Monitoreo y respuesta a incidentes de seguridad de la información | PwC Venezuela

8/8/2019 Monitoreo y respuesta a incidentes de seguridad de la informacin | PwC Venezuela

1/15

Espieira, Sheldon y Asociados

No. 9 - 2010

Boletn de Asesora GerencialMonitoreo y respuesta a incidentes de seguridad de la inormacin

PginasiguienteCerrar Imprimir

PginaanteriorContenido


2/15

Boletn Digital // No. 9 - 2010

ContenidoHaga click en los enlaces para navegar

a travs del documento

4Introduccin

4Proceso de respuesta a incidentes

4Identicacin del incidente

4Clasicacin del incidente

4Noticacin del incidente

4Respuesta al incidente y contencin

Haga click en los enlaces para llegar directamente a cada seccin

4Recuperacin del incidente

4Evaluacin y refexin sobre el incidente

4Consideraciones Finales

4Crditos / Suscribirse




3/15





Introduccin

Un incidente de seguridad puede ser descritocomo cualquier evento que pueda comprometer

el ambiente de Seguridad de Inormacin (SI) de

una organizacin.

Los eventos de seguridad son inevitables; la

dierencia radica en el tiempo requerido para sudeteccin y en su impacto contra la organizacin.

Por ejemplo, una organizacin que cuente conuna estructura ormal para la deteccin de

vulnerabilidades y ataques, est expuesta al

mismo nmero de eventos que aquella que no lo

tenga. La dierencia va a radicar en la probabilidadque ese ataque impacte negativamente en la

organizacin, y en el tiempo que sta incurra en

recuperarse del mismo.

Hoy en da, el crecimiento tecnolgico asociado asistemas computarizados, redes y aplicaciones,

trae consigo mayor dicultad en las actividades

de monitoreo y respuestas a posibles incidentes

de seguridad. En este sentido, las organizacionesdeben estar preparadas para detectar y responder

a intentos de acceso no autorizado o actividadesilegales contra los activos de inormacin. La

prdida de productividad y exposicin o laalteracin de inormacin crtica pueden repercutir

en poner a una organizacin uera del negocio.

Los incidentes de seguridad repercuten en laimagen organizacional y probablemente en los

estados nancieros. A estos costos se suman los

de investigacin orense, que por su

especializacin pueden representar una porcin

importante de la prdida, pero que son necesariospara determinar responsabilidades y medidas de

accin para contrarrestar el riesgo.

Para evitar estas situaciones, las organizacionesdeben emprender actitudes proactivas para

asegurar que sus ambientes estn preparados

para identicar eventos, mitigar su impacto en el

menor tiempo posible y el costo de lainvestigacin.

Como parte de las investigaciones realizadas por

nuestra Firma, un elemento undamental para elproceso de respuestas a incidentes es el anlisis

previo del riesgo tecnolgico. En general, esto

reere a la denicin de un esquema destinado a

la identicacin y minimizacin de aquellasvulnerabilidades que aquejan a la organizacin.


4/15





La Figura N1 muestra las principales causas deincidentes de SI reportadas por la empresas

venezolanas, muchos de los cuales pueden ser

prevenidos bajo esquemas de Anlisis de Riesgo

Tecnolgico.

Una vez identicadas las causas de estosincidentes, es necesario comentar las

consecuencias experimentadas con el n de

establecer bases para el Proceso de Respuesta

a Incidentes. La Figura N2 muestra taleselementos, haciendo un comparativo entre los

aos 2008 y 2009.

Para visualizar la Figura No. 1haga click en el icono.

Para visualizar la Figura No. 2haga click en el icono.

Introduccin (continuacin)

Las principales consecuencias que presentaronlas empresas encuestadas producto de la

ocurrencia de incidentes de SI ueron las

siguientes: Paralizacin parcial o total de las

operaciones, Incumplimiento en la entrega dereportes, Dao en la imagen y reputacin de la

organizacin.

Pero ninguna organizacin puede considerarseinmune a la ocurrencia de eventos. Esta

armacin introduce a la siguiente etapa en el

ciclo de vida de la SI: La respuesta a incidentes.

Figura N 1:Principales causas de la ocurrencia de los incidentes de SI

ao 2009Fuente: Encuesta Seguridad de la Inormacin 2009.

