8. ¿Que hacer frente a esto?
Gestión de Incidente de Seguridad de la Información
▪ “Ejercicio de un enfoque consistente y efectivo para el manejo de
incidentes de seguridad de la información”
▪ “Procesos para detectar, reportar, evaluar, responder, tratar y aprender de
los incidentes de seguridad de la información.”
9. Definiciones básicas
Evento de Seguridad de la Información
▪ “Ocurrencia que indica una posible violación de la seguridad de la
información o falla de los controles”
Incidente de Seguridad de la Información
▪ “Uno o varios eventos de seguridad de la información relacionados e
identificados que pueden dañar los activos de la organización y/o
comprometer sus operaciones”
14. Planificación
▪ Alineado a definiciones claves de gobernanza y gestión de incidentes
▪ Compromiso de la dirección
▪ Definición de estructuras organizacionales, roles y responsabilidades
▪ Políticas , procedimientos, metodologías,….
▪ Concientización y capacitación
▪ Relaciones con terceros
▪ Las herramientas requeridas
15. Estructuras - Equipos
Seguridad defensivas
▪ Infraestructura de protección
▪ Monitoreo proactivo
▪ Respuesta a incidentes
▪ Threat Hunter basado en TTP
Seguridad Ofensiva
▪ Hacking Ético
▪ Explotar Vulnerabilidades
▪ Emulación Amenazas
▪ Ingeniería Social
Coordinación de Actividades
▪ Maximiza al Red Team
▪ Fortalece al Blue Team
Gestión de Incidentes
16. Estructuras - Funcionales
CERT:
Recopila información de
vulnerabilidades e IOC
CSIRT:
Equipo que responde a
los incidentes
SOC:
Monitorear y defiende su
infraestructura
17. CERT - Computer Emergency Response Team
▪ Las funciones que típicamente realiza un CERT corresponde a:
▪ Reportar Incidentes
▪ Reportar Pishing
▪ Reportar Malware
▪ Reportar Vulnerabilidades
▪ Compartir Indicador (IOC, IOA)
▪ Normalmente son de gobierno o
de marcas relacionados a la
ciberseguridad.
▪ Muy pocas organizaciones tienen
sus propios CERT
18. SOC – Security Operation Center
▪ Un SOC es definido como “La combinación de personas, procesos y tecnologías que protegen los sistemas de
información de la organización a través de un diseño y configuración proactivos, monitoreo continuo del estado del
sistema, detección de acciones no planificadas o no deseadas y minimizar el daño de efectos negativos”.(SANS 2018
Survey)
▪ Para definir de forma correcta “Qué es un SOC” es necesario conocer cuales son las capacidades del SOC, y cuáles
de estas se encuentran externalizadas o son realizadas enteramente.
20. Equipo de Respuesta ante Emergencias Informáticas - CSIRT
▪ Un CSIRT es definido como “Un equipo o una entidad dentro de un organismo que ofrece servicios y soporte a un
grupo en particular con la finalidad de prevenir, gestionar y responder a incidentes de seguridad de la información
Estos equipos suelen estar conformados por especialistas multidisciplinarios que actúan según procedimientos y
políticas predefinidas, de manera que respondan, en forma rápida y efectiva, a incidentes de seguridad, además
de colaborar a mitigar el riesgo de los ataques cibernéticos”.(Buenas Prácticas CSIRT)
25. Consideraciones
▪ Estudio desde el sector financiero ecuatoriano.
Fuente: Cybersecurity incident response capabilities in the Ecuadorian financial sector (2018)
26. 5.3 .- Detección y Reporte
▪ Establecimiento del proceso, el cual considera:
▪ El desarrollo de la concientización, considerando factores externos
▪ Los sistemas de monitoreo
▪ Detección de actividad anómala, sospechosa y/o maliciosa
▪ Recolección de eventos de seguridad de terceras partes relevantes
▪ Reporte de eventos de seguridad de la información
28. 5.4.- Evaluación y decisión
▪ Básicamente el proceso de evaluación de incidentes.
▪ Debe considerar los mecanismo de detección y reporte.
▪ Acá se determina si el evento es un incidente o no, luego:
▪ Debe establecerse el proceso de evaluación
▪ Debe definirse un proceso de clasificación de incidentes
▪ Establecer tiempos de respuestas y niveles de escalamiento
31. 5.5.- Respuesta
▪ El etapa en la cual se gestiona el incidente para su resolución.
▪ Se emplean los diversos planes de acción (playbooks) para su erradicación
▪ Se activan planes de continuidad y DRP en caso de ser necesario
▪ Se integran con procesos de comunicación
▪ En caso de ser requerido se realiza investigación adicional (forense)
▪ El resultado de la etapa es el cierre del incidente.
33. 5.6.- Lecciones aprendidas
▪ En esta etapa es donde surge la mejora continua
▪ Se debe aprender de los eventos/incidentes acontecidos
▪ Se debe articular con la gestión de riesgos y la revisión de la dirección
▪ Se debe realizar las mejoras necesarias:
▪ Políticas, procesos, procedimientos, ….
▪ Gestión de riesgos
▪ Capacitación, concientización, roles, responsabilidades
▪ Tecnologías
34. 5.6.- Lecciones aprendidas
Fuente: https://shieldnow.co/2017/05/13/wannacry-lecciones-aprendidas/
▪ Tomar acciones
▪ ¿Qué fallo?
▪ ¿Que mejora?
▪ ¿Cómo mejorar?
▪ ¿Mejorar?
▪ Proceso continuo a lo
largo del ciclo
▪ Hacer Playbook sobre
incidentes.
38. Conclusiones
▪ El empleo de la ISO 27.035 es un gran soporte, tanto para la definición del proceso,
así como de las diversas componentes que lo caracterizan.
▪ Un proceso de gestión de incidentes es complejo, involucra un alto numero de
definiciones:
▪ Estructura, roles y responsabilidades
▪ Políticas, procesos, procedimientos, instructivos, playbooks, etc.
▪ Tecnologías de soporte, detección, prevención, inteligencia, disuasión…..
▪ Capacidades de gestión, operativas, técnicas
▪ Articulación con muchos otros procesos
39. Resumen del Proceso
Planificar y
Preparar
Detección y
Reporte
Evaluación y
Decisión
Respuesta
Actividad
Post
Incidente
Lecciones
Aprendidas
Política de GISI
Compromiso de la Dirección
Plan de Gestión de Incidentes
Establecimientos de IRT
Relación con organizaciones
Soporte técnico
Capacitación
Concientización
Recolección de información
Monitoreo de sistema y redes
Detección actividad anómala
Recolección de información
Reporte de eventos de SI
Evaluación de eventos
Recopilación de información
Clasificación de eventos
Clasificación de incidentes
Criticidad del incidentes
Continuidad del Negocio
Análisis forense
Escalamiento
Contención y erradicación
Recuperación de incidente
Resolución de incidente
Cierre de incidente
Comité de crisis (si es requerido)
Identificación de lecciones
Mejoras aplicables
Evaluación de riesgos
Mejoras al plan
Evaluación de performance