Gestión de incidentes de seguridad informática

Docente: Ariel Cessario

Módulo 1 - Introducción a la gestión de incidentes
Clase 1

Introducción a la gestión de incidentes

● Estado actual de la ciberseguridad. Riesgos y amenazas.

● Concepto de incidente y evento de ciberseguridad
● Naturaleza y objetivo de la gestión de incidentes.

SIGUIENTE
Estado actual de la ciberseguridad
Riesgos y amenazas

• Evolución del ransom

• Peligros en ambientes remotos o híbridos
• Vulnerabilidad en la nube
• Eludir la autenticación multifactor (AMF)
• Conflictos globales
• Phishing, siempre presente
• Cryptojacking
• Ataque a infraestructuras críticas
• Ataques IoT
• Ingeniería social
SIGUIENTE
Evolución del ransom

• Tradicionalmente una vez atacada una empresa, se cifran los datos y se

solicita un rescate por esa información.

• Luego se comienza a pedir dinero también para no exponer esos datos en

forma pública.

• El último paso y de ahí la triple extorsión, se solicita también dinero para no

exponer los datos de clientes o proveedores.

SIGUIENTE
Peligros en ambientes remotos o híbridos

• Mayor superficie de ataque

• Acceso a información privada a través de redes inseguras
• Utilización de equipos personales
• Trabajo en lugares públicos
• Tránsito sin encriptar
• Política de passwords que no se cumple
• Hacking de webcam
• Y muchas más

SIGUIENTE
 Peligros en ambientes remotos o híbridos

Estafas por correo electrónico La cuestión de los lugares públicos

Controles de seguridad más débiles Contraseñas débiles

Ciberataques a infraestructuras de La práctica de compartir archivos sin

teletrabajo cifrar

Datos confidenciales a los que se accede a

Configuraciones incorrectas de la nube
través de redes Wi-Fi no seguras

Superficies de ataque ampliadas Hackeo de cámaras web

Dispositivos personales utilizados para Amenazas por doquier

el trabajo

GRAFICO ELABORADO A PARTIR DE: HTTPS://HEIMDALSECURITY.COM/BLOG/REMOTE-WORK-SECURITY/

SIGUIENTE
Vulnerabilidad en la nube

• Mala configuración

• Mal control de acceso

• Tenencia compartida

• Vulnerabilidades en la cadena de suministro

• API’s Inseguras

SIGUIENTE
Eludir la autenticación multifactor (MFA)

• Llamadas telefónicas

• Mensajes de texto

• Fatiga de MFA (MFA Bombing or MFA Spamming)

SIGUIENTE
Conflictos globales

• Inestabilidad mundial = oportunidades para ciberdelincuentes

• Alianzas políticas pueden ser mal vistas por distintos grupos

• Infraestructuras en riesgo

SIGUIENTE
Phishing, siempre presente

• La mayor amenaza para este año (no importa que año sea)

• 255 millones de ataques de phishing solo en 2022

• Más campañas de phishing que pueden eludir MFA

SIGUIENTE
Cryptojacking

• Usar una computadora para minar monedas

• Bajan el rendimiento de nuestros equipos

• Reduce la productividad de nuestros equipos

• Aumento en los costos eléctricos

SIGUIENTE
Ataque a infraestructuras críticas

• Ataques encadenados que pueden generar caos en la población.

• Distintos objetivos.

• Pueden ser ataques al sector público o privado.

SIGUIENTE
Ataques IoT

• Cada vez hay más dispositivos conectados

• Ejército zombie

• Poca seguridad en equipos baratos

• Se puede acceder a información privada

SIGUIENTE
Ingeniería social

• Phishing
• Spear Phishing
• Baiting
• Malware
• Pretexting
• Quid Pro Quo
• Tailgating
• Vishing
• Y muchos más

SIGUIENTE
Actividad: pregunta de sondeo

¿Cuál de los siguientes NO es un tipo de malware?

A. Virus
B. Phishing
C. Caballo de Troya
D.Spyware

SIGUIENTE
Estado actual de la ciberseguridad en el
sector público

• No está lo suficientemente preparado

• No es suficientemente prioritario
• No hay suficientes leyes o no se aplican correctamente
• NO HAY MANO DE OBRA

¿Cómo puede el sector público gestionar mejor el riesgo

de los datos?
SIGUIENTE
 No está lo suficientemente preparado

¿Sabemos realmente si estamos preparados?

No tenemos información real del estado actual.

• Los costos de actualización de las herramientas enlatadas es muy alto.

