GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION

GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION

Un sistema gestión de incidentes de acuerdo al estándar NIST SP 800-61 tiene 3 grandes ramas (i) Política de gestión de incidentes, (ii) Plan de gestión de incidentes y (iii) Procedimiento de gestión de incidentes.

Política de gestión de incidentes de seguridad de la información

1. Declaración de compromiso de la alta dirección, en su contenido mínimo debe de:

1. Aprobar la política
2. Comprometerse con la revisión y aprobación, publicación, verificación del cumplimiento de la política.

1. Propósito y objetivo de la política, debe atender temas como:

1. Establecer métricas
2. Asegurar los activos de la información

1. Alcance

1. Circunstancias de aplicación
2. A quien se aplica
3. Que aplica
4. Desde (inicio del procedimiento) hasta (finalización del procedimiento)

1. Definiciones

1. Definición de terminaos usados en un incidentes de seguridad
2. Definición de términos usados en la política

1. Estructura organizacional

1. Roles

1. Cual rol desempeña
2. Cargo al que se le asigna el rol

1. Responsabilidades

1. Responsabilidad del rol

1. Autoridad

1. Que puede o no hacer cada rol/cargo/partes interesadas
2. Autoridades gubernamentales

1. Estructura

1. Equipo
2. Comité
3. Áreas involucradas
4. Entes externos de asesoría

1. Notificación de incidentes

1. Lista de personas de contacto

1. Nombre
2. Rol
3. Numero/extensión
4. Celular
5. Correo electrónico
6. Dirección/piso/oficina

1. Divulgación de información y comunicaciones

1. Externa        

1. Definir circunstancias
2. Definir canales de comunicaciones
3. Definir audiencia
4. Metodología de identificación de necesidades para comunicación externa

1. Interna

1. Definir circunstancias
2. Definir canales de comunicaciones
3. Definir áreas
4. Puntos de transferencia o escalado de incidentes
5. Reporte de apertura, seguimiento y cierre

1. Clasificación de incidentes

1. Tipo de incidente
2. Clase de incidente
3. Prioridad del incidente

1. Definición de niveles de prioridad
2. Definición de criterio de prioridad

1. Impacto

1. Tipo de impacto
2. Tiempo de impacto
3. Criticidad del sistema afectado

1. Tiempo de respuesta

1. Por nivel de prioridad

1. Objetivos y medidas de desempeño

1. Definir objetivos a evaluar de todo el sistema de gestión de incidentes
2. Definir métrica de cómo se evalúa el objetivo

1. Reporte de incidentes

1. Quien los debe reportar
2. Por cuales canales de comunicación
3. Que información minina debe dar u obtener
4. Quien debe atender estos reportes iniciales

Plan de gestión de incidentes de seguridad de la información

1. Misión

1. De la política
2. Del plan
3. Del equipo de respuesta a incidentes

1. Estrategias y metras

1. Metas a lograr con la respuesta a incidentes
2. Estrategia para lograr las metas

1. Metodología a usar (NIST SP 800-61)

1. Metas proactivas
2. Metras reactivas

1. Aprobación de la alta dirección

1. Revisión y aprobación del plan
2. Verificación de cumplimiento

1. Autoridad en respuesta a incidentes

1. Dentro de la organización

1. Oficial de seguridad de la información
2. Comité de respuesta a incidentes
3. Equipo de respuesta a incidentes
4. Partes interesadas (áreas)

1. Fuera de la organización

1. Proveedores
2. Entidades gubernamentales
3. Otras partes interesadas (clientes)

1. Comunicación

1. Quien se comunica con otras partes de la organización y el canal de comunicación
2. Quien se comunica con entes externos y el canal de comunicación

