source: libros/recopilacionInicial/capitulo2/gestionIncidenteSeguridad.tex @ c5dbb26

\section{Gestión de Incidente de seguridad}

Cualquier evento que pueda ocasionar la interrupción o degradación de los servicios de los sistemas, estos incidentes pueden ser por causas: intencionado, de error, de infringir accidental o deliberado de las políticas y procedimientos de seguridad, de desastre natural o del entorno como las inundaciones, incendios, tormentas, fallos eléctricos entre otros.\\

Entre las actividades y tareas que se deben tener en cuenta están las siguientes:\\

\subsection{Antes del incidente de seguridad:}

Se debe contar con:\\

\begin{itemize}

\item Equipo de solución: sera el equipo encargado de activar y coordinar el plan de contingencia, este equipo debe estar constituido por personas que cuenten con las experiencia y formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. Debe existir una lista de números telefónicos y direcciones actualizadas para la ubicación de las personas que conforman este equipo en el momento que ocurra un incidente de seguridad

\item Identificación de las áreas criticas y/o operativas de la institución, para la misma se considera los servicios, equipos, aplicaciones, infraestructura, existente dentro de la institución

\item Inventario de los equipos y servicios, se requiere de una descripción detallada como por ejemplo la ubicación, configuración, características, y procedimientos de respaldo y recuperación

\item Considerar todos los posibles escenarios de incidente de seguridad que pueda ocurrir en cada área crítica identifica, las misma deben estar bien documentadas

\item Descripción clara y detallada de los planes de contingencia de todos los posibles escenarios de incidentes de seguridad, donde indique los procedimientos de actuación necesarias para la restauración rápida, y eficiente    

\item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, en función de evaluarlas y/o actualizarlas

\item Detección de un incidente de seguridad, la institución debería prestar con especial atención a los posibles indicadores de un incidente de seguridad, como una actividad a contemplar dentro del plan de respuesta a incidentes, entre estos indicadores tenemos:

        \begin{itemize}
                \item Cambio de configuración de los equipos de red como: activación de nuevos servicios, puertos abiertos no autorizados, etc.

                \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. 

                \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio.

                \item Existencias de herramientas no autorizadas en el sistema.

                \item Aparición de nuevas cuentas de usuarios o registro de actividades inusual en algunas cuentas como: conexión de usuarios en horarios extraños.
        \end{itemize}

\end{itemize}

\subsection{Durante el incidente de seguridad:}

\begin{itemize}
\item Análisis del incidente de seguridad, para determinar el alcance (aplicaciones afectadas, información confidencial comprometida, equipos afectados, entre otras), para ayudar al equipo de solución a tomar soluciones adecuadas y permita establecer prioridades en las actividades que debería llevar a cabo 

\item Puesta en marcha el plan de contingencia de acuerdo al incidente de  seguridad presentado.

\item Contención, erradicación y recuperación, el equipo de solución debe de llevar a cabo una rápida actuación para  evitar que el incidente de seguridad vaya a tener mayores consecuencias a la institución.
\end{itemize}

\subsection{Después del incidente de seguridad:}

\begin{itemize}

\item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias

\item Una completa documentación del incidente facilitará el posterior estudio del incidente. Entre los aspectos que debe tener reflejado la documentación se tiene:

        \begin{itemize}
                \item Descripción del tipo de incidente. (ataque a la seguridad, procedimientos de seguridad, desastres naturales )

                \item Hechos registrados (como por ejemplo: logs de los equipos)

                \item Daños producidos en los sistemas informáticos

                \item Decisiones y actuación del equipo de respuesta

                \item Lista de evidencias obtenidas durante el análisis y la investigación

                \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro
        \end{itemize}


\item Actualización de los planes de contingencia de ser necesario

\item Realizar un seguimiento o monitoreo del sistema en busqueda de vulnerabilidades omitidos o recreados luego de la recuperación del o los sitemas

\item Aplicación de Informática forense. Esta proporciona los principios y técnicas que facilitan la investigación de los eventos informáticos ocurridos, mediante la identificación, captura, reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen:

        \begin{itemize}
                \item Identificación y captura de las evidencias

                \item Preservación de las evidencias

                \item Análisis de la información obtenida

                \item Elaboración de informe con las conclusiones del análisis forense 
        \end{itemize}
\end{itemize}