Unidad Temática 1 - Incidentes de Seguridad de La Información

Unidad temática No.
1: Incidentes de
Seguridad en TI
Ing. Edwin Barbosa Guevara

Unidad temática No.1: Incidentes de
Seguridad en TI
i. Concepto de Incidente de Seguridad

ii. Plan y procedimientos de respuesta a
incidentes en TI
iii. Análisis y detección de incidentes
iv. Tratamiento de incidentes
Seguridad en TI
i. Concepto de Incidente de
Seguridad
incidentes en TI
Evento
El término evento proviene del latín eventus y, de acuerdo al
diccionario de la Real Academia Española (RAE), tiene tres
grandes usos.
• En varios países latinoamericanos, un evento es un suceso de

importancia que se encuentra programado.
• Algo imprevisto – Eventualidad, algo que escapa a los límites de

lo planeado.
• El tercer uso del término engloba ambos significados:

un evento es un acaecimiento, una cosa que sucede.
Alerta
1. Atento, vigilante.
2. Situación de vigilancia o atención.
3. Aviso o llamada para ejercer vigilancia.
4. Con vigilancia y atención.
5. Para excitar a la vigilancia.
Según wikipedia: Se llama alerta al período anterior a la ocurrencia

de un desastre, declarado con el fin de tomar precauciones
generales, para evitar la existencia de posibles desgracias y/o
emergencias, tales como un huracán o erupción volcánica
Incidente
Cosa que se produce en el transcurso de un asunto, un relato, etc.,

y que repercute en él alterándolo o interrumpiéndolo.
Evento Adverso.
Evento de Seguridad
Evento de seguridad según la Norma ISO 27035
Una ocurrencia identificada en el estado de un sistema, servicio

o red, indicando una posible violación de la seguridad de la
información, política o falla de los controles, o una situación
previamente desconocida que puede ser relevante para la
seguridad.
La falla de medidas de seguridad.
Una situación previamente desconocida que pueda ser relevante
para la seguridad.
Ejemplos
Son ejemplos de este tipo de eventos:
Un usuario que se conecta a un sistema.
Un intento fallido de un usuario para ingresar a una aplicación.
Un firewall que permite o bloquea un acceso.
Una notificación de cambio de contraseña de un usuario
privilegiado, etc.
Se debe destacar que un Evento de Seguridad Informática no es
necesariamente una ocurrencia maliciosa o adversa.
Los conceptos de Evento e Incidente de Seguridad están estrechamente

relacionados. A continuación se presentan las definiciones con las que
trabaja el CERTuy.
Incidente de seguridad
Un Incidente de Seguridad de la Información es la violación o amenaza

inminente a la Política de Seguridad de la Información implícita o
explícita.
Centro Nacional de respuesta a incidentes de seguridad informática -Uruguay (2,013), Qué es un incidente, Fecha de consulta: 19 de Julio de 2,017,
https://www.cert.uy/inicio/incidentes/que_es-un-incidente/
Según la norma ISO 27035, un Incidente de Seguridad de la Información

es indicado por un único o una serie de eventos seguridad de la
información indeseados o inesperados, que tienen una probabilidad
significativa de comprometer las operaciones de negocio y de amenazar
la seguridad de la información.
Por lo tanto, para el CERTuy un incidente de seguridad de la información

se define como un acceso, intento de acceso, uso, divulgación,
modificación o destrucción no autorizada de información; un
impedimento en la operación normal de las redes, sistemas o recursos
informáticos; o una violación a la Política de Seguridad de la Información
del organismo
Según DRII: An event that has the potential to cause interruption,

disruption, loss,
emergency, crisis, disaster, or catastrophe. (NFPA 1600)
Según ITIL: Suceso que afecta a: la normal prestación del servicio o al

cumplimiento de los acuerdos de servicio
Un evento que sucede y puede afectar la Confidencialidad, Disponibilidad

o la Integridad de la información así como a recursos informáticos.
Ejemplos de Incidentes de Seguridad
Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
Ejemplos de Incidentes de Seguridad
La introducción de código malicioso en la infraestructura tecnológica de una entidad

