Académique Documents
Professionnel Documents
Culture Documents
incidentes
Metodologas para la gestin de
incidentes
ndice
Introduccin..................................................................................................................................................................................................3
Etapa de preparacin............................................................................................................................................................................... 3
Etapa de deteccin y anlisis................................................................................................................................................................4
Consideraciones......................................................................................................................................................................................5
Etapa de contencin, resolucin y recuperacin...........................................................................................................................5
Acciones posteriores al cierre...............................................................................................................................................................6
Mtricas y costo......................................................................................................................................................................................6
Gestin y Respuesta de incidentes Metodologas para la 3
gestin de incidentes
Introduccin
En este mdulo, se tratarn temas referidos a las diferentes metodologas que permiten implementar un
plan de respuesta a incidentes.
Para desarrollar un plan de gestin de incidentes se involucran diferentes etapas. Cada una de ellas se
describir de forma tal que se puedan delimitar las responsabilidades y el alcance. La planificacin de
las etapas y la ejecucin de las mismas, respetando las jerarquas, darn la estructura necesaria para
completar un proceso de gestin de incidentes. Asimismo, dentro de cada etapa existen diferentes
metodologas para poder implementar los procedimientos necesarios.
El ciclo est compuesto por cuatro etapas que se detallarn a lo largo de este mdulo:
Etapa de preparacin
La etapa de preparacin es el pilar fundamental para una gestin efectiva de los incidentes. Esta etapa
contempla tanto el establecimiento de la capacidad de respuesta a incidentes como la prevencin de
los mismos. Existen ciertos procedimientos que permiten una mejor preparacin ante eventos adversos.
Los medios de gestin se enfocan en la administracin para mejorar el manejo de los incidentes.
Asimismo, la capacidad de respuesta permite una reaccin eficiente ante la aparicin de un incidente.
Los eventos adversos pueden originarse y materializarse de diferentes maneras, es por esto que debe
desarrollarse una poltica de gestin y procedimientos que permitan tratar los tipos de incidentes con
ms probabilidad de ocurrencia o que pueden tener mayor impacto dentro de la empresa.
En este sentido, en necesario contemplar un factor vital en lo que respecta a la respuesta frente a un
incidente: la capacidad de respuesta. Para esto, se deben considerar los siguientes factores:
Fact Det
Existe d pers ores p l respu a alle
Puede estar compuesto por un equipo o
ncia e onal a a esta ser posiciones unipersonales.
incide r
Existencia de documentacin especfica Permite determinar el inventario de
sobre los sistemas presentes y redes. activos y los procedimientos y ficheros
Evaluacin de la existencia de informes de configuracin.
Permite obtener informacin
sobre la actividad. especfica de redes y sistemas. De
esta manera, es posible diferenciar la
operatoria normal de la anormal, a
fin de detectar actividades no
Frente a estos tipos de indicadores, se deben poner en marcha determinadas acciones. En el caso de los
signos indicadores, deberan contemplarse acciones reactivas previstas por la empresa, mientras que en
el caso de los signos precursores, se deben tomar acciones preventivas debido a que el incidente an no
ha ocurrido y todava existe posibilidad de evitarlo.
Analizando los signos precursores e indicadores se pueden determinar distintas fuentes que brinden
informacin. En la siguiente tabla se indican algunos ejemplos:
Fue Det
nte
Alerta de software Incluye sistemas allede deteccin y
prevencin de intrusiones (IPS/IDS),
software antivirus, firewall, sistemas
de monitorizacin de servicios, entre
otras alternativas.
Especifican los eventos ocurridos en
los sistemas de vital importancia
Logs para la organizacin. Por ejemplo, los
logs del sistema operativo, de los
Personal dispositivosde
Empleados delared y decompaa
propia aplicaciones
que
informan sobre la posible
Informacin pblica materializacinlade incidentes.
Contempla existencia de
vulnerabilidades y exploits, sitios
webs, foros o incluso listas de correos
de especialistas donde se haga
referencia a experiencias de
Consideraciones
La actividad dentro de las redes de una compaa puede brindar informacin para la deteccin y anlisis
de los incidentes. El conocimiento y la interiorizacin en estas funcionalidades, permiten establecer
parmetros y mediciones sobre el comportamiento natural y normal de la red dentro de una compaa.
De esta forma, es posible incorporar conocimiento sobre las mtricas de las redes y los sistemas de la
organizacin.
Respecto a los logs, existe la posibilidad de establecer uno o ms servidores de la empresa donde
se pueden consolidar y conservar los ficheros de los distintos sistemas existentes.
Especficamente, estos archivos deben estar relacionados con los cortafuegos (firewalls), los
dispositivos de comunicaciones y sistemas de deteccin y prevencin de intrusiones. El concepto a
destacar en este caso, es la correlacin entre la informacin de los diferentes logs.
Es necesario recurrir, adems, a lo que se conoce como clasificacin y priorizacin de los incidentes.
Esto consiste en que una vez que se detecta un incidente, se lo clasifica en uno de los tipos que se
contemplaron en los procedimientos de gestin. Si no es posible realizar tal accin, se debe recurrir al
tratamiento de dicho incidente mediante un procedimiento genrico de gestin de incidentes.
Las actividades de resolucin se realizan para poder llevar a cabo la eliminacin de los
componentes asociados al incidente y a otras actividades que se consideren adecuadas para resolver o
prevenir futuras ocurrencias. Para citar algunos ejemplos, se puede mencionar la instalacin de parches
de seguridad, los cambios en las reglas de los cortafuegos, entre otros.
Las actividades de recuperacin pueden incluir acciones como recuperar sistemas completos,
restaurar backups, reemplazar componentes afectados con versiones desinfectadas, instalar
actualizaciones de software, cambiar contraseas o reforzar el permetro de la red revisando
configuraciones de cortafuegos, entre otras.
Acciones posteriores al cierre
Una vez que el incidente ha sido contenido y se ha llevado a cabo el proceso de recuperacin
correspondiente, se debe realizar un estudio analizando las caractersticas de los incidentes, el impacto
y las acciones que se realizaron para la deteccin, el anlisis y la recuperacin.
Es recomendable implementar un formulario que describa el contexto completo del incidente, es decir,
el origen y la persona que detect el incidente, los servicios y sistemas afectados, la fecha/hora de
inicio y cierre, el responsable de la gestin del incidente y las acciones tomadas para la resolucin del
mismo.
Mtricas y costo
Por ltimo, es recomendable el ejercicio de analizar las mtricas sobre los tipos de incidentes que han
ocurrido en la empresa y la frecuencia de los mismos. Adems, otra buena prctica que puede
realizarse, es un estudio sobre el impacto financiero, obligaciones legales, imagen frente a terceros o
incluso cmo afect a nivel operativo la empresa. Otro punto importante para destacar, es el estudio de
los mtodos de resolucin, costo en la resolucin de incidentes y acciones correctivas o preventivas.
Todas estas actividades, se pueden utilizar en un ciclo de realimentacin que afina el proceso completo
de respuesta a incidentes, permitiendo obtener una mejora continua.
Copyright 2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en
este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC
y ESET, spol. s.r.o.
ESET, 2012
Acerca de ESET
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone
de un equipo de profesionales capacitados para responder a las demandas del mercado en forma
concisa e inmediata y un Laboratorio de Investigacin focalizado en el descubrimiento proactivo de
variadas amenazas informticas.