La gestión de incidentes de seguridad es un proceso que consiste en detectar, responder y recuperarse de incidentes de seguridad cibernética. Los incidentes de ciberseguridad pueden ser ataques de malware y phishing, violaciones de datos y ransomware.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
PREPARACIÓN
Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse pensando no sólo en crear un modelo que permita a la entidad estar en capacidad de responder ante estos, sino también en la forma como pueden ser detectados, evaluados y gestionar las vulnerabilidades para prevenirse, asegurando que los sistemas, redes, y aplicaciones son lo suficientemente seguros . Aunque el equipo de respuesta a incidentes no es normalmente responsable de la prevención de incidentes, es muy importante que se considere como un componente fundamental de los programas de respuesta. El equipo de respuesta a incidentes debe actuar como una herramienta de experiencia en el establecimiento de recomendaciones para el aseguramiento de los sistemas de información y la plataforma que los soporta.
En esta etapa el grupo de gestión de incidentes o quien se designe para esta labor debe velar por la disposición de los recursos de atención de incidentes y las herramientas necesarias para cubrir las demás etapas del ciclo de vida del mismo, creando (si no existen) y validando (si existen) los procedimientos necesarios y programas de capacitación.
La etapa de preparación debe ser apoyada por la dirección de tecnologías de la información o quien haga sus veces, incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y aplicaciones por ejemplo:
Gestión de Parches de Seguridad:
las entidades dependiendo de su estratificación deben contar con un programa de gestión de vulnerabilidades (Sistemas Operativos, Bases de Datos, Aplicaciones, Otro Software Instalado), este programa ayudara a los administradores en la identificación, adquisición, prueba e instalación de los parches.
Aseguramiento de plataforma:
las entidades dependiendo de si estratificación deben ser aseguradas correctamente. Se debe configurar la menor cantidad de servicios (principio de menor privilegio) con el fin de proveer únicamente aquellos servicios necesarios tanto a usuarios como a otros equipos. Se deben revisar configuraciones por default (usuarios, contraseñas y archivos compartidos). Cada recurso que pueda ser accedido por externos e incluso por usuarios internos debe desplegar alguna advertencia. Los servidores deben tener habilitados sus sistemas de auditoría para permitir el login de eventos.
Seguridad en redes:
Debe existir una gestión constante sobre los elementos de seguridad. Las reglas configuradas en equipos de seguridad como firewalls deben ser revisadas continuamente. Las firmas y actualizaciones de dispositivos como IDS o IPS deben encontrarse al día. Todos los elementos de seguridad y de red deben encontrarse sincronizados y sus logs deben ser enviados a un equipo centralizado de recolección de logs para su respectivo análisis.
Prevención de código malicioso:
Todos los equipos de la infraestructura (servidores como equipos de usuario) deben tener activo su antivirus, antimalware con las firmas de actualización al día.
Sensibilización y entrenamiento de usuarios:
Usuarios en la entidad incluidos los administradores de TI deben ser sensibilizados de acuerdo a las políticas y procedimientos existentes relacionados con el uso apropiado de redes, sistemas y aplicaciones en concordancia con los estándares de seguridad de la entidad. Los encargados de los sistemas de información deben establecer las necesidades de capacitación de las personas encargadas de la protección de los datos.
Las actividades descritas anteriormente buscan prevenir la ocurrencia de incidentes de seguridad de la información que esta soportada por TI, y adicionalmente es necesario realizar una evaluación mensual.
RECURSOS DE COMUNICACIÓN
En este numeral se pretende enunciar los elementos necesarios para la comunicación del equipo de atención de incidentes dentro de la entidad.
Información de Contacto: Se debe tener una lista de información de contacto de cada una de las personas que conforman el grupo de gestión de incidentes o quienes realicen sus funciones.
Información de Escalamiento: Se debe contar con información de contacto para el escalamiento de incidentes según la estructura de la entidad.
- Información de los administradores de la plataforma tecnológica (Servicios, Servidores)
- Contacto con el área de recursos humanos o quien realice sus funciones (por si se realizan acciones disciplinarias).
- Contacto con áreas interesadas o grupos de interés (CCP – Policía Nacional, Fiscalía, entre otras)
Política de Comunicación: La entidad debe tener una política de comunicación de los incidentes de seguridad para definir que incidente puede ser comunicado a los medios y cual no.
HARDWARE Y SOFTWARE
Para una correcta y eficiente gestión de incidentes la entidad debería tener en cuenta los siguientes elementos:
- Portátiles Forenses:
- Analizadores de protocolos.
- Software de adquisición.
- Software para recolección de evidencia.
- Kit de respuesta a incidentes.
- Software de análisis forense.
- Medios de almacenamiento
RECURSOS PARA EL ANÁLISIS DE INCIDENTES
- Tener un listado de los puertos conocidos y de los puertos utilizados para realizar un ataque.
- Tener un diagrama de red para tener la ubicación rápida de los recursos existentes
- Una Línea – Base de Información de: Servidores (Nombre, IP, Aplicaciones, Parches, Usuarios Configurados, responsable de cambios). Esta información siempre debe estar actualizada para poder conocer el funcionamiento normal del mismo y realizar una identificación más acertada de un incidente.
