Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
Haga click en los enlaces para navegar a travs del documento
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
4Introduccin 4Proceso de respuesta a incidentes 4Identicacin del incidente 4Clasicacin del incidente 4Noticacin del incidente 4Respuesta al incidente y contencin
4Recuperacin del incidente 4Evaluacin y reexin sobre el incidente 4Consideraciones Finales 4Crditos / Suscribirse
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Introduccin
Un incidente de seguridad puede ser descrito como cualquier evento que pueda comprometer el ambiente de Seguridad de Informacin (SI) de una organizacin. Los eventos de seguridad son inevitables; la diferencia radica en el tiempo requerido para su deteccin y en su impacto contra la organizacin. Por ejemplo, una organizacin que cuente con una estructura formal para la deteccin de vulnerabilidades y ataques, est expuesta al mismo nmero de eventos que aquella que no lo tenga. La diferencia va a radicar en la probabilidad que ese ataque impacte negativamente en la organizacin, y en el tiempo que sta incurra en recuperarse del mismo. Hoy en da, el crecimiento tecnolgico asociado a sistemas computarizados, redes y aplicaciones, trae consigo mayor dicultad en las actividades de monitoreo y respuestas a posibles incidentes de seguridad. En este sentido, las organizaciones deben estar preparadas para detectar y responder a intentos de acceso no autorizado o actividades ilegales contra los activos de informacin. La prdida de productividad y exposicin o la alteracin de informacin crtica pueden repercutir en poner a una organizacin fuera del negocio. Los incidentes de seguridad repercuten en la imagen organizacional y probablemente en los estados nancieros. A estos costos se suman los de investigacin forense, que por su especializacin pueden representar una porcin importante de la prdida, pero que son necesarios para determinar responsabilidades y medidas de accin para contrarrestar el riesgo. Para evitar estas situaciones, las organizaciones deben emprender actitudes proactivas para asegurar que sus ambientes estn preparados para identicar eventos, mitigar su impacto en el menor tiempo posible y el costo de la investigacin. Como parte de las investigaciones realizadas por nuestra Firma, un elemento fundamental para el proceso de respuestas a incidentes es el anlisis previo del riesgo tecnolgico. En general, esto reere a la denicin de un esquema destinado a la identicacin y minimizacin de aquellas vulnerabilidades que aquejan a la organizacin.
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Introduccin (continuacin)
La Figura N1 muestra las principales causas de incidentes de SI reportadas por la empresas venezolanas, muchos de los cuales pueden ser prevenidos bajo esquemas de Anlisis de Riesgo Tecnolgico. Una vez identicadas las causas de estos incidentes, es necesario comentar las consecuencias experimentadas con el n de establecer bases para el Proceso de Respuesta a Incidentes. La Figura N2 muestra tales elementos, haciendo un comparativo entre los aos 2008 y 2009. Las principales consecuencias que presentaron las empresas encuestadas producto de la ocurrencia de incidentes de SI fueron las siguientes: Paralizacin parcial o total de las operaciones, Incumplimiento en la entrega de reportes, Dao en la imagen y reputacin de la organizacin. Pero ninguna organizacin puede considerarse inmune a la ocurrencia de eventos. Esta armacin introduce a la siguiente etapa en el ciclo de vida de la SI: La respuesta a incidentes.
Figura N 1: Principales causas de la ocurrencia de los incidentes de SI ao 2009 Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela
Figura N 2: Principales consecuencias de la ocurrencia de los incidentes de SI ao 2008 vs. 2009. Fuente: Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Identificacin
Clasificacin
Notificacin
Respuesta
Recuperacin
Post-Mortem
qRetorno
Figura N 4: Diagrama de ujo de acciones a seguir por el equipo de respuesta a incidentes. Fuente: Technology Forecast PricewaterhouseCoopers
Categorizar el incidente por tipo contribuye a hacer seguimiento y entender el riesgo al que se encuentra sometida la organizacin.
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
En esta escala, el nivel superior (Crisis), es el ms severo e indica que la organizacin est corriendo peligro. Por ejemplo, una situacin bajo esta categora sera un acceso no autorizado o borrado de la informacin almacenada en un servidor crtico.
