Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1: Incidentes de
Seguridad en TI
i. Concepto de Incidente de
Seguridad
ii. Plan y procedimientos de respuesta a
incidentes en TI
iii. Análisis y detección de incidentes
iv. Tratamiento de incidentes
i. Concepto de Incidente de Seguridad
Evento
El término evento proviene del latín eventus y, de acuerdo al
diccionario de la Real Academia Española (RAE), tiene tres
grandes usos.
Alerta
1. Atento, vigilante.
2. Situación de vigilancia o atención.
3. Aviso o llamada para ejercer vigilancia.
4. Con vigilancia y atención.
5. Para excitar a la vigilancia.
Incidente
Evento Adverso.
i. Concepto de Incidente de Seguridad
Evento de Seguridad
Ejemplos
Son ejemplos de este tipo de eventos:
Un usuario que se conecta a un sistema.
Un intento fallido de un usuario para ingresar a una aplicación.
Un firewall que permite o bloquea un acceso.
Una notificación de cambio de contraseña de un usuario
privilegiado, etc.
Se debe destacar que un Evento de Seguridad Informática no es
necesariamente una ocurrencia maliciosa o adversa.
i. Concepto de Incidente de Seguridad
Incidente de seguridad
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
Incidente de seguridad
Incidente de seguridad
Incidente de seguridad
Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
i. Concepto de Incidente de Seguridad
3. Determine para cada uno de estos, el evento que debe generar la alerta
correspondiente.
Seleccione un Líder
i. Concepto de Incidente de Seguridad
Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna
política de uso de recursos.
i. Concepto de Incidente de Seguridad
Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este
tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear
nuevas categorías.
Unidad temática No.1: Incidentes de
Seguridad en TI
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
ii. Plan y procedimientos de respuesta a incidentes en TI
Plan de Respuesta
Plan de Respuesta
Plan de Respuesta
Plan de Respuesta
Alcance y objetivos del plan. Esta parte del plan define los
elementos fundamentales del plan, lo que se supone que debe lograr
y lo que aborda.
Plan de Respuesta
Pasos del proceso de notificación. Es esencial proporcionar
información sobre el incidente a los individuos designados lo antes
posible. En esta sección se define quién se debe contactar, la rapidez
con que se debe contactar después de que ocurra un incidente y la
información que debe ser comunicada.
Plan de Respuesta
Pasos del proceso de declaración. Esta sección proporciona
criterios para que el equipo de respuesta a incidentes pueda declarar
un desastre o proporcionar información a las personas designadas
(por ejemplo, los ejecutivos de la empresa) para que puedan declarar
oficialmente un desastre.
Pasos del proceso de escalamiento. Información sobre la evolución
de los hechos y su expansión (o descenso) es esencial para los
socorristas u otras personas designadas en el plan si las actividades
de respuesta a incidentes deben ser aumentadas (o recortadas).
Decisión de poner en marcha actividades de emergencia
adicionales. Con base en evaluaciones de los miembros del equipo
de respuesta a incidentes, socorristas y otras personas autorizadas,
puede requerirse la toma de decisiones para poner en marcha
actividades de respuesta adicionales, tales como el lanzamiento de un
plan de evacuación o de un refugio.
ii. Plan y procedimientos de respuesta a incidentes en TI
Plan de Respuesta
Pasos para desactivar el Plan de Respuesta a Incidentes. Si la
situación se puede llevar con éxito a una conclusión, o si los primeros
en responder toman el control de la situación, en esta sección se
describen los procedimientos para desactivar el plan y retirar el
equipo de respuesta a incidentes.
Plan de Respuesta
Planificar las actividades de mantenimiento. Los planes de
respuesta a incidentes deben tener las actualizaciones programadas
para validar los nombres y datos de contacto de los miembros del
equipo, así como cualquier otra información relevante del plan.
Actividad – Taller 2
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
iii. Análisis y detección de Incidentes
Incidente – Detección
Los indicadores son los eventos que nos señalan que posiblemente un
incidente ha ocurrido generalmente algunos de estos elementos son:
Incidente – Detección
• Logs de servidores
• Logs de aplicaciones
• Logs de herramientas de seguridad
• Cualquier otra herramienta que permita la identificación de un
incidente de seguridad.
Análisis
Análisis
Análisis
Evaluación
• Alto Impacto
• Medio Impacto
• Bajo Impacto
iii. Análisis y detección de Incidentes
Evaluación
La severidad del incidente puede ser:
Evaluación
La severidad del incidente puede ser:
• Prioridad
• Criticidad de impacto
• Impacto Actual
• Impacto Futuro
Tiempos de respuesta
Deben definirse tiempos de respuesta asociados a la criticidad e impacto
de cada tipo de incidente, permitiendo que los actores involucrados
intervengan oportunamente.
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
iv. Tratamiento de Incidentes
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio
• Tiempo y recursos para implementar la estrategia
• Efectividad de la estrategia para contener el incidente (parcial o total)
• Duración de la solución
Lecciones Aprendidas
Mantener un adecuado registro de lecciones aprendidas permite conocer: