Professional Documents
Culture Documents
Página Página
No. 9 - 2010 Contenido Cerrar Imprimir anterior siguiente
Boletín Digital // No. 9 - 2010
Contenido
Haga click en los enlaces para navegar
a través del documento
Página Página
Contenido Cerrar Imprimir anterior siguiente
Página Página
Contenido Cerrar Imprimir anterior siguiente
Introducción
Un incidente de seguridad puede ser descrito Hoy en día, el crecimiento tecnológico asociado a Para evitar estas situaciones, las organizaciones
como cualquier evento que pueda comprometer sistemas computarizados, redes y aplicaciones, deben emprender actitudes proactivas para
el ambiente de Seguridad de Información (SI) de trae consigo mayor dificultad en las actividades asegurar que sus ambientes estén preparados
una organización. de monitoreo y respuestas a posibles incidentes para identificar eventos, mitigar su impacto en el
de seguridad. En este sentido, las organizaciones menor tiempo posible y el costo de la
Los eventos de seguridad son inevitables; la deben estar preparadas para detectar y responder investigación.
diferencia radica en el tiempo requerido para su a intentos de acceso no autorizado o actividades
detección y en su impacto contra la organización. ilegales contra los activos de información. La Como parte de las investigaciones realizadas por
Por ejemplo, una organización que cuente con pérdida de productividad y exposición o la nuestra Firma, un elemento fundamental para el
una estructura formal para la detección de alteración de información crítica pueden repercutir proceso de respuestas a incidentes es el análisis
vulnerabilidades y ataques, está expuesta al en poner a una organización fuera del negocio. previo del riesgo tecnológico. En general, esto
mismo número de eventos que aquella que no lo refiere a la definición de un esquema destinado a
tenga. La diferencia va a radicar en la probabilidad Los incidentes de seguridad repercuten en la la identificación y minimización de aquellas
que ese ataque impacte negativamente en la imagen organizacional y probablemente en los vulnerabilidades que aquejan a la organización.
organización, y en el tiempo que ésta incurra en estados financieros. A estos costos se suman los
recuperarse del mismo. de investigación forense, que por su
especialización pueden representar una porción
importante de la pérdida, pero que son necesarios
para determinar responsabilidades y medidas de
acción para contrarrestar el riesgo.
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
Introducción (continuación)
La Figura N°1 muestra las principales causas de Una vez identificadas las causas de estos Las principales consecuencias que presentaron
incidentes de SI reportadas por la empresas incidentes, es necesario comentar las las empresas encuestadas producto de la
venezolanas, muchos de los cuales pueden ser consecuencias experimentadas con el fin de ocurrencia de incidentes de SI fueron las
prevenidos bajo esquemas de Análisis de Riesgo establecer bases para el Proceso de Respuesta siguientes: Paralización parcial o total de las
Tecnológico. a Incidentes. La Figura N°2 muestra tales operaciones, Incumplimiento en la entrega de
elementos, haciendo un comparativo entre los reportes, Daño en la imagen y reputación de la
años 2008 y 2009. organización.
Figura Nº 1: Figura Nº 2:
Principales causas de la ocurrencia de los incidentes de SI Principales consecuencias de la ocurrencia de los
año 2009 incidentes de SI año 2008 vs. 2009.
Fuente: Encuesta Seguridad de la Información 2009. Fuente: Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
Identificación Clasificación Notificación Respuesta Recuperación Post-Mortem Categorizar el incidente por tipo contribuye a
Figura Nº 4:
hacer seguimiento y entender el riesgo al que se
Figura Nº 3: Diagrama de flujo de acciones a seguir por el equipo de
Proceso de respuesta a incidentes respuesta a incidentes. encuentra sometida la organización.
Fuente: Technology Forecast PricewaterhouseCoopers qRetorno
Fuente: Technology Forecast PricewaterhouseCoopers
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
Página Página
Contenido Cerrar Imprimir anterior siguiente
Página Página
Contenido Cerrar Imprimir anterior siguiente
- Registro: Registrar cualquier actividad e información comprometida, modificada o De considerarse apropiado, el líder del equipo
observada, si la actividad del incidente se eliminada, y cualquier información o código de respuesta a incidentes, recolectará y
encuentra en progreso. malicioso almacenado durante el incidente que documentará todos los registros necesarios
sea utilizada para comprometer el resto de los para transferir la investigación a las autoridades
- Plan de recuperación de desastres: componentes de red. legales que corresponda.
Determinar la necesidad de la activación de
los planes de recuperación de desastres o El equipo debe identificar cuáles componentes • Soporte. El tiempo es un componente crucial
plan de continuidad del negocio. fueron comprometidos, cuentas y contraseñas durante un evento de respuesta a incidentes. Si
pueden estar expuestas y todas las máquinas el equipo de investigación no puede tener
- Reemplazo: Determinar los recursos que comparten el mismo segmento de red. Los acceso inmediato a los sistemas y redes
disponibles para reemplazar los activos custodios de la información asisten al equipo de afectadas, este retraso podría incrementar el
afectados. respuesta a incidentes, identificando y alcance y la severidad del incidente. Una
adquiriendo evidencia sobre la naturaleza y organización debe poseer un equipo de soporte
• Investigación. La investigación determina la causa del incidente, mientras los miembros del técnico que pueda proveer acceso a los
causa y alcance del incidente. Identificar la equipo de respuesta a incidentes documentan y recursos para sostener el esfuerzo de respuesta
causa contribuye a revelar las vulnerabilidades mantienen informado al líder de su equipo sobre a incidentes.
técnicas que permitieron el evento. Esta todos los pasos de la investigación.
actividad ayuda a identificar todas las máquinas
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
El objetivo primordial de la etapa de recuperación El proceso de recuperación debe ocurrir fuera de Luego de haberse completado todas las
es devolver los procesos de la organización a un línea, siempre y cuando sea posible. Si la máquina evaluaciones y acciones investigativas, el líder del
estado seguro y operacional, de la manera más es esencial para las operaciones, la organización equipo de respuesta a incidentes debe proveer
eficiente posible. La fase de recuperación le debe considerar un reemplazo temporal, mientras instrucciones a los custodios de información
permite a los usuarios evaluar el daño ocurrido, la el equipo es reconstruido y asegurado. Si es responsables de la recuperación. Estos, a su vez,
información que se ha perdido y cuál es el estatus necesario reconstruir varias máquinas, todas deben informarle sobre las acciones de
del sistema posterior al ataque. deben ser llevadas a un estado fuera de línea recuperación que se llevan a cabo para labores de
simultáneamente y luego ser reconectadas una seguimiento.
