CIBERSEGURIDAD

ETB
 Temario

1.Introducción y conceptos fundamentales de Ciberseguridad

2.Gestión de Riesgos de Ciberseguridad y Hacking Ético
3.Control de Ciberseguridad I
4.Control de Ciberseguridad II, Gestión de incidentes
Ciberseguridad
5.Fundamento en Ciencia Forense y Evidencia digital
6.Marco regulatorio de ciberseguridad y Cierre
GESTION DE INCIDENTES
DE CIBERSEGURIDAD
Repaso

Que es ciberseguridad

Que serian los incidentes de ciberseguridad?

Metodologias

Para no inventarnos la rueda

ISO 27035
NIST CiberSecurity Framewrok
CERT
 Metodologias

ISO 27035

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la

gestión de incidentes de seguridad en la información. Consta de 3
partes: 27035-1, Principios en la gestión de incidentes (Publicada
en Noviembre de 2016); 27035-2, guías para la elaboración de un
plan de respuesta a incidentes (Publicada en Noviembre de
2016); 27035-3, guía de operaciones en la respuesta a incidentes
(Publicada en Septiembre de 2020).
Metodologias

ISO 27035
 Metodologias

ISO 27035 – Planeación y Preparación

• Política de gestión de incidentes de seguridad de la
información y compromiso de la alta dirección
• Políticas de seguridad de la información incluyendo las de
gestión de riesgos
• Plan de gestión de incidentes de seguridad de la información
• Establecimiento del IRT
 Metodologias

ISO 27035 – Planeación y Preparación

• Relacionamiento y conexión con organizaciones internas y
externas
• Soporte técnico, organizacional, operacional y otros requeridos
• Concienciación y entrenamiento sobre la gestión de incidentes
SI
• Pruebas al plan de gestión de incidentes SI
 Metodologias

ISO 27035 – Detección y reporte

• Recolección de información del conocimiento de la situación

desde entornos locales, fuente de datos externas y otras
entradas
• Monitoreo de los sistemas y las redes
• Detección y notificación de alertas de actividades anómalas,
sospechosas o maliciosas
 Metodologias

ISO 27035 – Detección y reporte

• Colección de los reportes de eventos de seguridad de la

información desde los componentes, fabricantes, otros IRTs y los
sensores automatizados
• Reportando eventos de seguridad de la información
 Metodologias

ISO 27035 – Evaluación y decisión

• Valoración de seguridad de la información y determinación sobre los

incidentes de seguridad de la información
• Es la evaluación de la información recolectada y un análisis para validar
si el evento reportado es un incidente de seguridad.
• Priorizacion
 Metodologias

ISO 27035 – Respuesta

• Determinar si los incidentes SI están bajo el control de una

investigación
• Contener y erradicar los incidentes SI
• Recuperarse de los incidentes SI
• Solución y cierre de los incidentes SI
• Necesidad por continuar con la investigación en caso de ser
requerido
 Metodologias

ISO 27035 – Lecciones Aprendidas

• Identificación de lecciones aprendidas

• Identificación y aplicación de mejoras a la seguridad de la información
• Identificación y aplicación de mejoras a la gestión de riesgos SI y de los
resultados de las revisiones por la dirección
• Identificación y aplicación de mejoras al plan de gestión de incidentes SI
• Evaluación del desempeño y efectividad del IRT
Metodologias

Para no inventarnos la rueda

ISO 27035
NIST CiberSecurity Framewrok
CERT
Metodologias

NIST CiberSecurity Framewrok

Metodologias

NIST CiberSecurity Framewrok

 Metodologias

NIST CiberSecurity Framework

Identificar

• Comprensión organización para administrar el riesgo

cibernético para personas, activos, datos y capacidades
• Una buena gestión de activos
• Una buena gestión de riesgos
Metodologias

NIST CiberSecurity Framewrok

Proteger

Medidas de seguridad adecuadas para garantizar la entrega

de servicios
Implementación de controles
Metodologias

NIST CiberSecurity Framewrok

Detectar

Identificar los eventos e incidentes

Monitoreo y procesos de detección
Metodologias

NIST CiberSecurity Framewrok

Responder

Tomar medidas con respecto a un incidente

Contener, erradicar, comunicar, Mitigar
Metodologias

NIST CiberSecurity Framewrok

Recuperar

Mantener los planes de resiliencia

Restaurar sistemas
Restablecer servicios
Continuidad del negocio
Metodologias

Para no inventarnos la rueda

ISO 27035
NIST CiberSecurity Framewrok
CERT
Metodologias

NIST CiberSecurity Framewrok

CERT

• CSIRT: Equipo de personas que gestionan incidentes,

pero en un concepto mas grande, un CSIRT Ofrece
servicios en torno a la gestión de incidentes
• CISRT interno, CSIRT coordinations
Metodologias

