GestinyRespuestadeincidentesPlanderespuestaaincidentes

ndiceIntroduccin..................................................................................................................................................................................................3Quesunplanderespuestaaincidentes?.............................................................................................................................................3

Elementosdeunplanderespuestaaincidentes..........................................................................................................................................3Fasedepreparacin..................................................................................................................................................................................3Fasedeidentificacin................................................................................................................................................................................4Fasedecontencin....................................................................................................................................................................................4Fasedeerradicacin..................................................................................................................................................................................4Fasederecuperacin.................................................................................................................................................................................4Fasedeleccionesaprendidas....................................................................................................................................................................5

GestinyRespuestadeincidentesPlanderespuestaaincidentes 3

IntroduccinParallevaracabounagestineficazdeincidentesesnecesarioconsiderarciertosaspectos.Enprimerainstancia,hayquetenerencuentaeldesarrollodeunplanderespuestaaincidentesparaatacarunsucesoadversodelamejorformaposible.Apartirdeesto,serfactibledesarrollarunplanderecuperacinquepermitadefinirlasactividadesyresponsabilidades,afindequelaorganizacinnormalicesuestadoyregularicesuoperatividad.

Quesunplanderespuestaaincidentes?Elplanderespuestaaincidentesesuncomponentedelagestindeincidentes.Enesteplan,sedetallantodaslasaccionesjuntoatodalainformacinrequerida,comoelpersonalylasactividades,parapoderrealizarlasencasodequeocurrauneventoadverso.Alolargodeestemdulo,seespecificarnlosdistintoselementosnecesariosparapoderdesarrollarunplanderespuestasaincidentesbasndoseenunmodeloespecfico.ElementosdeunplanderespuestaaincidentesDesarrollarunplanderespuestaaincidentespermiteadquiriruncomponenteactivoenloquerespectaalagestindeincidentes.Existendiferenteselementosquepermitenarmarunplanderespuestaquecontempletodoslosaspectosnecesarios.Unodelosmodelosmscomunes(Schultz,BrownyLongstaff)constadeseisfases:

Preparacin Identificacin Contencin Erradicacin Recuperacin Leccionesaprendidas

Acontinuacinsedetallarnlosobjetivosdecadaunadelasetapasjuntoalasresponsabilidadesyelalcanceenlasmismas.

FasedepreparacinEstafaseconsisteenlapreparacinporpartedelaorganizacinparadesarrollarunplanadecuadoantesdelaocurrenciadealgnincidente.Enestesentido,existenalgunasactividadesquedebensercontempladas.Enprimerainstanciasedebenestablecerenfoques,polticas,planesdecomunicacinyadvertenciasenlosdiferentessistemasdeinformacin,conlafinalidaddedisuadirintrusosypermitirlarecopilacindeinformacin.Laestandarizacindecanalesdecomunicacinpermitedefinirconclaridadlosmensajesaumentandolaeficienciaydisminuyendolosposibleserroresomalentendidos.Esimportanteladefinicindecriteriosparapoderreportarunincidentealasautoridadescompetentes.Estodebeestablecersepreviamente,yaquepermiteestandarizarydefinirespecficamentelaocurrenciadeuneventoadverso.Adems,esnecesariodefinirunprocesoparaactivaralequipodegestindeincidentes.Aligualqueloscriterios,losprocedimientospermitenestandarizarlaformadeoperacinencasodeuneventoadverso.Finalmente,sedebecontarconunaubicacinseguraparapoderllevaracaboelprocesoderecuperacin,comotambinsucedealahoradeasegurarladisponibilidaddelosrecursosnecesariosparalaejecucindeestatarea.Enmuchoscasos,comofrenteaundesastrenatural,esindispensabledisponerderecursosenunpuntogeogrficodiferenteparapoderresponderalincidente.

GestinyRespuestadeincidentesPlanderespuestaaincidentes 4

FasedeidentificacinEsmuyimportantefijarcomopropsitolaidentificacindelaocurrenciadeunincidenteydeterminarlosdetallesdeeste.Estaetapapermiteelreconocimientodeunsucesoadversoparaluegotomarlasaccionesnecesarias.Lasactividadesquecomprendenestafaseson:

Asignarlapropiedaddeunincidenteposibleoinclusorealaunadministradordeincidentes. Verificarreportesycerciorarquerealmentesetratadeunincidente. Asignarunacadenadecustodiasobrelaspotencialesevidencias. Determinaryescalarlagravedaddelincidente.