• Hay una baja adopción de herramientas de código abierto.

• Los cambios de gestión pueden afectar negativamente los proyectos de

actualización y mejora en el área.

SIGUIENTE
No es prioritaria

• Muchas veces la ciberseguridad no es prioritaria.

• Se convierte en prioritaria cuando se sufre el ataque.

• Se relega como prioridad luego de un tiempo de tranquilidad.

SIGUIENTE
No hay suficientes leyes o no se aplican correctamente

• Solo se crean las leyes necesarias

• No es claro el ámbito de aplicación

• Los organismos nos saben qué leyes les aplican

SIGUIENTE
NO HAY MANO DE OBRA

• Imposible competir con los salarios del sector privado

• Mucho costo de capacitación

• Alta rotación

• El mercado de ciberseguridad es mercenario

SIGUIENTE
 ¿Cómo puede el sector público gestionar mejor el riesgo de los datos?

Un enfoque que están adoptando algunas organizaciones en el sector

público (y en todos los sectores) es el de "Zero Trust".

Ninguna persona o dispositivo dentro o fuera de la red de una

organización debe tener acceso para conectarse a sistemas o recursos hasta
que se considere explícitamente necesario. En resumen, significa cero
confianza implícita.

Esto significa que todo lo que llega a un usuario se trata automáticamente

como una amenaza hasta que se demuestre lo contrario.

SIGUIENTE
No se debe fatigar al usuario

• No mandar notificaciones todo el tiempo

• No enviar advertencias continuas

• Enviar la información necesaria en el momento oportuno

SIGUIENTE
Actividad: pregunta de sondeo

De las siguientes opciones ¿Cuál es un riesgo de trabajo en

lugares híbridos?
A. Es más probable que los empleados traigan malware a la
oficina
B. Es más probable que los empleados compartan información
confidencial con personas no autorizadas
C. Es menos probable que los empleados sigan las mejores
prácticas de seguridad cuando trabajan desde casa

SIGUIENTE
Concepto de incidente y evento de
ciberseguridad

• Concepto de Evento.

• Concepto de incidente

SIGUIENTE
 Evento

La norma ISO 27000 explica el concepto evento, definiéndolo como:

“Ocurrencia o cambio de un conjunto de circunstancias. Puede

tener una o más ocurrencias y tener distintas causas”

SIGUIENTE
 Incidente de seguridad

La norma ISO 27001 explica el concepto incidente de seguridad, definiéndolo

como:

“una sola o una serie de eventos de seguridad de la información

no deseados o inesperados que conllevan una elevada
probabilidad significativa de comprometer las operaciones de la
organización amenazando la seguridad de la información”.

SIGUIENTE
¿Es evidente cuando estoy ante incidente
de seguridad?

A veces sí…

SIGUIENTE
Concepto de impacto

“Daño causado por una amenaza que explota

una vulnerabilidad en un activo y que
afecta adversamente a una persona u
organización.”

SIGUIENTE
Los incidentes se deben gestionar

• Objetivo del proceso: mantener el impacto dentro de niveles

aceptables.

• La gestión de incidentes proporciona una estructura sobre la que los

incidentes se investigan, diagnostican, resuelven y se CIERRAN.

• Los incidentes tienen un ciclo de vida.

SIGUIENTE
 Acciones…

Actividades proactivas limitan o previenen incidentes

Actividades reactivas la respuesta a incidentes es elemento reactivo

Objetivo: evitar que los incidentes se transformen en problemas, y que los

problemas se transformen en desastres.

SIGUIENTE
Naturaleza y objetivo de la gestión de
incidentes

SIGUIENTE
Gestión de incidentes

Es la capacidad para gestionar efectivamente eventos perjudiciales

inesperados con el objeto de minimizar los impactos y mantener o
restaurar las operaciones normales dentro de los límites de tiempo
definidos.
Es un proceso mediante el cual una organización responde y controla un
incidente utilizando procedimientos o planes de respuesta de emergencia.

SIGUIENTE
Objetivos de la gestión de incidentes

El objetivo es asegurar un enfoque coherente y eficaz para la gestión de

incidentes de seguridad de la información incluyendo la comunicación de
los eventos de seguridad y debilidades.

