| [2f5fd50] | 1 | \section{Gestión de incidentes de seguridad} |
|---|
| [147fb25] | 2 | |
|---|
| 3 | Cualquier evento que pueda ocasionar la interrupción o degradación de los servicios de los sistemas. |
|---|
| [bff2774] | 4 | Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de |
|---|
| [147fb25] | 5 | seguridad, de desastre natural o del entorno como las inundaciones, |
|---|
| [2f5fd50] | 6 | incendios, tormentas, fallos eléctricos entre otros. |
|---|
| [147fb25] | 7 | |
|---|
| [2f5fd50] | 8 | Entre las actividades y tareas que se deben tener en cuenta están las siguientes: |
|---|
| [147fb25] | 9 | \subsection{Antes del incidente de seguridad:} |
|---|
| 10 | |
|---|
| 11 | \begin{itemize} |
|---|
| 12 | |
|---|
| [2f5fd50] | 13 | \item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia. |
|---|
| [147fb25] | 14 | Este equipo debe estar constituido por personas que cuenten con la experiencia y |
|---|
| 15 | formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. |
|---|
| 16 | Debe existir una lista de números telefónicos y direcciones actualizadas para la |
|---|
| 17 | ubicación de las personas que conforman este equipo en el momento que |
|---|
| 18 | ocurra un incidente de seguridad. |
|---|
| 19 | |
|---|
| 20 | \item Identificación de las áreas criticas y/o operativas de la institución, para la |
|---|
| 21 | misma se consideran los servicios, equipos, aplicaciones, infraestructura, existentes |
|---|
| 22 | dentro de la institución. |
|---|
| 23 | |
|---|
| 24 | \item Hacer inventario de los equipos y servicios. Se requiere de una descripción |
|---|
| [2f5fd50] | 25 | detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación. |
|---|
| [147fb25] | 26 | |
|---|
| [2f5fd50] | 27 | \item Considerar los posibles escenarios de incidentes de seguridad que puedan |
|---|
| [147fb25] | 28 | ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados. |
|---|
| 29 | |
|---|
| 30 | \item Describir clara y detalladamente los planes de contingencia de todos los |
|---|
| 31 | posibles escenarios de incidentes de seguridad, donde se indiquen los |
|---|
| 32 | procedimientos de actuación necesarias para la restauración rápida, y eficiente. |
|---|
| 33 | |
|---|
| 34 | \item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, |
|---|
| [2f5fd50] | 35 | en función de evaluar y/o actualizar las condiciones del sistema informático. |
|---|
| [147fb25] | 36 | |
|---|
| [2f5fd50] | 37 | \item Detectar incidentes de seguridad. La institución debe prestar |
|---|
| [147fb25] | 38 | especial atención a los indicadores de incidentes de seguridad, |
|---|
| [2f5fd50] | 39 | como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen: |
|---|
| [147fb25] | 40 | |
|---|
| 41 | \begin{itemize} |
|---|
| [2f5fd50] | 42 | \item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros. |
|---|
| [147fb25] | 43 | |
|---|
| 44 | \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. |
|---|
| 45 | |
|---|
| 46 | \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. |
|---|
| 47 | |
|---|
| [bff2774] | 48 | \item Existencia de herramientas no autorizadas en el sistema. |
|---|
| [147fb25] | 49 | |
|---|
| 50 | \item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales |
|---|
| 51 | en algunas cuentas como: conexión de usuarios en horarios poco usuales. |
|---|
| 52 | \end{itemize} |
|---|
| 53 | |
|---|
| 54 | \end{itemize} |
|---|
| 55 | |
|---|
| 56 | \subsection{Durante el incidente de seguridad:} |
|---|
| 57 | |
|---|
| [2f5fd50] | 58 | Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones: |
|---|
| 59 | |
|---|
| 60 | |
|---|
| [147fb25] | 61 | \begin{itemize} |
|---|
| [bff2774] | 62 | \item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, |
|---|
| [147fb25] | 63 | información confidencial comprometida, equipos afectados, entre otras), para ayudar al |
|---|
| 64 | equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades |
|---|
| [2f5fd50] | 65 | en las actividades que se deben llevar a cabo. |
|---|
| [147fb25] | 66 | |
|---|
| [2f5fd50] | 67 | \item Poner en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. |
|---|
| [147fb25] | 68 | |
|---|
| [2f5fd50] | 69 | \item Contener, erradicar y recuperar. El equipo de solución debe de llevar a cabo |
|---|
| [147fb25] | 70 | una rápida actuación para evitar que el incidente de seguridad vaya a |
|---|
| 71 | tener mayores consecuencias a la institución. |
|---|
| 72 | \end{itemize} |
|---|
| 73 | |
|---|
| 74 | |
|---|
| 75 | \subsection{Después del incidente de seguridad:} |
|---|
| 76 | |
|---|
| [2f5fd50] | 77 | Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades: |
|---|
| 78 | |
|---|
| [147fb25] | 79 | \begin{itemize} |
|---|
| 80 | |
|---|
| 81 | \item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias |
|---|
| 82 | |
|---|
| 83 | \item Una completa documentación del incidente facilitará su posterior estudio. |
|---|
| 84 | Entre los aspectos que debe tener reflejado la documentación se tiene: |
|---|
| 85 | |
|---|
| 86 | \begin{itemize} |
|---|
| 87 | \item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales. |
|---|
| 88 | |
|---|
| [bff2774] | 89 | \item Hechos registrados (como por ejemplo: logs de los equipos). |
|---|
| [147fb25] | 90 | |
|---|
| [bff2774] | 91 | \item Daños producidos en los sistemas informáticos. |
|---|
| [147fb25] | 92 | |
|---|
| [bff2774] | 93 | \item Decisiones y actuación del equipo de respuesta. |
|---|
| [147fb25] | 94 | |
|---|
| 95 | \item Lista de evidencias obtenidas durante el análisis y la investigación |
|---|
| 96 | |
|---|
| [bff2774] | 97 | \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro. |
|---|
| [147fb25] | 98 | \end{itemize} |
|---|
| 99 | |
|---|
| 100 | |
|---|
| [bff2774] | 101 | \item Actualización de los planes de contingencia de ser necesario. |
|---|
| [147fb25] | 102 | |
|---|
| [2f5fd50] | 103 | \item Realizar un seguimiento o supervisión del sistema en búsqueda de |
|---|
| [2697999] | 104 | vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. |
|---|
| [147fb25] | 105 | |
|---|
| [2f5fd50] | 106 | \item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la |
|---|
| [147fb25] | 107 | investigación de los eventos informáticos ocurridos, mediante la identificación, captura, |
|---|
| 108 | reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen: |
|---|
| 109 | |
|---|
| 110 | \begin{itemize} |
|---|
| [bff2774] | 111 | \item Identificación y captura de las evidencias. |
|---|
| [147fb25] | 112 | |
|---|
| [bff2774] | 113 | \item Preservación de las evidencias. |
|---|
| [147fb25] | 114 | |
|---|
| [bff2774] | 115 | \item Análisis de la información obtenida. |
|---|
| [147fb25] | 116 | |
|---|
| [bff2774] | 117 | \item Elaboración de informe con las conclusiones del análisis forense. |
|---|
| [147fb25] | 118 | \end{itemize} |
|---|
| 119 | \end{itemize} |
|---|
