Respuesta ante

Incidentes
Normativas y estándares

 Sección 16 de ISO 27002: 2013: La gestión de incidentes de seguridad de la información se

centra en garantizar un enfoque coherente y eficaz para la gestión de incidentes de
seguridad de la información, incluida la comunicación sobre eventos y debilidades de
seguridad.
 ISO/IEC 27035-2:2016: Information security incident management
 NIST proporciona una guía mediante los siguientes documentos:
 SP 800-61: Guía de gestión de incidentes de seguridad informática
(https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf)
 SP 800-86: Guía para integrar técnicas forenses en la respuesta a incidentes
(https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=50875)
 Dentro ENS podemos apoyarnos en la guía CCN-STIC 817 (https://www.ccn-cert.cni.es/series-
ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-
ciberincidentes/file.html)
Organización de la respuesta ante
incidentes

 Mantener la cantidad de incidentes lo  Beneficios:

más bajo posible.  Respuesta tranquila y sistemática
 Evaluaciones periódicas de los riesgos   Minimización de las pérdidas o daños
Prevención.
 Protección de las partes afectadas
 Preparación ante un posible incidente:
políticas, estrategias, planes y  Cumplimiento de leyes y normativas
procedimientos claramente definidos.  Preservación de la evidencia
 Documentar, formar y simular.  Integración de las lecciones aprendidas
 Menor riesgo futuro y exposición
Incidente y Desastre

Incidente Desastre

• Un evento adverso que • Un evento que resulta

amenaza la seguridad en daños o destrucción
del negocio y / o generalizada, pérdida
interrumpe el servicio de vidas o cambios
drásticos en el
medioambiente
 Definir los criterios ante la gestión de incidentes.
 Declaraciones:
 Un incidente de seguridad de la información es un evento que tiene el
potencial de afectar negativamente a la empresa, a nuestros clientes, a
nuestros socios comerciales y / o al público en general.
 Un incidente de seguridad de la información se define como:
 Acceso confirmado o que se sospecha que ha ocurrido y no está autorizado,

Política de
que compromete, intenta conseguir o modifica los datos protegidos de clientes o
empleados, incluidos, entre otros:
 Números de identificación personal: como números de la seguridad social (SSN),
números de pasaporte, documentos nacionales de identidad …

definición
 Financieros: información de cuenta o tarjeta de crédito, incluidos números de
cuenta, números de tarjetas, fechas de vencimiento, nombre del titular de la tarjeta
y códigos de servicio
información médica

de

 Evento real o sospechoso que tiene la capacidad de interrumpir los servicios
prestados a nuestros clientes.
 Acceso confirmado o que se sospecha que ha ocurrido y no está autorizado,

incidentes
que compromete, intenta conseguir o modifica la propiedad intelectual de la
compañía.
 Evento confirmado o que se sospecha que ha ocurrido que tiene la capacidad
de interrumpir la capacidad de la compañía para proporcionar servicios internos
de computación y red.
 Evento confirmado o que se sospecha que ha ocurrido que conlleva la violación
de los requisitos legales o estatutarios.
 Evento confirmado o que se sospecha que ha ocurrido y no ha quedado
definido anteriormente pero se podría clasificar como incidente según lo
determine la administración.
 Todos los empleados, contratistas, consultores, proveedores y socios
comerciales deben informar incidentes de seguridad de la información
conocidos o sospechosos.
 Esta política se aplica igualmente a los incidentes internos y de terceros.
Denegación de Malware Uso no Uso no
Servicio autorizado apropiado

Incidentes más
comunes malware by Gregor Cresnar , Stop shopping cart by Till Teenck,
authorization by Pause08, Computer by Denis Shumaylov from
the Noun Project
Niveles de Incidentes
Nivel 1
Descripción Se definen como aquellos que conllevan un daño significativo o a los procesos de
negocio, a los clientes o a la sociedad y/o violaciones de las leyes y normativas
vigentes o las regulaciones contractuales de la organización.
Tiempo de Inmediato
respuesta
Notificación Jefe ejecutivo
interna Jefe del departamento de operaciones
Consejero legal
Jefe de la oficina de seguridad
Gestor designado de incidentes
Ejemplos Compromiso de la información sensible de clientes.
Robo o perdida de algún dispositivo de almacenamiento que contiene información
sensible según la legislación vigente.
Ataque de denegación de servicio.
Identificada conexión a sitios “command and control”.
Web corporativa comprometida o se sospecha ha sido comprometida.
Informe que indica que un socio han sufrido una brecha de seguridad grave.
Cualquier actividad relacionado con una infracción de la ley actual
Niveles de Incidentes (II)

