2. ▪ Contexto de la Gestión de Incidentes
▪ Revisión de Controles ISO 27.002:2022
▪ Proceso de Gestión de Incidentes
▪ Visión Alternativa ISO 27.022:2021
Agenda
8. ¿Que hacer frente a esto?
Gestión de Incidente de Seguridad de la Información
▪ “Ejercicio de un enfoque consistente y efectivo para el manejo de
incidentes de seguridad de la información”
▪ “Procesos para detectar, reportar, evaluar, responder, tratar y aprender de
los incidentes de seguridad de la información.”
9. Definiciones básicas
Evento de Seguridad de la Información
▪ “Ocurrencia que indica una posible violación de la seguridad de la
información o falla de los controles”
Incidente de Seguridad de la Información
▪ “Uno o varios eventos de seguridad de la información relacionados e
identificados que pueden dañar los activos de la organización y/o
comprometer sus operaciones”
14. 5.24 Planificación y preparación
Roles y Responsabilidades
Método común de reporte
Proceso de Gestión de Incidentes
Proceso de Respuesta a Incidentes
Competencia Profesional
Identificar training requerido
Procedimientos
Evaluación de Eventos
Detección y análisis de eventos e incidentes
Escalamiento y Respuesta
Manejo de Evidencia
Análisis de la causa
Lecciones Aprendidas
Procedimiento de Reporte
Acciones frente a un evento
Uso de Formularios
Proceso de retroalimentación
Creación de informes de incidentes
15. El Proceso
5.24 Responsabilidad y
procedimientos
5.25 Evaluación de Incidentes
de SI
6.8 Reportes de Eventos de SI
5.26 Respuestas a Incidentes
de SI
5.27 Aprendizaje a los
Incidentes de SI
5.28 Recopilación de
Evidencia
Recopilación
de Evidencia
19. Estructuras - Equipos
Seguridad defensivas
▪ Infraestructura de protección
▪ Monitoreo proactivo
▪ Respuesta a incidentes
▪ Threat Hunter basado en TTP
Seguridad Ofensiva
▪ Hacking Ético
▪ Explotar Vulnerabilidades
▪ Emulación Amenazas
▪ Ingeniería Social
Coordinación de Actividades
▪ Maximiza al Red Team
▪ Fortalece al Blue Team
Gestión de Incidentes
20. Estructuras - Funcionales
CERT:
Recopila información de
vulnerabilidades e IOC
CSIRT:
Equipo que responde a
los incidentes
SOC:
Monitorear y defiende su
infraestructura
21. CERT - Computer Emergency Response Team
▪ Las funciones que típicamente realiza un CERT corresponde a:
▪ Reportar Incidentes
▪ Reportar Pishing
▪ Reportar Malware
▪ Reportar Vulnerabilidades
▪ Compartir Indicador (IOC, IOA)
▪ Normalmente son de gobierno o
de marcas relacionados a la
ciberseguridad.
▪ Muy pocas organizaciones tienen
sus propios CERT
22. SOC – Security Operation Center
▪ Un SOC es definido como “La combinación de personas, procesos y tecnologías que protegen los sistemas de
información de la organización a través de un diseño y configuración proactivos, monitoreo continuo del estado del
sistema, detección de acciones no planificadas o no deseadas y minimizar el daño de efectos negativos”.(SANS 2018
Survey)
▪ Para definir de forma correcta “Qué es un SOC” es necesario conocer cuales son las capacidades del SOC, y cuáles
de estas se encuentran externalizadas o son realizadas enteramente.
24. Equipo de Respuesta ante Emergencias Informáticas - CSIRT
▪ Un CSIRT es definido como “Un equipo o una entidad dentro de un organismo que ofrece servicios y soporte a un
grupo en particular con la finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información
Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y
políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además
de colaborar a mitigar el riesgo de los ataques cibernéticos”.(Buenas Prácticas CSIRT)
25. Planificación
▪ Alineado a definiciones claves de gobernanza y gestión de incidentes
▪ Compromiso de la dirección
▪ Definición de estructuras organizacionales, roles y responsabilidades
▪ Políticas , procedimientos, metodologías,….
▪ Concientización y capacitación
▪ Relaciones con terceros
▪ Las herramientas requeridas
30. Consideraciones
▪ Estudio desde el sector financiero ecuatoriano.
