9060543
RESPUESTA ANTE INCIDENTES DE
SEGURIDAD
- 3.1 Definicion
ante un Incidente
de seguridad
- Actividades
- 1. Constitucion un equipo de Respuesta a incidentes
- 2. Definicion de una guia de procedimientos
- 3. Analisis del Incidente
- 4. Contencion, Erradicacion y recuperacion
- 5. Identificacion del atacante y posibles actuaciones legales
- 6. Documentacion del incidente de seguridad
- 7. Analisis y revision posterior al incidente
- 1. Constitucion un equipo de Respuesta a incidentes
- Equipo de respuesta a
Incidentes de Seguridad
Informatica (CSIRT)
- Esta constituido por las personas que cuentan con la
experiencia y la formacion para poder actuar ante las
incidencias y desastres que afectan la seguridad de la
informacion.
- La organizacion debera mantener
actualizada la lista de direcciones y
telefonos de contactos para
emergencias.
- Se debe realizar formacion continua de los
miembros del Equipo de Respuesta a
Incidentes.
- El equipo de contar con la dotacion de
medios tecnicos y materiales necesarios
para poder cumplir con eficacia su mision.
- Esta constituido por las personas que cuentan con la
experiencia y la formacion para poder actuar ante las
incidencias y desastres que afectan la seguridad de la
informacion.
- Procedimientos y
actividades a realizar
- La organizacion debe definir una guia
de actuacion clara y detallada de los
procedimientos para la restauracion
rapida y eficiente.
- El objetivo de la guia es conseguir
una respuesta sistematica ante los
incidentes de seguridad.
- Una buena guia permitira minimizar los
daños ocasionados y facilitar la
recuperacion.
- Debe tratar las cuestiones legales
que se pudieran derivar de cada
incidente de seguridad.
- El objetivo de la guia es conseguir
una respuesta sistematica ante los
incidentes de seguridad.
- La organizacion debe definir una guia
de actuacion clara y detallada de los
procedimientos para la restauracion
rapida y eficiente.
- Actividades
- 3.2 . Deteccion ante un
incidente de seguridad:
Recoleccion de
Informacion
- La organizacon debera prestar atencion
a los siguientes indicadores de posibles
incidentes de seguridad:
- 1. Precursores de un ataque: como el
escaneo de puertos, el escaneo de
vulnerabilidades, reconocimiento de
versiones de S.O y aplicaciones
- 2. Alarmas generadas en los Sistemas de
Deteccion de Intrusos (IDS), antivirus y
cortafuegos
- 3. Registro de actividad extraña
en los LOGS de los servidores y
dispositivos d red.
- 4 Caida o mal
funcionamiento de algun
servidor.
- 5. Cambios en la
configuracion de los
equipos de red.
- 6. Aparicion de herramientas
no autorizadas en el sistema
- 1. Precursores de un ataque: como el
escaneo de puertos, el escaneo de
vulnerabilidades, reconocimiento de
versiones de S.O y aplicaciones
- La organizacon debera prestar atencion
a los siguientes indicadores de posibles
incidentes de seguridad:
- 3.3. Analisis de un
incidente de
seguridad.
- Se utilizaria una Matriz de Diagnostico
para apoyar al personal frente a
incidentes de seguridad
- Se debe realizar una valoracion de los
daños y de los posibles consecuencias
para establecer una orden de
prioridades.
- Prioridad uno: Proteger la vida
humana y la seguridad de las
personas.
- Prioridad dos: Proteger
los datos e informacion
de la empresa.
- Prioridad tres: Proteger
otros datos de la empresa.
- Prioridad cuatro: Prevenir daños
en los sistemas informaticos
- Prioridad cinco: Minimizar la
interrupcion de los servicios
- Prioridad uno: Proteger la vida
humana y la seguridad de las
personas.
- Se utilizaria una Matriz de Diagnostico
para apoyar al personal frente a
incidentes de seguridad
- 3.4 Contencion,
Erradicacion y
Recuperacion
- El equipo de respuesta debe elegir una
estrategia de CONTENCION.
- Una primera opcion seria
llevar a cabo una rapida
actuacion del incidente.