(ISO 27001 Anexo 16)

SIGUIENTE
Objetivos de la gestión de incidentes

• 16.1.1 Responsabilidades y procedimientos

• 16.1.2 Reporte de eventos de seguridad de la información
• 16.1.3 Reporte de debilidades de seguridad de la información
• 16.1.4 Evaluación y decisión sobre los eventos de seguridad de
información
• 16.1.5 Respuesta a incidentes de seguridad de la información
• 16.1.6 Aprendiendo de los incidentes de seguridad de la información
• 16.1.7 Recolección de evidencia

SIGUIENTE
 16.1.1 Responsabilidades y procedimientos (5.24)

Las responsabilidades
• Defina un responsable o responsables necesarios para gestionar los incidentes
• Defina las responsabilidades de cada empleado

Los procesos o procedimientos

• Que existan procedimientos para la detección, análisis y elaboración de informes de
incidentes de la seguridad de la información
• Elabore procedimientos para que se comuniquen los incidente
• Que dichos procedimientos sean conocidos
• Que existan vías de comunicación adecuadas

Capacitación
• Asegúrese de la competencia del personal de atención y resolución de incidentes.
SIGUIENTE
 16.1.2 Reporte de eventos de seguridad de la información (6.8)

Establecer los canales de comunicación para todos los eventos o incidentes. Estos
canales, naturalmente deben estar establecidos con los responsables de la gestión
de los incidentes.

Es importante que todos los usuarios estén informados y familiarizados con los
mecanismos de notificación. Con usuarios nos referimos a usuarios tanto internos
como externos

SIGUIENTE
 16.1.3 Reporte de debilidades de seguridad de la información (6.8)

El reporte de incidentes debe acompañarse con un reporte de posibles debilidades

del sistema que se detecten en cualquier momento. Esto debe estar soportado por:
• La comunicación a los usuarios de la exigencia de observar y reportar
cualquier debilidad de seguridad de la información vista o sospechada en
sistemas o servicios

SIGUIENTE
 16.1.4 Evaluación y decisión sobre los eventos de seguridad de información (5.25)

Como ya hemos visto en los puntos anteriores, los eventos de la seguridad de la

información pueden clasificarse en simples eventos o pueden pasar a ser
Indecentes de la seguridad de la información.

Para ello establezca:

• Un criterio de priorización de incidentes dependiendo del sistema o servicio
afectado, del usuario etc.
• La evaluación de incidentes debe ser realizada tanto por el usuario como por
el equipo de gestión que debe revisar la prioridad.
• Lleve un registro de la evaluación de los incidentes para poder analizar los
parámetros de calidad tanto en su resolución como de su clasificación.

SIGUIENTE
 16.1.5 Respuesta a incidentes de seguridad de la información (5.26)

Se trata de controlar el proceso de resolución de incidentes en la seguridad de la

información.
Los controles a establecer podrían ser:
• Evalúe si la organización tiene la capacidad para resolver el incidente por sí
misma o necesita ayuda de terceros.
• Mantenga un registro con las evidencias de las incidencias
• Establezca el sistema de comunicaciones necesarias entre usuarios y el equipo de
gestión de incidencias o quien deba estar informado de las actuaciones y
situación del proceso de resolución de las incidencias
• Registre las acciones llevadas a cabo y los resultados de las mismas
• Cierre la incidencia formalmente cuando se haya resuelto
• Realice un análisis para determinar las causas de cada incidente
SIGUIENTE
 16.1.6 Aprendiendo de los incidentes de seguridad de la información (5.27)

Información que nos podría ser útil:

• Volumen de incidentes producidos
• Tipología de incidentes producidos
• Coste de la resolución de la incidencia
• Impacto de la incidencia
• Solución aplicada
La información sobre los incidentes nos puede ayudar a:
• Identificar los incidentes más frecuentes y de alto impacto
• Mejorar nuestro sistema de gestión con nuevos controles y criterios para la
evaluación de riesgos
• Realizar entrenamientos a los usuarios para evitar incidentes y a los gestores de
incidentes para mejorar la resolución de los mismos SIGUIENTE
 16.1.7 Recolección de evidencia (5.28)

Es muy recomendable que conservemos la información sobre las incidencias de

forma que podamos recuperar:
• Los inicios y cierres de sesión
• Las identificaciones
• El estado de los dispositivos y de las redes
• Las evidencias de reuniones informativas, documentación sobre
responsabilidades y funciones de seguridad del personal

SIGUIENTE
Actividad: pregunta de sondeo

¿Cúal es uno de los objetivos de la gestión de seguridad?

A. Recolección de evidencia
B. Proceso de contratación de personal especializado
C. Instalación de infraestructura

SIGUIENTE
Muchas gracias

SIGUIENTE