proyecto amparo presentaciones manual de gestión de ... gestion incidentes seguridad.pdf · estado...

Proyecto AMPAROPresentaciones

Manual de Gestión de IncidentesTutorial LACNIC XVII

Quito-Ecuador

Proyecto AMPAROCapítulo I:

“Lineamientos y Acciones recomendadas para la formación

de un CSIRT”Autor:

José Luis Chávez Cortez

Información Básica Inicial

¿Qué se protege con un CSIRT? Alcance.

Publicación de Políticas y Procedimientos. Relaciones entre diferentes CSIRT. Establecimiento de medios de comunicación.

Manejo de información, procedimientos y políticas. Descripción del CSIRT. Políticas. Servicios. Formas de notificación de Incidentes.

Personal que integra un CSIRT.


¿Qué se protege con un CSIRT?

Infraestructuras Críticas: Agricultura, Energía, Transporte, Industrias, Servicios Postales, Suministros de Agua, Salud Pública, Telecomunicaciones, Banca / Finanzas, Gobierno.

Infraestructuras de Información: Internet, Hardware, Software y Sistemas de Control.


Manejo de información, Procedimientos y Políticas. Descripción del CSIRT. Políticas. Servicios. Formas de Notificación de Incidentes.


Personal que integra un CSIRT. Diversidad de conocimientos tecnológicos. Personalidad: habilidad de comunicación y relación

personal. Personas dedicadas, innovadoras, detallistas, flexibles y

metódicas. Experiencia en el área de seguridad de la información. Puedan asumir funciones de: gerente, líder de equipo y/o

supervisores. Otras Funciones: personal de apoyo, redactores técnicos,

administración de redes y/o sistemas, desarrolladores, asesores, etc.

Políticas de Seguridad Informática

Definición. Elementos: alcance, objetivo, identificación de roles,

responsabilidad, interacción, procedimientos, relaciones, mantenimiento, sanciones.

Parámetros para su establecimiento Razones que impidan su aplicación. Implementación, mantenimiento y ejecución. Políticas Recomendadas.

Políticas de Seguridad Informática

POLÍTICAS RECOMENDADASPolítica de seguridad. Política de tratamiento de grandes

actividades.Política de clasificación de información. Política de error humano.Política de comunicación externa. Política de selección de personal.Política para la clasificación de los datos. Política de despido.Política de aislamiento de la información. Política de uso de dispositivos móviles.Política de seguridad del Internet. Política de uso del correo electrónico.Política de notificación de Incidentes. Política de entrenamiento y capacitación.Política de tratamiento de incidentes. Política de tele conmutación de la

información.Política externa para el acceso de la información.

Política de la seguridad de la computadora personal.

Política de la seguridad de la red de computadoras.

Política de la seguridad de los equipos de telecomunicaciones (Internos y Externos)

Nivel de Prioridad. Escalonamiento. Proceso. Registro. Clasificación. Análisis, Resolución y Cierre. Control de Proceso. Soporte de Incidentes.

Gestión de Incidentes

Nivel de Prioridad Impacto: determina la

importancia del incidente dependiendo de cómo éste afecta a los procesos de negocio y/o del número de usuarios afectados.

Urgencia: depende del tiempo máximo de demora que acepte el cliente para la resolución del incidente y/o el nivel de servicio.


Escalado Funcional: se requiere el

apoyo de un especialista de más alto nivel para resolver el problema.

Jerárquico: debemos acudir a un responsable de mayor autoridad para tomar decisiones que se escapen de las atribuciones asignadas a ese nivel, como, por ejemplo, asignar más recursos para la resolución de un incidente especifico.


CERRAR INCIDENTE


Proceso

Monitorización y Seguimiento

Cierre delIncidente

Registro La admisión a trámite del incidente: el Centro de Servicios debe de ser capaz de evaluar en

primera instancia si el servicio requerido se incluye en el nivel de servicio contratado del cliente y en caso contrario reenviarlo a una autoridad competente.

Comprobación de que ese incidente aún no ha sido registrado: es común que más de un usuario notifique la misma incidencia y por lo tanto han de evitarse duplicaciones innecesarias.

Asignación de referencia: al incidente se le asignará una referencia que le identificará unívocamente tanto en los procesos internos como en las comunicaciones con el cliente.

Registro inicial: se han de introducir en la base de datos asociada la información básica necesaria para el procesamiento del incidente (hora, descripción del incidente, sistemas afectados...).

Información de apoyo: se incluirá cualquier información relevante para la resolución del incidente que puede ser solicitada al cliente a través de un formulario específico, o que pueda ser obtenida de la propia base de datos de la gestión de la configuración (hardware interrelacionado), etc.

Notificación del incidente: en los casos en que el incidente pueda afectar a otros usuarios estos deben ser notificados para que conozcan como esta incidencia puede afectar su flujo habitual de trabajo.


Clasificación Establecimiento del nivel de prioridad: dependiendo del impacto y la

urgencia se determina, según criterios preestablecidos, un nivel de prioridad.

Asignación de recursos: si el Centro de Servicios no puede resolver el incidente en primera instancia designará al personal de soporte técnico responsable de su resolución (segundo nivel).

Monitorización del estado y tiempo de respuesta esperado: se asocia un estado al incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estima el tiempo de resolución del incidente en base al nivel de servicio correspondiente y la prioridad.


Análisis, resolución y cierre Análisis: se examina el incidente con ayuda de la base de datos de conocimiento

para determinar si se puede identificar con alguna incidencia ya resuelta y aplicar el procedimiento asignado.

Resolución: Si la resolución del incidente se escapa de las posibilidades del Centro de Servicios éste redirecciona el mismo a un nivel superior para su investigación por los expertos asignados. Si estos expertos no son capaces de resolver el incidente se seguirán los protocolos de escalado predeterminados. Durante todo el ciclo de vida del incidente se debe actualizar la información almacenada en las correspondientes bases de datos para que los agentes implicados dispongan de cumplida información sobre el estado del mismo.

Cierre: cuando se haya solucionado el incidente se: Confirma con los usuarios la solución satisfactoria del mismo. Incorpora el proceso de resolución a la base de datos de conocimiento. Reclasifica el incidente si fuera necesario. Actualiza la información en la base de datos de gestión de configuraciones

sobre los elementos de configuración implicados en el incidente. Cierra el incidente.


Gestión de Incidentes CSIRT

MODELOS ORGANIZACIONALES CSIRT Modelo Equipo de Seguridad. Modelo Distribuido. Modelo Centralizado. Modelo Combinado. Modelo Coordinador.

Recomendaciones para la posible inserción del CSIRT en la organización y sus posibles modelos de relación


TIPOS DE ESTRUCTURAS ORGANIZACIONALES Modelo Funcional. Modelo basado en el Producto. Modelo basado en los Clientes. Modelo Híbrido. Modelo Matricial.

MODELO FUNCIONAL


MODELO FUNCIONAL

FORTALEZASDEBILIDADES

•Permite economías de escala en los departamentos funcionales.

•Permite el desarrollo de habilidades en profundidad.

•Permite que la organización alcance sus objetivos funcionales.

•Es mejor con uno o unos cuantos productos.

•Repuesta lenta a los cambios del entorno.

•Puede hacer que las decisiones se acumulen en la parte superior, con sobrecarga de la jerarquía.

•Conduce a una mala coordinación horizontal entre departamentos.

•Da lugar a una menor innovación.

•Implica un punto de vista limitado de las metas organizacionales.