1. Métricas

1. Capacidad de respuesta

1. Recurso humano
2. Recurso intelectual
3. Recurso tecnológico
4. Recurso financiero

1. Eficiencia

1. Tiempo de respuesta
2. Tiempo de solución
3. Reincidencia

1. Por fase de metodología

1. Hoja de ruta/proceso/procedimiento de respuesta a incidentes (Esto en base a la NIST SP 800-61)

1. Desarrollo de la metodología sin el detalle de como se hace

1. Preparación

1. Que es
2. Para que sirve
3. Quien lo aplica
4. Metas

1. Identificación, análisis y detección

1. Como se identifica
2. Herramientas
3. Análisis de incidentes
4. Documentación
5. Metas

1. Contención, erradicación y recuperación

1. Que se puede contener o no
2. Como se puede erradicar o mitigar vulnerabilidades
3. Cuales sistemas se pueden recuperar y con que herramientas
4. Metas

1. Actividades post-incidentes

1. Actividades de seguimiento
2. Documentación
3. Lecciones aprendidas
4. Metas

1. Integración en el sistema de gestión de seguridad de la información

1. Resumen de la metodología y como se integra con la metodología del SGSI

Procedimiento de respuesta a incidentes de seguridad de la información

Desarrollo de las actividades de la metodología

1. Objetivo
2. Alcance
3. Metodología
4. Procedimiento

1. Preparación

1. Comunicación        

1. Información de contacto
2. Información de escalamiento
3. Mecanismo de reporte de incidentes
4. Sistema de información de seguimiento de incidentes
5. Dispositivos de almacenamiento para evidencia

1. Análisis de software y hardware

1. Hardware necesario para la respuesta a incidentes

1. Workstation

1. Software necesario para la respuesta a incidentes

1. Analizadores de protocolo
2. Herramientas forenses

1. Recursos documentales

1. Lista de puertos comunes
2. Documentación de

1. Aplicaciones
2. Sistema operativo
3. Protocolos
4. Detección de intrusiones
5. Antivirus
6. Diagrama de res
7. Lista de activos críticos
8. Histórico de actividad normal de

1. Red
2. Sistema
3. Aplicaciones

1. HASH de archivos críticos

1. Software de mitigación

1. Instaladores
2. Recovery CD

1. Prevención

1. Evaluación del riesgo
2. Seguridad de red
3. Prevención de malware
4. Entrenamiento

1. Identificación, detección y análisis

1. Vectores de ataque

1. Dispositivos removibles
2. Desgaste (ataque de fuerza bruta)
3. Web
4. Email
5. Interpretación (SQL Injection)
6. Uso inapropiado
7. Robo o perdida
8. Otros

1. Signos de un incidente

1. Precursores

1. Elementos que pueden indicar que ocurrirá un incidente

1. Indicadores

1. Elementos que indican que está ocurriendo un incidente

1. Análisis

1. Perfil de redes y sistemas
2. Comportamiento normal
3. Política de retención de logs
4. Correlación de eventos
5. Relojes sincronizados
6. Filtrado de información

1. Documentación

1. Status actual de incidente
2. Resumen del incidente
3. Indicadores relacionados con el incidente
4. Otros incidentes relacionados con el actual
5. Todas las acciones tomadas
6. Cadena de custodia si aplica
7. Evaluación del impacto
8. Información de contacto de personas involucradas
9. Lista de evidencias recolectadas durante el incidente
10. Comentarios del manejo del incidente
11. Acciones a tomar

1. Priorización

1. Funcionalidad
2. Información
3. Recuperación

1. Contención, erradicación, recuperación

1. Estrategias de contención

1. Daño potencial y/o robo de recursos
2. Necesidad de p reservación de evidencia
3. Disponibilidad de servicio
4. Tiempo y recursos necesitados para implementar l estrategia
5. Efectividad de la estrategia
6. Duración de la solución

1. Recolección de evidencia

1. Información de identificación
2. Personas que recolectaron la información

1. Nombre
2. Cargo
3. Contacto

1. Fecha, hora y zona horaria
2. Localización de la evidencia almacenada

1. Identificar origen del ataque

1. Validando ip de ataque
2. Buscando el origen del ataque en buscadores
3. Uso de bases de datos de incidentes
4. Monitoreo de canales de comunicación

