Plan de respuestas a incidentes

Vanessa Gómez Deossa

Juan Camilo Muñoz
Juan Camilo Restrepo
Cristian Camilo Sepúlveda
Alexander Javier Henao
Marvin Santiago Álvarez

Administración de Redes de Computadores

Modulo de Seguridad

Fernando Quintero

Sena – Antioquia
2010
 Índice

Introducción 3
Objetivos 4
Plan de respuestas a incidentes 5
1.0 Descripción General 5
2.0 Propósito 5
3.0 Objetivos de la respuesta a incidentes 5
4.0 Definición de incidente 5
5.0 Planificación de incidentes 5
6.0 Ciclo de vida a la respuesta a incidentes 6
1. Preparación para incidentes 6
2. Descubrimiento 6
3. Notificación 7
4. Análisis y evaluación 7
5. Estrategia de respuestas 7
6. contención 7
7. prevención de la re-infeccion 7
8. Restaurar los sistemas afectados 8
9. Documentación 8
10. Preservación de pruebas 8
11. Evaluar los daños y el costos 8
12. Revisión y actualización de políticas de respuestas 8
Conclusiones 10
 Introducción

Este trabajo obedece a una investigación llevada a cabo en internet y practicas

en la institución, fue realizado como parte de nuestro proceso de formación se
presenta como una evidencia de conocimientos adquiridos en el área de
seguridad de la red.

Este Plan incluye una fuente de información completa y accesible, a fin de

brindar a la entidad una capacidad de respuesta eficiente y oportuna, que
garantice la protección de la información de la entidad.
 Objetivos.

Obtener los conocimientos respectivos para la correcta elaboración e

implementación de un plan de respuestas incidentes de la entidad.

Comprender y analizar una entidad para saber que medidas se deben

implementar en caso de que se nos presente un incidente y como responder a
ello inmediatamente para evitar daños críticos
Plan de Respuesta a Incidentes

1.0 Descripción General

Este plan de respuesta a incidentes define las pautas de lo que se debe de

realizar en caso de incidente de seguridad en el área de la informática y
obtiene las fases de respuesta a incidentes en un momento dado. Este
documento muestra como minimizar los daños, evaluar el incidente, que hacer
cuando se nos presente un incidente y como responder a ello.

2.0 Propósito

Este documento se implemento con el objetivo de que hacer al momento de

presentarse en la entidad un incidente de alto riesgo.

3.0 Objetivos de la Respuesta a Incidentes

1. Asegurarse de que el incidente si se ha producido en la entidad

2. Mitigar el impacto del incidente.
3. Encontrar la forma como el atacante se ha convertido en el incidente de
la entidad.
4. Prevenir futuros ataques o incidentes.
5. Mejorar la seguridad y respuesta a incidentes.
6. Mantenerse informado de la gestión de la situación y la respuesta a la
entidad.

4.0 Definición de Incidente

Un problema en la entidad puede causar ciertos tipos de incidentes tales como:

1. Pérdida de información confidencial de nuestra entidad Uniaries

afectando la confidencialidad, integridad y disponibilidad de la misma.
2. Si nuestra entidad no cuenta con aplicaciones, software o servicios
de seguridad nuestra información podría ser modificada por alguien
no autorizado de la entidad.
3. Robo de activos físicos informáticos tales como computadoras,
dispositivos de almacenamiento, impresoras, etc.
4. Daños a los activos físicos informáticos incluyendo computadoras,
dispositivos de almacenamiento, impresoras, etc
5. Denegación de servicio.
6. Uso indebido de los servicios, información o activos de la entidad.
7. Infección de los sistemas por software no autorizado.
8. Intento de acceso no autorizado.
9. Cambios no autorizados a la organización de hardware, software, o la
configuración.
10. Respuesta a las alarmas de detección de intrusos.

5.0 Planificación de Incidentes

En caso de tener uno o varios incidentes en la entidad haremos lo siguiente:

 1. Defino y aclaro las listas de respuestas a incidentes y sus
responsabilidades.
2. Establezco los procedimientos detallados de las medidas a tomar
durante el incidente.
1. Detallo las acciones basadas en el tipo de incidente tales como
virus, intrusiones de hackers, robo de datos, sistema de
destrucción.
2. Evaluaremos los procedimientos adecuados para identificar los
aspectos críticos que han ocurrido en la entidad.
3. Examinaremos si el incidente está en curso o realizado.
4. Si es posible recuperar información importante de la entidad que
halla sido perjudicada por cualquier tipo de incidente

6.0 Ciclo de Vida a la Respuesta a Incidentes

1. Preparación para incidentes

1. Políticas y Procedimientos
1. establecer las políticas de Seguridad.
2. Seguir los procedimientos de Respuesta a Incidentes.
3. Seguir los procedimientos de Recuperación y Backup.
2. Implementar políticas con herramientas de seguridad que
incluyen firewalls, sistemas de detección de intrusos, y otros
elementos necesarios.
3. Colocar avisos de advertencia contra el uso no autorizado en los
puntos de acceso del sistema.
4. Establecer directrices de respuesta considerando y discutiendo
posibles escenarios.
5. Capacitación de los usuarios sobre la seguridad y entrenar a
personal de TI en el manejo de situaciones de seguridad y el
reconocimiento de intrusiones.
6. Debe haber una lista de contactos con los nombres figurando la
prioridad de los contactos. Persona de emergencia
7. Prueba del proceso.

