Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Introduccin a la Administracin y Manejo de Incidentes

Jos Alfredo Torres Solano DSA 213

Manejo y Respuesta a Incidentes

Un incidente de seguridad es un evento que afecta adversamente el uso de equipos de cmputo Incluye:
Prdida

de la confidencialidad de la informacin Compromiso de la integridad de la informacin Negacin de servicios Acceso no autorizado a los sistemas Robo o dao a los sistemas Otros incluyen: ataque de virus e intrusiones

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Manejo y Respuesta a Incidentes

Fases para la respuesta a incidentes

Planeacin y preparacin Deteccin Inicio Evaluacin Contencin Erradicacin Respuesta Recuperacin Cerrar Revisin posterior al incidente Lecciones aprendidas

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Manejo y Respuesta a Incidentes

Definicin de roles y responsabilidades

Un

coordinador entre dueos de los procesos del negocio Un director encargado del equipo de respuesta a incidentes Administrador (es) para el manejo de incidentes individuales Especialistas en seguridad para detectar, investigar y recuperacin de incidentes Especialistas tcnicos en otras reas de conocimiento (no seguridad) Lder de la unidad de negocios (legal, recursos humanos, relaciones pblica, etc.)
Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Manejo y Respuesta a Incidentes

En forma ideal una organizacin deber de contar con un CSIRT o con un CERT

CSIRT equipo de respuesta a incidentes de seguridad en cmputo (Computer Security Incident Response Team) CERT equipo de respuesta a emergencias de cmputo (Computer Emergency Response Team) Lneas claras para reporte, y responsabilidades que soporten esta actividad deben ser establecidas

El CSIRT debe:

Diseminar alertas de seguridad tales como amenazas recientes, directrices de seguridad, actualizaciones de seguridad y asistir a los usuarios a que entiendan los riesgos de seguridad de errores u omisiones Servir como punto de contacto nico para todos los incidentes o asuntos relacionados con la seguridad de la informacin
Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Manejo y Respuesta a Incidentes

El auditor debe asegurar que el CSIRT est involucrado en forma activa para asistirlos en la mitigacin de riesgos por fallas en la seguridad o para prevenir incidentes de seguridad El auditor debe asegurar que exista un plan formal documentado sobre incidentes de seguridad tales como:

Ataque por virus Modificacin a pginas Web Notificacin de abuso Alertas de acceso no autorizado de las pistas de auditora Alertas de ataque de seguridad de los sistemas de deteccin de intrusos Robo de hardware o software Compromiso de las cuentas de administrador (root) Fallas en la seguridad fsica Spyware, malware, troyanos detectados en las PCs Informacin falsa difamatoria en los medios Investigacin forense

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Marco para Planeacin de la Continuidad del Negocio y Administracin de Incidentes (Auditora)

Marco para planeacin de la continuidad del negocio

El marco desde el punto de vista del Auditor, debe considerar los siguientes requerimientos:
Las

condiciones para la activacin del plan y que describe el proceso a ser seguido antes de la activacin del mismo Procedimientos de emergencia, que describen las acciones a ser tomadas durante y despus del incidente Procedimientos de retorno (fallback) que indican las acciones a ser tomadas para llevar actividades esenciales del negocio a ubicaciones alternas, y traer de regreso el proceso de negocio de acuerdo al marco de tiempo definido
Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Marco para planeacin de la continuidad del negocio

Procedimientos

de operacin temporal a ser seguidos durante el tiempo en que es puesto en marcha los procesos de recuperacin o restauracin Procedimientos a ser usados para la restauracin de la operacin a su forma normal de operacin del negocio Actividades de educacin y entrenamiento diseadas para el entendimiento de los procesos de continuidad del negocio, y que aseguren que la continuidad de procesos sea efectiva
Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Marco para planeacin de la continuidad del negocio

Definir

las responsabilidad de los individuos, describiendo quien es el responsable de la ejecucin de los componentes del plan. Suplentes o alternativos deben ser identificados Verificar que todos los recursos crticos y necesarios para la ejecucin de los planes de emergencia, recuperacin y restauracin estn disponibles Existencia de Planes para el manejo se incidentes Verificacin de la existencia de un grupo de respuesta a incidentes
Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Marco para planeacin de la continuidad del negocio

El auditor debe asegurar que exista un plan formal documentado sobre incidentes de seguridad tales como:

Ataque por virus Modificacin a pginas web Notificacin de abuso Alertas de acceso no autorizado de las pistas de auditora Alertas de ataque de seguridad de los sistemas de deteccin de intrusos Robo de hardware o software Compromiso de las cuentas de administrador (root) Fallas en la seguridad fsica Spyware, malware, troyanos detectados en las PCs Informacin falsa difamatoria en los medios Investigacin forense

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Seguridad, Auditora y Continuidad de Redes Telecomunicaciones

Introduccin a la Administracin y Manejo de Incidentes

Jos Alfredo Torres Solano, MCC CISA OPST jtorres@tecninfo.com.mx