GESTIÓN DE INCIDENTES Y RESPUESTAS
Módulo 1: Visión general y respuesta a incidentes
Es importante para afrontar los incidentes con rapidez y eficacia.
- Confidencialidad
- Disponibilidad
- Integridad
Gestión de incidentes es la capacidad para administrar sucesos u hechos que no son previstos, y mantener y restaurar las actividades dentro de limites de tiempo establecidos.
Continuidad de negocio es una metodología que permite la recuperación y restauración de las funciones críticas parcial o totalmente, luego de que haya ocurrido un incidente o desastre.
El alcance de la gestión de incidentes:
Garantiza que eventos adversos sean detectados, registrados y gestionados para limitar su impacto.
- La organización debe enfocarse en la prevención de incidentes.
- Centrados en detección y reporte de incidentes.
Las ventajas de la gestión de incidentes:
- Permite responder incidentes de forma eficiente.
- Permite la mejora continua y el tratamiento de incidentes.
- Permite facilitar la recuperación.
- Permite generar una base de conocimientos.
- Permite evitar repetición de incidentes.
Tratamiento de incidentes
- Detección y reporte
- Priorización de emergencias
- Análisis
- Respuesta a incidentes
Gestión eficaz de incidentes
Procesos de soporte que permiten validar los incidentes a partir de errores y problemas. También se ve gestión de vulnerabilidades y cursos de concientización sobre seguridad.
Respuesta a los incidentes
Se realiza la planificación, coordinación y ejecución de las estrategias y acciones de mitigación y recuperación.
Modulo 2: Metodologías para la gestión de incidentes
Ciclo de cuatro etapas:
Etapa de preparación es el pilar fundamental para le gestión de incidentes. Esta etapa contempla el establecimiento de la capacidad de respuesta a incidentes como la preveción de estos. La capacidad de respuesta permite una reacción eficiente ante la aparición de un incidente. Es necesario contemplar un factor vital en lo que respecta a la respuesta frente a un incidente.
Factores:
- Existencia de personal para la respuesta a incidentes
- Existencia de de documentación sobre sistemas y redes
- Evaluación de informes de actividad
Detalles: (basado respectivamente de los factores)
- Puede estar compuesto por un equipo o ser posiciones unipersonales.
- Permite determinar el inventario de los activos.
- Permite obtener información de redes y sistemas.
Etapa de detección y análisis
Etapa en la cual se puede afectar toda la organización. La detección de signos indicadores y precursores de incidentes pueden ser determinantes para mejorar la respuesta a incidentes.
Indicadores: Signos que indican la ocurrencia de un incidente.
Precursores: Determinar la posibilidad de existencia de un incidente en el futuro.
En base a los indicadores y precursores se puede determinar distintas fuentes:
- Alerta de software, en sistemas de detección y prevención de intrusos (IDS/IPS), antivirus, firewall, sistemas de monitoreo, entre otros.
- Logs, especifica eventos ocurridos en el sistema de vital importancia para la organización.
- Personal, empleados de la compañía que informan de la materialización de un incidente.
- Información pública, contempla la existencia de vulnerabilidades, exploits, sitios web, foros, etc.
Consideraciones:
Las actividades dentro de las redes brindan información para la detección y análisis de los incidentes. Se usan para establecer parámetros y mediciones sobre el comportamiento natural de la red.
Logs suelen estar relacionados con firewalls, IDS e IPS.
Es necesario realizar la priorización de incidentes. Lo cual consisten en la clasificación del incidente.
Por último, se debe notificar el incidente.
Etapa de contención, resolución y recuperación
Las estrategias de contención son la primera instancia para resolver el incidente. Así mismo, se debe corroborar si es necesario eliminar algún componente asociado al incidente y proceder a la recuperación de la operatividad de la organización.
Las actividades de resolución se realizan para poder llevar a cabo la eliminación de los componentes asociados al incidente y a otras actividades que se consideran adecuadas a resolver.
Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar backups, reemplazar componentes, instalar actualizaciones, cambiar contraseñas, entre otras.
Acciones posteriores al cierre
Una vez que el incidente ha sido contenido y se llevó acabo el proceso de recuperación correspondiente, se debe realizar un estudio analizando las características del incidente, el impacto y las acciones que se realizaron para la detección, análisis y recuperación.
Por último es recomendable el ejercicio de analizar las métricas sobre los tipos de incidentes que han ocurrido en la empresa y la frecuencia de los mismos.
