Gestión de Incidentes
Identificar, analizar, manejar y responder efectivamente a eventos inesperados que pueden afectar adversamente los activos de información de la organización y/o su habilidad de operar.
¿Por qué necesitamos la gestión de Incidentes en S.I.?
- Generalmente deseamos prevenir el Incidente.
- Si no es posible prevenir, deseamos detectarlos.
- Al detectarlos, deseamos manejarlos lo mejor posible.
- Cuando retornamos a la normalidad, necesitamos asegurarnos de aplicar las mejoras.
¿Qué es Incidente?
Incidente es un evento adverso que ha ocasionado o tiene la posibilidad de ocasionar un daño a los activos, la reputación y/o el personal de una organización.
Cualquier evento que no sea parte normal de un servicio y que cause, o pueda causar una interrupción, o una disminución en la calidad del servicio. (ITIL)
¿Qué es el Manejo y Respuesta de Incidentes?
Manejo de Incidentes, es el proceso de desarrollar y mantener la capacidad para manejar incidentes dentro de una organización, de tal forma que sea posible contener los impactos y se pueda alcanzar la recuperación dentro de los objetivos de tiempo establecidos.
Respuesta a Incidentes es la capacidad de prepararse para eventos inesperados y responder a ellos a fin de poder controlar y limitar el daño, y mantener o restablecer las operaciones normales
Visión General
La gestión de Incidentes permite responder a eventos perjudiciales inesperados con el fin de controlar el impacto dentro de niveles aceptables.
Incluye actividades preventivas.
Los incidentes pueden ser de naturaleza técnica o física.
El proceso de Gestión y Respuesta a Incidentes forma parte de los planes de Continuidad de Negocio, BCP y el de Recuperación de Desastres, DRP
Gestión y respuesta a incidentes
Los elementos con los cuales se desarrolla la capacidad de gestionar incidentes de SI.
Estrategia
- Identificar el Marco de Referencia
- Definir Acuerdos de Nivel de Servicios
- Niveles de Maduréz
- El Equipo dedicado a manejar los Incidentes: IMT, ISRT, CSIRT,etc
- Roles y Responsabilidades
- Métricas
Definición de los procedimientos de la gestión de incidentes
El enfoque de ITIL:
- Restaurar el servicio a la normalidad tan pronto sea posible
- Reducir el Impacto
- Mantener la Disponibilidad del Servicio
- Encontrar una solución o alternativa
Fases: incluye lecciones aprendidas
El enfoque del informe técnico del CMU/SEI titulado Defining Incident Management Process
Plan de Acción detallado para la gestión de incidentes
Preparar:
- Coordinar la planeación y el diseño
- Coordinar la implementación
- Evaluar la capacidad de manejo de incidentes
- Llevar a cabo revisiones postmortem
- Determinar cambios en el proceso de manejo de incidentes
- Implementar cambios en el proceso de manejo de incidentes
Proteger
- Implementar cambios a la infraestructura computacional para mitigar incidentes reales o posibles
- Implementar mejoras a la protección de la infraestructura a partir de revisiones postmortem u otros mecanismos de mejora de procesos
- Evaluar la infraestructura informática mediante la realización de valoraciones y evaluaciones proactivas de la seguridad
- Proporcionar retroalimentación para detectar procesos en incidentes reales/posibles
Detectar
- Detección Proactiva – procesos de detección que actúan antes de la ocurrencia del incidente
- Detección Reactiva – al observar actividad inusual o sospechosa se desencadena la notificación, priorización e investigación
Priorización de emergencias:
- Puede llevarse a cabo en dos niveles:
- Táctico - Con base en un conjunto de criterios
- Estratégico - Con base en el impacto al negocio
- Subprocesos de este proceso incluye:
- Categorización
- Denegación de servicio
- Código malicioso
- Acceso no autorizado
- Uso inapropiado
- Componentes múltiples
Responder:
- Respuesta Técnica
- Recopilar datos para su análisis posterior
- Analizar la información de soporte del incidente, tal como archivos de bitácoras (logs)
- Investigar estrategias de mitigación técnica correspondientes y opciones de recuperación
- Asistencia técnica telefónica o por correo electrónico
- Asistencia en el sitio
- Análisis de bitácoras
- Desarrollo y aplicación de parches y soluciones alternas
- Respuesta Gerencial
- Respuesta Legal
Gestión y respuesta a incidentes
Los Planes de Respuesta a Incidentes (IRP) son muy similares a los Planes de Continuidad del Negocio (BCP), salvo por el hecho de que los IRP se enfocan en las violaciones a la seguridad que representen una amenaza a la integridad de los sistemas, redes, aplicaciones y datos, así como la confidencialidad de la información crítica y el no repudio de las transacciones electrónicas
En la planeación se deben considerar todas las funciones del negocio que sean críticas, vitales, sensibles, así como aquellas funciones de soporte que sean necesarias, aun cuando no sean ni sensibles ni críticas
