-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
1/15
Espieira, Sheldon y Asociados
No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
2/15
Boletn Digital // No. 9 - 2010
ContenidoHaga click en los enlaces para navegar
a travs del documento
4Introduccin
4Proceso de respuesta a incidentes
4Identicacin del incidente
4Clasicacin del incidente
4Noticacin del incidente
4Respuesta al incidente y contencin
Haga click en los enlaces para llegar directamente a cada seccin
4Recuperacin del incidente
4Evaluacin y refexin sobre el incidente
4Consideraciones Finales
4Crditos / Suscribirse
PginasiguienteCerrar Imprimir
PginaanteriorContenido
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
3/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Introduccin
Un incidente de seguridad puede ser descritocomo cualquier evento que pueda comprometer
el ambiente de Seguridad de Inormacin (SI) de
una organizacin.
Los eventos de seguridad son inevitables; la
dierencia radica en el tiempo requerido para sudeteccin y en su impacto contra la organizacin.
Por ejemplo, una organizacin que cuente conuna estructura ormal para la deteccin de
vulnerabilidades y ataques, est expuesta al
mismo nmero de eventos que aquella que no lo
tenga. La dierencia va a radicar en la probabilidadque ese ataque impacte negativamente en la
organizacin, y en el tiempo que sta incurra en
recuperarse del mismo.
Hoy en da, el crecimiento tecnolgico asociado asistemas computarizados, redes y aplicaciones,
trae consigo mayor dicultad en las actividades
de monitoreo y respuestas a posibles incidentes
de seguridad. En este sentido, las organizacionesdeben estar preparadas para detectar y responder
a intentos de acceso no autorizado o actividadesilegales contra los activos de inormacin. La
prdida de productividad y exposicin o laalteracin de inormacin crtica pueden repercutir
en poner a una organizacin uera del negocio.
Los incidentes de seguridad repercuten en laimagen organizacional y probablemente en los
estados nancieros. A estos costos se suman los
de investigacin orense, que por su
especializacin pueden representar una porcin
importante de la prdida, pero que son necesariospara determinar responsabilidades y medidas de
accin para contrarrestar el riesgo.
Para evitar estas situaciones, las organizacionesdeben emprender actitudes proactivas para
asegurar que sus ambientes estn preparados
para identicar eventos, mitigar su impacto en el
menor tiempo posible y el costo de lainvestigacin.
Como parte de las investigaciones realizadas por
nuestra Firma, un elemento undamental para elproceso de respuestas a incidentes es el anlisis
previo del riesgo tecnolgico. En general, esto
reere a la denicin de un esquema destinado a
la identicacin y minimizacin de aquellasvulnerabilidades que aquejan a la organizacin.
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
4/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
La Figura N1 muestra las principales causas deincidentes de SI reportadas por la empresas
venezolanas, muchos de los cuales pueden ser
prevenidos bajo esquemas de Anlisis de Riesgo
Tecnolgico.
Una vez identicadas las causas de estosincidentes, es necesario comentar las
consecuencias experimentadas con el n de
establecer bases para el Proceso de Respuesta
a Incidentes. La Figura N2 muestra taleselementos, haciendo un comparativo entre los
aos 2008 y 2009.
Para visualizar la Figura No. 1haga click en el icono.
Para visualizar la Figura No. 2haga click en el icono.
Introduccin (continuacin)
Las principales consecuencias que presentaronlas empresas encuestadas producto de la
ocurrencia de incidentes de SI ueron las
siguientes: Paralizacin parcial o total de las
operaciones, Incumplimiento en la entrega dereportes, Dao en la imagen y reputacin de la
organizacin.
Pero ninguna organizacin puede considerarseinmune a la ocurrencia de eventos. Esta
armacin introduce a la siguiente etapa en el
ciclo de vida de la SI: La respuesta a incidentes.
Figura N 1:Principales causas de la ocurrencia de los incidentes de SI
ao 2009Fuente: Encuesta Seguridad de la Inormacin 2009.
PricewaterhouseCoopers Venezuela
Figura N 2:Principales consecuencias de la ocurrencia de los
incidentes de SI ao 2008 vs. 2009.Fuente: Encuesta Seguridad de la Inormacin 2009.