CERT – Gestion de incidentes

• Manejo de incidentes
• Gestión de incidentes
Metodologias

CERT – Gestión de incidentes

• Manejo de incidentes
• Detectar
• Triage, Analisis
• Respuesta
Metodologias

CERT – Gestión de incidentes

• Gestión de incidentes
• Además del manejo de incidentes, Expande el
concepto a servicio y procesos que haría un CSIRT,
gestión de vulnerabilidades, Concienciación, pruebas
de seguridad, administración, etc.
Metodologias

CERT – CSIRT Services

*Si ofreces almenos 3 te puedes llamar CSIRT

Metodologias

CERT
Metodologias

CERT
Metodologias

CERT
 Metodologias

CERT

Preparar
• Se requiere personal y qué capacitación necesitarán para realizar adecuadamente su trabajo.
• Se requerirán herramientas, equipos e infraestructura de apoyo, como mecanismos de
comunicación y conexiones de red seguras, bases de datos de seguimiento de incidentes,
formularios de notificación de incidentes en línea o herramientas de análisis.
• Las políticas y procedimientos regirán el funcionamiento de la capacidad de gestión de
incidentes y sus interacciones con cualquier otra parte de la empresa o grupo. Esto puede incluir
políticas de divulgación de información, procedimientos operativos estándar o cualquier acuerdo
de nivel de servicio vigente.
Metodologias

CERT
Preparar
 Metodologias

CERT

Proteger

la única "respuesta" verdadera es evitar que el ataque ocurra.

Cualquier cosa después de eso es realmente limpiar y recuperarse
del ataque que se propaga, o posiblemente evitar que se
propague más
 Metodologias

CERT

Proteger

Actividades relacionadas con la prevención de ataques y la

mitigación del impacto de los que ocurren
 Metodologias

CERT

Proteger

realizar auditorías de seguridad, evaluaciones de vulnerabilidades

y otras evaluaciones de infraestructura para determinar cualquier
debilidad o exposición que pueda ser explotada, lo que resultará
en ataques o compromisos exitosos en la empresa
 Metodologias

CERT

Proteger

Proveerse de información de cualquier CSIRT existente o con capacidad de

gestión de incidentes a los responsables del desarrollo general y el
mantenimiento de la infraestructura sobre las precauciones a tomar en
función de los riesgos y amenazas actuales.
 Metodologias

CERT

Proteger

Cualquier capacidad de gestión de incidentes puede verse como un

proveedor de datos de riesgo auténticos, debido a la información derivada
del análisis de los tipos de incidentes y vulnerabilidades que han
manejado en la infraestructura organizativa.
 Metodologias

CERT

Proteger

Esta información se puede utilizar para determinar qué estrategias de

protección se necesitan.seguir los estándares y las mejores prácticas
reconocidas como métodos para prevenir y mitigar incidentes y
vulnerabilidades descubiertas
Metodologias

CERT

Proteger
 Metodologias

CERT

Detectar

• El proceso de detección a menudo se considera solo las actividades asociadas con

la detección de intrusos o el monitoreo de la red. Esta es una definición
demasiado limitada.
• Detectar en lo que respecta a la gestión de incidentes en realidad implica
cualquier observación de actividad maliciosa o sospechosa y cualquier
recopilación de información que proporcione información sobre las amenazas o
riesgos de seguridad actuales.
Metodologias

CERT

Detectar
 Metodologias

CERT

Triage

Ordenar, categorizar, correlacionar, priorizar

Metodologias

CERT

Triage
Metodologias

CERT

Respuesta

El proceso Responder incluye los pasos tomados para

abordar, resolver o mitigar un evento o incidente.
Tres tipos de actividades de respuesta: técnicas,
Administrativa y legales.
 Metodologias

CERT

Respuesta

Estos tres tipos de actividades pueden ocurrir simultáneamente, pero para obtener la
respuesta más efectiva, deben ocurrir en una función coordinada con miembros de
todas las áreas de respuesta coordinando la planificación y ejecución de las
actividades de respuesta.
Cuando sea posible y apropiado, la información debe compartirse entre estos
subprocesos
Metodologias

