Changeset f6f92c7 in libros for maquetacion/capitulo2/gestionIncidenteSeguridad.tex
- Timestamp:
- Oct 16, 2014, 8:55:14 AM (10 years ago)
- Branches:
- revisionfinal
- Children:
- cbd37f3
- Parents:
- 9eaa9ea
- git-author:
- Dhionel Díaz <ddiaz@…> (12/10/14 18:57:37)
- git-committer:
- aaraujo <aaraujo@…> (16/10/14 08:55:14)
- File:
-
- 1 edited
Legend:
- Unmodified
- Added
- Removed
-
maquetacion/capitulo2/gestionIncidenteSeguridad.tex
rc1c9daf rf6f92c7 3 3 Un incidente de seguridad es cualquier evento que pueda ocasionar la 4 4 interrupción o degradación de los servicios de los sistemas. 5 Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de 5 Estos incidentes pueden ser ocasionados de forma intencional, por 6 error de aplicación de las políticas y procedimientos de 6 7 seguridad, de desastre natural o del entorno como las inundaciones, 7 8 incendios, tormentas, fallos eléctricos entre otros. … … 12 13 \begin{itemize} 13 14 14 \item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia. 15 Este equipo debe estar constituido por personas que cuenten con la experiencia y 16 formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad. 17 Debe existir una lista de números telefónicos y direcciones actualizadas para la 15 \item Se debe contar con un equipo de personas para la 16 superación del incidente, que será el equipo encargado 17 de activar y coordinar el plan de contingencia. 18 Este equipo debe estar constituido por personas que cuenten 19 con la experiencia y 20 formación necesaria que pueda dar respuesta 21 ante cualquier incidente de seguridad. 22 Debe existir una lista de números telefónicos y 23 direcciones actualizadas para la 18 24 ubicación de las personas que conforman este equipo en el momento que 19 25 ocurra un incidente de seguridad. … … 24 30 25 31 \item Hacer inventario de los equipos y servicios. Se requiere de una descripción 26 detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación. 32 detallada de la ubicación, configuración, características, 33 y procedimientos de respaldo y recuperación. 27 34 28 35 \item Considerar los posibles escenarios de incidentes de seguridad que puedan 29 ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados. 36 ocurrir en cada área crítica identificada. Los mismos deben estar 37 bien documentados. 30 38 31 39 \item Describir clara y detalladamente los planes de contingencia de todos los … … 33 41 procedimientos de actuación necesarias para la restauración rápida y eficiente. 34 42 35 \item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia, 43 \item Efectuar reuniones al menos una vez al año para 44 la revisión del plan de contingencia, 36 45 en función de evaluar y actualizar las condiciones del sistema informático. 37 46 38 47 \item Detectar incidentes de seguridad. La institución debe prestar 39 48 especial atención a los indicadores de incidentes de seguridad, 40 como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen: 49 como una actividad a contemplar dentro del plan de respuesta 50 a incidentes. Entre estos indicadores se tienen: 41 51 42 52 \begin{itemize} 43 \item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros. 53 \item Cambio de configuración de los equipos de red 54 con acciones tales como la activación de nuevos servicios, 55 la verificación de puertos abiertos no autorizados, entre otros. 44 56 45 \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos. 57 \item Caída en el rendimiento de la red o algún servidor 58 debido a un incremento inusual del trafico de datos. 46 59 47 \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio. 60 \item Caída o mal funcionamiento de servidores como: 61 reinicio inesperado, fallos en algún servicio. 48 62 49 63 \item Existencia de herramientas no autorizadas en el sistema. 50 64 51 \item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales 52 en algunas cuentas como: conexión de usuarios en horarios poco usuales. 65 \item Aparición de nuevas cuentas de usuarios o registro 66 de actividades inusuales 67 en algunas cuentas como: conexión de usuarios en horarios 68 poco usuales. 