· Se debe tener un análisis del comportamiento de red estándar en este es recomendable incluir: puertos utilizados por los protocolos de red, horarios de utilización, direcciones IP con que generan un mayor tráfico, direcciones IP que reciben mayor número de peticiones.
RECURSOS PARA LA MITIGACIÓN Y REMEDIACIÓN
En este punto se consideran los elementos básicos para la contención de un posible incidente, Backup de Información, imágenes de servidores, y cualquier información base que pueda recuperar el funcionamiento normal del sistema.
DETECCIÓN, EVALUACION Y ANÁLISIS
Detección Identificación y Gestión de Elementos Indicadores de un Incidente
Los indicadores son los eventos que nos señalan que posiblemente un incidente ha ocurrido generalmente algunos de estos elementos son:
- Alertas en sistemas de seguridad
- Caídas de servidores
- Reportes de usuarios
- Software antivirus dando informes
- Otros funcionamientos fuera de lo normal del sistema
La identificación y gestión de elementos que alertan sobre un incidente nos proveen información que puede alertarnos sobre la futura ocurrencia del mismo y preparar procedimientos para minimizar su impacto. Algunos de estos elementos pueden ser:
- Logs de servidores
- Logs de aplicaciones
- Logs de herramientas de seguridad
- Cualquier otra herramienta que permita la identificación de un incidente de seguridad
En la entidad debe existir un listado de fuentes generadoras de eventos que permitan la identificación de un incidente de seguridad de la información.
Análisis
Las actividades de análisis del incidente involucran otra serie de componentes, es recomendable tener en cuenta los siguientes:
- Tener conocimientos de las características normales a nivel de red y de los sistemas.
- Los administradores de TI deben tener conocimiento total sobre los comportamientos de la Infraestructura que están Administrando.
- Toda información que permita realizar análisis al incidente debe estar centralizada (Logs de servidores, redes, aplicaciones).
- Es importante efectuar correlación de eventos, ya que por medio de este proceso se pueden descubrir patrones de comportamiento anormal y poder identificar de manera más fácil la causa del incidente.
- Para un correcto análisis de un incidente debe existir una única fuente de tiempo (Sincronización de Relojes) ya que esto facilita la correlación de eventos y el análisis de información.
- Se debe mantener y usar una base de conocimiento con información relacionada sobre nuevas vulnerabilidades, información de los servicios habilitados, y experiencias con incidentes anteriores.
- Crear matrices de diagnóstico e información para los administradores menos experimentados.
Evaluación
Para realizar la evaluación de un incidente de seguridad se debe tener en cuenta los niveles de impacto con base en los insumos entregados por el análisis de riesgos y la clasificación de activos de información de la entidad. La severidad del incidente puede ser:
· Alto Impacto: El incidente de seguridad afecta a activos de información considerados de impacto catastrófico y mayor que influyen directamente a los objetivos misionales del Instituto. Se incluyen en esta categoría aquellos incidentes que afecten la reputación y el buen nombre o involucren aspectos legales. Estos incidentes deben tener respuesta inmediata.
· Medio Impacto: El incidente de seguridad afecta a activos de información considerados de impacto moderado que influyen directamente a los objetivos de un proceso determinado.
· Bajo Impacto: El incidente de seguridad afecta a activos de información considerados de impacto menor e insignificante, que no influyen en ningún objetivo. Estos incidentes deben ser monitoreados con el fin de evitar un cambio en el impacto.
Clasificación De Incidentes De Seguridad De La Información
Algunos ejemplos de clasificación de incidentes podrían ser (esta clasificación está sujeta a cada entidad dependiendo de su infraestructura, de sus riesgos y criticidad de los activos. La clasificación dada es solo un ejemplo):
- Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código malicioso que obtiene acceso lógico o físico sin autorización adecuada del dueño a un sistema, aplicación, información o un activo de información.
- Modificación de recursos no autorizado: Un incidente que involucra a una persona, sistema o código malicioso que afecta la integridad de la información o de un sistema de procesamiento.
- Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna política de uso de recursos.
- No disponibilidad de los recursos: Un incidente que involucra a una persona, sistema o código malicioso que impide el uso autorizado de un activo de información.
- Multicomponente: Un incidente que involucra más de una categoría anteriormente mencionada.
- Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear nuevas categorías.
Priorización De Los Incidentes Y Tiempos De Respuesta
Con el fin de permitir una atención adecuada a los incidentes (análisis, contención y erradicación) se debe determinar el nivel de prioridad del mismo, y de esta manera atenderlos adecuadamente según la necesidad.