1. Erradicación y recuperación

1. Erradicación

1. Identificar todos los puntos afectados
2. Eliminación de malware
3. Deshabilitacion de brechas de seguridad

1. Recuperación

1. Restaurar sistema
2. Remediar vulnerabilidades

1. Actividades post-incidentes

1. Actividades de seguimiento
2. Lecciones aprendidas

1. Que paso exactamente
2. Cuanto tiempo
3. Como manejo el staff el incidente
4. Documentaron todos los procedimientos
5. Fueron adecuados los procedimientos
6. Que información fue necesaria cuanto antes
7. Que acciones pudieron impedir la recuperación
8. Que puede hacer el staff de diferente cuando el incidente ocurra nuevamente
9. Se mejoró el intercambio de información con otras organización
10. Que acciones preventivas pueden prevenir un incidente similar en el futuro
11. Que precursores o indicadores pueden vigilarse para detectar incidentes similares en el futuro
12. Que herramientas adicionales podrían necesitarse en el futuro

1. Métricas

1. Número de incidentes atendidos
2. Tiempo por incidente
3. Evaluación objetiva de cada incidente
4. Evaluación subjetiva de cada incidente

1. Retención de evidencia

1. Precursores
2. Políticas de retención
3. Costo y retención de equipos

PROCEDIMIENTO DE GESTION DE INCIDENTES

1. Contenido

1. Estrategia

1. Acciones

1. Detalle de las acciones

1. Objetivo

1. Estandarizar actividades

1. Alcance

1. A quien aplica
2. Desde – hasta

1. Metodología

1. Descripción de la metodología

1. Preparación
2. Identificación, análisis y detección
3. Contención, erradicación y recuperación
4. Actividades post-incidente

1. Procedimiento

1. Preparación

1. Usar técnicas proactivas para prevenir incidentes

1. Parchar vulnerabilidades conocidas del sistema
2. Mejora de conocimiento en seguridad de la información
3. Establecer una política de privacidad
4. Publicar avisos de advertencias
5. Establecer un enfoque organizacional para mejorar la eficiencia en la respuesta y gestión de incidentes
6. Establecer un sistema automático de detección de intrusiones
7. Establecer una política de comunicación con pares externos
8. Establecer acuerdos de monitoreo y red compartida
9. Identificar activos críticos
10. Usar política de gestión de usuarios/cuentas robusta
11. Obtener una revisión desde el punto de vista legal de las políticas y procedimientos

1. Desarrollar el apoyo de la gerencia para la capacidad del mano de los incidentes

1. Crear un plan formal de respuesta a incidentes
2. Ilustrar gráficamente un incidente
3. Recolectar apoyos históricos
4. Garantiza la autoridad del equipo de respuesta a incidentes para tomar decisiones difíciles

1. Seleccionar los miembros del equipo de respuesta a incidentes y organizarlo

1. Identificar personas calificadas
2. Seleccionar el equipo en sitio y el equipo de decisiones
3. Identificar personas en el equipo de relación o comunicaciones internas que provean un apoyo a la comunicación entre el equipo y los ejecutivos
4. Incluir el manejo de incidentes en el plan de recuperación de desastres
5. Realizar el plan de reconocimiento y compensación para los miembros del equipo
6. Proveer diagramas de red y lista de chequeo que ayuden a ejecutar el procedimiento

1. Desarrollo del plan de comunicaciones de emergencia

1. Crear una lista de llamadas y establecer un método para informar a las personas rápido
2. Crear un “árbol de llamadas” de incidentes con el cual se comunique con toda la organización
3. Guardar una copia de seguridad de la lista y el árbol de llamadas
4. Asegurarse que las llaves de cifrado y contraseña están actualizadas y accesibles
5. Establecer un punto de contacto primario y un centro de comunicaciones de coordinación
6. Establecer comunicaciones seguras
7. Realizar un plan de adquisición de recursos

1. Proveer facilidades para reportar fácilmente

1. Educar a los usuarios/empleados sobre el proceso de contacto y los incidentes
2. Publicar una lista de indicadores de un incidente
3. Usar la web
4. Promover el reporte mediante correo o teléfono
5. Premiar a la persona que reporta un incidente
6. Informar constantemente a la dirección
7. Definir parámetros y requerimientos para la escalar un incidente
8. Crear formularios de reporte de tal manera que garantice la adquisición de la información completa

