Anda di halaman 1dari 15

Espiñeira, Sheldon y Asociados

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
No. 9 - 2010 Contenido Cerrar Imprimir anterior siguiente
Boletín Digital // No. 9 - 2010

Contenido
Haga click en los enlaces para navegar
a través del documento

Página Página
Contenido Cerrar Imprimir anterior siguiente

Haga click en los enlaces para llegar directamente a cada sección

4Introducción 4Recuperación del incidente


4Proceso de respuesta a incidentes 4Evaluación y reflexión sobre el incidente
4Identificación del incidente 4Consideraciones Finales
4Clasificación del incidente 4Créditos / Suscribirse
4Notificación del incidente
4Respuesta al incidente y contención
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Introducción
Un incidente de seguridad puede ser descrito Hoy en día, el crecimiento tecnológico asociado a Para evitar estas situaciones, las organizaciones
como cualquier evento que pueda comprometer sistemas computarizados, redes y aplicaciones, deben emprender actitudes proactivas para
el ambiente de Seguridad de Información (SI) de trae consigo mayor dificultad en las actividades asegurar que sus ambientes estén preparados
una organización. de monitoreo y respuestas a posibles incidentes para identificar eventos, mitigar su impacto en el
de seguridad. En este sentido, las organizaciones menor tiempo posible y el costo de la
Los eventos de seguridad son inevitables; la deben estar preparadas para detectar y responder investigación.
diferencia radica en el tiempo requerido para su a intentos de acceso no autorizado o actividades
detección y en su impacto contra la organización. ilegales contra los activos de información. La Como parte de las investigaciones realizadas por
Por ejemplo, una organización que cuente con pérdida de productividad y exposición o la nuestra Firma, un elemento fundamental para el
una estructura formal para la detección de alteración de información crítica pueden repercutir proceso de respuestas a incidentes es el análisis
vulnerabilidades y ataques, está expuesta al en poner a una organización fuera del negocio. previo del riesgo tecnológico. En general, esto
mismo número de eventos que aquella que no lo refiere a la definición de un esquema destinado a
tenga. La diferencia va a radicar en la probabilidad Los incidentes de seguridad repercuten en la la identificación y minimización de aquellas
que ese ataque impacte negativamente en la imagen organizacional y probablemente en los vulnerabilidades que aquejan a la organización.
organización, y en el tiempo que ésta incurra en estados financieros. A estos costos se suman los
recuperarse del mismo. de investigación forense, que por su
especialización pueden representar una porción
importante de la pérdida, pero que son necesarios
para determinar responsabilidades y medidas de
acción para contrarrestar el riesgo.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Introducción (continuación)
La Figura N°1 muestra las principales causas de Una vez identificadas las causas de estos Las principales consecuencias que presentaron
incidentes de SI reportadas por la empresas incidentes, es necesario comentar las las empresas encuestadas producto de la
venezolanas, muchos de los cuales pueden ser consecuencias experimentadas con el fin de ocurrencia de incidentes de SI fueron las
prevenidos bajo esquemas de Análisis de Riesgo establecer bases para el Proceso de Respuesta siguientes: Paralización parcial o total de las
Tecnológico. a Incidentes. La Figura N°2 muestra tales operaciones, Incumplimiento en la entrega de
elementos, haciendo un comparativo entre los reportes, Daño en la imagen y reputación de la
años 2008 y 2009. organización.

Pero ninguna organización puede considerarse


inmune a la ocurrencia de eventos. Esta
Para visualizar la Figura No. 1 Para visualizar la Figura No. 2 afirmación introduce a la siguiente etapa en el
haga click en el icono. haga click en el icono.
ciclo de vida de la SI: La respuesta a incidentes.

Figura Nº 1: Figura Nº 2:
Principales causas de la ocurrencia de los incidentes de SI Principales consecuencias de la ocurrencia de los
año 2009 incidentes de SI año 2008 vs. 2009.
Fuente: Encuesta Seguridad de la Información 2009. Fuente: Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Proceso de respuesta a incidentes Identificación del incidente


