Beruflich Dokumente
Kultur Dokumente
Seguridad de la Informacin
Gua Tcnica
HISTORIA
FECHA
1.0.0
12/31/2014
CAMBIOS INTRODUCIDOS
del documento
TABLA DE CONTENIDO
PG.
ACTIVIDADES POST-INCIDENTE........................................................................................... 19
Lecciones Aprendidas: .......................................................................................................... 19
ROLES Y PERFILES NECESARIOS PARA LA ATENCIN DE INCIDENTES ..... 21
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Informacin
con derechos reservados por parte del Ministerio de Tecnologas de la Informacin
y las Comunicaciones.
Para el desarrollo de esta gua, se recogieron aspectos importantes de mejores
prcticas y documentos de uso libre por parte del NIST (National Institute of
Standards and Technology (Computer Security Incident Handling Guide), tomando
como base los lineamientos recomendados en Norma la ISO IEC 27001 2013
Numeral 16 de la misma, para la gestin de incidentes.
AUDIENCIA
INTRODUCCIN
Este anexo entrega los lineamientos bsicos para poner en marcha un Sistema de
Gestin de Incidentes de Seguridad de la informacin, a travs de un modelo
propuesto, el cual est concebido para que se puedan integrar los incidentes de
seguridad sobre los activos de informacin, independiente del medio en el que se
encuentren.
Esta gua le permitir a las entidades estar preparadas para afrontar cada una de
las etapas anteriores, y adicionalmente definiendo responsabilidades y
procedimientos para asegurar una respuesta rpida, eficaz y ordenada a los
incidentes de seguridad de la informacin.
Para definir las actividades de esta gua se incorporaron componentes definidos por
el NIST alineados con los requerimientos normativos de la NTCISOIEC 270012013 para la estrategia de Gobierno en Lnea.
Es recomendable que las entidades creen un equipo de atencin de incidentes de
seguridad en cmputo CSIRT , quienes se encargaran de definir los procedimientos
a la atencin de incidentes, realizar la atencin, manejar las relaciones con entes
internos y externos, definir la clasificacin de incidentes, y adems de esto se
encargaran de:
Porttiles Forenses:
Analizadores de protocolos.
Software de adquisicin.
Software para recoleccin de evidencia.
Kit de respuesta a incidentes.
Software de anlisis forense.
Medios de almacenamiento
DETECCIN Y ANLISIS
Deteccin
Identificacin y Gestin de Elementos Indicadores de un Incidente
Los indicadores son los eventos que nos sealan que posiblemente un incidente ha
ocurrido generalmente algunos de estos elementos son:
Logs de servidores
Logs de aplicaciones
Logs de herramientas de seguridad
Cualquier otra herramienta que permita la identificacin de un incidente de
seguridad
Anlisis
Las actividades de anlisis del incidente involucran otra serie de componentes, es
recomendable tener en cuenta los siguientes:
para facilitar esta tarea la entidad debe poseer una estrategia de contencin
previamente definida para poder tomar decisiones por ejemplo: apagar sistema,
desconectar red, deshabilitar servicios.
Ejemplo
Estrategia de contencin
Acceso no autorizado
Bloqueo de cuenta
Cdigo Malicioso
Acceso no autorizado
Reconocimiento
Scanning de puertos
Criterios Forenses
Dao potencial y hurto de activos
Necesidades para la preservacin de evidencia
Disponibilidad del servicio
Tiempo y recursos para implementar la estrategia
Efectividad de la estrategia para contener el incidente (parcial o total)
Duracin de la solucin
Ejemplo
Estrategia de erradicacin
DoS (denegacin de
servicio)
SYN Flood
Virus
Gusano en la red
Correccin de efectos
producidos. Restauracin de
backups
Vandalismo
Intrusin
Instalacin de un rootkit
Ejemplo
Estrategia de recuperacin
DoS (denegacin de
servicio)
SYN Flood
Virus
Gusano en la red
Correccin de efectos
producidos. Restauracin de
Backups
Vandalismo
Intrusin
Instalacin de un Rootkit
ACTIVIDADES POST-INCIDENTE
Las actividades Post-Incidente bsicamente se componen del reporte apropiado del
Incidente, de la generacin de lecciones aprendidas, del establecimiento de
medidas tecnolgicas, disciplinarias y penales de ser necesarias as como el
registro en la base de conocimiento para alimentar los indicadores.
Lecciones Aprendidas:
Una de las partes ms importantes de un plan de respuesta a incidentes de TI es la
de aprender y mejorar. Cada equipo de respuesta a incidentes debe evolucionar
para reflejar las nuevas amenazas, la mejora de la tecnologa, y las lecciones
aprendidas. Mantener un proceso de "lecciones aprendidas" despus de un