A manera de ejemplo se definen una serie de variables que podrán ser utilizadas para realzar la evaluación de los incidentes
- Prioridad
- Criticidad de impacto
- Impacto Actual
- Impacto Futuro
Nivel de Prioridad:
Depende del valor o importancia dentro de la entidad y del proceso que soporta el o los sistemas afectados.
| Nivel Criticidad | Valor | Definición |
| Inferior | 0,10 | Sistemas no críticos, como estaciones de trabajo de usuarios con funciones no críticas. |
| Bajo | 0,25 | Sistemas que apoyan a una sola dependencia o proceso de una entidad. |
| Medio | 0,50 | Sistemas que apoyan más de una dependencias o proceso de la entidad. |
| Alto | 0,75 | Sistemas pertenecientes al área de Tecnología y estaciones de trabajo de usuarios con funciones críticas. |
| Superior | 1,00 | Sistemas Críticos. |
Tabla 1: Niveles de Criticidad de Impacto
Nivel de Impacto
Impacto Actual: Depende de la cantidad de daño que ha provocado el incidente en el momento de ser detectado.
Impacto Futuro: Depende de la cantidad de daño que pueda causar el incidente si no es contenido, ni erradicado.
| Nivel Impacto | Valor | Definición |
| Inferior | 0,10 | Impacto leve en uno de los componentes de cualquier sistema de información o estación de trabajo. |
| Bajo | 0,25 | Impacto moderado en uno de los componentes de cualquier sistema de información o estación de trabajo. |
| Medio | 0,50 | Impacto alto en uno de los componentes de cualquier sistema de información o estación de trabajo. |
| Alto | 0,75 | Impacto moderado en uno o más componentes de más de un sistema de información. |
| Superior | 1,00 | Impacto alto en uno o más componentes de más de un sistema de información. |
Tabal 2: Niveles de Impacto Actual y Futuro
Luego de tener definidas las variables se obtiene la prioridad mediante la siguiente formula:
Nivel Prioridad = (Impacto actual * 2,5) + (Impacto futuro * 2,5) + (Criticidad del Sistema * 5)
Y los resultados obtenidos se deben compara con la siguiente tabla para determinar la prioridad de atención:
| Nivel Prioridad | Valor |
| Inferior | 00,00 – 02,49 |
| Bajo | 02,50 – 03,74 |
| Medio | 03,75 – 04,99 |
| Alto | 05,00 – 07,49 |
| Superior | 07,50 – 10,00 |
Tabla 3: Niveles de Prioridad del Incidente
Tiempos de Respuesta
Para el caso de la atención de incidentes de seguridad se ha establecido unos tiempos máximos de atención de los mismos, con el fin de atender adecuadamente los incidentes de acuerdo a su criticidad e impacto. Los tiempos expresados en la siguiente Tabla son un acercamiento al tiempo máximo en que el incidente debe ser atendido, y no al tiempo en el cual el incidente debe ser solucionado. Esto se debe a que la solución de los incidentes puede variar dependiendo del caso.
| Nivel Prioridad | Tiempo de Respuesta |
| Inferior | 3 horas |
| Bajo | 1 hora |
| Medio | 30 min |
| Alto | 15 min |
| Superior | 5 min |
Tabla 4: Tiempos Máximos de Atención de Incidentes
Cabe resaltar que cada entidad está en la libertad de definir tiempos de atención a incidentes como crean conveniente y dependiendo de la criticidad de los activos impactados.
Declaración y Notificación de Incidentes
Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a una Política de Seguridad de la Información de la entidad. La notificación de los incidentes permite responder a los mismos en forma sistemática, minimizar su ocurrencia, facilitar una recuperación rápida y eficiente de las actividades minimizando la pérdida de información y la interrupción de los servicios, y el proceso de tratamiento de incidentes, y manejar correctamente los aspectos legales que pudieran surgir durante este proceso.
A continuación se describe un proceso de notificación de incidentes de seguridad que podría ser adoptado por la entidad:
Un usuario, tercero o contratista que sospeche sobre la materialización de un incidente de seguridad deberá notificarlo al primer punto de contacto definido por la entidad (Ej: Soporte de primer nivel). El incidente puede ser notificado a través de cualquier canal de comunicación (Telefónico, Correo, Aplicativo) es importante resaltar que debe existir un formato el cual el usuario que reporta el incidente debe diligenciar con la mayor cantidad posible de información relacionada con el incidente.
El primer punto de contacto
El primer punto de contacto identificará el tipo de incidente (de acuerdo a la tabla de clasificación de incidentes que realiza la entidad). Analizará si el incidente reportado corresponde a un incidente de seguridad de la información o está relacionado con requerimientos propios de la infraestructura de TI. En caso de ser catalogado como un incidente de seguridad se notificarán a la persona encargada de la atención de incidentes o a quien haga sus veces para que tome las decisiones correspondientes. El primer punto de contacto será el encargado de realizar el seguimiento del Incidente hasta su cierre definitivo.
Si el incidente de seguridad es identificado por otra línea diferente a un usuario de la entidad, a través de los elementos de detección o administradores de TI, este es notificado directamente a la persona encargada de atención de incidentes quien tomará las acciones necesarias de atención. Se notificará al primer punto de contacto sobre la presentación de un incidente de seguridad para que realice la documentación respectiva y esté atento al seguimiento y desarrollo del mismo.
El punto de contacto clave dentro de la gestión de incidentes es la persona encargada de la atención de los mismos, el cual se encarga de coordinar y asignar las actividades con las partes interesadas. Estos últimos se encargan de solicitar el apoyo a las personas involucradas con el proceso con el fin de la correcta ejecución de actividades que den solución al incidente.
