Prevención y
recuperación de incidentes
José Manuel Acosta
Noviembre 2010
Universidad Tecnológica del Sur de Sonora
Introducción..
Los delincuentes cibernéticos de hoy en día ganan cada vez más adeptos
a obtener acceso sin ser detectados ...
Tendencias que demandan una respuesta audaz
Adicionalmente, han surgido las siguientes tendencias
clave de delincuencia ci...
Tendencias que demandan una respuesta audaz
• Los criminales cibernéticos están aprovechando la innovación
a un ritmo tal,...
Incidentes Informáticos.
• Incidente de seguridad computacional (o simplemente incidente) es
cualquier evento que es una v...
Modalidades de Incidentes de Seguridad.
• Intencionales (Ej: Sabotaje corporativo)
• Fortuitos (Ej: Borrado de datos por e...
Tipos de incidentes.
• Robo de propiedad intelectual.
• Extorsión.
• Estafa.
• Pornografía infantil.
• Fraude.
• Distribuc...
Gestión de incidentes
• Cuando se produce un incidente, el proceso de Gestión de Incidentes
asegura que el servicio estará...
Gestión de incidentes
• Ejemplo de clasificación de los incidentes de SANS:
Gestión de incidentes
Los problemas siempre pueden surgir y necesitamos estar preparados.
• Realizar un diagnóstico inicia...
Gestión de incidentes
El plan de respuesta ante incidentes debe ser actualizado de manera
continua, su mantenimiento es un...
Gestión de incidentes
Ejemplo para un entorno sencillo:
1. Deshabilitar todos los servicios no necesarios (NFS, NIS…).
2. ...
Gestión de incidentes
Gestión de incidentes
ITIL
BS 25999
Familia ISO 27000
NuevoAcuerdo de Capital de
Basilea
NIST SP 800-61
www.isaca.org
www....
¿ Dudas ?
¡¡ Gracias ¡¡
José Manuel Acosta
Noviembre 2010
of 16

Prevenciony recuperacionincidentes

Seguridad de la información
Published on: Mar 4, 2016
Published in: Software      
Source: www.slideshare.net


