SlideShare una empresa de Scribd logo

Clase Gestión de Incidentes.pdf

S
ssuser44ff1b

Proceso de Gestión de Incidentes de Seguridad de la Información y Ciberseguridad

Tecnología
1 de 55
Descargar para leer sin conexión
Implementador Líder ISO 27.002 ISO 27.002:2022 Sesión N°9 – Gestión de Incidentes
▪ Contexto de la Gestión de Incidentes ▪ Revisión de Controles ISO 27.002:2022 ▪ Proceso de Gestión de Incidentes ▪ Visión Alternativa ISO 27.022:2021 Agenda
Implementador Líder ISO 27.002:2022 Contexto
Un poco de noticias
Contra quien nos enfrentamos CINE REALIDAD
Categorizando amenazas
Guía de Clasificación de Incidentes de Enisa
¿Que hacer frente a esto? Gestión de Incidente de Seguridad de la Información ▪ “Ejercicio de un enfoque consistente y efectivo para el manejo de incidentes de seguridad de la información” ▪ “Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.”
Definiciones básicas Evento de Seguridad de la Información ▪ “Ocurrencia que indica una posible violación de la seguridad de la información o falla de los controles” Incidente de Seguridad de la Información ▪ “Uno o varios eventos de seguridad de la información relacionados e identificados que pueden dañar los activos de la organización y/o comprometer sus operaciones”
Implementador Líder ISO 27.002:2022 Revisión de controles de Gestión de Incidentes
Cambios en dominio 16 ISO 27.002:2013 Controles Organizacionales Controles Personas
Resumen de Controles de Gestión de Incidentes
Implementador Líder ISO 27.002:2022 Proceso de Gestión de Incidentes
5.24 Planificación y preparación Roles y Responsabilidades Método común de reporte Proceso de Gestión de Incidentes Proceso de Respuesta a Incidentes Competencia Profesional Identificar training requerido Procedimientos Evaluación de Eventos Detección y análisis de eventos e incidentes Escalamiento y Respuesta Manejo de Evidencia Análisis de la causa Lecciones Aprendidas Procedimiento de Reporte Acciones frente a un evento Uso de Formularios Proceso de retroalimentación Creación de informes de incidentes
El Proceso 5.24 Responsabilidad y procedimientos 5.25 Evaluación de Incidentes de SI 6.8 Reportes de Eventos de SI 5.26 Respuestas a Incidentes de SI 5.27 Aprendizaje a los Incidentes de SI 5.28 Recopilación de Evidencia Recopilación de Evidencia
El Proceso de acuerdo a ISO 27.002
ISO 27.035-1 – Proceso de Gestión de Incidentes
ISO 27.035-1 – Proceso de Gestión de Incidentes
Estructuras - Equipos Seguridad defensivas ▪ Infraestructura de protección ▪ Monitoreo proactivo ▪ Respuesta a incidentes ▪ Threat Hunter basado en TTP Seguridad Ofensiva ▪ Hacking Ético ▪ Explotar Vulnerabilidades ▪ Emulación Amenazas ▪ Ingeniería Social Coordinación de Actividades ▪ Maximiza al Red Team ▪ Fortalece al Blue Team Gestión de Incidentes
Estructuras - Funcionales CERT: Recopila información de vulnerabilidades e IOC CSIRT: Equipo que responde a los incidentes SOC: Monitorear y defiende su infraestructura
CERT - Computer Emergency Response Team ▪ Las funciones que típicamente realiza un CERT corresponde a: ▪ Reportar Incidentes ▪ Reportar Pishing ▪ Reportar Malware ▪ Reportar Vulnerabilidades ▪ Compartir Indicador (IOC, IOA) ▪ Normalmente son de gobierno o de marcas relacionados a la ciberseguridad. ▪ Muy pocas organizaciones tienen sus propios CERT
SOC – Security Operation Center ▪ Un SOC es definido como “La combinación de personas, procesos y tecnologías que protegen los sistemas de información de la organización a través de un diseño y configuración proactivos, monitoreo continuo del estado del sistema, detección de acciones no planificadas o no deseadas y minimizar el daño de efectos negativos”.(SANS 2018 Survey) ▪ Para definir de forma correcta “Qué es un SOC” es necesario conocer cuales son las capacidades del SOC, y cuáles de estas se encuentran externalizadas o son realizadas enteramente.
SOC – Security Operation Center
Equipo de Respuesta ante Emergencias Informáticas - CSIRT ▪ Un CSIRT es definido como “Un equipo o una entidad dentro de un organismo que ofrece servicios y soporte a un grupo en particular con la finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además de colaborar a mitigar el riesgo de los ataques cibernéticos”.(Buenas Prácticas CSIRT)
Planificación ▪ Alineado a definiciones claves de gobernanza y gestión de incidentes ▪ Compromiso de la dirección ▪ Definición de estructuras organizacionales, roles y responsabilidades ▪ Políticas , procedimientos, metodologías,…. ▪ Concientización y capacitación ▪ Relaciones con terceros ▪ Las herramientas requeridas
Metodologías Que soporten todo el proceso.
La ISO 27035-2 Ejemplos de Reportes
Herramientas – Ejemplo Kaspersky
Herramientas – Ejemplo McAfee
Consideraciones ▪ Estudio desde el sector financiero ecuatoriano. Fuente: Cybersecurity incident response capabilities in the Ecuadorian financial sector (2018)
6.8 Reporte de eventos de seguridad de la información Inefectividad de un control Brecha de expectativas de CID Errores Humanos Incumplimiento Brechas de Seguridad Física Cambios no formalizados Malfuncionamiento de Sw/Hw Violación de Acceso Vulnerabilidades Sospecha de infección con malware ▪ Potenciales situaciones cuando reportar