(virus, troyanos, gusanos, malware en general).
La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no
aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de
determinado servicio.
Situaciones externas que comprometan la seguridad de sistemas, como quiebra de
compañías de software, condiciones de salud de los administradores de sistemas, entre
otros.
Ejercicio (30 minutos) Taller No.1
1. Establezca grupos de 4 personas
2. Teniendo en cuenta la triada de seguridad de la información, determine 3 ejemplos de

incidente de seguridad, por cada arista.
3. Determine para cada uno de estos, el evento que debe generar la alerta
correspondiente.
4. Defina dos políticas de seguridad
5. Defina la configuración o acción que implementa la política sugerida.
Seleccione un Líder
Clasificación Incidentes de Seguridad

Algunos ejemplos de clasificación de incidentes podrían ser (esta clasificación está sujeta
a cada entidad dependiendo de su infraestructura, de sus riesgos y criticidad de los
activos.
Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código

malicioso que obtiene acceso lógico o físico sin autorización adecuada del dueño a un
sistema, aplicación, información o un activo de información.
Modificación de recursos no autorizado: Un incidente que involucra a una persona,

sistema o código malicioso que afecta la integridad de la información o de un sistema de
procesamiento.
Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna
política de uso de recursos.
Clasificación Incidentes de Seguridad

No disponibilidad de los recursos: Un incidente que involucra a una persona, sistema o
código malicioso que impide el uso autorizado de un activo de información.
Multicomponente: Un incidente que involucra más de una categoría anteriormente

mencionada.
Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este
tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear
nuevas categorías.
Seguridad en TI

ii. Plan y procedimientos de
respuesta a incidentes en TI
ii. Plan y procedimientos de respuesta a incidentes en TI
Ciclo de vida Respuesta a Incidentes
IBM (2011), Gestión de Incidentes - Análisis Forense , Fecha de consulta: 15 de Marzo de 2017,
ftp://ftp.software.ibm.com/la/documents/imc/la/uy/news/events/networking12/files/15_IBM_-_Gestion_de_Incidentes_-_Analisis_Forense_-
_Joaquin_Louzao_Gerardo_Geis_Gabriel_Silva.pdf
Plan de Respuesta
Pasos a seguir desde el momento en que se detecta la ocurrencia

de un incidente hasta que decide cómo lidiar con él y actuar en
consecuencia.
Una vez que se produce el evento y se detecta su presencia, tres

cosas tienen que suceder rápidamente:
Las personas deben ser seguras
La situación debe ser evaluada
Se deben identificar y evaluar los próximos pasos
Plan de Respuesta
Usualmente debe contener:
• Alcance y objetivos del plan

• Supuestos de respuesta a incidentes y limitaciones.
• Equipos de respuesta a incidentes, datos de contacto y
responsabilidades
• Pasos del proceso de notificación.
• Medidas de evaluación de daños.
• Pasos del proceso de declaración.
• Pasos del proceso de escalamiento.
Plan de Respuesta
Usualmente debe contener:
• Decisión de poner en marcha actividades de emergencia

adicionales.
• Pasos para desactivar el Plan de Respuesta a Incidentes.
• Planificar las actividades de prueba.
• Planificar las actividades de mantenimiento.
• Revisión del plan y mejora continua.
Plan de Respuesta
Alcance y objetivos del plan. Esta parte del plan define los
elementos fundamentales del plan, lo que se supone que debe lograr
y lo que aborda.
Supuestos de respuesta a incidentes y limitaciones. Esta sección

define las actividades que el plan puede o no puede iniciar, como la
realización de una evaluación inicial, la realización de una evaluación
de los daños y la evaluación de los posibles resultados
Equipos de respuesta a incidentes, datos de contacto y