Las decisiones que deben tomar las partes interesadas y ratificar la alta gerencia incluyen:
- Capacidades de detección de incidentes
- Criterios de severidad claramente definidos
- Capacidades de valoración y priorización de emergencias
- Criterios de declaración
- Alcance
- Capacidad de respuesta
El proceso de desarrollar y mantener un plan debe incluir lo siguiente:
- Elaborar un análisis de impacto al negocio (BIA)
- Identificar y priorizar los sistemas y otros recursos que se requieren para soportar los procesos de negocio críticos
- Valorar las capacidades de detección y monitoreo de incidentes
- Definir y obtener el acuerdo sobre los criterios tanto de severidad como de declaración
- Elegir las estrategias apropiadas para recuperar al menos aquellas instalaciones que sean suficientes para soportar los procesos de negocio críticos
- Desarrollar el plan de recuperación de desastre
El proceso de desarrollar y mantener un plan debe incluir lo siguiente (continuación):
- Capacitar al personal sobre cómo seguir los planes
- Probar los planes
- Actualizar los planes a medida que cambia el negocio y se desarrollan sistemas
- Almacenar los planes para que se pueda acceder a ellos a pesar de que ocurran fallas en las computadoras o redes
- Auditar los planes
Alcance de la gestión de incidentes
- Documento que establece formalmente el IMT y documenta su responsabilidad para administrar y responder a incidentes relacionados con la seguridad
- Las secciones del estatuto deben incluir:
- Misión
- Alcance
- Estructura organizacional
- Flujo de información
- Servicios proporcionados
Responsabilidades
Desarrollar planes para el Gestión y respuesta a incidentes relacionados con la seguridad de la información
Manejar y coordinar las actividades de respuesta a incidentes relacionados con la seguridad de la información efectiva y eficientemente
Validar, verificar y reportar las soluciones de protección o de contramedidas, tanto técnicas como administrativas
Llevar a cabo la planeación, la elaboración de presupuesto y el desarrollo del programa para todos los aspectos relativos al manejo y la respuesta de incidentes relacionados con la seguridad de la información
Las metas a la respuesta de incidentes incluyen:
- Contener los efectos del incidente
- Notificar a la gente apropiada sobre el propósito de la recuperación o para proporcionar la información necesaria
- Recuperarse rápida y eficientemente de los incidentes relacionados con la seguridad
- Minimizar el impacto de los incidentes relacionados con la seguridad
- Responder de forma sistemática y reducir la probabilidad de que el incidente vuelva a ocurrir
- Equilibrar los proceses operativos y de seguridad
- Resolver problemas legales y los relacionados con el cumplimiento de las leyes
Definir que constituye un incidente relacionado con la seguridad:
- Ataques de código malicioso
- Acceso no autorizado a los recursos de TI/SI
- Uso no autorizado de servicios
- Cambios no autorizados a sistemas, dispositivos de red o información
- Denegación de servicio.
- Uso inapropiado.
- Vigilancia y espionaje
- Engaños / Ingeniería social
Compromiso de la Alta Dirección
Un factor crucial para el éxito del proceso de Gestión y respuesta a incidenteses contar con el compromiso de la Alta Dirección
El manejo y respuesta a incidentes es un componente de la administración de riesgos y requiere el mismo nivel de apoyo de la Alta Dirección
Pruebas
Son necesarias para probar los procedimientos y asegurar la recuperación en una situación de emergencia.
Realización Periódica
Evaluar Resultados
Establecer métricas: tiempo, cantidad %, precisión
Pruebas - Tipos
Documentación de Eventos
Son necesarios para asegurar que se registre la información relevante del incidente y se preserven los datos
Contemplar en los procedimientos:
- Requerimientos de evidencia legal y forense
- Formularios de cadena de custodia
- Listas de Verificación que incluyan detalles de prácticas Forenses legalmente aceptables
- Patrones de registro de actividades, de informes, etc.
Revisiones Posteriores al Evento
Sirven para aprender del incidente y procurar la mejora de procedimientos de respuesta y recuperación.
Contemplar:
- Causas y acciones correctivas para que el incidente no vuelva a ocurrir
- Lecciones aprendidas
- Costos incurridos
Conclusiones
- La Gestión y Respuesta a Incidentes permite desarrollar capacidades para responder a eventos de Seguridad no esperados, permitiendo minimizar el impacto y la probabilidad de ocurrencia.
- A través de ellos es que se logrará una efectiva capacidad de respuesta ante incidentes de S.I., protección de los activos de información.
- Es indispensable conseguir el apoyo de la alta dirección a fin de conseguir los objetivos esperados.