MODELO BASADO EN EL PRODUCTO


MODELO BASADO EN EL PRODUCTO

FORTALEZAS DEBILIDADES

•Descentraliza la toma de decisiones.•Se utiliza en organizaciones grandes.•Rápida adaptación de unidades de trabajo.•Permite que los problemas de coordinación e integración sean detectados lo más pronto posible y se les de una solución rápida.•Altamente recomendada para la implementación de cambios rápidos. •Se logra aislar los problemas concernientes a un producto respecto a los demás y evita que interfieran los problemas de una función con todos los productos.•Permite el empleo de equipo especializado para el manejo de materiales, así como de sistemas especializados de comunicaciones.•Satisfacción del Cliente.

•Reduce la oportunidad de utilizar equipo o personal especializado.•Entorpece la estandarización.•Coordinación deficiente entre líneas del producto.•Se entorpece la comunicación entre especialistas, ya que ahora presentan sus servicios en diferentes unidades.•Los empleados de la organización se dividen en grupos y se encarga de la producción de un producto especifico, además cada grupo tiene un especialista para cada función y un gerente que es el responsable de supervisar el proceso que se lleva a cabo para la obtención del producto o servicio y además envía un reporte al director general de la organización acerca de la evolución de este proceso, este director general es el responsable de supervisar que cada gerente realice de forma adecuada su trabajo y fija las metas de la organización.

MODELO BASADO EN LOS CLIENTES


MODELO BASADO EN EL CLIENTE

FORTALEZASDEBILIDADES

•Mejora la adaptación a las necesidades del cliente.•Descentralización del proceso de decisión.•Mejor estandarización de productos.•Satisfacción del Cliente.•Gestión de nichos de negocio de la organización.

•Dificultad de coordinación con los departamentos organizados sobre otras bases, con una constante presión de los gerentes solicitando excepciones y tratamiento especial.•En ciertas ocasiones pueden reducirse o incrementarse ciertos tipos de clientes, ya sea por recesiones económicas donde los comercios minoristas tienden a disminuir y por el contrario se incrementan los muy pequeños negocios, esto requiere más vendedores pero disminuye el grado de eficiencia de los mismos.


MODELO HÍBRIDO

MODELO HÍBRIDO


•Coordinación entre y dentro de las líneas del producto.•Coincidencia de objetivos entre las divisiones y la central.•Eficiencia en los departamentos centralizados.•Adaptabilidad, coordinación en las divisiones.

•Se crean conflictos entre el personal corporativo y el divisional.•Altos costos administrativos.


MODELO MATRICIALMODELO MATRICIAL


•Logra la coordinación necesaria para satisfacer las demandas duales de los clientes.•Comparte flexiblemente los recursos humanos entre productos.•Adaptada para decisiones complejas y cambios frecuentes en un entorno inestable.•Proporciona oportunidades para el desarrollo de habilidades tanto funcionales como en productos.•Es más adecuada en organizaciones de tamaño mediano con productos múltiples.•Recursos Humanos compartidos.

•Somete a los participantes a la experiencia de una autoridad dual; esto puede ser frustrante y ocasionar confusión.•Implica que los participantes necesitan buenas habilidades interpersonales y mucha capacitación.•Consume tiempo; implica frecuentes reuniones y sesiones para la solución de conflictos.•No funcionará a menos que los participantes entiendan y adopten relaciones colegiadas en lugar de tipo vertical.•Requiere grandes esfuerzos para mantener el equilibrio de poder.

RECOMENDACIONES DE SEGURIDAD FISICA Y AMBIENTAL

Local Físico. Espacio y Movilidad. Tratamiento Acústico. Ambiente Climático. Instalación Eléctrica. Picos y Ruidos Electromagnéticos. Cableado. Iluminación. Seguridad Física del Local. Próximos Pasos:

Aseguramiento contra situaciones Hostiles. Control de Accesos

Recomendaciones generales respecto a la infraestructura física necesaria en las etapas iniciales.


CONCLUSIÓN Evaluar y controlar permanentemente la seguridad física del local es la base para

comenzar a integrar la seguridad como una función primordial dentro de cualquier organización.

Tener controlado el ambiente y acceso físico permite: Disminuir siniestros. Trabajar mejor manteniendo la sensación de seguridad. Descartar falsas hipótesis si se produjeran incidentes. Tener los medios para luchar contra accidentes.

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el local en caso de accidentes.

RECOMENDACIONES SOBRE ARQUITECTURA DE REDES DE UN CSIRT

Ambiente Físico. Infraestructura de Red. Hardware. Software. Infraestructura de Telecomunicaciones. Diagramas Sugeridos.


Ambiente Físico Áreas Administrativas: las áreas administrativas así como las salas de reuniones o

apoyo podrán ser compartidas con el resto de la organización. Áreas Operativas: tales como salas de trabajo de los equipos técnicos, sala de

servidores y sala de laboratorios son considerados ambientes críticos y deberán tener implementaciones de aspectos de seguridad física específica.

Ambientes Críticos: ambiente asilado de otros departamentos, segmentación del circuito de servicios, acceso restringido al ambiente de trabajo, obedecer la política de información del CSIRT y/u organización.

Recomendaciones: el acceso y permanencia en el local de terceras personas sea acompañado por integrantes del CSIRT y tener siempre a disposición medios de protección y prevención: extintores, sensores de humo, rociadores, circuito interno de televisión, piso falso, paredes refractarias, caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de almacenaje de copias de seguridad.

Áreas Físicas Mínimas: recepción, oficina del director, cuarto de seguridad (Caja Fuerte), sala de reuniones, sala de archivos y almacenamiento de medios, salda de capacitación/entrenamiento, sala de operaciones, laboratorio, sala de servidores.


Infraestructura de Red La infraestructura de la red de computadores del CSIRT debe estar separada de

la infraestructura de la organización en que esté hospedada. El CSIRT debe tener una estructura propia de subredes y dominios. Red de la organización y red del CSIRT.

Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitiendo implementar segmentos de redes con funciones específicas. Al menos deben de existir dos segmentos dentro de la red CSIRT:

Red para la operación en ambiente de producción: para el almacenaje de los datos y ejecución de las tareas relativas a los servicios.

Red para tareas de laboratorio: para la aplicación de pruebas y estudios. Las redes que se conectan con el ambiente externo (Internet) deben de ser

protegidas por medio de dispositivos de seguridad según su necesidad. (Firewall, Proxy, IDS, IPS, etc.)



RED SEGURA SEGMENTADASEPARADA DE LA ORGANIZACIÓN

Detalles Descripción

Características• Esquema para brindar servicios reactivos y

proactivos.• Separación física de la red CSIRT y de la

organización.• Enlaces para el acceso al Internet redundantes

para la red CSIRT.• Sensores y Servidor con Sistema de Detección de

Intrusos (IDS).• Red aislada para Pruebas de laboratorio.• Tres redes diferentes.• Niveles de acceso internos regulado por los

Firewalls entre la Organización y el CSIRT.• Acceso a Internet

o Enlace de la Organización: 2 Mbps.o Enlaces redundantes CSIRT: 4 Mbps.o Enlace para red de Laboratorio: 2 Mbps.

Software• Se puede utilizar software libre.

Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.

BENEFICIOS EN LA IMPLEMENTACIÓN DE UN CSIRT

• Un punto de contacto focal y confiable dentro de la comunidad para el manejo de incidentes de seguridad informática.

• Promueve un desarrollo en la utilización de infraestructura tecnológica basado en las buenas y mejores prácticas para la adecuada coordinación de la respuesta a incidentes de seguridad informática.

