PhD.

John Roberth Correa

Perfil profesional:
Profesional en electrónica con Maestría en Seguridad
de la Información y las TIC. PhD. Sistemas de Información.

Certificaciones:

- Perito Ciber Judicial

- Ethical Hacking Professional Certification (CEHPC)
- Investigador Digital Forense,
- Auditor Líder ISO/IEC 27001:2013.
- Auditor Líder ISO 27032.
- IPv6 avanzado LACNIC.
- Pentester Certified Offensive and Defensive Security Professional (CODSP).
- Scrum Master Professional Certificate (SMPC).
- Scrum Foundation Professional Certificate.
- ITIL Fundamentals.
- Arquitectura empresarial “TOGAF”.
- GL550- ENTERPRISE LINUX SECURITY ADMINISTRATION RHEL5.4.
- GL645- CLUSTERING AND STORAGE MANAGEMENT RHEL.

CEO del Laboratorio de Informática Forense IT Security Forensic (IT-SF SAS).

Experto en diseño e implementación de soluciones: Firewall, DNS, Correo, DHCP, Configuración de Intranet, Open
LDAP, Gestión y respuesta a incidentes, Diseño de redes y servicios basados en IPv6, CCNA Exploration Networking,
CCNA Exploration: Routing Protocols and Concepts, CCNA Exploration: LAN Switching and Wireless, Sistemas de
gestión de la seguridad de la información norma UNE ISO IEC 27001, Fundamentos de arquitectura empresarial y
TOGAF.
Gestión de Incidentes de Seguridad
 Agenda

▪ Contexto de la Gestión de Incidentes

▪ Revisión de Controles ISO 27.002:2022
▪ Proceso de Gestión de Incidentes
▪ Visión Alternativa ISO 27.022:2021
Un poco de noticias
https://www.fortinet.com/lat/fortiguard/threat-intelligence/threat-map
Un poco de noticias
https://observatoriociber.org/mapa-ciberataques-tiempo-real/
Un poco de noticias
Contra quien nos enfrentamos
REALIDAD
CINE
Categorizando amenazas
Guía de Clasificación de Incidentes de Enisa
¿Que hacer frente a esto?
Gestión de Incidente de Seguridad de la Información

▪ “Ejercicio de un enfoque consistente y efectivo para el manejo de

incidentes de seguridad de la información”

▪ “Procesos para detectar, reportar, evaluar, responder, tratar y aprender de

los incidentes de seguridad de la información.”
 Definiciones básicas

Evento de Seguridad de la Información

▪ “Ocurrencia que indica una posible violación de la seguridad de la
información o falla de los controles”

Incidente de Seguridad de la Información

▪ “Uno o varios eventos de seguridad de la información relacionados e
identificados que pueden dañar los activos de la organización y/o
comprometer sus operaciones”
Revisión de controles de Gestión de Incidentes
Cambios en dominio 16 ISO 27002:2013

Controles
Organizacionales

Controles
Personas
Resumen de Controles de Gestión de Incidentes
Proceso de Gestión de Incidentes

Implementador Líder ISO 27.002:2022

 5.24Planificación y preparación

Roles y Responsabilidades Procedimientos Procedimiento de Reporte

Método común de reporte Evaluación de Eventos

Acciones frente a un evento

Detección y análisis de eventos e incidentes

Proceso de Gestión de Incidentes
Uso de Formularios
Escalamiento y Respuesta
Proceso de Respuesta a Incidentes
Manejo de Evidencia
Proceso de retroalimentación
Competencia Profesional
Análisis de la causa

Identificar training requerido Creación de informes de incidentes

Lecciones Aprendidas
 El Proceso
5.24 Responsabilidad y
procedimientos

6.8 Reportes de Eventos de SI

25. Evaluación de Incidentes

de SI

26. Respuestas a Incidentes

de SI

27.Aprendizaje a los
Incidentes de SI

5.28 Recopilación de Recopilación

Evidencia de Evidencia
El Proceso de acuerdo a ISO 27.002
ISO 27.035-1 – Proceso de Gestión de Incidentes
ISO 27.035-1 – Proceso de Gestión de Incidentes
 Estructuras - Equipos