Todas las máquinas comprometidas requieren ser vez aseguradas. Los miembros del equipo de
recuperadas. La recuperación dependerá del nivel recuperación de incidentes deben proveer
de afectación. En caso de cuentas compartidas y instrucciones durante esta etapa, pero los
contraseñas capturadas, que no fueron utilizadas custodios de la información deben realizar
para comprometer otros sistemas, un simple efectivamente la reconstrucción y aseguramiento
cambio de contraseñas podría ser toda la de los sistemas.
recuperación adecuada. Algunos incidentes
pueden requerir la reconstrucción del sistema a
partir de respaldos previos e instalación original
de las aplicaciones.
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
Página Página
Contenido Cerrar Imprimir anterior siguiente
Consideraciones Finales
Como parte del desarrollo comercial y el ¿Cuánto le cuesta al negocio paralizar total o Un plan de respuesta a incidentes debe ser
crecimiento organizacional, las empresas se ven parcialmente sus operaciones?, ¿Cuánto cuestan correspondiente a los objetivos del negocio,
obligadas hoy en día en adoptar mejores prácticas los incumplimientos internos/externos?, ¿Podrían criticidad de las operaciones y a los recursos
y desarrollar iniciativas internas que deriven en la sacar ventaja de ellos nuestros competidores?, existentes dentro de la organización, pero
mejora de sus operaciones. ¿Cuántos negocios o clientes potenciales fundamentalmente soportado sobre un equipo
pudieron verse visto afectados?. humano comprometido y calificado.
Las estadísticas y el análisis juicioso de los
expertos de SI han logrado demostrar la Todas estas son preguntas que debemos
importancia de mantener programas de hacernos a la hora de diseñar nuestro Proceso de
actualización y mejoramiento continuo en materia Respuestas a Incidentes, asegurando siempre su
de Tecnología de Información debido al avance interrelación con otros procesos de análisis
acelerado a donde la misma nos conduce, y que continuo de la organización tales como: Acuerdos
generalmente incorpora brechas de seguridad que de niveles de servicio (SLA’s), Acuerdos de niveles
son capitalizadas por los atacantes y aficionados operativos (OLA’s), Planes de continuidad de
primero que los mismos proveedores. Negocio (BCP), evaluaciones independientes de
seguridad, evaluaciones propias de controles
(CSA), entre otras.
Boletín Digital // No. 9 - 2010
Página Página
Contenido Cerrar Imprimir anterior siguiente
© 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida
que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y
Editado por Espiñeira, Sheldon y Asociados Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni
Depósito Legal pp 1999-03CS141 tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni
podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL.
Teléfono master: (58-212) 700 6666 R.I.F.: J-00029977-3
Boletín Digital // No. 9 - 2010
Figura Nº 1:
Principales causas de la ocurrencia de los incidentes de SI año 2009
Regresar
al boletín Aumentar Imprimir
20 18%
16%
15% 15%
15
13%
11%
10
7%
5 4%
0
Configuraciones Uso abusivo Falla o Vulnerabilidades Vulnerabilidades Configuraciones Ingeniería Otro
de seguridad de los recursos deficiencia en el software en aplicaciones por defecto social
inadecuadas / privilegios en el proceso de / hardware o procesos
actualización
del SW/HW
Fuente:
Encuesta Seguridad de la Información 2009. PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010
Figura Nº 2:
Principales consecuencias de la ocurrencia de los incidentes de SI
año 2008 vs. 2009. Regresar
al boletín Aumentar Imprimir
30
27% 27%
25%
2008 25
22%
20 18%
2009
14%
15
12% 12%
11%
10% 10%
10
6%
4%
5
1%
0
Paralización Incumplimiento Daño en No tuvo Pérdida de Pérdida Otros
total o parcial en la entrega la imagen y impacto oportunidades de clientes
de las de reportes reputación de la de negocio
operaciones Organización
Fuente:
Encuesta Seguridad de la Información 2009.
PricewaterhouseCoopers Venezuela
Boletín Digital // No. 9 - 2010
Figura Nº 4:
Diagrama de flujo de acciones a seguir por el equipo de
respuesta a incidentes. Regresar
al boletín Aumentar Imprimir
Respuesta
Determinación
El evento es Determina el
descubierto y evento y su
reportado impacto sobre
el negocio
Soporte
Provee asistencia
logística y
recursos técnicos
Identificación Investigación
El evento es Determina la
identificado y causa y extensión
documentado del evento
Clasificación
El evento es Determinar
Si
clasificado, se le cambios en la
asigna severidad severidad
y se documenta
No
Conformidad
Cumplimiento
Determinar Si de los
si hay impacto requerimientos
regulatorio regulatorios
(Notificaciones,
etc.)
No
Notificación Recuperación
Severidad Se le notifica
Determinar el Devolver los
tipo de incidente a las personas sistemas a su
apropiadas estado original
Cerrar
incidente
Determinado como actividad autorizada