Plan de respuestas a incidentes

Vanessa Gómez Deossa

Juan Camilo Muñoz
Juan Camilo Restrepo
Cristian Camilo Sepúlveda
Alexander Javier Henao
Marvin Santiago Álvarez

Administración de Redes de Computadores

Modulo de Seguridad

Fernando Quintero

Sena – Antioquia
2010

1
 Índice

Introducción 3
Objetivos 4
Plan de respuestas a incidentes 5
1.0 Descripción General 5
2.0 Propósito 5
3.0 Objetivos de la respuesta a incidentes 5
4.0 Definición de incidente 5
5.0 Planificación de incidentes 6
6.0 Ciclo de vida a la respuesta a incidentes 6
1. Preparación para incidentes 6
2. Descubrimiento 6
3. Notificación 7
4. Análisis y evaluación 7
5. Intrusión 7
5.1 Estrategia de respuestas 7
5.2 contención 7
5.3 prevención de la re-infeccion 7
5.4Restaurar los sistemas afectados 8
5.5Documentación 8
5.6Preservación de pruebas 8
5.7 Evaluar los daños y el costos 8
5.8 Revisión y actualización de políticas de respuestas 8
6. Daño de Activos (Físico) 9
7. Cambios no autorizados a la organización de hardware,
software o la configuración 9
Conclusiones 10

2
 Introducción

Este trabajo obedece a una investigación llevada a cabo en internet y practicas

en la institución, fue realizado como parte de nuestro proceso de formación se
presenta como una evidencia de conocimientos adquiridos en el área de
seguridad de la red.

Este Plan incluye una fuente de información completa y accesible, a fin de

brindar a la entidad una capacidad de respuesta eficiente y oportuna, que
garantice la protección de la información de la entidad.

3
 Objetivos

Obtener los conocimientos respectivos para la correcta elaboración e

implementación de un plan de respuestas incidentes de la entidad.

Comprender y analizar una entidad para saber que medidas se deben

implementar en caso de que se nos presente un incidente y como responder a
ello inmediatamente para evitar daños críticos

4
 Plan de Respuesta a Incidentes

1.0 Descripción General

Este plan de respuesta a incidentes define las pautas de lo que se debe de

realizar en caso de incidente de seguridad en el área de la informática y
obtiene las fases de respuesta a incidentes en un momento dado. Este
documento muestra como minimizar los daños, evaluar el incidente, que hacer
cuando se nos presente un incidente y como responder a ello.

2.0 Propósito

Este documento se implemento con el objetivo de que hacer al momento de

presentarse en la entidad un incidente de alto riesgo.

3.0 Objetivos de la Respuesta a Incidentes

1. Asegurarse de que el incidente si se ha producido en la entidad

2. Mitigar el impacto del incidente.
3. Encontrar la forma como el atacante se ha convertido en el incidente de
la entidad.
4. Prevenir futuros ataques o incidentes.
5. Mejorar la seguridad y respuesta a incidentes.
6. Mantenerse informado de la gestión de la situación y la respuesta a la
entidad.

4.0 Definición de Incidente

Un problema en la entidad puede causar ciertos tipos de incidentes tales como:

1. Pérdida de información confidencial de nuestra entidad Uniaries

afectando la confidencialidad, integridad y disponibilidad de la misma.
2. Si nuestra entidad no cuenta con aplicaciones, software o servicios
de seguridad nuestra información podría ser modificada por alguien
no autorizado de la entidad.
3. Robo de activos físicos informáticos tales como computadoras,
dispositivos de almacenamiento, impresoras, etc.
4. Daños a los activos físicos informáticos incluyendo computadoras,
dispositivos de almacenamiento, impresoras, etc
5. Denegación de servicio.
6. Uso indebido de los servicios, información o activos de la entidad.
7. Infección de los sistemas por software no autorizado.
8. Intento de acceso no autorizado.
9. Cambios no autorizados a la organización de hardware, software, o la
configuración.
10. Respuesta a las alarmas de detección de intrusos.

