Espieira, Sheldon y Asociados

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin
No. 9 - 2010
Contenido Cerrar Imprimir Pgina anterior Pgina siguiente

Boletn Digital // No. 9 - 2010

Contenido
Haga click en los enlaces para navegar a travs del documento

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Haga click en los enlaces para llegar directamente a cada seccin

4Introduccin 4Proceso de respuesta a incidentes 4Identicacin del incidente 4Clasicacin del incidente 4Noticacin del incidente 4Respuesta al incidente y contencin

4Recuperacin del incidente 4Evaluacin y reexin sobre el incidente 4Consideraciones Finales 4Crditos / Suscribirse

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Introduccin
Un incidente de seguridad puede ser descrito como cualquier evento que pueda comprometer el ambiente de Seguridad de Informacin (SI) de una organizacin. Los eventos de seguridad son inevitables; la diferencia radica en el tiempo requerido para su deteccin y en su impacto contra la organizacin. Por ejemplo, una organizacin que cuente con una estructura formal para la deteccin de vulnerabilidades y ataques, est expuesta al mismo nmero de eventos que aquella que no lo tenga. La diferencia va a radicar en la probabilidad que ese ataque impacte negativamente en la organizacin, y en el tiempo que sta incurra en recuperarse del mismo. Hoy en da, el crecimiento tecnolgico asociado a sistemas computarizados, redes y aplicaciones, trae consigo mayor dicultad en las actividades de monitoreo y respuestas a posibles incidentes de seguridad. En este sentido, las organizaciones deben estar preparadas para detectar y responder a intentos de acceso no autorizado o actividades ilegales contra los activos de informacin. La prdida de productividad y exposicin o la alteracin de informacin crtica pueden repercutir en poner a una organizacin fuera del negocio. Los incidentes de seguridad repercuten en la imagen organizacional y probablemente en los estados nancieros. A estos costos se suman los de investigacin forense, que por su especializacin pueden representar una porcin importante de la prdida, pero que son necesarios para determinar responsabilidades y medidas de accin para contrarrestar el riesgo. Para evitar estas situaciones, las organizaciones deben emprender actitudes proactivas para asegurar que sus ambientes estn preparados para identicar eventos, mitigar su impacto en el menor tiempo posible y el costo de la investigacin. Como parte de las investigaciones realizadas por nuestra Firma, un elemento fundamental para el proceso de respuestas a incidentes es el anlisis previo del riesgo tecnolgico. En general, esto reere a la denicin de un esquema destinado a la identicacin y minimizacin de aquellas vulnerabilidades que aquejan a la organizacin.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Introduccin (continuacin)
La Figura N1 muestra las principales causas de incidentes de SI reportadas por la empresas venezolanas, muchos de los cuales pueden ser prevenidos bajo esquemas de Anlisis de Riesgo Tecnolgico. Una vez identicadas las causas de estos incidentes, es necesario comentar las consecuencias experimentadas con el n de establecer bases para el Proceso de Respuesta a Incidentes. La Figura N2 muestra tales elementos, haciendo un comparativo entre los aos 2008 y 2009. Las principales consecuencias que presentaron las empresas encuestadas producto de la ocurrencia de incidentes de SI fueron las siguientes: Paralizacin parcial o total de las operaciones, Incumplimiento en la entrega de reportes, Dao en la imagen y reputacin de la organizacin. Pero ninguna organizacin puede considerarse inmune a la ocurrencia de eventos. Esta armacin introduce a la siguiente etapa en el ciclo de vida de la SI: La respuesta a incidentes.

Para visualizar la Figura No. 1 haga click en el icono.

Para visualizar la Figura No. 2 haga click en el icono.

Figura N 1: Principales causas de la ocurrencia de los incidentes de SI ao 2009 Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela

Figura N 2: Principales consecuencias de la ocurrencia de los incidentes de SI ao 2008 vs. 2009. Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Proceso de respuesta a incidentes

Las respuestas a incidentes comprenden un grupo de etapas que deben ejecutarse cuando un evento de seguridad ocurre. Un proceso de respuesta a incidentes ayuda a manejar correcta y ecientemente un evento. Asimismo, el diseo de un proceso para el monitoreo y respuesta a incidentes tambin apoya en la identicacin necesidades de recursos y asignacin de roles y responsabilidades. La Figura N 3 ilustra el proceso recomendado para monitorear y responder a incidentes de manera efectiva.
Para ampliar: haga click sobre la imagen

Identicacin del incidente

Para un mayor entendimiento de cmo se interrelacionan cada una de las etapas del proceso de respuesta a incidentes, la Figura N 4 muestra el ujo de acciones que ejecutara el equipo de respuesta denido. La organizacin debe determinar si el incidente es un evento de riesgo o una falsa alarma, esto es particularmente importante en el caso de ataques. En caso armativo, debe identicar el tipo especco de evento. Algunos tipos comunes de incidentes incluyen: Ataques a Website Ataques de denegacin de servicio Barrido de puertos (Scan) Sniffing Ingeniera social Acceso no autorizado Infeccin de virus Fallas de hardware

Para visualizar la Figura No. 4 haga click en el icono.

