Seminario CISM

Manejo y Respuesta de Incidentes

Parte 1/4

Roberto Woo Borrego

CISSP, CISM, CISA, ITIL, ISO27001

Instructor

Nombre: Roberto Woo Borrego

Experiencia en SI:

Proyectos de SI, Seguridad en Redes, Equipo de Respuesta a

Incidentes, Auditoria.

Certificaciones: CCDA, CCNA, CISA, CISSP, ITIL, ISO

27001

E mail: rwooborr@alestra.com.mx

Reconocimiento
El contenido de este mdulo fue seleccionado
tomando como base los conceptos de los
manuales de preparacin del examen de
certificacin CISM (Certified Information Security
Manager)
de
ISACA
Internacional
y
complementndolo con la experiencia en
Seguridad de Informacin de los Instructores de
ALAPSI Noreste

Agenda del Curso

Objetivos de Aprendizaje (Tareas)

Discutir temas especficos del captulo

5.3 al 5.7

Pregunas tipo

Relevancia en el Examen
Asegurar que el candidato CISM
Tiene el conocimiento y entendimiento necesario para identificar,
analizar, manejar y responder efectivamente a los eventos
inesperados que pueden afectar los activos de informacin de la
organizacin y/o su capacidad de operacin.
% of Total Exam Questions

El contenido de este captulo representa

el 14% del examen CISM (aprox. 28
preguntas)
10 Tareas
17 Conocimientos relacionados

Chapter 5
14%

Chapter 4
24%
Chapter 3
17%

Chapter 1
23%

Chapter 2
22%

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

Contenido del Captulo 5

(Continuacin)
5.8

Objetivos del Manejo de Incidentes

5.9

Mtricas e Indicadores del Manejo de Incidentes

5.10

Definicin de los Procedimientos del Manejo de

Incidentes

5.11

Recursos para el Manejo de Incidentes

5.12

Estado Actual de la Capacidad de Respuesta a

Incidentes

Contenido del Captulo 5

(Continuacin)
5.13 Desarrollo de un Plan de Respuesta a Incidentes
5.14 Desarrollo de Planes de Respuesta y Recuperacin
5.15 Pruebas a los Planes de Respuesta y Recuperacin
5.16 Ejecucin de los Planes de Respuesta y Recuperacin
5.17 Documentacin de Eventos
5.18 Revisiones Posteriores al Evento

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

5.1 Definicin
Qu es el Manejo y Respuesta de Incidentes?

Un Incidente es un evento adverso que ha ocasionado o tiene la

posibilidad de ocasionar un dao a los activos, la reputacin y/o el
personal de una organizacin.

El Manejo de Incidentes se define como el proceso de desarrollar

y mantener una capacidad para responder a incidentes dentro de
una organizacin, de tal forma que sea posible contener los
impactos y se pueda alcanzar la recuperacin dentro del objetivo
de tiempo establecido.

La Respuesta a Incidentes es la capacidad de prepararse para

eventos inesperados y responder a ellos a fin de poder controlar y
limitar el dao, y mantener o restablecer las operaciones normales.
10

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

11

Captulo 5 Objetivos de aprendizaje

(5.3 Tareas)

Desarrollar e implementar procesos para detectar, identificar,

analizar y responder a incidentes de seguridad de informacin

Establecer procesos de escalacin y comunicacin y lneas de

autoridad/mando.

Desarrollar planes para responder y documentar incidentes de

seguridad de informacin

Establecer la capacidad de investigar incidentes de seguridad de

informacin

Desarrollar un proceso para la comunicacin con las partes

internas y organizaciones externas.

12

Objetivos de aprendizaje (5.3Tareas)

Integrar los planes de respuesta de incidentes de seguridad con los

planes de recuperacin de desastres (DR) y continuidad de
negocios.

Organizar, entrenar, y dar herramientas a los equipos para

responder a los incidentes de seguridad de informacin

Probar y refinar los planes de respuesta a los incidentes de

seguridad peridicamente.

Manejar la respuesta a los incidentes de seguridad de informacin

Realizar revisiones para identificar las causas de los incidentes de

seguridad de informacin, desarrollar acciones correctivas y reevaluar los riesgos.

13

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

14

5.4 Introduccin al Manejo y

Respuesta de Incidentes

El

propsito del manejo y respuesta de incidentes es

administrar a niveles aceptables el impacto que tienen los
eventos perjudiciales inesperados.

Tales

eventos pueden ser de naturaleza tcnica, fsica o

ambiental.

