Embed Size (px)
Citation preview
Manual de Procedimiento
para el Tratamiento de
Incidentes
SALCERT
“Entre más callado estés más es tu capacidad de
escuchar”
Procedimiento de Manejo de Incidentes SALCERT
Definiciones:
CSIRT: (Computer System Incident Response Team) CERT: (Computer
Emergency Reponse Team) Es una organización o un equipo que provee
servicio o soporte en las areas de prevención, manejo y respuestas de ante
incidentes de computo.
TI: Tecnologías de información.
Manejo de Incidentes: La habilidad de proveer administración de eventos e
incidentes que se general al interior de las instituciones que afectan uno más
los componentes de la plataforma tecnológica de la institución y no es solo la
aplicación de tecnología para resolver los problemas de los eventos generados.
Sistema Comprometido
Es aquel equipo de procesamiento, almacenamiento, de comunicaciones o de
seguridad que se encuentra bajo la influencia anormal de un tercero en alguna
de sus capas y/o funciones.
Advisory
Documento que provee a mediano y largo plazo información sobre los
problemas y las soluciones para la minimización o desaparición del impacto
ante ocurrencia de un evento, generalmente haciendo referencia a una
vulnerabilidad. (Ver ejemplos en anexo 3)
3
Procedimiento de Manejo de Incidentes SALCERT
Introducción
El presente documento genera las directrices estándar para el adecuado
manejo y respuesta ante incidentes de computo, un CSIRT o CERT no es lo
mismo que un equipo de ciberseguridad, es decir su responsabilidad no es
brindar seguridad a cualquiera de las capas que componen las plataformas de
TI, si no que el manejo y respuesta ante incidentes de computo; si bien es
cierto, su misión puede incluir la prevención, no es su rol primario.
.
Objetivo General
Establecer una normativa básica estandarizada para la clasificación, manejo y
el adecuado tratamiento de incidentes de computo, cualesquiera sea sus
orígenes, causas y efectos, y sean o no considerados en el conocimiento actual
de los mismos.
Objetivos Específicos
Establecer parámetros para la adecuada clasificación de incidentes
Generar los insumos básicos a recolectar en el tratamiento de
incidentes.
Establecer los procedimientos para el manejo de incidentes.
Establecer un estándar en el tratamiento de incidentes.
4
Procedimiento de Manejo de Incidentes SALCERT
Procedimiento general del manejo de Incidentes.
El procedimiento general para el adecuado manejo de incidentes esta dividido
en los siguientes pasos:
1-Detectar y reportar
2-Jerarquerizar
3-Analizar
4-Responder al incidente.
Detectar y Reportar.
Consiste Habilidad de recibir y revisar informaciones de eventos, reportes de
incidentes y alertas.
Este paso del proceso consiste en obtener información detallada del incidente
entre las cuales se pueden citar:
-¿Quién está Involucrado?
-¿Cuál es la institución?
-¿Cuál es su rol?
-¿Dónde se encuentra geográficamente?
-¿Quiénes son los administradores de la RED y de los Sistemas?
-¿Cuál es la naturaleza del incidente?
-¿Cuál es el alcance del incidente?
-¿Cuál es la linea de tiempo?
-Fecha y hora ocurrido.
-Fecha y hora descubierto
5
Procedimiento de Manejo de Incidentes SALCERT
-Fecha y hora reportado
¿Cuáles son los detalles de la infraestructura comprometida?
Función y criticidad
Versión del OS
Nivel de Actualización
Aplicaciones que corren sobre
Defensas de seguridad
Relaciones con otros sistemas
Puertos y servicios
Formatos de archivos logs
Para tal efecto, se debe utilizar el formulario definido en el anexo 1.
Inmediatamente se recibe, se debe estar seguro de contar con la mayor
información posible para poder comprender el incidente; si es necesario se
puede realizar una visita o una llamada telefónica con el objeto de obtener
mayor información.
Nota: Cuando se sospecha que el servicio de mensajeria por correo electrónico
se encuentra comprometido, no se utilizará dicho servicio, sino que uno alterno
tal como la red pública de telecomunicaciones y las visitas presénciales.
Jerarquerizar:
Realizar acciones para ordenar , categorizar, priorizar y asignar recursos a la
atención de los incidentes, para comprender mejor esto, tomemos de modelo
un Hospital que jerarquiza y atiende a los pacientes por su grado de estado
critico.
Es un elemento importante para la optimización del manejo de incidentes.
6
Procedimiento de Manejo de Incidentes SALCERT
Analisis:
Es la habilidad de determinar qué paso, cuál fue el impacto, robo o daño, así
como que acciones de recuperación o mitigación fueron adoptadas
Respuesta al Incidente:
Consiste en las acciones tomadas para resolver o mitigar un incidente,
coordinar y diseminar información, y la implementación de estrategias que
eviten la repetición del incidente en mención.
Servicios
Los servicios que serán ofrecidos por el SALCERT serán los siguientes:
Servicios Reactivos:
Alertas y advertencias
Manejo de incidentes
Análisis
Soporte en sitio
Soporte para la respuesta
Coordinación en la respuesta de incidentes
Manejo de Vulnerabilidades
Análisis de vulnerabilidades
Respuesta de vulnerabilidades
Coordinación de respuesta de vulnerabilidades
7
Procedimiento de Manejo de Incidentes SALCERT
Servicios Proactivos.
Anuncios
Vigilancia Tecnológica
Auditoria de seguridad
Desarrollo de herramientas de seguridad
Servicios de detección de intrusión
Diseminación de información relacionada con la seguridad informática.
Requerimientos para el manejo de incidentes.
Aunque el rol principal del CSIRT es reactivo, no se debe dejar de lado que los
esfuerzos que se puedan realizar en otro campo, benefician de manera directa
la función principal, buscando como mínimo lo siguiente:
Prevenir incidentes y ataques
Entrenamiento a personal técnico y usuarios finales
Monitoreo y evaluación de infraestructura detectando vulnerabilidades.
Compartiendo información con otros CSIRT.
Esquema de funcionamiento de proceso “Manejo de Incidentes”
8