5.3 .- Detección y Reporte ▪ Establecimiento del proceso, el cual considera: ▪ El desarrollo de la concientización, considerando factores externos ▪ Los sistemas de monitoreo ▪ Detección de actividad anómala, sospechosa y/o maliciosa ▪ Recolección de eventos de seguridad de terceras partes relevantes ▪ Reporte de eventos de seguridad de la información
Ejemplo de ITIL
5.25 Evaluación y decisión sobre los eventos de seguridad de información Contención del Incidente Recolectar evidencia Escalamiento, considerando gestión de crisis o BCP según sea necesario Registro de las actividades de respuesta Comunicar a todas las partes interesadas Coordinar con todas las partes interesadas Cerrarlo formalmente y registrarlo Realizar análisis forenses Identificar la causa raíz Identificar y gestionar las vulnerabilidades Nuevas disposiciones en ISO 27.002:2020
5.4.- Evaluación y decisión ▪ Básicamente el proceso de evaluación de incidentes. ▪ Debe considerar los mecanismo de detección y reporte. ▪ Acá se determina si el evento es un incidente o no, luego: ▪ Debe establecerse el proceso de evaluación ▪ Debe definirse un proceso de clasificación de incidentes ▪ Establecer tiempos de respuestas y niveles de escalamiento
Ejemplo - Evaluación y decisión
Ejemplo - Evaluación y decisión
5.5.- Respuesta ▪ El etapa en la cual se gestiona el incidente para su resolución. ▪ Se emplean los diversos planes de acción (playbooks) para su erradicación ▪ Se activan planes de continuidad y DRP en caso de ser necesario ▪ Se integran con procesos de comunicación ▪ En caso de ser requerido se realiza investigación adicional (forense) ▪ El resultado de la etapa es el cierre del incidente.
5.5.- Respuesta Fuente: https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/how-good-is-your-cyberincident-response-plan#
5.6.- Lecciones aprendidas ▪ En esta etapa es donde surge la mejora continua ▪ Se debe aprender de los eventos/incidentes acontecidos ▪ Se debe articular con la gestión de riesgos y la revisión de la dirección ▪ Se debe realizar las mejoras necesarias: ▪ Políticas, procesos, procedimientos, …. ▪ Gestión de riesgos ▪ Capacitación, concientización, roles, responsabilidades ▪ Tecnologías
5.6.- Lecciones aprendidas Fuente: https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/ ▪ Tomar acciones ▪ ¿Qué fallo? ▪ ¿Que mejora? ▪ ¿Cómo mejorar? ▪ ¿Mejorar? ▪ Proceso continuo a lo largo del ciclo ▪ Hacer Playbook sobre incidentes.
5.28 Recopilación de Evidencia ▪ Se deben desarrollar y seguir procedimientos internos al tratar con evidencia relacionada con eventos de seguridad de la información a efectos de acciones disciplinarias y legales. ▪ En general, estos procedimientos para el manejo de la evidencia deben proporcionar instrucciones para la identificación, recolección, adquisición y preservación de evidencia de acuerdo con diferentes tipos de medios de almacenamiento, dispositivos y estado de los dispositivos (es decir, encendido o apagado). ▪ La evidencia típicamente necesita ser recopilados de una manera que sea admisible en los tribunales de justicia nacionales apropiados. Debería ser posible demostrar que: a) Los registros están completos y no han sido manipulados de ninguna manera; b) Las copias de las pruebas electrónicas probablemente sean idénticas a los originales; c) Cualquier sistema de información del que se hayan obtenido pruebas funcionaba correctamente en el momento en que se registró la prueba.
Etapas de Informática Forense
Como emplearla - Desde ISO 27.001 a la ISO 27.002
Como emplearla: Desde ISO 27001-27002 y 27035-1
Como emplearlas: En ISO 27035-2
Conclusiones ▪ El empleo de la ISO 27.035 es un gran soporte, tanto para la definición del proceso, así como de las diversas componentes que lo caracterizan. ▪ Un proceso de gestión de incidentes es complejo, involucra un alto numero de definiciones: ▪ Estructura, roles y responsabilidades ▪ Políticas, procesos, procedimientos, instructivos, playbooks, etc. ▪ Tecnologías de soporte, detección, prevención, inteligencia, disuasión….. ▪ Capacidades de gestión, operativas, técnicas ▪ Articulación con muchos otros procesos
Resumen del Proceso Planificar y Preparar Detección y Reporte Evaluación y Decisión Respuesta Actividad Post Incidente Lecciones Aprendidas Política de GISI Compromiso de la Dirección Plan de Gestión de Incidentes Establecimientos de IRT Relación con organizaciones Soporte técnico Capacitación Concientización Recolección de información Monitoreo de sistema y redes Detección actividad anómala Recolección de información Reporte de eventos de SI Evaluación de eventos Recopilación de información Clasificación de eventos Clasificación de incidentes Criticidad del incidentes Continuidad del Negocio Análisis forense Escalamiento Contención y erradicación Recuperación de incidente Resolución de incidente Cierre de incidente Comité de crisis (si es requerido) Identificación de lecciones Mejoras aplicables Evaluación de riesgos Mejoras al plan Evaluación de performance
Implementador Líder ISO 27.002:2022 Una Visión Alternativa
Modelo de Procesos – ISO 27.022:2021
Modelo de Procesos – ISO 27.022:2021
Modelo de Procesos – ISO 27.022:2021
Implementador Líder ISO 27.002:2022 Conclusiones
Consultas ▪ Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl www.linkedin.com/in/epmh86 eder.moran@usach.cl ▪ Eder Moran Heredia
Implementador Líder ISO 27.002 ISO 27.002:2022 Sesión N°9 – Gestión de Incidentes