responsabilidades. En esta sección se enumeran los nombres y
datos de contacto de los individuos asignados al equipo de respuesta
a incidentes. Puede especificar sus funciones y responsabilidades,
como líder del equipo, especialista en evaluación de daños,
responsable del enlace con los socorristas o coordinador de la
Plan de Respuesta
Pasos del proceso de notificación. Es esencial proporcionar
información sobre el incidente a los individuos designados lo antes
posible. En esta sección se define quién se debe contactar, la rapidez
con que se debe contactar después de que ocurra un incidente y la
información que debe ser comunicada.
Medidas de evaluación de daños. Una parte fundamental de la

evaluación inicial de la situación es examinar y evaluar la magnitud de
los daños al edificio o plantas en el edificio, los alrededores y otros
elementos operacionales que se especifican en el plan.
Plan de Respuesta
Pasos del proceso de declaración. Esta sección proporciona
criterios para que el equipo de respuesta a incidentes pueda declarar
un desastre o proporcionar información a las personas designadas
(por ejemplo, los ejecutivos de la empresa) para que puedan declarar
oficialmente un desastre.
Pasos del proceso de escalamiento. Información sobre la evolución
de los hechos y su expansión (o descenso) es esencial para los
socorristas u otras personas designadas en el plan si las actividades
de respuesta a incidentes deben ser aumentadas (o recortadas).
Decisión de poner en marcha actividades de emergencia
adicionales. Con base en evaluaciones de los miembros del equipo
de respuesta a incidentes, socorristas y otras personas autorizadas,
puede requerirse la toma de decisiones para poner en marcha
actividades de respuesta adicionales, tales como el lanzamiento de un
plan de evacuación o de un refugio.
Plan de Respuesta
Pasos para desactivar el Plan de Respuesta a Incidentes. Si la
situación se puede llevar con éxito a una conclusión, o si los primeros
en responder toman el control de la situación, en esta sección se
describen los procedimientos para desactivar el plan y retirar el
equipo de respuesta a incidentes.
Planificar las actividades de prueba. Para asegurarse de que el

plan de respuesta a incidentes está actualizado y listo para su uso, se
recomiendan ejercicios periódicos para asegurarse de que los pasos
en el plan son pertinentes y los miembros del equipo estén
debidamente capacitados y entienden sus funciones y
responsabilidades; también es una buena oportunidad de que los
socorristas revisen el plan y ofrezcan sus consejos.
Plan de Respuesta
Planificar las actividades de mantenimiento. Los planes de
respuesta a incidentes deben tener las actualizaciones programadas
para validar los nombres y datos de contacto de los miembros del
equipo, así como cualquier otra información relevante del plan.
Revisión del plan y mejora continua. Los propietarios del plan

deben programar revisiones periódicas para asegurarse de que el
documento está actualizado, y también deben programarse mejoras
para asegurar que el plan sigue siendo pertinente (por ejemplo,
auditorías).
Información tomada de:

http://searchdatacenter.techtarget.com/es/consejo/Como-construir-un-Plan-de-Respuesta-a-
Incidentes
Actividad – Taller 2
Respuesta a incidentes de seguridad de TI: Visión desde Technet

Microsoft
Caso de Estudio: Case_study_SYFR
Modelo de Madurez COBIT
Gestión de Incidentes MINTIC

Seguridad en TI

incidentes en TI
iii. Análisis y detección de
incidentes
iii. Análisis y detección de Incidentes
Incidente – Detección
Los indicadores son los eventos que nos señalan que posiblemente un
incidente ha ocurrido generalmente algunos de estos elementos son:
• Alertas en sistemas de seguridad

