Seguridad en Redes Gestión de incidentes

Texto completo

(1)

Seguridad en

Redes – Gestión

de incidentes

(2)

Gestión de Incidentes

Guía para tener un enfoque bien estructurado y

planificado que permita al departamento de IT

manejar adecuadamente los incidentes de

seguridad de la información.

(3)

Objetivos gestión de incidentes

Los objetivos del modelo para la gestión de incidentes son

• Definir roles y responsabilidades dentro de la organización

• Gestionar los eventos de seguridad de la información

• Identificar los incidentes de seguridad

• Minimizar los impactos adversos

• Consolidar acciones aprendidas

• Establecer variables de posibles riesgo

• Definir procedimientos formales de reporte

(4)

Grupo CSIRT (Computer Security Incident Response Team)

Equipo CSIRT o CERT(Computer Emergency Response Team) es un equipo de respuesta ante emergencias informáticas, que tendra como objetivos

• Definir procedimientos de atención de incidentes

• Manejar las relaciones con entes internos y externos

• Definir la clasificación de los incidentes

• Detección de incidentes

• Atención de incidentes de seguridad

• Recolección y análisis de evidencia digital

• Anuncios de seguridad

• Auditoria y trazabilidad de seguridad informática

• Clasificación y priorización de servicios expuestos

• Investigación y desarrollo

(5)

Ciclo de vida de Incidentes

El ciclo de vida de un incidente que plantea el modelo de gestión se compone de

• Preparación

• Detección y Analísis (Evaluación)

• Contención, erradicación y recuperación

• Actividades Post-incidente

Imagen tomada desde https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

(6)

Preparación

Esta etapa suele hacerse pensando en crear un modelo que permita en la organización este en capacidad de responder ante los incidentes, como pueden ser detectados, evaluados y gestionar las vulnerabilidades.

Esta etapa debe ser apoyada por la dirección de tecnologías, donde se incluyan las mejores prácticas para aseguramiento de los activos de información.

(7)

Pasos de la preparación

• Se debe velar por la disposición de recursos

• Crear o validar los procedimientos de gestión de incidentes

• Tener un programa de capacitación

• Gestionar parches de seguridad

• Se debe tener aseguramiento de plataformas

• Se debe gestionar la seguridad en redes

• Tener prevención ante códio malicioso

• Sensibilización de usuarios

• Tener un sistema o políticas de comunicación

• Información de contactos y escalamientos

(8)

Detección y análisis (Evaluación)

En la detección se observan los indicadores de eventos que señala un posible incidente ha ocurrido

• Alerta en sistemas de seguridad

• Caída de servidores

• Reporte de usuarios

• Informe de software antivirus

• Funcionamientos fuera de lo normal del sistema

• Logs de servidores

• Logs de aplicaciones

• Logs de herramientas de seguridad

(9)

Detección y análisis (Evaluación)

Las actividades que se deben tener en cuenta en el análisis son

• Características normales de red y del sistema

• Conocimiento total del comportamiento de la infraestructura

• Se debe tener acceso a toda la información de logs y redes

• Efectuar correlación de eventos

• Sincronización de relojes

• Mantener y usar una base de conocimiento

• Tener unas matrices de diagnóstico e información

(10)

Detección y análisis (Evaluación)

Para tener definida una evaluación de un incidente de seguridad se debe tener en cuenta el nivel de impacto en base al análisis de riesgo y clasificación de activos de información.

• Alto Impacto

• Medio Impacto

• Bajo Impacto

(11)

Detección y análisis (Evaluación)

Se debe tener en cuenta la clasificación de los incidentes de seguridad

• Acceso no autorizado

• Modificación de recursos no autorizado

• Uso inapropiado de recursos

• No disponibilidad de recursos

• Multicomponentes

(12)

Detección y análisis (Evaluación)

Notificación de incidentes permite dar respuesta en forma sistemática, minimizar ocurrencia, facilitar recuperación y eficiencia de las actividades, minimizando pérdidas e interrupción de servicios.

• Usuarios notificarían a primer contacto (soporte 1er nivel, helpdesk)

• Identificar el tipo de incidente

• Notificación a otros funcionarios encargados de ser necesario

• Coordinar y asignar recursos y actividades

• Ejecutar actividades de recuperación

• Documentación del incidente

(13)

Contención, erradicación y recuperación

Se debe implementar una estrategia que impida la

propagación del incidente, de esa forma disminuir los

daños a los recursos de tecnología y a afectación a la

triada de la información.

(14)

Contención, erradicación y recuperación

La contención es la actividad que busca la detección del incidente, evitando de esta manera que no se propague y genere más daños. Se debe tener una estrategia previamente definida en caso de que suceda para de esa manera tomar decisiones.

Imagen tomada desde https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

(15)

Contención, erradicación y recuperación

La erradicación es la actividad que consiste en erradicar y eliminar cualquier rastro que haya dejado el incidente.

Imagen tomada desde https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

(16)

Contención, erradicación y recuperación

La recuperación se realiza mediante la restauración del sistema, servicios o backups de la información que haya sido afectada.

Imagen tomada desde https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

(17)

Contención, erradicación y recuperación

En muchos casos en esta etapa se puede ver necesaria la activación del BCP (Plan de continuidad del Negocio) o del DRP (Plan de recuperación de desastres)

Imagen tomada desde https://www.mintic.gov.co/gestionti/615/articles-5482_G21_Gestion_Incidentes.pdf

(18)

Actividades Post-Incidente

Básicamente se componen de

• Reporte apropiado del incidente

• Generación de lecciones aprendidas

• Establecimiento de medidas tecnológicas

• Establecimiento de medidas disciplinarias y penales

• Registro a la base de conocimientos

(19)

Actividades Post-Incidente

Una de las partes más importantes de la gestión y del plan de respuesta a incidentes es la de aprender y mejorar cada día, cada equipo y organización debe procesar, analizar, evolucionar y mejorar.

• Registro de lecciones aprendidas

• Que sucedió, momento y cómo se gestionó

• Procedimientos documentados

• Tomaron medidas o acciones para impedir el incidente

• Cual seria una gestión futura ante un incidente similar

• Acciones correctivas

• Herramientas o recursos adicionales sean necesarios

(20)

Leyes en Colombia

Un delito informático son aquellas conductas susceptibles a ser sancionadas por derecho penal debido al uso indebido de cualquier medio informático.

• Ley 1273 de 2009

(21)

Ley 1273 de 2009

Por medio de la cual se modifica el Código Penal, se

crea un nuevo bien jurídico tutelado - denominado "de

la protección de la información y de los datos"- y se

preservan integralmente los sistemas que utilicen las

tecnologías de la información y las comunicaciones,

entre otras disposiciones.

(22)

Bibliografía

Delgado, A, Gandini, I., Isaza, A (S.F) Ley de delitos informáticos en Colombia.Recuperado de

http://www.deltaasesores.com/articulos/autores-invitados/otros/3576- ley-de-delitos-informaticos-en-colombia

SGSI ( 2014) ISO 27035 Gestión de incidentes de seguridad de la

información. Recuperado de http://www.pmg-ssi.com/2014/05/iso- 27035-gestion-de-incidentes-de-seguridad-de-la-informacion/

Mintic. Recuperado de

https://www.mintic.gov.co/gestionti/615/articles- 5482_G21_Gestion_Incidentes.pdf

Figure

Actualización...

Referencias

Actualización...

Related subjects :