5
5.0 Planificación de Incidentes

En caso de tener uno o varios incidentes en la entidad haremos lo siguiente:

1. Defino y aclaro las listas de respuestas a incidentes y sus

responsabilidades.
2. Establezco los procedimientos detallados de las medidas a tomar
durante el incidente.
1. Detallo las acciones basadas en el tipo de incidente tales como
virus, intrusiones de hackers, robo de datos, sistema de
destrucción.
2. Evaluaremos los procedimientos adecuados para identificar los
aspectos críticos que han ocurrido en la entidad.
3. Examinaremos si el incidente está en curso o realizado.
4. Si es posible recuperar información importante de la entidad que
halla sido perjudicada por cualquier tipo de incidente

6.0 Ciclo de Vida a la Respuesta a Incidentes

1. Preparación para incidentes

1. Políticas y Procedimientos
1. establecer las políticas de Seguridad.
2. Seguir los procedimientos de Respuesta a Incidentes.
3. Seguir los procedimientos de Recuperación y Backup.
2. Implementar políticas con herramientas de seguridad que
incluyen firewalls, sistemas de detección de intrusos, y otros
elementos necesarios.
3. Colocar avisos de advertencia contra el uso no autorizado en
los puntos de acceso del sistema.
4. Establecer directrices de respuesta considerando y discutiendo
posibles escenarios.
5. Capacitación de los usuarios sobre la seguridad y entrenar a
personal de TI en el manejo de situaciones de seguridad y el
reconocimiento de intrusiones.
6. Debe haber una lista de contactos con los nombres figurando la
prioridad de los contactos. Persona de emergencia
7. Prueba del proceso.

2. Descubrimiento
Alguien de nuestra entidad descubre que algo no anda bien o es sospechoso
de un posible incidente. Esto quizás puede provenir de cualquiera de las
siguientes fuentes:

1. Sistema de detección de intrusos (IDS)

2. Un administrador de red de la entidad
3. Un administrador del firewall
4. Un equipo de monitoreo contratado por la entidad.
5. Personal administrativo de la entidad
6. El departamento de seguridad o una persona de seguridad.

6
 7. Una fuente externa a la entidad.

3. Notificación

En caso de que ocurra algún incidente se deberá informar a un superior

o persona encargada en el área.

4. Análisis y Evaluación - Son muchos los factores que determinarán la

respuesta adecuada, lo cual incluye:
1. Real: Seguir los procedimientos respectivos para para eliminar
el incidente.
Percibido: verificar y analizar si es real para tomar medidas contra
el.
2. Buscar medidas mientras se encuentra la solución para detener
la intrusión.
3. En el área de informática se verán afectados equipos de
cómputo en los datos como la base de datos ya que se puede
afectar la información de la entidad y seria critico para ella.
4. Aunque la entidad cuenta con información importante, el
impacto del incidente sera depende como lo ataquen como lo
puede ser grave para la entidad también puede no ser tan critico.
5. los atacantes se enfocaran en atacar la parte de la entidad
donde mayor información importante hay, así afectando a la
entidad en el área de informática.

5. Intrusión
5.1 Estrategia de respuesta

1. La respuesta a un caso de intrusión debe ser rápida o por lo menos ver la

forma de que nos de tiempo para mitigar el incidente.
2. Si el incidente lo detecta r nuestro sistema IDS se generara un alerta de
seguridad que nos avisara.
3. Sise genera alguna alerta se debe considerar analizar si es una atacante o
no y se merece una prevención.

5.2 Contención - Adoptar medidas para prevenir nueva intrusión o daño y

eliminar la causa del problema. Puede necesitar:

1. Desconectar el sistema que tubo intrusión.

2. Cambiar las contraseñas o generar políticas para que la contraseña sea de
carácter fuerte.
3. Bloquear algunos puertos o cambiarlos y bloquear algunas conexiones

5.3 Prevención de la re-infección

• Determinar la forma en que ocurrió la intrusión. Determinar la fuente

de la intrusión si vía email, ataque a través de un puerto, un

7
 ataque a través de servicios, o si es debido al ataque sin parchar
los sistemas o aplicaciones.