• Caídas de servidores
• Reportes de usuarios
• Software antivirus dando informes
• Otros funcionamientos fuera de lo normal del sistema
La identificación y gestión de elementos que alertan sobre un incidente

nos proveen información que puede alertarnos sobre la futura ocurrencia
del mismo y preparar procedimientos para minimizar su impacto.
Incidente – Detección
Algunos de estos elementos pueden ser:
• Logs de servidores
• Logs de aplicaciones
• Logs de herramientas de seguridad
• Cualquier otra herramienta que permita la identificación de un
incidente de seguridad.
En la entidad debe existir un listado de fuentes generadoras de eventos

que permitan la identificación de un incidente de seguridad de la
información.
Análisis
Las actividades de análisis del incidente involucran otra serie de

componentes, es recomendable tener en cuenta los siguientes:
• Tener conocimientos de las características normales a nivel de red y

de los sistemas.
• Los administradores de TI deben tener conocimiento total sobre los
comportamientos de la Infraestructura que están Administrando.
• Toda información que permita realizar análisis al incidente debe estar
centralizada (Logs de servidores, redes, aplicaciones).
• Es importante efectuar correlación de eventos, ya que por medio de
este proceso se pueden descubrir patrones de comportamiento
anormal y poder identificar de manera más fácil la causa del
incidente.
Análisis

• Para un correcto análisis de un incidente debe existir una única fuente

de tiempo (Sincronización de Relojes) ya que esto facilita la
correlación de eventos y el análisis de información.
• Se debe mantener y usar una base de conocimiento con información
relacionada sobre nuevas vulnerabilidades, información de los
servicios habilitados, y experiencias con incidentes anteriores.
• Crear matrices de diagnóstico e información para los administradores
menos experimentados.
Análisis

• Para un correcto análisis de un incidente debe existir una única fuente

de tiempo (Sincronización de Relojes) ya que esto facilita la
correlación de eventos y el análisis de información.
• Se debe mantener y usar una base de conocimiento con información
relacionada sobre nuevas vulnerabilidades, información de los
servicios habilitados, y experiencias con incidentes anteriores.
• Crear matrices de diagnóstico e información para los administradores
menos experimentados.
Evaluación
Para realizar la evaluación de un incidente de seguridad se debe tener en

cuenta los niveles de impacto con base en los insumos entregados por el
análisis de riesgos y la clasificación de activos de información de la
entidad.
La severidad del incidente puede ser:
• Alto Impacto
• Medio Impacto
• Bajo Impacto
Evaluación
• Alto Impacto: El incidente de seguridad afecta a activos de información

considerados de impacto catastrófico y mayor que influyen
directamente a los objetivos misionales del Instituto. Se incluyen en
esta categoría aquellos incidentes que afecten la reputación y el buen
nombre o involucren aspectos legales. Estos incidentes deben tener
respuesta inmediata.
Evaluación
• Medio Impacto: El incidente de seguridad afecta a activos de

información considerados de impacto moderado que influyen
directamente a los objetivos de un proceso determinado.
• Bajo Impacto: El incidente de seguridad afecta a activos de información

considerados de impacto menor e insignificante, que no influyen en
ningún objetivo. Estos incidentes deben ser monitoreados con el fin de
evitar un cambio en el impacto.
Clasificación del Incidente

Algunos ejemplos de clasificación de incidentes podrían ser (esta
clasificación está sujeta a cada entidad dependiendo de su infraestructura,
de sus riesgos y criticidad de los activos. La clasificación dada es solo un
ejemplo):
• Acceso no autorizado: Es un incidente que involucra a una persona,

sistema o código malicioso que obtiene acceso lógico o físico sin
autorización adecuada del dueño a un sistema, aplicación, información
o un activo de información.
• Modificación de recursos no autorizado: Un incidente que involucra a

una persona, sistema o código malicioso que afecta la integridad de la
información o de un sistema de procesamiento.
Clasificación del Incidente

