Seminario CISM

Manejo y Respuesta de Incidentes

Parte 3/4

Roberto Woo Borrego

CISSP, CISM, CISA, ITIL, ISO27001

Propiedad de ALAPSI Noreste

Instructor

Nombre: Roberto Woo Borrego

Experiencia en SI:

Proyectos de SI, Seguridad en Redes, Equipo de Respuesta a

Incidentes, Auditoria.

Certificaciones: CCDA, CCNA, CISA, CISM, CISSP,

ITIL, ISO 27001

E mail: rwooborr@alestra.com.mx

Propiedad de ALAPSI Noreste

Reconocimiento
El contenido de este mdulo fue seleccionado
tomando como base los conceptos de los
manuales de preparacin del examen de
certificacin CISM (Certified Information Security
Manager)
de
ISACA
Internacional
y
complementndolo con la experiencia en
Seguridad de Informacin de los Instructores de
ALAPSI Noreste

Propiedad de ALAPSI Noreste

Agenda del Curso

Discutir temas especficos del captulo

5.13 al 5.14

Preguntas tipo

Relevancia en el Examen
Asegurar que el candidato CISM
Tiene el conocimiento y entendimiento necesario para identificar,
analizar, manejar y responder efectivamente a los eventos
inesperados que pueden afectar los activos de informacin de la
organizacin y/o su capacidad de operacin.
% of Total Exam Questions

El contenido de este captulo representa

el 14% del examen CISM (aprox. 28
preguntas)
10 Tareas
17 Conocimientos relacionados

Chapter 5
14%

Chapter 4
24%
Chapter 3
17%

Chapter 1
23%

Chapter 2
22%

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

Contenido del Captulo 5

(Continuacin)
5.8

Objetivos del Manejo de Incidentes

5.9

Mtricas e Indicadores del Manejo de Incidentes

5.10

Definicin de los Procedimientos del Manejo de

Incidentes

5.11

Recursos para el Manejo de Incidentes

5.12

Estado Actual de la Capacidad de Respuesta a

Incidentes

Contenido del Captulo 5

(Continuacin)
5.13 Desarrollo de un Plan de Respuesta a Incidentes
5.14 Desarrollo de Planes de Respuesta y Recuperacin
5.15 Pruebas a los Planes de Respuesta y

Recuperacin

5.16

Ejecucin de los Planes de Respuesta y Recuperacin

5.17

Documentacin de Eventos

5.18

Revisiones Posteriores al Evento

Contenido del Captulo 5

5.13 Desarrollo de un Plan de Respuesta a Incidentes

5.14 Desarrollo de Planes de Respuesta y Recuperacin

5.13 Desarrollo de un Plan de Respuesta a

Incidentes

Un plan de respuesta a incidentes es la parte del manejo de

incidentes que se ejecuta para atender los incidentes.

El Instituto SANS propone las siguientes fases del plan de

respuesta a incidentes:

Preparacin
Identificacin
Contencin
Erradicacin
Recuperacin
Lecciones Aprendidas

5.13.1 Elementos de un Plan de Respuesta a

Incidentes

Preparacin:

Establecer un enfoque para manejar incidentes.

Establecer una poltica y advertencias en los sistemas de informacin para

prevenir intrusos y permitir la recopilacin de informacin.

Establecer un plan de comunicacin con las partes interesadas

Desarrollar criterios sobre cundo notificar un incidente a las autoridades.

Desarrollar un proceso para activar al equipo de manejo de incidentes.

Establecer una ubicacin segura para ejecutar el plan de respuesta a

incidentes.

Asegurar que los equipos necesarios se encuentren disponibles.

5.13.1 Elementos de un Plan de Respuesta a

Incidentes (continuacin)
Identificacin:

Asignar la propiedad de un incidente real o posible a un administrador

de incidentes.

Verificar que los informes o eventos renan los requisitos para

considerarse incidentes.

Establecer una cadena de custodia durante la identificacin cuando se

manejan posibles evidencias.