• Tomar medidas inmediatas para evitar una nueva infección:

1. Cerrar los puertos de los servidores que no se este
utilizando
2. Revisar el sistema que fue afectado para poder tomar
medidas frente la intrusión.
3. Volver a instalar el sistema, utilizar las copias de
respaldo y asegurarnos que las copias se hayan
realizado antes de la intrusión.
4. Información a los empleados y usuarios de la entidad.
5. Desactivar los servicios sin utilizar en el sistema
afectado.

5.4 Restaurar los sistemas afectados: Para restaurar los sistemas afectados
hay que conservar las pruebas en contra de la intrusión, asegúranos de tener
respaldos del sistema y que sean del sistema afectado. Puede incluir lo
siguiente:

• Vuelva a instalar el sistema afectado (s) a partir de cero y la

restauración de datos de copias de seguridad si es necesario.
Asegúrese de conservar las pruebas en contra de la intrusión
de copias de seguridad de los registros o, posiblemente, todo el
sistema.
• Los usuarios deben cambiar las contraseñas, si las
contraseñas han sido interceptadas e informales que deben se
fuertes y no divulgarlas.
• Asegúrese de que el sistema está completamente parchado.
• Asegúrese de que la protección antivirus en tiempo real y
detección de intrusos se está ejecutando.

5.5 Documentación – Se debe elaborar un documento sobre lo que se

descubrió del incidente incluyendo la forma en que se produjo la intrusión,
cuando se produjo el ataque y si hay respuesta y si es efectiva.

5.6 Preservación de pruebas – Hacer copias de los registros de intrusión y

mantener las listas de testigos.

5.7 Evaluar los daños y el costo Evaluar si los daños a la entidad y

estimación de costos.

5.8 Revisión y actualización de políticas de respuesta

• Considerar si implementar una política podría haber evitado la

intrusión al sistema.
• Considerar si una política o procedimiento no se siguió, lo que
permitió la intrusión y mejorarla.
• Estudiar si la respuesta al incidente fue la apropiada o no y ver
como podemos mejorarla.

8
 • Informar a las partes interesadas.
• Revisar que todos sistemas estén parcheados, que se estén
cumpliendo las política para el cambio de contraseñas y que
los antivirus estén actualizados
• Se deberán crear políticas de seguridad cada vez que el
administrador lo crea necesario para evitar una intrusión al
sistema.

6. Daño de Activos (Físico)

Se informara al departamento técnico para la revisión del activo para

determinar la gravedad del daño.
En caso que el daño sea grave se debe contactar a la persona
encargada de manejar los proveedores para iniciar la reposición del
activo.

En caso que no sea grave se procederá a repararlo en el menor tiempo

para restablecer el servicio.

Finalmente la persona del departamento encargado del activo debe

restablecer las configuraciones para que el activo quede en su
funcionamiento normal.

7. Cambios no autorizados a la organización de hardware, software, o

la configuración

En caso de cambio del hardware se debe identificar por cual fue

cambiado y los riesgo que puede generar dicho cambio, después de
verificar esto se debe enviar un informe al área encargada con todas las
especificaciones del hardware por el cual fue reemplazado y una
restauración del mismo.

En caso de cambio del software identificar software instalado y su

propósito, realizar un informe con el tipo de software y su
funcionamiento y enviarlo al departamento encargado de sistemas.
De ser necesario se retirara el software instalado.
En caso de que el software sea desinstalado se notificara al
departamento y solicitar la reinstalación del software.

En cuanto la configuración se debe identificar los cambios de

configuración, verificar los efectos de esos cambios en el sistema; en el
caso de encontrar anomalías en el sistema se enviara un informe al
departamento encargado el cual asumirá la restauración de las
configuraciones.

Nota: Se recomienda realizar bitácoras cada vez que se presente un

incidente.

9
 Conclusiones

Con este trabajo obtuvimos conocimientos necesarios para la elaboración de

un plan de respuestas incidentes de una entidad.

Mostramos como podemos mitigar los daños, evaluar el incidente, que hacer
cuando se nos presente un incidente y como responder a ello.

10