Nivel 2
Descripción Implican el acceso no autorizado a sistemas no críticos o información no sensible,
detección eventos precursores de un ataque, una amenaza probable de un ataque
inminente, o cualquier evento que podría acarrear la violación de la ley o las
normativas vigentes.
Tiempo de 4 horas
respuesta
Notificación Jefe del departamento de operaciones
interna Consejero legal
Jefe de la oficina de seguridad
Gestor designado de incidentes
Ejemplos Acceso no autorizado a información protegido a por derechos de autor.
Detección de malware en sistemas no críticos.
Alarmas o eventos relacionados con ataques de reconocimiento de un posible exploit.
Notificación por parte de una institución externa de un ataque.
Niveles de Incidentes (III)

Nivel 3
Descripción Son situaciones que pueden resolverse por parte de los custodios o los propietarios de
los datos o por el personal de recursos humanos. No hay evidencias o sospechas de
que los clientes o los procesos y servicios de la organización hayan sufrido algún tipo
de daño o problema derivado del incidente.
Tiempo de 24 horas
respuesta
Notificación Jefe de la oficina de seguridad
interna Gestor designado de incidentes
Ejemplos Infección de malware de un equipo no conectado a sistemas críticos.
Acceso por parte de usuarios no autorizados a contenidos o páginas web restringidas.
Uso excesivo de recursos o de ancho de banda por parte de un usuario.
 Ejemplo: protocolo de
comunicación de Incidentes.
Comunicación de Incidentes URL: https://brokers-
broker.com/cyber-security-
incident-reporting-protocol/

• Deben seguirse las siguientes pautas:

• Cualquier empleado debe intentar detener cualquier incidente de seguridad que tenga lugar en la
medida de sus posibilidades.
• Cualquier empleado debe informar inmediatamente los incidentes de seguridad de TI a un
miembro del Equipo de seguridad de la información (IST), independientemente de si es durante o
fuera del horario comercial normal.
• Si el miembro de IST no está disponible, independientemente del incidente, la persona debe
informar a un empleado de TI de inmediato.
• El personal de TI lo ayudará a evaluar el problema y determinar cómo proceder.
• En caso de que un empleado de TI no esté disponible, como los fines de semana, días festivos,
etc., un empleado, ejecutivo, contratista o consultor debe contactar a su supervisor, quien
tendrá información de contacto de emergencia para un miembro del departamento de TI.
• Un miembro del IST trabajará con el empleado para completar el formulario de Informe de
incidente de seguridad de TI. El formulario será revisado por los miembros apropiados del IST y
ayudarán a determinar qué acción es necesaria. El formulario de respuesta al incidente será
proporcionado por el departamento de TI.
• Después del informe, las personas involucradas en este proceso deben cumplir con las
instrucciones proporcionadas por el departamento de TI para reparar el sistema, restaurar el
servicio, mitigar el riesgo futuro y preservar la evidencia del incidente.
Formulario de comunicación de
incidentes URL:
www.dhs.pa.gov/cs/groups/webcontent/documents/form/p_031584.d
oc
Programa de Respuesta ante Incidentes

Detección e
Preparación Respuesta inicial Contención
investigación

Cierre y Documentación
Erradicación y
Notificación actividad y gestión de
recuperación
posterior evidencias
1. Preparación
Monitores de sistema
Telemetría
Interpretación de los datos

Instalación de actualizaciones
Fortificación Configuración seguras
Herramientas preventivas

Procesos y Planes de respuestas, notificación y comunicación

documentació
Documentación de configuraciones
n

Simulación de situaciones
Práctica
2. Identificación
 Métodos de identificación:
 Alarma originada por herramientas de detección de
intrusiones para un tipo de atacante a un servidor o
mediante un correo electrónico (Phishing,…)
 Análisis del tráfico proveniente de un host
comprometido hacia su servidor de comando y control
(command and control).
 Al ver el pico de tráfico masivo cuando el atacante
comienza a exfiltrar datos
 Mediante alarmas provenientes de alguna autoridad
competente en el campo (CCN, Incibe, Policía
Nacional,…)
 Y por último, pero con demasiada frecuencia,
aparece en un artículo publicado por un hacker de
renombre.
3. Respuesta inicial y contención

