[92438b1] | 1 | \section{Gestión de Incidente de seguridad} |
---|
| 2 | |
---|
| 3 | Cualquier evento que pueda ocasionar la interrupción o degradación de los servicios de los sistemas, estos incidentes pueden ser por causas: intencionado, de error, de infringir accidental o deliberado de las políticas y procedimientos de seguridad, de desastre natural o del entorno como las inundaciones, incendios, tormentas, fallos eléctricos entre otros.\\ |
---|
| 4 | |
---|
| 5 | Entre las actividades y tareas que se deben tener en cuenta están las siguientes:\\ |
---|
| 6 | |
---|
| 7 | \subsection{Antes del incidente de seguridad:} |
---|
| 8 | |
---|
| 9 | Se debe contar con:\\ |
---|
| 10 | |
---|
| 11 | \begin{itemize} |
---|
| 12 | |
---|
| 13 | \item Equipo de solución: sera el equipo encargado de activar y coordinar el plan de contingencia, este equipo debe estar constituido por personas que cuenten con las experiencia y formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. Debe existir una lista de números telefónicos y direcciones actualizadas para la ubicación de las personas que conforman este equipo en el momento que ocurra un incidente de seguridad |
---|
| 14 | |
---|
| 15 | \item Identificación de las áreas criticas y/o operativas de la institución, para la misma se considera los servicios, equipos, aplicaciones, infraestructura, existente dentro de la institución |
---|
| 16 | |
---|
| 17 | \item Inventario de los equipos y servicios, se requiere de una descripción detallada como por ejemplo la ubicación, configuración, características, y procedimientos de respaldo y recuperación |
---|
| 18 | |
---|
| 19 | \item Considerar todos los posibles escenarios de incidente de seguridad que pueda ocurrir en cada área crítica identifica, las misma deben estar bien documentadas |
---|
| 20 | |
---|
| 21 | \item Descripción clara y detallada de los planes de contingencia de todos los posibles escenarios de incidentes de seguridad, donde indique los procedimientos de actuación necesarias para la restauración rápida, y eficiente |
---|
| 22 | |
---|
| 23 | \item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, en función de evaluarlas y/o actualizarlas |
---|
| 24 | |
---|
| 25 | \item Detección de un incidente de seguridad, la institución debería prestar con especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del plan de respuesta a incidentes, entre estos indicadores tenemos: |
---|
| 26 | |
---|
| 27 | \begin{itemize} |
---|
| 28 | \item Cambio de configuración de los equipos de red como: activación de nuevos servicios, puertos abiertos no autorizados, etc. |
---|
| 29 | |
---|
| 30 | \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. |
---|
| 31 | |
---|
| 32 | \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. |
---|
| 33 | |
---|
| 34 | \item Existencias de herramientas no autorizadas en el sistema. |
---|
| 35 | |
---|
| 36 | \item Aparición de nuevas cuentas de usuarios o registro de actividades inusual en algunas cuentas como: conexión de usuarios en horarios extraños. |
---|
| 37 | \end{itemize} |
---|
| 38 | |
---|
| 39 | \end{itemize} |
---|
| 40 | |
---|
| 41 | \subsection{Durante el incidente de seguridad:} |
---|
| 42 | |
---|
| 43 | \begin{itemize} |
---|
| 44 | \item Análisis del incidente de seguridad, para determinar el alcance (aplicaciones afectadas, información confidencial comprometida, equipos afectados, entre otras), para ayudar al equipo de solución a tomar soluciones adecuadas y permita establecer prioridades en las actividades que debería llevar a cabo |
---|
| 45 | |
---|
| 46 | \item Puesta en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. |
---|
| 47 | |
---|
| 48 | \item Contención, erradicación y recuperación, el equipo de solución debe de llevar a cabo una rápida actuación para evitar que el incidente de seguridad vaya a tener mayores consecuencias a la institución. |
---|
| 49 | \end{itemize} |
---|
| 50 | |
---|
| 51 | \subsection{Después del incidente de seguridad:} |
---|
| 52 | |
---|
| 53 | \begin{itemize} |
---|
| 54 | |
---|
| 55 | \item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias |
---|
| 56 | |
---|
| 57 | \item Una completa documentación del incidente facilitará el posterior estudio del incidente. Entre los aspectos que debe tener reflejado la documentación se tiene: |
---|
| 58 | |
---|
| 59 | \begin{itemize} |
---|
| 60 | \item Descripción del tipo de incidente. (ataque a la seguridad, procedimientos de seguridad, desastres naturales ) |
---|
| 61 | |
---|
| 62 | \item Hechos registrados (como por ejemplo: logs de los equipos) |
---|
| 63 | |
---|
| 64 | \item Daños producidos en los sistemas informáticos |
---|
| 65 | |
---|
| 66 | \item Decisiones y actuación del equipo de respuesta |
---|
| 67 | |
---|
| 68 | \item Lista de evidencias obtenidas durante el análisis y la investigación |
---|
| 69 | |
---|
| 70 | \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro |
---|
| 71 | \end{itemize} |
---|
| 72 | |
---|
| 73 | |
---|
| 74 | \item Actualización de los planes de contingencia de ser necesario |
---|
| 75 | |
---|
| 76 | \item Realizar un seguimiento o monitoreo del sistema en busqueda de vulnerabilidades omitidos o recreados luego de la recuperación del o los sitemas |
---|
| 77 | |
---|
| 78 | \item Aplicación de Informática forense. Esta proporciona los principios y técnicas que facilitan la investigación de los eventos informáticos ocurridos, mediante la identificación, captura, reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen: |
---|
| 79 | |
---|
| 80 | \begin{itemize} |
---|
| 81 | \item Identificación y captura de las evidencias |
---|
| 82 | |
---|
| 83 | \item Preservación de las evidencias |
---|
| 84 | |
---|
| 85 | \item Análisis de la información obtenida |
---|
| 86 | |
---|
| 87 | \item Elaboración de informe con las conclusiones del análisis forense |
---|
| 88 | \end{itemize} |
---|
| 89 | \end{itemize} |
---|