Recomendados

Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCristian Garcia G.
 
Insight into SOAR
Insight into SOARInsight into SOAR
Insight into SOARDNIF
 
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellenceErik Taavila
 
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...Advanced Cybersecurity Risk Management: How to successfully address your Cybe...
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...PECB
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Business Continuity Planning Presentation Overview
Business Continuity Planning Presentation OverviewBusiness Continuity Planning Presentation Overview
Business Continuity Planning Presentation OverviewBob Winkler
 
Bcp drp
Bcp drpBcp drp
Bcp drpaqel aqel
 

Recomendados

Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Ciberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCiberseguridad Alineada al Negocio
Ciberseguridad Alineada al NegocioCristian Garcia G.
 
Insight into SOAR
Insight into SOARInsight into SOAR
Insight into SOARDNIF
 
Roadmap to security operations excellence
Roadmap to security operations excellenceRoadmap to security operations excellence
Roadmap to security operations excellenceErik Taavila
 
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...Advanced Cybersecurity Risk Management: How to successfully address your Cybe...
Advanced Cybersecurity Risk Management: How to successfully address your Cybe...PECB
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032PECB
 
Business Continuity Planning Presentation Overview
Business Continuity Planning Presentation OverviewBusiness Continuity Planning Presentation Overview
Business Continuity Planning Presentation OverviewBob Winkler
 
Bcp drp
Bcp drpBcp drp
Bcp drpaqel aqel
 
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3Tanmay Shinde
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
 
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...PECB
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security StrategyAndrew Byers
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesSlideTeam
 
Why risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industryWhy risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industryLloyd's Register Energy
 
Cism course ppt
Cism course pptCism course ppt
Cism course pptsophiarock123
 
PECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysisPECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysisPECB
 
Physical security
Physical securityPhysical security
Physical securityTariq Mahmood
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Business impact analysis
Business impact analysis Business impact analysis
Business impact analysis Shashwat Shankar
 
Isms
IsmsIsms
Ismspenetration Tester
 
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementChapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementNada G.Youssef
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 

Más contenido relacionado

La actualidad más candente

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3Tanmay Shinde
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...PECB
 
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...PECB
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security StrategyAndrew Byers
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewTandhy Simanjuntak
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesSlideTeam
 
Why risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industryWhy risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industryLloyd's Register Energy
 
PECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysisPECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysisPECB
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementChapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementNada G.Youssef
 

La actualidad más candente (20)

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
CIA Triad in Data Governance, Information Security, and Privacy: Its Role and...
 