PricewaterhouseCoopers Venezuela
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
5/15
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
6/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Clasicacin del incidente
Durante el proceso de clasicacin, le esasignado un nivel de severidad con la nalidad de
controlar los recursos y el tiempo para arontarlo.
Para proveer un marco consistente en categorizarla severidad de los incidentes, la organizacin
debe desarrollar una escala de calicacin, comose muestra a continuacin:
NiveldeSeveridad1:Crisis
NiveldeSeveridad2:Incidenteserio
NiveldeSeveridad3:Incidente
NiveldeSeveridad4:Evento
En esta escala, el nivel superior (Crisis), es el
ms severo e indica que la organizacin est
corriendo peligro. Por ejemplo, una situacin bajo
esta categora sera un acceso no autorizado oborrado de la inormacin almacenada en un
servidor crtico.
Durante una crisis, todo el tiempo y los recursosdeben ser destinados a remediar el problema.
El segundo nivel (Incidente serio), implica que el
dao est ocurriendo a la organizacin, por lo quese requiere atencin inmediata para prevenir que
el incidente escale a un nivel de crisis. Porejemplo, ha sido expuesta inormacin de cuentas
de usuario que puede ser utilizada para realizar unacceso no autorizado.
El tercer nivel (Incidente), es algo que debe ser
resuelto, pero su nivel de urgencia es bajo. Porejemplo, un IDS ha identicado un scan de la red
interna de la organizacin. En este caso, la
organizacin experimenta poco o ningn dao,
pero el incidente es un indicador claro que alguien
o algo est intentando identicar sistemas oencontrar vulnerabilidades que explotar.
El cuarto nivel (Evento), es similar a un
incidente, el cual debe ser resuelto, pero el grado
de urgencia es menor. Por ejemplo, que una
cuenta ha sido bloqueada despus de mltiplesintentos allidos de acceso, esto podra signicar
que una persona no autorizada est intentando
adivinar las credenciales de usuarios para ganaracceso al sistema.
La clasicacin, debe determinar de manera
precisa cules son las acciones que debern
iniciarse y los niveles de noticacin del incidente,temas que abordamos a continuacin.
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
7/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Noticacin del incidente
Cuando un incidente ha sido identicado, el nivelde severidad determinar las personas
apropiadas que deben ser noticadas de la
ocurrencia de dicho incidente, con el n de que
realicen las acciones adecuadas de acuerdo consus roles y responsabilidades.
Respuesta al incidente y contencin
El diseo de patrones de respuesta para cadanivel de incidente, contribuye a realizar una
evaluacin precisa del mismo, y permite coordinar
las actividades de respuesta e investigacin. La
ase de respuesta puede ocurrir en paralelo conlas etapas clasicacin y noticacin. Las tres
reas primarias en esta ase son: evaluacin,investigacin y soporte.
Evaluacin.Comienzaenelinstanteenqueel
incidente es identicado e implica la recoleccin
de todos los datos relevantes sobre el incidente,
por parte de los miembros del equipo derespuesta y la determinacin del impacto en las
operaciones de la organizacin.
Los miembros relevantes del equipo derespuesta a incidentes deben planicar las
acciones de restauracin y cumplir con los
requerimientos mnimos que se mencionan a
continuacin:
- Conexiones y retencin de evidencia:Identicar todas las conexiones activas desde
y hacia el activo comprometido, y determinarla inormacin que puede ser de inters para
la investigacin. En este punto es importante
establecer un balance entre la continuidad de
las operaciones y los mtodos y uentes deinormacin existentes, ya que en muchas
ocasiones, un mtodo riguroso de retencin
de evidencia aectara algn proceso.
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
8/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
- Registro: Registrar cualquier actividad
observada, si la actividad del incidente seencuentra en progreso.
- Plan de recuperacin de desastres:
Determinar la necesidad de la activacin delos planes de recuperacin de desastres o
plan de continuidad del negocio.
- Reemplazo: Determinar los recursosdisponibles para reemplazar los activos
aectados.
Investigacin.Lainvestigacindeterminalacausa y alcance del incidente. Identicar la
causa contribuye a revelar las vulnerabilidades
tcnicas que permitieron el evento. Esta
actividad ayuda a identicar todas las mquinas
e inormacin comprometida, modicada o
eliminada, y cualquier inormacin o cdigomalicioso almacenado durante el incidente que
sea utilizada para comprometer el resto de los
componentes de red.