• Un punto especializado y asesor para la protección de las distintas actividades informáticas de los sectores que conforman su comunidad objetivo.

• Brinda información sobre vulnerabilidades y las asocia con sus respectivas recomendaciones para la su mitigación y/o control.

• Provee servicios de publicación de información eficaces con la finalidad de socializar la cultura de seguridad informática.

• Promueve y desarrolla materiales de concientización, educación y entrenamiento en variedad de temas de seguridad informática.

• Participa y comparte experiencias con equipos similares y proveedores de servicios de seguridad informática para su promoción y actualización, así como para el establecimiento de mejores estrategias para el manejo de incidentes de seguridad informática.

• Administra puntos de contacto con otros CSIRTs para respaldar las distintas estrategias de seguridad informática en un sentido más global.

• Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el manejo de incidentes así como la implantación de buenas y mejores prácticas de seguridad informática.

• Posee un equipo personal especializado en constante proceso de actualización con la intención de brindar servicios de soporte informáticos con un alto nivel de eficacia y eficiencia a los distintos requerimientos que la comunidad demande de su respectivo CSIRT.

Beneficios en la implementación de un CSIRT así como su Análisis Situacional e Implementación de su Presupuesto de Inversión y Funcionamiento.

ANÁLISIS FODA GENERAL PARA UN CSIRT

ELEMENTO DESCRIPCIÓN

FORTALEZAS •Posee el respaldo de la organización que lo hospeda así como el recorrido que la misma tenga en la comunidad a la que pertenece.•Un punto focal para la notificación y tratamiento de incidentes de seguridad.•Disponibilidad de personal técnico calificado y actualizado.•Dado el conocimiento que posee su personal, el CSIRT es relevante para el proceso de educación para la seguridad y prevención de incidentes.

OPORTUNIDADES •Desarrollo de relaciones comerciales de largo plazo con los clientes.•Búsquedas de alianzas con terceros que complementen los servicios en el mercado objetivo.•Gran necesidad de coordinación de incidentes de seguridad informática.•Proyecto de interés general para todos los sectores de la sociedad.•No existe centralización en la medición de seguridad informática en el segmento de servicio.

DEBILIDADES •Experiencia.•Reconocimiento del trabajo del nuevo CSIRT.•Los sectores público y privado no tienen la prioridad ni la costumbre de asesorarse por un ente especializado en temas de seguridad informática.•Infraestructura TIC débil. Incipiente regulación de servicios informáticos.

AMENAZAS •Desaceleración de la economía mundial y local.•Rápida obsolescencia de los equipos informáticos.•Competidores ya establecidos en el mercado de la seguridad informática.•Respaldo financiero limitado.•Bajos incidentes de seguridad informática pueden desembocar en dificultar el auto sostenimiento del CSIRT.

La convergencia de los sistemas multiplica exponencialmente los problemas de seguridad planteados. El equilibro es difícil, el espectro a cubrir es amplio y, como dificultad extra, el campo de trabajo es intangible. Esto hace necesario desarrollar técnicas y/o adaptar las existentes de forma tal de circunscribir nuestro trabajo de conseguir información dentro de un marco de seguridad.

Cuando se diseña un sistema se lo hace en base a su operatividad y/o funcionalidad dejando de lado la Seguridad. Será necesario establecer una pertenencia y correspondencia entre las técnicas adoptadas conformando un sistema de seguridad; y no procedimientos aislados que contribuyan al caos general existente. Esto sólo puede lograrse al integrar la seguridad desde el comienzo, desde el diseño, desde el desarrollo.

Las tecnologías involucradas en estos procesos condicionan las técnicas empleadas, los tiempos condicionan esas tecnologías y, paradójicamente, las legislaciones deben adaptarse a los rápidos cambios producidos. Esto hace obligatorio no legislar sobre tecnologías actuales, sino sobre conceptos y abstracciones que podrán ser implementados con distintas tecnologías en el presente y el futuro. Es urgente legislar un marco legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hostiles futuras.

CONCLUSIONES

Algunos pocos métodos realmente novedosos de infiltración ponen en jaque los sistemas de seguridad. Aquí, se prueba la incapacidad de lograr 100% de seguridad, pero también es hora de probar que los riesgos, la amenaza, y por ende los daños pueden ser llevados a su mínima expresión. Muchas veces basta con restringir accesos a información no utilizada o que no corresponde a los fines planteados. Otras veces la capacitación será la mejor herramienta para disminuir drásticamente los daños.

La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfección que realmente no existe, y de hecho dudo que algún día exista, pero los riesgos deben y pueden ser manejables.

El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido un daño. El desconocimiento y la falta de información son el principal inconveniente cuando se evalúa la inclusión de seguridad como parte de un sistema.

El desarrollo de software es una “ciencia” imperfecta; y como tal es vulnerable. Es una realidad, la seguridad involucra manipulación de naturaleza humana. Hay que comprender que la seguridad consiste en tecnología y política, es decir que su combinación y su forma de utilización determina cuan seguros son los sistemas. El problema de la seguridad no puede ser resuelto por única vez, es decir que constituye un viaje permanente y no un destino.

CONCLUSIONESContinuación…

Proyecto AMPAROCapítulo II:

“Tipologías de centros de respuesta”

Rubén Aquino LunaUNAM-CERT

Modelos organizacionales

Decisión fundamental para un centro de respuesta a incidentes

Definición de la estructura del centro de respuesta de acuerdo aObjetivosVisiónMisión


Factores para definir el modelo adecuadoCircunscripciónMisiónServicios que se van a proporcionarPosición en la organizaciónObligaciones y autoridadInfraestructuraFinanciamiento de la operaciónEstructura


Modelos de referenciaEquipo de seguridadCentro de respuesta centralizadoCentro de respuesta distribuidoCentro coordinador


Nombre del centro de respuestaNo hay ningún requisitoNombres actuales basados en la reputación

construidaAlgunos nombres frecuentes

IRTCSIRTCIRTSIRTCERT*


CircunscipciónÁmbito de acciónDepende de los objetivosNo necesariamente es el sector al que pertenece la

organizaciónCobertura geográfica

CentralizadoDistribuido


Misión

Definición breve, clara y precisa del propósito y función

Delinea servicios y alcance de los mismos


ServiciosAl iniciar operaciones: respuesta a incidentes y los

necesariosAtención en sitio, coordinación de equipos, cómputo

forense, análisis de software malicioso, etc.Los servicios pueden ampliarse durante la

operaciónCasi nunca se hace sólo respuesta a incidentes

PrevenciónDetección


Servicios

Emisión de boletines y alertas de seguridadAnálisis de vulnerabilidadesDetección de incidentesDifusión y capacitaciónImplementación de estándares y mejores prácticas


Reportar, clasificar, asignar

Cómo se reportan los incidentes al centro de respuesta

El manejo de un incidente requiere recursos humanos y materiales

Eficacia y eficiencia dependen de estas acciones iniciales


Reportar

Teléfono (definición de horarios, costos)Correo electrónicoFormularios webPersonalmente


Clasificar, asignarSistema para el seguimiento de reportes de

incidentesMesa de ayuda

PropiaTerceros (buscar adecuado entrenamiento y

conocimiento del servicio)Capacitación del personal sobre la recepción,

clasificación, asignación


AutoridadAutoridad totalAutoridad compartidaNo autoridad

DiferenciaToma de decisiones en el manejo de incidentes

Decisión de la gerencia/dirección


Personal

Una sola persona es responsableIndependientemente de la forma del servicio: interno,

externo.Jefe o administrador y un sustituto por ausencia


Personal (responsable)Enlace entre en centro de respuesta y la dirección

y otras unidades de la organizaciónPunto de contacto con entidades externasComunicación al interior y exterior. Evitar

situaciones de crisis por la interacción cotidianaResponsable de gestionar los recursos para el

centro de respuesta


Personal

Características del responsable

Dominio de aspectos técnicosHabilidades de comunicación hacia el interior y el

exteriorentre otras.


