Espiñeira, Sheldon y Asociados

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
No. 9 - 2010
Contenido Cerrar Imprimir Página anterior Página siguiente

Boletín Digital // No. 9 - 2010

Contenido
Haga click en los enlaces para navegar a través del documento

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Haga click en los enlaces para llegar directamente a cada sección

4Introducción 4Proceso de respuesta a incidentes 4Identificación del incidente 4Clasificación del incidente 4Notificación del incidente 4Respuesta al incidente y contención

4Recuperación del incidente 4Evaluación y reflexión sobre el incidente 4Consideraciones Finales 4Créditos / Suscribirse

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Introducción
Un incidente de seguridad puede ser descrito como cualquier evento que pueda comprometer el ambiente de Seguridad de Información (SI) de una organización. Los eventos de seguridad son inevitables; la diferencia radica en el tiempo requerido para su detección y en su impacto contra la organización. Por ejemplo, una organización que cuente con una estructura formal para la detección de vulnerabilidades y ataques, está expuesta al mismo número de eventos que aquella que no lo tenga. La diferencia va a radicar en la probabilidad que ese ataque impacte negativamente en la organización, y en el tiempo que ésta incurra en recuperarse del mismo. Hoy en día, el crecimiento tecnológico asociado a sistemas computarizados, redes y aplicaciones, trae consigo mayor dificultad en las actividades de monitoreo y respuestas a posibles incidentes de seguridad. En este sentido, las organizaciones deben estar preparadas para detectar y responder a intentos de acceso no autorizado o actividades ilegales contra los activos de información. La pérdida de productividad y exposición o la alteración de información crítica pueden repercutir en poner a una organización fuera del negocio. Los incidentes de seguridad repercuten en la imagen organizacional y probablemente en los estados financieros. A estos costos se suman los de investigación forense, que por su especialización pueden representar una porción importante de la pérdida, pero que son necesarios para determinar responsabilidades y medidas de acción para contrarrestar el riesgo. Para evitar estas situaciones, las organizaciones deben emprender actitudes proactivas para asegurar que sus ambientes estén preparados para identificar eventos, mitigar su impacto en el menor tiempo posible y el costo de la investigación. Como parte de las investigaciones realizadas por nuestra Firma, un elemento fundamental para el proceso de respuestas a incidentes es el análisis previo del riesgo tecnológico. En general, esto refiere a la definición de un esquema destinado a la identificación y minimización de aquellas vulnerabilidades que aquejan a la organización.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Introducción (continuación)
La Figura N°1 muestra las principales causas de incidentes de SI reportadas por la empresas venezolanas, muchos de los cuales pueden ser prevenidos bajo esquemas de Análisis de Riesgo Tecnológico. Una vez identificadas las causas de estos incidentes, es necesario comentar las consecuencias experimentadas con el fin de establecer bases para el Proceso de Respuesta a Incidentes. La Figura N°2 muestra tales elementos, haciendo un comparativo entre los años 2008 y 2009. Las principales consecuencias que presentaron las empresas encuestadas producto de la ocurrencia de incidentes de SI fueron las siguientes: Paralización parcial o total de las operaciones, Incumplimiento en la entrega de reportes, Daño en la imagen y reputación de la organización. Pero ninguna organización puede considerarse inmune a la ocurrencia de eventos. Esta afirmación introduce a la siguiente etapa en el ciclo de vida de la SI: La respuesta a incidentes.

Para visualizar la Figura No. 1 haga click en el icono.

Para visualizar la Figura No. 2 haga click en el icono.

Figura Nº 1: Principales causas de la ocurrencia de los incidentes de SI año 2009 Fuente: Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela

Figura Nº 2: Principales consecuencias de la ocurrencia de los incidentes de SI año 2008 vs. 2009. Fuente: Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Proceso de respuesta a incidentes
Las respuestas a incidentes comprenden un grupo de etapas que deben ejecutarse cuando un evento de seguridad ocurre. Un proceso de respuesta a incidentes ayuda a manejar correcta y eficientemente un evento. Asimismo, el diseño de un proceso para el monitoreo y respuesta a incidentes también apoya en la identificación necesidades de recursos y asignación de roles y responsabilidades. La Figura Nº 3 ilustra el proceso recomendado para monitorear y responder a incidentes de manera efectiva.
Para ampliar: haga click sobre la imagen

