\section{Gestión de incidentes de seguridad}

Un incidente de seguridad es cualquier evento que pueda ocasionar la
interrupción o degradación de los servicios de los sistemas. 
Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de 
seguridad, de desastre natural o del entorno como las inundaciones, 
incendios, tormentas, fallos eléctricos entre otros.

Entre las actividades y tareas que se deben tener en cuenta están las siguientes:
\subsection{Antes del incidente de seguridad:}

\begin{itemize}

\item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia.
Este equipo debe estar constituido por personas que cuenten con la experiencia y 
formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. 
Debe existir una lista de números telefónicos y direcciones actualizadas para la 
ubicación de las personas que conforman este equipo en el momento que 
ocurra un incidente de seguridad.

\item Identificación de las áreas criticas y operativas de la institución. Para
la misma se consideran los servicios, equipos, aplicaciones, infraestructura,
existentes dentro de la institución.

\item Hacer inventario de los equipos y servicios. Se requiere de una descripción 
detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación.

\item Considerar los posibles escenarios de incidentes de seguridad que puedan 
ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados.

\item Describir clara y detalladamente los planes de contingencia de todos los 
posibles escenarios de incidentes de seguridad, donde se indiquen los 
procedimientos de actuación necesarias para la restauración rápida y eficiente.

\item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, 
en función de evaluar y actualizar las condiciones del sistema informático.

\item Detectar incidentes de seguridad. La institución debe prestar 
especial atención a los indicadores de incidentes de seguridad, 
como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen:

	\begin{itemize}
		\item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros.

		\item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. 

		\item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio.

		\item Existencia de herramientas no autorizadas en el sistema.

		\item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales
		en algunas cuentas como: conexión de usuarios en horarios poco usuales.
	\end{itemize}

\end{itemize}

\subsection{Durante el incidente de seguridad:}

Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones:


\begin{itemize}
\item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, 
información confidencial comprometida, equipos afectados, entre otras), para ayudar al 
equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades 
en las actividades que se deben llevar a cabo. 

\item Poner en marcha el plan de contingencia de acuerdo al incidente de  seguridad presentado.

\item Contener, erradicar y recuperar. El equipo de solución debe llevar a
cabo 
una rápida actuación para  evitar que el incidente de seguridad vaya a 
tener mayores consecuencias a la institución.
\end{itemize}


\subsection{Después del incidente de seguridad:}

Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades:

\begin{itemize}

\item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias

\item Una completa documentación del incidente facilitará su posterior estudio. 
Entre los aspectos que debe tener reflejado la documentación se tiene:

	\begin{itemize}
		\item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales.

		\item Hechos registrados (como por ejemplo: logs de los equipos).

		\item Daños producidos en los sistemas informáticos.

		\item Decisiones y actuación del equipo de respuesta.

		\item Lista de evidencias obtenidas durante el análisis y la investigación

		\item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro.
	\end{itemize}


\item Actualización de los planes de contingencia de ser necesario.

\item Realizar un seguimiento o supervisión del sistema en búsqueda de 
vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas.

\item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la 
investigación de los eventos informáticos ocurridos, mediante la identificación, captura, 
reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen:

	\begin{itemize}
		\item Identificación y captura de las evidencias.

		\item Preservación de las evidencias.

		\item Análisis de la información obtenida.

		\item Elaboración de informe con las conclusiones del análisis forense.
	\end{itemize}
\end{itemize}