PersonalResponsable técnico

Coordinar las actividades técnicas para la respuesta a incidentes

Responsable de la calidad técnica

La imprecisión en el dominio técnico puede minar credibilidad de todo el centro de respuesta

Un incidente puede empeorar sin la capacidad técnica adecuada


PersonalAdministración de sistemasRedes de datosProgramaciónSoporte técnicoDetección de intrusosAnálisis de vulnerabilidadesAnálisis de software maliciosoOtros particulares a la organización


Personal (staff)Resolución de problemasExperienciaUna persona especialista en cada áreaColaboración necesaria en incidentes críticosAyuda

Programas de transferencia de conocimientoReferencias técnicas (libros, manuales, etc.)Promover su participación en otras tareas: elaboración

de contenidos, instrucción en talleres, evaluación de herramientas, etc.


Personal (staff)Debe fomentarse

Interacción y retroalimentación sobre actividades de la organización

Conocimiento de los objetivos y misión del centro de respuesta

Intercambio con expertos de otras entidadesIntercambio de conocimiento


Personal (staff)Habilidades

Habilidades técnicasTrabajo en equipoComunicaciónFacilidad de expresiónEscribir informes técnicos


Personal (contratación)

EmpleadosParcialmente empleadosOutsourcing


Selección del modelo

Disponibilidad del servicioCriticidad de la infraestructuraQué tipo de atención se requiere: 24x7, en sitio

(básica o especializada)Habilidades del personal


Selección del modeloCostosExperiencia del personalEstructura organizacionalDivisión de responsabilidadesProtección de la información confidencialConocimiento específico sobre la organizaciónCorrelación de informaciónDiversas ubicaciones geográficas


Dependencias dentro de la organizaciónAdministración

Establece política de respuesta a incidentesPresupuestoPersonal

Seguridad de la informaciónMonitoreo de operaciónControl sobre dispositivosNotifican sobre muchos de los incidentes


Dependencias dentro de la organizaciónTelecomunicaciones

Incidentes con tráfico de red en el perímetroContacto con ISPsContener incidentes en el perímetro

Soporte técnicoOperación de infraestructuraAdministración de sistemas, red, desarrollo de software


Dependencias dentro de la organizaciónDepartamento jurídico

Seguimiento a incidentesProcesos administrativosSeguimiento legalRevisión de políticas y procedimientos para ajustarse al

marco regulatorioRelaciones públicas

Proporcionar información a los mediosComunicados de acuerdo a políticas de la organizaciónComunicación inadecuada puede confundir al público y

afectar a la organización


Dependencias dentro de la organizaciónRecursos humanos

Incidentes relacionados con abusos o faltas a normas de la organización

Planeación de la continuidad del negocioIncidentes que afectan significativamente la operación

normalIdentificación de riesgos asociados a cada activoMinimización de impacto de incidente y el manejo de

incidentes en las operaciones


Dependencias dentro de la organizaciónSeguridad física y administración de instalaciones

Acceso a equipos en instalaciones cerradasBuscar evidenciaRealizar monitoreo de áreas específicas

Equipo de respuesta

No hay centro de respuestaRespuesta a incidentes con recursos humanos y

materiales existentesQuien es responsable o administra el activo

proporciona la respuestaDifícil establecer niveles de servicioRespuesta exitosa depende de cada individuoDifícil implementar mejores prácticas y mejora

continuaNo hay independencia en el manejo de incidentes

Equipo de respuesta

Características particularesNo hay estructura definidaEquipo de respuesta ad hoc a las circunstanciasNo hay centralización de reportes de incidentesResponsable del activo decide sus mecanismos

para reportar y clasificar incidentesDifícil realizar seguimiento de incidentesRetroalimentación limitadaPoca o complicada coordinación en el manejo de

incidentes

Equipo de respuesta

ServiciosPrácticamente sólo respuesta a incidentesInvestigación superficial por personal con otras

obligaciones. Posibles conclusiones equivocadasNo hay servicios adicionales necesarios

Alertas de seguridadBoletines de seguridad

Equipo de respuesta

RecursosNo se requieren recursos humanos adicionalesNo se requiere infraestructura adicionalProbablemente se requiera equipo para atención de

incidentes. Generalmente se identifica la necesidad luego de ocurrido un incidente.

Equipo de respuesta

VentajasNo se requiere infraestructura adicional

DesventajasNo hay un único punto de contactoNo hay elementos para verificar la calidad del

servicio de respuesta a incidentesNo hay mayor beneficio de la respuesta a

incidentes para la organización

Centro de respuesta a incidentes centralizado

Centro de respuesta para todos los incidentesPersonal administrativo y operativo dedicadoRespuesta a incidentes y servicios adicionalesDefinición de impulso de estrategias de seguridadModelo adecuado para organizaciones pequeñas

o con infraestructura centralizada


Características particularesDebe estar cerca de la gerencia/administración en

la estructura de la organización. Nivel alto en toma de decisiones.

Debe contarse con personal especializadoAnálisis y recomendaciones acertadas

Puede tener asesorías/consultorías bajo demandaDeben establecerse canales adecuados para

reportar incidentesUsuarios internos y externos


ServiciosRespuesta a incidentes y tareas asociadas

Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.

Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas

Información a la administración/gerencia de la organización


Servicios adicionalesEvaluación de tecnologíaEvaluación de riesgosAuditorías de seguridadImplementación de mejores prácticasConsultoría


RecursosEstructura central

Administrador/coordinador del centro de respuestaAdministrador de la infraestructura tecnológica propia

del centro de respuestaPersonal administrativoPersonal técnico para el manejo de incidentesPersonal especializado para servicios adicionalesDesarrolladores de sistemas web


Recursos

Otros recursos humanos que podrían requerirseEditores (para todas las publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales


RecursosMateriales

Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,

recolectores de tráfico, discos duros grandes, etc.)Equipo para almacenamiento de grandes cantidades de

información para la evidencia digital


RecursosSistemas

Sistema de seguimiento (tracking)Software para cómputo forenseSoftware para pentestSoftware para análisis de software malicioso


VentajasModelo establePersonal dedicadoPermite iniciativas de mejora continua

DesventajasRequiere recursos significativosRequiere cambios en la estructura de la

organizaciónEl personal no está involucrado en el ambiente de

operación

Centro de respuesta a incidentes distribuido

Varios equipos de respuestaTodos los equipos conforman el centro de

respuestaPersonal de los equipos puede estar asignado a

tareas operativas. Colabora cuando hay incidentes en su área.

El personal también podría ser dedicado para el centro de respuesta

Administración/coordinación centralizadaGarantiza niveles de servicioFacilita intercambio de información


Características particularesCerca de la dirección de la organización en la

estructuraCuenta con un administrador/directorPersonal para la administraciónEstablecer circunstancias en las cuales el personal

técnico actúa para el centro de respuestaEstablecer canales de comunicación adecuadosDefinir cómo se hará el proceso de reporte de

incidentesEn los equipos distribuidosDe manera centralizada


ServiciosRespuesta a incidentes y tareas asociadas

Respuesta en sitio, análisis de vulnerabilidades, análisis de software malicioso, análisis forense, seguimiento legal, etc.