CERT

Respuesta
Mas metodologias
Metodologias

Modelo de madurez
Nivel Madurez
0 1 2 3 4 5
1. Objetivos de la gestión de incidentes
2. Requerimientos de las Partes Interesadas
3. Plan de Gestion de incidentes
4. Ambiente organizacional
5. Personas
6. Roles y Responsabilidades
7. Gestión de la información
8. Herramientas y Tecnologías
9. Instalaciones
10. Recoleccion de Informacion
11. Detección
12. Análisis
12. Respuesta
14. Diseminacion de informacion
15. Coordinación
16. Resiliencia
Metodologias

Excelentes metodologías

Con eso ya estaríamos listos?

Nos gestionamos el primer incidente?

….

El problema es ….
 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua

Legal
 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Validación de Mejora
Activos Cursos de Acción
contexto Administrativa continua

Legal
Metodologias

Preparar – Personas

Recurso humano capacitado o no pero con plan de

capacitación
Habilidades mínimas orientadas a la solución de problemas
Habilidades de servicio al cliente
Definición de Roles y responsabilidades, nivel I, nivel II,
nivel III
Metodologias

Preparar – Procesos

Documentar la política de gestión de eventos e incidentes

de ciberseguridad
Procedimientos
• Gestión standar
Instructivos
• Acceso a plataformas
• etc
Metodologias

Preparar – Tecnologia

Requerimientos de hardware y software necesarios para la

gestión de eventos e incidentes de ciberseguridad

• SIEM, DAM, NBA, AV, GV, EDR, FW, IPS, AntiDDoS…

• Plataforma para gestión de tickets (ITSM)
• SOAR
Metodologias

Preparar – Concienciación

Programa de sensibilización y concienciación para la

comunidad
Metodologias

Preparar – Gestión de riesgos

Alinearse con la gestión de riesgos de la organizacion

Metodologias

Preparar – Gestión de Activos

Sin esto no se podría hacer nada

 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua

Legal
Metodologias

Detectar – Proactiva

Mal llamado Monitoreo

No es posible detectar algo antes de que pase
Pero si se puede en el menor tiempo posible
Solo es posible con plataformas de detección Proactiva
Con un buen motor de IoCs (mal llamados casos de uso)
Metodologias

DETECCION PROACTIVA DE EVENTOS E INCIDENTES DE CIBERSEGURIDAD

Plataforma
?
Activo que
de
Genera
Detección
Logs
Proactiva
Log

LOG
Atómicos
Calculados
INDICADORES DE COMPROMISO
ALERTA Comportamiento
Metodologias

Detectar – Reactiva

Alguien se da cuenta de un comportamiento anómalo o

sospechoso
Debe acudir un único punto de contacto para el reporte de
este tipo de situaciones
 Metodologias

Detectar – Validación de contexto

Actividad que se ejecuta con lo reportes, es decir cuando viene de una

detección Reactiva
El objetivo es determinar si lo que llego debe ser gestionado por el equipo
de respuesta a incidentes a o no
Esto se hace necesario en organizaciones con áreas de Seguridad de la
información y Ciberseguridad separadas

Como es eso?
 Metodologias

Detectar – Validación de contexto

Determinar si el reporte son evidenciables en ACTIVOS DE

INFORMACION TECNOLOGICOS (HARDWARE Y SOFTWARE), esto
rápidamente nos indica que el contexto si es ciberseguridad

Por ejemplo que un usuario reporte que observo a un compañero

compartiendo su clave de red.
Es de ciberseguridad?
Metodologias

Detectar – Validación de contexto

Lo siguientes y mas complejo es Determinar las

características de la AMENAZA y con estas
determinar si son del contexto de ciberseguridad
 Metodologias

Detectar – Validación de contexto

Un corto repaso del concepto de gestión de riesgos.

En ciberseguridad un riesgo es:

La PROBABILIDAD que una AMENAZA, explote una VULNERABILIDAD y cause un IMPACTO.

