GRUPO N :3
TRABAJO DE EXPOSICION: N1
CICLO : 2017-B
FECHA : 09/10/17
INDICE
INTRODUCCIN ............................................................................................... 4
CRONOGRAMA .............................................................................................. 29
INFORMACIN ................................................................................................ 38
......................................................................................................................... 45
BIBLIOGRAFIA ............................................................................................... 74
INTRODUCCIN
El crecimiento en la implementacin de herramientas de seguridad informtica
organizacin.
terreno informtico, por lo que preocuparse por este tema toma gran relevancia
hoy en da y hace parte del mismo control que se debe hacer al desarrollo de la
comunes.
ISO IEC/27012:2013
mejoras
Control
seguridad de la informacin.
Gua de implantacin
incidentes,
incidentes de seguridad,
inters externos o foros que tratan asuntos relacionados con los incidentes de
seguridad de la informacin,
persona que los comunique a recordar todas las acciones necesarias en caso
quebrantamiento de la seguridad,
problema.
Informacin adicional
la organizacin o del pas. Para reaccionar ante dichos incidentes, resulta cada
informacin
Control
disponibilidad de la informacin;
c) errores humanos;
h) violaciones de acceso.
Informacin adicional
Control
punto dbil que observen o que sospechen que exista, en los sistemas o
servicios.
Gua de implantacin
Informacin adicional
ningn caso deberan intentar comprobar un punto dbil que sospechen que
exista. Si lo hacen, esto podra interpretarse como un posible uso indebido del
informacin
Control
Gua de implantacin
confirmacin o reevaluacin.
Control
Gua de implantacin
del incidente;
mismo;
f) tratamiento de la debilidad o debilidades de seguridad de la informacin
informacin
Control
Gua de implantacin
futuro.
Control
evidencia.
Gua de implantacin
legal.
a) la cadena de custodia;
b) la integridad de la evidencia;
f) la documentacin;
g) el resumen.
Informacin adicional
obtencin de los items fsicos que puede contener una posible evidencia. La
adquisicin es el proceso de creacin de una copia de los datos en un
puede que no resulte evidente si dicho evento tendr como consecuencia una
accin legal. Por este motivo, existe el peligro de que se destruyan de forma
2. CASOS DE ESTUDIO
personal, por ello se han implementado normas las cuales definan los
de seguridad de informacin.
Objetivo General.
Objetivos Especficos
Identificar y analizar los componentes tecnolgicos que
de la entidad financiera.
la plataforma SIEM.
mismos.
tipo de plataformas a las redes de datos, para analizar en tiempo real los
todos estos eventos, no solo identificarlos, esto significa que los eventos
informacin.
informacin 18
de la informacin.
Mejorar continuamente la seguridad de la informacin y la gestin
incidente de seguridad.
Respuesta: Respuesta al incidente de seguridad, con el anlisis
de la Informacin).
seguridad de la informacin.
la informacin
seguridad de la informacin.
informacin.
revisin de la direccin.
Identificacin y mejora del esquema de gestin de
Recursos Tecnolgicos.
Disco Duro de 1 TB
necesarias.
Gastos de
$ 1.500.000 $1.500.000 $1.500.000 $1.500.000 $ 6.000.000
Personal
Ingeniero con
estudios en
Sueldo 1 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 6.000.000
especializacin -
Medio tiempo
Gastos
$ 860.000 $ 860.000 $ 860.000 $ 860.000 $ 3.440.000
Generales
Transporte Transporte $ 100.000 $ 100.000 $ 100.000 $ 100.000 $ 400.000
Servicios
$ 500.000 $ 500.000 $ 500.000 $ 500.000 $ 2.000.000
Tcnicos
Materiales y Papelera,
$ 200.000 $ 200.000 $ 200.000 $ 200.000 $ 800.000
suministros fotocopias, etc.
Servicios Luz, telfono e $ $ $
$ 60.000 $ 240.000
pblicos internet 60.000 60.000 60.000
Tabla 2- Presupuesto
28
CRONOGRAMA
CRONOGRAMA
2da 1ra 2da
1ra 1ra 2da 1ra 2da
Quincena Quincena Quincena
Actividades Quincena Quincena Quincena Quincena Quincena
Enero Febrero Febrero
Enero 2015 Marzo 2015 Marzo 2015 Abril 2015 Abril 2015
2015 2015 2015
1. Planear
1.1 Levantamiento de
informacin proceso
actual de gestin de X
incidents
1.2 Anlisis de la
X X
informacin recolectada
1.3 Validar el proceso
actual de Anlisis de
Riesgos VS Incidentes de X X
Seguridad
2. Hacer
2.1 Disear la poltica se
gestin de incidentes
segn necesidades de la X
entidad
2.2 Disear el o los
procedimientos que
respalden la operacin de X
la poltica
2.3 Empalmar la poltica y
los procedimientos con la
gestin de riesgos X
tecnolgicos
29
2.4 Ajuste de los
procedimientos segn
implementacin de la X
gestin de riesgos
tecnolgicos.
