Abril 26 de 2011
AGENDA
QU ES UN INCIDENTE?
Evento adverso en un sistema de informacin y/o la red, o la amenaza de ocurrencia de tal evento.
Acceso no autorizado Cdigo malicioso Anlisis de red Ataques de denegacin de servicio Violacin explcita o implcita de una poltica de seguridad Cambios sin el conocimiento, instruccin o consentimiento del dueo.
INTRODUCCION
Se requiere implantar de manera formal un proceso de respuesta a incidentes de seguridad dentro de AviancaTaca. Un proceso formal de respuesta a incidentes facilita:
La capacidad de reaccin frente a un incidente Alimentar una base de datos de lecciones aprendidas Mantener un registro de acciones tomadas, resultados, tiempos de respuesta, etc. La escogencia de acciones preventivas
AGENDA
Triage
Investigacin
Contencin
Anlisis
Rastreo
Recuperacin
CSIRT - GRI
Direccin
Seguridad de la informacin Recursos Humanos
TI
Seguridad fsica
Jurdica
Auditor Financiero
Se requiere una solucin temporal para atender los incidentes que se presenten
7
AGENDA
PLAN DE CHOQUE
Preparacin
Ciclo de vida
Notificacin de incidente Definicin y ejecucin de acciones
Abril 18 a 29
Elaboracin de plan de choque para manejo de incidentes
Mayo 1 a mayo12
Divulgacin y Oficializacn.
Documentacin y Cierre
Seguimiento
El plan de choque permite hacer gestin de los incidentes por parte de RS&C mientras se oficializa el procedimiento de respuesta a incidentes de acuerdo a las mejores prcticas.
9
Notificacin
Notificacin
Va Correo Electrnico Formato de notificacin de incidentes
Arquitectura
El gerente de seguridad recibe la notificacin del incidente y delega las funciones de contencin, remediacin y anlisis a las reas correspondientes de acuerdo al caso.
Seguimiento
Documentacin y Cierre
QA
Seguimiento al avance en el cierre del incidente. En esta etapa la gerencia de seguridad de la informacin debe ser informada de los avances de las tareas delegadas en la etapa anterior.
IT Operations
Registro del incidente en la base histrica de eventos Formalizacin de acciones preventivas para eventos futuros. Generacin de reporte del incidente.
GSR&C
rea afectada
10
La BHE aunque es temporal, sirve de base para alimentar la BHE definitiva al momento de su implantacin, es decir, los campos que la componen pueden ser exportados para poblar de manera parcial la BHE definitiva
11
DICULGACIN Y OFICIALIZACIN
Se comunicar a los jefes de rea involucrados el proceso de respuesta a incidentes . Va correo electrnico y presentacin formal.
Oficializacin (divulgacin a niveles gerenciales y directivos)
Etapa de divulgacin a los colaboradores que hacen parte de los posibles procesos que sean reconocidos como mayores generadores de incidentes
12
Se dise un formato que debe diligenciar el rea afectada por el incidente. Este contiene los datos bsicos que se requieren para tomar decisiones y registrar el incidente en la base histrica de eventos.
13
Campos Incluidos
Id del incidente Fecha de reporte Categora Tipo de incidente Severidad Descripcin Fecha de inicio Fecha de cierre Datos de los equipos afectados (si aplica) Estado Actual Procedimientos realizados La base histrica de eventos ser administrada por GRS&C, el formato de notificacin de incidentes es materia prima para esta base. Campos como los procedimientos realizados y el estado actual sern reportados por el area designada en la etapa de recepcin y asignacin adelantada por el gerente de seguridad de la informacin.
14
Gracias
15