GestinyRespuestade

incidentes
Metodologasparalagestindeincidentes

ndice

Introduccin..................................................................................................................................................................................................3
Etapadepreparacin....................................................................................................................................................................................3
Etapadedeteccinyanlisis.........................................................................................................................................................................4
Consideraciones........................................................................................................................................................................................5
Etapadecontencin,resolucinyrecuperacin...........................................................................................................................................5
Accionesposterioresalcierre........................................................................................................................................................................6
Mtricasycosto........................................................................................................................................................................................6

GestinyRespuestadeincidentesMetodologasparalagestindeincidentes 3

Introduccin

Enestemdulo,setratarntemasreferidosalasdiferentesmetodologasquepermitenimplementarunplanderespuestaa
incidentes.

Paradesarrollarunplandegestindeincidentesseinvolucrandiferentesetapas.Cadaunadeellassedescribirdeformatalque
sepuedandelimitarlasresponsabilidadesyelalcance.Laplanificacindelasetapasylaejecucindelasmismas,respetandolas
jerarquas,darnlaestructuranecesariaparacompletarunprocesodegestindeincidentes.Asimismo,dentrodecadaetapa
existendiferentesmetodologasparapoderimplementarlosprocedimientosnecesarios.

Elcicloestcompuestoporcuatroetapasquesedetallarnalolargodeestemdulo:

Etapadepreparacin

Laetapadepreparacineselpilarfundamentalparaunagestinefectivadelosincidentes.Estaetapacontemplatantoel
establecimientodelacapacidadderespuestaaincidentescomolaprevencindelosmismos.Existenciertosprocedimientosque
permitenunamejorpreparacinanteeventosadversos.Losmediosdegestinseenfocanenlaadministracinparamejorarel
manejodelosincidentes.Asimismo,lacapacidadderespuestapermiteunareaccineficienteantelaaparicindeunincidente.
Loseventosadversospuedenoriginarseymaterializarsedediferentesmaneras,esporestoquedebedesarrollarseunapoltica
degestinyprocedimientosquepermitantratarlostiposdeincidentesconmsprobabilidaddeocurrenciaoquepuedentener
mayorimpactodentrodelaempresa.

GestinyRespuestadeincidentesMetodologasparalagestindeincidentes 4

Enestesentido,ennecesariocontemplarunfactorvitalenloquerespectaalarespuestafrenteaunincidente:lacapacidadde
respuesta.Paraesto,sedebenconsiderarlossiguientesfactores:

Factores Detalles
Existencia de personal para la respuesta a
incidentes
Puede estar compuesto por un equipo o ser
posicionesunipersonales.
Existencia de documentacin especfica sobre los
sistemaspresentesyredes.
Permite determinar el inventario de activos y los
procedimientosyficherosdeconfiguracin.
Evaluacin de la existencia de informes sobre la
actividad.
Permite obtener informacin especfica de redes
ysistemas.Deestamanera,esposiblediferenciar
la operatoria normal de la anormal, afin de
detectaractividadesnodeseadas.

Etapadedeteccinyanlisis

Lasactividadesquecomprendenlaetapadedeteccinyanlisisdeincidentespuedenafectaralaempresadeformadirecta,ya
quesonlasquedeterminanelcursodelasactividadesqueserealizarnposteriormente.Sinosecontemplaraestainstancia,la
empresapodrapasaruneventoadversoporaltopudiendoafectarlacontinuidaddelnegocio.Ladeteccindesignos
indicadoresyprecursoresdeincidentespuedenserdeterminantesparamejorarlarespuestafrenteaunincidente.

Lossignosdeunincidentepuedenserdedostipos:

Indicadores:estossignosindicanlaocurrenciadeunincidente,porejemplo,elalertadeunsensorqueavisaqueha
ocurridoalgntipodeerrordesoftwareenunservidor,obien,unantivirusqueinformasobreunainfeccinenunoo
variossistemaspertenecientesalaempresa.

