Gestión de incidentes de seguridad

informática

Docente: Ariel Cessario

Módulo 1 - Introducción a la gestión de incidentes
Clase 2

Introducción a la gestión de incidentes

● Ciclo de vida en la gestión de incidentes

● CERT/CSIRT

SIGUIENTE
Ciclo de vida en la gestión de incidentes

• Pasos en la gestión de incidentes

SIGUIENTE
Ciclo de vida del incidente

SIGUIENTE
Preparación

• Fase de preparación para atender el incidente.

• En esta etapa se llevan adelante aquellas actividades proactivas

que permitan una mejor atención y respuesta frente al incidente

SIGUIENTE
Preparación

• Gestión de Parches de Seguridad

• Aseguramiento de plataforma
• Seguridad en redes
• Prevención de código malicioso
• Sensibilización y entrenamiento de usuarios
• Plan de recuperación
• Asignación de Responsabilidades

SIGUIENTE
Identificación

• Detección del incidente.

• Refiere a la capacidad de identificar o detectar el incidente, incluye

el monitoreo, recolección de información, y toda aquella actividad
que permita identificar los hechos, determinar el alcance e
involucrar a las partes apropiadas.

SIGUIENTE
Identificación

• Anomalías en el uso de los equipos

• Fallos en la red
• Uso intensivo de procesadores
• Información a través de correos
• Información en la deepweb

SIGUIENTE
Contención

• Medidas para limitar y aislar el impacto del incidente.

• Aquellas actividades que permitan evitar la propagación y efectos

del incidente. Dependiendo del tipo de incidente se aislará el
equipo de la red; corrección de fallos; aplicación de parches; etc.

SIGUIENTE
Contención

• ¿Debe cerrarse un servidor, aislarse un endpoint, o detenerse

ciertos servicios?

• La estrategia de contención elegida debe considerar la posibilidad

de daños adicionales, la conservación de la evidencia y la duración
del tiempo de contención.

SIGUIENTE
Remediación

• Medidas para eliminar la amenaza.

• Actividades que permitan determinar las medidas de mitigación

más eficaces las cuales dependerán del tipo de incidentes.

SIGUIENTE
Remediación

• Es posible que las cuentas de usuario deban deshabilitarse,

cerrarse o restablecerse. Las vulnerabilidades deben parchearse,
los sistemas y archivos deben restaurarse a partir de copias de
seguridad limpias, las contraseñas deben cambiarse, las reglas del
firewall deben ajustarse, etc

• Recopilar y documentar tanta evidencia como sea posible. En este

caso, el traspaso de evidencia de persona a persona debe
registrarse meticulosamente.

SIGUIENTE
Recuperación

• Procedimientos para volver a una operatoria normal.

• Actividades que permitan volver al nivel de operación a su estado

normal, publicación de servicios; conexión del equipo a la red;
restauración de archivos; reinstalación de sistemas; entre otros.

SIGUIENTE
Recuperación

• Un retorno completo a las operaciones comerciales normales

puede llevar meses dependiendo del incidente.

• En el corto plazo, se debe establecer un sistema más seguro y

refinado de ingreso de credenciales y monitoreo para que los
administradores de IT puedan evitar que vuelva a ocurrir el mismo
incidente. A largo plazo, es posible que se produzcan más cambios
en la infraestructura para ayudar a transformar la red en una más
segura.

SIGUIENTE
Actividades Post-incidentes

• Identificar e implementar medidas de mejora.

• Aquellas tareas que permitan identificar las lecciones aprendidas

del incidente, mejorar los procedimientos, técnicas, etc.

SIGUIENTE
Actividad: pregunta de sondeo

¿Cuál de los siguientes es un paso de la contención?

A. Aplicación de parches
B. Eliminar cuentas de usuario
C. Detección del incidente

SIGUIENTE
CERT/CSIRT

• Definición
• Tareas
• Tipos
• Cert.ar

SIGUIENTE
Definición

Equipo de respuesta a emergencias informáticas

Grupo de personas de una organización que coordinan su respuesta a las

infracciones de seguridad u otras emergencias informáticas, como averías y
desastres. Otros términos similares son:
• CSIRT (Equipo de respuesta a incidentes de seguridad informática),
• CIRT (Equipo de respuesta a incidentes informáticos)
• IRT (Equipo de respuesta a incidentes).
CERT a menudo se refiere al centro CERT en la Universidad Carnegie
Mellon.

SIGUIENTE
Tareas

SIGUIENTE
NO HAY MANO DE OBRA

• Imposible competir con los salarios del sector privado

• Mucho costo de capacitación

• Alta rotación

• El mercado de ciberseguridad es mercenario

SIGUIENTE
CERT - Antecedentes

En el 2011 se crea el Programa Nacional de Infraestructuras Críticas de Información

y Ciberseguridad (res. 580/2011 de Jefatura de Gabinete de Ministros)

En el 2013 nace el grupo de trabajo “ICIC-CERT” con los objetivos de administrar

información, centralizar esfuerzos, asesorar e interactuar con equipos de similar
naturaleza sobre incidentes de seguridad informática, dentro del Sector Público
Nacional (disp. 2/2013 de la Oficina Nacional de Tecnología de Información)

Actualmente mediante la Disposición 1/2021 de la Dirección Nacional de

Ciberseguridad se crear el actual equipo denominado CERT.ar, en la cual se focaliza
y concentra las diversas funciones para la comunidad objetivo del equipo dentro
del Sector Público Nacional.

SIGUIENTE
Cert.ar

SIGUIENTE
Actividad: pregunta de sondeo

¿Cuál de los siguientes NO es un tipo común de incidente

cibernético?
A. Ataque de denegación de servicio
B. Filtración de datos
C. Infección de software malicioso
D. Ataque de suplantación de identidad
E. Ataque de ransomware
F. Zero Day

SIGUIENTE
Muchas gracias

SIGUIENTE