Determinar la gravedad de un incidente y turnarlo segn sea necesario.

Cadena de Custodia

Historia cronolgica que muestra cmo la informacin

fue recolectada, analizada y preservada

Identifica que persona tiene la custodia sobre la

evidencia

Demuestra que la evidencia es confiable

Imgenes de Disco (Copias bit a bit)

Utilizar algoritmos criptogrficos para el original y copias

5.13.1 Elementos de un Plan de Respuesta a

Incidentes (continuacin)

Contencin:

Activar al equipo de manejo/respuesta de incidentes para frenar el

incidente.

Notificar a las partes interesadas pertinentes que se hayan visto

afectadas por el incidente.

Obtener un acuerdo sobre las acciones tomadas que pudieran afectar la

disponibilidad del servicio o los riesgos del proceso de contencin.

Involucrar a los representantes de TI y miembros de equipo virtuales

correspondientes para implementar procedimientos de contencin.

Obtener y mantener evidencia.

Documentar y generar respaldos de las acciones tomadas a partir de

esta fase.

Controla y administrar los comunicados enviados al pblico por parte del

equipo de relaciones pblicas.

5.13.1 Elementos de un Plan de Respuesta a

Incidentes (continuacin)

Erradicacin:

Determinar las seales y las causas de los incidentes.

Localizar la versin ms reciente o soluciones alternas.

Eliminar la causa raz. En caso de infeccin por gusano o virus, se

puede eliminar mediante la aplicacin de parches apropiados y software
antivirus actualizado.

Mejorar las defensas mediante la implementacin de tcnicas de

proteccin.

Realizar anlisis de vulnerabilidad para encontrar nuevas

vulnerabilidades que haya introducido la causa raz.

5.13.1 Elementos de un Plan de Respuesta a

Incidentes (continuacin)

Recuperacin:

Restablecer las operaciones a su estado normal.

Validar que las acciones tomadas sobre los sistemas

restablecidos hayan sido exitosas.

Involucrar a los dueos del sistema en la prueba al sistema.

Facilitar a los dueos del sistema la declaracin de operacin

normal.

5.13.1 Elementos de un Plan de Respuesta a

Incidentes (continuacin)

Lecciones Aprendidas:

Redactar el informe del incidente.

Analizar los problemas encontrados durante el trabajo de

respuesta al incidente.

Proponer mejoras con base en los problemas encontrados.

Presentar el informe a las partes interesadas pertinentes.

5.13.2 Anlisis Diferencial (Gap) - Base para un

Plan de Respuesta a Incidentes

El anlisis diferencial proporciona informacin sobre cul es la

diferencia que existe entre las capacidades actuales de respuesta
a incidentes comparadas con el nivel deseado.

Al comparar ambos niveles, se puede identificar lo siguiente:

Punto nico de falla.

Procesos que necesitan mejorarse para ser ms eficientes y eficaces.

Falta de recursos.

Falta de transferencia adecuada entre las fases y las personas.

Contenido del Captulo 5

5.13 Desarrollo de un Plan de Respuesta a Incidentes

5.14 Desarrollo de Planes de Respuesta y Recuperacin

5.14 Desarrollo y Planes de Respuesta y

Recuperacin

Existen varias consideraciones que se deben establecer cuando se

desarrollen los planes de respuesta y recuperacin,

Los recursos disponibles

Los servicios esperados

Tipos, clases y gravedad de las amenazas que enfrenta la organizacin.

Conocimiento del estado que guardan las capacidades de monitoreo y

deteccin

El nivel de riesgo que la organizacin est dispuesta a aceptar

5.14.1 Organizar, Capacitar y Equipar al

Personal de Respuesta

Todo miembro de un IMT debe someterse al siguiente programa de

capacitacin:

Introduccin al IMT informacin bsica del equipo y las operaciones.

Tutora del equipo con respecto a los roles, responsabilidades y

procedimientos.

Capacitacin en el trabajo.

Capacitacin formal.