Cualquier

tipo de incidente que pudiera tener un efecto

significativo en la capacidad de la organizacin para operar
o que pudiera ocasionar algn dao debe ser considerado
por el gerente de seguridad de la informacin.
15

5.4.1 Manejo y Respuesta de

Incidentes

Los Planes de Respuesta a Incidentes (IRP) son muy similares a los

Planes de Continuidad del Negocio (BCP), salvo por el hecho de
que los IRP se enfocan en las violaciones a la seguridad que
representen una amenaza a la integridad de los sistemas, redes,
aplicaciones y datos, as como la confidencialidad de la informacin
crtica y el no repudio de las transacciones electrnicas.

En la planeacin se deben considerar todas las funciones del

negocio que sean crticas, vitales, sensibles, as como aquellas
funciones de soporte que sean necesarias, aun cuando no sean ni
sensibles ni crticas.

16

Relacin entre IRP y BCP

Confidencialidad
Catstrofe

Integridad

Disponibilidad

Business Continuity Plan (BCP)

Indisponibilidad de
Personal Crtico

Continuity
Operation

DRP

Facilidad
Indisponible

Falla de Poder /
Servicio Energa

Desastre

Escenarios
DoS, Acceso no
Autorizado, Cdigo
Malicioso

Incident Response
Process (IRP)

No Desastre

Errores, Accidentes,
Falla en Sistemas
Sistema

Red

Facilidad

Especfico

Funcin de
Negocio

Todo el
Negocio

Impact
17

5.4.1 Manejo y Respuesta de

Incidentes (continuacin)

El proceso de desarrollo y mantenimiento de un plan apropiado debe

incluir lo siguiente:

Elaborar un anlisis de impacto al negocio sobre el efecto que tiene
la prdida de procesos de negocio crticos (BIA)

Identificar y priorizar los sistemas y otros recursos que se requieren
para soportar los procesos de negocio crticos.

Valorar las capacidades de deteccin y monitoreo de incidentes.

Definir y obtener el acuerdo sobre los criterios tanto de severidad
como de declaracin.

Elegir las estrategias que sean apropiadas para recuperar al
menos aquellos equipos que sean suficientes para soportar los
procesos de negocio crticos.

Desarrollar el plan de recuperacin de desastre.

18

5.4.1 Manejo y Respuesta de Incidentes

(continuacin)

Los planes deberan:

Estar claramente y debidamente documentados.

Disponibles en cualquier momento

Estar basados en el plan de largo plazo de IT

Ser consistentes con las estrategias de continuidad de

negocios y seguridad.

19

5.4.1 Manejo y Respuesta de Incidentes

(continuacin)

Las partes interesadas deben tomar diversas decisiones, las cuales

debern ser ratificadas por la alta direccin.

Capacidades de deteccin de incidentes.

Criterios de severidad claramente definidos.

Capacidades de valoracin y priorizacin de emergencias.

Criterios de declaracin.

Alcance del manejo de incidentes

Capacidades de Respuesta
20

5.4.1 Manejo y Respuesta de Incidentes

(continuacin)

El proceso de desarrollo y mantenimiento de un plan

apropiado debe incluir lo siguiente:

Capacitar al personal sobre cmo seguir los planes.

Probar los planes.
Actualizar los planes a medida que cambia el negocio y se
desarrollan sistemas.
Almacenar los planes para que se pueda acceder a ellos a
pesar de que ocurran fallas en las computadoras o redes.
Auditar los planes.

21

5.4.2 Importancia del Manejo y

Respuesta de Incidentes
Los factores que se muestran a continuacin han contribuido a la importancia
que hoy en da tiene el proceso de manejo y respuesta de incidentes:

La tendencia de acontecimientos y prdidas que aumentan como

resultado de incidentes relacionados con la seguridad de la informacin
que a su vez tienen graves consecuencias.

El aumento de vulnerabilidades en el software o sistemas puede afectar

significativamente la infraestructura de la organizacin y tener un
impacto en las operaciones.

Falla de los controles tcnicos de seguridad para prevenir incidentes.

Requerimientos legales y regulatorios.

Las creciente sofisticacin y capacidades de los atacantes que buscan

beneficios financieros.
22

Ejemplos de Incidentes de Seguridad de

Informacin

Ataque de denegacin de Servicio (DoS) contra un servidor Web

Vulnerabilidad: Ej. Servidor no cuenta con los ltimos parches.

Acceso no autorizado a Informacin

Vulnerabilidad: Ej. Exceso de privilegios por parte de los usuarios, compartir
acceso, contraseas dbiles, etc.