El equipo debe identicar cules componentes
ueron comprometidos, cuentas y contraseas
pueden estar expuestas y todas las mquinas
que comparten el mismo segmento de red. Loscustodios de la inormacin asisten al equipo de
respuesta a incidentes, identicando y
adquiriendo evidencia sobre la naturaleza y
causa del incidente, mientras los miembros delequipo de respuesta a incidentes documentan y
mantienen inormado al l der de su equipo sobre
todos los pasos de la investigacin.
De considerarse apropiado, el lder del equipo
de respuesta a incidentes, recolectar ydocumentar todos los registros necesarios
para transerir la investigacin a las autoridades
legales que corresponda.
Soporte.Eltiempoesuncomponentecrucial
durante un evento de respuesta a incidentes. Si
el equipo de investigacin no puede tener
acceso inmediato a los sistemas y redesaectadas, este retraso podra incrementar el
alcance y la severidad del incidente. Una
organizacin debe poseer un equipo de soporte
tcnico que pueda proveer acceso a losrecursos para sostener el esuerzo de respuesta
a incidentes.
Respuesta al incidente y contencin
(continuacin)
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
9/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Recuperacin del incidente
El proceso de recuperacin debe ocurrir uera de
lnea, siempre y cuando sea posible. Si la mquinaes esencial para las operaciones, la organizacin
debe considerar un reemplazo temporal, mientras
el equipo es reconstruido y asegurado. Si es
necesario reconstruir varias mquinas, todasdeben ser llevadas a un estado uera de lnea
simultneamente y luego ser reconectadas una
vez aseguradas. Los miembros del equipo de
recuperacin de incidentes deben proveerinstrucciones durante esta etapa, pero los
custodios de la inormacin deben realizar
eectivamente la reconstruccin y aseguramiento
de los sistemas.
Luego de haberse completado todas las
evaluaciones y acciones investigativas, el lder delequipo de respuesta a incidentes debe proveer
instrucciones a los custodios de inormacin
responsables de la recuperacin. Estos, a su vez,
deben inormarle sobre las acciones derecuperacin que se llevan a cabo para labores de
seguimiento.
El objetivo primordial de la etapa de recuperacin
es devolver los procesos de la organizacin a unestado seguro y operacional, de la manera ms
eciente posible. La ase de recuperacin le
permite a los usuarios evaluar el dao ocurrido, la
inormacin que se ha perdido y cul es el estatusdel sistema posterior al ataque.
Todas las mquinas comprometidas requieren ser
recuperadas. La recuperacin depender del nivelde aectacin. En caso de cuentas compartidas y
contraseas capturadas, que no ueron utilizadas
para comprometer otros sistemas, un simple
cambio de contraseas podra ser toda larecuperacin adecuada. Algunos incidentes
pueden requerir la reconstruccin del sistema a
partir de respaldos previos e instalacin original
de las aplicaciones.
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
10/15
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
11/15
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Cunto le cuesta al negocio paralizar total o
parcialmente sus operaciones?, Cunto cuestanlos incumplimientos internos/externos?, Podran
sacar ventaja de ellos nuestros competidores?,
Cuntos negocios o clientes potenciales
pudieron verse visto aectados?.
Todas estas son preguntas que debemos
hacernos a la hora de disear nuestro Proceso de
Respuestas a Incidentes, asegurando siempre suinterrelacin con otros procesos de anlisis
continuo de la organizacin tales como: Acuerdos
de niveles de servicio (SLAs), Acuerdos de niveles
operativos (OLAs), Planes de continuidad deNegocio (BCP), evaluaciones independientes de
seguridad, evaluaciones propias de controles
(CSA), entre otras.
Un plan de respuesta a incidentes debe ser
correspondiente a los objetivos del negocio,criticidad de las operaciones y a los recursos
existentes dentro de la organizacin, pero
undamentalmente soportado sobre un equipo
humano comprometido y calicado.
Consideraciones Finales
Como parte del desarrollo comercial y el
crecimiento organizacional, las empresas se venobligadas hoy en da en adoptar mejores prcticas
y desarrollar iniciativas internas que deriven en la
mejora de sus operaciones.