• Uso inapropiado de recursos: Un incidente que involucra a una persona
que viola alguna política de uso de recursos.
• No disponibilidad de los recursos: Un incidente que involucra a una

persona, sistema o código malicioso que impide el uso autorizado de un
activo de información.
• Multicomponente: Un incidente que involucra más de una categoría

anteriormente mencionada.
• Otros: Un incidente que no puede clasificarse en alguna de las

categorías anteriores. Este tipo de incidentes debe monitorearse con el
fin de identificar la necesidad de crear nuevas categorías.
Priorización del Incidente

Con el fin de permitir una atención adecuada a los incidentes (análisis,
contención y erradicación) se debe determinar el nivel de prioridad del
mismo, y de esta manera atenderlos adecuadamente según la necesidad.
A manera de ejemplo se definen una serie de variables que podrán ser
utilizadas para realzar la evaluación de los incidentes :
• Prioridad
• Criticidad de impacto
• Impacto Actual
• Impacto Futuro
Nivel de Prioridad: Depende del valor o importancia dentro de la entidad y

del proceso que soporta el o los sistemas afectados.
Tiempos de respuesta
Deben definirse tiempos de respuesta asociados a la criticidad e impacto
de cada tipo de incidente, permitiendo que los actores involucrados
intervengan oportunamente.
Declaración y Notificación del Incidente
La notificación de los incidentes permite responder a los mismos en forma

sistemática, minimizar su ocurrencia, facilitar una recuperación rápida y
eficiente de las actividades minimizando la pérdida de información y la
interrupción de los servicios, y el proceso de tratamiento de incidentes, y
manejar correctamente los aspectos legales que pudieran surgir durante
este proceso.
Seguridad en TI

incidentes en TI
iv. Tratamiento de Incidentes
Ciclo del Incidente

Contención, erradicación y recuperación

Es importante para la entidad implementar una estrategia que permita
tomar decisiones oportunamente para evitar la propagación del incidente y
así disminuir los daños a los recursos de TI y la pérdida de la
confidencialidad, integridad y disponibilidad de la información.
Contención: esta actividad busca la detección del incidente con el fin de

que no se propague y pueda generar más daños a la información o a la
arquitectura de TI, para facilitar esta tarea la entidad debe poseer una
estrategia de contención previamente definida para poder tomar
decisiones por ejemplo: apagar sistema, desconectar red, deshabilitar
servicios.
MINTIC , Fecha de consulta: 15 de Marzo de 2017, http://www.mintic.gov.co/gestionti/615/w3-article-5482.html


Ejemplos estrategias de contención:
La estrategia de contención varía según el tipo de incidente y los criterios

deben estar bien documentados para facilitar la rápida y eficaz toma de
decisiones.
Algunos criterios que pueden ser tomados como base son:
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio
• Tiempo y recursos para implementar la estrategia
• Efectividad de la estrategia para contener el incidente (parcial o total)
• Duración de la solución

Erradicación y Recuperación: Después de que el incidente ha sido

contenido se debe realizar una erradicación y eliminación de cualquier
rastro dejado por el incidente como código malicioso y posteriormente se
procede a la recuperación a través de la restauración de los sistemas y/o
servicios afectados para lo cual el administrador de TI o quien haga sus
veces deben restablecer la funcionalidad de los sistemas afectados, y
realizar un endurecimiento del sistema que permita prevenir incidentes
similares en el futuro.


Ejemplos estrategias de erradicación:


Ejemplos estrategias
de recuperación:
En algunas ocasiones durante

el proceso de Atención de
Incidentes de Seguridad
Informática específicamente
en la fase de “Contención,
Erradicación y Recuperación”
se puede hacer necesario activar el BCP (Plan de Continuidad del Negocio)
o el DRP (Plan de Recuperación de Desastres) en el caso que un incidente
afecte gravemente a un determinado sistema
Lecciones Aprendidas
Mantener un adecuado registro de lecciones aprendidas permite conocer:
• Exactamente lo que sucedió, en qué momento y cómo el personal

gestionó el incidente.
• Los procedimientos documentados.
• Si se tomaron las medidas o acciones que podrían haber impedido la
recuperación.
• Cuál sería la gestión de personal y que debería hacerse la próxima vez
que ocurra un incidente similar.
• Acciones correctivas pueden prevenir incidentes similares en el futuro.
• Cuales herramientas o recursos adicionales son necesarios para
detectar, analizar y mitigar los incidentes en el futuro.