La persona encargada de la atención de incidentes tendrá la potestad para decidir sobre las acciones que se deban ejecutar ante la presencia de un incidente de seguridad y es la persona que notificará a las altas directivas de la entidad.
CONTENCIÓN ERRADICACIÓN Y RECUPERACIÓN
Es importante para la entidad implementar una estrategia que permita tomar decisiones oportunamente para evitar la propagación del incidente y así disminuir los daños a los recursos de TI y la pérdida de la confidencialidad, integridad y disponibilidad de la información.
Esta fase se descompone claramente en tres componentes.
Contención:
esta actividad busca la detección del incidente con el fin de que no se propague y pueda generar más daños a la información o a la arquitectura de TI, para facilitar esta tarea la entidad debe poseer una estrategia de contención previamente definida para poder tomar decisiones por ejemplo: apagar sistema, desconectar red, deshabilitar servicios.
Ejemplos de estrategias de contención a incidentes
| Incidente | Ejemplo | Estrategia de contención |
| Acceso no autorizado | Sucesivos intentos fallidos de login | Bloqueo de cuenta |
| Código Malicioso | Infección con virus | Desconexión de la red del equipo afectado |
| Acceso no autorizado | Compromiso del Root | Apagado del sistema |
| Reconocimiento | Scanning de puertos | Incorporación de reglas de filtrado en el firewall |
La estrategia de contención varía según el tipo de incidente y los criterios deben estar bien documentados para facilitar la rápida y eficaz toma de decisiones. Algunos criterios que pueden ser tomados como base son:
- Criterios Forenses
- Daño potencial y hurto de activos
- Necesidades para la preservación de evidencia
- Disponibilidad del servicio
- Tiempo y recursos para implementar la estrategia
- Efectividad de la estrategia para contener el incidente (parcial o total)
- Duración de la solución
Erradicación y Recuperación:
Después de que el incidente ha sido contenido se debe realizar una erradicación y eliminación de cualquier rastro dejado por el incidente como código malicioso y posteriormente se procede a la recuperación a través de la restauración de los sistemas y/o servicios afectados para lo cual el administrador de TI o quien haga sus veces deben restablecer la funcionalidad de los sistemas afectados, y realizar un endurecimiento del sistema que permita prevenir incidentes similares en el futuro.
Ejemplos de estrategias de erradicación de incidentes
| Incidente | Ejemplo | Estrategia de erradicación |
| DoS (denegación de servicio) | SYN Flood | Restitución del servicio caído |
| Virus | Gusano en la red | Corrección de efectos producidos. Restauración de backups |
| Vandalismo | Defacement a un sitio web | Reparar el sitio web |
| Intrusión | Instalación de un rootkit | Reinstalación del equipo y recuperación de datos |
Ejemplos de estrategias de recuperación de incidentes
| Incidente | Ejemplo | Estrategia de recuperación |
| DoS (denegación de servicio) | SYN Flood | Restitución del servicio caído |
| Virus | Gusano en la red | Corrección de efectos producidos. Restauración de Backups |
| Vandalismo | Defacement a un sitio web | Reparar el sitio web |
| Intrusión | Instalación de un Rootkit | Reinstalación del equipo y recuperación de datos |
En algunas ocasiones durante el proceso de Atención de Incidentes de Seguridad Informática específicamente en la fase de “Contención, Erradicación y Recuperación” se puede hacer necesario activar el BCP (Plan de Continuidad del Negocio) o el DRP (Plan de Recuperación de Desastres) en el caso que un incidente afecte gravemente a un determinado sistema.
Integración del Proceso de Atención de Incidentes de Seguridad con el Proceso de Contingencia y Disaster Recovery.
ACTIVIDADES POST-INCIDENTE
Las actividades Post-Incidente básicamente se componen del reporte apropiado del Incidente, de la generación de lecciones aprendidas, del establecimiento de medidas tecnológicas, disciplinarias y penales de ser necesarias así como el registro en la base de conocimiento para alimentar los indicadores.
Lecciones Aprendidas:
Una de las partes más importantes de un plan de respuesta a incidentes de TI es la de aprender y mejorar. Cada equipo de respuesta a incidentes debe evolucionar para reflejar las nuevas amenazas, la mejora de la tecnología, y las lecciones aprendidas. Mantener un proceso de «lecciones aprendidas» después de un incidente grave, y periódicamente después de los incidentes menores, es sumamente útil en la mejora de las medidas de seguridad y el proceso de gestión de incidentes
Mantener un adecuado registro de lecciones aprendidas permite conocer:
· Exactamente lo que sucedió, en qué momento y cómo el personal gestionó el incidente.
· Los procedimientos documentados.
· Si se tomaron las medidas o acciones que podrían haber impedido la recuperación.
· Cuál sería la gestión de personal y que debería hacerse la próxima vez que ocurra un incidente similar.
· Acciones correctivas pueden prevenir incidentes similares en el futuro.
· Cuales herramientas o recursos adicionales son necesarios para detectar, analizar y mitigar los incidentes en el futuro.