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio

La recuperacin de desastre (DR) se ha definido como la

recuperacin de los sistemas de TI cuando incidentes
desastrosos como huracanes e inundaciones han
interrumpido
gravemente
las
capacidades
de
procesamiento de informacin.

La recuperacin del negocio se define como la

recuperacin de los procesos de negocio crticos que
son necesarios para ejecutar los procesos de negocio
clave.

Importancia de contar con planes

de recuperacin de desastres

Desastre
Evento prolongado, no planeado y no tolerable, que tiene las siguientes
caractersticas: Alta incertidumbre, baja probabilidad de ocurrencia y
alto impacto

Inundaciones

Atentados

24

Desastre

CAUSAS NATURALES

Incendios
Terremotos
Exhalaciones volcnicas
Hundimientos
Inundaciones
Tornados
CAUSAS TECNICAS
Huracanes

CAUSAS HUMANAS

Amenazas de Bomba
Huelgas
Plantones
Empleados Inconformes
Empleados Mal Capacitados
Disturbios Sociales

Fallas en el Equipo de Cmputo o algn Perifrico

Fallas en el Equipo de Soporte del Centro de Cmputo
Falla en el Suministro de Energa
Fallas en Equipo de Telecomunicaciones o algn componente de la red
Fallas en el Enlace
Infeccin por Virus Informtico

25

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Es necesario contar con un sistema de clasificacin bien

definido y basado en riesgos para orientar los esfuerzos del
plan de recuperacin de negocio.

Los procesos de planeacin abarcan muchas fases

importantes, entre otras:

Valoracin de riesgos e impacto al negocio.

Definicin de la estrategia de respuesta y recuperacin.

Documentacin de los planes de respuesta y recuperacin,

Capacitacin que incluya los procedimientos de respuesta y
recuperacin.

Actualizacin de los planes de respuesta y recuperacin.

Pruebas a los planes de respuesta y recuperacin.

Auditoria de los planes de respuesta y recuperacin.

Anlisis de Riesgo - BIA

Tipos de amenazas
Hombre
(terrorismo)

Natural

Vulnerabilities

Activo o proceso

Impacto

(tornados)

Tcnicas
(Falla de Poder)

Evaluacin de Riesgos
Business Impact Analysis
(Slo amenazas disruptivas)

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Los principales criterios para seleccin de la estrategia de

recuperacin son:

La criticidad del proceso de negocio y las aplicaciones que lo

soportan.
El costo.
El tiempo requerido para la recuperacin (como se explicar ms
adelante en detalle).
Las consideraciones relacionadas con la seguridad, como
exposicin de informacin valiosa y/o sensible a personas no
autorizadas.
La confiabilidad.

La estrategia apropiada es aquella que tiene:

Costo razonable.
Un tiempo de recuperacin razonable.
Un impacto aceptable.
Baja probabilidad de nueva ocurrencia.

Estrategia de Recuperacin de
desastres
RTO = Recovery Time Objective
RPO = Recovery Point Objective

Distancia
entre
sitios

Gente
Probabilidad de ser afectado por
el mismo desastre
Transporte
Indisponibilidad de Hot Site
Costo de traslado

Costo
RTO

RPO

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Los tipos de instalaciones de hardware re respaldo fuera del sitio que estn
disponibles son:

Hot sites completamente configurados y listos para operar por muchas

horas

Warm sites infraestructuras completas pero que estn parcialmente

configuradas en TI, por lo general

Cold sites tiene slo el ambiente bsico operacional

Sites mviles son trilers de diseo especial que se pueden

transportar con rapidez a una ubicacin de negocio o un sitio alterno a fin
de proporcionar un equipo de procesamiento de informacin
acondicionado previamente

Equipos de procesamiento de informacin duplicados sitios de

recuperacin dedicados y auto desarrollados para respaldar unas pocas
aplicaciones criticas

Estrategias con sitios alternos

Cold Site ($)

Hot Site ($$)

