GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE
INFORMACIÓN
QUÉ
ES UN INCIDENTE DE SEGURIDAD?
Es
un hecho o amenaza que atenta contra la Confidencialidad , Integridad y
Disponibilidad de un sistema informático.
¿QUÉ MEDIDAS TOMAR?
Medidas
Preventivas
Son
aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de
Backup, Planes de continuidad, cifrado, etc.
Con
esto nos referimos a toda acción que tenga como principal medida salvaguardar
nuestros activos.
Medidas
de Detección
Son
las que tienen a controlar es decir, Registros de Auditoria, Revisiones de
Seguridad, etc.
Medidas
Correctivas
Consiste
en tener a mano el uso de esquemas de
tolerancia a fallos, procedimientos de Restauración, etc.
La
Gestión de Incidentes persigue
como objetivo el uso de recursos necesarios y su uso adecuado, con el afán de
Realizar prevención, detección y corrección de ser necesarios al momento de
atender un incidente de seguridad de la información.
Para
este fin se utilizan las siguientes pautas:
a. Prevención de incidentes
b. Detección y el reporte del incidente
c. Clasificación del incidente
d. Análisis del incidente
e. Respuesta al incidente
f. Registro de incidentes
g. Aprendizaje
Beneficios:
•
Responder
a los incidentes de manera sistemática, eficiente y rápida.
•
Facilitar una recuperación en poco tiempo, perdiendo muy poca información.
•
Realizar continuamente mejoras en la gestión y tratamiento de incidentes.
•
Generar un Base de conocimientos sobre Incidentes.
•
Evitar incidentes repetitivos.
•
La posibilidad de apegar los incidentes acorde a legislación vigente.
El
proceso de Gestión para el tratamiento de incidentes consta de 6 pasos:
•Preparación / Prevención
•Detección / Notificación
•Análisis Preliminar
•Contención, Erradicación y Recupero
•Investigación
•Actividades Posteriores
1.
Preparación / Prevención
Si
hablamos de estar preparados, es importante poder armar una especie de cuadro
con
una categorización de los tipos de incidentes como por ejemplo por tipo de incidente
y
envergadura de daños producidos,
para esto podemos usar este criterio en donde
sumamos los efectos negativos
producidos por el incidente y la criticidad de los recursos
afectados y
esto nos devuelve la criticidad del incidente.
2.
Detección / Notificación
En
este segundo paso es cuando nos encontramos frente a una detección de un
incidente y
esta puede ser manual o automática ya sea por una advertencia que
este indicando un
incidentes o puede ser también por una señal de algún sistema
que indique que está
ocurriendo o en el peor de los casos que ya ocurrió el
incidente.
3.
Análisis Preliminar
Una
vez que ya contamos con los indicadores o advertencias tenemos que saber si es
verdaderamente un incidente de seguridad o solo se trata de un falso positivo,
para poder
lograr ver la luz al final del camino, tenemos que realizar la tarea
de recolección de
Información.
4.
Contención, respuesta y recupero
Ya
en esta instancia nos avocamos a la tarea de volver los sistemas a la
normalidad para
ello contamos con tres acciones.
Contención. evitar que el incidente siga produciendo daños.
Erradicación. eliminar la causa del incidente y todo rastro de los daños.
Recupero. volver el entorno afectado a su estado original.
5.
Investigación.
No
hay nada mejor que aprender de los hechos desfavorables, es por eso que la
investigación nos nutre de una base de Conocimiento que nos permite entender lo
que
paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar
todas las
medidas necesarias en la investigación, realizando una correcta
adquisición de evidencia
aplicando en todo momento el control de la cadena de
custodia y utilizando elementos de
validación.
6.
Actividades Posteriores
Es
un hecho que al finalizar la gestión y tratamiento de incidentes donde debemos
realizar
lo siguiente:
•Organizar
reuniones
•Mantener
la documentación
•Crear
bases de conocimiento
•Integrar
la gestión de incidentes al análisis de riesgos
•Implementar
controles preventivos
•Elaborar
Tableros de Control.
No hay comentarios:
Publicar un comentario