El proceso de lecciones aprendidas puede poner de manifiesto la falta de un paso o una inexactitud en un procedimiento y son un punto de partida para el cambio, y es precisamente debido a la naturaleza cambiante de la tecnología de la información y los cambios en el personal, que el equipo de respuesta a incidentes debe revisar toda la documentación y los procedimientos para el manejo de incidentes en determinados intervalos.
ROLES Y PERFILES NECESARIOS PARA LA ATENCIÓN DE INCIDENTES
A continuación presentaremos una descripción de los actores que intervienen y conforman el proceso de atención de Incidentes, para cada actor se presentará una breve descripción sobre su perfil y la función dentro del proceso de respuesta a Incidentes de Seguridad de la información.
Usuario Sensibilizado: Es un empleado, empleados de firmas contratista o terceros con acceso a la infraestructura de la entidad, quien debe estar educado y concientizado sobre las guías implementadas sobre la seguridad de la información y en particular la guía de atención de incidentes, estos usuarios serán muchas veces quienes reporten los problemas y deberán tener en cuenta lo siguiente:
Agente Primer Punto de Contacto: Es el encargado de recibir las solicitudes por parte de los usuarios sobre posibles incidentes también debe registrarlos en la base de conocimiento y debe ser el encargado de escalarlos a la persona encargada de la atención de incidentes. Este Agente debe contar adicionalmente con capacitación en Seguridad de la Información (con un componente tecnológico fuerte) y debe conocer perfectamente la clasificación de Incidentes y los procesos de escalamiento de Incidentes. Adicionalmente debe contar con una capacitación básica en técnicas forenses, específicamente en recolección y manejo de evidencia, lo cual involucra fundamentalmente dos aspectos.
- Admisibilidad de la evidencia: si la evidencia se puede utilizar o no en una corte
- Peso de la evidencia: la calidad y cabalidad de la evidencia.
Este no es un actor que realiza la centralización de los incidentes reportados por los usuarios, da un tratamiento inicial y escala el incidente para que sea tratado.
Administrador del Sistema:
se define como la persona encargada para configurar y mantener un activo informático. También debe ser notificado por el agente de primer punto de contacto sobre un incidente de seguridad con el fin de analizar, identificar, contener y erradicar un incidente de seguridad. Este debe documentar y notificar al agente de primer punto de contacto sobre el incidente la solución del mismo.
Se recomienda que los administradores cuenten con capacitación en Seguridad de la Información (con un componente tecnológico fuerte no solo en su plataforma si no en Redes y erradicación de vulnerabilidades) y debe conocer perfectamente la clasificación de Incidentes y los procesos de escalamiento de Incidentes. Adicionalmente debe contar con una capacitación en técnicas forenses, específicamente en recolección y manejo de evidencia.
Administrador de los sistemas de Seguridad:
Personas encargadas de configurar y mantener un activo informático relacionado con la seguridad de la plataforma ej. Firewall, Sistemas de Prevención de Intrusos, Routers, Sistemas de Gestión y Monitoreo. También debe ser notificado por el agente de primero contacto sobre un incidente de seguridad con el fin de analizar, identificar, contener y erradicar un incidente de seguridad.
Este debe documentar y notificar al agente de primer contacto sobre el incidente y la solución del mismo. Se recomienda que los administradores de esta tecnología sean expertos en Seguridad de la Información (con un componente tecnológico fuerte en Redes y erradicación de vulnerabilidades, Ethical Hacking y técnicas forenses) y debe conocer perfectamente la clasificación de Incidentes de la entidad.
Analista Forense:
Es un experto en el tema forense, quien debe estar disponible en caso de que un incidente de impacto alto (o uno que amerite acciones disciplinarias o legales o investigación profunda) requiera una investigación completa para solucionarlo y determinar los siguientes Ítems
· Que sucedió.
· Donde sucedió.
· Cuando Sucedió.
· Quien fue el Responsable.
· Como sucedió.
Este actor debe ser un apoyo para los demás actores en caso de dudas sobre los procedimientos y debe ejercer un liderazgo técnico en el proceso de atención de Incidentes de seguridad de la información.
Líder del Grupo de Atención de Incidentes:
Responde a las consultas sobre los incidentes de seguridad que impacten de forma inmediata, y es el encargado de revisar y evaluar los indicadores de gestión correspondientes a la atención de incidentes de seguridad para poder ser presentados a los directivos. El Líder Grupo de Atención de Incidentes estará en la capacidad de convocar la participación de otros funcionarios de la organización cuando el incidente lo amerita (Prensa y Comunicaciones, Gestión de Talento Humano, Gestión Jurídica, Tecnología, Representante de las Directivas para el SGSI).
También debe estar al tanto del cumplimiento de los perfiles mencionados y de revisar el cumplimiento de los procedimientos y mejores prácticas, así como también de los indicadores de gestión, y en capacidad de disparar si lo amerita planes de contingencia y/o continuidad.
Finalmente el Líder del Grupo de Atención de Incidentes será el responsable del modelo de Gestión de incidentes y debe estar en la capacidad de revisar todos los
incidentes de seguridad y los aspectos contractuales que manejan el outsourcing del servicio help desk.
