04 gesti n incidentes plan de respuesta
TRANSCRIPT
-
GestinyRespuestadeincidentesPlanderespuestaaincidentes
-
ndiceIntroduccin..................................................................................................................................................................................................3Quesunplanderespuestaaincidentes?.............................................................................................................................................3
Elementosdeunplanderespuestaaincidentes..........................................................................................................................................3Fasedepreparacin..................................................................................................................................................................................3Fasedeidentificacin................................................................................................................................................................................4Fasedecontencin....................................................................................................................................................................................4Fasedeerradicacin..................................................................................................................................................................................4Fasederecuperacin.................................................................................................................................................................................4Fasedeleccionesaprendidas....................................................................................................................................................................5
-
GestinyRespuestadeincidentesPlanderespuestaaincidentes 3
IntroduccinParallevaracabounagestineficazdeincidentesesnecesarioconsiderarciertosaspectos.Enprimerainstancia,hayquetenerencuentaeldesarrollodeunplanderespuestaaincidentesparaatacarunsucesoadversodelamejorformaposible.Apartirdeesto,serfactibledesarrollarunplanderecuperacinquepermitadefinirlasactividadesyresponsabilidades,afindequelaorganizacinnormalicesuestadoyregularicesuoperatividad.
Quesunplanderespuestaaincidentes?Elplanderespuestaaincidentesesuncomponentedelagestindeincidentes.Enesteplan,sedetallantodaslasaccionesjuntoatodalainformacinrequerida,comoelpersonalylasactividades,parapoderrealizarlasencasodequeocurrauneventoadverso.Alolargodeestemdulo,seespecificarnlosdistintoselementosnecesariosparapoderdesarrollarunplanderespuestasaincidentesbasndoseenunmodeloespecfico.ElementosdeunplanderespuestaaincidentesDesarrollarunplanderespuestaaincidentespermiteadquiriruncomponenteactivoenloquerespectaalagestindeincidentes.Existendiferenteselementosquepermitenarmarunplanderespuestaquecontempletodoslosaspectosnecesarios.Unodelosmodelosmscomunes(Schultz,BrownyLongstaff)constadeseisfases:
Preparacin Identificacin Contencin Erradicacin Recuperacin Leccionesaprendidas
Acontinuacinsedetallarnlosobjetivosdecadaunadelasetapasjuntoalasresponsabilidadesyelalcanceenlasmismas.
FasedepreparacinEstafaseconsisteenlapreparacinporpartedelaorganizacinparadesarrollarunplanadecuadoantesdelaocurrenciadealgnincidente.Enestesentido,existenalgunasactividadesquedebensercontempladas.Enprimerainstanciasedebenestablecerenfoques,polticas,planesdecomunicacinyadvertenciasenlosdiferentessistemasdeinformacin,conlafinalidaddedisuadirintrusosypermitirlarecopilacindeinformacin.Laestandarizacindecanalesdecomunicacinpermitedefinirconclaridadlosmensajesaumentandolaeficienciaydisminuyendolosposibleserroresomalentendidos.Esimportanteladefinicindecriteriosparapoderreportarunincidentealasautoridadescompetentes.Estodebeestablecersepreviamente,yaquepermiteestandarizarydefinirespecficamentelaocurrenciadeuneventoadverso.Adems,esnecesariodefinirunprocesoparaactivaralequipodegestindeincidentes.Aligualqueloscriterios,losprocedimientospermitenestandarizarlaformadeoperacinencasodeuneventoadverso.Finalmente,sedebecontarconunaubicacinseguraparapoderllevaracaboelprocesoderecuperacin,comotambinsucedealahoradeasegurarladisponibilidaddelosrecursosnecesariosparalaejecucindeestatarea.Enmuchoscasos,comofrenteaundesastrenatural,esindispensabledisponerderecursosenunpuntogeogrficodiferenteparapoderresponderalincidente.
-
GestinyRespuestadeincidentesPlanderespuestaaincidentes 4
FasedeidentificacinEsmuyimportantefijarcomopropsitolaidentificacindelaocurrenciadeunincidenteydeterminarlosdetallesdeeste.Estaetapapermiteelreconocimientodeunsucesoadversoparaluegotomarlasaccionesnecesarias.Lasactividadesquecomprendenestafaseson:
Asignarlapropiedaddeunincidenteposibleoinclusorealaunadministradordeincidentes. Verificarreportesycerciorarquerealmentesetratadeunincidente. Asignarunacadenadecustodiasobrelaspotencialesevidencias. Determinaryescalarlagravedaddelincidente.