- Apagar todos los equipos
afectados, desconexion de los
equipos de red, desactivar
algunos servicios.
- Apagar todos los equipos
afectados, desconexion de los
equipos de red, desactivar
algunos servicios.
- Una primera opcion seria
llevar a cabo una rapida
actuacion del incidente.
- La ERRADICACION se lleva a
cabo para eliminar los agentes
causantes del incidente.
- Puertas traseras, rootkits, codigos
malignos, y material inadecuado
introducido en los servidores.
- Puertas traseras, rootkits, codigos
malignos, y material inadecuado
introducido en los servidores.
- La RECUPERACION es la etapa
en la que se trata de restaurar
los sistemas para volver a su
normalidad
- Se debe reinstalar los sistemas
operativos, aplicaciones y
configuraciones de los servicios,
instalacion de los parches y
actualizaciones de seguridad.
- Se debe reinstalar los sistemas
operativos, aplicaciones y
configuraciones de los servicios,
instalacion de los parches y
actualizaciones de seguridad.
- El equipo de respuesta debe elegir una
estrategia de CONTENCION.
- 3.5. Identificacion del
atacante y posibles
actuaciones legales
- Es necesaria para
poder emprender
acciones legales
- Se debe presentar una
denuncia ante las
unidades policiales
especializadas en
ataques informaticos.
- Se debe presentar una
denuncia ante las
unidades policiales
especializadas en
ataques informaticos.
- Es necesaria para
poder emprender
acciones legales
- 3.6 Comunicacion
con terceros y
relaciones publicas
- La empresa debe comunicar la causa
y las posibles consecuencias de un
incidente de seguridad
- Deben estar provistos de los
contactos de los organismos de
respuesta a Incidentes (CERT) Y
las fuerzas policivas.
- Tener contactos con los
proveedores de Internet.
- Contactar los fabricantes de
softwares y hardware que se hayan
visto involucrados en el incidente
- Definir un plan de comunicacion
con los medios, agencias de
noticias, prensa, emisoras y TV.
- La empresa debe comunicar la causa
y las posibles consecuencias de un
incidente de seguridad
- 3.7 Documentacion
del Incidente de
seguridad
- El plan de respuesta debe
establecer como se tiene que
documentar un incidente de
seguridad reflejando claro lo
siguiente:
- Descripcion del Incidente. Hechos registrados.
Daños causados al sistema. Decisiones y
actuaciones. Comunicacion con terceros. Lista
de evidencias obtenidos.
- Descripcion del Incidente. Hechos registrados.
Daños causados al sistema. Decisiones y
actuaciones. Comunicacion con terceros. Lista
de evidencias obtenidos.
- El plan de respuesta debe
establecer como se tiene que
documentar un incidente de
seguridad reflejando claro lo
siguiente:
- 3.8 Analisis y revision a
posteriori del Incidente:
Verificacion de la
Intrusion
- Luego del incidente de seguridad
sera necesario elaborar un informe
final sobre el incidente, se debe
detallar:
- Investigacion sobre
las causas y las
consecuencias
- Estudio de la documentacion
generada por el equipo de
respuesta
- Evaluacion del coste del incidente
- Intercambio de informacion con otras
empresas e instituciones sobre el
incidente
- Adquisicion de
herramientas y recursos
para reforzar la seguridad
- Investigacion sobre
las causas y las
consecuencias
- Luego del incidente de seguridad
sera necesario elaborar un informe
final sobre el incidente, se debe
detallar:
- 3.9 Practicas
recomendadas por el
CERT/CC
- El CERT/CC ha propuesto una
serie de actividades para
mejorar la respuesta ante
incidentes informatico:
- Preparacion de la respuesta
ante incidentes de seguridad
- Definir un plan de actuacion y
procedimientos para responder al
incidente
- Documentacion del plan de actuacion.