Proceso y técnicas de gestión de incidentes de seguridad
Los incidentes en la seguridad de la información parecen inevitables hoy en día por lo que no tenemos más remedio que plantearlos como vamos a gestionar dichos incidentes de la manera más ágil y eficiente para la organización
Es por ello que la norma ISO 27001 dedica un capítulo a establecer controles para gestionar los incidentes en la seguridad de la información e inclusive se ha dedicado un documento específico con los principios para gestionar incidentes en la seguridad de la información
Citando la norma:
Objetivo 1:
Gestión de incidentes y mejoras de seguridad de la información
Garantizar un enfoque consistente y eficaz para la gestión de incidentes de seguridad de la información, incluyendo la comunicación de eventos de seguridad y debilidades.
GESTIÓN DE INCIDENTES Y MEJORAS DE SEGURIDAD DE LA INFORMACIÓN
Como hemos mencionado, un análisis de riesgos no puede concluir con la eliminación total de las vulnerabilidades pues esto aún ni siquiera seria práctico o viable por lo que las vulnerabilidades residuales siempre existen por lo que tendremos de seguro incidentes en la seguridad de la información además de que puedan surgir amenazas o y vulnerabilidades no identificadas hasta ahora.
Es por ello que debemos implementar una herramienta para la gestión de los incidentes de la seguridad de la información con los siguientes objetivos generales
- Detectar, informar y evaluar incidentes de la Seguridad de la información
- Responder a incidentes
- Reportar vulnerabilidades
- Aprender de los incidentes de la Seguridad de la información
LOS PASOS PARA LA RESOLUCION DE INCIDENTES
La gestión de incidentes de seguridad se basa en diferentes pasos, que incluyen:
NOTA: Estos pasos podrían ser estados diferentes que un incidente por lo que también es importante informar al usuario sobre cualquier cambio en el estado del incidente.
1. Notificación del incidente:
una persona detecta un evento que puede dañar el funcionamiento de la organización, por lo que necesita comunicar el incidente de acuerdo con los procedimientos de comunicación de la organización (generalmente un correo electrónico, una llamada telefónica, una herramienta de software, etc.)
2. Clasificación del incidente:
una persona recibe la notificación del incidente y, según los diversos parámetros, se clasifica. La persona que detecta el incidente también puede hacer una clasificación, pero es un experto técnico que lo clasifica de la manera adecuada.
3. Tratamiento del incidente:
una vez que se clasifica el incidente y se conoce la gravedad y el tiempo acordado para su resolución, un experto técnico debe decidir sobre las medidas necesarias para resolverlo.
4. Cierre el incidente:
una vez que se resuelve el incidente, se registra toda la información generada durante el tratamiento y, finalmente, se notifica a la persona que envió primero la notificación del incidente que se cerró.
5. Base de conocimiento:
toda la información generada durante el tratamiento del incidente es crítica para posibles incidentes similares en el futuro, así como para recopilar evidencia. Imagine que un usuario actualiza un sistema y luego de esto, el sistema se cierra (involuntariamente). Luego, el usuario abre un incidente y el incidente se resuelve y se cierra. La información generada para resolver el incidente se registra, por lo que si el problema vuelve a ocurrir en el futuro, simplemente pueden referirse a la base de conocimiento; Tendrán la solución perfecta sin perder tiempo.
En este sentido la norma establece una serie de controles empezando por la organización que debemos llevar a cabo para acometer esta tarea
CONTROLES PARA LA GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION
RESPONSABILIDADES Y PROCEDIMIENTOS
En primer lugar deberemos tener implantado y documentado los procedimientos que nos dirijan en el proceso de gestión de incidentes de la seguridad de la información,
Estos procesos deben tener en cuenta
- Las responsabilidades
- Defina un responsable o responsables para la gestión de incidentes quien deberá garantizar que se desarrollan los procedimientos adecuados para que se realicen todas las tareas o procesos necesarios para gestionar los incidentes
- Defina las responsabilidades de cada empleado tanto en la colaboración para la respuesta, como en la necesidad de comunicación de los incidentes de seguridad de la información
- Los procesos o procedimientos
- Que existan procedimientos para la detección, análisis y elaboración de informes de incidentes de la seguridad de la información
- Elabore procedimientos para que se comuniquen los incidente
- Que dichos procedimientos sean conocidos (Que cada empleado conozca los procedimientos de comunicación de incidentes y sus responsabilidades)
- Que existan vías de comunicación adecuadas (asegúrese de que se definen los puntos de recogida de información para los incidentes y eventos de la seguridad de la información)
- Capacitación
- Asegúrese de la competencia del personal de atención y resolución de incidentes. Mantenga un plan de capacitación de las personas que se ocupan de los incidentes de la seguridad de la información
REPORTE DE EVENTOS DE SEGURIDAD DE LA INFORMACIÓN
Este control nos pide que establezcamos los canales de comunicación para todos los eventos o incidentes. Estos canales, naturalmente deben estar establecidos con los responsables de la gestión de los incidentes.