 Posibles medidas:
 Deshabilitar el puerto de red al que está conectado un
sistema en particular
 Bloquear el acceso a la red de servicios y recursos
maliciosos, como direcciones IP (en el firewall) y dominios o
URL específicas (a través de un proxy de red)
 Bloquear temporalmente una cuenta de usuario que podría
encontrarse bajo el control de un intruso
 Deshabilitar servicios de software o aplicaciones que un
adversario está explotando.
 En muchas ocasiones, los defensores pueden optar por
omitir la fase de contención por completo.
4. Erradicación
 La erradicación consiste en los esfuerzos de mitigación a
más largo plazo destinados a mantener a un atacante
fuera del sistema para siempre.
 Planificación, recursos necesarios y tiempo a emplear.
 Ejemplos:
 Eliminando todo el malware y las herramientas
instaladas por el adversario.
 Restablecer y corregir todos los problemas de
seguridad relacionados con todas las cuentas de
usuario y servicio afectadas
 Generar nuevas información secreta a los que el
atacante podría haber accedido, como
contraseñas compartidas, certificados y tokens.
 Debate: resultado de antimalware versus formateado de
equipos.
5. Recuperación

 La recuperación es el proceso de volver

a un estado sin incidentes.
 Más relacionado con las acciones
llevadas a cabo por el equipo de
respuesta de incidentes durante las fases
de contención y erradicación.
 Coordinación entre equipos.
6. Evaluación

¿Podríamos haber evitado el incidente por completo?

Preparación
¿Qué políticas o herramientas podrían haber mejorado todo el proceso?

¿Qué fuentes de telemetría (IDS, firewalls, DNS, etc.) podrían haber facilitado o acelerado la identificación de este ataque?
Identificación
¿Qué firmas o indicadores de compromiso podrían haber ayudado?

¿Qué medidas de contención fueron efectivas? ¿Cuáles no?

Contención
¿Podrían haber sido útiles otras medidas de contención si hubieran sido más fáciles de implementar?

¿Qué pasos de erradicación fueron bien?

Erradicación
¿Qué podría haber ido mejor?

¿Qué ralentizó la recuperación?

Recuperación
¿Qué información aprendimos sobre el adversario?

¿ayudaría si el equipo tomará notas durante todo el proceso?

Evaluación:
¿se esperó demasiado y se perdieron u olvidaron detalles?
 Personal de Gestión de Incidentes
No es un
incidente

Incidente DIH
informado al Asignar Declaración Formación
evalúa el
IRC DIH informe incidente IRT

Erradicación y
Análisis Contención Cierre
recuperación

Notificación
 Otorgar autoridad a quienes están encargados de
responder y / o gestionar un incidente de seguridad
de la información.
 Declaraciones:
 El Director de Seguridad de la Información tiene la
autoridad para nombrar miembros de IRC, DIH y IRT:
 Todos los participantes deben recibir capacitación acorde
con su rol y responsabilidades.
Política de
 Todos los responsables deben participar en simulacros y
ejercicios recurrentes. autoridad
de
 Durante un incidente de seguridad, así como durante
simulacros y ejercicios, el manejo de incidentes y los
deberes relacionados con la respuesta al incidente

respuesta
reemplazan a los deberes normales.
 El Jefe de la Oficina de Operaciones y / o el asesor legal
tienen la autoridad para notificar a las autoridades
policiales o los funcionarios reguladores.
 El Director de Operaciones, la Junta Directiva y / o el
ante
asesor legal tienen la autoridad para contratar personal
externo, que incluye, entre otros, investigadores
forenses, expertos en campos relacionados (como
incidentes
seguridad, tecnología y cumplimiento) y asesores
legales especializados.
Documentar incidentes

 Caracterizar incidentes:
 ¿Cómo se detecto el incidente?
 ¿Cuál es el escenario del incidente?
 ¿En qué momento ocurrió el incidente?
 ¿Quién o qué sistema reporto sobre el incidente?
 ¿Cuál es la información de contacto del personal involucrado?
 Un breve descripción del incidente
 Instantaneas de todas las condiciones del escenario del inciente.
Colaboración con las
fuerzas de seguridad
 Policía nacional: denuncias y colaboración
ciudadana.
 CCN:
 Sistema de Aleta Temprana (SAT), para empresas
de ámbito público o estratégicas.
 Herramienta LUCIA (CCN) para entidades dentro
del ámbito del Esquema Nacional de Seguridad.
 Correo CCN [email protected], indicando
al menos información de contacto y la mayor
cantidad de información posible sobre el incidente.