Actividad 1

INFORMATICA FORENSE

DARUIN RUDOL OREJUELA PATERNINA

Profesor

PABLO EMILIO OSPINA RODRIGUEZ

Fundación Universitaria Compensar

Programa

Ingeniería Telecomunicaciones

2021
Actividad 1

Contextualización

A la velocidad con la que operan los negocios actuales un incidente de unas pocas
horas de duración puede tener un impacto catastrófico en los resultados y en la imagen
de la organización que lo sufra. No sólo las catástrofes ambientales, tales como incendios
o inundaciones, pueden causar daños adversos a una organización. Otros tipos de
incidentes, como los que se detallan a continuación, pueden tener impactos adversos
para una compañía:
• Incidentes serios de seguridad en los sistemas, como delitos cibernéticos, pérdida de
información, robo de información sensible o su distribución accidental, fallos en los
sistemas IT, errores de operación en los sistemas, etc.
• Daños en las infraestructuras o en los servicios, fallos en el suministro eléctrico, fallos en
el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza.
• Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación,
en los equipos de refrigeración.
• Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organización, dependiendo de su
tamaño y de su área de actividad, no siendo el tamaño una característica fundamental; las
pequeñas y medianas organizaciones también pueden verse seriamente afectadas.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan
de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. En
esta unidad se desarrollará los incidentes informáticos, sus causas y consecuencias. Para
fortalecer las capacidades del Estado y las entidades privadas con el fin de enfrentar las
amenazas que atentan contra su seguridad y defensa en el ámbito cibernético
(ciberseguridad y ciberdefensa), creando el ambiente y las condiciones necesarias para
brindar protección en el ciberespacio.

Para este fin es necesario involucrar a todos los sectores e instituciones del Estado con
responsabilidad en el campo de ciberseguridad y ciberdefensa, creando un ambiente
participativo donde todos los actores de la sociedad actúen con propósitos comunes,
estrategias concertadas y esfuerzos coordinados. Igualmente, es de vital importancia
crear conciencia y sensibilizar a la población en todo lo referente a la seguridad de la
información; fortalecer los niveles de cooperación y colaboración internacional en
aspectos de ciberseguridad y ciberdefensa; apoyar investigaciones relacionadas con
ataques informáticos y proteger a la ciudadanía de las consecuencias de estos ataques
para crear un CSIRT O CERT
Actividad 1

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Es importante destacar que el modelo de gestión de incidentes de seguridad de la

información tiene como objetivo principal es generar un enfoque estructurado y bien
planificado que permita identificar y manejar adecuadamente los incidentes de seguridad
de la información.

En este modelo se deben tener en cuenta diferentes objetivos, que permitan garantizar la
información, esto se logra definiendo roles y responsables dentro de la organización, esto
para poder evaluar los riesgos y permita mantener la operación en todos sus aspectos.

Es importante gestionar los eventos de seguridad para detectar y tratar con eficiencia
cada uno, con el fin de identificar si es o no necesario clasificarlos como incidentes de
seguridad de la información, y dar respuesta de la manera más eficiente y adecuada.

Con cada incidente es importante aprender y consolidar las lecciones aprendidas que deja
cada uno de los incidentes de seguridad de la información, esto tiene como

objeto incrementar las oportunidades de prevenir la ocurrencia de futuros

incidentes. es importante cuantificar y monitorear los tipos, volúmenes y costos de los

incidentes esto para tener una base de conocimiento y registro de incidentes.

Para lograr estos objetivos, la gestión de incidentes de seguridad de la información

involucra los siguientes procesos de manera cíclica como lo muestra la imagen:

* Planificación y preparación para la gestión del Incidente.

* Detección y análisis.

* Contención, erradicación y recuperación.

* Actividades Post-Incidente.

Imagen tomada de
([Link]
Actividad 1

Dentro de los parámetros de una organización se recomienda siempre crear un equipo de

incidentes de seguridad de cómputo CSIRT, estos estarán encargados de definir os
procedimientos, atención y manejo de cada uno de los incidentes, ya sean que tengan un
manejo a nivel interno o externo.

para poder lograr estos alcances es necesario tener en cuenta los siguientes aspectos.

Detección de Incidentes de Seguridad: encargados de Monitorear y verificar

Atención de Incidentes de Seguridad: Recibe y resuelve los incidentes

Recolección y Análisis de Evidencia Digital: Toma, preservación, documentación y

análisis de evidencia

Anuncios de Seguridad: Deben mantener informados a los funcionarios

Auditoria y trazabilidad de Seguridad Informática: Realizan verificaciones periódicas

del estado de la plataforma

Certificación de productos: El equipo verifica la implementación de las

nuevas aplicaciones

Configuración y Administración de Dispositivos de Seguridad Informática: Se

encargarán de la administración adecuada de los elementos de seguridad

Investigación y Desarrollo: Deben realizar la búsqueda constante de

nuevos productos en el mercado o desarrollo de nuevas herramientas de protección

PREPARACIÓN
En esta etapa el grupo de gestión de incidentes debe velar por la disposición de los
recursos de atención de incidentes, al igual que debe ser apoyada por la dirección de
tecnologías de la

información, esto para generar mejores prácticas para el aseguramiento de redes,

sistemas, y aplicaciones.

Algunos aspectos que se deben tener en cuenta son:

Gestión de Parches de Seguridad: para el cual se debe contar con Sistemas

Operativos, Bases de Datos, Aplicaciones, Otro Software Instalado.

Aseguramiento de plataforma: Se debe configurar la menor cantidad de servicios con el

fin de proveer únicamente aquellos servicios necesarios tanto a usuarios como a otros
equipos
Actividad 1

Seguridad en redes: Las reglas configuradas en equipos de seguridad como firewalls

deben ser revisadas continuamente

Prevención de código malicioso: Todos los equipos deben tener activo su antivirus

Sensibilización y entrenamiento de usuarios: Los encargados de los sistemas de

información deben establecer las necesidades de capacitación de las personas
encargadas de la protección de los datos.

Es importante tener claro que para llevar a cabo un buen CSIRT, se deben tener en
cuenta los aspectos mencionados al igual que los siguientes para su complementación, * *

* HARDWARE Y SOFTWARE

* RECURSOS PARA EL ANÁLISIS DE INCIDENTES

* RECURSOS PARA LA MITIGACIÓN Y REMEDIACIÓN

* DETECCIÓN, EVALUACION Y ANÁLISIS

como método de prevención, priorización y tiempos de respuesta de los incidentes para

llevar a cabo un proceso y buen manejo de variables, se debe realizar la evaluación de los
incidentes

• Prioridad
• Criticidad de impacto
• Impacto Actual
• Impacto Futuro

Imagen tomada de
([Link]
Actividad 1

Es importante también tener en cuenta el siguiente esquema que permite generar un Plan
de Continuidad del Negocio o un Plan de Recuperación de Desastres

Imagen tomada de
([Link]

ACTIVIDADES POST-INCIDENTE
Lecciones Aprendidas: parte más importante de un plan de respuesta a incidentes es
aprender y mejorar esto para que se permita manejar un adecuado registro de lecciones
aprendidas.

• Es importante establecer exactamente lo que sucedió.

• Los procedimientos documentados.
• Medidas o acciones que podrían haber impedido.
• Acciones correctivas.
Actividad 1

BIBLIOGRAFIA
[Link]
[Link]
[Link]
ION%[Link]