Prevención y detección de incidentesDifusión y capacitaciónMecanismos de detección de incidentes para alertas

Información a la administración/gerencia de la organización

Servicios adicionales dependen de la disponibilidad de personal


RecursosAdministración central


del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentes

Otros (opcionalmente)Editores (para publicaciones)Personal de relaciones públicasPersonal jurídicoExpertos técnicos adicionales


RecursosMateriales

Instalaciones físicasEquipo de oficinaEquipos de cómputo y telecomunicacionesProbablemente equipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,


información para la evidencia digital


RecursosSistemas



VentajasServicios se implementan de manera coordinadaPersonal especializadoPersonal operativo con conocimientos

especializados de seguridadDesventajas

No es fácil de implementarProblemas para asignar nuevas responsabilidades

al personalDifícil coordinar personal con dos jefes

Centro coordinador

Coordinar y facilitarRespuesta a incidentesManejo de vulnerabilidades

Circunscripción ampliaAsesoría e información a otros equipos de

respuestaIntercambio de informaciónDefinición de estrategias para mitigar impacto de

amenazasInfluencia en la toma de decisiones de diversas

organizaciones

Centro coordinador

Características particularesPersonal dedicadoUbicación física centralAdministración/dirección únicaPersonal especializadoActuar como centro de coordinación para dirigir

acciones de respuesta a incidentes y amenazas a la seguridad de la información

Recolección y síntesis de información para comunicar a su circunscripción

Centro coordinador

ServiciosRespuesta a incidentesApoyo y asesoría técnica

Respuesta en sitioAnálisis de vulnerabilidadesCómputo forenseAnálisis de software maliciosoSeguimiento de incidentes

No realiza todas las tareas asociadas al manejo de incidentes

Alerta sobre amenazas a la seguridad de la información

Centro coordinador

Servicios adicionalesDetección proactiva de amenazasEvaluación de tecnologíaEvaluación de mejores prácticas y estándares de

seguridad de la informaciónCapacitación

Manejo de incidentesAnálisis de amenazasImplementación de tecnologíaImplementación de mejores prácticas, etc.

Centro coordinador

RecursosPersonal


del centro de respuestaPersonal administrativo (al menos una persona)Analistas para el manejo de incidentesEspecialistas en evaluación de tecnologíasExpertos en la implementación de mejores prácitasEditores (para publicaciones)Relaciones públicas

Centro coordinador

RecursosMateriales

Instalaciones físicasEquipo de oficinaInstalaciones para laboratorios de pruebas, incluyendo

equipo de cómputo, telecomunicaciones, etc.Equipos de cómputo y telecomunicacionesEquipo de cómputo portátilEquipo para recolección de evidencia (equipo de red,


información para evidencia digital

Centro coordinador

RecursosSistemas


Centro coordinador

VentajasContar con un grupo de especialistas en manejo de

incidentesExperiencia se aprovecha en varias organizaciones

DesventajasLos especialistas no están involucrados en la

operación de las organizacionesPlaneación complicadaIndependencia difícil

Proyecto AMPAROCapítulo III:

“Propuesta de Especialización de Funciones en el interior de un Centro de

Respuesta”

Ing. Leonardo Vidal - CISSP

Segregación de FuncionesIntroducción

Varias funciones

Modelo Organizacional actual y futuro

Identificación clara de las funciones

Una forma de organizar el trabajo

Centro de Respuesta = Equipo de Respuesta

Segregación de FuncionesIntroducción

Actividades recreativas

Grupo, familias, amigos

Flexibilidades

Segregación de FuncionesLas Funciones

Directorio Director Ejecutivo Comité Ejecutivo Gerente Operacional Difusión Infraestructura


Triage Documentación Capacitación y Entrenamiento Logística Investigación Legal


Gestión de incidentes Embajadores Formación Continua Comercial Financiero y Económico

Descripción de Funciones

Directorio Miembros reconocidos en la comunidad Política Vinculación Apoyo Facilitador Director Ejecutivo

Integrante o invitado Frecuencia de reuniones Convocatoria grave y urgente


Director Ejecutivo Capacidad de mando Liderazgo Motivación

Comité Ejecutivo Director pro tempore o no Si es pro tempore, fundamental que el Comité Ejecutivo

brinde una visión homogénena hacia el Centro y hacia la Comunidad Objetivo


Director Ejecutivo

Contacto frecuente con los restantes integrantes del Centro

Reunión con algún representante del resto de los integrantes

Informe periódico al Comité Ejecutivo (si existe) o en su defecto al Directorio (si existe)


Comité Ejecutivo

Conjunto de Directores Ejecutivos Pro tempore o no

Número impar de integrantes

Reuniones periódicas

Convocatoria grave y urgente


Gerente Operacional Visión más general y completa de Centro pero cercana

a la actividad diaria

Nexo entre el resto de los integrantes del Centro y el Director Ejecutivo

Capacidad de mando, liderazgo y motivación

Reuniones periódicas para unificar criterios, definir próximas acciones y saber “en qué anda el otro”


Difusión Responsable de todas las formas de comunicación con

los integrantes de la Comunidad Objetivo, otros Centros de Respuesta, prensa, entre otros.

Metas Hacer conocer la existencia del Centro Difundir a la Comunidad Objetivo información que puede

resultar de su interés Fomentar la Capacitación y Entrenamiento de los integrantes

de la Comunidad Objetivo Comunicación con: Comunidad Objetivo, otros Centros

de Respuesta, Prensa. Imagen única.


Infraestructura Que sustenta los servicios brindados

De cara a la Comunidad Objetivo De uso exclusivo interno

Ejemplos: red, servidores, estaciones de trabajo, notebooks, laboratorio, análisis forense, análisis de artefactos, preservación de evidencia, ...

Capacitación e idoneidad Previsión para contemplar las necesidades futuras


Triage Debe analizar los reportes de eventos o incidentes de

seguridad para clasificarlos y si corresponde, asignarlos para su gestión.

Responsabilidad única o compartida (con Gerente Operacional, con Director Ejecutivo) y según el caso.

Cualidades buscadas en el encargado del triage Capacidad de correlacionar eventos e incidentes de

seguridad Mantener la calma en momentos “complicados” Saber distinguir entre lo urgente y lo importante


Triage Qué considerar al momento de identificar el integrante

del Centro que gestionará el incidente de seguridad Expertise del potencial candidato Carga laboral actual del candidato Carga laboral futura del candidato Expectativa de duración de la gestión del incidente a

gestionar Estado de ánimo del candidato Vinculación del candidato con quien reporta y otros posibles

integrantes de la Comunidad Objetivo que podrían estar vinculados al incidente


Documentación Todo Centro de Respuesta maneja una importante

cantidad de información y en diferentes medios y formatos

Políticas y Procedimientos para Generarla Clasificarla Almacenarla Respaldarla Destruirla Difundirla


Documentación

Dos grandes grupos

La que es utilizada para el funcionamiento del Centro de Respuesta

La vinculada directamente a los servicios que brinda

Por ejemplo la vinculada con un incidente de seguridad que se está gestionando


Capacitación y Entrenamiento Cursos, talleres, seminarios, charlas Expertise en la Comunidad Objetivo

Gestión de Incidentes Crear Centros similares

Ingreso de fondos para el Centro Punto de Referencia No sólo aspecto técnicos Indentificar temáticas que pueden ser de interés para la