Transcripts - Prevenciony recuperacionincidentes

  • 1. Prevención y recuperación de incidentes José Manuel Acosta Noviembre 2010 Universidad Tecnológica del Sur de Sonora
  • 2. Introducción.. Los delincuentes cibernéticos de hoy en día ganan cada vez más adeptos a obtener acceso sin ser detectados y mantener un perfil bajo persistente con presencia a largo plazo en los entornos de TI. Mientras tanto, muchas organizaciones pueden resultar vulnerables por sí mismos a la delincuencia cibernética basado en un falso sentido de seguridad, inclusive con complacencia, impulsado por herramientas y procesos de seguridad poco ágiles. Muchos fallan en reconocer los delitos cibernéticos en sus ambientes de TI y distribuyen erróneamente, recursos limitados a amenazas menores. Por ejemplo, muchas organizaciones se centran en gran medida en frustrar a los hackers y bloquear pornografía, mientras que el verdadero potencial real de los delitos cibernéticos pasa inadvertido sin que se le dé tratamiento adecuado. Esto genera una exposición de riesgo significativa, incluyendo la exposición a pérdidas financieras, asuntos de reglamentación, responsabilidad por filtración de datos, daños a la marca, la pérdida de la confianza de los clientes y el público.
  • 3. Tendencias que demandan una respuesta audaz Adicionalmente, han surgido las siguientes tendencias clave de delincuencia cibernética, lo que demanda una respuesta fuerte y audaz, a corto plazo: • Los ataques cibernéticos y fisuras de seguridad se están incrementando en frecuencia y sofisticación, y por lo general el descubrimiento se produce después de que se ha dado el hecho, en casi todos los casos. • Los ciberdelincuentes hanpuesto en la mira a organizaciones y personas físicas utilizando técnicas de “malware” y anonimato que pueden evadir los controles de seguridad actuales. • El perímetro actual de detección de intrusos, detección basada en la firma de “malware” y soluciones de anti-virus están aportando muy poco a la defensa y rápidamente se convierten en obsoletas – por ejemplo, los criminales cibernéticos utilizan actualmente la tecnología de encriptación para evitar la detección.
  • 4. Tendencias que demandan una respuesta audaz • Los criminales cibernéticos están aprovechando la innovación a un ritmo tal, que las organizaciones que están en la mira y muchos de los proveedores de seguridad no van a lograr alcanzarlos de igual manera. • Muchos profesionales no tienen acceso ni conocen todavía medidas eficaces para impedir la delincuencia cibernética, y la gran mayoría subestima el alcance y la gravedad del problema. • Es posible queexista un nexo entre la delincuencia cibernética y otras amenazas como el terrorismo, el espionaje industrial, y los servicios de inteligencia extranjeros.
  • 5. Incidentes Informáticos. • Incidente de seguridad computacional (o simplemente incidente) es cualquier evento que es una violación implícita o explicita de las políticas. • Significa el intento, exitoso o no, de acceso no autorizado, uso, divulgación, modificación o destrucción de información o interferencia con la operación de un sistema de información. • Cualquier evento adverso real o sospechado en relación a la seguridad de los sistemas o redes informáticas. • La violación de una política de seguridad implícita o explícita
  • 6. Modalidades de Incidentes de Seguridad. • Intencionales (Ej: Sabotaje corporativo) • Fortuitos (Ej: Borrado de datos por error) • Específicamente dirigidos a la organización • No dirigidos a la organización (Ej: Infección masiva de virus)
  • 7. Tipos de incidentes. • Robo de propiedad intelectual. • Extorsión. • Estafa. • Pornografía infantil. • Fraude. • Distribución de virus. • Acceso no autorizado. • Robo de servicios. • Abuso de privilegios. • Denegación de Servicios.
  • 8. Gestión de incidentes • Cuando se produce un incidente, el proceso de Gestión de Incidentes asegura que el servicio estará disponible de nuevo tan pronto como sea posible. Por tanto, un factor clave es ser capaz de responder de forma rápida y completa a incidentes de seguridad, es decir, contar con planes de contingencias que contemplen los incidentes que pudieran ocurrir. • La prevención acostumbra a ser mejor (más barata), menos estresante y supone menores tiempo de indisponibilidad, aunque conlleve la necesidad de comprender el entorno de seguridad y sistemas preventivos (anti-malware o buenos procesos). • Planificación de la contingencia - Análisis de los efectos de un posible fallo de los componentes críticos TIC y definición de un procedimiento para asegurar que se mantiene su disponibilidad o que pueden ser recuperados. • Objetivos: 1. Reanudar el servicio tan pronto como sea posible. 2. Mantener la comunicación viva entre la organización de IT y su cliente sobre el estado de la incidencia en relación al servicio. 3. Evaluar las incidencias para determinar si es posible que vuelva a ocurrir o si es síntoma de un problema crónico.
  • 9. Gestión de incidentes • Ejemplo de clasificación de los incidentes de SANS:
  • 10. Gestión de incidentes Los problemas siempre pueden surgir y necesitamos estar preparados. • Realizar un diagnóstico inicial. 1. ¿Cuál es el impacto del incidente sobre el negocio? 2. Si el sistema afectado se puede aislar, ¿cuál es el efecto? 3. ¿Cuánto esfuerzo conlleva su resolución (con las distintas opciones: inhouse, en el fabricante, desde las copias de respaldo…)? 4. ¿Tenemos la gente necesaria disponible? • Comunicar el incidente. • Contener el daño y minimizar el riesgo. • Identificar el tipo y gravedad del compromiso. • Proteger las evidencias. • Notificar a agencias externas. • Recuperar los sistemas. • Evaluar el daño y el coste de la incidencia. • Revisar las políticas y los mecanismos de respuesta.
  • 11. Gestión de incidentes El plan de respuesta ante incidentes debe ser actualizado de manera continua, su mantenimiento es un proceso continuo: • 1. Definición de una política • 2. Especificación de responsabilidades • 3. Definición de Procedimientos Operativos y canales de comunicación. • 4. Estrategia de escalado de incidentes. • 5. Establecimiento de prioridades. • 6. Metodología para la investigación y evaluación de incidentes. • 7. Implementación de medidas de respuesta ante incidentes. • 8. Notificación a terceras partes afectadas. • 9. Evaluación del incidente. • 10.Uso de medidas de detección de incidentes. • 11.Pruebas de funcionamiento.
  • 12. Gestión de incidentes Ejemplo para un entorno sencillo: 1. Deshabilitar todos los servicios no necesarios (NFS, NIS…). 2. Instalar firewalls (iptables, ipchains) y denegar todas las conexiones desde el exterior. 3. Utilizar contraseñas robustas. 4. Utilizar algún tipo de backup automático. 5. Desarrollar un Plan de Respuesta sencillo que incluya: 6. Desconectar el sistema de Internet. 7. Salvar los datos importantes. 8. Buscar señales de daños o intrusión. 9. En el caso de intrusiones, localizar la vía de acceso. 10.Asegurarse de que los ficheros de configuración se guardan y se reinstalan de nuevo los sistemas. 11.Introducir cambios en la configuración para evitar nuevas intrusiones. CINCO errores típicos: 1. No tener un plan. 2. No incrementar la monitorización después de un incidente. 3. No estar preparado para investigar el incidente. 4. Reparar el sistema tal cual estaba. 5. No aprender de los errores.
  • 13. Gestión de incidentes
  • 14. Gestión de incidentes ITIL BS 25999 Familia ISO 27000 NuevoAcuerdo de Capital de Basilea NIST SP 800-61 www.isaca.org www.sans.org www.securityfocus.com www.nist.gov www.cert.org www.first.org
  • 15. ¿ Dudas ?
  • 16. ¡¡ Gracias ¡¡ José Manuel Acosta Noviembre 2010

Related Documents