua en la evaluación y monitoreo de los
incidentes de seguridad de información, quizás uno de los aspectos más
sobresaliente de la misa sea aportar mayor información al negocio el
cual es cuantificarlos impactos que pueden dejar dichos incidentes, por
lo cual es recomendable adoptar un modelo que en función de volumen,
costo asociación y tipo de incidente permita aproximarse a los valores
monetarios de las consecuencia de su ocurrencia.
V OBJETIVOS DE GESTIÓN DE INCIDENTES

La gestión de incidentes existe para abordar los eventos inevitables que

amenazan el funcionamiento de cualquier organización. Sirve como la
próxima red de seguridad después de que los controles no hayan
podido prevenir o contener un evento amenazante.
Su propósito es responder y contener un incidente amenazante o
restaurar rápidamente las operaciones normales en caso de daño. Si no
lo hace, la declaración de un desastre y las operaciones de
recuperación se moverán a un sitio alternativo para restaurar las
operaciones de acuerdo con un BCP/DR.

V.1 DEFINIR OBJETIVOS

Los objetivos de la gestión de incidentes son:

• Manejar los incidentes cuando se producen para que la exposición
pueda ser contenida o erradicada para permitir la recuperación dentro
de un AIW.
• Evitar que los incidentes anteriores se repitan documentando y
aprendiendo de incidentes pasados.
• Implementar contramedidas proactivas para prevenir/minimizar la
probabilidad de que se realicen incidentes.

V.2 EL ESTADO DESEADO

Dado que la gestión y respuesta de incidentes sirve como brigada de

bomberos, servicio de ambulancia y sala de emergencias para los
activos de información de la organización, debe abordar eficazmente
una amplia gama de posibles eventos inesperados, tanto electrónicos
como físicos. Deberá contar con capacidades de supervisión bien
desarrolladas para controles clave, ya sean procedimentales o técnicos,
para proporcionar una detección temprana de posibles problemas.
Contará con personal capacitado para evaluar la situación, capaz de
proporcionar triaje, gestionar respuestas efectivas que maximicen la
continuidad operativa y minimicen los impactos. Los administradores de
incidentes habrán tomado disposiciones para capturar toda la
información relevante y aplicar lecciones previamente aprendidas.
Sabrán cuándo un desastre es inminente y tienen criterios, experiencia,
conocimiento y autoridad bien definidos para invocar los procesos de
recuperación ante desastres necesarios para mantener o recuperar el
estado operativo.

V.3 ALINEACIÓN ESTRATÉGICA

Al igual que muchas otras funciones de soporte, la gestión de incidentes

debe estar alineada con el plan estratégico de una organización. Los
siguientes componentes pueden ayudar a lograr esta alineación:
• Electorado: ¿a quién prestan servicios las IMT? Es importante saber
quiénes son las partes interesadas para esta función e identificar sus
expectativas y sus necesidades de información. Por ejemplo, la alta
dirección de las instituciones financieras puede estar vinculada por
BASEL II u otro reglamento. Por lo tanto, la gestión de incidentes es una
función importante y se espera que las IMT cumplan ciertos requisitos
de rendimiento y presentación de informes.
• Misión: la misión define el propósito del equipo y los objetivos y metas
principales proporcionados por IMT. A continuación se muestra un
ejemplo de una posible declaración de misión de las IMT: "La misión del
equipo de gestión de incidentes es desarrollar, mantener y ofrecer
capacidades y servicios de gestión de incidentes para proteger los
activos de información de la organización contra incidentes informáticos.
Nos esforzamos por garantizar a nuestras partes interesadas que los
incidentes de riesgo e informática se tratan de manera eficiente y eficaz
y que evitaremos / minimizaremos las pérdidas resultantes de tales
incidentes".
• Servicios: los servicios proporcionados por IMT deben definirse
claramente para gestionar las expectativas de las partes interesadas.
Los servicios ofrecidos en organizaciones pueden diferir
significativamente, y normalmente tienen una correlación positiva con el
tamaño de la organización y el alcance de la entrada de la alta gerencia.
• Estructura organizativa: la estructura de las IMT debe apoyar
eficazmente la estructura de la organización. Para las empresas
multinacionales, una estructura basada en geografía puede ser la mejor.
Para las organizaciones con múltiples filiales, se puede desarrollar una
IMT para cada filial principal. La mejor estructura proporcionaría a las
empresas la máxima disponibilidad de servicios IMT sobre la base más
rentable.
• Recursos: se necesita suficiente personal para ser eficaz. Debido a
que la gestión de incidentes cubre una amplia gama de servicios, la
mayoría de las veces no es posible tener todos los recursos disponibles
dentro de una IMT. Una forma de resolver este problema es establecer
miembros del equipo virtual y/o complementar al equipo con recursos
externos.
• Financiación: las IMT generalmente están compuestas por miembros
altamente especializados. En el curso de la prestación de servicios, el
equipo que utilizan también puede estar especializado, lo que requiere
mayores gastos de capital. En vista de esto, se requiere suficiente
financiación para garantizar la continuidad de los servicios críticos de
respuesta a incidentes.
• Entrada de gestión: la entrada de alta dirección es esencial para
establecer y apoyar la función de gestión de incidentes. La falta de buy-
in normalmente da lugar a un rendimiento de las IMT poco óptima, ya
que puede haber una limitación significativa en los presupuestos o la
disponibilidad de personal adecuado.