2. Descubrimiento
Alguien de nuestra entidad descubre que algo no anda bien o es sospechoso de
un posible incidente. Esto quizás puede provenir de cualquiera de las
siguientes fuentes:

1. Sistema de detección de intrusos (IDS)

2. Un administrador de red de la entidad
3. Un administrador del firewall
4. Un equipo de monitoreo contratado por la entidad.
5. Personal administrativo de la entidad
6. El departamento de seguridad o una persona de seguridad.
7. Una fuente externa a la entidad.
 3. Notificación

El procedimiento de contacto de emergencia se utiliza para ponerse en

contacto con el equipo de respuesta a incidentes al momento de que pueda
pasar la falencia.

4. Análisis y Evaluación - Son muchos los factores que determinarán la

respuesta adecuada, lo cual incluye:
1. Real: Seguir los procedimientos respectivos para para eliminar
el incidente.
Percibido: verificar y analizar si es real para tomar medidas contra
el.
2. Buscar medidas mientras se encuentra la solución para detener
la intrusión.
3. En el área de informática se verán afectados equipos de
computo en los datos como la base de datos ya que se puede
afectar la información de la entidad y seria critico para ella.
4. Aunque la entidad cuenta con información importante, el
impacto del incidente sera depende como lo ataquen como lo
puede ser grave para la entidad también puede no ser tan critico.
5. los atacantes se enfocaran en atacar la parte de la entidad
donde mayor información importante hay, así afectando a la
entidad en el área de informática.

5. Estrategia de respuesta

1. La respuesta a un caso de intrusión debe ser rápida o por lo menos ver la

forma de que nos de tiempo para mitigar el incidente.
2. Si el incidente lo detecta r nuestro sistema IDS se generara un alerta de
seguridad que nos avisara.
3. Sise genera alguna alerta se debe considerar analizar si es una atacante o
no y se merece una prevención.

6. Contención - Adoptar medidas para prevenir nueva intrusión o daño y

eliminar la causa del problema. Puede necesitar:

1. Desconectar el sistema que tubo intrusión.

2. Cambiar las contraseñas o generar políticas para que la contraseña sea de
carácter fuerte.
3. Bloquear algunos puertos o cambiarlos y bloquear algunas conexiones

7. Prevención de la re-infección

1. Determinar la forma en que ocurrió la intrusión. Determinar la

fuente de la intrusión si vía email, ataque a través de un puerto,
un ataque a través de servicios, o si es debido al ataque sin
parchar los sistemas o aplicaciones.

2. Tomar medidas inmediatas para evitar una nueva infección:

 1. Cerrar los puertos de los servidores que no se este
utilizando
2. Revisar el sistema que fue afectado para poder tomar
medidas frente la intrusión.
3. Volver a instalar el sistema, utilizar las copias de
respaldo y asegurarnos que las copias se hayan
realizado antes de la intrusión.
4. Información a los empleados y usuarios de la entidad.
5. Desactivar los servicios sin utilizar en el sistema
afectado.

8. Restaurar los sistemas afectados: Para restaurar los sistemas

afectados hay que conservar las pruebas en contra de la intrusión,
asegúranos de tener respaldos del sistema y que sean del sistema
afectado. Puede incluir lo siguiente:

1. Vuelva a instalar el sistema afectado (s) a partir de cero y la

restauración de datos de copias de seguridad si es necesario.
Asegúrese de conservar las pruebas en contra de la intrusión de
copias de seguridad de los registros o, posiblemente, todo el
sistema.
2. Los usuarios deben cambiar las contraseñas, si las contraseñas
han sido interceptadas e informales que deben se fuertes y no
divulgarlas.
3. Asegúrese de que el sistema está completamente parchado.
4. Asegúrese de que la protección antivirus en tiempo real y
detección de intrusos se está ejecutando.

9. Documentación – Se debe elaborar un documento sobre lo que se

descubrió del incidente incluyendo la forma en que se produjo la
intrusión, cuando se produjo el ataque y si hay respuesta y si es
efectiva.

10. Preservación de pruebas – Hacer copias de los registros de intrusión

y mantener las listas de testigos.

11. Evaluar los daños y el costo Evaluar si los daños a la entidad y

estimación de costos.

12. Revisión y actualización de políticas de respuesta

1. Considerar si implementar una política podría haber evitado la

intrusión al sistema.
2. Considerar si una política o procedimiento no se siguió, lo que
permitió la intrusión y mejorarla.
3. Estudiar si la respuesta al incidente fue la apropiada o no y ver
como podemos mejorarla.
4. Informar a las partes interesadas.
5. Revisar que todos sistemas estén parcheados, que se estén
cumpliendo las política para el cambio de contraseñas y que los
antivirus estén actualizados
6. Se deberán crear políticas de seguridad cada vez que el
administrador lo crea necesario para evitar una intrusión al
sistema.
 Conclusiones

Con este trabajo obtuvimos conocimientos necesarios para la elaboración de

un plan de respuestas incidentes de una entidad.

Mostramos como podemos mitigar los daños, evaluar el incidente, que hacer
cuando se nos presente un incidente y como responder a ello.