3. Verificar
3.1 Divulgacin de la
poltica y los
procedimientos al rea de X
seguridad de la
informacin
3.2 Anlisis de la
implementacin de los
procedimientos en un X
rea de la entidad.
4. Actuar
4.1 Divulgacin oficial de
la poltica y los
procedimientos que X
respalden la gestin de
incidentes de seguridad.
4.2 Mejora continua del
proceso con auditoras X
peridicas del mismo
Tabla 3-Cronograma
30
SITUACIN ACTUAL
PLATAFORMA TECNOLGICA
Router
Switch Cisco
31
ANLISIS DE LOS COMPONENTES TECNOLGICOS
Nombre del
Descripcin Fabricante
Dispositivo
SRVBOGAD01 Directorio Activo de la Compaa Windows
SRVBOGAD02 Directorio Activo de la Compaa Windows
SRVBOGALO Aplicacin Aurolog Windows
Aplicacin para la integracin de los productos
SRVBOGEPO McAfee
de McAfee
SRVBOGNFS File Server de la compaa Windows
COMBOGFW Firewall DMZ de la compaa Fortinet
SRVBOGGUA Aplicativo Guardium IBM
SRVBOGREG Aplicaciones para las Regionales Windows
SRVBOGTRA Aplicacin de Transferencia de Archivos (NFS) Windows
COMBOGWLC Controlador de la Red Inalmbrica Cisco
Tabla 4 Dispositivos.
32
INCIDENTES DE SEGURIDAD DE LA INFORMACIN
34
Se menciona a ITIL (Information Technology Infrastructure Library - Biblioteca de
Infraestructura de Tecnologas de Informacin) debido a que es un modelo de facto
ampliamente implementado en la gestin de Incidentes, y es posible adaptarlo al
contexto de seguridad.
35
METODOLOGAS GESTIN RIESGOS E INCIDENTES DE SEGURIDAD
35
Figura 7. Interaccin de los procesos. Riesgos e Incidentes
36
METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIN
Dentro de los objetivos que debe tener toda rea de Seguridad de la Informacin es
el definir controles y procedimientos para el manejo de los incidentes de seguridad
de la informacin en la organizacin. Estas acciones desde el enfoque corporativo,
promueven el cumplimiento de un objetivo principal: ayudar a contener y/o
administrar el impacto de los incidentes para reducir costos directos o indirectos
causados por los mismos.
La norma ISO 27035:2011 ha definido dentro del proceso de gestin de incidentes
de seguridad de la informacin 5 fases para cumplir con ese objetivo principal
(ICONTEC, 2011):
38
En general, la primera se especifica todo los que se necesita para que el proceso
se ejecute de manera xitos, las otras cuatro fases son la ejecucin del proceso.
39
Recolectar la informacin necesaria sobre los eventos que produzcan
incidentes de Seguridad de la Informacin.
Gestionar (Detectar, reportar y tratar) las vulnerabilidades que se
identifiquen sobre la infraestructura tecnolgica del SIEM.
Diligenciar el Formato de Deteccin del Incidente (Ver Anexo C)
Incendio, agua,
La prdida de seguridad de la electrosttica, destruccin de
Incidente de dao informacin es causada por equipos, destruccin de
fsico acciones fsicas accidentales o medios, tobo de equipos,
deliberadas prdida de equipos,
alteracin de equipos, etc.
La prdida de seguridad de la
Fallas en la alimentacin
informacin es causada por fallas
Incidente de fallas elctrica, en las redes, en el
en los sistemas y servicios bsicos
de infraestructura aire acondicionado, en el
que apoyan el funcionamiento de
suministro de agua, etc.
los sistemas de informacin
La prdida de seguridad de la
Falla del hardware, mal
informacin es causada por fallas
funcionamiento del software,
Incidente de falla en los sistemas de informacin o
sobrecarga (saturacin de la
tcnica en instalaciones no tcnicas
capacidad de los sistemas de
relacionadas, al igual que
informacin), etc.
problemas humanos no
intencionales que dan como
resultado la no disponibilidad o
40
destruccin de los sistemas de
Informacin
41
40
Evaluacin de los Incidentes
Esta etapa busca clasificar el incidente tomando en cuenta el impacto sobre los
servicios y sistemas afectados y acordando la asignacin de prioridad para todos
los recursos necesarios para su contencin y recuperacin, incluyendo el personal
adecuado para el tratamiento del incidente dentro del ISIRT.