V.4 GESTIÓN DE RIESGOS

Los resultados exitosos de la gestión de riesgos incluyen capacidades

efectivas de gestión y respuesta a incidentes. Cualquier riesgo que se
materialice y que no se impida mediante controles constituirá un
incidente que debe gestionarse y responderse con la intención de que
no se convierta en un desastre.

V.5 INTEGRACION DEL PROCESO DE ASEGURAMIENTO

El tipo y la naturaleza de los incidentes que el administrador de

seguridad de la información puede tratar a menudo requerirá la
participación de una serie de otras funciones de garantía organizativa.
Esto puede incluir seguridad física, legal, recursos humanos y, tal vez,
otros. Como consecuencia,es importante garantizar que los planes de
gestión y recuperación de incidentes incorporen e integren activamente
esas funciones cuando sea necesario. Un resultado eficaz es un
conjunto de planes que define qué departamentos están involucrados
en diversas actividades de gestión y respuesta de incidentes, y que
esos vínculos se han probado en condiciones realistas.

V.6 ENTREGA DE VALOR

Las capacidades de gestión de incidentes deben integrarse

estrechamente con las funciones empresariales y proporcionar la última
línea de defensa de la gestión de riesgos rentable. La gestión de
incidentes no sólo debe considerarse tecnología para prevenir o
responder a incidentes, sino un conjunto de procesos que, como
componente de la gestión de riesgos, pueden proporcionar el equilibrio
óptimo entre prevención, contención y restauración. Para ofrecer valor,
la gestión de incidentes debe:
• Integrarse con los procesos y estructuras de negocio de la forma más
fluida posible
• Mejorar la capacidad de las empresas para gestionar el riesgo y
proporcionar garantía a las partes interesadas
• Integrar con BCP
• Formar parte de la estrategia y el esfuerzo general de una
organización para proteger y asegurar la función y los activos críticos
del negocio
• Proporcionar el backstop y optimizar los esfuerzos de gestión de
riesgos

V.7 GESTIÓN DE RECURSOS

La administración de recursos abarca tiempo, personas, presupuesto y

otros factores para lograr objetivos de manera eficiente bajo
determinadas limitaciones de recursos. Las actividades de gestión y
respuesta de incidentes consumen recursos que deben gestionarse
para lograr una eficacia óptima. Cuando no es posible alcanzar todos
los objetivos, una gestión eficaz de los recursos garantiza que primero
se aborden las prioridades más importantes.

VI MÉTRICAS E INDICADORES DE GESTIÓN DE

INCIDENTES
Las métricas, medidas e indicadores de gestión de incidentes son los
criterios utilizados para medir la eficacia y eficiencia de la función de
gestión de incidentes. Las métricas basadas en indicadores clave de
desempeño (KPI) y los objetivos del programa establecidos para la
gestión de incidentes deben presentarse a la alta dirección como base
de justificación del apoyo y la financiación continuos. Permite a la alta
dirección comprender la capacidad de gestión de incidentes de su
organización y las áreas de riesgo que deben abordarse.
Los informes y medidas de gestión de incidentes son útiles para que las
IMT se autoevaluen y comprendan lo que se ha hecho
satisfactoriamente y en las que es necesario realizar mejoras. Los
criterios comunes que se utilizan como parte de las métricas de
administración de incidentes pueden incluir:
• Número total de incidentes reportados
• Número total de incidentes detectados
• Tiempo medio para responder a un incidente en relación con el AIW
• Tiempo medio para resolver un incidente
• Número total de incidentes resueltos con éxito
• Medidas proactivas y preventivas adoptadas
• Número total de empleados que reciben capacitación en
concienciación sobre seguridad
• Daño total por incidentes reportados y detectados si no se realizó la
respuesta a incidentes
• Ahorro total de posibles daños por incidentes resueltos
• Mano de obra total que responde a incidentes
• Tiempos de detección y notificación
VI.1 MEDICIÓN DEL RENDIMIENTO