FasedecontencinUnavezquesehaidentificadoyconfirmadoelincidente,sedebecompartirtodalainformacinconeladministradordeincidentes.Elequipoespecializadodebellevaracabounaevaluacincompletadelasituacin.Adems,sedebecontactaralosencargadosdelossistemasquesevieronafectadosporelincidente,conelfindecoordinarlasaccionesquesellevarnacabo.Estafasetienecomopropsitolalimitacindelaexposicinquepuedesufrirlaorganizacincomoresultadodelincidente.Algunasdelasactividadesqueseejecutanesestaetapason:
Activarelequipodegestinyrespuestadeincidentesafindecontenerelincidenteocurrido. Notificaralaspartesquehayansidoafectadasporelincidente. InvolucraralsectordeITparaimplementarmtodosymedidasdecontencin. Obtenerymantenerlaevidencia. Documentarygenerarrespaldosdelasaccionestomadas.
FasedeerradicacinElobjetivodeestafaseeseliminarlacausadelincidente.Laerradicacinsepuedellevaracabodevariasformas:elrestablecimientodelsistemaaunestadoseguroenelpasado,laeliminacindelacausaraz,elanlisisdelavulnerabilidadparaevitarfuturosincidentesquepuedanocurrirdelamismacausaraz,entreotrasalternativas.Lasactividadesdeestafaseincluyen:
Determinarlascausasdelincidente. Estimarlaversinmsrecientedelosrespaldosconlosquesecuenta. Eliminarlacausaraz. Realizarunanlisisparadetectarnuevasvulnerabilidadesquepuedanhabersurgidoapartirdelincidente.
FasederecuperacinEstafaseeslaquegarantizaquelossistemasoserviciosafectadosserestablezcanadecuadamenteyquedentotalmentefuncionales.Estaetapa,posiblemente,eslaquemsimpactaenlaorganizacin,yaqueeslaquelepermitevolveralaoperatorianormal.Algunasdelasactividadesqueserealizanson:
Restablecerlasoperacionesasuestadonormal. Validarlasaccionesquefuerontomadas. Informaralaspersonasqueoperanlossistemasafectadosdelrestablecimientodelaoperatorianormal.Asimismo,
dichopersonaldebeserincluidoenlaspruebasafindetenerconocimientodelosdetalles.
-
GestinyRespuestadeincidentesPlanderespuestaaincidentes 5
FasedeleccionesaprendidasEnestaltimafasesedebeelaborarunreporteendondesedocumentetodolosucedido.Estedocumentodebeespecificarculesfueronlasmedidasquesetomaron,ascomotambinlosresultadosobtenidosluegodehaberaplicadoelplanderespuesta.Posteriormente,todolodocumentadodebeutilizarseparadesarrollarmejorasenlacapacidaddegestindeincidentes.Lasactividadesquecomprendenestafaseson:
Redactarunreportedetallandotodoslosaspectosimportantesdelincidente. Analizarlosproblemasencontradosyproponermejoras. Presentarelreporteaquienescorresponda.
-
GestinyRespuestadeincidentesPlanderespuestaaincidentes 6
Copyright2013porESET,LLCyESET,spol.s.r.o.Todoslosderechosreservados.Lasmarcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o.,mencionados en este curso, sonmarcasregistradasdesusrespectivospropietariosynoguardanrelacinconESET,LLCyESET,spol.s.r.o.ESET,2012AcercadeESETCon25aosde trayectoriaen la industriade la seguridadde la informacin,ESETesuna compaa globalde solucionesdesoftwarede seguridad, creadoradel legendarioESETNOD32Antivirusyorientadaaproveerproteccindeltimageneracincontraamenazas informticas.ActualmentecuentaconoficinascentralesenBratislava (Eslovaquia)ydeCoordinacinenSanDiego (Estados Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido), Praga(RepblicaCheca),Cracovia(Polonia),Jena(Alemania)SanPablo(Brasil)yMxicoDF(Mxico).Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo deprofesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un Laboratorio deInvestigacinfocalizadoeneldescubrimientoproactivodevariadasamenazasinformticas.La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con unanavegacin yuso responsabledel equipo, junto con el intersde fomentar la concientizacinde losusuarios enmateriadeseguridadinformtica,conviertenalascampaaseducativasenelpilardelaidentidadcorporativadeESET,cuyaGiraAntivirusyahaadquiridorenombrepropio.Paramsinformacin,visitewww.esetla.com