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
El objetivo primordial de la etapa de recuperacin es devolver los procesos de la organizacin a un estado seguro y operacional, de la manera ms eciente posible. La fase de recuperacin le permite a los usuarios evaluar el dao ocurrido, la informacin que se ha perdido y cul es el estatus del sistema posterior al ataque. Todas las mquinas comprometidas requieren ser recuperadas. La recuperacin depender del nivel de afectacin. En caso de cuentas compartidas y contraseas capturadas, que no fueron utilizadas para comprometer otros sistemas, un simple cambio de contraseas podra ser toda la recuperacin adecuada. Algunos incidentes pueden requerir la reconstruccin del sistema a partir de respaldos previos e instalacin original de las aplicaciones.
El proceso de recuperacin debe ocurrir fuera de lnea, siempre y cuando sea posible. Si la mquina es esencial para las operaciones, la organizacin debe considerar un reemplazo temporal, mientras el equipo es reconstruido y asegurado. Si es necesario reconstruir varias mquinas, todas deben ser llevadas a un estado fuera de lnea simultneamente y luego ser reconectadas una vez aseguradas. Los miembros del equipo de recuperacin de incidentes deben proveer instrucciones durante esta etapa, pero los custodios de la informacin deben realizar efectivamente la reconstruccin y aseguramiento de los sistemas.
Luego de haberse completado todas las evaluaciones y acciones investigativas, el lder del equipo de respuesta a incidentes debe proveer instrucciones a los custodios de informacin responsables de la recuperacin. Estos, a su vez, deben informarle sobre las acciones de recuperacin que se llevan a cabo para labores de seguimiento.
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
Consideraciones Finales
Como parte del desarrollo comercial y el crecimiento organizacional, las empresas se ven obligadas hoy en da en adoptar mejores prcticas y desarrollar iniciativas internas que deriven en la mejora de sus operaciones. Las estadsticas y el anlisis juicioso de los expertos de SI han logrado demostrar la importancia de mantener programas de actualizacin y mejoramiento continuo en materia de Tecnologa de Informacin debido al avance acelerado a donde la misma nos conduce, y que generalmente incorpora brechas de seguridad que son capitalizadas por los atacantes y acionados primero que los mismos proveedores.
Cunto le cuesta al negocio paralizar total o parcialmente sus operaciones?, Cunto cuestan los incumplimientos internos/externos?, Podran sacar ventaja de ellos nuestros competidores?, Cuntos negocios o clientes potenciales pudieron verse visto afectados?. Todas estas son preguntas que debemos hacernos a la hora de disear nuestro Proceso de Respuestas a Incidentes, asegurando siempre su interrelacin con otros procesos de anlisis continuo de la organizacin tales como: Acuerdos de niveles de servicio (SLAs), Acuerdos de niveles operativos (OLAs), Planes de continuidad de Negocio (BCP), evaluaciones independientes de seguridad, evaluaciones propias de controles (CSA), entre otras.
Un plan de respuesta a incidentes debe ser correspondiente a los objetivos del negocio, criticidad de las operaciones y a los recursos existentes dentro de la organizacin, pero fundamentalmente soportado sobre un equipo humano comprometido y calicado.
Contenido
Cerrar
Imprimir
Pgina anterior
Pgina siguiente
El Boletn Asesora Gerencial es publicado por la Lnea de Servicios de Asesora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin
Editado por Espieira, Sheldon y Asociados Depsito Legal pp 1999-03CS141 Telfono master: (58-212) 700 6666
2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni podr ejercer control sobre el juicio profesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL. R.I.F.: J-00029977-3
20
18%
4%
0 Configuraciones de seguridad inadecuadas Uso abusivo de los recursos / privilegios Falla o Vulnerabilidades Vulnerabilidades Configuraciones deficiencia en el software en aplicaciones por defecto en el proceso de / hardware o procesos actualizacin del SW/HW Ingeniera social Otro
2008
25 22% 20 18% 14% 12% 10 6% 5 4% 1% 0 Paralizacin total o parcial de las operaciones Incumplimiento Dao en en la entrega la imagen y de reportes reputacin de la Organizacin No tuvo impacto Prdida de oportunidades de negocio Prdida de clientes Otros 11% 12% 10% 10%
2009
15
Si
Si
No
Severidad
Cerrar incidente