53 69 \end{itemize} 54 70 … … 57 73 \subsection{Durante el incidente de seguridad:} 58 74 59 Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones: 75 Cuando ya se tiene certeza del incidente a través de datos 76 que lo confirman, se debe actuar de forma oportuna y diligente. 77 En esta fase del incidente, se pueden seguir las siguientes recomendaciones: 60 78 61 79 62 80 \begin{itemize} 63 \item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas, 64 información confidencial comprometida, equipos afectados, entre otras), para ayudar al 65 equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades 81 \item Analizar el incidente de seguridad con el objetivo 82 de determinar el alcance (aplicaciones afectadas, 83 información confidencial comprometida, equipos afectados, 84 entre otras), para ayudar al 85 equipo de solución a tomar soluciones adecuadas y permitan 86 establecer prioridades 66 87 en las actividades que se deben llevar a cabo. 67 88 68 \item Poner en marcha el plan de contingencia de acuerdo al incidente de seguridad presentado. 89 \item Poner en marcha el plan de contingencia de acuerdo al 90 incidente de seguridad presentado. 69 91 70 \item Contener, erradicar y recuperar. El equipo de solución debe llevar a71 cabo72 una rápida actuación para evitar que el incidente de seguridad vaya a73 tener mayores consecuencias a la institución.92 \item Contener, erradicar y recuperar. El equipo responsable 93 debe llevar a cabo 94 una rápida actuación para evitar que el incidente de 95 seguridad vaya a tener mayores consecuencias a la institución. 74 96 \end{itemize} 75 97 … … 77 99 \subsection{Después del incidente de seguridad:} 78 100 79 Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades: 101 Después de la ocurrencia del incidente de seguridad, es decir, cuando 102 ya se encuentre en pleno funcionamiento el sistema informático, se 103 recomiendan ejecutar las siguientes actividades: 80 104 81 105 \begin{itemize} 82 106 83 \item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias 107 \item Análisis y revisión del incidente. Causas del incidente, 108 valoración inicial de los daños y sus posibles consecuencias. 84 109 85 \item Una completa documentación del incidente facilitará su posterior estudio. 110 \item Una completa documentación del incidente facilitará 111 su posterior estudio. 86 112 Entre los aspectos que debe tener reflejado la documentación se tiene: 87 113 88 114 \begin{itemize} 89 \item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales. 115 \item Descripción del tipo de incidente: ataque a la 116 seguridad, procedimientos de seguridad, desastres naturales. 90 117 91 \item Hechos registrados (como por ejemplo: logs de los equipos). 118 \item Hechos registrados (como por ejemplo: bitácoras 119 de los equipos). 92 120 93 121 \item Daños producidos en los sistemas informáticos. … … 95 123 \item Decisiones y actuación del equipo de respuesta. 96 124 97 \item Lista de evidencias obtenidas durante el análisis y la investigación 125 \item Lista de evidencias obtenidas durante el análisis 126 y la investigación 98 127 99 \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro. 128 \item Posibles actuaciones y recomendaciones para reforzar 129 la seguridad y evitar incidentes similares en un futuro. 100 130 \end{itemize} 101 131 … … 106 136 vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas. 107 137 108 \item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la 109 investigación de los eventos informáticos ocurridos, mediante la identificación, captura, 110 reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen: 138 \item Aplicación de \textit{informática forense}. Esta proporciona 139 los principios y técnicas que facilitan la 140 investigación de los eventos informáticos ocurridos, mediante 141 la identificación, captura, 142 reconstrucción y análisis de evidencias. Entre las etapas para 143 el análisis forense se tienen: 111 144 112 145 \begin{itemize} … … 117 150 \item Análisis de la información obtenida. 118 151 119 \item Elaboración de informe con las conclusiones del análisis forense. 152 \item Elaboración de informe con las conclusiones 153 del análisis forense. 120 154 \end{itemize} 121 155 \end{itemize}
Note: See TracChangeset
for help on using the changeset viewer.