Como se puede apreciar un riesgo se compone de diferentes elementos, pero para nuestro interés,
es la AMENAZA la que indica si un reporte es del contexto de ciberseguridad.
Metodologias

Detectar – Validación de contexto

Propiedades de una amenaza

Propiedad Descripción
Activo Donde actúa
Acceso Por donde llega
Fuente de amenaza Origen de donde viene
Actor Quien ejecuta las acciones maliciosas
Motivación Razón para causar daño
Impacto El resultado de las acciones ejecutadas para causar daño
 Metodologias

Detectar – Validación de contexto

Posibles valores
Propiedad Valor
Activo Tecnológico, No tecnológico
Acceso Red, Físico
Fuente de amenaza Humanos, Problemas de Sistemas, Otros problemas
Actor Insider, OutSider, Código Malicioso, Problemas de Performance, Problemas de
hardware, Problemas de software, Desastres naturales, Proveedores, Problemas
de comunicaciones
Motivación Intencional, Accidental
Impacto Robo de información, divulgación de información, Secuestro de información,
Modificación de información, Eliminación de información, Interrupción de
servicio, degradación de servicio, denegación de servicio
 Metodologias

Detectar – Validación de contexto

Ciberseguridad debería enfocarse en

Propiedad Valor
Activo Tecnológico (hardware y software)
Acceso Red, o Mediante Activo Tecnológico
Fuente de amenaza Personas con intenciones maliciosas (Atacante)
Actor Insider, OutSider, Código Malicioso
Motivación Intencional, Accidental (Malas prácticas)
Impacto Secuestro de capacidad de cómputo, Interrupción, degradación o denegación
de servicios y/o componentes tecnológicos, explotación de vulnerabilidades
tecnológicas, Accesos y/o acciones no autorizados a activos tecnológicos,
Abuso de sistemas y activos tecnológicos. 
Secuestro de información, robo de información; acceso, creación,
modificación o eliminación de información no autorizada
Metodologias

Detectar

NO TODO LO QUE SE RECIBE

ES EVENTO O INCIDENTE
Detección proactiva -> Alertas
Detección reactiva -> Reportes
 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua

Legal
Metodologias

Triage

Clasificar
Categorizar
Valorar
Investigar
Definir cursos de accion
Metodologias

Triage

Táctico

Estratégico
 Metodologias

Triage – Clasificar

Alerta
Reporte
Evento
Incidente
Falso Positivo
Incidente Operativo
 Metodologias

Triage – Clasificar

Alerta

Lo que sale de una plataforma de detección proactiva

Logs que han pasado por un motor de IoCs
 Metodologias

Triage – Clasificar

Reporte

Lo que indica una persona cuando evidencia

comportamientos anómalos y/o sospechosos
 Metodologias

Triage – Clasificar

Evento

Algo que tiene el potencial para materializar un riesgo, Pero

aun no se ha materializado
 Metodologias

Triage – Clasificar

Evento

Son la manzana de la discordia

Como no han materializado riesgos, no hay lugar a ejecutar una
respuesta (contener, erradicar, escalar)
Debería ser gestionado desde la Gestión de riesgos o
Desde la Gestión de Amenazas
 Metodologias

Triage – Clasificar

Incidente

Algo que materializo un riesgo y causo un impacto

 Metodologias

Triage – Clasificar

Falso Positivo

Algo que no ha materializado riesgo y no tiene el potencial para

hacer
Existe un control que mitiga el riesgo
 Metodologias

Triage – Clasificar

Incidente Operativo

Algo que debería gestionar la mesa de servicios

 Metodologias

Triage – Clasificar

Un malware en cuarentena, que vendría siendo?

Metodologias

Triage – Categorizar

En general se usa para agrupar eventos e incidentes que

tengan que ver con lo mismo, en un intento por tipificar

Mejor aun, usarlo como una etiqueta para que cualquiera

que la lea sepa de que se trata el evento o incidente
 Metodologias

Triage – Categorizar

Por lo general la categoría se asigna según la amenazas,

impacto.
Pero es recomendable categorizar según causa Raiz

Por ejemplo: Alguien dice, secuestraron la cuenta de la red social

pincher de la organización?
Como lo categorizamos?
Metodologias Categoría Subcategoría
   
Inyección de Código
Phishing (Suplantación)
Pharming (Suplantación)
Botnet (Redes Zombie)

Triage – Categorizar
DDoS (Ataque de denegación de servicio)
Suplantación
Man in The Middle
Ataque informático Spam
Escaneo
Snifing

Ejemplo de árbol de categorías

Robo o fuga de información
Acceso no autorizado
Recopilación de información
Explotación de vulnerabilidades
  Fuerza bruta (credenciales de acceso)
Malware Genérico
Gusanos Informáticos
Rootkit
Botnets
Bomba Lógica
Código Malicioso adware
Spyware
troyanos
KeyLogger
APTs
  Ransomware