Identificación del incidente
Para un mayor entendimiento de cómo se interrelacionan cada una de las etapas del proceso de respuesta a incidentes, la Figura Nº 4 muestra el flujo de acciones que ejecutaría el equipo de respuesta definido. La organización debe determinar si el incidente es un evento de riesgo o una falsa alarma, esto es particularmente importante en el caso de ataques. En caso afirmativo, debe identificar el tipo específico de evento. Algunos tipos comunes de incidentes incluyen: • • • • • • • • Ataques a Website Ataques de denegación de servicio Barrido de puertos (Scan) Sniffing Ingeniería social Acceso no autorizado Infección de virus Fallas de hardware

Para visualizar la Figura No. 4 haga click en el icono.

Identificación

Clasificación

Notificación

Respuesta

Recuperación

Post-Mortem

Figura Nº 3: Proceso de respuesta a incidentes Fuente: Technology Forecast PricewaterhouseCoopers

qRetorno

Figura Nº 4: Diagrama de flujo de acciones a seguir por el equipo de respuesta a incidentes. Fuente: Technology Forecast PricewaterhouseCoopers

Categorizar el incidente por tipo contribuye a hacer seguimiento y entender el riesgo al que se encuentra sometida la organización.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Clasificación del incidente
Durante el proceso de clasificación, le es asignado un nivel de severidad con la finalidad de controlar los recursos y el tiempo para afrontarlo. Para proveer un marco consistente en categorizar la severidad de los incidentes, la organización debe desarrollar una escala de calificación, como se muestra a continuación: • • • • Nivel de Severidad 1: Crisis Nivel de Severidad 2: Incidente serio Nivel de Severidad 3: Incidente Nivel de Severidad 4: Evento Durante una crisis, todo el tiempo y los recursos deben ser destinados a remediar el problema. El segundo nivel (“Incidente serio”), implica que el daño está ocurriendo a la organización, por lo que se requiere atención inmediata para prevenir que el incidente escale a un nivel de crisis. Por ejemplo, ha sido expuesta información de cuentas de usuario que puede ser utilizada para realizar un acceso no autorizado. El tercer nivel (“Incidente”), es algo que debe ser resuelto, pero su nivel de urgencia es bajo. Por ejemplo, un IDS ha identificado un scan de la red interna de la organización. En este caso, la organización experimenta poco o ningún daño, pero el incidente es un indicador claro que alguien o algo está intentando identificar sistemas o encontrar vulnerabilidades que explotar. El cuarto nivel (“Evento”), es similar a un incidente, el cual debe ser resuelto, pero el grado de urgencia es menor. Por ejemplo, que una cuenta ha sido bloqueada después de múltiples intentos fallidos de acceso, esto podría significar que una persona no autorizada está intentando adivinar las credenciales de usuarios para ganar acceso al sistema. La clasificación, debe determinar de manera precisa cuáles son las acciones que deberán iniciarse y los niveles de notificación del incidente, temas que abordamos a continuación.

En esta escala, el nivel superior (“Crisis”), es el más severo e indica que la organización está corriendo peligro. Por ejemplo, una situación bajo esta categoría sería un acceso no autorizado o borrado de la información almacenada en un servidor crítico.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Notificación del incidente
Cuando un incidente ha sido identificado, el nivel de severidad determinará las personas apropiadas que deben ser notificadas de la ocurrencia de dicho incidente, con el fin de que realicen las acciones adecuadas de acuerdo con sus roles y responsabilidades.