Módulo 3: Plan de respuestas a incidentes
Plan de respuesta a incidentes
Es un plan donde se detallan las acciones requeridas a ser realizadas cuando ocurre un incidente.
Elementos de un plan de respuestas a incidentes
Elementos de un plan de respuestas a incidentes
- Fase de Preparación
Fase en la cual la organización desarrolla un plan antes de la ocurrencia de algún incidente. En primera instancia se debe establecer el enfoque, políticas, planes de comunicación y advertencias. Estandarizar canales de comunicación. Definir criterios para reportar incidentes a autoridades competentes. Finalmente, se debe contar con un lugar seguro para llevar acabo el proceso de recuperación.
- Fase de Identificación
Esta etapa permite reconocer el suceso para luego tomar las acciones necesarias, las actividades que comprenden esta fase son: asignación y administración del incidente, verificar reportes, asignar cadena de custodia sobre las evidencias y determinar escala y gravedad del incidente.
- Fase de Contención
Esta fase tiene como propósito la limitación de la exposición que puede sufrir la organización como resultado de un incidente. Algunas de las actividades que se ejecutan en esta fase son: activar al equipo de gestión de respuesta a incidentes para retener el suceso, notificar a las partes afectadas, involucrar al área de TI para implementar métodos y medidas de contención, obtener y mantener evidencia, documentar y generar respaldos de datos.
- Fase de Erradicación
Esta fase se encarga de eliminar la causa del incidente. Las actividades en esta fase son las siguientes: determinar la causa del incidente, estimar las versiones más recientes de los respaldos con los que se cuenta, eliminar la causa raíz y análisis para detectar nuevas vulnerabilidades.
- Fase de Recuperación
Garantiza que los servicios afectados sean restablecidos y queden totalmente funcionales. Las actividades a realizar son las siguientes: restablecer las operaciones a su estado normal, validar las acciones que fueron tomadas y informar a los afectados.
- Fase de Lecciones aprendidas
Elaboración de un reporte donde se informe todo el suceso, las acciones y los resultados. Las actividades a realizar son las siguientes: redactar un reporte detallando todos los aspectos del incidente, analizar el problema y proponer mejoras, y presentar reportes.
Desarrollo de planes de respuestas y recuperación
Modulo 4: Plan de respuesta y recuperación
La necesidad de desarrollar un plan de respuestas y recuperación surge con el fin de restablecer las actividades en la organización. Así mismo, es importante considerar la capacidad de monitoreo con la que cuenta la organización, ya que tendrá un impacto directo sobre la detección de amenazas. Además ayuda al balance entre riesgo y costo que se desea asumir.Desarrollo de planes de respuestas y recuperación
Existen diversas estrategias para la recuperación de información crítica, una de las más efectivas es atender los eventos que pueden ocurrir con tiempos de recuperación aceptables, con relación a los costos. En este sentido, el costo total de la capacidad de recuperación es igual a la suma de los costos de preparación y de la utilización.
Tratamiento de amenazas
Tratamiento de amenazas
depende de su naturaleza, necesidades y priorización del incidente. Para esto se deben contemplar las siguientes estrategias:
Es importante considerar que los planes puedan ejecutarse de forma correcta, también se debe tener en cuenta la notificación y escalamiento para aumentar la eficacia del plan.
- Eliminar la amenaza
- Minimizar la posibilidad de ocurrencia de otra amenaza
- Minimizar los efectos de la amenaza en caso de ocurrencia de un incidente
Ejecución de planes de respuesta y recuperación
Es importante considerar que los planes puedan ejecutarse de forma correcta, también se debe tener en cuenta la notificación y escalamiento para aumentar la eficacia del plan.
- La ejecución de planes según los requerimientos, lograr un grado de certeza de que la organización puede recuperar sus funciones apropiadamente ante un incidente.
- El proceso de escalamiento, consiste en priorizar la información del evento para determinar cuando se debe alertar a grupos que componen la empresa.
- Proceso de notificación, sirve para la notificación oportuna,.
- Operación de recuperación, se debe revisar el progreso para garantizar la continuidad del negocio en el menor tiempo posible, así mismo se deben contemplar sitios de recuperación en caso de desastre.
- Revisiones, aprender del esfuerzo de respuestas y recuperación. Finalmente, realizar revisiones y procedimientos de seguimiento.
- Identificar causas, se debe contemplar quien estuvo involucrado, cual fue el incidente, como y donde se origino y cual fue el motivo.
- Revisiones posteriores al incidente y seguimiento, proposito de mejora continua del programa de seguridad.