  Criptomineria
Abuso Abuso de privilegios
  Abuso de Capacidades tecnológicas
Metodologias

Triage – Valorar

Hay diferentes formas de hacerlo

Según la categoría
Usando variables (criticad de activo, cantidad de activos
servicios usuarios afectados)
Metodologias

Triage – Valorar
IMPACTO DE AFECTACION
Cantidad de Activos, Servicios, Usuarios afectados

 
CRITICO, >=70% MEDIO, >10% BAJO, <=10% =
ALTO, >40% y 70%< = 2
=1 y 40%< = 3 4

CRITICO= 1 CRITICO = 1 CRITICO = 2 CRITICO = 3 ALTO = 4

ALTO = 2 CRITICO= 2 ALTO = 4 ALTO = 6 MEDIO = 8

CRITICIDAD DEL ACTIVO

MEDIO = 3 ALTO= 3 ALTO = 6 MEDIO=9 BAJO = 12

BAJO = 4 ALTO = 4 MEDIO=8 BAJO=12 BAJO = 16

 Metodologias

Triage – Investigar

Una investigación decente debería responder a:

Quien
Que
Como (aquí es donde mas tiene lugar la correlacion)
Cuando
Donde
Por que
 Metodologias

Triage – Investigar

Aunque el triage de debe ejecutar en el menor tiempo

posible
Hacer lo posible por recopilar la mayor cantidad de
informacion
 Metodologias

Triage – Cursos de acción

Son las actividades puntuales para

Contener
Erradicar
Recuperar

Con responsables y tiempos de ejecución

 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua

Legal
Metodologias

Respuesta

Revisar el triage
Principalmente la investigación y los cursos de acción
Si no son suficientes se debe profundizar y complementar
Metodologias

Respuesta – Técnica

La que se relaciona con actividades que se ejecutan en

activos de información de tecnologicos, (hardware y
software)
Metodologias

Respuesta – Técnica

Según categorización
Seguir los playbooks o las guías de respuesta
Es un documento que indica las actividades que se
deberían seguir en cada fase del incidente
Metodologias

Respuesta – Técnica
Metodologias

Respuesta – Técnica
Metodologias

Respuesta – Técnica

Contener

Evitar que lo que esta sucediendo se haga mas grande

Detener el sangrado
 Metodologias

Respuesta – Técnica

Erradicar

Eliminar la causa raiz

Metodologias

Respuesta – Técnica

Restaurar

Dejar todo como estaba

Metodologias

Respuesta – Administrativa

Amonestaciones
Anotaciones en hoja de vida
Sanciones
Suspensiones
Despidos
Metodologias

Respuesta – Legal

Demandas
Litigios
Multas
Metodologias

Respuesta – Comunicaciones

Elaborar comunicados
Relacionamiento con la prensa
 Metodologias

Preparar Detectar Triage Respuesta Pos

Tecnica Lecciones
Personas Proactiva Clasificar
Procesos Categorizar Playbooks IoCs
Tecnología Contener Controles
Concienciación Reactiva Valorar
Erradicar
Gestión de riesgos Investigar Indicadores
Recuperar
Gestión de Activos Validación de Mejora
Cursos de Acción
contexto Administrativa continua

Legal
Metodologias

Pos

Todo lo que se debería hacer luego que un incidente es

cerrado
Metodologias

Pos – Lecciones Aprendidas

Documentar todo lo que pudo haber salido mal o lo que se

hizo bien
Servira para la famosa KB
Metodologias

Pos – IoCs

Por lo general los incidentes evidencian nuevos IoCs para

implementar en las plataformas de detección proactiva
Metodologias

Pos – Controles

Así mismo de las lecciones aprendidas se desprenden los

controles, técnicos, físicos, administrativos, disuasivos,
correctivos, preventivos
Metodologias

Pos – Indicadores

Todo proceso formal de una organización debe tener una

forma en la que se mide para saber si se esta haciendo bien

SLAs, de atención, de notificación y de contención

Metodologias

Y el forense?
 Metodologias

Ejercicio

Elabore un procedimiento para la gestión de eventos e

incidentes de ciberseguridad
Tipo flujo de actividades Bizzagi
Manos a la Obra

A gestionar incidentes
Manos a la Obra

Lab de detección proactiva