PricewaterhouseCoopers Venezuela

Figura N 2:Principales consecuencias de la ocurrencia de los

incidentes de SI ao 2008 vs. 2009.Fuente: Encuesta Seguridad de la Inormacin 2009.



5/15


6/15





Clasicacin del incidente

Durante el proceso de clasicacin, le esasignado un nivel de severidad con la nalidad de

controlar los recursos y el tiempo para arontarlo.

Para proveer un marco consistente en categorizarla severidad de los incidentes, la organizacin

debe desarrollar una escala de calicacin, comose muestra a continuacin:

NiveldeSeveridad1:Crisis

NiveldeSeveridad2:Incidenteserio

NiveldeSeveridad3:Incidente

NiveldeSeveridad4:Evento

En esta escala, el nivel superior (Crisis), es el

ms severo e indica que la organizacin est

corriendo peligro. Por ejemplo, una situacin bajo

esta categora sera un acceso no autorizado oborrado de la inormacin almacenada en un

servidor crtico.

Durante una crisis, todo el tiempo y los recursosdeben ser destinados a remediar el problema.

El segundo nivel (Incidente serio), implica que el

dao est ocurriendo a la organizacin, por lo quese requiere atencin inmediata para prevenir que

el incidente escale a un nivel de crisis. Porejemplo, ha sido expuesta inormacin de cuentas

de usuario que puede ser utilizada para realizar unacceso no autorizado.

El tercer nivel (Incidente), es algo que debe ser

resuelto, pero su nivel de urgencia es bajo. Porejemplo, un IDS ha identicado un scan de la red

interna de la organizacin. En este caso, la

organizacin experimenta poco o ningn dao,

pero el incidente es un indicador claro que alguien

o algo est intentando identicar sistemas oencontrar vulnerabilidades que explotar.

El cuarto nivel (Evento), es similar a un

incidente, el cual debe ser resuelto, pero el grado

de urgencia es menor. Por ejemplo, que una

cuenta ha sido bloqueada despus de mltiplesintentos allidos de acceso, esto podra signicar

que una persona no autorizada est intentando

adivinar las credenciales de usuarios para ganaracceso al sistema.

La clasicacin, debe determinar de manera

precisa cules son las acciones que debern

iniciarse y los niveles de noticacin del incidente,temas que abordamos a continuacin.


7/15





Noticacin del incidente

Cuando un incidente ha sido identicado, el nivelde severidad determinar las personas

apropiadas que deben ser noticadas de la

ocurrencia de dicho incidente, con el n de que

realicen las acciones adecuadas de acuerdo consus roles y responsabilidades.

Respuesta al incidente y contencin

El diseo de patrones de respuesta para cadanivel de incidente, contribuye a realizar una

evaluacin precisa del mismo, y permite coordinar

las actividades de respuesta e investigacin. La

ase de respuesta puede ocurrir en paralelo conlas etapas clasicacin y noticacin. Las tres

reas primarias en esta ase son: evaluacin,investigacin y soporte.

Evaluacin.Comienzaenelinstanteenqueel

incidente es identicado e implica la recoleccin

de todos los datos relevantes sobre el incidente,

por parte de los miembros del equipo derespuesta y la determinacin del impacto en las

operaciones de la organizacin.

Los miembros relevantes del equipo derespuesta a incidentes deben planicar las

acciones de restauracin y cumplir con los

requerimientos mnimos que se mencionan a

continuacin:

- Conexiones y retencin de evidencia:Identicar todas las conexiones activas desde

y hacia el activo comprometido, y determinarla inormacin que puede ser de inters para

la investigacin. En este punto es importante

establecer un balance entre la continuidad de

las operaciones y los mtodos y uentes deinormacin existentes, ya que en muchas

ocasiones, un mtodo riguroso de retencin

de evidencia aectara algn proceso.


8/15





- Registro: Registrar cualquier actividad

observada, si la actividad del incidente seencuentra en progreso.

- Plan de recuperacin de desastres:

Determinar la necesidad de la activacin delos planes de recuperacin de desastres o

plan de continuidad del negocio.

- Reemplazo: Determinar los recursosdisponibles para reemplazar los activos

aectados.

Investigacin.Lainvestigacindeterminalacausa y alcance del incidente. Identicar la

causa contribuye a revelar las vulnerabilidades

tcnicas que permitieron el evento. Esta

actividad ayuda a identicar todas las mquinas

e inormacin comprometida, modicada o

eliminada, y cualquier inormacin o cdigomalicioso almacenado durante el incidente que

sea utilizada para comprometer el resto de los

componentes de red.

