1 | \section{Gestión de incidentes de seguridad} |
---|
2 | |
---|
3 | Un incidente de seguridad es cualquier evento que pueda ocasionar la |
---|
4 | interrupción o degradación de los servicios de los sistemas. |
---|
5 | Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de |
---|
6 | seguridad, de desastre natural o del entorno como las inundaciones, |
---|
7 | incendios, tormentas, fallos eléctricos entre otros. |
---|
8 | |
---|
9 | Entre las actividades y tareas que se deben tener en cuenta están las siguientes: |
---|
10 | \subsection{Antes del incidente de seguridad:} |
---|
11 | |
---|
12 | \begin{itemize} |
---|
13 | |
---|
14 | \item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia. |
---|
15 | Este equipo debe estar constituido por personas que cuenten con la experiencia y |
---|
16 | formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. |
---|
17 | Debe existir una lista de números telefónicos y direcciones actualizadas para la |
---|
18 | ubicación de las personas que conforman este equipo en el momento que |
---|
19 | ocurra un incidente de seguridad. |
---|
20 | |
---|
21 | \item Identificación de las áreas criticas y operativas de la institución. Para |
---|
22 | la misma se consideran los servicios, equipos, aplicaciones, infraestructura, |
---|
23 | existentes dentro de la institución. |
---|
24 | |
---|
25 | \item Hacer inventario de los equipos y servicios. Se requiere de una descripción |
---|
26 | detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación. |
---|
27 | |
---|
28 | \item Considerar los posibles escenarios de incidentes de seguridad que puedan |
---|
29 | ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados. |
---|
30 | |
---|
31 | \item Describir clara y detalladamente los planes de contingencia de todos los |
---|
32 | posibles escenarios de incidentes de seguridad, donde se indiquen los |
---|
33 | procedimientos de actuación necesarias para la restauración rápida y eficiente. |
---|
34 | |
---|
35 | \item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, |
---|
36 | en función de evaluar y actualizar las condiciones del sistema informático. |
---|
37 | |
---|
38 | \item Detectar incidentes de seguridad. La institución debe prestar |
---|
39 | especial atención a los indicadores de incidentes de seguridad, |
---|
40 | como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen: |
---|
41 | |
---|
42 | \begin{itemize} |
---|
43 | \item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros. |
---|
44 | |
---|
45 | \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. |
---|
46 | |
---|
47 | \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. |
---|
48 | |
---|
49 | \item Existencia de herramientas no autorizadas en el sistema. |
---|
50 | |
---|
51 | \item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales |
---|
52 | en algunas cuentas como: conexión de usuarios en horarios poco usuales. |
---|
53 | \end{itemize} |
---|
54 | |
---|
55 | \end{itemize} |
---|
56 | |
---|
57 | \subsection{Durante el incidente de seguridad:} |
---|
58 | |
---|
59 | Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones: |
---|
60 | |
---|
61 | |
---|
62 | \begin{itemize} |
---|
63 | \item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, |
---|
64 | información confidencial comprometida, equipos afectados, entre otras), para ayudar al |
---|
65 | equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades |
---|
66 | en las actividades que se deben llevar a cabo. |
---|
67 | |
---|
68 | \item Poner en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. |
---|
69 | |
---|
70 | \item Contener, erradicar y recuperar. El equipo de solución debe llevar a |
---|
71 | cabo |
---|
72 | una rápida actuación para evitar que el incidente de seguridad vaya a |
---|
73 | tener mayores consecuencias a la institución. |
---|
74 | \end{itemize} |
---|
75 | |
---|
76 | |
---|
77 | \subsection{Después del incidente de seguridad:} |
---|
78 | |
---|
79 | Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades: |
---|
80 | |
---|
81 | \begin{itemize} |
---|
82 | |
---|
83 | \item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias |
---|
84 | |
---|
85 | \item Una completa documentación del incidente facilitará su posterior estudio. |
---|
86 | Entre los aspectos que debe tener reflejado la documentación se tiene: |
---|
87 | |
---|
88 | \begin{itemize} |
---|
89 | \item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales. |
---|
90 | |
---|
91 | \item Hechos registrados (como por ejemplo: logs de los equipos). |
---|
92 | |
---|
93 | \item Daños producidos en los sistemas informáticos. |
---|
94 | |
---|
95 | \item Decisiones y actuación del equipo de respuesta. |
---|
96 | |
---|
97 | \item Lista de evidencias obtenidas durante el análisis y la investigación |
---|
98 | |
---|
99 | \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro. |
---|
100 | \end{itemize} |
---|
101 | |
---|
102 | |
---|
103 | \item Actualización de los planes de contingencia de ser necesario. |
---|
104 | |
---|
105 | \item Realizar un seguimiento o supervisión del sistema en búsqueda de |
---|
106 | vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. |
---|
107 | |
---|
108 | \item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la |
---|
109 | investigación de los eventos informáticos ocurridos, mediante la identificación, captura, |
---|
110 | reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen: |
---|
111 | |
---|
112 | \begin{itemize} |
---|
113 | \item Identificación y captura de las evidencias. |
---|
114 | |
---|
115 | \item Preservación de las evidencias. |
---|
116 | |
---|
117 | \item Análisis de la información obtenida. |
---|
118 | |
---|
119 | \item Elaboración de informe con las conclusiones del análisis forense. |
---|
120 | \end{itemize} |
---|
121 | \end{itemize} |
---|