Las respuestas a incidentes comprenden un Para un mayor entendimiento de cómo se La organización debe determinar si el incidente es
grupo de etapas que deben ejecutarse cuando un interrelacionan cada una de las etapas del un evento de riesgo o una falsa alarma, esto es
evento de seguridad ocurre. Un proceso de proceso de respuesta a incidentes, la Figura Nº 4 particularmente importante en el caso de ataques.
respuesta a incidentes ayuda a manejar correcta y muestra el flujo de acciones que ejecutaría el En caso afirmativo, debe identificar el tipo
eficientemente un evento. Asimismo, el diseño de equipo de respuesta definido. específico de evento. Algunos tipos comunes de
un proceso para el monitoreo y respuesta a incidentes incluyen:
incidentes también apoya en la identificación
necesidades de recursos y asignación de roles y • Ataques a Website
responsabilidades. La Figura Nº 3 ilustra el • Ataques de denegación de servicio
proceso recomendado para monitorear y • Barrido de puertos (Scan)
responder a incidentes de manera efectiva. • Sniffing
Para visualizar la Figura No. 4
haga click en el icono. • Ingeniería social
• Acceso no autorizado
Para ampliar: haga click sobre la imagen • Infección de virus
• Fallas de hardware

Identificación Clasificación Notificación Respuesta Recuperación Post-Mortem Categorizar el incidente por tipo contribuye a
Figura Nº 4:
hacer seguimiento y entender el riesgo al que se
Figura Nº 3: Diagrama de flujo de acciones a seguir por el equipo de
Proceso de respuesta a incidentes respuesta a incidentes. encuentra sometida la organización.
Fuente: Technology Forecast PricewaterhouseCoopers qRetorno
Fuente: Technology Forecast PricewaterhouseCoopers
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Clasificación del incidente


Durante el proceso de clasificación, le es Durante una crisis, todo el tiempo y los recursos El cuarto nivel (“Evento”), es similar a un
asignado un nivel de severidad con la finalidad de deben ser destinados a remediar el problema. incidente, el cual debe ser resuelto, pero el grado
controlar los recursos y el tiempo para afrontarlo. de urgencia es menor. Por ejemplo, que una
El segundo nivel (“Incidente serio”), implica que el cuenta ha sido bloqueada después de múltiples
Para proveer un marco consistente en categorizar daño está ocurriendo a la organización, por lo que intentos fallidos de acceso, esto podría significar
la severidad de los incidentes, la organización se requiere atención inmediata para prevenir que que una persona no autorizada está intentando
debe desarrollar una escala de calificación, como el incidente escale a un nivel de crisis. Por adivinar las credenciales de usuarios para ganar
se muestra a continuación: ejemplo, ha sido expuesta información de cuentas acceso al sistema.
de usuario que puede ser utilizada para realizar un
• Nivel de Severidad 1: Crisis acceso no autorizado. La clasificación, debe determinar de manera
• Nivel de Severidad 2: Incidente serio precisa cuáles son las acciones que deberán
• Nivel de Severidad 3: Incidente El tercer nivel (“Incidente”), es algo que debe ser iniciarse y los niveles de notificación del incidente,
• Nivel de Severidad 4: Evento resuelto, pero su nivel de urgencia es bajo. Por temas que abordamos a continuación.
ejemplo, un IDS ha identificado un scan de la red
En esta escala, el nivel superior (“Crisis”), es el interna de la organización. En este caso, la
más severo e indica que la organización está organización experimenta poco o ningún daño,
corriendo peligro. Por ejemplo, una situación bajo pero el incidente es un indicador claro que alguien
esta categoría sería un acceso no autorizado o o algo está intentando identificar sistemas o
borrado de la información almacenada en un encontrar vulnerabilidades que explotar.
servidor crítico.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Notificación del incidente Respuesta al incidente y contención


Cuando un incidente ha sido identificado, el nivel El diseño de patrones de respuesta para cada Los miembros relevantes del equipo de
de severidad determinará las personas nivel de incidente, contribuye a realizar una respuesta a incidentes deben planificar las
apropiadas que deben ser notificadas de la evaluación precisa del mismo, y permite coordinar acciones de restauración y cumplir con los
ocurrencia de dicho incidente, con el fin de que las actividades de respuesta e investigación. La requerimientos mínimos que se mencionan a
realicen las acciones adecuadas de acuerdo con fase de respuesta puede ocurrir en paralelo con continuación:
sus roles y responsabilidades. las etapas clasificación y notificación. Las tres
áreas primarias en esta fase son: evaluación, - Conexiones y retención de evidencia:
investigación y soporte. Identificar todas las conexiones activas desde
y hacia el activo comprometido, y determinar
• Evaluación. Comienza en el instante en que el la información que puede ser de interés para
incidente es identificado e implica la recolección la investigación. En este punto es importante
de todos los datos relevantes sobre el incidente, establecer un balance entre la continuidad de
por parte de los miembros del equipo de las operaciones y los métodos y fuentes de
respuesta y la determinación del impacto en las información existentes, ya que en muchas
operaciones de la organización. ocasiones, un método riguroso de retención
de evidencia afectaría algún proceso.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Respuesta al incidente y contención


(continuación)