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
Integrating ISO 27001, ISO 20000, and Project Management – From Theory to Pra...
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security Strategy
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 
NIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An OverviewNIST CyberSecurity Framework: An Overview
NIST CyberSecurity Framework: An Overview
 
Magerit
MageritMagerit
Magerit
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
 
Why risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industryWhy risk management services are vital to the oil and gas industry
Why risk management services are vital to the oil and gas industry
 
Cism course ppt
Cism course pptCism course ppt
Cism course ppt
 
PECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysisPECB Webinar: The importance of business impact analysis
PECB Webinar: The importance of business impact analysis
 
Physical security
Physical securityPhysical security
Physical security
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
Business impact analysis
Business impact analysis Business impact analysis
Business impact analysis
 
Isms
IsmsIsms
Isms
 
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementChapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
 

Similar a Clase Gestión de Incidentes.pdf

Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxPlantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxInversionesEB
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfDIFESAMU
 
Sesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfSesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfssuseracefab
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfIBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfEduOliver2
 

Similar a Clase Gestión de Incidentes.pdf (20)

Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Seguridad
SeguridadSeguridad
Seguridad
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de Seguridad
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxPlantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2
 
Sesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfSesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdf
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdfIBM_Gestion_de_Incidentes_Analisis_Foren.pdf
IBM_Gestion_de_Incidentes_Analisis_Foren.pdf
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 

