Espiñeira, Sheldon y Asociados

Boletín de Asesoría Gerencial

Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
No. 9 - 2010 Contenido Cerrar Imprimir anterior siguiente
Boletín Digital // No. 9 - 2010

Contenido
Haga click en los enlaces para navegar
a través del documento

Página Página
Contenido Cerrar Imprimir anterior siguiente

Haga click en los enlaces para llegar directamente a cada sección

4Introducción 4Recuperación del incidente

4Proceso de respuesta a incidentes 4Evaluación y reflexión sobre el incidente
4Identificación del incidente 4Consideraciones Finales
4Clasificación del incidente 4Créditos / Suscribirse
4Notificación del incidente
4Respuesta al incidente y contención
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Introducción
Un incidente de seguridad puede ser descrito
como cualquier evento que pueda comprometer
el ambiente de Seguridad de Información (SI) de
una organización.
Los eventos de seguridad son inevitables; la
diferencia radica en el tiempo requerido para su
detección y en su impacto contra la organización.
Por ejemplo, una organización que cuente con
una estructura formal para la detección de
vulnerabilidades y ataques, está expuesta al
mismo número de eventos que aquella que no lo
tenga. La diferencia va a radicar en la probabilidad
que ese ataque impacte negativamente en la
organización, y en el tiempo que ésta incurra en
recuperarse del mismo.
Hoy en día, el crecimiento tecnológico asociado a
sistemas computarizados, redes y aplicaciones,
trae consigo mayor dificultad en las actividades
de monitoreo y respuestas a posibles incidentes
de seguridad. En este sentido, las organizaciones
deben estar preparadas para detectar y responder
a intentos de acceso no autorizado o actividades
ilegales contra los activos de información. La
pérdida de productividad y exposición o la
alteración de información crítica pueden repercutir
en poner a una organización fuera del negocio.
Los incidentes de seguridad repercuten en la
imagen organizacional y probablemente en los
estados financieros. A estos costos se suman los
de investigación forense, que por su
especialización pueden representar una porción
importante de la pérdida, pero que son necesarios
para determinar responsabilidades y medidas de
acción para contrarrestar el riesgo.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Para evitar estas situaciones, las organizaciones
deben emprender actitudes proactivas para
asegurar que sus ambientes estén preparados
para identificar eventos, mitigar su impacto en el
menor tiempo posible y el costo de la
investigación.
Como parte de las investigaciones realizadas por
nuestra Firma, un elemento fundamental para el
proceso de respuestas a incidentes es el análisis
previo del riesgo tecnológico. En general, esto
refiere a la definición de un esquema destinado a
la identificación y minimización de aquellas
vulnerabilidades que aquejan a la organización.
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Introducción (continuación)
La Figura N°1 muestra las principales causas de
incidentes de SI reportadas por la empresas
venezolanas, muchos de los cuales pueden ser
prevenidos bajo esquemas de Análisis de Riesgo
Tecnológico.
Para visualizar la Figura No. 1
haga click en el icono.
Figura Nº 1:
Principales causas de la ocurrencia de los incidentes de SI
año 2009
Fuente: Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela
Una vez identificadas las causas de estos
incidentes, es necesario comentar las
consecuencias experimentadas con el fin de
establecer bases para el Proceso de Respuesta
a Incidentes. La Figura N°2 muestra tales
elementos, haciendo un comparativo entre los
años 2008 y 2009.
Para visualizar la Figura No. 2
haga click en el icono.
Figura Nº 2:
Principales consecuencias de la ocurrencia de los
incidentes de SI año 2008 vs. 2009.
Fuente: Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela
Página Página
Contenido Cerrar Imprimir anterior siguiente
Las principales consecuencias que presentaron
las empresas encuestadas producto de la
ocurrencia de incidentes de SI fueron las
siguientes: Paralización parcial o total de las
operaciones, Incumplimiento en la entrega de
reportes, Daño en la imagen y reputación de la
organización.
Pero ninguna organización puede considerarse
inmune a la ocurrencia de eventos. Esta
afirmación introduce a la siguiente etapa en el
ciclo de vida de la SI: La respuesta a incidentes.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial

Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Proceso de respuesta a incidentes Identificación del incidente

Las respuestas a incidentes comprenden un Para un mayor entendimiento de cómo se La organización debe determinar si el incidente es
grupo de etapas que deben ejecutarse cuando un interrelacionan cada una de las etapas del un evento de riesgo o una falsa alarma, esto es
evento de seguridad ocurre. Un proceso de proceso de respuesta a incidentes, la Figura Nº 4 particularmente importante en el caso de ataques.
respuesta a incidentes ayuda a manejar correcta y muestra el flujo de acciones que ejecutaría el En caso afirmativo, debe identificar el tipo
eficientemente un evento. Asimismo, el diseño de equipo de respuesta definido. específico de evento. Algunos tipos comunes de
un proceso para el monitoreo y respuesta a incidentes incluyen:
incidentes también apoya en la identificación
necesidades de recursos y asignación de roles y • Ataques a Website
responsabilidades. La Figura Nº 3 ilustra el • Ataques de denegación de servicio
proceso recomendado para monitorear y • Barrido de puertos (Scan)
responder a incidentes de manera efectiva. • Sniffing
Para visualizar la Figura No. 4
haga click en el icono. • Ingeniería social
• Acceso no autorizado
Para ampliar: haga click sobre la imagen • Infección de virus
• Fallas de hardware