- Registro: Registrar cualquier actividad e información comprometida, modificada o De considerarse apropiado, el líder del equipo
observada, si la actividad del incidente se eliminada, y cualquier información o código de respuesta a incidentes, recolectará y
encuentra en progreso. malicioso almacenado durante el incidente que documentará todos los registros necesarios
sea utilizada para comprometer el resto de los para transferir la investigación a las autoridades
- Plan de recuperación de desastres: componentes de red. legales que corresponda.
Determinar la necesidad de la activación de
los planes de recuperación de desastres o El equipo debe identificar cuáles componentes • Soporte. El tiempo es un componente crucial
plan de continuidad del negocio. fueron comprometidos, cuentas y contraseñas durante un evento de respuesta a incidentes. Si
pueden estar expuestas y todas las máquinas el equipo de investigación no puede tener
- Reemplazo: Determinar los recursos que comparten el mismo segmento de red. Los acceso inmediato a los sistemas y redes
disponibles para reemplazar los activos custodios de la información asisten al equipo de afectadas, este retraso podría incrementar el
afectados. respuesta a incidentes, identificando y alcance y la severidad del incidente. Una
adquiriendo evidencia sobre la naturaleza y organización debe poseer un equipo de soporte
• Investigación. La investigación determina la causa del incidente, mientras los miembros del técnico que pueda proveer acceso a los
causa y alcance del incidente. Identificar la equipo de respuesta a incidentes documentan y recursos para sostener el esfuerzo de respuesta
causa contribuye a revelar las vulnerabilidades mantienen informado al líder de su equipo sobre a incidentes.
técnicas que permitieron el evento. Esta todos los pasos de la investigación.
actividad ayuda a identificar todas las máquinas
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Recuperación del incidente

El objetivo primordial de la etapa de recuperación El proceso de recuperación debe ocurrir fuera de Luego de haberse completado todas las
es devolver los procesos de la organización a un línea, siempre y cuando sea posible. Si la máquina evaluaciones y acciones investigativas, el líder del
estado seguro y operacional, de la manera más es esencial para las operaciones, la organización equipo de respuesta a incidentes debe proveer
eficiente posible. La fase de recuperación le debe considerar un reemplazo temporal, mientras instrucciones a los custodios de información
permite a los usuarios evaluar el daño ocurrido, la el equipo es reconstruido y asegurado. Si es responsables de la recuperación. Estos, a su vez,
información que se ha perdido y cuál es el estatus necesario reconstruir varias máquinas, todas deben informarle sobre las acciones de
del sistema posterior al ataque. deben ser llevadas a un estado fuera de línea recuperación que se llevan a cabo para labores de
simultáneamente y luego ser reconectadas una seguimiento.
Todas las máquinas comprometidas requieren ser vez aseguradas. Los miembros del equipo de
recuperadas. La recuperación dependerá del nivel recuperación de incidentes deben proveer
de afectación. En caso de cuentas compartidas y instrucciones durante esta etapa, pero los
contraseñas capturadas, que no fueron utilizadas custodios de la información deben realizar
para comprometer otros sistemas, un simple efectivamente la reconstrucción y aseguramiento
cambio de contraseñas podría ser toda la de los sistemas.
recuperación adecuada. Algunos incidentes
pueden requerir la reconstrucción del sistema a
partir de respaldos previos e instalación original
de las aplicaciones.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Evaluación y reflexión sobre el


incidente
Una actividad “post-mortem” es una reunión que
Queda como responsabilidad del líder del equipo
se lleva a cabo una vez que se haya resuelto el
de respuesta a incidentes:
incidente. El propósito de la reunión es discutir las
lecciones aprendidas y las mejoras que pueden
• Programar y liderar la reunión post-mortem
ser implementadas para resolver de la mejor
• Documentar las lecciones aprendidas
forma posible un evento similar en el futuro. Esta
• Hacer seguimiento
debe llevarse a cabo dentro de las dos semanas
• Desarrollar el reporte final, el cual debe incluir
siguientes a la resolución de cada incidente de
las acciones tomadas
seguridad o ataque simulado.
La sesión “post-mortem” debe enfocarse en los
aciertos y fallas durante el proceso de respuesta
al incidente e incluir a todos los participantes que
trabajaron en la resolución del incidente.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Consideraciones Finales