Precursores:estossignospermitendeterminarlaposibilidaddeexistenciadeunincidenteenelfuturo,porejemplo,
elescaneodepuertosdedeterminadossistemasdelaempresaparacontrolarculesestndisponibles,olamitigacin
deciertasvulnerabilidadesenlossistemasdelaempresa,debidoalaexistenciaunexploitpublicadorecientementeque
puedeponerenriesgolosactivoscorporativos.

Frenteaestostiposdeindicadores,sedebenponerenmarchadeterminadasacciones.Enelcasodelossignosindicadores,
deberancontemplarseaccionesreactivasprevistasporlaempresa,mientrasqueenelcasodelossignosprecursores,sedeben
tomaraccionespreventivasdebidoaqueelincidenteannohaocurridoytodavaexisteposibilidaddeevitarlo.
Analizandolossignosprecursoreseindicadoressepuedendeterminardistintasfuentesquebrindeninformacin.Enlasiguiente
tablaseindicanalgunosejemplos:

Fuente Detalle
Alertadesoftware Incluye sistemas de deteccin y prevencin de
intrusiones (IPS/IDS), software antivirus, firewall,
sistemas de monitorizacin de servicios, entre
otrasalternativas.
Logs
Especifican los eventos ocurridos en los sistemas
de vital importancia para la organizacin. Por
ejemplo, los logs del sistema operativo, de los
dispositivosderedydeaplicacionesdeterceros.
Personal Empleados de la propia compaa que informan
sobrelaposiblematerializacindeincidentes.
Informacinpblica Contempla la existencia de vulnerabilidades y
exploits, sitios webs, foros o incluso listas de
correosdeespecialistasdondesehagareferencia
aexperienciasdeincidentes.

GestinyRespuestadeincidentesMetodologasparalagestindeincidentes 5

Consideraciones

Laactividaddentrodelasredesdeunacompaapuedebrindarinformacinparaladeteccinyanlisisdelosincidentes.El
conocimientoylainteriorizacinenestasfuncionalidades,permitenestablecerparmetrosymedicionessobreel
comportamientonaturalynormaldelareddentrodeunacompaa.Deestaforma,esposibleincorporarconocimientosobrelas
mtricasdelasredesylossistemasdelaorganizacin.

Respectoaloslogs,existelaposibilidaddeestablecerunoomsservidoresdelaempresadondesepuedenconsolidary
conservarlosficherosdelosdistintossistemasexistentes.Especficamente,estosarchivosdebenestarrelacionadosconlos
cortafuegos(firewalls),losdispositivosdecomunicacionesysistemasdedeteccinyprevencindeintrusiones.Elconcepto
adestacarenestecaso,eslacorrelacinentrelainformacindelosdiferenteslogs.

Esnecesariorecurrir,adems,aloqueseconocecomoclasificacinypriorizacindelosincidentes.Estoconsisteenqueunavez
quesedetectaunincidente,seloclasificaenunodelostiposquesecontemplaronenlosprocedimientosdegestin.Sinoes
posiblerealizartalaccin,sedeberecurriraltratamientodedichoincidentemedianteunprocedimientogenricodegestinde
incidentes.

Asimismo,elanlisisdelasparticularidadesdelosincidentesesdesumaimportancia.Secontemplanlascaractersticasylos
factorestalescomoelnmeroytipoderecursosafectados.Lacriticidadqueposeanestosrecursosdentrodelaempresa,ser
determinanteenelimpactoparalaorganizacinyelordendeprioridadeneltratamientodelosincidentes.Encasodequesurja
msdeunosimultneamente,laprioridadserclaveparapoderresolverlo.
Finalmente,setornanecesarialanotificacindelincidente.Unavezdetectado,analizadoydeterminadasuprioridaddeacuerdo
conalgnfactordepesodentrodelaorganizacin,elequipoderespuestarealizarlanotificacinalpersonalresponsable.
Adems,sedebeconsiderarlanotificacinaotrasorganizacionesoclientesquepuedanserafectados.

