[2f5fd50] | 1 | \section{Gestión de incidentes de seguridad} |
---|
[147fb25] | 2 | |
---|
[c1c9daf] | 3 | Un incidente de seguridad es cualquier evento que pueda ocasionar la |
---|
| 4 | interrupción o degradación de los servicios de los sistemas. |
---|
[f6f92c7] | 5 | Estos incidentes pueden ser ocasionados de forma intencional, por |
---|
| 6 | error de aplicación de las políticas y procedimientos de |
---|
[147fb25] | 7 | seguridad, de desastre natural o del entorno como las inundaciones, |
---|
[2f5fd50] | 8 | incendios, tormentas, fallos eléctricos entre otros. |
---|
[147fb25] | 9 | |
---|
[2f5fd50] | 10 | Entre las actividades y tareas que se deben tener en cuenta están las siguientes: |
---|
[147fb25] | 11 | \subsection{Antes del incidente de seguridad:} |
---|
| 12 | |
---|
| 13 | \begin{itemize} |
---|
| 14 | |
---|
[f6f92c7] | 15 | \item Se debe contar con un equipo de personas para la |
---|
| 16 | superación del incidente, que será el equipo encargado |
---|
| 17 | de activar y coordinar el plan de contingencia. |
---|
| 18 | Este equipo debe estar constituido por personas que cuenten |
---|
| 19 | con la experiencia y |
---|
| 20 | formación necesaria que pueda dar respuesta |
---|
| 21 | ante cualquier incidente de seguridad. |
---|
| 22 | Debe existir una lista de números telefónicos y |
---|
| 23 | direcciones actualizadas para la |
---|
[147fb25] | 24 | ubicación de las personas que conforman este equipo en el momento que |
---|
| 25 | ocurra un incidente de seguridad. |
---|
| 26 | |
---|
[c1c9daf] | 27 | \item Identificación de las áreas criticas y operativas de la institución. Para |
---|
| 28 | la misma se consideran los servicios, equipos, aplicaciones, infraestructura, |
---|
| 29 | existentes dentro de la institución. |
---|
[147fb25] | 30 | |
---|
| 31 | \item Hacer inventario de los equipos y servicios. Se requiere de una descripción |
---|
[f6f92c7] | 32 | detallada de la ubicación, configuración, características, |
---|
| 33 | y procedimientos de respaldo y recuperación. |
---|
[147fb25] | 34 | |
---|
[2f5fd50] | 35 | \item Considerar los posibles escenarios de incidentes de seguridad que puedan |
---|
[f6f92c7] | 36 | ocurrir en cada área crítica identificada. Los mismos deben estar |
---|
| 37 | bien documentados. |
---|
[147fb25] | 38 | |
---|
| 39 | \item Describir clara y detalladamente los planes de contingencia de todos los |
---|
| 40 | posibles escenarios de incidentes de seguridad, donde se indiquen los |
---|
[c1c9daf] | 41 | procedimientos de actuación necesarias para la restauración rápida y eficiente. |
---|
[147fb25] | 42 | |
---|
[f6f92c7] | 43 | \item Efectuar reuniones al menos una vez al año para |
---|
| 44 | la revisión del plan de contingencia, |
---|
[c1c9daf] | 45 | en función de evaluar y actualizar las condiciones del sistema informático. |
---|
[147fb25] | 46 | |
---|
[2f5fd50] | 47 | \item Detectar incidentes de seguridad. La institución debe prestar |
---|
[147fb25] | 48 | especial atención a los indicadores de incidentes de seguridad, |
---|
[f6f92c7] | 49 | como una actividad a contemplar dentro del plan de respuesta |
---|
| 50 | a incidentes. Entre estos indicadores se tienen: |
---|
[147fb25] | 51 | |
---|
| 52 | \begin{itemize} |
---|
[f6f92c7] | 53 | \item Cambio de configuración de los equipos de red |
---|
| 54 | con acciones tales como la activación de nuevos servicios, |
---|
| 55 | la verificación de puertos abiertos no autorizados, entre otros. |
---|
[147fb25] | 56 | |
---|
[f6f92c7] | 57 | \item Caída en el rendimiento de la red o algún servidor |
---|
| 58 | debido a un incremento inusual del trafico de datos. |
---|
[147fb25] | 59 | |
---|
[f6f92c7] | 60 | \item Caída o mal funcionamiento de servidores como: |
---|
| 61 | reinicio inesperado, fallos en algún servicio. |
---|
[147fb25] | 62 | |
---|
[bff2774] | 63 | \item Existencia de herramientas no autorizadas en el sistema. |
---|
[147fb25] | 64 | |
---|
[f6f92c7] | 65 | \item Aparición de nuevas cuentas de usuarios o registro |
---|
| 66 | de actividades inusuales |
---|
| 67 | en algunas cuentas como: conexión de usuarios en horarios |
---|
| 68 | poco usuales. |
---|
[147fb25] | 69 | \end{itemize} |
---|
| 70 | |
---|
| 71 | \end{itemize} |
---|
| 72 | |
---|