Identificación Clasificación Notificación Respuesta Recuperación Post-Mortem Categorizar el incidente por tipo contribuye a
Figura Nº 4:
hacer seguimiento y entender el riesgo al que se
Figura Nº 3: Diagrama de flujo de acciones a seguir por el equipo de
Proceso de respuesta a incidentes respuesta a incidentes. encuentra sometida la organización.
Fuente: Technology Forecast PricewaterhouseCoopers qRetorno
Fuente: Technology Forecast PricewaterhouseCoopers
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Clasificación del incidente
Durante el proceso de clasificación, le es
asignado un nivel de severidad con la finalidad de
controlar los recursos y el tiempo para afrontarlo.
Para proveer un marco consistente en categorizar
la severidad de los incidentes, la organización
debe desarrollar una escala de calificación, como
se muestra a continuación:
• Nivel de Severidad 1: Crisis
• Nivel de Severidad 2: Incidente serio
• Nivel de Severidad 3: Incidente
• Nivel de Severidad 4: Evento
En esta escala, el nivel superior (“Crisis”), es el
más severo e indica que la organización está
corriendo peligro. Por ejemplo, una situación bajo
esta categoría sería un acceso no autorizado o
borrado de la información almacenada en un
servidor crítico.
Durante una crisis, todo el tiempo y los recursos
deben ser destinados a remediar el problema.
El segundo nivel (“Incidente serio”), implica que el
daño está ocurriendo a la organización, por lo que
se requiere atención inmediata para prevenir que
el incidente escale a un nivel de crisis. Por
ejemplo, ha sido expuesta información de cuentas
de usuario que puede ser utilizada para realizar un
acceso no autorizado.
El tercer nivel (“Incidente”), es algo que debe ser
resuelto, pero su nivel de urgencia es bajo. Por
ejemplo, un IDS ha identificado un scan de la red
interna de la organización. En este caso, la
organización experimenta poco o ningún daño,
pero el incidente es un indicador claro que alguien
o algo está intentando identificar sistemas o
encontrar vulnerabilidades que explotar.
Página Página
Contenido Cerrar Imprimir anterior siguiente
El cuarto nivel (“Evento”), es similar a un
incidente, el cual debe ser resuelto, pero el grado
de urgencia es menor. Por ejemplo, que una
cuenta ha sido bloqueada después de múltiples
intentos fallidos de acceso, esto podría significar
que una persona no autorizada está intentando
adivinar las credenciales de usuarios para ganar
acceso al sistema.
La clasificación, debe determinar de manera
precisa cuáles son las acciones que deberán
iniciarse y los niveles de notificación del incidente,
temas que abordamos a continuación.
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Notificación del incidente
Cuando un incidente ha sido identificado, el nivel
de severidad determinará las personas
apropiadas que deben ser notificadas de la
ocurrencia de dicho incidente, con el fin de que
realicen las acciones adecuadas de acuerdo con
sus roles y responsabilidades.
Respuesta al incidente y contención
El diseño de patrones de respuesta para cada
nivel de incidente, contribuye a realizar una
evaluación precisa del mismo, y permite coordinar
las actividades de respuesta e investigación. La
fase de respuesta puede ocurrir en paralelo con
las etapas clasificación y notificación. Las tres
áreas primarias en esta fase son: evaluación,
investigación y soporte.
• Evaluación. Comienza en el instante en que el
incidente es identificado e implica la recolección
de todos los datos relevantes sobre el incidente,
por parte de los miembros del equipo de
respuesta y la determinación del impacto en las
operaciones de la organización.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Los miembros relevantes del equipo de
respuesta a incidentes deben planificar las
acciones de restauración y cumplir con los
requerimientos mínimos que se mencionan a
continuación:
- Conexiones y retención de evidencia:
Identificar todas las conexiones activas desde
y hacia el activo comprometido, y determinar
la información que puede ser de interés para
la investigación. En este punto es importante
establecer un balance entre la continuidad de
las operaciones y los métodos y fuentes de
información existentes, ya que en muchas
ocasiones, un método riguroso de retención
de evidencia afectaría algún proceso.
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Respuesta al incidente y contención
(continuación)
- Registro: Registrar cualquier actividad
observada, si la actividad del incidente se
encuentra en progreso.
- Plan de recuperación de desastres:
Determinar la necesidad de la activación de
los planes de recuperación de desastres o
plan de continuidad del negocio.
- Reemplazo: Determinar los recursos
disponibles para reemplazar los activos
afectados.
• Investigación. La investigación determina la
causa y alcance del incidente. Identificar la
causa contribuye a revelar las vulnerabilidades
técnicas que permitieron el evento. Esta
actividad ayuda a identificar todas las máquinas
e información comprometida, modificada o
eliminada, y cualquier información o código
malicioso almacenado durante el incidente que
sea utilizada para comprometer el resto de los
componentes de red.
El equipo debe identificar cuáles componentes
fueron comprometidos, cuentas y contraseñas
pueden estar expuestas y todas las máquinas
que comparten el mismo segmento de red. Los
custodios de la información asisten al equipo de
respuesta a incidentes, identificando y
adquiriendo evidencia sobre la naturaleza y
causa del incidente, mientras los miembros del
equipo de respuesta a incidentes documentan y
mantienen informado al líder de su equipo sobre
todos los pasos de la investigación.
Página Página
Contenido Cerrar Imprimir anterior siguiente
De considerarse apropiado, el líder del equipo
de respuesta a incidentes, recolectará y
documentará todos los registros necesarios
para transferir la investigación a las autoridades
legales que corresponda.
• Soporte. El tiempo es un componente crucial
durante un evento de respuesta a incidentes. Si
el equipo de investigación no puede tener
acceso inmediato a los sistemas y redes
afectadas, este retraso podría incrementar el
alcance y la severidad del incidente. Una
organización debe poseer un equipo de soporte
técnico que pueda proveer acceso a los
recursos para sostener el esfuerzo de respuesta
a incidentes.
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Recuperación del incidente
El objetivo primordial de la etapa de recuperación
es devolver los procesos de la organización a un
estado seguro y operacional, de la manera más
eficiente posible. La fase de recuperación le
permite a los usuarios evaluar el daño ocurrido, la
información que se ha perdido y cuál es el estatus
del sistema posterior al ataque.
Todas las máquinas comprometidas requieren ser
recuperadas. La recuperación dependerá del nivel
de afectación. En caso de cuentas compartidas y
contraseñas capturadas, que no fueron utilizadas
para comprometer otros sistemas, un simple
cambio de contraseñas podría ser toda la
recuperación adecuada. Algunos incidentes
pueden requerir la reconstrucción del sistema a
partir de respaldos previos e instalación original
de las aplicaciones.
Página Página
Contenido Cerrar Imprimir anterior siguiente
El proceso de recuperación debe ocurrir fuera de Luego de haberse completado todas las
línea, siempre y cuando sea posible. Si la máquina evaluaciones y acciones investigativas, el líder del
es esencial para las operaciones, la organización equipo de respuesta a incidentes debe proveer
debe considerar un reemplazo temporal, mientras instrucciones a los custodios de información
el equipo es reconstruido y asegurado. Si es responsables de la recuperación. Estos, a su vez,
necesario reconstruir varias máquinas, todas deben informarle sobre las acciones de
deben ser llevadas a un estado fuera de línea recuperación que se llevan a cabo para labores de
simultáneamente y luego ser reconectadas una seguimiento.
vez aseguradas. Los miembros del equipo de
recuperación de incidentes deben proveer
instrucciones durante esta etapa, pero los
custodios de la información deben realizar
efectivamente la reconstrucción y aseguramiento
de los sistemas.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial

Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Evaluación y reflexión sobre el

incidente
Una actividad “post-mortem” es una reunión que
Queda como responsabilidad del líder del equipo
se lleva a cabo una vez que se haya resuelto el
de respuesta a incidentes:
incidente. El propósito de la reunión es discutir las
lecciones aprendidas y las mejoras que pueden
• Programar y liderar la reunión post-mortem
ser implementadas para resolver de la mejor
• Documentar las lecciones aprendidas
forma posible un evento similar en el futuro. Esta
• Hacer seguimiento
debe llevarse a cabo dentro de las dos semanas
• Desarrollar el reporte final, el cual debe incluir
siguientes a la resolución de cada incidente de
las acciones tomadas
seguridad o ataque simulado.
La sesión “post-mortem” debe enfocarse en los
aciertos y fallas durante el proceso de respuesta
al incidente e incluir a todos los participantes que
trabajaron en la resolución del incidente.
Boletín Digital // No. 9 - 2010
Boletín de Asesoría Gerencial
Monitoreo y respuesta a incidentes de seguridad de la información
Consideraciones Finales
Como parte del desarrollo comercial y el
crecimiento organizacional, las empresas se ven
obligadas hoy en día en adoptar mejores prácticas
y desarrollar iniciativas internas que deriven en la
mejora de sus operaciones.
Las estadísticas y el análisis juicioso de los
expertos de SI han logrado demostrar la
importancia de mantener programas de
actualización y mejoramiento continuo en materia
de Tecnología de Información debido al avance
acelerado a donde la misma nos conduce, y que
generalmente incorpora brechas de seguridad que
son capitalizadas por los atacantes y aficionados
primero que los mismos proveedores.
Página Página
Contenido Cerrar Imprimir anterior siguiente
¿Cuánto le cuesta al negocio paralizar total o Un plan de respuesta a incidentes debe ser
parcialmente sus operaciones?, ¿Cuánto cuestan correspondiente a los objetivos del negocio,
los incumplimientos internos/externos?, ¿Podrían criticidad de las operaciones y a los recursos
sacar ventaja de ellos nuestros competidores?, existentes dentro de la organización, pero
¿Cuántos negocios o clientes potenciales fundamentalmente soportado sobre un equipo
pudieron verse visto afectados?. humano comprometido y calificado.
Todas estas son preguntas que debemos
hacernos a la hora de diseñar nuestro Proceso de
Respuestas a Incidentes, asegurando siempre su
interrelación con otros procesos de análisis
continuo de la organización tales como: Acuerdos
de niveles de servicio (SLA’s), Acuerdos de niveles
operativos (OLA’s), Planes de continuidad de
Negocio (BCP), evaluaciones independientes de
seguridad, evaluaciones propias de controles
(CSA), entre otras.
Boletín Digital // No. 9 - 2010