Las mediciones de rendimiento para la gestión y respuesta de

incidentes se centrarán en lograr los objetivos definidos y optimizar la
eficacia. Los indicadores clave de objetivos (KGI) y los KPI para la
actividad deben ser definidos y acordados por las partes interesadas y
ratificados por la alta dirección. La gama típica de KGI abarca el manejo
exitoso de incidentes, ya sea mediante pruebas en vivo o en
condiciones reales. Las medidas clave de rendimiento se pueden
identificar cumpliendo los objetivos de tiempo de recuperación o
controlando con éxito los incidentes que amenazan las operaciones
empresariales.

VII DEFINIENDO PROCEDIMIENTOS DE

ADMINISTRACION DE INCIDENTES

No hay un conjunto único, fijo y único de procedimientos de gestión de

incidentes para cada organización. Sin embargo, hay una serie de
buenas prácticas que la mayoría de las organizaciones adoptan y
personalizan para satisfacer sus propias necesidades específicas. Los
enfoques comúnmente adoptados están disponibles en la CMU/SEI y el
Instituto SANS, entre otros.
VII.1 PLAN DETALLE DE ACCION PARA LA GESTION DE INCIDENTES

El plan de acción de gestión de incidentes también se conoce como el

plan de respuesta a incidentes (IRP).
Existen una serie de enfoques para desarrollar el PIR. En el informe
técnico de la CMU/SEI titulado Definición de procesos de gestión de
incidentes, el enfoque es el siguiente:
• Preparar/mejorar/sostener (preparar): este proceso define todo el
trabajo de preparación que debe completarse antes de tener alguna
capacidad para responder a incidentes. Contiene subprocesos para
evaluar la capacidad de control de incidentes y la revisión postmortem
de incidentes para mejoras. Los subprocesos en este proceso incluyen:
– Coordinación de planificación y diseño:
– Identificar los requisitos de gestión de incidentes.
– Establecer visión y misión.
– Obtener financiación y patrocinio.
– Desarrollar un plan de implementación.
– Implementación de coordenadas:
– Desarrollar políticas, procesos y planes.
– Establecer criterios de gestión de incidentes.
– Implementar recursos definidos.
– Evaluar la capacidad de gestión de incidentes.
– Llevar a cabo la revisión postmortem.
– Determinar los cambios en el proceso de gestión de incidentes.
– Implementar cambios en el proceso de gestión de incidentes.
• Proteger la infraestructura (proteger): el proceso de protección tiene
como objetivo proteger y proteger los datos críticos y la infraestructura
informática y su electorado al responder a incidentes. También propone
mejorar en un calendario predeterminado, manteniendo en
consideración el contexto de seguridad adecuado. Los subprocesos en
este proceso incluyen:
– Implementar cambios en la infraestructura informática para mitigar
incidentes continuos o potenciales.
– Implementar mejoras en la protección de la infraestructura a partir de
revisiones postmortem u otros mecanismos de mejora de procesos.
– Evaluar la infraestructura informática mediante la realización de
evaluaciones y evaluaciones proactivas de seguridad.
– Proporcionar información para detectar el proceso en
incidentes/posibles incidentes.
• Detectar eventos (detectar): el proceso de detección identifica
actividades inusuales/sospechosas que podrían comprometer funciones
o infraestructuras críticas del negocio. Los subprocesos en este proceso
incluyen:
– Detección proactiva —El proceso de detección se lleva a cabo
regularmente antes de un incidente. El IMT monitorea diversa
información de análisis de vulnerabilidades en línea/periódico, monitoreo
de redes, alertas de firewalls antivirus y personales, servicios de alerta
de vulnerabilidad comercial, análisis de riesgos y auditoría/evaluación
de seguridad.
– Detección reactiva: el proceso de detección se lleva a cabo cuando
hay informes de usuarios del sistema u otras organizaciones. Los
usuarios pueden notar actividad inusual o sospechosa y reportarlos a
las IMT. También es posible que IMT de otra organización proporcione
avisos cuando su sistema ha recibido actividad malintencionada de su
organización.