Fuente: Cybersecurity incident response capabilities in the Ecuadorian financial sector (2018)
31. 6.8 Reporte de eventos de seguridad de la información
Inefectividad de un
control
Brecha de
expectativas de CID
Errores Humanos Incumplimiento
Brechas de
Seguridad Física
Cambios no
formalizados
Malfuncionamiento
de Sw/Hw
Violación de Acceso
Vulnerabilidades
Sospecha de
infección con
malware
▪ Potenciales situaciones cuando reportar
32. 5.3 .- Detección y Reporte
▪ Establecimiento del proceso, el cual considera:
▪ El desarrollo de la concientización, considerando factores externos
▪ Los sistemas de monitoreo
▪ Detección de actividad anómala, sospechosa y/o maliciosa
▪ Recolección de eventos de seguridad de terceras partes relevantes
▪ Reporte de eventos de seguridad de la información
34. 5.25 Evaluación y decisión sobre los eventos de seguridad de información
Contención del
Incidente
Recolectar evidencia
Escalamiento,
considerando gestión
de crisis o BCP según
sea necesario
Registro de las
actividades de
respuesta
Comunicar a todas las
partes interesadas
Coordinar con todas
las partes interesadas
Cerrarlo formalmente
y registrarlo
Realizar análisis
forenses
Identificar la causa
raíz
Identificar y gestionar
las vulnerabilidades
Nuevas disposiciones en ISO 27.002:2020
35. 5.4.- Evaluación y decisión
▪ Básicamente el proceso de evaluación de incidentes.
▪ Debe considerar los mecanismo de detección y reporte.
▪ Acá se determina si el evento es un incidente o no, luego:
▪ Debe establecerse el proceso de evaluación
▪ Debe definirse un proceso de clasificación de incidentes
▪ Establecer tiempos de respuestas y niveles de escalamiento
38. 5.5.- Respuesta
▪ El etapa en la cual se gestiona el incidente para su resolución.
▪ Se emplean los diversos planes de acción (playbooks) para su erradicación
▪ Se activan planes de continuidad y DRP en caso de ser necesario
▪ Se integran con procesos de comunicación
▪ En caso de ser requerido se realiza investigación adicional (forense)
▪ El resultado de la etapa es el cierre del incidente.
40. 5.6.- Lecciones aprendidas
▪ En esta etapa es donde surge la mejora continua
▪ Se debe aprender de los eventos/incidentes acontecidos
▪ Se debe articular con la gestión de riesgos y la revisión de la dirección
▪ Se debe realizar las mejoras necesarias:
▪ Políticas, procesos, procedimientos, ….
▪ Gestión de riesgos
▪ Capacitación, concientización, roles, responsabilidades
▪ Tecnologías
41. 5.6.- Lecciones aprendidas
Fuente: https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/
▪ Tomar acciones
▪ ¿Qué fallo?
▪ ¿Que mejora?
▪ ¿Cómo mejorar?
▪ ¿Mejorar?
▪ Proceso continuo a lo
largo del ciclo
▪ Hacer Playbook sobre
incidentes.
42. 5.28 Recopilación de Evidencia
▪ Se deben desarrollar y seguir procedimientos internos al tratar con evidencia relacionada con eventos de seguridad
de la información a efectos de acciones disciplinarias y legales.
▪ En general, estos procedimientos para el manejo de la evidencia deben proporcionar instrucciones para la
identificación, recolección, adquisición y preservación de evidencia de acuerdo con diferentes tipos de medios de
almacenamiento, dispositivos y estado de los dispositivos (es decir, encendido o apagado).
▪ La evidencia típicamente necesita ser recopilados de una manera que sea admisible en los tribunales de justicia
nacionales apropiados. Debería ser posible demostrar que:
a) Los registros están completos y no han sido manipulados de ninguna manera;
b) Las copias de las pruebas electrónicas probablemente sean idénticas a los originales;
c) Cualquier sistema de información del que se hayan obtenido pruebas funcionaba correctamente en el momento
en que se registró la prueba.
47. Conclusiones
▪ El empleo de la ISO 27.035 es un gran soporte, tanto para la definición del proceso,
así como de las diversas componentes que lo caracterizan.
▪ Un proceso de gestión de incidentes es complejo, involucra un alto numero de
definiciones:
▪ Estructura, roles y responsabilidades
▪ Políticas, procesos, procedimientos, instructivos, playbooks, etc.
▪ Tecnologías de soporte, detección, prevención, inteligencia, disuasión…..
▪ Capacidades de gestión, operativas, técnicas
▪ Articulación con muchos otros procesos
48. Resumen del Proceso
Planificar y
Preparar
Detección y
Reporte
Evaluación y
Decisión
Respuesta
Actividad
Post
Incidente
Lecciones
Aprendidas
Política de GISI
Compromiso de la Dirección
Plan de Gestión de Incidentes
Establecimientos de IRT
Relación con organizaciones
Soporte técnico
Capacitación
Concientización
Recolección de información
Monitoreo de sistema y redes
Detección actividad anómala
Recolección de información
Reporte de eventos de SI
Evaluación de eventos
Recopilación de información
Clasificación de eventos
Clasificación de incidentes
Criticidad del incidentes
Continuidad del Negocio
Análisis forense
Escalamiento
Contención y erradicación
Recuperación de incidente
Resolución de incidente
Cierre de incidente
Comité de crisis (si es requerido)
Identificación de lecciones
Mejoras aplicables
Evaluación de riesgos
Mejoras al plan
Evaluación de performance
54. Consultas
▪ Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
www.linkedin.com/in/epmh86
eder.moran@usach.cl
▪ Eder Moran Heredia