Resumen libro

Maestrante: Hector M. Pichardo Hernndez

Prof.: Claudio Duran
Materia: Diseo plan de contingencia
Los incidentes de seguridad pueden ser causados por actividades realizadas por usuarios
dentro de la organizacin para utilizar, manipular, destruir o tener acceso a informacin de forma
no autorizada. En muchos incidentes tambin podran ser la consecuencia de un error en las
polticas de seguridad.
La definicin e implantacin de un plan de repuesta a incidente deben contar con una serie de
actividades, entre ellas se pueden mencionar:

Constitucin de un equipo de respuesta a incidentes.

Definicin de una gua de procedimientos.
Deteccin de un incidente de seguridad.
Anlisis de incidente.
Contencin, erradicacin y recuperacin.
Identificacin del atacante y posible actuacin legales.
Comunicacin con terceros y relaciones pblicas.
Documentacin del incidente de seguridad.
Anlisis y revisin.

Los equipos de respuesta a incidentes de seguridad estn conformado por las personas que
cuentan con la experiencias y la formacin necesarias para poder actuar ante las incidencias que
pudieran producirse dentro de la organizacin.
En las organizaciones que no cuentan con equipos antes las respuestas formalmente constituido,
ser necesario identificar quienes son las personas responsables de acometer cada unas de las
actividades.
El objetivo a seguir con la gua de procedimientos es obtener respuesta sistemtica ante los
posibles incidentes de seguridad, realizando los pasos necesarios y en el orden adecuado para
evitar el mayor numero de errores ocasionados por la precipitacin o la improvisacin.
Las organizaciones debern tener en cuenta los posibles indicadores de incidentes de seguridad, o
actividades a tomar en cuenta dentro del plan de respuesta a incidentes. Seguidamente se
presenta una relacin de los principales indicadores de probables incidentes de seguridad:

Precursores de un ataque: actividades previas de reconocimiento del sistema informtico,

como el escaneo de puertos.
Alarmas generadas en los sistemas de deteccin de intrusiones.
Registro de actividades extraa en los logs de servidores y dispositivos de red.

Aparicin de nuevas carpetas o ficheros con nombre extraos en un servidor, o

modificaciones realizadas en determinados ficheros.
Mal funcionamiento de algn servidor: reinicios inesperados, fallos en algunos servicios.
Cambios en la configuracin de determinados equipos de la red: modificacin de las
polticas de seguridad y auditoria.
Aparicin de nuevas cuentas de usuarios y registros de las actividades inusual en algunas
cuentas.
Notificacin de un intento de ataque lanzado contra terceros desde equipos
pertenecientes a la propia organizacin.
Aparicin de dispositivos extraos conectados directamente a la red o a algunos equipos
de la organizacin.

Plan de respuesta a incidentes debe definir como el equipo de respuesta debera proceder al
anlisis de un posible incidente de seguridad en cuanto este fuese detectado por la organizacin,
determinando en primer lugar cual es su alcance.
La matriz de diagnostico puede ser utilizada para facilitar la actuacin del equipo en momento de
mximo estrs, evitando que se tomen decisiones precipitadas que conduzcan a errores, adems
un valioso apoyo para el personal con menos experiencias en la actuacin frente a incidentes de
seguridad.
De igual forma en recomendable realizar una valoracin inicial de los daos y de sus posibles
consecuencias, para establecer un orden de prioridades en las actividades que se deberan llevar a
cabo el equipo de respuesta, teniendo para ello en consideracin aspectos como el posible
impacto del incidente en los recursos y servicios de la organizacin.
La identificacin del atacante puede ser una tarea que consuma bastante tiempo y recurso, por lo
que no debera interferir en la contencin y erradicacin del incidente.
En el plan de respuesta a incidentes tambin se deben contemplar los contacto con terceros que
pudieran haber sido perjudicado por el incidentes de la seguridad, utilizar un ordenador de la
organizacin para realizar una ataque contra sistemas y redes de otra entidad.
El plan de respuesta a incidentes debera establecer como tiene que ser documentar un incidente
de seguridad, reflejado de forma clara y precisa.
Dentro del plan de respuesta a incidentes se tiene que contemplar una etapa para el anlisis y
revisin de cada incidente de seguridad, a fin de determinar que ha podido aprender la
organizacin como consecuencia.
Es necesario elaborar un informe final sobre el incidente, en el que se puedan desarrollar los
siguientes aspectos:

Investigacin sobre las causas y las consecuencias del incidente.

Revisin de las decisiones y actuaciones del equipo de respuesta a incidente.

Anlisis de los procedimientos y de los medios tcnicos empleados en la respuesta al

incidente.
Revisin de las polticas de seguridad de la organizacin.

La obligacin legal de notificacin de ataques e incidencias que puedan afectar a la seguridad

informtica es una medida que ya ha sido adoptada, todos los website de comercio electrnico
estn obligados por ley a informar a sus clientes cuando se haya producido una violacin de la
seguridad de su sistema informtico.
A la hora de preservas las evidencias digitales ser necesario contemplar una serie de tareas de
tipo tcnico y de medidas de carcter organizativo, teniendo en cuenta las recomendaciones de la
IOCE(International Organization on Computer Evidence).
Asimismo, es necesario garantizar que los datos digitales adquiridos de copias no puedan ser
alterados, por lo que para su obtencin se deberan emplear herramientas de generacin de
imgenes bit a bit, que incorporen cdigos de comprobacin para facilitar la comprobacin de la
integridad d estos datos.
En los sistemas informacin no se guarda la contrasea de cada usuario en un fichero, sino que se
registra un dato derribado de ella a travs de una funcin de resumen.
Existen herramientas que facilitan esta tarea, tanto para los sistemas Windows como para los
sistemas UNIX, ya que permiten generar los resumen de las contraseas a travs de una
brusquedad exhaustiva o de la lista de palabras de un diccionario, para comparar estos resmenes
con los que se encuentran registrados en el fichero de contraseas.