Respuesta al incidente y contención
El diseño de patrones de respuesta para cada nivel de incidente, contribuye a realizar una evaluación precisa del mismo, y permite coordinar las actividades de respuesta e investigación. La fase de respuesta puede ocurrir en paralelo con las etapas clasificación y notificación. Las tres áreas primarias en esta fase son: evaluación, investigación y soporte. • Evaluación. Comienza en el instante en que el incidente es identificado e implica la recolección de todos los datos relevantes sobre el incidente, por parte de los miembros del equipo de respuesta y la determinación del impacto en las operaciones de la organización. Los miembros relevantes del equipo de respuesta a incidentes deben planificar las acciones de restauración y cumplir con los requerimientos mínimos que se mencionan a continuación: - Conexiones y retención de evidencia: Identificar todas las conexiones activas desde y hacia el activo comprometido, y determinar la información que puede ser de interés para la investigación. En este punto es importante establecer un balance entre la continuidad de las operaciones y los métodos y fuentes de información existentes, ya que en muchas ocasiones, un método riguroso de retención de evidencia afectaría algún proceso.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Respuesta al incidente y contención (continuación)
- Registro: Registrar cualquier actividad observada, si la actividad del incidente se encuentra en progreso. - Plan de recuperación de desastres: Determinar la necesidad de la activación de los planes de recuperación de desastres o plan de continuidad del negocio. Reemplazo: Determinar los recursos disponibles para reemplazar los activos afectados. e información comprometida, modificada o eliminada, y cualquier información o código malicioso almacenado durante el incidente que sea utilizada para comprometer el resto de los componentes de red. El equipo debe identificar cuáles componentes fueron comprometidos, cuentas y contraseñas pueden estar expuestas y todas las máquinas que comparten el mismo segmento de red. Los custodios de la información asisten al equipo de respuesta a incidentes, identificando y adquiriendo evidencia sobre la naturaleza y causa del incidente, mientras los miembros del equipo de respuesta a incidentes documentan y mantienen informado al líder de su equipo sobre todos los pasos de la investigación. De considerarse apropiado, el líder del equipo de respuesta a incidentes, recolectará y documentará todos los registros necesarios para transferir la investigación a las autoridades legales que corresponda. • Soporte. El tiempo es un componente crucial durante un evento de respuesta a incidentes. Si el equipo de investigación no puede tener acceso inmediato a los sistemas y redes afectadas, este retraso podría incrementar el alcance y la severidad del incidente. Una organización debe poseer un equipo de soporte técnico que pueda proveer acceso a los recursos para sostener el esfuerzo de respuesta a incidentes.

• Investigación. La investigación determina la causa y alcance del incidente. Identificar la causa contribuye a revelar las vulnerabilidades técnicas que permitieron el evento. Esta actividad ayuda a identificar todas las máquinas

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Recuperación del incidente

El objetivo primordial de la etapa de recuperación es devolver los procesos de la organización a un estado seguro y operacional, de la manera más eficiente posible. La fase de recuperación le permite a los usuarios evaluar el daño ocurrido, la información que se ha perdido y cuál es el estatus del sistema posterior al ataque. Todas las máquinas comprometidas requieren ser recuperadas. La recuperación dependerá del nivel de afectación. En caso de cuentas compartidas y contraseñas capturadas, que no fueron utilizadas para comprometer otros sistemas, un simple cambio de contraseñas podría ser toda la recuperación adecuada. Algunos incidentes pueden requerir la reconstrucción del sistema a partir de respaldos previos e instalación original de las aplicaciones.

El proceso de recuperación debe ocurrir fuera de línea, siempre y cuando sea posible. Si la máquina es esencial para las operaciones, la organización debe considerar un reemplazo temporal, mientras el equipo es reconstruido y asegurado. Si es necesario reconstruir varias máquinas, todas deben ser llevadas a un estado fuera de línea simultáneamente y luego ser reconectadas una vez aseguradas. Los miembros del equipo de recuperación de incidentes deben proveer instrucciones durante esta etapa, pero los custodios de la información deben realizar efectivamente la reconstrucción y aseguramiento de los sistemas.

Luego de haberse completado todas las evaluaciones y acciones investigativas, el líder del equipo de respuesta a incidentes debe proveer instrucciones a los custodios de información responsables de la recuperación. Estos, a su vez, deben informarle sobre las acciones de recuperación que se llevan a cabo para labores de seguimiento.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Evaluación y reflexión sobre el incidente
Una actividad “post-mortem” es una reunión que se lleva a cabo una vez que se haya resuelto el incidente. El propósito de la reunión es discutir las lecciones aprendidas y las mejoras que pueden ser implementadas para resolver de la mejor forma posible un evento similar en el futuro. Esta debe llevarse a cabo dentro de las dos semanas siguientes a la resolución de cada incidente de seguridad o ataque simulado. Queda como responsabilidad del líder del equipo de respuesta a incidentes: • Programar y liderar la reunión post-mortem • Documentar las lecciones aprendidas • Hacer seguimiento • Desarrollar el reporte final, el cual debe incluir las acciones tomadas La sesión “post-mortem” debe enfocarse en los aciertos y fallas durante el proceso de respuesta al incidente e incluir a todos los participantes que trabajaron en la resolución del incidente.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Consideraciones Finales