Contaminacin de servidores o PC con un virus o gusano

Vulnerabilidad: Ej. Antivirus no actualizado o inexistente, apertura de correos
electrnicos dudosos

Ej. Blaster, Slammer, Sasser, Conficker

Robo de informacin

Vulnerabilidad: El deseo de ayudar

23

Impactos de Incidentes
Reputacin
Imagen / Prdida de Clientes y Mercado

Impactos
ocasionados
por fallas en la
Seguridad de
Informacin

Legales/ Regulatorios
Multas / Demandas

Financieros
Costos Operativos / Prdida de Ingresos

Productividad
Horas de Trabajo / Moral del Personal / Interrupcin de Procesos

24

Encuesta CSI 2008

Computer Security Institute

http://www.sans.org/2008menaces/

25

Sofisticacin de Ataques vs Conocimiento

de los Atacantes

Phishing

Bots

VoIP
Conocimiento
de los atacantes

Complejidad
de ataques

stealth / advanced
scanning techniques

Alto

packet spoofing

PGPcrip
Wireless
DDOS
attacks

denial of service

sniffers
sweepers
GUI

www
attacks
automated probes/scans

network mgmt. diagnostics

back doors
disabling audits
hijacking
burglaries sessions

Attack
Sophistication

exploiting known vulnerabilities

password cracking
self-replicating code

Atacantes

password guessing

Bajo

1980

1985

1990

1995

2000

2007

2008
26

5.4.3 Resultados del Manejo y Respuesta

de Incidentes

Los resultados de un buen manejo y respuesta de incidentes sern

el reflejo de una organizacin que:

Pueda resolver con eficacia los eventos no anticipados.

Cuente con capacidades suficientes de deteccin y monitoreo.
Cuente con criterios de severidad y declaracin bien definidos, as
como procesos definidos de escalamiento y notificacin.
Cuente con capacidades de respuestas que apoyen de manera
comprobable la estrategia de negocio.
Contribuya a administrar los riesgos de incidentes en forma
proactiva y apropiada.
Realice pruebas peridicas a sus capacidades.
Proporcione funciones de monitoreo y mtricas para medir el
desempeo de las capacidades de manejo y respuesta de
incidentes.

27

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de

5.7

Gerente de Seguridad de la Informacin

Incidentes

28

5.5.1 Conceptos del Manejo de Incidentes

Carnegie Mellon University/Software Engineering

Institute (SEI) proporciona las siguientes definiciones:

Manejo de Incidentes un servicio que involucra a todos

los procesos o tareas relacionadas con el manejo de
eventos e incidentes. Implica mltiples funciones:

Deteccin y notificacin
Priorizacin de emergencias (triage)
Anlisis
Respuesta a incidentes

29

5.5.2 Tecnologas

Los sistemas de manejo de incidentes automatizan

muchos procesos manuales

Filtran informacin que puede ser usada para

identificar posibles incidentes tcnicos y alertar al
equipo de manejo de incidentes (IMT)

Pueden ser distribuidos o centralizados

30

5.5.2 Tecnologas (continuacin)

Un sistema eficaz para el manejo de incidentes debera

ser capaz de:

Consolidar entradas de mltiples sistemas.

Identificar incidentes reales o posibles.
Priorizar incidentes con base en el impacto al negocio.
Dar seguimiento a los incidentes hasta que se hayan cerrado.
Proporcionar seguimiento y notificaciones del estado de los
incidentes.
Integrarse con los principales sistemas de administracin de TI.
Implementar lineamientos de mejores prcticas.

31

Tecnologa para la Administracin de Incidentes

http://www.iv2-technologies.com/SOCConceptAndImplementation.pdf

32

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de Incidentes

5.7

Gerente de Seguridad de la Informacin

33

5.6 Alcance y Estatutos del

Manejo de Incidentes

Los estatutos del manejo de incidentes establecen

formalmente al equipo de manejo de incidentes (IMT) y
documentan sus responsabilidades para administrar y
responder a incidentes relacionados con la seguridad. Las
secciones que ste documento debera incluir son:

Misin
Alcance
Estructura Organizacional
Flujo de Informacin
Servicios Proporcionados

34

Contenido del Captulo 5

5.1

Definicin

5.2

Objetivo

5.3

Tareas

5.4

Introduccin al Manejo y Respuesta de Incidentes

5.5

Conceptos del Manejo de Incidentes

5.6

Alcance y Estatutos del Manejo de Incidentes

5.7

Gerente de Seguridad de la Informacin

35

5.7.1 Responsabilidades del Gerente

de Seguridad de la Informacin

Desarrollar planes para el manejo y respuesta de incidentes

relacionados con la seguridad de la informacin.