41
Previo al tratamiento del incidente, es indispensable priorizar el incidente teniendo
en cuenta los siguientes factores:
42
La combinacin resultante del impacto funcional y del impacto de la informacin,
determina el impacto del incidente.
La recuperacin del incidente define las posibles respuestas que el ISIRT puede
tomar en la gestin. Sin embargo la estimacin de recursos y esfuerzos necesarios,
no deja de ser un criterio a tener en cuenta para la priorizacin del incidente, junto
con el impacto del incidente.
43
Valor Escala Definicin
0.25 Bajo Pequeo nmero de recursos tecnolgicos
Sistema o sistemas, servicios o infraestructura considerados
0.50 Medio
no crticos.
0.75 Alto Sistemas, servicios o infraestructura critica para la Compaa.
Sistema o Sistemas que son de misin crtica para los
1.00 Crtico
procesos de Negocio.
Severidad general / Score del Efecto = Entero ((Valuacin Actual del efecto *
2.5) + (
44
En este caso la Entidad ha definido que:
45
Cualquier incidente de seguridad de la informacin que se detecte en los
sistemas configurados en la herramienta SIEM, tiene como valoracin de su
impacto: Alto
Cualquier incidente de seguridad de la informacin que se detecte en los
sistemas configurados en la herramienta SIEM, tiene como valoracin de su
Criticidad: Alto
Como resultado de las anteriores definiciones, se indica que cualquier
incidente de seguridad de la informacin sobre los sistemas configurados en
la herramienta SIEM, tienen finalmente un impacto Crtico, lo que indica que
las acciones de recuperacin frente a estos incidentes no deben tardar ms
de 3 horas.
Respuestas Inmediatas
Posterior a la evaluacin y las decisiones tomadas por el ISIRT como resultado de
la fase anterior, en esta fase y dependiendo de la valoracin del incidente, el ISIRT
debe definir un conjunto de actividades de forma casi inmediata a la deteccin del
incidente, como:
Identificar las acciones de respuesta inmediata para el tratamiento del
incidente.
Definir y documentar controles de emergencia segn los resultados de la
evaluacin del incidente.
Notificar los interesados (stakeholders) sobre los resultados de la evaluacin
del incidente y las acciones sugeridas para una pronta recuperacin
(controles de emergencia).
Dependiendo del grado de afectacin del incidente sobre los activos de
informacin de la compaa, se tomara la decisin de la conformacin de
45
una sala de crisis, para darle prioridad al tratamiento del incidente, sin dejar
de implementar las acciones d respuesta inmediata.
Erradicacin y recuperacin
Tan pronto las respuestas inmediatas han sido implementadas, se debe determinar
la causa o las causas del incidente y su posterior erradicacin.
46
Determinar los signos y causa de incidentes
Localizar la versin ms reciente de copias de seguridad de los sistemas
afectados.
Removiendo la causa raz. En el evento de infeccin de gusanos o virus,
puede ser eliminado en el despliegue de parches de seguridad y software
antivirus actualizado.
Mejora de las defensas mediante la implementacin de tcnicas de
proteccin.
Realizacin de anlisis de vulnerabilidad para encontrar nuevas
vulnerabilidades introducidas por la causa raz.
Es necesario hacer nfasis que todos los involucrados en la gestin (ISIRT y los
administradores o dueos de cada sistema impactado) deben registrar cuidadosa y
detalladamente todas las actividades realizadas para un anlisis post-mortem del
incidente. Toda esta informacin recopilada debe tener una cadena de custodia, ya
que se considera confidencial para la Entidad, adems de que la misma pueda ser
comprobable y tenga su copia de respaldo.
Las medidas implementadas para el control del incidente deben ser monitoreadas,
con el fin de validar su efectividad y servir de base de conocimiento para futuros
incidentes.
47
identifique la causa o causas del incidente, las actividades realizadas, las medidas
que fueron adoptadas y los resultados de la implementacin de esas medidas.
48
o Qu tan bien realizaron su trabajo el Personal y la
Direccin de Seguridad de Seguridad de la Informacin en
relacin con el incidente?
o Estn documentadas las actividades ejecutadas para la
erradicacin y recuperacin de los sistemas ante el
incidente?
Fueron las actividades adecuadas?
o Eran las medidas o acciones tomadas que podran haber
inhibido la recuperacin?
o Qu hara diferente el Personal y la Direccin la prxima
vez que ocurra un incidente similar?
o Qu acciones correctivas pueden prevenir incidentes
similares en el futuro?
o Qu precursores o indicadores deben ser observados
para en el futuro para detectar incidentes similares?
o Qu herramientas adicionales o recursos son necesarios
para detectar, analizar y mitigar futuros incidentes?
49
ANALISIS DE IMPLEMENTACIN DE LAS METODOLOGAS
PROPUESTAS
incidentes.