El equipo debe identicar cules componentes

ueron comprometidos, cuentas y contraseas

pueden estar expuestas y todas las mquinas

que comparten el mismo segmento de red. Loscustodios de la inormacin asisten al equipo de

respuesta a incidentes, identicando y

adquiriendo evidencia sobre la naturaleza y

causa del incidente, mientras los miembros delequipo de respuesta a incidentes documentan y

mantienen inormado al l der de su equipo sobre

todos los pasos de la investigacin.

De considerarse apropiado, el lder del equipo

de respuesta a incidentes, recolectar ydocumentar todos los registros necesarios

para transerir la investigacin a las autoridades

legales que corresponda.

Soporte.Eltiempoesuncomponentecrucial

durante un evento de respuesta a incidentes. Si

el equipo de investigacin no puede tener

acceso inmediato a los sistemas y redesaectadas, este retraso podra incrementar el

alcance y la severidad del incidente. Una

organizacin debe poseer un equipo de soporte

tcnico que pueda proveer acceso a losrecursos para sostener el esuerzo de respuesta

a incidentes.

Respuesta al incidente y contencin

(continuacin)


9/15





Recuperacin del incidente

El proceso de recuperacin debe ocurrir uera de

lnea, siempre y cuando sea posible. Si la mquinaes esencial para las operaciones, la organizacin

debe considerar un reemplazo temporal, mientras

el equipo es reconstruido y asegurado. Si es

necesario reconstruir varias mquinas, todasdeben ser llevadas a un estado uera de lnea

simultneamente y luego ser reconectadas una

vez aseguradas. Los miembros del equipo de

recuperacin de incidentes deben proveerinstrucciones durante esta etapa, pero los

custodios de la inormacin deben realizar

eectivamente la reconstruccin y aseguramiento

de los sistemas.

Luego de haberse completado todas las

evaluaciones y acciones investigativas, el lder delequipo de respuesta a incidentes debe proveer

instrucciones a los custodios de inormacin

responsables de la recuperacin. Estos, a su vez,

deben inormarle sobre las acciones derecuperacin que se llevan a cabo para labores de

seguimiento.

El objetivo primordial de la etapa de recuperacin

es devolver los procesos de la organizacin a unestado seguro y operacional, de la manera ms

eciente posible. La ase de recuperacin le

permite a los usuarios evaluar el dao ocurrido, la

inormacin que se ha perdido y cul es el estatusdel sistema posterior al ataque.

Todas las mquinas comprometidas requieren ser

recuperadas. La recuperacin depender del nivelde aectacin. En caso de cuentas compartidas y

contraseas capturadas, que no ueron utilizadas

para comprometer otros sistemas, un simple

cambio de contraseas podra ser toda larecuperacin adecuada. Algunos incidentes

pueden requerir la reconstruccin del sistema a

partir de respaldos previos e instalacin original

de las aplicaciones.


10/15


11/15





Cunto le cuesta al negocio paralizar total o

parcialmente sus operaciones?, Cunto cuestanlos incumplimientos internos/externos?, Podran

sacar ventaja de ellos nuestros competidores?,

Cuntos negocios o clientes potenciales

pudieron verse visto aectados?.

Todas estas son preguntas que debemos

hacernos a la hora de disear nuestro Proceso de

Respuestas a Incidentes, asegurando siempre suinterrelacin con otros procesos de anlisis

continuo de la organizacin tales como: Acuerdos

de niveles de servicio (SLAs), Acuerdos de niveles

operativos (OLAs), Planes de continuidad deNegocio (BCP), evaluaciones independientes de

seguridad, evaluaciones propias de controles

(CSA), entre otras.

Un plan de respuesta a incidentes debe ser

correspondiente a los objetivos del negocio,criticidad de las operaciones y a los recursos

existentes dentro de la organizacin, pero

undamentalmente soportado sobre un equipo

humano comprometido y calicado.

Consideraciones Finales

Como parte del desarrollo comercial y el

crecimiento organizacional, las empresas se venobligadas hoy en da en adoptar mejores prcticas

y desarrollar iniciativas internas que deriven en la

mejora de sus operaciones.