Es importante que todos los usuarios estén informados y familiarizados con los mecanismos de notificación. Con usuarios nos referimos a usuarios tanto internos como externos
Antes que nada vamos a distinguir entre dos conceptos más o menos similares pero que debemos separar para un correcto análisis de los incidentes en la Seguridad de la Información
EVENTO EN LA SEGURIDAD DE LA INFORMACION
Cualquier ocurrencia identificada en un sistema de información, servicio o estado de la red que indica una posible infracción en la seguridad de la información, en la política o fallo en los controles, o una situación previamente desconocida que puede ser relevante para la seguridad
INCIDENTE EN LA SEGURIDAD DE LA INFORMACION
Cuando el evento se puede clasificar como no deseado o inesperado dentro de los eventos de seguridad de la información y además tienen una probabilidad significativa de comprometer las operaciones comerciales y suponen una seria amenaza para la seguridad de la información
Un evento en la seguridad de la información no significa necesariamente una implicación en la confidencialidad, integridad o disponibilidad a veces incluso lo deseamos, podemos aprender de ello y endurecer la seguridad
El incidente siempre es indeseado
ACLARANDO CONCEPTOS: AMENAZA, VULNERABILIDAD, EVENTO E INCIDENTE
Amenaza para la Seguridad de la información
Una amenaza se refiere a cualquier cosa que tenga el potencial de causar daños graves a un sistema o activo de información. Una amenaza es algo que puede suceder o no, pero tiene el potencial de causar un daño grave.
Las amenazas pueden provocar ataques a sistemas informáticos, redes y más.
Vulnerabilidad en la Seguridad de la información
Se refiere a una debilidad o defecto en un sistema o activo de información que puede dejarlo expuesto a una amenaza o ataque. Una vulnerabilidad también puede referirse a cualquier tipo de debilidad en un sistema de información en sí mismo, en un conjunto de procedimientos o en cualquier cosa que deje la seguridad de la información expuesta a una amenaza.
Evento en la Seguridad de la información
Un evento de seguridad de la información es un cambio en las operaciones diarias de una red o servicio de tecnología de la información que indica que una política de seguridad puede haber sido violada o una protección de seguridad puede haber fallado.
Incidente en la Seguridad de la información
Una sola o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar seguridad de información. Por ejemplo un comportamiento anómalo en un sistema es un evento, sin embargo, si se encuentra evidencia del virus en el sistema, se puede considerar un incidente de seguridad.
REPORTE DE DEBILIDADES DE SEGURIDAD DE LA INFORMACIÓN
El reporte de incidentes debe acompañarse con un reporte de posibles debilidades del sistema que se detecten en cualquier momento. Esto debe estar soportado por:
- La comunicación a los usuarios de la exigencia de observar y reportar cualquier debilidad de seguridad de la información vista o sospechada en sistemas o servicios
Se aconseja advertir que los usuarios que probar la fortaleza o debilidad de los sistemas a ver si encuentran una vulnerabilidad serán considerados por la compañía como un mal uso del sistema
EVALUACIÓN Y DECISIÓN SOBRE LOS EVENTOS DE SEGURIDAD DE INFORMACIÓN
Como ya hemos visto en los puntos anteriores, los eventos de la seguridad de la información pueden clasificarse en simples eventos o pueden pasar a ser Indecentes de la seguridad de la información
Para ello establezca:
- Un criterio de priorización de incidentes dependiendo del sistema o servicio afectado, del usuario etc.
- La evaluación de incidentes debe ser realizada tanto por el usuario como por el equipo de gestión que debe revisar la prioridad.
- Lleve un registro de la evaluación de los incidentes para poder analizar los parámetros de calidad tanto en su resolución como de su clasificación.
Hay muchas formas de clasificar incidentes, pero lo habitual es considerar dos parámetros:
- Impacto: Daño causado al negocio (en términos económicos, imagen, etc.)
- Urgencia: La rapidez con la cual la organización necesita corregir el incidente
La combinación de estos parámetros nos permitirá determinar la prioridad de cada incidente, por lo que de esta manera puede establecer, por ejemplo, la siguiente tabla de valores:
Así podríamos clasificar las incidencias en:
- NIVEL CRÍTICO (5 a 6)
__ - NIVEL GRAVE (4)
__ - NIVEL LEVE (1 a 2)
__
RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Se trata de controlar el proceso de resolución de incidentes en la seguridad de la información.
Los controles a establecer serian.
- Evalue si la organización tiene la capacidad para resolver el incidente por si misma o necesita ayuda de terceros.
- Mantenga un registro con las evidencias de las incidencias
- Establezca el sistema de comunicaciones necesarias entre usuarios y el equipo de gestión de incidencias o quien deba estar informado de las actuaciones y situación del proceso de resolución de las incidencias
- Registre las acciones llevadas a cabo y los resultados de las mismas
- Cierre la incidencia formalmente cuando se haya resuelto
- Realice un análisis para determinar las causas de cada incidente
APRENDIENDO DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Como ya hemos adelantado los incidentes no solo son un problema a solucionar sino una fuente de información para la resolución de futuros incidentes o para la mejora de la seguridad de la información
Los controles de la norma para mantener una base de conocimientos sobre los incidentes en la seguridad de la información son:
- Creación de un registro que considere
- Volumen de incidentes producidos
- Tipología de incidentes producidos
- Coste de la resolución de la incidencia
- Impacto de la incidencia
- Solución aplicada
La información sobre los incidentes nos puede ayudar a
- Identificar los incidentes más recurrentes y de alto impacto
- Mejorar nuestro sistema de gestión con nuevos controles y criterios para la evaluación de riesgos
- Realizar entrenamientos a los usuarios para evitar incidentes y a los gestores de incidentes para mejorar la resolución de los mismos
Para este último punto se recomienda utilizar datos No reales para los entrenamientos.