Clase Gestión de Incidentes.pdf

  • 1. Implementador Líder ISO 27.002 ISO 27.002:2022 Sesión N°9 – Gestión de Incidentes
  • 2. ▪ Contexto de la Gestión de Incidentes ▪ Revisión de Controles ISO 27.002:2022 ▪ Proceso de Gestión de Incidentes ▪ Visión Alternativa ISO 27.022:2021 Agenda
  • 3. Implementador Líder ISO 27.002:2022 Contexto
  • 4. Un poco de noticias
  • 5. Contra quien nos enfrentamos CINE REALIDAD
  • 7. Guía de Clasificación de Incidentes de Enisa
  • 8. ¿Que hacer frente a esto? Gestión de Incidente de Seguridad de la Información ▪ “Ejercicio de un enfoque consistente y efectivo para el manejo de incidentes de seguridad de la información” ▪ “Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.”
  • 9. Definiciones básicas Evento de Seguridad de la Información ▪ “Ocurrencia que indica una posible violación de la seguridad de la información o falla de los controles” Incidente de Seguridad de la Información ▪ “Uno o varios eventos de seguridad de la información relacionados e identificados que pueden dañar los activos de la organización y/o comprometer sus operaciones”
  • 10. Implementador Líder ISO 27.002:2022 Revisión de controles de Gestión de Incidentes
  • 11. Cambios en dominio 16 ISO 27.002:2013 Controles Organizacionales Controles Personas
  • 12. Resumen de Controles de Gestión de Incidentes
  • 13. Implementador Líder ISO 27.002:2022 Proceso de Gestión de Incidentes
  • 14. 5.24 Planificación y preparación Roles y Responsabilidades Método común de reporte Proceso de Gestión de Incidentes Proceso de Respuesta a Incidentes Competencia Profesional Identificar training requerido Procedimientos Evaluación de Eventos Detección y análisis de eventos e incidentes Escalamiento y Respuesta Manejo de Evidencia Análisis de la causa Lecciones Aprendidas Procedimiento de Reporte Acciones frente a un evento Uso de Formularios Proceso de retroalimentación Creación de informes de incidentes
  • 15. El Proceso 5.24 Responsabilidad y procedimientos 5.25 Evaluación de Incidentes de SI 6.8 Reportes de Eventos de SI 5.26 Respuestas a Incidentes de SI 5.27 Aprendizaje a los Incidentes de SI 5.28 Recopilación de Evidencia Recopilación de Evidencia
  • 16. El Proceso de acuerdo a ISO 27.002
  • 17. ISO 27.035-1 – Proceso de Gestión de Incidentes
  • 18. ISO 27.035-1 – Proceso de Gestión de Incidentes
  • 19. Estructuras - Equipos Seguridad defensivas ▪ Infraestructura de protección ▪ Monitoreo proactivo ▪ Respuesta a incidentes ▪ Threat Hunter basado en TTP Seguridad Ofensiva ▪ Hacking Ético ▪ Explotar Vulnerabilidades ▪ Emulación Amenazas ▪ Ingeniería Social Coordinación de Actividades ▪ Maximiza al Red Team ▪ Fortalece al Blue Team Gestión de Incidentes
  • 20. Estructuras - Funcionales CERT: Recopila información de vulnerabilidades e IOC CSIRT: Equipo que responde a los incidentes SOC: Monitorear y defiende su infraestructura
  • 21. CERT - Computer Emergency Response Team ▪ Las funciones que típicamente realiza un CERT corresponde a: ▪ Reportar Incidentes ▪ Reportar Pishing ▪ Reportar Malware ▪ Reportar Vulnerabilidades ▪ Compartir Indicador (IOC, IOA) ▪ Normalmente son de gobierno o de marcas relacionados a la ciberseguridad. ▪ Muy pocas organizaciones tienen sus propios CERT
  • 22. SOC – Security Operation Center ▪ Un SOC es definido como “La combinación de personas, procesos y tecnologías que protegen los sistemas de información de la organización a través de un diseño y configuración proactivos, monitoreo continuo del estado del sistema, detección de acciones no planificadas o no deseadas y minimizar el daño de efectos negativos”.(SANS 2018 Survey) ▪ Para definir de forma correcta “Qué es un SOC” es necesario conocer cuales son las capacidades del SOC, y cuáles de estas se encuentran externalizadas o son realizadas enteramente.
  • 23. SOC – Security Operation Center
  • 24. Equipo de Respuesta ante Emergencias Informáticas - CSIRT ▪ Un CSIRT es definido como “Un equipo o una entidad dentro de un organismo que ofrece servicios y soporte a un grupo en particular con la finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además de colaborar a mitigar el riesgo de los ataques cibernéticos”.(Buenas Prácticas CSIRT)
  • 25. Planificación ▪ Alineado a definiciones claves de gobernanza y gestión de incidentes ▪ Compromiso de la dirección ▪ Definición de estructuras organizacionales, roles y responsabilidades ▪ Políticas , procedimientos, metodologías,…. ▪ Concientización y capacitación ▪ Relaciones con terceros ▪ Las herramientas requeridas
  • 27. La ISO 27035-2 Ejemplos de Reportes
  • 30. Consideraciones ▪ Estudio desde el sector financiero ecuatoriano. Fuente: Cybersecurity incident response capabilities in the Ecuadorian financial sector (2018)
  • 31. 6.8 Reporte de eventos de seguridad de la información Inefectividad de un control Brecha de expectativas de CID Errores Humanos Incumplimiento Brechas de Seguridad Física Cambios no formalizados Malfuncionamiento de Sw/Hw Violación de Acceso Vulnerabilidades Sospecha de infección con malware ▪ Potenciales situaciones cuando reportar