Para que las IMT reciban el informe con prontitud, debe haber varios
canales de comunicación de los usuarios finales a las IMT. Esto puede
ser en forma de llamadas telefónicas, faxes, mensajes de correo
electrónico, informes de formularios web y sistemas automatizados de
detección de intrusiones (IDS).
• Eventos de triaje (triaje): El triaje es un proceso de clasificación,
categorización, correlación, priorización y asignación de
informes/eventos entrantes. Es un elemento esencial de cualquier
capacidad de gestión de incidentes. Cuando hay varios informes que
entran en las IMT, el triaje permite que los eventos se prioricen
apropiadamente, recibiendo así una respuesta rápida. También sirve
como un único punto de entrada para cualquier correspondencia e
información de las IMT.
Triage proporciona una instantánea del estado actual de toda la
actividad de incidentes notificada, una ubicación central para los
informes de estado de incidentes y una evaluación inicial de los
informes entrantes para su posterior manejo. El triaje se puede hacer en
dos niveles:
– Táctico: basado en un conjunto de criterios
– Estratégico: basado en el impacto del negocio.
Los subprocesos en este proceso incluyen:
– Categorización: mediante criterios predeterminados, clasifique todos
los informes/eventos entrantes. Hay muchas maneras de categorizar,
por ejemplo, el Instituto Nacional de Ciencia y Tecnología de los
Estados Unidos (NIST), en su Guía de Manejo de Incidentes de
Seguridad Informática (SP 800-61), utiliza:
. DoS
. Código malicioso
. Acceso no autorizado
. Uso inapropiado
. Múltiples componentes
– Correlación: correlaciona un informe/evento con otra información
relevante. Una correlación más alta de un informe/evento proporciona
más información que es útil para que las IMT decidan la respuesta
adecuada.
– Priorización: en un mundo ideal, cada evento indeseable es seguido
tan pronto como sea posible. Sin embargo, los recursos son limitados y
no siempre es posible. Para garantizar un impacto mínimo en la función
empresarial crítica o en los activos de información, los incidentes se
priorizan en función de su impacto potencial. Las asignaciones
comienzan desde la prioridad más alta hasta la prioridad más baja.
– Asignación: cuando se ha identificado un incidente o un posible
incidente, se asigna a las IMT en el siguiente proceso (responder). La
asignación puede basarse en:
. Carga de trabajo de los miembros de las IMT
. Miembros de IMT que han manejado incidentes similares
. Categoría o prioridad del evento
. Unidad de negocio funcional relevante
• Responder: el proceso de respuesta incluye los pasos tomados para
abordar, resolver o mitigar un incidente. CMU/SEI define tres tipos de
actividades de respuesta:
– Respuesta técnica: adecuado para que los miembros técnicos de las
IMT, como los controladores de incidentes y los representantes de TI,
analicen y resuelvan un incidente. Los formularios de respuesta técnica
pueden incluir lo siguiente:
• Recopilación de datos para su posterior análisis
• Analizar información de soporte de incidentes, como archivos de
registro
• Investigación de las estrategias de mitigación técnica correspondientes
y opción de recuperación
• Asistencia técnica telefónica o por correo electrónico
• Asistencia in situ
• Análisis de registros
• Desarrollo e implementación de parches y soluciones
– Respuesta de la gerencia: la respuesta de la dirección incluye
actividades que requieren intervención de supervisión o gestión,
notificación, interacción, escalada o aprobación como parte de la
respuesta que se debe llevar a cabo. Esta respuesta normalmente es
ejecutada por gerentes de negocios y altos directivos, y se extiende
entre las unidades de negocio.
– Respuesta legal: la respuesta legal está asociada con actividades
relacionadas con la investigación, el procesamiento, la responsabilidad,
los derechos de autor y la privacidad, las leyes, las regulaciones y los
acuerdos de confidencialidad. Debido a que esta respuesta puede
requerir un conocimiento profundo sobre asuntos legales, por lo general
se remite al equipo legal corporativo.

