[2f5fd50] | 1 | \section{Gestión de incidentes de seguridad} |
---|
[147fb25] | 2 | |
---|
[969cb45] | 3 | Un incidente de seguridad es cualquier evento que pueda ocasionar la interrupción o degradación de los servicios de los sistemas. |
---|
| 4 | Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de seguridad, de desastre natural o del entorno como las inundaciones, incendios, tormentas, fallos eléctricos entre otros. |
---|
[147fb25] | 5 | |
---|
[969cb45] | 6 | Entre las actividades y tareas que se deben tener en cuenta están las siguientes: \subsection{Antes del incidente de seguridad:} |
---|
[147fb25] | 7 | |
---|
| 8 | \begin{itemize} |
---|
| 9 | |
---|
[969cb45] | 10 | \item |
---|
| 11 | Se debe contar con un equipo de personas para la superación del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia. |
---|
| 12 | Este equipo debe estar constituido por personas que cuenten con la experiencia y formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. |
---|
| 13 | Debe existir una lista de números telefónicos y direcciones actualizadas para la ubicación de las personas que conforman este equipo en el momento que ocurra un incidente de seguridad. |
---|
| 14 | |
---|
| 15 | \item |
---|
| 16 | Identificación de las áreas criticas y operativas de la institución. |
---|
| 17 | Para la misma se consideran los servicios, equipos, aplicaciones, infraestructura, existentes dentro de la institución. |
---|
| 18 | |
---|
| 19 | \item |
---|
| 20 | Hacer inventario de los equipos y servicios. |
---|
| 21 | Se requiere de una descripción detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación. |
---|
| 22 | |
---|
| 23 | \item |
---|
| 24 | Considerar los posibles escenarios de incidentes de seguridad que puedan ocurrir en cada área crítica identificada. |
---|
| 25 | Los mismos deben estar bien documentados. |
---|
| 26 | |
---|
| 27 | \item |
---|
| 28 | Describir clara y detalladamente los planes de contingencia de todos los posibles escenarios de incidentes de seguridad, donde se indiquen los procedimientos de actuación necesarias para la restauración rápida y eficiente. |
---|
| 29 | |
---|
| 30 | \item |
---|
| 31 | Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, en función de evaluar y actualizar las condiciones del sistema informático. |
---|
| 32 | |
---|
| 33 | \item |
---|
| 34 | Detectar incidentes de seguridad. |
---|
| 35 | La institución debe prestar especial atención a los indicadores de incidentes de seguridad, como una actividad a contemplar dentro del plan de respuesta a incidentes. |
---|
| 36 | Entre estos indicadores se tienen: |
---|
| 37 | |
---|
| 38 | \begin{itemize} |
---|
| 39 | \item |
---|
| 40 | Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros. |
---|
| 41 | |
---|
| 42 | \item |
---|
| 43 | Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. |
---|
| 44 | |
---|
| 45 | \item |
---|
| 46 | Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. |
---|
| 47 | |
---|
| 48 | \item |
---|
| 49 | Existencia de herramientas no autorizadas en el sistema. |
---|
| 50 | |
---|
| 51 | \item |
---|
| 52 | Aparición de nuevas cuentas de usuarios o registro de actividades inusuales en algunas cuentas como: conexión de usuarios en horarios poco usuales. |
---|
| 53 | \end{itemize} |
---|
[147fb25] | 54 | |
---|
| 55 | \end{itemize} |
---|
| 56 | |
---|
| 57 | \subsection{Durante el incidente de seguridad:} |
---|
| 58 | |
---|
[969cb45] | 59 | Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. |
---|
[f6f92c7] | 60 | En esta fase del incidente, se pueden seguir las siguientes recomendaciones: |