Se renta espacio en un sitio alterno con energa y acceso a red a un proveedor

El espacio no es dedicado, sino disponible bajo demanda y con una duracin predefinida. El
proveedor maneja sobre-suscripcin
La organizacin instala los servidores o equipos en el momento que requiera el espacio (p. ej.
durante prueba del DRP o en un desastre)
Se cuenta con equipos similares a los de produccin
Los equipos son propiedad del proveedor del Hot Site y existe una sobre-suscripcin de los
mismos
Los equipos estn disponibles bajo demanda y con una duracin predefinida
La organizacin hace la instalacin de datos en pruebas o desastre

Sitio Redundante ($$$)

Infraestructura alterna al sitio principal, con rplica de informacin en tiempo real (sitio propio o
renta)
Normalmente los equipos son propiedad de la organizacin ( por ser dedicados)
Dependiendo del uso se puede pagar por el ancho de banda bajo demanda (rplica, prueba o
desastre)
Puede manejar o no la misma carga que el sitio original
31

Estrategia de Recuperacin
Sitio Espejo

Costo de Recuperacin

HotSite Comercial
Replicacin Datos
Journaling & Vaulting

Warm site
Cold Site
Data Recovery Point Objective (RPO)
Minutos Horas

Das

Semanas

Recovery Time Objective (RTO)

Min

Complejidad

Mx

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Los criterios para seleccionar uno sitio alterno incluyen:

El sitio no debe estar sujeto a amenazas de desastres naturales

similares al sitio original (principal).

Que exista una coordinacin de estrategias de hardware/software.

Que se asegure la disponibilidad de los recursos.

Haber un acuerdo relativo a la prioridad de agregar aplicaciones

(cargas de trabajo) hasta que se utilicen en su totalidad los
recursos de recuperacin.

Hacer pruebas peridicas.

5.14.2 Procesos de Planeacin de Recuperacin

y Recuperacin de Negocio (continuacin)

La estrategia de respuesta y recuperacin debe basarse en las siguientes

consideraciones:

Ventana de Interrupcin

RTOs

RPOs (Recovery Point Objectivesse refieren a la antigedad de los

datos que se necesita poder restablecer)

SDOs (Services Delivery Objectives objetivos de entrega de servicios

mnimo nivel de servicios que deben soportarse

MTOs (Maximum Tolerable Outages interrupciones mximas

tolerables el tiempo mximo que la organizacin puede soportar el
procesamiento en modo alterno)

Estrategia de Recuperacin

Sitio Alterno
normal

SDO alternos

Service Delivery
Objectives
(SDO) Normales

Normal

Restaurar
RTO

MTO

El RTO y el MTO son tiempos mximos permitidos

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Existe un gran nmero de alternativas disponibles para obtener

hardware de respaldo y equipo fsico, entre otras:

Un proveedor o un tercero.

Venta al pblico para hacer uso de esta alternativa, se tienen

que utilizar muchas estrategias, entre otras:

Evitar el uso de equipo inusual y difcil de obtener.

Actualizar en forma regular el equipo para mantenerlo
vigente.
Mantener la compatibilidad del software para permitir la
operacin de equipo ms reciente.
Garantizar que los planes de recuperacin incluyan
instrucciones relativas a cmo pagar dicho equipo.

Ejemplo de Escenarios y Estrategias de

Recuperacin

Escenarios

No acceso a las Instalaciones

Indisponibilidad total de ERP
Destruccin de Instalaciones con Afectacin
al Centro de Cmputo
Destruccin de Instalaciones con Afectacin
a Servidor de Gestin

Estrategias de Recuperacin

Operacin remota desde instalacin

alterna
Hot Site
Cold Site
Cold Site

Pgina 3737

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Parte de la recuperacin de los ambientes de TI incluye

la recuperacin de las telecomunicaciones y de las
redes.

Los mtodos incluyen:

Enrutamiento alternativo.
Enrutamiento diverso.
Diversidad de redes de larga distancia.
Proteccin de recursos locales.
Recuperacin por voz.
Disponibilidad de circuitos y ancho de banda apropiados.
Disponibilidad de comunicaciones fuera de banda en caso de fallas en
los mtodos principales de comunicacin.