  • 32. 5.3 .- Detección y Reporte ▪ Establecimiento del proceso, el cual considera: ▪ El desarrollo de la concientización, considerando factores externos ▪ Los sistemas de monitoreo ▪ Detección de actividad anómala, sospechosa y/o maliciosa ▪ Recolección de eventos de seguridad de terceras partes relevantes ▪ Reporte de eventos de seguridad de la información
  • 34. 5.25 Evaluación y decisión sobre los eventos de seguridad de información Contención del Incidente Recolectar evidencia Escalamiento, considerando gestión de crisis o BCP según sea necesario Registro de las actividades de respuesta Comunicar a todas las partes interesadas Coordinar con todas las partes interesadas Cerrarlo formalmente y registrarlo Realizar análisis forenses Identificar la causa raíz Identificar y gestionar las vulnerabilidades Nuevas disposiciones en ISO 27.002:2020
  • 35. 5.4.- Evaluación y decisión ▪ Básicamente el proceso de evaluación de incidentes. ▪ Debe considerar los mecanismo de detección y reporte. ▪ Acá se determina si el evento es un incidente o no, luego: ▪ Debe establecerse el proceso de evaluación ▪ Debe definirse un proceso de clasificación de incidentes ▪ Establecer tiempos de respuestas y niveles de escalamiento
  • 36. Ejemplo - Evaluación y decisión
  • 37. Ejemplo - Evaluación y decisión
  • 38. 5.5.- Respuesta ▪ El etapa en la cual se gestiona el incidente para su resolución. ▪ Se emplean los diversos planes de acción (playbooks) para su erradicación ▪ Se activan planes de continuidad y DRP en caso de ser necesario ▪ Se integran con procesos de comunicación ▪ En caso de ser requerido se realiza investigación adicional (forense) ▪ El resultado de la etapa es el cierre del incidente.
  • 40. 5.6.- Lecciones aprendidas ▪ En esta etapa es donde surge la mejora continua ▪ Se debe aprender de los eventos/incidentes acontecidos ▪ Se debe articular con la gestión de riesgos y la revisión de la dirección ▪ Se debe realizar las mejoras necesarias: ▪ Políticas, procesos, procedimientos, …. ▪ Gestión de riesgos ▪ Capacitación, concientización, roles, responsabilidades ▪ Tecnologías
  • 41. 5.6.- Lecciones aprendidas Fuente: https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/ ▪ Tomar acciones ▪ ¿Qué fallo? ▪ ¿Que mejora? ▪ ¿Cómo mejorar? ▪ ¿Mejorar? ▪ Proceso continuo a lo largo del ciclo ▪ Hacer Playbook sobre incidentes.
  • 42. 5.28 Recopilación de Evidencia ▪ Se deben desarrollar y seguir procedimientos internos al tratar con evidencia relacionada con eventos de seguridad de la información a efectos de acciones disciplinarias y legales. ▪ En general, estos procedimientos para el manejo de la evidencia deben proporcionar instrucciones para la identificación, recolección, adquisición y preservación de evidencia de acuerdo con diferentes tipos de medios de almacenamiento, dispositivos y estado de los dispositivos (es decir, encendido o apagado). ▪ La evidencia típicamente necesita ser recopilados de una manera que sea admisible en los tribunales de justicia nacionales apropiados. Debería ser posible demostrar que: a) Los registros están completos y no han sido manipulados de ninguna manera; b) Las copias de las pruebas electrónicas probablemente sean idénticas a los originales; c) Cualquier sistema de información del que se hayan obtenido pruebas funcionaba correctamente en el momento en que se registró la prueba.
  • 44. Como emplearla - Desde ISO 27.001 a la ISO 27.002
  • 45. Como emplearla: Desde ISO 27001-27002 y 27035-1
  • 46. Como emplearlas: En ISO 27035-2
  • 47. Conclusiones ▪ El empleo de la ISO 27.035 es un gran soporte, tanto para la definición del proceso, así como de las diversas componentes que lo caracterizan. ▪ Un proceso de gestión de incidentes es complejo, involucra un alto numero de definiciones: ▪ Estructura, roles y responsabilidades ▪ Políticas, procesos, procedimientos, instructivos, playbooks, etc. ▪ Tecnologías de soporte, detección, prevención, inteligencia, disuasión….. ▪ Capacidades de gestión, operativas, técnicas ▪ Articulación con muchos otros procesos
  • 48. Resumen del Proceso Planificar y Preparar Detección y Reporte Evaluación y Decisión Respuesta Actividad Post Incidente Lecciones Aprendidas Política de GISI Compromiso de la Dirección Plan de Gestión de Incidentes Establecimientos de IRT Relación con organizaciones Soporte técnico Capacitación Concientización Recolección de información Monitoreo de sistema y redes Detección actividad anómala Recolección de información Reporte de eventos de SI Evaluación de eventos Recopilación de información Clasificación de eventos Clasificación de incidentes Criticidad del incidentes Continuidad del Negocio Análisis forense Escalamiento Contención y erradicación Recuperación de incidente Resolución de incidente Cierre de incidente Comité de crisis (si es requerido) Identificación de lecciones Mejoras aplicables Evaluación de riesgos Mejoras al plan Evaluación de performance
  • 49. Implementador Líder ISO 27.002:2022 Una Visión Alternativa
  • 50. Modelo de Procesos – ISO 27.022:2021
  • 51. Modelo de Procesos – ISO 27.022:2021
  • 52. Modelo de Procesos – ISO 27.022:2021
  • 53. Implementador Líder ISO 27.002:2022 Conclusiones
  • 54. Consultas ▪ Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl www.linkedin.com/in/epmh86 eder.moran@usach.cl ▪ Eder Moran Heredia
  • 55. Implementador Líder ISO 27.002 ISO 27.002:2022 Sesión N°9 – Gestión de Incidentes