- Comprobacion del que el plan de
actuacion y los procedimientos
cumplen con los requisitos legales
- Definir un plan de actuacion y
procedimientos para responder al
incidente
- Gestion del Incidente
de seguridad
- 2. Aislamiento de los equipos
afectados por el incidente
- 1. Captura y proteccion de
toda la informacion
asociada con el incidente
- 3. Aplicacion de soluciones de
emergencia
- 4. Eliminacion de todos los
medios que faciliten una
nueva intrusion
- 5. Recuperacion de la
actividad normal de los
sistemas afectados
- 2. Aislamiento de los equipos
afectados por el incidente
- Seguimiento del
incidente de
seguridad
- Identificacion de las lecciones y
principales conclusiones de cada
incidente.
- Implementacion de las
mejoras de seguridad
- Identificacion de las lecciones y
principales conclusiones de cada
incidente.
- Preparacion de la respuesta
ante incidentes de seguridad
- El CERT/CC ha propuesto una
serie de actividades para
mejorar la respuesta ante
incidentes informatico:
- 3.10 Obligacion legal
de notificacion de
ataques de incidencia
- Los websites estan obligados por ley a
informar a sus clientes cuando se haya
producido un incidente de seguridad en
sus sistemas informaticos
- Toda empresa afectada por un
ataque informatico debe
informar por correo electronico,
indicandole cualquier dato de
caracter personal
- Toda empresa afectada por un
ataque informatico debe
informar por correo electronico,
indicandole cualquier dato de
caracter personal
- Los websites estan obligados por ley a
informar a sus clientes cuando se haya
producido un incidente de seguridad en
sus sistemas informaticos
- 3.11 Plan de
recuperacion del
negocio
- Constituye un elemento fundamental para
garantizar una respuesta frente a desastres,
asegurando la integridad y la recuperacion de los
datos
- Debe contemplar la disponibilidad de los recursos y
medios que permitan restaurar el sistema informatico
- Disponibilidad de un centro
alternativo para la ubicacion de
los recursos informaticos
(Servidores, bases de datos)
- Existencia de Back-up
para las comunicaciones
- Sistema de almacenamiento
RAID en los servidores
- Herramientas para llevar a cabo
una replica de los documentos y
bases de datos.
- Disponibilidad de un centro
alternativo para la ubicacion de
los recursos informaticos
(Servidores, bases de datos)
- Debe contemplar la disponibilidad de los recursos y
medios que permitan restaurar el sistema informatico
- Constituye un elemento fundamental para
garantizar una respuesta frente a desastres,
asegurando la integridad y la recuperacion de los
datos
- 3.12 Organismos de
gestion de
incidentes
- Para combatir las diferentes amenazas que
afectan la seguridad de los sistemas
informaticos, se han creado varios
organismos especializados
- CERT/CC (Computer
Emergency Response
Team / Coordination
Center
- Es el primer y mas conocido equipo
de respuesta a Emergencias
Informaticas
- Es el primer y mas conocido equipo
de respuesta a Emergencias
Informaticas
- CERT INTECO
- Agencia Europea de
Seguridad de las leyes y
de la Informacion
- Fue creada con la finalidad de alcanzar un alto
nivel de seguridad en las redes y en el
tratamiento de la informacion de la Union
Europea
- Fue creada con la finalidad de alcanzar un alto
nivel de seguridad en las redes y en el
tratamiento de la informacion de la Union
Europea
- CSRC (Computer Security
Resource Center9
- El Centro de recursos de Seguridad
Informatica, es un centro
independiente del NIST
- El Centro de recursos de Seguridad
Informatica, es un centro
independiente del NIST
- US-CERT
- Es el Centro de Respuestas a
Incidentes de seguridad Inforamatica
- Es el Centro de Respuestas a
Incidentes de seguridad Inforamatica
- FIRST (Forum of Incident
Response and Security
Team)
- Creado con el objetivo de facilitar el
intercambio de informacion sobre incidentes
de seguridad entre sus miembros
- Creado con el objetivo de facilitar el
intercambio de informacion sobre incidentes
de seguridad entre sus miembros
- CERT/CC (Computer
Emergency Response
Team / Coordination
Center
- Para combatir las diferentes amenazas que
afectan la seguridad de los sistemas
informaticos, se han creado varios
organismos especializados
Want to create your own Mind Maps for free with GoConqr? Learn more.