Ejemplo de Sitio Redundante

Centro de
Datos 1
Sitio 1

Sitio2

MPLS Network

Centro de
Datos 2
Sitio de proveedor de
Servicios

Sitio 3

Operacin Normal

Sitio 4

39

Ejemplo de Sitio Redundante

Centro de
Datos 1
Sitio 1

Rplica de datos

Sitio2

MPLS Network

Centro de
Datos 2
Sitio de proveedor de
Servicios

Sitio 3

Operacin Normal

Sitio 4

40

Ejemplo de Sitio Redundante

Centro de
Datos 1
Sitio 1

Sitio2

MPLS Network

Centro de
Datos 2
Sitio de proveedor de
Servicios

Sitio 3

Operacin Desastre

Sitio 4

41

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

Estrategias de recuperacin mientras se restablecen recursos de TI

Estas estrategias pueden incluir:

No hacer nada hasta que los equipos de recuperacin estn listos.

Utilizar procedimientos manuales.

Enfocarse en los clientes, proveedores, productos, sistemas, etc. ms

importantes dentro de los recursos que an estn disponibles.

Utilizar sistemas basados en PCs para capturar datos para un

procesamiento posterior o para realizar un procesamiento local sencillo.

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)
Factores que se deben tener en cuenta:

Disponibilidad antes del incidente.

Procedimientos de evaluacin.
Cmo declarar un desastre.
Identificar los procesos de negocio y los recursos de TI que deben
recuperarse.
Identificar las responsabilidades en el plan.
Identificar a las personas responsables de cada funcin en el plan.
Identificar la informacin de contacto.
La explicacin paso a paso de las opciones de recuperacin.
Identificar los diversos recursos que se requieren para la
recuperacin y la continuidad de las operaciones.

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

El nmero de equipos puede variar dependiendo del

tamao de la operacin del negocio. Algunos ejemplos
se enlistan a continuacin:

Equipo de accin ante emergencias

Equipo de valoracin de daos.

Equipo de manejo de emergencias

Equipo de reubicacin

Equipo de seguridad

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

El plan debe tener una lista priorizada de contactos:

Representantes de proveedores de equipo y software.

Compaas para proporcionar servicios, equipo o insumos.
Sitios de recuperacin, incluso representantes en el hot site o servicios
para volver a enrutar comunicaciones de redes predefinidas.
Sitios de almacenamiento de medios fuera del sitio.
Personas autorizadas para recuperar medios desde la locacin fuera del
sitio.
Agentes de seguros.
Contactos en relaciones humanas y/o servicios de contratacin de
personal.
Encargados del cumplimiento de leyes.

5.14.2 Procesos de Planeacin de Recuperacin

y Recuperacin de Negocio (continuacin)

Entre los mtodos para proporcionar la continuidad de los

servicios de redes tambin tenemos (cont.):

Redundancia

Capacidad adicional, Mltiples rutas, Ruteo Dinmico, Dispositivos en

Failover

Enrutamiento alterno.

Enrutamiento diverso.

Diversidad de redes de larga distancia.

Proteccin de circuito de ltima milla.

Recuperacin de servicios de voz.

Redundancia

Cloud

Enrutamiento alterno

Frame Relay
Network

A
PSTN

Enrutamiento alterno

ADM

ADM

Ring

ADM

ADM

Enrutamiento Diverso

Frame Relay
Network

Proteccin de ltima Milla

Frame Relay
Network

Radio tower
Radio tower

5.14.2 Procesos de Planeacin de Recuperacin y

Recuperacin de Negocio (continuacin)

El plan debe tratar de lo siguiente:

Sistemas tolerantes a fallas

Servidores en clustering o balanceo de cargas

RAID

Coberturas por seguro

Equipo e instalaciones de TI
Reconstruccin de medios (software)
Gastos adicionales
Interrupcin del negocio
Documentos y registros de valor
Errores y omisiones
Cobertura de fidelidad
Transporte de medios

RAID
http://www.raidweb.com/whatis.html
RAID
Level

Array's
Capacity

Data
Reliability

Data
Transfer
Capacity

Minimum
Drive
Required

Common Name

Description

Disk striping

Data distributed across the

disks in the array. No
redundant information
provided.