Identificacin

Clasificacin

Notificacin

Respuesta

Recuperacin

Post-Mortem

Figura N 3: Proceso de respuesta a incidentes Fuente: Technology Forecast PricewaterhouseCoopers

qRetorno

Figura N 4: Diagrama de ujo de acciones a seguir por el equipo de respuesta a incidentes. Fuente: Technology Forecast PricewaterhouseCoopers

Categorizar el incidente por tipo contribuye a hacer seguimiento y entender el riesgo al que se encuentra sometida la organizacin.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Clasicacin del incidente

Durante el proceso de clasicacin, le es asignado un nivel de severidad con la nalidad de controlar los recursos y el tiempo para afrontarlo. Para proveer un marco consistente en categorizar la severidad de los incidentes, la organizacin debe desarrollar una escala de calicacin, como se muestra a continuacin: Nivel de Severidad 1: Crisis Nivel de Severidad 2: Incidente serio Nivel de Severidad 3: Incidente Nivel de Severidad 4: Evento Durante una crisis, todo el tiempo y los recursos deben ser destinados a remediar el problema. El segundo nivel (Incidente serio), implica que el dao est ocurriendo a la organizacin, por lo que se requiere atencin inmediata para prevenir que el incidente escale a un nivel de crisis. Por ejemplo, ha sido expuesta informacin de cuentas de usuario que puede ser utilizada para realizar un acceso no autorizado. El tercer nivel (Incidente), es algo que debe ser resuelto, pero su nivel de urgencia es bajo. Por ejemplo, un IDS ha identicado un scan de la red interna de la organizacin. En este caso, la organizacin experimenta poco o ningn dao, pero el incidente es un indicador claro que alguien o algo est intentando identicar sistemas o encontrar vulnerabilidades que explotar. El cuarto nivel (Evento), es similar a un incidente, el cual debe ser resuelto, pero el grado de urgencia es menor. Por ejemplo, que una cuenta ha sido bloqueada despus de mltiples intentos fallidos de acceso, esto podra signicar que una persona no autorizada est intentando adivinar las credenciales de usuarios para ganar acceso al sistema. La clasicacin, debe determinar de manera precisa cules son las acciones que debern iniciarse y los niveles de noticacin del incidente, temas que abordamos a continuacin.

En esta escala, el nivel superior (Crisis), es el ms severo e indica que la organizacin est corriendo peligro. Por ejemplo, una situacin bajo esta categora sera un acceso no autorizado o borrado de la informacin almacenada en un servidor crtico.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Noticacin del incidente

Cuando un incidente ha sido identicado, el nivel de severidad determinar las personas apropiadas que deben ser noticadas de la ocurrencia de dicho incidente, con el n de que realicen las acciones adecuadas de acuerdo con sus roles y responsabilidades.

Respuesta al incidente y contencin

El diseo de patrones de respuesta para cada nivel de incidente, contribuye a realizar una evaluacin precisa del mismo, y permite coordinar las actividades de respuesta e investigacin. La fase de respuesta puede ocurrir en paralelo con las etapas clasicacin y noticacin. Las tres reas primarias en esta fase son: evaluacin, investigacin y soporte. Evaluacin. Comienza en el instante en que el incidente es identicado e implica la recoleccin de todos los datos relevantes sobre el incidente, por parte de los miembros del equipo de respuesta y la determinacin del impacto en las operaciones de la organizacin. Los miembros relevantes del equipo de respuesta a incidentes deben planicar las acciones de restauracin y cumplir con los requerimientos mnimos que se mencionan a continuacin: - Conexiones y retencin de evidencia: Identicar todas las conexiones activas desde y hacia el activo comprometido, y determinar la informacin que puede ser de inters para la investigacin. En este punto es importante establecer un balance entre la continuidad de las operaciones y los mtodos y fuentes de informacin existentes, ya que en muchas ocasiones, un mtodo riguroso de retencin de evidencia afectara algn proceso.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Respuesta al incidente y contencin (continuacin)