1. Entrenamiento para el equipo

1. Planear discusión de escenarios y capacitación
2. Capacitar al equipo en el uso de técnicas y herramientas
3. Almacenar discos de alta capacidad para BK
4. Generar espacios de simulación de incidentes

1. Establecer directrices para la cooperación entre departamentos

1. Fomentar el manejo de incidentes menores de manera local
2. Coordinar junto con la mesa de ayuda (help-desk) como la primera línea de defensa

1. Cultivar una estrecha relación con los administradores de sistema

1. Involucrar el administrador de sistema
2. Crear un entrenamiento proactivo por parte de los administradores de sistema que usualmente tienen herramientas de monitoreo y así capacitar al equipo en su uso
3. Reconocer la habilidad de interpretación de logs.
4. Fomentar un sistema de copias de seguridad regulares
5. Asegurar que la auditoria, los logs de sistema y los relojes de los sistemas sean suficientes y estén sincronizados para que estos reflejan los sucesos en el orden real.
6. Asegurarse que exista un antivirus activo y actualizado
7. Familiarizarse con las operaciones normales de los sistemas
8. Realizar un test de penetración

1.  Desarrollar comunicaciones (interacciones) con entidades gubernamentales y otros equipos de respuesta a incidentes

1. Familiarizarse con la normativa aplicable
2. Saber en qué tipo de casos están interesados los entes gubernamentales
3. Contactar con el ente gubernamental antes de que suceda un incidente
4. Entrar o crear un CIRT o FIRST team

1. Detección

1. Asignar una persona responsable del incidente

1. Seleccionar una persona que maneje o coordine la identificación y evaluación
2. Comenzar unas notas del incidente

1. Determinar que es o no un incidente

1. Chequear si existe un error en los sistemas
2. Evaluar la evidencia en detalle

1. Mantener la cadena de custodia

1. Identifique cualquier pieza de evidencia
2. Controle el acceso a la evidencia

1. Coordine con los proveedores de servicios

1. Coordine con su proveedor de internet

1. Notificación apropiada a oficiales

1. Notificar al equipo de manejo de incidentes

1. Contención

1. Desplegar un equipo pequeño al sitio del incidente

1. Asegurar el sitio usando personal
2. Revisar la información que fue obtenida en la fase de identificación
3. Mantener los sistemas sin cambios hasta tanto se haga la copia de seguridad

1. Mantener un perfil bajo

1. Evitar uso de métodos obvios de contacto con el intruso
2. Mantener los procedimientos estándar

1. Elimine los códigos que comprometen los sistemas

1. No comprometa los sistemas ejecutando

1. Copias de seguridad de sistemas

1. Realizar copias de seguridad en dispositivos nuevos
2.  Guardar en un lugar seguro estas copias de seguridad

1. Determinar el riesgo de continuar con las operaciones del negocio

1. Adquirir logs y otras fuentes de información
2. Revisar logs de sistemas “vecinos”
3. Hacer recomendaciones al equipo de decisiones

1. Consulta continua a los administradores del sistema

1. Mantener informado al administrador del sistema sobre el progreso
2. Nunca permitir que una falla del sistema sea un riesgo durante el manejo de incidentes

1. Cambiar contraseñas

1. Cambiar la contraseña de los sistemas afectados
2. Generar una orden de cambio de contraseñas en caso de un ataque sniffer

1. Erradicación

1. Determinar las causas y los síntomas del incidentes

1. Aislar el ataque y determinar cómo fue ejecutado

1. Mejorar defensas

1. Implementar apropiadas técnicas de protección

1. Firewall
2. Filtros de routers
3. Mover el sistema a una nueva ip
4. Mover el sistema a un mejor sistema operativo

1. Realizar un análisis de vulnerabilidades

1. Realizar un análisis de vulnerabilidades del sistema
2. Buscar vulnerabilidades relacionadas

1. Remover las causas del incidente

1. De infestaciones de virus
2. De infestaciones de código malicioso
3. De intrusiones de red
4. Si el atacante descubre sus esfuerzos