Seguridad defensivas
Seguridad Ofensiva
▪ Infraestructura de protección
▪ Hacking Ético
▪ Monitoreo proactivo
▪ Explotar Vulnerabilidades
▪ Respuesta a incidentes
▪ Emulación Amenazas
▪ Threat Hunter basado en TTP
▪ Ingeniería Social

Gestión de Incidentes

Coordinación de Actividades
▪ Maximiza al Red Team
▪ Fortalece al Blue Team
Estructuras - Funcionales
CERT:
Recopila información de
vulnerabilidades e IOC

SOC: CSIRT:
Monitorear y defiende su Equipo que responde a
infraestructura los incidentes
CERT - Computer Emergency Response Team
▪ Las funciones que típicamente realiza un CERT corresponde a:
▪ Reportar Incidentes ▪ Normalmente son de gobierno o
▪ Reportar Pishing de marcas relacionados a la
▪ Reportar Malware ciberseguridad.
▪ Reportar Vulnerabilidades ▪ Muy pocas organizaciones tienen
▪ Compartir Indicador (IOC, IOA) sus propios CERT
 SOC – Security Operation Center

▪ Un SOC es definido como “La combinación de personas, procesos y tecnologías

que protegen los sistemas de información de la organización a través de un
diseño y configuración proactivos, monitoreo continuo del estado del sistema,
detección de acciones no planificadas o no deseadas y minimizar el daño de
efectos negativos”.(SANS 2018 Survey)

▪ Para definir de forma correcta “Qué es un SOC” es necesario conocer cuales son
las capacidades del SOC, y cuáles de estas se encuentran externalizadas o son
realizadas enteramente.
SOC – Security Operation Center
 Equipo de Respuesta ante Emergencias Informáticas - CSIRT
▪ Un CSIRT es definido como “Un equipo o una entidad dentro de un organismo que ofrece servicios y soporte a un
grupo en particular con la finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información
Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y
políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además
de colaborar a mitigar el riesgo de los ataques cibernéticos”.(Buenas Prácticas CSIRT)
 Planificación
▪ Alineado a definiciones claves de gobernanza y gestión de incidentes
▪ Compromiso de la dirección
▪ Definición de estructuras organizacionales, roles y responsabilidades
▪ Políticas , procedimientos, metodologías,….
▪ Concientización y capacitación
▪ Relaciones con terceros
▪ Las herramientas requeridas
Metodologías
Que soporten todo el proceso.
La ISO 27035-2 Ejemplos de Reportes
Herramientas – Ejemplo Kaspersky
Herramientas – Ejemplo McAfee
 Consideraciones
▪ Estudio desde el sector financiero ecuatoriano.

Fuente: Cybersecurity incident response capabilities in the Ecuadorian financial sector (2018)
 6.8Reportede eventosde seguridadde lainformación

▪ Potenciales situaciones cuando reportar

Inefectividad de un Brecha de
Errores Humanos Incumplimiento
control expectativas de CID

Cambios no Malfuncionamiento
Brechas de Violación de Acceso
formalizados de Sw/Hw
Seguridad Física

Sospecha de
Vulnerabilidades infección con
malware
 5.3 .- Detección y Reporte
▪ Establecimiento del proceso, el cual considera:
▪ El desarrollo de la concientización, considerando factores externos
▪ Los sistemas de monitoreo
▪ Detección de actividad anómala, sospechosa y/o maliciosa
▪ Recolección de eventos de seguridad de terceras partes relevantes
▪ Reporte de eventos de seguridad de la información
Ejemplo de ITIL
 5.25 Evaluación y decisión sobre los eventos de seguridadde información

Escalamiento,
considerando gestión Registro de las
Contención del
Recolectar evidencia de crisis o BCP según actividades de
Incidente
sea necesario respuesta

Comunicar a todas las Coordinar con todas Cerrarlo formalmente Realizar análisis
partes interesadas las partes interesadas y registrarlo forenses

Identificar la causa Identificar y gestionar

raíz las vulnerabilidades

Nuevas disposiciones en ISO 27.002:2020

 5.4.- Evaluación y decisión
▪ Básicamente el proceso de evaluación de incidentes.
▪ Debe considerar los mecanismo de detección y reporte.
▪ Acá se determina si el evento es un incidente o no, luego:
▪ Debe establecerse el proceso de evaluación
▪ Debe definirse un proceso de clasificación de incidentes
▪ Establecer tiempos de respuestas y niveles de escalamiento
Ejemplo - Evaluación y decisión
Ejemplo - Evaluación y decisión
 5.5.- Respuesta
▪ El etapa en la cual se gestiona el incidente para su resolución.
▪ Se emplean los diversos planes de acción (playbooks) para su erradicación
▪ Se activan planes de continuidad y DRP en caso de ser necesario
▪ Se integran con procesos de comunicación
▪ En caso de ser requerido se realiza investigación adicional (forense)
▪ El resultado de la etapa es el cierre del incidente.
 5.5.- Respuesta