Comunidad Objetivo Escuchar las inquietudes de la Comunidad Objetivo


Logística

Insumos fungibles y no fungibles

No requiere formación técnica


Investigación

Generar información y conocimiento en el interior del Centro

Beneficio para el Centro y para la Comunidad Objetivo

Vincularse con otros Centros de Respuesta Reputación Generar confianza hacia afuera Semilla de un posible servicio futuro o mejora de uno

existente


Legal

Profesional integrante o no del Centro de Respuesta Asesorar a quienes gestionan incidentes de seguridad

en Recolección y preservación de evidencia Redacción de informes

Reuniones periódicas entre responsable legal e integrantes técnicos del Centro de Respuesta, para difundir leyes, decretos, ordenanzas, reglamentaciones y buenas prácticas



Servicio fundamental en el Centro de Respuesta A cargo de integrantes técnicos del Centro y con el

apoyo de los restantes integrantes Quizás con la función de triage al mismo tiempo Vinculación con la Comunidad Objetivo y otros Centros

de Respuesta Informar al Gerente Operacional A gestionar incidentes se aprende gestionando

Nuevos en la función: rol de Mentor


Embajadores Miembros temporales del Centro, para alguna actividad

puntual Permite

al embajador conocer la realidad del Centro al Centro identificar posibles futuros integrantes del mismo Contar con una persona con conocimiento profundo sobre

determinado activo afectado por un incidente de seguridad Su participación en el Centro requerirá que

previamente firme un NDA (Non-Disclosure Agreement) o Compromiso de Confidencialidad.


Formación Continua De los integrantes del Centro Estudiar, leer, ser “curiosos”

TICs Vectores de ataques Malware Protocolos Herramientas (sniffer de paquetes, herramienta forense) Redes sociales, spam, botnets, honeypots, ...

Reuniones internas poco formales para compartir conocimiento


Formación Continua Certificaciones internacionalmente reconocidas de

“todos” los integrantes del Centro de Respuesta

Posibles

ISC2

ISACA

PMI


Financiero y Económico Fondos para existir

Pagas remuneraciones, leyes sociales, hardware, software, libros, insumos, local del Centro, conectividad a Internet, asistencia a conferencias, viáticos, etc.

Dos modelos y opciones intermedias Sustentación propia Por la organización que le brinda el hosting

Desarrollo de Manuales y Procedimientos

Importantes para la operación del Centro y la vinculación hacia y desde “afuera”

Políticas → Procedimientos

Políticas → Procedimientos → Manuales


Manuales Documento donde se compendia lo sustancial sobre

determinada materia

Motivos proactivos y reactivos para elaborar nuevos y revisar manuales ya existentes

Uso de los mismos por parte de la Comunidad

Crear nuevos y analizar los existentes


Procedimientos Pasos a seguir para realziar determinada actividad

Se elaboran durante toda la vida del Centro

Picos y valles

Crear nuevos y analizar los existentes

Diseño de un Flujograma del Proceso de Gestión de Incidentes, end to end.

Fase Pre-Incidente(no hay incidente reportado)

Fase Incidente(el incidente está siendo

gestionado)

Fase Post-Incidente(el incidente ha sido cerrado)

Informes

Documentacióninterna

Información para toda o parte de la

ComunidadObjetivo

Información para otros Centros de

Respuesta

Decisiones:Políticas

ProcedimientosCapacitación

ManualesTutoriales

Políticas, Procedimientos y

Manuales

Integrantes Y funciones

Centro de Respuesta preparado

ü Información de contactoü Mecanismo de reporte de

eventos o incidentesü Celularesü Software para servicios de

seguridad e intercambio de información

ü Sitio del Centroü Estaciones de trabajoü Laptopsü Servidoresü Equipamiento de redü Estaciones y servidores de

laboratorioü Dispositivos de

almacenamientoü Impresoraü Cámara de fotos, filmadoraü Herramientas: sniffers,

analizadores de protocolo, análisis forense

ü Herramientas “de taller”ü Insumos para preservar

evidenciaü Capacitación, formación y

entrenamientoü Estado del arte de la

seguridad y fuentes de información a las cuales recurrir

ü Mecanismos para alertar a la Comunidad Objetivo

ü Software parches para mitigar

¿Evento o incidente?

¿Incidente?

NO

SI

Se notifica al quien

reportó

SI

NO

Fases en la Gestión de un Incidente de Seguridad

Determinación(¿es un evento o un incidente de un integrante de la CO?)

Solicitud de información

Reporte

Rcepción de información

Internet Laboratorio


!

Reuniones¿Comunidad

Objetivo?NO

SI

Se registra

Incidentede Seguridad

paragestionar

¡¡Triage!!Ciclo

de Vida

de un

Incidente

de

Seguridad


Reporte

Varias fuentes posibles :correo electrónico

IDS, IPS, IDPSfax

formulario webnota

Firewallllamada telefónica

chathabladoprensa

RSSlogsWeb

¿Origen verificado ?

Solicitar información para verificar

origen

NO


SI

NO

Se le informa a quien lo reportó

Se registra la acción

¿Información proporcionada

Por medio adecuado ?

SI

Se solicita el envio de la información por medio adecuado

NO

¿Se obtiene en un plazo razonable ?

NO

SI

¿Se obtiene en un plazo razonable ?

NO

SI¿Incidente?

NO

SI

SI Incidente a

gestionar

Determinación

El objetivo es determinarde una manera y con un esfuerzo razonable, que alguien ha reportado un

evento o incidente de seguridad. Puede tratarse de

una denuncia anónima

Es importante que más allá que el reporte llegue por un

medio informal, se de la pueda validar

Si es un evento, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomadaSi es un incidente de seguridad, se lo gestionará y se le informará de ello a quién lo reportó

Se le informa a quien lo reportó

Si no es un evento ni un incidente, se registrará, principalmente con fines estadísticos y se le informará a quien lo reportó de la decisión tomada

Se entiende por “plazo razonable”, una semana

Se entiende por “plazo razonable”, una semana

¿Comunidad Objetivo?

SI

NO


Incidente a gestionar

Registro

Proceso de análisis de la información recabada y

solicitud de más información

Se almacena en un servidor , la información que se conoce hasta ese momento

¿Se requiere más información de quién

lo reportó?

¿Se requiere información de otros

Centros?

¿Se requiere información de la

Comunidad Objetivo?

Se solicita información

NO

SI

SI

SI

NO

NO ¿Se obtiene la información solicitada?

SI

Se anexa a la información que ya se

dispone sobre el incidente que se está

gestionando

¿Se requiere informar a la Justicia?

NO

SI

Se elabora documento para

Legal

Se almacena el documento elaborado

2

1

Nada

4

3

2

1

3

1 2

3

1 2

3 4

Informe de Cierre

Proceso de elaboración de Informe

Devolución al Cliente

Informe Devolución al

Cliente

|

Proceso de elaboración

de Informe de Cierre

Se envía Informe

Devolución al Cliente

Se envía información a la Justicia

Incidentey Post-Incidente

Referencias

M. West-Brown, D. Stikvoort, K. Kossakowski, G. Killcrece, R. Ruefle y M. Zajicek, Handbook for Computer Security Incident Response Teams (CSIRTs), abril 2003, http://www.cert.org/archive/pdf/csirt-handbook.pdf.

Forum of Incident Response and Security Teams, http://www.first.org.

FIRST Technical Colloquia, http://www.first.org/events/colloquia.

ISACA, http://www.isaca.org. International Information Systems Security Certification

Consortium, Inc., http://www.isc2.org. Project Management Institute, http://www.pmi.org.


