Gestin y Respuesta de

incidentes
Metodologas para la gestin de
incidentes
ndice
Introduccin..................................................................................................................................................................................................3
Etapa de preparacin............................................................................................................................................................................... 3
Etapa de deteccin y anlisis................................................................................................................................................................4
Consideraciones......................................................................................................................................................................................5
Etapa de contencin, resolucin y recuperacin...........................................................................................................................5
Acciones posteriores al cierre...............................................................................................................................................................6
Mtricas y costo......................................................................................................................................................................................6
Gestin y Respuesta de incidentes Metodologas para la 3
gestin de incidentes

Introduccin
En este mdulo, se tratarn temas referidos a las diferentes metodologas que permiten implementar un
plan de respuesta a incidentes.

Para desarrollar un plan de gestin de incidentes se involucran diferentes etapas. Cada una de ellas se
describir de forma tal que se puedan delimitar las responsabilidades y el alcance. La planificacin de
las etapas y la ejecucin de las mismas, respetando las jerarquas, darn la estructura necesaria para
completar un proceso de gestin de incidentes. Asimismo, dentro de cada etapa existen diferentes
metodologas para poder implementar los procedimientos necesarios.

El ciclo est compuesto por cuatro etapas que se detallarn a lo largo de este mdulo:

Etapa de preparacin
La etapa de preparacin es el pilar fundamental para una gestin efectiva de los incidentes. Esta etapa
contempla tanto el establecimiento de la capacidad de respuesta a incidentes como la prevencin de
los mismos. Existen ciertos procedimientos que permiten una mejor preparacin ante eventos adversos.
Los medios de gestin se enfocan en la administracin para mejorar el manejo de los incidentes.
Asimismo, la capacidad de respuesta permite una reaccin eficiente ante la aparicin de un incidente.
Los eventos adversos pueden originarse y materializarse de diferentes maneras, es por esto que debe
desarrollarse una poltica de gestin y procedimientos que permitan tratar los tipos de incidentes con
ms probabilidad de ocurrencia o que pueden tener mayor impacto dentro de la empresa.
En este sentido, en necesario contemplar un factor vital en lo que respecta a la respuesta frente a un
incidente: la capacidad de respuesta. Para esto, se deben considerar los siguientes factores:

Fact Det
Existe d pers ores p l respu a alle
Puede estar compuesto por un equipo o
ncia e onal a a esta ser posiciones unipersonales.
incide r
Existencia de documentacin especfica Permite determinar el inventario de
sobre los sistemas presentes y redes. activos y los procedimientos y ficheros
Evaluacin de la existencia de informes de configuracin.
Permite obtener informacin
sobre la actividad. especfica de redes y sistemas. De
esta manera, es posible diferenciar la
operatoria normal de la anormal, a
fin de detectar actividades no

Etapa de deteccin y anlisis

Las actividades que comprenden la etapa de deteccin y anlisis de incidentes pueden afectar a la
empresa de forma directa, ya que son las que determinan el curso de las actividades que se realizarn
posteriormente. Si no se contemplara esta instancia, la empresa podra pasar un evento adverso por alto
pudiendo afectar la continuidad del negocio. La deteccin de signos indicadores y precursores de
incidentes pueden ser determinantes para mejorar la respuesta frente a un incidente.

Los signos de un incidente pueden ser de dos tipos:

Indicadores: estos signos indican la ocurrencia de un incidente, por ejemplo, el alerta de un

sensor que avisa que ha ocurrido algn tipo de error de software en un servidor, o bien, un
antivirus que informa sobre una infeccin en uno o varios sistemas pertenecientes a la empresa.

Precursores: estos signos permiten determinar la posibilidad de existencia de un incidente en el

futuro, por ejemplo, el escaneo de puertos de determinados sistemas de la empresa para controlar
cules estn disponibles, o la mitigacin de ciertas vulnerabilidades en los sistemas de la empresa,
debido a la existencia un exploit publicado recientemente que puede poner en riesgo los activos
corporativos.

Frente a estos tipos de indicadores, se deben poner en marcha determinadas acciones. En el caso de los
signos indicadores, deberan contemplarse acciones reactivas previstas por la empresa, mientras que en
el caso de los signos precursores, se deben tomar acciones preventivas debido a que el incidente an no
ha ocurrido y todava existe posibilidad de evitarlo.
Analizando los signos precursores e indicadores se pueden determinar distintas fuentes que brinden
informacin. En la siguiente tabla se indican algunos ejemplos:

Fue Det
nte
Alerta de software Incluye sistemas allede deteccin y
prevencin de intrusiones (IPS/IDS),
software antivirus, firewall, sistemas
de monitorizacin de servicios, entre
otras alternativas.
Especifican los eventos ocurridos en
los sistemas de vital importancia
Logs para la organizacin. Por ejemplo, los
logs del sistema operativo, de los
Personal dispositivosde
Empleados delared y decompaa
propia aplicaciones
que
informan sobre la posible
Informacin pblica materializacinlade incidentes.
Contempla existencia de
vulnerabilidades y exploits, sitios
webs, foros o incluso listas de correos
de especialistas donde se haga
referencia a experiencias de
Consideraciones
La actividad dentro de las redes de una compaa puede brindar informacin para la deteccin y anlisis
de los incidentes. El conocimiento y la interiorizacin en estas funcionalidades, permiten establecer
parmetros y mediciones sobre el comportamiento natural y normal de la red dentro de una compaa.
De esta forma, es posible incorporar conocimiento sobre las mtricas de las redes y los sistemas de la
organizacin.