Etapadecontencin,resolucinyrecuperacin

Lasestrategiasdecontencinsonlaprimerainstanciaparaaplacarelpropioincidente.Asimismo,sedebencomplementarcon
unacorrectaverificacinparacorroborarsiesnecesarioeliminarolimpiaralgncomponenteasociadoalincidenteyprocedera
larecuperacindelaoperativanormalenlaempresa.Porejemplo,encasodequeunservidorpertenecientealacompaasufra
laexplotacindeunavulnerabilidad,esaconsejablecontarconunservidorespejoparapoderresponderhastaquesetomenlas
medidasadecuadas.

Lasactividadesderesolucinserealizanparapoderllevaracabolaeliminacindeloscomponentesasociadosalincidenteya
otrasactividadesqueseconsiderenadecuadaspararesolveroprevenirfuturasocurrencias.Paracitaralgunosejemplos,se
puedemencionarlainstalacindeparchesdeseguridad,loscambiosenlasreglasdeloscortafuegos,entreotros.

Lasactividadesderecuperacinpuedenincluiraccionescomorecuperarsistemascompletos,restaurarbackups,reemplazar
componentesafectadosconversionesdesinfectadas,instalaractualizacionesdesoftware,cambiarcontraseasoreforzarel
permetrodelaredrevisandoconfiguracionesdecortafuegos,entreotras.

GestinyRespuestadeincidentesMetodologasparalagestindeincidentes 6

Accionesposterioresalcierre

Unavezqueelincidentehasidocontenidoysehallevadoacaboelprocesoderecuperacincorrespondiente,sedeberealizar
unestudioanalizandolascaractersticasdelosincidentes,elimpactoylasaccionesqueserealizaronparaladeteccin,elanlisis
ylarecuperacin.

Esrecomendableimplementarunformularioquedescribaelcontextocompletodelincidente,esdecir,elorigenylapersonaque
detectelincidente,losserviciosysistemasafectados,lafecha/horadeinicioycierre,elresponsabledelagestindelincidente
ylasaccionestomadasparalaresolucindelmismo.
Mtricasycosto

Porltimo,esrecomendableelejerciciodeanalizarlasmtricassobrelostiposdeincidentesquehanocurridoenlaempresayla
frecuenciadelosmismos.Adems,otrabuenaprcticaquepuederealizarse,esunestudiosobreelimpactofinanciero,
obligacioneslegales,imagenfrenteatercerosoinclusocmoafectaniveloperativolaempresa.Otropuntoimportantepara
destacar,eselestudiodelosmtodosderesolucin,costoenlaresolucindeincidentesyaccionescorrectivasopreventivas.
Todasestasactividades,sepuedenutilizarenuncicloderealimentacinqueafinaelprocesocompletoderespuestaaincidentes,
permitiendoobtenerunamejoracontinua.

GestinyRespuestadeincidentesMetodologasparalagestindeincidentes 7

Copyright2013porESET,LLCyESET,spol.s.r.o.Todoslosderechosreservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas
registradasdesusrespectivospropietariosynoguardanrelacinconESET,LLCyESET,spol.s.r.o.

ESET,2012

AcercadeESET

Con 25 aos de trayectoria en la industria de la seguridad de la informacin, ESET es una compaa global de soluciones de
software de seguridad, creadora del legendario ESET NOD32 Antivirus y orientada a proveer proteccin de ltima generacin
contra amenazas informticas. Actualmente cuenta con oficinas centrales en Bratislava (Eslovaquia) y de Coordinacin en San
Diego (Estados Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido), Praga
(RepblicaCheca),Cracovia(Polonia),Jena(Alemania)SanPablo(Brasil)yMxicoDF(Mxico).

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de
profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un Laboratorio de
Investigacinfocalizadoeneldescubrimientoproactivodevariadasamenazasinformticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una
navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de
seguridadinformtica,conviertenalascampaaseducativasenelpilardelaidentidadcorporativadeESET,cuyaGiraAntivirusya
haadquiridorenombrepropio.

Paramsinformacin,visitewww.esetla.com