“Propuesta de Especialización de Funciones en el interior de un Centro de

Respuesta”



“Propuesta de Políticas y Procedimientos Principales para la

Operación de un Centro de Respuesta a Incidentes de Seguridad Informática”


Objetivos

Realizar propuestas de

Código de Ética

Política de Seguridad Lógica

Política de Seguridad Física y Ambiental

Política de Gestión de Incidentes

Código de Ética

CoE, Code of Ethics

Definiciones La ética es el “conjunto de normas morales que rigen la

conducta de la persona en cualquier ámbito de la vida.” Una norma es una “regla que se debe seguir o a que se

deben ajustar las conductas, tareas, actividades, etc.” La moral es una “doctrina del obrar humano que pretende

regular de manera normativa el valor de las reglas de conducta y los deberes que estas implican.”

Un valor es el “grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”.

Código de Ética

Objetivos

Fomentar la ética en sus integrantes

Incentivar el comportamiento ético uniforme

Alentar a un comportamiento similar de parte de sus pares y de los integrantes de la Comunidad Objetivo

Fortalecer la imagen del Centro de Respuesta y de cada uno de sus integrantes

Código de Ética

Lineamientos generales para elaborarlo

Lenguaje

Moral

Aceptación

Código de Ética

Valores morales

Valor moral es todo aquello que lleve al hombre (y a la mujer) a defender y crecer en su dignidad de persona.

El valor moral conduce al bien moral.

Se le considera como un bien pues nos mejora, perfecciona, completa.

Encuesta para seleccionar cuáles incluir.

Código de Ética

Valores morales Respeto Honestidad Solidaridad Responsabilidad Crítica constructiva Gratitud Optimismo Superación

Voluntad Innovación Paciencia Amabilidad Empatía Sencillez Profesionalismo Alegría


La Seguridad Lógica en un Centro de Respuesta es la seguridad en el uso del software y los sistemas, la protección de los datos, procesos y programas así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando las tecnologías de la información y la comunicaciones. La correcta implementación de las mismas colaborará para la adecuada operación del Centro.


La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.


La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.

“Todo lo que no está permitido está prohibido”


Objetivo

Establecer las pautas a seguir a los efectos de resguardar el acceso a los datos y que sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Alcance

Todos los datos en el Centro de Respuesta y los integrantes del mismo.


Contenido Sistemas y aplicaciones del Centro

Administradores Red donde se encuentran instalados No un solo administrador Control de régimen de licencias y ausencias programadas Cantidad de usuarios definidos; revisión periódica Vulnerabilidades; revisión periódica


Contenido Seguridad perimetral

Deberá contar con IDS (Intrusion Detection System) IPS (Intrusion Prevention System) Firewall de capa 3 y 4 Firewall de aplicaciones Sistema Antimalware

Logs de los sistemas anteriores Sincronismo de los sistemas anteriores Analizar los logs


Contenido Investigación

Se deberá realizar en infraestructura propia no compartida Laboratorio

Se deberá realizar en infraestructura propia no compartida Contraseñas “administrador”

Sólo conocidas por quienes realmente las requieren para trabajar

No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”


Contenido Contraseñas “usuarios”

Sólo conocidas por su dueño No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de “fortaleza”

Contraseñas No disponibles para terceros Implementar en los sistemas críticos mecanismos de

chequeo de fortaleza de las contraseñas


Contenido “Mínimo privilegio” Actualización de firmas Verificación periódica de la actualización automática

del Sistema Antimalware Bloqueos de cuentas ante sucesivos intentos fallidos Sistemas operativos a utilizar

Niveles de seguridad adecuados Capacidad de administración por parte de los integrantes del

Centro Correcta prestación de los servicios que brindan


Análisis de Riesgos

Probabilidad de ocurrencia

Severidad

Controles para mitigarlos

Objetivo: Área Segura


Riesgos Seguridad Física

Derrumbe total o parcial

Atentados

Vandalismo

Huelgas


Riesgos Seguridad Ambiental Fuego Humo Inundación Humedad Temperatura Falla del sistema de ventilación o del sistema de aire

acondicionado Desastres naturales: sismos, huracanes, ciclones,

tornados, tormentas, rayos


Controles

Físicos

Técnicos

Administrativos

Ambientales


Controles Físicos

Guardias Muros Cercas eléctricas Rejas Iluminación Cerraduras


Controles Técnicos

Cámaras Lectores de tarjetas de acceso Identificadores biométricos Detectores de movimiento Alarmas sonoras y visuales Detectores de apertura de puertas o ventanas


Controles Administrativos

Elección adecuada del sitio Inventarios y su control periódico Registros o logs de los accesos al sitio y su análisis Control de las personas que acceden Escritorios de recepción y de validación de

credenciales y asistencia


Controles Ambientales Detectores de humo Detectores de agua Detectores de cambios importantes de la temperatura del aire Detectores de cambio importante en la humedad Sensores de contaminación del aire Inspecciones por parte de personal del Cuerpo de Bomberos Materiales de construcción no inflamables Cableado eléctrico no inflamable y en ductos adecuados Adecuados extintores portátiles

Política de Seguridad Física y Ambiental Texto de la propuesta

Contenido Realizar un Análisis de Riesgos y repetirlo con una

periodicidad no mayor a 2 años Conjunto mínimo de riesgos a considerar Se deberá implementar, como mínimo:

Clara delimitación de la frontera del medio Impedir el fácil acceso Almacenamiento de lo registrado por las cámaras de

seguridad Iluminación que permita en todo momento y circunstancia la

correcta visualización de lo que ocurre


La Politica de Gestión de Incidentes documenta los lineamientos fundamentales a respetar para cumplir adecuadamente con el principal servicio de un Centro de Respuesta.

Por tratarse del servicio que le da la razón de existir al Centro, requiere especial atención documentar su política y todos los procedimientos asociados.


Consideraciones previas

Expectativas

Proactivo: Prevenir incidentes de seguridad

Reactivo: Responder incidentes de seguridad

Aprender de lo ocurrido


La Gestión de Incidentes de Seguridad es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una organización minimizando su impacto en el negocio y la probabilidad de que se repita.



Fase Incidente(el incidente está siendo

gestionado)

Fase Post-Incidente(el incidente ha sido cerrado)

Informes



ComunidadObjetivo


Respuesta



ManualesTutoriales


Manuales

















¿Incidente?

NO

SI


reportó

SI

NO

Fases en la Gestión de un Incidente de Seguridad



Reporte




!

Reuniones¿Comunidad

Objetivo?NO

SI

Se registra


paragestionar

¡¡Triage!!Ciclo

de Vida

de un

Incidente

de

Seguridad


Proactividad

Sustentada en

Sensibilización

Capacitación y entrenamiento

Tests de Penetración

Auditorías



Manuales

















Reactividad Sustentada en

Comprender el incidente Identificar las vulnerabilidades involucradas Aislarlas Analizar los artefactos involucrados Recuperar los sistemas afectados Verificar que ya no son vulnerables por lo menos a lo que

ocasionó el incidente Asesorar a la organización afectada sobre cómo gestionar la

información vinculada al incidente La eventual recolección y preservación de evidencia para una

posible instancia judicial.


Reactividad Fase Incidente(el incidente está siendo

gestionado)


¿Incidente?


reportó

SI

NO



Reporte




!

¿ComunidadObjetivo?

SI

Se registra


paragestionar

¡¡Triage!!