1. Requerir ayuda de las entidades gubernamentales
2. Continuar erradicando el incidente
3. Haga lo posible por obtener los logs de los sistemas atacados
4. Trate de contactar su proveedor de servicio que lo haga llegar los logs también

1. Ubicar la copia de seguridad limpia más reciente

1. Buscar una copia de seguridad sin infectar o antes de la intrusión

1. Recovery

1. Restaurar el sistema

1. Restaurar todos los sistemas comprometidos desde las copias de seguridad seleccionadas

1. Validar el sistema

1. Una vez que es restaurado el sistema, verifique que funcione correctamente.

1. Decidir cuándo retomar operaciones

1. Poner la decisión final en los administradores de sistema

1. Monitorear los sistemas

1. Una vez k los sistemas están en línea, monitoree los elementos que no son susceptibles a detección automática

1. Seguimiento

1. Desarrollar un reporte de seguimiento

1. Comenzar el seguimiento lo más pronto posible
2. Asignar la tarea al equipo en sitio
3. Incluir formularios
4. Hacer revisar el borrador del formulario de incidente por terceras partes interesadas
5. Llegar a un consenso involucrando a todos los actores
6. Realizar una reunión de lecciones aprendidas

Formatos

1. Formato de identificación de un incidente de seguridad de la información

1. Informacion general

1. Informacion de la persona que reporta

1. Nombre
2. Cargo
3. Telefono
4. Celular
5. Correo
6. Direccion
7. Firma
8. Fecha de la firma

1. Fecha y hora en que detecta el incidente
2. Lugar en el que detecta el incidente

1. Resumen del incidente

1. Tipo de incidente detectado
2. Lugar del incidente

1. Sitio
2. Punto de contacto del sitio
3. Teléfono
4. Celular
5. Correo
6. Dirección
7. Informacion adicional
8. Como fue detectado “Intellectual property”

1. Encuesta de IR

1. Localización de sistemas afectados
2. Fecha y hora en la que el equipo de respuesta a incidentes llego al sitio
3. Informacion de los sistemas afectados (uno por cada sistema)

1. Marca
2. SN
3. Numero de activo

1. Fue afectado un sistema conectado a un modem (red interna)

1. Nombre del sistema
2. IP del sistema
3. MAC
4. Telefono (si aplica)

1. Describa la seguridad física de la ubicación de los sistemas afectados

1. Contencion de un incidente de seguridad de la informacion

1. Aislamiento de sistemas afectados

1. El equipo de decisiones aprobó la exclusión de la red?

1. Si: Fecha y hora en que fue excluido
2. NO: Explique por que

1. Copia de seguridad de los sistemas afectados

1. Realizo una copia de seguridad exista a todos los sistemas afectados?

1. Nombre de la persona que hizo la copia de seguridad
2. Fecha y hora de inicio
3. Fecha y hora de finalización
4. Estan sellados las cintas o dispositivos de almacenamiento?
5. Fecha de sellamiento
6. Firma
7. Fecha de firma
8. Localización de almacenamiento de la copia de seguridad

1. Erradicación de un incidente de seguridad de la información

1. Nombre de las personas performing forensics on systems
2. Fue la vulnerabilidad identificada? Describala
3. Cual es el procedimiento de validación usado para asegurar que el problema fue erradicado

1. Seguimiento

1. Preguntas que debe responder

1. La detección del incidente fue rápida o no? Por que?
2. Que herramientas adicionales pudieron haber ayudado a la detección y erradicación del incidente?
3. Las comunicaciones fueron adecuadas o pudieron ser mejores?
4. Que dificultades técnicas se presentaron?
5. Cuanto tiempo el incidente interrumpió las operaciones?
6. Hubo alguna información irrecuperable o perdida? Si si cual es el valor de esta informacion?
7. Que acciones pudieron impedir la recuperación?
8. Algun equipo fue dañado?
9. Que puede hacer el equipo de gestion de incidentes de diferente cuando el incidente ocurra  nuevamente
10. Se mejoro el intercambio de informacion con otras organizaciones?
11. Que acciones preventivas pueden prevenir un incidente similar en el futuro?
12. Que precursores o indicadores pueden vigilarse para detectar incidentes similares en el futuro?

...