Las estadsticas y el anlisis juicioso de los

expertos de SI han logrado demostrar la

importancia de mantener programas de

actualizacin y mejoramiento continuo en materiade Tecnologa de Inormacin debido al avance

acelerado a donde la misma nos conduce, y que

generalmente incorpora brechas de seguridad que

son capitalizadas por los atacantes y acionadosprimero que los mismos proveedores.


12/15





2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida

que el contexto lo exija PricewaterhouseCoopers puede reerirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una

de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y

Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio proesional nitampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni

podr ejercer control sobre el juicio proesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL.

R.I.F.: J-00029977-3

El Boletn Asesora Gerencial es publicado por la

Lnea de Servicios de Asesora Gerencial (Advisory)

de Espieira, Sheldon y Asociados, Firma miembro

de PricewaterhouseCoopers.

El presente boletn es de carcter inormativo y no

expresa opinin de la Firma. Si bien se han tomadotodas las precauciones del caso en la preparacin

Si desea suscribirse haga click en la barra

El Boletn Asesora Gerencial es publicado por la

Lnea de Servicios de Asesora Gerencial (Advisory)

de Espieira, Sheldon y Asociados, Firma miembro

de PricewaterhouseCoopers.

El presente boletn es de carcter inormativo y no

expresa opinin de la Firma. Si bien se han tomado

todas las precauciones del caso en la preparacin

de este material, Espieira, Sheldon y Asociados no

asume ninguna responsabilidad por errores uomisiones; tampoco asume ninguna responsabilidad

por daos y perjuicios resultantes del uso de la

inormacin contenida en el presente documento.

Las marcas mencionadas son propiedad de sus

respectivos dueos. PricewaterhouseCoopers niega

cualquier derecho sobre estas marcas

Editado por Espieira, Sheldon y Asociados

Depsito Legal pp 1999-03CS141

Telono master: (58-212) 700 6666
mailto:[email protected]:[email protected]


13/15


Figura N 1:

Principales causas de la ocurrencia de los incidentes de SI ao 2009

Aumentar ImprimirRegresaral boletn

Fuente:

Encuesta Seguridad de la Informacin 2009. PricewaterhouseCoopers Venezuela

18%

16%

15% 15%

13%

11%

7%

4%

0

5

10

15

20

OtroIngenierasocial

Configuracionespor defecto

Vulnerabilidadesen aplicaciones

o procesos

Vulnerabilidadesen el software

/ hardware

Falla odeficiencia

en el proceso deactualizacin

del SW/HW

Uso abusivode los recursos

/ privilegios

Configuracionesde seguridad

inadecuadas


14/15


Figura N 2:

Principales consecuencias de la ocurrencia de los incidentes de SI

ao 2008 vs. 2009.Aumentar Imprimir

Regresaral boletn

Fuente:

Encuesta Seguridad de la Informacin 2009.


25%

27%

14%

22%

12%

18%

27%

11%12%

10%

4%

1%

6%

10%

0

5

10

15

20

25

30

OtrosPrdida

de clientes

Prdida de

oportunidades

de negocio

No tuvo

impacto

Dao en

la imagen y

reputacin de la

Organizacin

Incumplimiento

en la entrega

de reportes

Paralizacin

total o parcial

de las

operaciones

2008

2009


15/15


Figura N 4:

Diagrama de fujo de acciones a seguir por el equipo de

respuesta a incidentes.Aumentar Imprimir

Regresaral boletn

Fuente:

Technology Forecast

PricewaterhouseCoopers

IdentificacinEl evento es

identificado ydocumentado

ClasificacinEl evento es

clasificado, se leasigna severidady se documenta

El evento esdescubierto y

reportado

Determinar eltipo de incidente

NotificacinSe le notifica

a las personasapropiadas

SoporteProvee asistencia

logstica yrecursos tcnicos

RecuperacinDevolver los

sistemas a suestado original

Post Mortem

Revisar proceso

Cerrarincidente

Severidad

Respuesta

Si

No

No

Si

Determinado como actividad autorizada

DeterminacinDetermina elevento y su

impacto sobreel negocio

Determinarcambios en la

severidad

Investigacin

Determina lacausa y extensin

del evento

Determinarsi hay impacto

regulatorio

ConformidadCumplimiento

de losrequerimientos

regulatorios(Notificaciones,

etc.)

Documents

Monitoreo y respuesta a incidentes de seguridad de la información | PwC Venezuela