| 73 | \subsection{Durante el incidente de seguridad:} |
---|
| 74 | |
---|
[f6f92c7] | 75 | Cuando ya se tiene certeza del incidente a través de datos |
---|
| 76 | que lo confirman, se debe actuar de forma oportuna y diligente. |
---|
| 77 | En esta fase del incidente, se pueden seguir las siguientes recomendaciones: |
---|
[2f5fd50] | 78 | |
---|
| 79 | |
---|
[147fb25] | 80 | \begin{itemize} |
---|
[f6f92c7] | 81 | \item Analizar el incidente de seguridad con el objetivo |
---|
| 82 | de determinar el alcance (aplicaciones afectadas, |
---|
| 83 | información confidencial comprometida, equipos afectados, |
---|
| 84 | entre otras), para ayudar al |
---|
| 85 | equipo de solución a tomar soluciones adecuadas y permitan |
---|
| 86 | establecer prioridades |
---|
[2f5fd50] | 87 | en las actividades que se deben llevar a cabo. |
---|
[147fb25] | 88 | |
---|
[f6f92c7] | 89 | \item Poner en marcha el plan de contingencia de acuerdo al |
---|
| 90 | incidente de seguridad presentado. |
---|
[147fb25] | 91 | |
---|
[f6f92c7] | 92 | \item Contener, erradicar y recuperar. El equipo responsable |
---|
| 93 | debe llevar a cabo |
---|
| 94 | una rápida actuación para evitar que el incidente de |
---|
| 95 | seguridad vaya a tener mayores consecuencias a la institución. |
---|
[147fb25] | 96 | \end{itemize} |
---|
| 97 | |
---|
| 98 | |
---|
| 99 | \subsection{Después del incidente de seguridad:} |
---|
| 100 | |
---|
[f6f92c7] | 101 | Después de la ocurrencia del incidente de seguridad, es decir, cuando |
---|
| 102 | ya se encuentre en pleno funcionamiento el sistema informático, se |
---|
| 103 | recomiendan ejecutar las siguientes actividades: |
---|
[2f5fd50] | 104 | |
---|
[147fb25] | 105 | \begin{itemize} |
---|
| 106 | |
---|
[f6f92c7] | 107 | \item Análisis y revisión del incidente. Causas del incidente, |
---|
| 108 | valoración inicial de los daños y sus posibles consecuencias. |
---|
[147fb25] | 109 | |
---|
[f6f92c7] | 110 | \item Una completa documentación del incidente facilitará |
---|
| 111 | su posterior estudio. |
---|
[147fb25] | 112 | Entre los aspectos que debe tener reflejado la documentación se tiene: |
---|
| 113 | |
---|
| 114 | \begin{itemize} |
---|
[f6f92c7] | 115 | \item Descripción del tipo de incidente: ataque a la |
---|
| 116 | seguridad, procedimientos de seguridad, desastres naturales. |
---|
[147fb25] | 117 | |
---|
[f6f92c7] | 118 | \item Hechos registrados (como por ejemplo: bitácoras |
---|
| 119 | de los equipos). |
---|
[147fb25] | 120 | |
---|
[bff2774] | 121 | \item Daños producidos en los sistemas informáticos. |
---|
[147fb25] | 122 | |
---|
[bff2774] | 123 | \item Decisiones y actuación del equipo de respuesta. |
---|
[147fb25] | 124 | |
---|
[f6f92c7] | 125 | \item Lista de evidencias obtenidas durante el análisis |
---|
| 126 | y la investigación |
---|
[147fb25] | 127 | |
---|
[f6f92c7] | 128 | \item Posibles actuaciones y recomendaciones para reforzar |
---|
| 129 | la seguridad y evitar incidentes similares en un futuro. |
---|
[147fb25] | 130 | \end{itemize} |
---|
| 131 | |
---|
| 132 | |
---|
[bff2774] | 133 | \item Actualización de los planes de contingencia de ser necesario. |
---|
[147fb25] | 134 | |
---|
[2f5fd50] | 135 | \item Realizar un seguimiento o supervisión del sistema en búsqueda de |
---|
[2697999] | 136 | vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. |
---|
[147fb25] | 137 | |
---|
[f6f92c7] | 138 | \item Aplicación de \textit{informática forense}. Esta proporciona |
---|
| 139 | los principios y técnicas que facilitan la |
---|
| 140 | investigación de los eventos informáticos ocurridos, mediante |
---|
| 141 | la identificación, captura, |
---|
| 142 | reconstrucción y análisis de evidencias. Entre las etapas para |
---|
| 143 | el análisis forense se tienen: |
---|
[147fb25] | 144 | |
---|
| 145 | \begin{itemize} |
---|
[bff2774] | 146 | \item Identificación y captura de las evidencias. |
---|
[147fb25] | 147 | |
---|
[bff2774] | 148 | \item Preservación de las evidencias. |
---|
[147fb25] | 149 | |
---|
[bff2774] | 150 | \item Análisis de la información obtenida. |
---|
[147fb25] | 151 | |
---|
[f6f92c7] | 152 | \item Elaboración de informe con las conclusiones |
---|
| 153 | del análisis forense. |
---|
[147fb25] | 154 | \end{itemize} |
---|
| 155 | \end{itemize} |
---|