Fuente: https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/how-good-is-your-cyberincident-response-plan#
 5.6.- Lecciones aprendidas
▪ En esta etapa es donde surge la mejora continua
▪ Se debe aprender de los eventos/incidentes acontecidos
▪ Se debe articular con la gestión de riesgos y la revisión de la dirección
▪ Se debe realizar las mejoras necesarias:
▪ Políticas, procesos, procedimientos, ….
▪ Gestión de riesgos
▪ Capacitación, concientización, roles, responsabilidades
▪ Tecnologías
 5.6.- Lecciones aprendidas

▪ Tomar acciones
▪ ¿Qué fallo?
▪ ¿Que mejora?
▪ ¿Cómo mejorar?
▪ ¿Mejorar?
▪ Proceso continuo a lo largo del
ciclo
▪ Hacer Playbook sobre
incidentes.

Fuente: https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/
 5.28 Recopilación de Evidencia

▪ Se deben desarrollar y seguir procedimientos internos al tratar con evidencia relacionada con eventos de seguridad
de la información a efectos de acciones disciplinarias y legales.

▪ En general, estos procedimientos para el manejo de la evidencia deben proporcionar instrucciones para la
identificación, recolección, adquisición y preservación de evidencia de acuerdo con diferentes tipos de medios de
almacenamiento, dispositivos y estado de los dispositivos (es decir, encendido o apagado).

▪ La evidencia típicamente necesita ser recopilados de una manera que sea admisible en los tribunales de justicia
nacionales apropiados. Debería ser posible demostrar que:
a) Los registros están completos y no han sido manipulados de ninguna manera;
b) Las copias de las pruebas electrónicas probablemente sean idénticas a los originales;
c) Cualquier sistema de información del que se hayan obtenido pruebas funcionaba correctamente en el momento
en que se registró la prueba.
Etapas de Informática Forense
Como emplearla - Desde ISO 27.001 a la ISO 27.002
Como emplearla: Desde ISO 27001-27002 y 27035-1
Como emplearlas: En ISO 27035-2
 Conclusiones
▪ El empleo de la ISO 27.035 es un gran soporte, tanto para la definición del proceso,
así como de las diversas componentes que lo caracterizan.

▪ Un proceso de gestión de incidentes es complejo, involucra un alto numero de

definiciones:
▪ Estructura, roles y responsabilidades
▪ Políticas, procesos, procedimientos, instructivos, playbooks, etc.
▪ Tecnologías de soporte, detección, prevención, inteligencia, disuasión…..
▪ Capacidades de gestión, operativas, técnicas
▪ Articulación con muchos otros procesos
 Resumen del Proceso
Política de GISI
Compromiso de la Dirección
Plan de Gestión de Incidentes Evaluación de eventos
Establecimientos de IRT Recopilación de información
Relación con organizaciones Clasificación de eventos
Soporte técnico Continuidad del Negocio
Clasificación de incidentes
Capacitación Análisis forense
Criticidad del incidentes
Concientización

Actividad
Planificar y Detección y Evaluación y Post Lecciones
Respuesta
Preparar Reporte Decisión Incidente Aprendidas

Recolección de información Escalamiento Identificación de lecciones

Monitoreo de sistema y redes Contención y erradicación Mejoras aplicables
Detección actividad anómala Recuperación de incidente Evaluación de riesgos
Recolección de información Resolución de incidente Mejoras al plan
Reporte de eventos de SI Cierre de incidente Evaluación de performance
Comité de crisis (si es requerido)
 Una Visión Alternativa

Implementador Líder ISO 27.002:2022

Modelo de Procesos – ISO 27.022:2021
Modelo de Procesos – ISO 27.022:2021
Modelo de Procesos – ISO 27.022:2021
 Conclusiones

Implementador Líder ISO 27.002:2022