FasedecontencinUnavezquesehaidentificadoyconfirmadoelincidente,sedebecompartirtodalainformacinconeladministradordeincidentes.Elequipoespecializadodebellevaracabounaevaluacincompletadelasituacin.Adems,sedebecontactaralosencargadosdelossistemasquesevieronafectadosporelincidente,conelfindecoordinarlasaccionesquesellevarnacabo.Estafasetienecomopropsitolalimitacindelaexposicinquepuedesufrirlaorganizacincomoresultadodelincidente.Algunasdelasactividadesqueseejecutanesestaetapason:

Activarelequipodegestinyrespuestadeincidentesafindecontenerelincidenteocurrido. Notificaralaspartesquehayansidoafectadasporelincidente. InvolucraralsectordeITparaimplementarmtodosymedidasdecontencin. Obtenerymantenerlaevidencia. Documentarygenerarrespaldosdelasaccionestomadas.

FasedeerradicacinElobjetivodeestafaseeseliminarlacausadelincidente.Laerradicacinsepuedellevaracabodevariasformas:elrestablecimientodelsistemaaunestadoseguroenelpasado,laeliminacindelacausaraz,elanlisisdelavulnerabilidadparaevitarfuturosincidentesquepuedanocurrirdelamismacausaraz,entreotrasalternativas.Lasactividadesdeestafaseincluyen:

Determinarlascausasdelincidente. Estimarlaversinmsrecientedelosrespaldosconlosquesecuenta. Eliminarlacausaraz. Realizarunanlisisparadetectarnuevasvulnerabilidadesquepuedanhabersurgidoapartirdelincidente.

FasederecuperacinEstafaseeslaquegarantizaquelossistemasoserviciosafectadosserestablezcanadecuadamenteyquedentotalmentefuncionales.Estaetapa,posiblemente,eslaquemsimpactaenlaorganizacin,yaqueeslaquelepermitevolveralaoperatorianormal.Algunasdelasactividadesqueserealizanson:

Restablecerlasoperacionesasuestadonormal. Validarlasaccionesquefuerontomadas. Informaralaspersonasqueoperanlossistemasafectadosdelrestablecimientodelaoperatorianormal.Asimismo,

dichopersonaldebeserincluidoenlaspruebasafindetenerconocimientodelosdetalles.

GestinyRespuestadeincidentesPlanderespuestaaincidentes 5

FasedeleccionesaprendidasEnestaltimafasesedebeelaborarunreporteendondesedocumentetodolosucedido.Estedocumentodebeespecificarculesfueronlasmedidasquesetomaron,ascomotambinlosresultadosobtenidosluegodehaberaplicadoelplanderespuesta.Posteriormente,todolodocumentadodebeutilizarseparadesarrollarmejorasenlacapacidaddegestindeincidentes.Lasactividadesquecomprendenestafaseson:

Redactarunreportedetallandotodoslosaspectosimportantesdelincidente. Analizarlosproblemasencontradosyproponermejoras. Presentarelreporteaquienescorresponda.

GestinyRespuestadeincidentesPlanderespuestaaincidentes 6

Copyright2013porESET,LLCyESET,spol.s.r.o.Todoslosderechosreservados.Lasmarcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o.,mencionados en este curso, sonmarcasregistradasdesusrespectivospropietariosynoguardanrelacinconESET,LLCyESET,spol.s.r.o.ESET,2012AcercadeESETCon25aosde trayectoriaen la industriade la seguridadde la informacin,ESETesuna compaa globalde solucionesdesoftwarede seguridad, creadoradel legendarioESETNOD32Antivirusyorientadaaproveerproteccindeltimageneracincontraamenazas informticas.ActualmentecuentaconoficinascentralesenBratislava (Eslovaquia)ydeCoordinacinenSanDiego (Estados Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido), Praga(RepblicaCheca),Cracovia(Polonia),Jena(Alemania)SanPablo(Brasil)yMxicoDF(Mxico).Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo deprofesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un Laboratorio deInvestigacinfocalizadoeneldescubrimientoproactivodevariadasamenazasinformticas.La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con unanavegacin yuso responsabledel equipo, junto con el intersde fomentar la concientizacinde losusuarios enmateriadeseguridadinformtica,conviertenalascampaaseducativasenelpilardelaidentidadcorporativadeESET,cuyaGiraAntivirusyahaadquiridorenombrepropio.Paramsinformacin,visitewww.esetla.com