\section{Gestión de Incidentes de seguridad}

Cualquier evento que pueda ocasionar la interrupción o degradación de los servicios de los sistemas. 
Estos incidentes pueden ser intencionados, por error de aplicación de las políticas y procedimientos de 
seguridad, de desastre natural o del entorno como las inundaciones, 
incendios, tormentas, fallos eléctricos entre otros.\\

Entre las actividades y tareas que se deben tener en cuenta están las siguientes:\\

\subsection{Antes del incidente de seguridad:}

\begin{itemize}

\item Se debe contar con equipo de solución: sera el equipo encargado de activar y coordinar el plan de contingencia.
Este equipo debe estar constituido por personas que cuenten con la experiencia y 
formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. 
Debe existir una lista de números telefónicos y direcciones actualizadas para la 
ubicación de las personas que conforman este equipo en el momento que 
ocurra un incidente de seguridad.

\item Identificación de las áreas criticas y/o operativas de la institución, para la 
misma se consideran los servicios, equipos, aplicaciones, infraestructura, existentes 
dentro de la institución.

\item Hacer inventario de los equipos y servicios. Se requiere de una descripción 
detallada como por ejemplo la ubicación, configuración, características, y procedimientos de respaldo y recuperación.

\item Considerar todos los posibles escenarios de incidentes de seguridad que puedan 
ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados.

\item Describir clara y detalladamente los planes de contingencia de todos los 
posibles escenarios de incidentes de seguridad, donde se indiquen los 
procedimientos de actuación necesarias para la restauración rápida, y eficiente.

\item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, 
en función de evaluarlas y/o actualizarlas.

\item Detección de incidentes de seguridad. La institución debe prestar 
especial atención a los indicadores de incidentes de seguridad, 
como una actividad a contemplar dentro del plan de respuesta a incidentes. E
ntre estos indicadores tenemos:

	\begin{itemize}
		\item Cambio de configuración de los equipos de red como: activación de nuevos servicios, puertos abiertos no autorizados, entre otros.

		\item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. 

		\item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio.

		\item Existencias de herramientas no autorizadas en el sistema.

		\item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales
		en algunas cuentas como: conexión de usuarios en horarios poco usuales.
	\end{itemize}

\end{itemize}

\subsection{Durante el incidente de seguridad:}

\begin{itemize}
\item Análisis del incidente de seguridad, para determinar el alcance (aplicaciones afectadas, 
información confidencial comprometida, equipos afectados, entre otras), para ayudar al 
equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades 
en las actividades que se deben llevar a cabo. \textbf{describir cuáles}.

\item Puesta en marcha el plan de contingencia de acuerdo al incidente de  seguridad presentado.

\item Contención, erradicación y recuperación. El equipo de solución debe de llevar a cabo 
una rápida actuación para  evitar que el incidente de seguridad vaya a 
tener mayores consecuencias a la institución.
\end{itemize}


\subsection{Después del incidente de seguridad:}

\begin{itemize}

\item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias

\item Una completa documentación del incidente facilitará su posterior estudio. 
Entre los aspectos que debe tener reflejado la documentación se tiene:

	\begin{itemize}
		\item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales.

		\item Hechos registrados (como por ejemplo: logs de los equipos)

		\item Daños producidos en los sistemas informáticos

		\item Decisiones y actuación del equipo de respuesta

		\item Lista de evidencias obtenidas durante el análisis y la investigación

		\item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro
	\end{itemize}


\item Actualización de los planes de contingencia de ser necesario

\item Realizar un seguimiento o monitoreo del sistema en búsqueda de 
vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas.

\item Aplicación de Informática forense. Esta proporciona los principios y técnicas que facilitan la 
investigación de los eventos informáticos ocurridos, mediante la identificación, captura, 
reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen:

	\begin{itemize}
		\item Identificación y captura de las evidencias

		\item Preservación de las evidencias

		\item Análisis de la información obtenida

		\item Elaboración de informe con las conclusiones del análisis forense 
	\end{itemize}
\end{itemize}