- Registro: Registrar cualquier actividad observada, si la actividad del incidente se encuentra en progreso. - Plan de recuperacin de desastres: Determinar la necesidad de la activacin de los planes de recuperacin de desastres o plan de continuidad del negocio. - Reemplazo: Determinar los recursos disponibles para reemplazar los activos afectados. Investigacin. La investigacin determina la causa y alcance del incidente. Identicar la causa contribuye a revelar las vulnerabilidades tcnicas que permitieron el evento. Esta actividad ayuda a identicar todas las mquinas e informacin comprometida, modicada o eliminada, y cualquier informacin o cdigo malicioso almacenado durante el incidente que sea utilizada para comprometer el resto de los componentes de red. El equipo debe identicar cules componentes fueron comprometidos, cuentas y contraseas pueden estar expuestas y todas las mquinas que comparten el mismo segmento de red. Los custodios de la informacin asisten al equipo de respuesta a incidentes, identicando y adquiriendo evidencia sobre la naturaleza y causa del incidente, mientras los miembros del equipo de respuesta a incidentes documentan y mantienen informado al lder de su equipo sobre todos los pasos de la investigacin. De considerarse apropiado, el lder del equipo de respuesta a incidentes, recolectar y documentar todos los registros necesarios para transferir la investigacin a las autoridades legales que corresponda. Soporte. El tiempo es un componente crucial durante un evento de respuesta a incidentes. Si el equipo de investigacin no puede tener acceso inmediato a los sistemas y redes afectadas, este retraso podra incrementar el alcance y la severidad del incidente. Una organizacin debe poseer un equipo de soporte tcnico que pueda proveer acceso a los recursos para sostener el esfuerzo de respuesta a incidentes.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Recuperacin del incidente

El objetivo primordial de la etapa de recuperacin es devolver los procesos de la organizacin a un estado seguro y operacional, de la manera ms eciente posible. La fase de recuperacin le permite a los usuarios evaluar el dao ocurrido, la informacin que se ha perdido y cul es el estatus del sistema posterior al ataque. Todas las mquinas comprometidas requieren ser recuperadas. La recuperacin depender del nivel de afectacin. En caso de cuentas compartidas y contraseas capturadas, que no fueron utilizadas para comprometer otros sistemas, un simple cambio de contraseas podra ser toda la recuperacin adecuada. Algunos incidentes pueden requerir la reconstruccin del sistema a partir de respaldos previos e instalacin original de las aplicaciones.

El proceso de recuperacin debe ocurrir fuera de lnea, siempre y cuando sea posible. Si la mquina es esencial para las operaciones, la organizacin debe considerar un reemplazo temporal, mientras el equipo es reconstruido y asegurado. Si es necesario reconstruir varias mquinas, todas deben ser llevadas a un estado fuera de lnea simultneamente y luego ser reconectadas una vez aseguradas. Los miembros del equipo de recuperacin de incidentes deben proveer instrucciones durante esta etapa, pero los custodios de la informacin deben realizar efectivamente la reconstruccin y aseguramiento de los sistemas.

Luego de haberse completado todas las evaluaciones y acciones investigativas, el lder del equipo de respuesta a incidentes debe proveer instrucciones a los custodios de informacin responsables de la recuperacin. Estos, a su vez, deben informarle sobre las acciones de recuperacin que se llevan a cabo para labores de seguimiento.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Evaluacin y reexin sobre el incidente

Una actividad post-mortem es una reunin que se lleva a cabo una vez que se haya resuelto el incidente. El propsito de la reunin es discutir las lecciones aprendidas y las mejoras que pueden ser implementadas para resolver de la mejor forma posible un evento similar en el futuro. Esta debe llevarse a cabo dentro de las dos semanas siguientes a la resolucin de cada incidente de seguridad o ataque simulado. Queda como responsabilidad del lder del equipo de respuesta a incidentes: Programar y liderar la reunin post-mortem Documentar las lecciones aprendidas Hacer seguimiento Desarrollar el reporte final, el cual debe incluir las acciones tomadas La sesin post-mortem debe enfocarse en los aciertos y fallas durante el proceso de respuesta al incidente e incluir a todos los participantes que trabajaron en la resolucin del incidente.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Consideraciones Finales

Como parte del desarrollo comercial y el crecimiento organizacional, las empresas se ven obligadas hoy en da en adoptar mejores prcticas y desarrollar iniciativas internas que deriven en la mejora de sus operaciones. Las estadsticas y el anlisis juicioso de los expertos de SI han logrado demostrar la importancia de mantener programas de actualizacin y mejoramiento continuo en materia de Tecnologa de Informacin debido al avance acelerado a donde la misma nos conduce, y que generalmente incorpora brechas de seguridad que son capitalizadas por los atacantes y acionados primero que los mismos proveedores.