Boletín de Asesoría Gerencial

Monitoreo y respuesta a incidentes de seguridad de la información

Página Página
Contenido Cerrar Imprimir anterior siguiente

Si desea suscribirse haga click en la barra

El Boletín Asesoría Gerencial es publicado por la

Línea de Servicios de Asesoría Gerencial (Advisory)
de Espiñeira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers. El Boletín Asesoría Gerencial es publicado por la
Línea de Servicios de Asesoría Gerencial (Advisory)
El presente boletín es de carácter informativo y no de Espiñeira, Sheldon y Asociados, Firma miembro
expresa opinión de la Firma. Si bien se han tomado de PricewaterhouseCoopers.
todas las precauciones del caso en la preparación
de este material, Espiñeira, Sheldon y Asociados no El presente boletín es de carácter informativo y no
asume ninguna responsabilidad por errores u expresa opinión de la Firma. Si bien se han tomado
omisiones; tampoco asume ninguna responsabilidad todas las precauciones del caso en la preparación
por daños y perjuicios resultantes del uso de la
información contenida en el presente documento.
Las marcas mencionadas son propiedad de sus
respectivos dueños. PricewaterhouseCoopers niega
cualquier derecho sobre estas marcas

Editado por Espiñeira, Sheldon y Asociados
Depósito Legal pp 1999-03CS141
Teléfono master: (58-212) 700 6666
© 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida
que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y
Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni
tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni
podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL.
R.I.F.: J-00029977-3
Boletín Digital // No. 9 - 2010

Figura Nº 1:
Principales causas de la ocurrencia de los incidentes de SI año 2009
Regresar
al boletín Aumentar Imprimir

20 18%

16%
15% 15%
15
13%

11%

10

7%

5 4%

0
Configuraciones Uso abusivo Falla o Vulnerabilidades Vulnerabilidades Configuraciones Ingeniería Otro
de seguridad de los recursos deficiencia en el software en aplicaciones por defecto social
inadecuadas / privilegios en el proceso de / hardware o procesos
actualización
del SW/HW

Fuente:
Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010

Figura Nº 2:
Principales consecuencias de la ocurrencia de los incidentes de SI
año 2008 vs. 2009. Regresar
al boletín Aumentar Imprimir

30
27% 27%
25%
2008 25
22%

20 18%
2009

14%
15
12% 12%
11%
10% 10%
10

6%
4%
5

1%

0
Paralización Incumplimiento Daño en No tuvo Pérdida de Pérdida Otros
total o parcial en la entrega la imagen y impacto oportunidades de clientes
de las de reportes reputación de la de negocio
operaciones Organización
Fuente:
Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010

Figura Nº 4:
Diagrama de flujo de acciones a seguir por el equipo de
respuesta a incidentes. Regresar
al boletín Aumentar Imprimir

Respuesta

Determinación
El evento es Determina el
descubierto y evento y su
reportado impacto sobre
el negocio
Soporte
Provee asistencia
logística y
recursos técnicos
Identificación Investigación
El evento es Determina la
identificado y causa y extensión
documentado del evento

Clasificación
El evento es Determinar
Si
clasificado, se le cambios en la
asigna severidad severidad
y se documenta

No

Conformidad
Cumplimiento
Determinar Si de los
si hay impacto requerimientos
regulatorio regulatorios
(Notificaciones,
etc.)

No

Notificación Recuperación
Severidad Se le notifica
Determinar el Devolver los
tipo de incidente a las personas sistemas a su
apropiadas estado original

Cerrar
incidente
Determinado como actividad autorizada

Fuente: Post Mortem

Revisar proceso
Technology Forecast
PricewaterhouseCoopers