---|
[2f5fd50] | 61 | |
---|
| 62 | |
---|
[147fb25] | 63 | \begin{itemize} |
---|
[969cb45] | 64 | \item |
---|
| 65 | Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, información confidencial comprometida, equipos afectados, entre otras), para ayudar al equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades en las actividades que se deben llevar a cabo. |
---|
| 66 | |
---|
| 67 | \item |
---|
| 68 | Poner en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. |
---|
| 69 | |
---|
| 70 | \item |
---|
| 71 | Contener, erradicar y recuperar. |
---|
| 72 | El equipo responsable debe llevar a cabo una rápida actuación para evitar que el incidente de seguridad vaya a tener mayores consecuencias a la institución. |
---|
[147fb25] | 73 | \end{itemize} |
---|
| 74 | |
---|
| 75 | |
---|
| 76 | \subsection{Después del incidente de seguridad:} |
---|
| 77 | |
---|
[969cb45] | 78 | Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades: |
---|
[2f5fd50] | 79 | |
---|
[147fb25] | 80 | \begin{itemize} |
---|
| 81 | |
---|
[969cb45] | 82 | \item |
---|
| 83 | Análisis y revisión del incidente. |
---|
| 84 | Causas del incidente, valoración inicial de los daños y sus posibles consecuencias. |
---|
[147fb25] | 85 | |
---|
[969cb45] | 86 | \item |
---|
| 87 | Una completa documentación del incidente facilitará su posterior estudio. |
---|
| 88 | Entre los aspectos que debe tener reflejado la documentación se tiene: |
---|
[147fb25] | 89 | |
---|
[969cb45] | 90 | \begin{itemize} |
---|
| 91 | \item |
---|
| 92 | Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales. |
---|
[147fb25] | 93 | |
---|
[969cb45] | 94 | \item |
---|
| 95 | Hechos registrados (como por ejemplo: bitácoras de los equipos). |
---|
[147fb25] | 96 | |
---|
[969cb45] | 97 | \item |
---|
| 98 | Daños producidos en los sistemas informáticos. |
---|
[147fb25] | 99 | |
---|
[969cb45] | 100 | \item |
---|
| 101 | Decisiones y actuación del equipo de respuesta. |
---|
[147fb25] | 102 | |
---|
[969cb45] | 103 | \item |
---|
| 104 | Lista de evidencias obtenidas durante el análisis y la investigación |
---|
[147fb25] | 105 | |
---|
[969cb45] | 106 | \item |
---|
| 107 | Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro. |
---|
| 108 | \end{itemize} |
---|
[147fb25] | 109 | |
---|
| 110 | |
---|
[969cb45] | 111 | \item |
---|
| 112 | Actualización de los planes de contingencia de ser necesario. |
---|
[147fb25] | 113 | |
---|
[969cb45] | 114 | \item |
---|
| 115 | Realizar un seguimiento o supervisión del sistema en búsqueda de vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. |
---|
[147fb25] | 116 | |
---|
[969cb45] | 117 | \item |
---|
| 118 | Aplicación de \textit{informática forense}. |
---|
| 119 | Esta proporciona los principios y técnicas que facilitan la investigación de los eventos informáticos ocurridos, mediante la identificación, captura, reconstrucción y análisis de evidencias. |
---|
| 120 | Entre las etapas para el análisis forense se tienen: |
---|
[147fb25] | 121 | |
---|
[969cb45] | 122 | \begin{itemize} |
---|
| 123 | \item |
---|
| 124 | Identificación y captura de las evidencias. |
---|
[147fb25] | 125 | |
---|
[969cb45] | 126 | \item |
---|
| 127 | Preservación de las evidencias. |
---|
[147fb25] | 128 | |
---|
[969cb45] | 129 | \item |
---|
| 130 | Análisis de la información obtenida. |
---|
[147fb25] | 131 | |
---|
[969cb45] | 132 | \item |
---|
| 133 | Elaboración de informe con las conclusiones del análisis forense. |
---|
| 134 | \end{itemize} |
---|
[147fb25] | 135 | \end{itemize} |
---|