Cunto le cuesta al negocio paralizar total o parcialmente sus operaciones?, Cunto cuestan los incumplimientos internos/externos?, Podran sacar ventaja de ellos nuestros competidores?, Cuntos negocios o clientes potenciales pudieron verse visto afectados?. Todas estas son preguntas que debemos hacernos a la hora de disear nuestro Proceso de Respuestas a Incidentes, asegurando siempre su interrelacin con otros procesos de anlisis continuo de la organizacin tales como: Acuerdos de niveles de servicio (SLAs), Acuerdos de niveles operativos (OLAs), Planes de continuidad de Negocio (BCP), evaluaciones independientes de seguridad, evaluaciones propias de controles (CSA), entre otras.

Un plan de respuesta a incidentes debe ser correspondiente a los objetivos del negocio, criticidad de las operaciones y a los recursos existentes dentro de la organizacin, pero fundamentalmente soportado sobre un equipo humano comprometido y calicado.

Boletn Digital // No. 9 - 2010

Boletn de Asesora Gerencial

Monitoreo y respuesta a incidentes de seguridad de la informacin

Contenido

Cerrar

Imprimir

Pgina anterior

Pgina siguiente

Si desea suscribirse haga click en la barra

El Boletn Asesora Gerencial es publicado por la Lnea de Servicios de Asesora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin de este material, Espieira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daos y perjuicios resultantes del uso de la informacin contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueos. PricewaterhouseCoopers niega cualquier derecho sobre estas marcas

El Boletn Asesora Gerencial es publicado por la Lnea de Servicios de Asesora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin

Editado por Espieira, Sheldon y Asociados Depsito Legal pp 1999-03CS141 Telfono master: (58-212) 700 6666

2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni podr ejercer control sobre el juicio profesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL. R.I.F.: J-00029977-3

Boletn Digital // No. 9 - 2010

Figura N 1: Principales causas de la ocurrencia de los incidentes de SI ao 2009

Regresar al boletn Aumentar Imprimir

20

18%

16% 15% 15 13% 11% 10 7% 15%

4%

0 Configuraciones de seguridad inadecuadas Uso abusivo de los recursos / privilegios Falla o Vulnerabilidades Vulnerabilidades Configuraciones deficiencia en el software en aplicaciones por defecto en el proceso de / hardware o procesos actualizacin del SW/HW Ingeniera social Otro

Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela

Boletn Digital // No. 9 - 2010

Figura N 2: Principales consecuencias de la ocurrencia de los incidentes de SI ao 2008 vs. 2009.

Regresar al boletn Aumentar Imprimir

30 27% 25% 27%

2008

25 22% 20 18% 14% 12% 10 6% 5 4% 1% 0 Paralizacin total o parcial de las operaciones Incumplimiento Dao en en la entrega la imagen y de reportes reputacin de la Organizacin No tuvo impacto Prdida de oportunidades de negocio Prdida de clientes Otros 11% 12% 10% 10%

2009
15

Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela

Boletn Digital // No. 9 - 2010

Figura N 4: Diagrama de flujo de acciones a seguir por el equipo de respuesta a incidentes.

Regresar al boletn Aumentar Imprimir

Respuesta Determinacin Determina el evento y su impacto sobre el negocio

El evento es descubierto y reportado

Identificacin El evento es identificado y documentado

Soporte Provee asistencia logstica y recursos tcnicos

Investigacin Determina la causa y extensin del evento

Clasificacin El evento es clasificado, se le asigna severidad y se documenta

Si

Determinar cambios en la severidad

No Conformidad Cumplimiento de los requerimientos regulatorios (Notificaciones, etc.)

Determinar si hay impacto regulatorio

Si

No

Determinar el tipo de incidente

Severidad

Notificacin Se le notifica a las personas apropiadas

Recuperacin Devolver los sistemas a su estado original

Determinado como actividad autorizada

Cerrar incidente

Fuente: Technology Forecast PricewaterhouseCoopers

Post Mortem Revisar proceso