RESPUESTA ANTE INCIDENTES DE SEGURIDAD

Description

respuestas ante incidentes de seguridad
ANGE PINK
Mind Map by ANGE PINK, updated more than 1 year ago
ANGE PINK
Created by ANGE PINK over 7 years ago
27
0

Resource summary

RESPUESTA ANTE INCIDENTES DE SEGURIDAD
  1. 3.1 Definicion ante un Incidente de seguridad
    1. Actividades
      1. 1. Constitucion un equipo de Respuesta a incidentes
        1. 2. Definicion de una guia de procedimientos
          1. 3. Analisis del Incidente
            1. 4. Contencion, Erradicacion y recuperacion
              1. 5. Identificacion del atacante y posibles actuaciones legales
                1. 6. Documentacion del incidente de seguridad
                  1. 7. Analisis y revision posterior al incidente
                  2. Equipo de respuesta a Incidentes de Seguridad Informatica (CSIRT)
                    1. Esta constituido por las personas que cuentan con la experiencia y la formacion para poder actuar ante las incidencias y desastres que afectan la seguridad de la informacion.
                      1. La organizacion debera mantener actualizada la lista de direcciones y telefonos de contactos para emergencias.
                        1. Se debe realizar formacion continua de los miembros del Equipo de Respuesta a Incidentes.
                          1. El equipo de contar con la dotacion de medios tecnicos y materiales necesarios para poder cumplir con eficacia su mision.
                          2. Procedimientos y actividades a realizar
                            1. La organizacion debe definir una guia de actuacion clara y detallada de los procedimientos para la restauracion rapida y eficiente.
                              1. El objetivo de la guia es conseguir una respuesta sistematica ante los incidentes de seguridad.
                                1. Una buena guia permitira minimizar los daños ocasionados y facilitar la recuperacion.
                                  1. Debe tratar las cuestiones legales que se pudieran derivar de cada incidente de seguridad.
                              2. 3.2 . Deteccion ante un incidente de seguridad: Recoleccion de Informacion
                                1. La organizacon debera prestar atencion a los siguientes indicadores de posibles incidentes de seguridad:
                                  1. 1. Precursores de un ataque: como el escaneo de puertos, el escaneo de vulnerabilidades, reconocimiento de versiones de S.O y aplicaciones
                                    1. 2. Alarmas generadas en los Sistemas de Deteccion de Intrusos (IDS), antivirus y cortafuegos
                                      1. 3. Registro de actividad extraña en los LOGS de los servidores y dispositivos d red.
                                        1. 4 Caida o mal funcionamiento de algun servidor.
                                          1. 5. Cambios en la configuracion de los equipos de red.
                                            1. 6. Aparicion de herramientas no autorizadas en el sistema
                                          2. 3.3. Analisis de un incidente de seguridad.
                                            1. Se utilizaria una Matriz de Diagnostico para apoyar al personal frente a incidentes de seguridad
                                              1. Se debe realizar una valoracion de los daños y de los posibles consecuencias para establecer una orden de prioridades.
                                                1. Prioridad uno: Proteger la vida humana y la seguridad de las personas.
                                                  1. Prioridad dos: Proteger los datos e informacion de la empresa.
                                                    1. Prioridad tres: Proteger otros datos de la empresa.
                                                      1. Prioridad cuatro: Prevenir daños en los sistemas informaticos
                                                        1. Prioridad cinco: Minimizar la interrupcion de los servicios
                                                      2. 3.4 Contencion, Erradicacion y Recuperacion
                                                        1. El equipo de respuesta debe elegir una estrategia de CONTENCION.
                                                          1. Una primera opcion seria llevar a cabo una rapida actuacion del incidente.
                                                            1. Apagar todos los equipos afectados, desconexion de los equipos de red, desactivar algunos servicios.
                                                          2. La ERRADICACION se lleva a cabo para eliminar los agentes causantes del incidente.
                                                            1. Puertas traseras, rootkits, codigos malignos, y material inadecuado introducido en los servidores.
                                                            2. La RECUPERACION es la etapa en la que se trata de restaurar los sistemas para volver a su normalidad
                                                              1. Se debe reinstalar los sistemas operativos, aplicaciones y configuraciones de los servicios, instalacion de los parches y actualizaciones de seguridad.
                                                            3. 3.5. Identificacion del atacante y posibles actuaciones legales
                                                              1. Es necesaria para poder emprender acciones legales
                                                                1. Se debe presentar una denuncia ante las unidades policiales especializadas en ataques informaticos.
                                                              2. 3.6 Comunicacion con terceros y relaciones publicas
                                                                1. La empresa debe comunicar la causa y las posibles consecuencias de un incidente de seguridad
                                                                  1. Deben estar provistos de los contactos de los organismos de respuesta a Incidentes (CERT) Y las fuerzas policivas.
                                                                    1. Tener contactos con los proveedores de Internet.
                                                                      1. Contactar los fabricantes de softwares y hardware que se hayan visto involucrados en el incidente
                                                                        1. Definir un plan de comunicacion con los medios, agencias de noticias, prensa, emisoras y TV.
                                                                        2. 3.7 Documentacion del Incidente de seguridad
                                                                          1. El plan de respuesta debe establecer como se tiene que documentar un incidente de seguridad reflejando claro lo siguiente:
                                                                            1. Descripcion del Incidente. Hechos registrados. Daños causados al sistema. Decisiones y actuaciones. Comunicacion con terceros. Lista de evidencias obtenidos.
                                                                          2. 3.8 Analisis y revision a posteriori del Incidente: Verificacion de la Intrusion
                                                                            1. Luego del incidente de seguridad sera necesario elaborar un informe final sobre el incidente, se debe detallar:
                                                                              1. Investigacion sobre las causas y las consecuencias
                                                                                1. Estudio de la documentacion generada por el equipo de respuesta
                                                                                  1. Evaluacion del coste del incidente
                                                                                    1. Intercambio de informacion con otras empresas e instituciones sobre el incidente
                                                                                      1. Adquisicion de herramientas y recursos para reforzar la seguridad
                                                                                    2. 3.9 Practicas recomendadas por el CERT/CC
                                                                                      1. El CERT/CC ha propuesto una serie de actividades para mejorar la respuesta ante incidentes informatico:
                                                                                        1. Preparacion de la respuesta ante incidentes de seguridad
                                                                                          1. Definir un plan de actuacion y procedimientos para responder al incidente
                                                                                            1. Documentacion del plan de actuacion.
                                                                                              1. Comprobacion del que el plan de actuacion y los procedimientos cumplen con los requisitos legales
                                                                                              2. Gestion del Incidente de seguridad
                                                                                                1. 2. Aislamiento de los equipos afectados por el incidente