VIII ESTADO ACTUAL DE LA CAPACIDAD DE RESPUESTA

A INCIDENTES

La mayoría de las organizaciones tienen algún tipo de capacidad de

respuesta a incidentes, ya sea ad hoc o formal. El administrador de
seguridad de la información debe identificar lo que ya existe como base
para comprender el estado actual. Hay muchas maneras de hacer esto;
varios métodos que se pueden utilizar son:
• Encuesta de alta dirección, gerentes de negocios y representantes de
TI: el uso de una colección de altos directivos, gerentes de líneas de
negocio y representantes de tecnología, encuestas y grupos focales
proporcionan un mecanismo para ayudar a determinar el rendimiento
pasado y la percepción del equipo de gestión de incidentes y sus
capacidades de proceso.
• Autoevaluación: la autoevaluación es llevada a cabo por las IMT en
función de un conjunto de criterios para desarrollar una comprensión de
las capacidades actuales. Este es el método más fácil, ya que no
requiere la participación de muchas partes interesadas. La desventaja
de este método es que incluye una visión limitada sobre la capacidad
actual y puede no estar en línea con la capacidad percibida de las
partes interesadas.
• Evaluación o auditoría externa: esta es la opción más completa y
combina entrevistas, encuestas, simulaciones y otras técnicas de
evaluación en la evaluación. Esta opción se utiliza normalmente para
una organización que ya tiene una capacidad de gestión de incidentes
adecuada, pero está mejorando aún más o rediseñando los procesos.

VIII.1 HISTORIA DE INCIDENTES

Los incidentes anteriores (tanto internos como externos) pueden

proporcionar información valiosa sobre tendencias, tipos de eventos e
impactos empresariales. Esta información se utiliza como entrada para
la evaluación de los tipos de incidentes que se deben planificar y
considerar.

VIII.2 AMENAZAS

Las amenazas son cualquier evento que puede causar daño a los
activos, operaciones o personal de una organización. Hay una serie de
amenazas que deben ser consideradas, incluyendo:
• Medio ambiente: las amenazas ambientales cubren desastres
naturales. Si bien los desastres naturales varían entre lugares, algunos
desastres naturales pueden ocurrir entre períodos prolongados de
tiempo y otros pueden ocurrir anualmente. Es difícil protegerse de
ciertos desastres naturales ya que su naturaleza destructiva es alta.
• Técnicas: las amenazas técnicas incluyen incendios, fallas eléctricas,
calefacción, ventilación y fallas de aire acondicionado (HVAC),
problemas de software y sistemas de información, fallas de
telecomunicaciones y fugas de gas/agua. Las amenazas técnicas se
encuentran normalmente en todas las organizaciones y son bastante
comunes. Con una planificación suficiente, las amenazas técnicas se
pueden gestionar adecuadamente.
• Hecho por el hombre: las amenazas que surgen de acciones hechas
por el hombre pueden incluir daños por parte de empleados
descontentos, sabotaje/espionaje corporativo e inestabilidad política que
interrumpe las funciones del negocio. Estas amenazas son normalmente
fáciles de identificar desde la ubicación/contexto y para protegerse con
una planificación adecuada.

VIII.3 VULNERABILIDADES

Una debilidad en un sistema, tecnología, proceso, personas o control

que puede ser explotado y dar lugar a la exposición es una
vulnerabilidad. Una vulnerabilidad que puede ser explotada por las
amenazas resulta en riesgo. Un aspecto de la gestión de riesgos es la
gestión de vulnerabilidades para mantener el riesgo dentro de los límites
aceptables determinados por la tolerancia al riesgo de la organización.
La gestión de vulnerabilidades forma parte de la capacidad de gestión
de incidentes; es la identificación proactiva, el monitoreo y la fijación de
cualquier debilidad.

RECOMENDACIONES
 Instalar siempre un cortafuego o firewall para poder restringir los
accesos no autorizados a ciertos aspectos de internet.

 Tener un antiviruis que actualize con frecuencia, que analice los

datos almacenados que se utilice o descarguen ya que muchos de
las fallas en la seguridad son los usuarios que utilizan los equipos.

 Tener actualizados los sistemas operativos para tener parchados

los puntos debilies que tiene las versiones anteriores de la misma.

CONCLUSIONES

 Para tener una gestion de riesgo que sea buena tiene que abarcar
muchos puntos reales y que van de la mano a lo que actuamente
se va viendo ya que obtar o tener un resplado para los riesgos que
son obsoletos es no tener nada.