Como parte del desarrollo comercial y el crecimiento organizacional, las empresas se ven obligadas hoy en día en adoptar mejores prácticas y desarrollar iniciativas internas que deriven en la mejora de sus operaciones. Las estadísticas y el análisis juicioso de los expertos de SI han logrado demostrar la importancia de mantener programas de actualización y mejoramiento continuo en materia de Tecnología de Información debido al avance acelerado a donde la misma nos conduce, y que generalmente incorpora brechas de seguridad que son capitalizadas por los atacantes y aficionados primero que los mismos proveedores.

¿Cuánto le cuesta al negocio paralizar total o parcialmente sus operaciones?, ¿Cuánto cuestan los incumplimientos internos/externos?, ¿Podrían sacar ventaja de ellos nuestros competidores?, ¿Cuántos negocios o clientes potenciales pudieron verse visto afectados?. Todas estas son preguntas que debemos hacernos a la hora de diseñar nuestro Proceso de Respuestas a Incidentes, asegurando siempre su interrelación con otros procesos de análisis continuo de la organización tales como: Acuerdos de niveles de servicio (SLA’s), Acuerdos de niveles operativos (OLA’s), Planes de continuidad de Negocio (BCP), evaluaciones independientes de seguridad, evaluaciones propias de controles (CSA), entre otras.

Un plan de respuesta a incidentes debe ser correspondiente a los objetivos del negocio, criticidad de las operaciones y a los recursos existentes dentro de la organización, pero fundamentalmente soportado sobre un equipo humano comprometido y calificado.

Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información

Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Si desea suscribirse haga click en la barra
El Boletín Asesoría Gerencial es publicado por la Línea de Servicios de Asesoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PricewaterhouseCoopers niega cualquier derecho sobre estas marcas

El Boletín Asesoría Gerencial es publicado por la Línea de Servicios de Asesoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación

Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp 1999-03CS141 Teléfono master: (58-212) 700 6666

© 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3

Boletín Digital // No. 9 - 2010

Figura Nº 1: Principales causas de la ocurrencia de los incidentes de SI año 2009
Regresar al boletín Aumentar Imprimir

20

18%

16% 15% 15 13% 11% 10 7% 15%

5

4%

0 Configuraciones de seguridad inadecuadas Uso abusivo de los recursos / privilegios Falla o Vulnerabilidades Vulnerabilidades Configuraciones deficiencia en el software en aplicaciones por defecto en el proceso de / hardware o procesos actualización del SW/HW Ingeniería social Otro

Fuente: Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela

Boletín Digital // No. 9 - 2010

Figura Nº 2: Principales consecuencias de la ocurrencia de los incidentes de SI año 2008 vs. 2009.

Regresar al boletín Aumentar Imprimir

30 27% 25% 27%

2008

25 22% 20 18% 14% 12% 10 6% 5 4% 1% 0 Paralización total o parcial de las operaciones Incumplimiento Daño en en la entrega la imagen y de reportes reputación de la Organización No tuvo impacto Pérdida de oportunidades de negocio Pérdida de clientes Otros 11% 12% 10% 10%

2009
15

Fuente: Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela

Boletín Digital // No. 9 - 2010

Figura Nº 4: Diagrama de flujo de acciones a seguir por el equipo de respuesta a incidentes.

Regresar al boletín Aumentar Imprimir

Respuesta Determinación Determina el evento y su impacto sobre el negocio

El evento es descubierto y reportado

Identificación El evento es identificado y documentado

Soporte Provee asistencia logística y recursos técnicos

Investigación Determina la causa y extensión del evento

Clasificación El evento es clasificado, se le asigna severidad y se documenta

Si

Determinar cambios en la severidad

No Conformidad Cumplimiento de los requerimientos regulatorios (Notificaciones, etc.)

Determinar si hay impacto regulatorio

Si

No

Determinar el tipo de incidente

Severidad

Notificación Se le notifica a las personas apropiadas

Recuperación Devolver los sistemas a su estado original

Determinado como actividad autorizada

Cerrar incidente

Fuente: Technology Forecast PricewaterhouseCoopers

Post Mortem Revisar proceso

Sign up to vote on this title
UsefulNot useful