Unidad Temática 1 - Incidentes de Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad Temática 1 - Incidentes de Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

Unidad temática No.

Ing. Edwin Barbosa Guevara

i. Concepto de Incidente de Seguridad

• En varios países latinoamericanos, un evento es un suceso de

• Algo imprevisto – Eventualidad, algo que escapa a los límites de

• El tercer uso del término engloba ambos significados:

Según wikipedia: Se llama alerta al período anterior a la ocurrencia

Cosa que se produce en el transcurso de un asunto, un relato, etc.,

Evento de seguridad según la Norma ISO 27035

Una ocurrencia identificada en el estado de un sistema, servicio

Los conceptos de Evento e Incidente de Seguridad están estrechamente

Un Incidente de Seguridad de la Información es la violación o amenaza

Según la norma ISO 27035, un Incidente de Seguridad de la Información

Por lo tanto, para el CERTuy un incidente de seguridad de la información

Según DRII: An event that has the potential to cause interruption,

Según ITIL: Suceso que afecta a: la normal prestación del servicio o al

Un evento que sucede y puede afectar la Confidencialidad, Disponibilidad

Ejemplos de Incidentes de Seguridad

Ejemplos de Incidentes de Seguridad

La introducción de código malicioso en la infraestructura tecnológica de una entidad

Ejercicio (30 minutos) Taller No.1

1. Establezca grupos de 4 personas

2. Teniendo en cuenta la triada de seguridad de la información, determine 3 ejemplos de

4. Defina dos políticas de seguridad

5. Defina la configuración o acción que implementa la política sugerida.

Clasificación Incidentes de Seguridad

Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código

Modificación de recursos no autorizado: Un incidente que involucra a una persona,

Clasificación Incidentes de Seguridad

Multicomponente: Un incidente que involucra más de una categoría anteriormente

i. Concepto de Incidente de Seguridad

Ciclo de vida Respuesta a Incidentes

Pasos a seguir desde el momento en que se detecta la ocurrencia

Una vez que se produce el evento y se detecta su presencia, tres

Usualmente debe contener:

• Alcance y objetivos del plan

Usualmente debe contener:

• Decisión de poner en marcha actividades de emergencia

Supuestos de respuesta a incidentes y limitaciones. Esta sección

Equipos de respuesta a incidentes, datos de contacto y

Medidas de evaluación de daños. Una parte fundamental de la

Planificar las actividades de prueba. Para asegurarse de que el

Revisión del plan y mejora continua. Los propietarios del plan

Información tomada de:

Respuesta a incidentes de seguridad de TI: Visión desde Technet

Caso de Estudio: Case_study_SYFR

Modelo de Madurez COBIT

Gestión de Incidentes MINTIC

i. Concepto de Incidente de Seguridad

Ciclo de vida Respuesta a Incidentes

• Alertas en sistemas de seguridad

La identificación y gestión de elementos que alertan sobre un incidente

Algunos de estos elementos pueden ser:

En la entidad debe existir un listado de fuentes generadoras de eventos

Las actividades de análisis del incidente involucran otra serie de

• Tener conocimientos de las características normales a nivel de red y

Las actividades de análisis del incidente involucran otra serie de

• Para un correcto análisis de un incidente debe existir una única fuente

Las actividades de análisis del incidente involucran otra serie de

• Para un correcto análisis de un incidente debe existir una única fuente

Para realizar la evaluación de un incidente de seguridad se debe tener en

La severidad del incidente puede ser:

• Alto Impacto: El incidente de seguridad afecta a activos de información