EJERCITO DE ECUADOR)
2011, segn los datos del INEC (2011) est relacionado con el
institucional.
continuo.
55
Ilustracin 5-Etapas y actividades para la implementacin de un CSIRT
CSIRT.
57
Ilustracin 6-Proceso de manejo de incidente de seguridad informtica del CSIRT
58
d. Simulacin de los procesos de gestin de incidentes CSIRT-ESPE
una institucin acadmica estatal sin fines de lucro que no est exenta
seguridad informtica.
Presupuesto Referencial
Rubro Unidad
Plataforma tecnolgica $22.385,00
Gastos operativos $280.980,00
Equipos de oficina $51.555,00
Arriendo servicios bsicos $5.400,00
Especializacin $16.600,00
TOTAL $376.920,00
la ESPE.
60
Ilustracin 7-Mejoras a los controles de seguridad de la ESPE
de xito crtico de la Institucin (ver Tabla 2), en base a lo cual se defini los
Kilcrece, 2007).
61
Factores de xito Servicios CSIRT
crtico
1.Manejo y resolucin de incidentes 2.Configuracin y
mantenimiento de herramientas de seguridad,
Gestin de
aplicaciones e Infraestructura
cumplimientos 3. Auditoras de seguridad y alertas
de acuerdos
polticas:
Poltica de usuarios
ESPE
CSIRT-CEDIA
CSIRT-SUPERTEL
CSIRT-FFAA
63
Mientras que a nivel internacional las relaciones de confianza se establecen
con:
FIRST
OAS
ITU-D
IMPACT
AP-CERT
Priorizacin Impacto
manejo de
incidentes Servic Vector de amenaza
io
1. Sistema de
1.Actividad de cdigo
Gestin
malicioso
ALTA Administrativa
2.Vulnerabilidad de
2. Sistema
Financiero Parches
3. Sistemas de
Gestin
acadmica
1.Portal de 1.Actividad de
servicios reconocimiento
MEDIANA
Institucionales 2.Deformacin WEB
2.Correo 3.Spam
electrnico
Institucional
1.Servicios de 1. Denegacin de
BAJA Internet servicio.
2.Repositorios de 2.Uso no autorizado
FTP
3.Telefona
64
Tabla 12-Tiempo de INCIDENTES
Descripcin Mtrica
Nmero de incidentes de severidad Alta.
Nmero de incidentes severidad Mediana
y Baja. Nmero de otros incidentes.
Nmero de incidentes incorrectamente
categorizados. Nmero de incidentes
Mantenimiento de la
incorrectamente escalado.
Calidad del Servicio
Nmero de incidentes que no pasaron por
el Help Desk.
Nmero de incidentes que no fueron
cerrados o resueltos sobre las horas.
Nmero de incidentes resueltos antes
de que el usuario notifique.
Nmero de incidentes abiertos nuevamente.
Nmero de usuarios/clientes encuestas
Mantenimiento de enviadas. Nmero de encuestas
satisfaccin al cliente respondidas.
Promedio de puntaje encuesta a usuario
(total o por categora de pregunta).
Promedio de tiempo de espera antes de la
respuesta al incidente.
Nmero de incidentes registrados.
Nmero de incidentes resueltos por Help
Resolucin de incidentes en Desk. Nmero de incidentes intensificados por
los tiempos establecidos Help Desk. Tiempo promedio para restablecer
el servicio desde la primera llamada.
Tiempo promedio para restaurar la
severidad del incidente.
Tiempo promedio para restaurar la
urgencia del incidente.
65
g. Simulacin de procesos de gestin de incidentes
Figura 4).
acadmica de la ESPE.
66
Ilustracin 8- Proceso de manejo de incidentes simulado en SIMPROCESS.
Tiempo
Nomen- clatura
Niveles de soporte de Niveles de escalamiento
resolucin
Soporte primer nivel 30 min Help Desk GT1
Soporte segundo nivel 60 min Redes y comunicaciones GT2
Soporte tercer nivel 4 horas Sistemas de informacin GT3
Proveedores 24 horas Proveedores/CSIRTs GT4
describen a continuacin:
67
Escenario 1: Proceso de manejo de incidentes en el que se cuenta con un
herramienta SIMPROCESS.
68
Categora de incidentes: Se defini tres entidades que hacen referencia a los
69
Registro: Se consider para la etapa de registro de incidentes, que la
Nota: Evl Inc Alta incluye a personal del CSIRT, HELP DESK y Soporte de segundo y tercer nivel.
Evl Inc Media incluye a personal del HELP DESK y Soporte de segundo y tercer nivel.
present mayor porcentaje de ocupacin del personal del Help Desk, debido a
incidencias por parte del Help Desk, al no tener procesos definidos para el
manejo de incidentes.
especializacin.
73
BIBLIOGRAFIA
74