• No se han encontrado resultados

Gestión de Incidentes Diez errores habituales

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Gestión de Incidentes Diez errores habituales"

Copied!
15
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 15 página )

Texto completo

(1)

Gestión de

Incidentes

Diez errores habituales

Antonio Villalón

www.securityartwork.es

www.s2grupo.es

(2)

Introducción

• Incidente de seguridad: Conjunto de uno o más eventos de

seguridad no planificados y con una probabilidad significativa de comprometer las operaciones del negocio y amenazar a la

seguridad corporativa (ISO/IEC TR 18044:2004… próxima ISO 27035).

• La gestión de incidentes de seguridad es un proceso continuo que debe controlar las actividades antes, durante y después de que un incidente ocurra.

(3)

Gestión de incidentes

Planes. Procedimientos (notificación, escalado, monitorización…). Formación. Simulación. … Análisis. Reporting. Revisión. Investigación. … Identificación. Contención Erradicación. Recuperación. … PLANIFICACIÓN EL DÍA DESPUÉS RESPUESTA

(4)

Error #1: PLANIFICACIÓN

FALTA DE MONITORIZACIÓN

• Nos enteramos tarde y mal… frecuentemente por terceros. • No news, good news?

• Soy puramente reactivo: lo peor que puedo hacer en seguridad.

SOLUCIONES

• Monitorizar (obvio, ¿no?).

• ¿El qué? Todo lo que pueda causar un incidente

– Desde la infraestructura TI a los empleados, pasando por parámetros medioambientales.

• Procesar la información generada por los monitores.

• ¡Que el exceso de información no se convierta en un problema!

– Si queremos pasar de la nada al todo, tendremos un problema.ç – Correlación.

(5)

Error #2: PLANIFICACIÓN

FALTA DE PROCEDIMIENTOS Y PLANIFICACIÓN

• Incluso aunque monitoricemos… llega el día D y la hora H y no sabemos qué hacer.

• ¿A quién llamamos? ¿Cuáles son las prioridades de la

organización?¿Quién es responsable de…? ¿Debemos comunicarlo? • El momento en que un incidente se materializa es el peor para pensar.

– Las situaciones de tensión nos transforman… en todos los ámbitos de la vida…

– …y si no, preguntadle a un guardaespaldas.

SOLUCIONES

• Todo lo relevante debe estar escrito y ser accesible por los implicados. • A la hora de planificar, pensemos en las prioridades del negocio.

• CRÍTICO: Agilidad de la notificación, y por tanto de la respuesta. • OJO: Recordemos que el papel es muy sufrido (ver error siguiente).

(6)

Error #3: PLANIFICACIÓN

FALTA DE SIMULACROS

• Ya tenemos todo analizado y escrito, pero probamos que funciona correctamente justo cuando se produce un incidente.

• Recordemos: en una situación de tensión nos transformamos… – ¡incluso nos volvemos “tontos”!

• Como decimos, el papel es muy sufrido… la realidad no.

SOLUCIONES

• De nuevo, miremos a nuestros vecinos de seguridad física… – ¿Alguien trabaja en protección contra incendios? ¿En

prevención de emergencias? • Simulacros periódicos.

(7)

Error #4: RESPUESTA

IDENTIFICACIÓN ERRÓNEA

• Si identificamos mal un incidente, trabajaremos en la línea equivocada.

– Esto siempre es malo, pero a la hora de gestionar un incidente es fatal.

• Nos focalizamos en los efectos, no en las causas.

SOLUCIONES

• Dediquemos N minutos a pensar fríamente.

• Analicemos todas las posibles causas… y su probabilidad. • Dos cabezas piensan más que una, y tres más que dos.

– Y si son de áreas diferentes, mejor todavía.

(8)

Error #5: RESPUESTA

LO PRIMERO, RECUPERAR

• Queremos recuperar y poco más, sin pensar en otra cosa.

– Queremos quitarnos el problema de encima y nos focalizamos en la recuperación.

• Erradicamos antes que contenemos, recuperamos antes que erradicamos…

• Mejor ejemplo: contaminación vírica… mientras erradique y no contenga, poco haré.

• SOLUCIONES

• La recuperación es el paso final de la respuesta –justo antes del día después-, no el primero.

• Identificamos, contenemos, erradicamos y recuperamos. – EN ESTE ORDEN.

(9)

Error #6: AFTERMATH

DESCONOCIMIENTO LEGAL

• Somos ingenieros, no abogados.

– Nos complicamos con análisis forenses estupendos… que luego no sirven para nada.