Respecto a los logs, existe la posibilidad de establecer uno o ms servidores de la empresa donde
se pueden consolidar y conservar los ficheros de los distintos sistemas existentes.
Especficamente, estos archivos deben estar relacionados con los cortafuegos (firewalls), los
dispositivos de comunicaciones y sistemas de deteccin y prevencin de intrusiones. El concepto a
destacar en este caso, es la correlacin entre la informacin de los diferentes logs.

Es necesario recurrir, adems, a lo que se conoce como clasificacin y priorizacin de los incidentes.
Esto consiste en que una vez que se detecta un incidente, se lo clasifica en uno de los tipos que se
contemplaron en los procedimientos de gestin. Si no es posible realizar tal accin, se debe recurrir al
tratamiento de dicho incidente mediante un procedimiento genrico de gestin de incidentes.

Asimismo, el anlisis de las particularidades de los incidentes es de suma importancia. Se contemplan

las caractersticas y los factores tales como el nmero y tipo de recursos afectados. La criticidad que
posean estos recursos dentro de la empresa, ser determinante en el impacto para la organizacin y el
orden de prioridad en el tratamiento de los incidentes. En caso de que surja ms de uno
simultneamente, la prioridad ser clave para poder resolverlo.
Finalmente, se torna necesaria la notificacin del incidente. Una vez detectado, analizado y determinada
su prioridad de acuerdo con algn factor de peso dentro de la organizacin, el equipo de respuesta
realizar la notificacin al personal responsable.
Adems, se debe considerar la notificacin a otras organizaciones o clientes que puedan ser afectados.

Etapa de contencin, resolucin y recuperacin

Las estrategias de contencin son la primera instancia para aplacar el propio incidente. Asimismo, se
deben complementar con una correcta verificacin para corroborar si es necesario eliminar o limpiar
algn componente asociado al incidente y proceder a la recuperacin de la operativa normal en la
empresa. Por ejemplo, en caso de que un servidor perteneciente a la compaa sufra la explotacin de
una vulnerabilidad, es aconsejable contar con un servidor espejo para poder responder hasta que se
tomen las medidas adecuadas.

Las actividades de resolucin se realizan para poder llevar a cabo la eliminacin de los
componentes asociados al incidente y a otras actividades que se consideren adecuadas para resolver o
prevenir futuras ocurrencias. Para citar algunos ejemplos, se puede mencionar la instalacin de parches
de seguridad, los cambios en las reglas de los cortafuegos, entre otros.

Las actividades de recuperacin pueden incluir acciones como recuperar sistemas completos,
restaurar backups, reemplazar componentes afectados con versiones desinfectadas, instalar
actualizaciones de software, cambiar contraseas o reforzar el permetro de la red revisando
configuraciones de cortafuegos, entre otras.
Acciones posteriores al cierre
Una vez que el incidente ha sido contenido y se ha llevado a cabo el proceso de recuperacin
correspondiente, se debe realizar un estudio analizando las caractersticas de los incidentes, el impacto
y las acciones que se realizaron para la deteccin, el anlisis y la recuperacin.

Es recomendable implementar un formulario que describa el contexto completo del incidente, es decir,
el origen y la persona que detect el incidente, los servicios y sistemas afectados, la fecha/hora de
inicio y cierre, el responsable de la gestin del incidente y las acciones tomadas para la resolucin del
mismo.

Mtricas y costo
Por ltimo, es recomendable el ejercicio de analizar las mtricas sobre los tipos de incidentes que han
ocurrido en la empresa y la frecuencia de los mismos. Adems, otra buena prctica que puede
realizarse, es un estudio sobre el impacto financiero, obligaciones legales, imagen frente a terceros o
incluso cmo afect a nivel operativo la empresa. Otro punto importante para destacar, es el estudio de
los mtodos de resolucin, costo en la resolucin de incidentes y acciones correctivas o preventivas.
Todas estas actividades, se pueden utilizar en un ciclo de realimentacin que afina el proceso completo
de respuesta a incidentes, permitiendo obtener una mejora continua.
Copyright 2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en
este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC
y ESET, spol. s.r.o.

ESET, 2012

Acerca de ESET

Con 25 aos de trayectoria en la industria de la seguridad de la informacin, ESET es una compaa

global de soluciones de software de seguridad, creadora del legendario ESET NOD32 Antivirus y
orientada a proveer proteccin de ltima generacin contra amenazas informticas. Actualmente
cuenta con oficinas centrales en Bratislava (Eslovaquia) y de Coordinacin en San Diego (Estados
Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido),
Praga (Repblica Checa), Cracovia (Polonia), Jena (Alemania) San Pablo (Brasil) y Mxico DF (Mxico).

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone
de un equipo de profesionales capacitados para responder a las demandas del mercado en forma
concisa e inmediata y un Laboratorio de Investigacin focalizado en el descubrimiento proactivo de
variadas amenazas informticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de

amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la
concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas
educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre
propio.

Para ms informacin, visite www.esetla.com