GESTIN DE INCIDENTES

Cmo evaluar el dao causado por

el incidente?
Una tarea muy laboriosa consiste en determinar la repercusin del ataque
y evaluar el alcance de los daos.

Compruebe las configuraciones de todos los routers, switches, servidores

de acceso y firewalls, as como de los servidores cuyos servicios soporten
la infraestructura central de la red.

La siguiente lista puede ser un punto de partida muy til:

Compruebe las estadsticas de registro de actividades inusuales en los

puntos de acceso al permetro de la red corporativa, como el acceso a
Internet o el acceso telefnico
Verifica la suma de comprobacin del dispositivo o la suma de
comprobacin del sistema opertico en los servidores principales, con el
fin de comprobar si el sistema opertico se ha visto expuesto.
Verifique los cambios en la configuracin de los dispositivos de la
infraestructura y de los servidores ara asegurarse de que nadie los ha
manipulado indebidamente.
Verifique los datos sensibles para ver si alguien ha accedido a ellos o los
han modificado.
Busque en los registro del trafico cadenas extraordinariamente grandes
procedentes de un solo origen o los flujos que se dirijan a un solo destino.
Compruebe la existencia de dispositivos nuevos o desconocidos.
Compruebe las contraseas de los sistemas principales para asegurarse
de que no han sido modificadas

Procedimientos de notificiacion y
alerta
La repuesta eficaz frente a un incidente depende de la capacidad de la estructura
corporativa de comunicarse, rpida y cmodamente con el equipo de respuesta ante
incidentes.
A quien alertar depende mayormente del alcance y la repercusin del incidente.
Debido al uso extendido de las redes a nivel mundial, la mayora de los incidentes no
estn restringidos a un solo sitio.
En algunos casos los puntos dbiles se concentran en varios millones de sistemas y
muchos punto dbiles son explotados dentro de la propia red. Por consiguiente , es
vital que todos los sitios cuyas partes se vean involucradas estn informados ala
mayor brevedad posible

La manipulacin eficiente de los incidentes minimiza el potencial de exposicin

negativa. Aqu vemos algunas directrices acerca del nivel de detalle que hay que
proporcionar:
No incluya muchos detalles tcnicos: La informacin detallada acerca del
incidente puede proporcionar la suficiente informacin para que otras personas
emprendan ataques similares en otros sitios.

Trabaje con las autoridades para garantizar que las pruebas estn
protegidas: Si hay que demandar asegrese de que las pruebas recopiladas
no se divulgan al publico.

 Delegue la gestin al personal de relaciones publicas que sabe como tratar

con la prensa: Estas personas deberan de ser profesionales que supieran como
tratar con el pblico de una forma diplomtica.

No interrumpa o detenga las lneas de comunicacin con el pblico: La

gestin puede resultar ineficaz si el publico no oye nada o especula por su cuenta.

No permita que la atencin publica le desvi de la gestin del evento:

Recuerde que la solucin de un incidente es vital.

 Separe la especulacin de las declaraciones pblicas: La especulacin sobre

quien ha causado el incidente o los motivos que subyacen a este probablemente sean
errneos y pueden dar una mala impresin de las personas que estn a cargo del
incidente.

Cmo responder ante el incidente?

Uno de los objetivos principales consiste en restaurar el control de los sistemas afectados
y limitar la repercusin y el dao
En el peor de los casos, ya se trate de un atacante interior o exterior, normalmente se
puede cerrar el punto de acceso del atacante. Esto limita el potencial de perdidas, daos
o interferencias, pero se puede acarrear algunos efectos adversos:
Se puede interrumpir a los usuarios legtimos.
No es posible obtener mas pruebas legales en contra del intruso.
Puede que no haya suficiente informacin para averiguar quien es el intruso o cuales
son sus motivos.

Cmo mantener una documentacin

exacta?
La documentacin de todos los detalles relativos al incidente resulta crucial, ya que
proporciona la informacin necesaria para analizar posteriormente escenarios de causa y
efecto.
Los detalles grabados debern incluir quien fue notificado y qu acciones fueron
tomadas(todo ello acompaado de la hora y fecha en curso)

Cmo recuperarse de un incidente

La recuperacin tras un incidente implica un anlisis a posteriormente de que ha ocurrido,
como ocurri y que pasos deberan darse para impedir que se repitan incidentes similares.
Deber presentarse ala direccin un informe formal con la secuencia cronolgica de
acontecimientos correcta junto con una recomendacin de incorporar mayores medidas de
seguridad. Ahora conviene realizar un nuevo anlisis de riesgos y cambiar las normas de
seguridad anteriores si el incidente encuentra su causa en una norma mala o ineficaz