Manejar y coordinar las actividades de respuesta a incidentes

relacionados con la seguridad de la informacin de manera eficaz y
eficiente.

Validar, verificar y notificar las soluciones de proteccin o de

contramedidas, tanto tcnicas como administrativas.

Llevar a cabo la planeacin, la elaboracin de presupuesto y el

desarrollo del programa para todos los aspectos relativos al manejo
y la respuesta de incidentes relacionados con la seguridad de la
informacin.

36

5.7.1 Responsabilidades del Gerente

de Seguridad de la Informacin
(continuacin)

El enfoque de respuesta a incidentes puede variar dependiendo

de la situacin, sin embargo, las metas son constantes. Entre
estas metas tenemos las siguientes:

Contener los efectos del incidente.

Notificar a la gente apropiada sobre el propsito de la
recuperacin o para proporcionar la informacin necesaria.
Recuperarse rpida y eficazmente de los incidentes
relacionados con la seguridad.
Minimizar el impacto del incidente relacionado con la seguridad.
Responder de forma sistemtica y reducir la probabilidad de que
el incidente vuelva a ocurrir.
Equilibrar los proceses operativos y de seguridad.
Resolver problemas legales y los relacionados con el
cumplimiento de las leyes.

37

5.7.1 Responsabilidades del Gerente de

Seguridad de la Informacin (continuacin)

El gerente de seguridad de la informacin tambin necesita definir lo

que constituye un incidente de seguridad. Por lo general, entre los
incidentes se encuentran los siguientes:

Ataques de cdigo malicioso.

Acceso no autorizado a los recursos de TI/SI.
Uso no autorizado de los servicios.
Cambios no autorizados a sistemas, dispositivos de red o
informacin.
Denegacin de servicio.
Uso inapropiado.
Vigilancia y espionaje.
Engaos / Ingeniera social

38

Descripcin de un
Ataque DDoS

El Distributed Denial of Service

(DDoS) un acto malicioso
provocado.

Evita que los usuarios tengan

acceso a un Web Site o a un
servicio en la red

Enva una sobrecarga de trfico a

un sitio especfico.

El ataque se construye desde una

red virtual de computadoras
(botnet).
39

Motivos para lanzar un ataque DDoS

Los Hackers lo hacen para:

Robar informacin
Extorsionar
Daar a un competidor

Riesgos y consecuencias
del ataque DDoS

Tiempo de recuperacin
Prdida de productividad
Prdida de ingresos
Prdida de servicios de TI
Daos en reputacin
Pago de Extorsin
40

Ataque de Negacin de Servicio Distribuido

(DDoS)
Atacantes /
Mquinas infectadas

ISP Internacionales

Proveedor de
Servicio

ISP Nacionales

Atacantes /
Mquinas infectadas

Red de cliente
Firewall

Ataque
de
DDOS

IDS/IPS

Red de cliente

Red de cliente

Atacantes /
Mquinas infectadas

41

5.7.2 Compromiso de la Alta Direccin

Un factor crucial para el xito del proceso de manejo y respuesta de

incidentes es contar con el compromiso de la Alta Direccin.

El manejo y respuesta a incidentes es un componente de la

administracin de riesgos y requiere el mismo nivel de apoyo de la
Alta Direccin.

42

Preguntas

43

Captulo 5 Preguntas de
Prctica
5-3. Cul es la razn PRINCIPAL para llevar a cabo una
priorizacin de emergencias?:
A. Recursos limitados en el manejo de incidentes.
B. Como una parte del proceso obligatorio en el
manejo de incidentes.
C. Mitigar un incidente.
D. Detectar un incidente.

44

La Respuesta Correcta: 3.A - La priorizacin se lleva a

cabo principalmente porque existen recursos limitados
para la atencin de incidentes. Con una categorizacin,
priorizacin y asignacin de incidentes con base en su
criticidad, es posible asignar los recursos con mayor
eficiencia. Las otras opciones forman parte de los
procesos de atencin de incidentes.

45

Captulo 5 Preguntas de
Prctica
5-5. Cul de los siguientes documentos debera
formar parte del manual del equipo de respuesta
de incidentes?
A. Valoracin de Riesgos
B. Criterio de Severidad
C. Directorio de Funcionarios
D. Tablas de todas las copias de respaldo

46

Respuesta

La respuesta Correcta: 5.B Criterio de Severidad se

quedar casi sin cambios y es la nica opcin correcta
para el manual.

47

GRACIAS

48