Como parte del desarrollo comercial y el ¿Cuánto le cuesta al negocio paralizar total o Un plan de respuesta a incidentes debe ser
crecimiento organizacional, las empresas se ven parcialmente sus operaciones?, ¿Cuánto cuestan correspondiente a los objetivos del negocio,
obligadas hoy en día en adoptar mejores prácticas los incumplimientos internos/externos?, ¿Podrían criticidad de las operaciones y a los recursos
y desarrollar iniciativas internas que deriven en la sacar ventaja de ellos nuestros competidores?, existentes dentro de la organización, pero
mejora de sus operaciones. ¿Cuántos negocios o clientes potenciales fundamentalmente soportado sobre un equipo
pudieron verse visto afectados?. humano comprometido y calificado.
Las estadísticas y el análisis juicioso de los
expertos de SI han logrado demostrar la Todas estas son preguntas que debemos
importancia de mantener programas de hacernos a la hora de diseñar nuestro Proceso de
actualización y mejoramiento continuo en materia Respuestas a Incidentes, asegurando siempre su
de Tecnología de Información debido al avance interrelación con otros procesos de análisis
acelerado a donde la misma nos conduce, y que continuo de la organización tales como: Acuerdos
generalmente incorpora brechas de seguridad que de niveles de servicio (SLA’s), Acuerdos de niveles
son capitalizadas por los atacantes y aficionados operativos (OLA’s), Planes de continuidad de
primero que los mismos proveedores. Negocio (BCP), evaluaciones independientes de
seguridad, evaluaciones propias de controles
(CSA), entre otras.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial


Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Si desea suscribirse haga click en la barra

El Boletín Asesoría Gerencial es publicado por la


Línea de Servicios de Asesoría Gerencial (Advisory)
de Espiñeira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers. El Boletín Asesoría Gerencial es publicado por la
Línea de Servicios de Asesoría Gerencial (Advisory)
El presente boletín es de carácter informativo y no de Espiñeira, Sheldon y Asociados, Firma miembro
expresa opinión de la Firma. Si bien se han tomado de PricewaterhouseCoopers.
todas las precauciones del caso en la preparación
de este material, Espiñeira, Sheldon y Asociados no El presente boletín es de carácter informativo y no
asume ninguna responsabilidad por errores u expresa opinión de la Firma. Si bien se han tomado
omisiones; tampoco asume ninguna responsabilidad todas las precauciones del caso en la preparación
por daños y perjuicios resultantes del uso de la
información contenida en el presente documento.
Las marcas mencionadas son propiedad de sus
respectivos dueños. PricewaterhouseCoopers niega
cualquier derecho sobre estas marcas

© 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida
que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y
Editado por Espiñeira, Sheldon y Asociados Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni
Depósito Legal pp 1999-03CS141 tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni
podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL.
Teléfono master: (58-212) 700 6666 R.I.F.: J-00029977-3
Boletín Digital // No. 9 - 2010

Figura Nº 1:
Principales causas de la ocurrencia de los incidentes de SI año 2009
Regresar
al boletín Aumentar Imprimir

20 18%

16%
15% 15%
15
13%

11%

10

7%

5 4%

0
Configuraciones Uso abusivo Falla o Vulnerabilidades Vulnerabilidades Configuraciones Ingeniería Otro
de seguridad de los recursos deficiencia en el software en aplicaciones por defecto social
inadecuadas / privilegios en el proceso de / hardware o procesos
actualización
del SW/HW

Fuente:
Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010

Figura Nº 2:
Principales consecuencias de la ocurrencia de los incidentes de SI
año 2008 vs. 2009. Regresar
al boletín Aumentar Imprimir

30
27% 27%
25%
2008 25
22%

20 18%
2009

14%
15
12% 12%
11%
10% 10%
10

6%
4%
5

1%

0
Paralización Incumplimiento Daño en No tuvo Pérdida de Pérdida Otros
total o parcial en la entrega la imagen y impacto oportunidades de clientes
de las de reportes reputación de la de negocio
operaciones Organización
Fuente:
Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010

Figura Nº 4:
Diagrama de flujo de acciones a seguir por el equipo de
respuesta a incidentes. Regresar
al boletín Aumentar Imprimir

Respuesta

Determinación
El evento es Determina el
descubierto y evento y su
reportado impacto sobre
el negocio
Soporte
Provee asistencia
logística y
recursos técnicos
Identificación Investigación
El evento es Determina la
identificado y causa y extensión
documentado del evento

Clasificación
El evento es Determinar
Si
clasificado, se le cambios en la
asigna severidad severidad
y se documenta

No

Conformidad
Cumplimiento
Determinar Si de los
si hay impacto requerimientos
regulatorio regulatorios
(Notificaciones,
etc.)

No

Notificación Recuperación
Severidad Se le notifica
Determinar el Devolver los
tipo de incidente a las personas sistemas a su
apropiadas estado original

Cerrar
incidente
Determinado como actividad autorizada

Fuente: Post Mortem


Revisar proceso
Technology Forecast
PricewaterhouseCoopers