GestinyRespuestade

incidentes
Planderespuestaaincidentes

ndice

Introduccin..................................................................................................................................................................................................3
Quesunplanderespuestaaincidentes?.............................................................................................................................................3
Elementosdeunplanderespuestaaincidentes..........................................................................................................................................3
Fasedepreparacin..................................................................................................................................................................................3
Fasedeidentificacin................................................................................................................................................................................4
Fasedecontencin....................................................................................................................................................................................4
Fasedeerradicacin..................................................................................................................................................................................4
Fasederecuperacin.................................................................................................................................................................................4
Fasedeleccionesaprendidas....................................................................................................................................................................5

GestinyRespuestadeincidentesPlanderespuestaaincidentes

Introduccin

Parallevaracabounagestineficazdeincidentesesnecesarioconsiderarciertosaspectos.Enprimerainstancia,hayquetener
encuentaeldesarrollodeunplanderespuestaaincidentesparaatacarunsucesoadversodelamejorformaposible.Apartirde
esto,serfactibledesarrollarunplanderecuperacinquepermitadefinirlasactividadesyresponsabilidades,afindequela
organizacinnormalicesuestadoyregularicesuoperatividad.

Quesunplanderespuestaaincidentes?

Elplanderespuestaaincidentesesuncomponentedelagestindeincidentes.Enesteplan,sedetallantodaslasaccionesjunto
atodalainformacinrequerida,comoelpersonalylasactividades,parapoderrealizarlasencasodequeocurraunevento
adverso.
Alolargodeestemdulo,seespecificarnlosdistintoselementosnecesariosparapoderdesarrollarunplanderespuestasa
incidentesbasndoseenunmodeloespecfico.

Elementosdeunplanderespuestaaincidentes

Desarrollarunplanderespuestaaincidentespermiteadquiriruncomponenteactivoenloquerespectaalagestinde
incidentes.Existendiferenteselementosquepermitenarmarunplanderespuestaquecontempletodoslosaspectosnecesarios.
Unodelosmodelosmscomunes(Schultz,BrownyLongstaff)constadeseisfases:

Preparacin

Identificacin

Contencin

Erradicacin

Recuperacin

Leccionesaprendidas

Acontinuacinsedetallarnlosobjetivosdecadaunadelasetapasjuntoalasresponsabilidadesyelalcanceenlasmismas.

Fasedepreparacin

Estafaseconsisteenlapreparacinporpartedelaorganizacinparadesarrollarunplanadecuadoantesdelaocurrenciade
algnincidente.Enestesentido,existenalgunasactividadesquedebensercontempladas.Enprimerainstanciasedeben
establecerenfoques,polticas,planesdecomunicacinyadvertenciasenlosdiferentessistemasdeinformacin,conlafinalidad
dedisuadirintrusosypermitirlarecopilacindeinformacin.Laestandarizacindecanalesdecomunicacinpermitedefinircon
claridadlosmensajesaumentandolaeficienciaydisminuyendolosposibleserroresomalentendidos.Esimportanteladefinicin
decriteriosparapoderreportarunincidentealasautoridadescompetentes.Estodebeestablecersepreviamente,yaque
permiteestandarizarydefinirespecficamentelaocurrenciadeuneventoadverso.Adems,esnecesariodefinirunprocesopara
activaralequipodegestindeincidentes.Aligualqueloscriterios,losprocedimientospermitenestandarizarlaformade
operacinencasodeuneventoadverso.
Finalmente,sedebecontarconunaubicacinseguraparapoderllevaracaboelprocesoderecuperacin,comotambinsucede
alahoradeasegurarladisponibilidaddelosrecursosnecesariosparalaejecucindeestatarea.Enmuchoscasos,comofrentea
undesastrenatural,esindispensabledisponerderecursosenunpuntogeogrficodiferenteparapoderresponderalincidente.

GestinyRespuestadeincidentesPlanderespuestaaincidentes

Fasedeidentificacin

Esmuyimportantefijarcomopropsitolaidentificacindelaocurrenciadeunincidenteydeterminarlosdetallesdeeste.Esta
etapapermiteelreconocimientodeunsucesoadversoparaluegotomarlasaccionesnecesarias.
Lasactividadesquecomprendenestafaseson:

Asignarlapropiedaddeunincidenteposibleoinclusorealaunadministradordeincidentes.

Verificarreportesycerciorarquerealmentesetratadeunincidente.