RECOLECCIÓN DE EVIDENCIA
Los incidentes sobre la seguridad de la información pueden requerir acciones posteriores como sanciones o acciones legales. Recuperar las evidencias para utilizarlas posteriormente puede volverse un dolor de cabeza si no hemos previsto algún mecanismo para guardarlas.
En este capítulo la norma nos pone como control el que conservemos la información sobre las incidencias de forma que podamos recuperar:
- Los inicios y cierres de sesión
- Las identificaciones
- El estado de los dispositivos y de las redes
- Las evidencias de reuniones informativas, documentación sobre responsabilidades y funciones de seguridad del personal
No debe pasar por alto…
En ocasiones puede ser necesaria una investigación forense de las evidencias informáticas. Conviene tener en cuenta mantener a salvo los derechos de acceso a la información para poder realizar una investigación forense.
Para ello hay que tener en cuenta los distintos requisitos de las jurisdicciones pertinentes y estar preparados mediante la comunicación previa al personal o la firma de cláusulas contractuales
Otro tema es la preservación de las evidencias…
Los incidentes no sabemos normalmente en que van a terminar y si requerirán posteriores acciones legales o disciplinarias Determinadas incidencias pueden conllevar el borrado de las evidencias con el objeto de ocultar al responsable de las mismas, es por ello que se recomienda establecer sistemas de copiado y preservación de registros con tal de que ciertas evidencias no se puedan eliminar tan fácilmente.
Seguridad de las evidencias…
Finalmente si es posible o se identifica como necesario se pueden certificar los sistemas de recogida de evidencias o mantener medios de vigilancia y control independientes (homologados y legales) para fortalecer las evidencias de cara a acciones legales
Herramientas de gestión de incidentes de seguridad
Nos gustaría destacar que la gestión de incidencias no se hace sólo con una herramienta, sino con la selección correcta de herramientas, las mejores prácticas y el equipo de DevOps. Vamos a hablar de nuestras herramientas de gestión de incidencias favoritas que creemos que marcan la diferencia en el proceso de gestión de incidencias:
Hay otras herramientas estupendas que ayudan a realizar el seguimiento de los incidentes, que cada incidente puede ser rastreado y documentado para poder identificar tendencias y hacer comparaciones a lo largo del tiempo. Hay algunas salas de chat que permiten la comunicación de texto en tiempo real para diagnosticar y resolver el incidente como un equipo y proporcionar un rico conjunto de datos para el análisis de la respuesta más tarde. Además, el chat de vídeo complementa el chat de texto para muchos incidentes, el chat de vídeo en equipo puede ayudar a discutir los hallazgos y trazar una estrategia de respuesta. El sistema de alertas, que es extremadamente importante, se integra con su sistema de supervisión y gestiona las rotaciones de guardia y las escaladas. Las herramientas de documentación, como Confluence, pueden capturar los documentos del estado de los incidentes y los postmortem.
No te detengas, sigue avanzando
Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera!
Universidad Hacking. Todo en Ciberseguridad. Curso Completo
Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí
Calificación: 4,6 de 54,6 (2.877 calificaciones) 15.284 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide
Lo que aprenderás
- Aprende Seguridad informática
- Te enseñare Hacking Ético
- Veremos Ciberseguridad
- La base principal del Hacking, Redes
- Esto es alternativo que puedes aprender, Programación (python)
- Necesitaras saber Python para, Hacking con Python
- Te enseñare Análisis de Malware, además haremos laboratorios, practicas y ejecutaremos Malware para que veas su comportamiento
- Te enseñare a reforzar tu Privacidad y Anonimato
- Aprenderás una de las herramientas mas populares por excelencia en el mundo del Hacking, Metasploit
- Es importante que aprendas Seguridad informática Mobile ya que usamos nuestro celular como una PC
- Veremos también el top 10 de Owasp Web
- Veremos también el top 10 de Owasp mobile
- Veremos también el top 10 de Owasp API
- Ante la demanda del mercado, te enseñare Seguridad informática para empresas
- Veras también la suit de herramientas de seguridad informática en un sistema operativo, Kali Linux
- Herramientas de hacking para el celular en Termux
- Seguridad informática en WordPress
- Análisis de trafico en Wireshark
El Hacking Ético y Ciberseguridad es Transversal a todo lo que sea Tecnología. Es decir, cualquier dispositivo inteligente, sea Celular, Computadora, o hasta hoy un Vehículo, debe haber Seguridad informática.
¿Esto que significa?
Que hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.
Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.
Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.
Y si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.
Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre los autores
Álvaro Chirou
Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:
Laprovittera Carlos
Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:
¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.