Las estadsticas y el anlisis juicioso de los
expertos de SI han logrado demostrar la
importancia de mantener programas de
actualizacin y mejoramiento continuo en materiade Tecnologa de Inormacin debido al avance
acelerado a donde la misma nos conduce, y que
generalmente incorpora brechas de seguridad que
son capitalizadas por los atacantes y acionadosprimero que los mismos proveedores.
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
12/15
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Boletn Digital // No. 9 - 2010
Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin
2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida
que el contexto lo exija PricewaterhouseCoopers puede reerirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y
Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio proesional nitampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni
podr ejercer control sobre el juicio proesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL.
R.I.F.: J-00029977-3
El Boletn Asesora Gerencial es publicado por la
Lnea de Servicios de Asesora Gerencial (Advisory)
de Espieira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers.
El presente boletn es de carcter inormativo y no
expresa opinin de la Firma. Si bien se han tomadotodas las precauciones del caso en la preparacin
Si desea suscribirse haga click en la barra
El Boletn Asesora Gerencial es publicado por la
Lnea de Servicios de Asesora Gerencial (Advisory)
de Espieira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers.
El presente boletn es de carcter inormativo y no
expresa opinin de la Firma. Si bien se han tomado
todas las precauciones del caso en la preparacin
de este material, Espieira, Sheldon y Asociados no
asume ninguna responsabilidad por errores uomisiones; tampoco asume ninguna responsabilidad
por daos y perjuicios resultantes del uso de la
inormacin contenida en el presente documento.
Las marcas mencionadas son propiedad de sus
respectivos dueos. PricewaterhouseCoopers niega
cualquier derecho sobre estas marcas
Editado por Espieira, Sheldon y Asociados
Depsito Legal pp 1999-03CS141
Telono master: (58-212) 700 6666
mailto:[email protected]:[email protected] -
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
13/15
Boletn Digital // No. 9 - 2010
Figura N 1:
Principales causas de la ocurrencia de los incidentes de SI ao 2009
Aumentar ImprimirRegresaral boletn
Fuente:
Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela
18%
16%
15% 15%
13%
11%
7%
4%
0
5
10
15
20
OtroIngenierasocial
Configuracionespor defecto
Vulnerabilidadesen aplicaciones
o procesos
Vulnerabilidadesen el software
/ hardware
Falla odeficiencia
en el proceso deactualizacin
del SW/HW
Uso abusivode los recursos
/ privilegios
Configuracionesde seguridad
inadecuadas
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
14/15
Boletn Digital // No. 9 - 2010
Figura N 2:
Principales consecuencias de la ocurrencia de los incidentes de SI
ao 2008 vs. 2009.Aumentar Imprimir
Regresaral boletn
Fuente:
Encuesta Seguridad de la Informacin 2009.
PricewaterhouseCoopers Venezuela
25%
27%
14%
22%
12%
18%
27%
11%12%
10%
4%
1%
6%
10%
0
5
10
15
20
25
30
OtrosPrdida
de clientes
Prdida de
oportunidades
de negocio
No tuvo
impacto
Dao en
la imagen y
reputacin de la
Organizacin
Incumplimiento
en la entrega
de reportes
Paralizacin
total o parcial
de las
operaciones
2008
2009
-
8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela
15/15
Boletn Digital // No. 9 - 2010
Figura N 4:
Diagrama de fujo de acciones a seguir por el equipo de
respuesta a incidentes.Aumentar Imprimir
Regresaral boletn
Fuente:
Technology Forecast
PricewaterhouseCoopers
IdentificacinEl evento es
identificado ydocumentado
ClasificacinEl evento es
clasificado, se leasigna severidady se documenta
El evento esdescubierto y
reportado
Determinar eltipo de incidente
NotificacinSe le notifica
a las personasapropiadas
SoporteProvee asistencia
logstica yrecursos tcnicos
RecuperacinDevolver los
sistemas a suestado original
Post Mortem
Revisar proceso
Cerrarincidente
Severidad
Respuesta
Si
No
No
Si
Determinado como actividad autorizada
DeterminacinDetermina elevento y su
impacto sobreel negocio
Determinarcambios en la
severidad
Investigacin
Determina lacausa y extensin
del evento
Determinarsi hay impacto
regulatorio
ConformidadCumplimiento
de losrequerimientos
regulatorios(Notificaciones,
etc.)