                                                                                                  1. 1. Captura y proteccion de toda la informacion asociada con el incidente
                                                                                                    1. 3. Aplicacion de soluciones de emergencia
                                                                                                      1. 4. Eliminacion de todos los medios que faciliten una nueva intrusion
                                                                                                        1. 5. Recuperacion de la actividad normal de los sistemas afectados
                                                                                                        2. Seguimiento del incidente de seguridad
                                                                                                          1. Identificacion de las lecciones y principales conclusiones de cada incidente.
                                                                                                            1. Implementacion de las mejoras de seguridad
                                                                                                        3. 3.10 Obligacion legal de notificacion de ataques de incidencia
                                                                                                          1. Los websites estan obligados por ley a informar a sus clientes cuando se haya producido un incidente de seguridad en sus sistemas informaticos
                                                                                                            1. Toda empresa afectada por un ataque informatico debe informar por correo electronico, indicandole cualquier dato de caracter personal
                                                                                                          2. 3.11 Plan de recuperacion del negocio
                                                                                                            1. Constituye un elemento fundamental para garantizar una respuesta frente a desastres, asegurando la integridad y la recuperacion de los datos
                                                                                                              1. Debe contemplar la disponibilidad de los recursos y medios que permitan restaurar el sistema informatico
                                                                                                                1. Disponibilidad de un centro alternativo para la ubicacion de los recursos informaticos (Servidores, bases de datos)
                                                                                                                  1. Existencia de Back-up para las comunicaciones
                                                                                                                    1. Sistema de almacenamiento RAID en los servidores
                                                                                                                      1. Herramientas para llevar a cabo una replica de los documentos y bases de datos.
                                                                                                                  2. 3.12 Organismos de gestion de incidentes
                                                                                                                    1. Para combatir las diferentes amenazas que afectan la seguridad de los sistemas informaticos, se han creado varios organismos especializados
                                                                                                                      1. CERT/CC (Computer Emergency Response Team / Coordination Center
                                                                                                                        1. Es el primer y mas conocido equipo de respuesta a Emergencias Informaticas
                                                                                                                        2. CERT INTECO
                                                                                                                          1. Agencia Europea de Seguridad de las leyes y de la Informacion
                                                                                                                            1. Fue creada con la finalidad de alcanzar un alto nivel de seguridad en las redes y en el tratamiento de la informacion de la Union Europea
                                                                                                                            2. CSRC (Computer Security Resource Center9
                                                                                                                              1. El Centro de recursos de Seguridad Informatica, es un centro independiente del NIST
                                                                                                                              2. US-CERT
                                                                                                                                1. Es el Centro de Respuestas a Incidentes de seguridad Inforamatica
                                                                                                                                2. FIRST (Forum of Incident Response and Security Team)
                                                                                                                                  1. Creado con el objetivo de facilitar el intercambio de informacion sobre incidentes de seguridad entre sus miembros
                                                                                                                              Show full summary Hide full summary

                                                                                                                              Similar

                                                                                                                              FUNDAMENTOS DE REDES DE COMPUTADORAS
                                                                                                                              anhita
                                                                                                                              Test: "La computadora y sus partes"
                                                                                                                              Dayana Quiros R
                                                                                                                              Abreviaciones comunes en programación web
                                                                                                                              Diego Santos
                                                                                                                              Seguridad en la red
                                                                                                                              Diego Santos
                                                                                                                              Excel Básico-Intermedio
                                                                                                                              Diego Santos
                                                                                                                              Evolución de la Informática
                                                                                                                              Diego Santos
                                                                                                                              Introducción a la Ingeniería de Software
                                                                                                                              David Pacheco Ji
                                                                                                                              Conceptos básicos de redes
                                                                                                                              ARISAI DARIO BARRAGAN LOPEZ
                                                                                                                              La ingenieria de requerimientos
                                                                                                                              Sergio Abdiel He
                                                                                                                              TECNOLOGÍA TAREA
                                                                                                                              Denisse Alcalá P
                                                                                                                              Navegadores de Internet
                                                                                                                              M Siller