Asignarunacadenadecustodiasobrelaspotencialesevidencias.

Determinaryescalarlagravedaddelincidente.

Fasedecontencin

Unavezquesehaidentificadoyconfirmadoelincidente,sedebecompartirtodalainformacinconeladministradorde
incidentes.Elequipoespecializadodebellevaracabounaevaluacincompletadelasituacin.Adems,sedebecontactaralos
encargadosdelossistemasquesevieronafectadosporelincidente,conelfindecoordinarlasaccionesquesellevarnacabo.
Estafasetienecomopropsitolalimitacindelaexposicinquepuedesufrirlaorganizacincomoresultadodelincidente.
Algunasdelasactividadesqueseejecutanesestaetapason:

Activarelequipodegestinyrespuestadeincidentesafindecontenerelincidenteocurrido.

Notificaralaspartesquehayansidoafectadasporelincidente.

InvolucraralsectordeITparaimplementarmtodosymedidasdecontencin.

Obtenerymantenerlaevidencia.

Documentarygenerarrespaldosdelasaccionestomadas.

Fasedeerradicacin

Elobjetivodeestafaseeseliminarlacausadelincidente.Laerradicacinsepuedellevaracabodevariasformas:el
restablecimientodelsistemaaunestadoseguroenelpasado,laeliminacindelacausaraz,elanlisisdelavulnerabilidadpara
evitarfuturosincidentesquepuedanocurrirdelamismacausaraz,entreotrasalternativas.
Lasactividadesdeestafaseincluyen:

Determinarlascausasdelincidente.

Estimarlaversinmsrecientedelosrespaldosconlosquesecuenta.

Eliminarlacausaraz.

Realizarunanlisisparadetectarnuevasvulnerabilidadesquepuedanhabersurgidoapartirdelincidente.

Fasederecuperacin

Estafaseeslaquegarantizaquelossistemasoserviciosafectadosserestablezcanadecuadamenteyquedentotalmente
funcionales.Estaetapa,posiblemente,eslaquemsimpactaenlaorganizacin,yaqueeslaquelepermitevolverala
operatorianormal.
Algunasdelasactividadesqueserealizanson:

Restablecerlasoperacionesasuestadonormal.

Validarlasaccionesquefuerontomadas.

Informaralaspersonasqueoperanlossistemasafectadosdelrestablecimientodelaoperatorianormal.Asimismo,
dichopersonaldebeserincluidoenlaspruebasafindetenerconocimientodelosdetalles.

GestinyRespuestadeincidentesPlanderespuestaaincidentes

Fasedeleccionesaprendidas

Enestaltimafasesedebeelaborarunreporteendondesedocumentetodolosucedido.Estedocumentodebeespecificar
culesfueronlasmedidasquesetomaron,ascomotambinlosresultadosobtenidosluegodehaberaplicadoelplande
respuesta.Posteriormente,todolodocumentadodebeutilizarseparadesarrollarmejorasenlacapacidaddegestinde
incidentes.
Lasactividadesquecomprendenestafaseson:

Redactarunreportedetallandotodoslosaspectosimportantesdelincidente.

Analizarlosproblemasencontradosyproponermejoras.

Presentarelreporteaquienescorresponda.

GestinyRespuestadeincidentesPlanderespuestaaincidentes

Copyright2013porESET,LLCyESET,spol.s.r.o.Todoslosderechosreservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas
registradasdesusrespectivospropietariosynoguardanrelacinconESET,LLCyESET,spol.s.r.o.

ESET,2012

AcercadeESET

Con 25 aos de trayectoria en la industria de la seguridad de la informacin, ESET es una compaa global de soluciones de
software de seguridad, creadora del legendario ESET NOD32 Antivirus y orientada a proveer proteccin de ltima generacin
contra amenazas informticas. Actualmente cuenta con oficinas centrales en Bratislava (Eslovaquia) y de Coordinacin en San
Diego (Estados Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido), Praga
(RepblicaCheca),Cracovia(Polonia),Jena(Alemania)SanPablo(Brasil)yMxicoDF(Mxico).

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de
profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un Laboratorio de
Investigacinfocalizadoeneldescubrimientoproactivodevariadasamenazasinformticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una
navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de
seguridadinformtica,conviertenalascampaaseducativasenelpilardelaidentidadcorporativadeESET,cuyaGiraAntivirusya
haadquiridorenombrepropio.

Paramsinformacin,visitewww.esetla.com