– Incautamos un disco duro durante días y queremos usarlo como prueba en un juicio.

– …

• Sabemos qué hay que hacer técnicamente y cómo hacerlo, pero no tenemos ni idea de sus formas o de su (i)legalidad.

SOLUCIONES

• Las actividades relativas a seguridad deben tener un respaldo legal muy fuerte, gestión de incidentes incluida.

– Especialmente si vamos a denunciar… o si alguien puede denunciarnos.

• El jefe de un GIR debe tener conocimientos –o apoyos- no sólo técnicos. Y el resto de personal, también.

(10)

Error #7: AFTERMATH

SECRETISMO

• ¡Qué no se entere nadie! • No dejamos que nos ayuden

– A veces, ni siquiera quienes hemos contratado para hacerlo. • No compartimos información… con nadie.

SOLUCIONES

• Transparencia.

• Ayudemos a que nos ayuden.

– SOC, CSIRT… equipos públicos y privados. • Information sharing.

– Con quien corresponde.

(11)

Error #8: AFTERMATH

DENUNCIAS (et al.)

• El problema de las FFCCSE.

– Necesaria siempre que se haya producido un delito (art. 259 LECri).

– ¿Medios ágiles?

– El problema de la comisaría (puesto, cuartel, etc.). • El problema judicial

– ¿Peritos informáticos? ¿Quién puede peritar?

– Desconocimiento de NNTT por parte del ámbito judicial.

SOLUCIONES

• Formación, formación, formación…

• Grupos especializados en FFCCSE y Juzgados. • Agilidad.

(12)

Error #9: AFTERMATH

LECCIÓN NO APRENDIDA

• Volvemos rápido a nuestra rutina.

• Priorizamos funcionalidad ante seguridad (de forma incorrecta). • Nos es más cómodo seguir trabajando como siempre frente a

cambiar, aunque el “como siempre” pueda motivar incidentes. • Cambiamos el “eso no pasa nunca” por el “eso nunca volverá a

pasar”

SOLUCIONES

• El hombre es el único animal que tropieza dos veces con la misma piedra… recordémoslo.

• Aprendamos de nuestros errores y de los errores de otros. • Realimentemos nuestros procedimientos y planificaciones.

(13)

Error #10: P/R/A

NOS ENCANTA COMPLICARNOS

• Buscamos la perfección…

– …y cuanto más complejo sea lo que hacemos, mejor… ¿no? • Procedimientos farragosos que a la hora de poner en práctica

molestan más que ayudan.

• Soluciones tecnológicas complejas a problemas triviales.

• Hipótesis de trabajo que harían las delicias de guionistas de cine. • Conclusiones y propuestas de mejora imposibles de cumplir.

• ¿Sigo?

SOLUCIÓN:

• Las cosas sencillas suelen ser muy efectivas. • KISS

(14)

Conclusiones

• La gestión de incidentes es un proceso, y son tan importantes las fases de planificación (ANTES) y post-incidente (DESPUÉS) como la respuesta propiamente dicha (DURANTE).

• La teoría es muy sencilla… – …y la práctica debe serlo. • Los errores son simples…

– …pero seguimos cometiéndolos.

• El momento de respuesta ante un incidente es el menos indicado para tratar de pensar, organizar, decidir…

– Hagámoslo antes.

• Recuerden: es imposible impedir que ocurra un incidente. • Ya que antes o después ocurrirá, estemos preparados… y

(15)

Referencias

Descargar ahora ( PDF - 15 página - 437.87 KB )

Documento similar

SOBRE LA TUMBA DE COSTAA LA MAS CLARA MEMORIA DE UN ESPIRITU SINCERO

Entre nosotros anda un escritor de cosas de filología, paisano de Costa, que no deja de tener ingenio y garbo; pero cuyas obras tienen de todo menos de ciencia, y aun

Y DE LA LINDA CLAMONDA, HIJA DEL REY DE TOSCAM

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

Formato pdf

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

Modelo de gestión para la atención de incidentes a usuarios de servicios de tecnologías de la información.

El Modelo de gestión para la atención de incidentes a usuarios de servicios de Tecnologías de la Información que se presenta, está estructurado conforme lo indica ITIL en el

La iguaLdad en La apLicación de La Ley: anáLisis de aLgunas objeciones iusfiLosóficas*

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

SOBRE LA TEORÍA DE LA DEMOCRACIA

De hecho, este sometimiento periódico al voto, esta decisión periódica de los electores sobre la gestión ha sido uno de los componentes teóricos más interesantes de la

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y