Luego de la tormenta... Fase Post-Incidente(el incidente ha sido cerrado)

Informes



ComunidadObjetivo


Respuesta



ManualesTutoriales

Reuniones


Definiciones

Evento toda ocurrencia observable en un sistema

Incidente de seguridad una violación o una amenaza de violación inminente

(intencional o no) a las políticas de seguridad y/o a las políticas de uso aceptable de una organización


Ejemplos de Eventos enviar un correo electrónico enviar SPAM recibir un GET en un servidor Web enviar un SMS no dejar pasar un segmento TCP SYN en un firewall recibir un SMS con propaganda no solicitada dejar pasar un segmento TCP SYN en un firewall


Ejemplos de Incidentes de Seguridad acceso no autorizado a un sistema

Por elevación de privilegios Por acceso al archivo de passwords

DoS (Denial of Service) Envío de paquetes malformados Flooding de ICMP

sabotaje uso inapropiado de algún sistema

Amenazas vía correo electrónico o vía SMS Servidor de una organización como repositorio de videos no

vinculados al trabajo


Ejemplos de Incidentes de Seguridad actividades de Ingeniería Social fraude distribución de algún malware

Gusano Virus

combinación de algunos de los anteriores enviar un correo electrónico

Referencias

G. Killcrece, K. Kossakowski, R. Ruefle y M. Zajicek, State of the Practice of Com-puter Security Incident Response Teams (CSIRTs), octubre 2003. En línea: http://www.cert.org/archive/pdf/03tr001.pdf.

Internet Security Systems, Computer Security Incident Response Planning - Pre-paring for the Inevitable. En línea: http:// documents.iss.net/whitepapers/csirplanning.pdf.

N. Brownlee y E. Guttman, Expectations for Computer Security Incident Re-sponse, junio 1998. En línea: http://www.rfc-editor.org/rfc/rfc2350.txt.

Referencias

R. Shirey, Internet Security Glossary, Version 2, agosto de 2007. En línea: http://www.rfc-editor.org/rfc/rfc4949.txt.

K. Scarfone, T. Grance y K. Masone, Computer Security Incident Handling Guide – Revision 1, marzo de 2007. En línea: http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.

T. Wright, How to Design a Useful Incident Response Policy, octubre 2001. En línea: http://www.securityfocus.com/infocus/1467.

Política de Protección de la InformaciónPropuesta

Confidencial El acceso a la misma en forma remota deberá ser asegurando la

confidencialidad y la integridad utilizando algunos de los siguientes protocolos: https, sftp o ssh.

De requerirse, la transmisión de información secreta será cifrada con clave pública de largo mínimo de 1024 bits.

Podrá almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento portátiles, asegurando confidencialidad con clave de largo mínimo de 1024 bits.

No podrá almacenarse en sistemas remotos propietarios de los integrantes del Centro.

No debe ser comentada con ninguna persona ajena al Centro de Respuesta.


Uso interno Cuando se trata de información en formato lógico, el nombre del

mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.

Cuando se trata de información en formato físico, la misma no podrá salir del sitio del Centro de Respuesta.

La información de uso interno no debe ser difundida fuera del ámbito del Centro de Respuesta.

Deberá existir control de acceso a la misma. El acceso a la misma en forma remota deberá ser asegurando la

confidencialidad y la integridad. En sistemas remotos propietarios de los integrantes del Centro sólo

podrá ser almacenada cifrada con clave de largo mínimo de 1024 bits.

No debe ser comentada con ninguna persona ajena al Centro de Respuesta.


Pública Cuando se trata de información en formato lógico, el

nombre del mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro.

Cuando se trata de información en formato físico, para que sea considerada válida y auténtica, siempre debe existir la misma información en formato lógico según lo expresado en el párrafo anterior.

Política de Difusión de la InformaciónPropuesta

Objetivo Determinar, para toda la información que gestiona el

Centro de Respuesta, a quienes se puede difundir, utilizando qué métodos y con qué mecanismos de protección.

Alcance Aplica a toda la información que gestione el Centro de

Respuesta. En este contexto gestionar información implica alguna de las siguientes acciones con la información: recibir, procesar, almacenar, destruir, generar y enviar.


Contenido

Información recibida

Toda la Información recibida en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó. Una disminución del nivel de clasificación deberá requerir que previamente quien la haya generado otorgue por escrito el consentimiento correspondiente.

Toda la información asociada a la gestión de un incidente de seguridad o a un evento será clasificada como confidencial.


Contenido

Información procesada

Toda información procesada en el Centro de Respuesta deberá ser clasificada de acuerdo a lo expresado en la Política de Clasificación de la Información.

Toda la información procesada en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó y respetar las condiciones de difusión por él expresadas. El cambio de algunas de estas condiciones deberá requerir que a priori se obtenga un consentimiento por escrito que lo autorice.


Contenido

Información almacenada Ver Política de Almacenamiento de la Información.

Información destruida Ver Política de Destrucción de la Información.

Información generada Toda la información generada en el Centro deberá tener

explicitada su clasificación en base a la Política de Clasificación de la Información.


Contenido

Información enviada Si se trata de información generada en el Centro, se deberá

difundir explicitando la clasificación de la misma. Quien envía la información, siempre debe verificar que el

destinatario es quien se desea y que es correcto que sea recibida por él.

Si se trata de difusión de información generada por personas o sistemas externos al Centro de Respuesta y se requiere por parte del destinatario de la misma conocer su origen, previo a informarlo se debe contar con el visto bueno por escrito de tal autorización.


Contenido Información clasificada como “confidencial” o

“secreta” Vía red Vía dispositivo de almacenamiento Vía papel

Información con destino Judicial “confidencial” o “secreta” Responsable Legal, Director Ejecutivo Registro


Contenido Información ni “confidencial” ni “secreta”

Asegurar que haya llegado al destino

Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo,

Gerente Operacional, Responsable de Difusión y Responsable Legal.

Control de integridad de la respuesta. Registro

Política de Guarda de la InformaciónPropuesta

Objetivo

Establecer, para toda la información que se almacena el Centro de Respuesta, qué tipos de protección y control se deben implementar.

Alcance

Comprende a toda la información almacenada en el Centro de Respuesta.


Contenido

Respaldo de la información

Procedimiento de Respaldo de la Información

Sitio de respaldo


Contenido Información crítica

Aquella que en caso de verse comprometida en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente al dueño de la misma

Según sección “Información Crítica” del Procedimiento de Respaldo de Información

Sistemas críticos Aquel que en caso de verse comprometido en cuanto a

alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta

Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información


Contenido Información “secreta” o “confidencial” es estaciones

de trabajo y servidores Cifrado

Información “secreta” o “confidencial” En papel o unidad de almacenamiento (CD, DVD, pendrive)

en caja fuerte propiedad del Centro instalada en su sitio físico Aquel que en caso de verse comprometido en cuanto a

alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta

Según sección “Sistemas Críticos” del Procedimiento de Respaldo de Información


Contenido Cada documento de gestión del Centro

Generar dos hashes con funciones de hash distintas y los valores guardados en una unidad de almacenamiento exclusiva, dentro de caja fuerte propiedad del Centro instalada en su sitio físico

Notebooks Dispositivos de almacenamiento con contenido cifrado

Servidores Redundancia e integridad

Información de incidentes gestionados retenida, al menos tres años a partir de la apertura del

mismo.

Referencias

ISO/IEC TR 18044:2004. Gestión de incidentes de la seguridad de la información.

ISO/IEC 27001:2005. Sistemas de Gestión de la Seguridad de la Información – Requisitos.

ISO/IEC 27002:2005(17799). Código de buenas prácticas para la gestión de la seguridad de la información.

proyecto amparo presentaciones manual de gestión de ... gestion incidentes seguridad.pdf · estado...

Documents