(N)
disks

Low

Very High

Disk mirroring

All data duplicated

1*
disks

Very High

High

Parallel transfer disks

with parity

Data sector is subdivided and

distributed across all data disk.
Redundant information stored
on a dedicated parity disk.

(N-1)
disks

Very High

Highest of
all listed
alternatives

Independent
access Array
without rotating
parity

Data sectors are distributed as

with disk stripping, redundant
information is interspersed with
user data.

(N-1)
disks

Very High

Very High

0+
1

Disk-Striping +
Disk-Mirroring

Combined striping and

mirroring function without
parity. Fast data access and
single drive fault tolerance.

(N/2)
disks

Very High

High

5.14.3 Entendimiento de las Prcticas

de Respuesta y Recuperacin

El gerente de seguridad de la informacin debe conocer:

Las actividades que implica un programa de respuesta y

recuperacin.
Los riesgos a los cuales es susceptible al rea o locacin indicados
por los funcionarios gubernamentales de manejo de emergencias.

Enfocar en las actividades que se llevan a cabo durante e

inmediatamente despus de que ha ocurrido un incidente:

La recuperacin de hardware, software y data.

La creacin de un centro de comando.
El desarrollo y utilizacin de un plan de evacuacin.

Preguntas

Propiedad de ALAPSI Noreste

55

Captulo 5 Preguntas de Prctica

5-4. Cul sera el aspecto MS importante a considerar
cuando se requiere tomar la decisin entre construir una
instalacin alterna o contratar el servicio de hot site
operado por un proveedor externo?:
A.
B.
C.
D.

Costo para construir una instalacin de

procesamiento de informacin
Costo diario incremental de prdida de diferentes
sistemas
Localizacin y costo de instalaciones de recuperacin
comerciales
Prdida anual esperada (ALE) debido a riesgos
claves

Respuesta

La Respuesta Correcta: 4.C La decisin entre

construir una instalacin propia o alquilar instalaciones
de proveedores externos debe ser totalmente basada en
decisiones de negocio.

Propiedad de ALAPSI Noreste

57

Captulo 5 Preguntas de Prctica

5-6. Si una organizacin requiriera contratar un seguro
contra conducta deshonesta y fraudulenta de sus
propios empleados, qu tipo de cobertura necesitara
contratar?:
A.
B.
C.
D.

De fidelidad
De interrupcin del negocio
De documentos y registros valiosos
De continuidad del negocio

Respuesta

La Respuesta Correcta: 6.A - La cobertura de la

fidelidad significa cobertura de seguro contra prdida por
deshonestidad o fraude perpetrado por empleados.

Propiedad de ALAPSI Noreste

59

Captulo 5 Preguntas de
Prctica
5-10. Si se requiere una copia forense de un disco duro,
qu tipo de copia desde el punto de vista legal sera
la MS defendible (con ms peso legal)?:
A.

B.
C.
D.

Una copia comprimida de todo el contenido del disco

duro.
Una copia que incluya todos los archivos y directorios.
Una copia bit por bit de todos los datos.
Una copia encriptada de todo el contenido del disco
duro.

Respuesta

La Respuesta Correcta: 10.C - No existe una mejor

opcin que hacer una copia bit por bit, si se quiere
obtener evidencia forense que sea a toda prueba. Slo
una copia byte por byte resultar en la captura de todos
los datos en el disco duro.
Por el contrario, copiar todos los archivos y carpetas
resultar en la prdida de determinados datos, por
ejemplo, datos entre el final de un archivo y el final del
sector de disco (slack space).

Propiedad de ALAPSI Noreste

61

GRACIAS

Propiedad de ALAPSI Noreste

62