Guía de procesos en gestión de incidentes

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Guía de procesos en gestión de incidentes"

José Ignacio Lagos Ferreyra
hace 8 años
Vistas:

1 SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión Setiembre 2010

2 Table of Contents Guía de referencia en gestión de incidentes en seguridad de la información...5 Objeto...5 Definiciones...5 Comunidad objetivo... 5 Evento de seguridad informática... 5 Incidente de seguridad informática... 6 Principales aspectos de una política de gestión de incidentes...6 Definición de Comunidad Objetivo... 6 Clasificación de incidentes... 6 Procesos de gestión de incidentes... 7 Proceso de planificación y preparación para enfrentar incidentes de seguridad... 7 Proceso de atención a incidentes... 8 Proceso de mejora continua para enfrentar futuros incidentes... 8 Diagrama de procesos...9 Referencias...9

3 Título 3 Versión Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento) Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento así como hacer obras derivadas, siempre y cuando tengan en cuenta citar la obra de forma específica y no utilizar esta obra para fines comerciales. Toda obra derivada de esta deberá ser generada con estas mismas condiciones.

5 Guía de referencia en gestión de incidentes en seguridad de la información Objeto El objetivo de esta Guía es dar los lineamientos básicos para la elaboración de los manuales de gestión de incidentes de acuerdo a las mejores prácticas actuales. La Guia propondrá entonces algunas definiciones generales de acuerdo a normas internacionales reconocidas para luego presentar los puntos mas relevantes que una Política de gestión de incidentes deberá contener. Esta guía toma como referencia la normativa de ISO/IEC 18044, NIST y el Hanbook de CERT/CC Definiciones Comunidad objetivo La Comunidad Objetivo es aquel grupo de personas, sistemas u organizaciones para quienes se prestará el servicio de gestión de incidentes. Evento de seguridad informática Un evento de seguridad informática es una ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información o la falla de medidas de seguridad (safeguards), o una situación previamente desconocida que pueda ser relevante para la seguridad. [ISO 18044] Por ejemplo: un usuario se conecta a un sistema, un intento fallido de un usuario para ingresar a una aplicación, el firewall que permite o bloquea un acceso, una notificación de un cambio de contraseña de un usuario privilegiado, etc. Un Evento de Seguridad Informática no es necesariamente una ocurrencia maliciosa o adversa.

6 Incidente de seguridad informática Título 6 Un incidente de seguridad informática es la violación o amenaza inminente a la violación de una política de seguridad de la información implícita o explícita. También es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y disponibilidad). Un incidente puede ser denunciado por los involucrados, o indicado por un único o una serie de eventos de seguridad informática. [NIST800-61, ISO 18044]. Como ejemplos de incidentes de seguridad podemos enumerar: Acceso no autorizado Robo de contraseñas Robo de información Denegación de servicio Principales aspectos de una política de gestión de incidentes La Gestión de Incidentes puede definirse como el conjunto de acciones y procesos tendientes a brindar a las organizaciones de la comunidad objetivo fortalezas y capacidades para responder en forma adecuada a la ocurrencia de incidentes de seguridad informática que afecten real o potencialmente sus servicios. Definición de Comunidad Objetivo La política de gestión de incidentes en seguridad de la información debe incluir una definición clara de la Comunidad Objetivo. Esta puede estar incluida en la misma definición de la política o en un documento independiente. Es importante que la definición sea lo mas concreta posible, pero pueden utilizarse definiciones mas generales como "los sistemas informáticos que soporten activos de información críticos del Estado" y luego especifialos en listas no exluyentes. Clasificación de incidentes Toda política de gestión de incidentes deberá definir un esquema de clasificación de los incidentes de seguridad. Si bien es real que los incidentes pueden ser difíciles de encasillar en un esquema de clasificación fijo, la

7 Título 7 clasificación permite elaborar estadísticas en el mediano y largo plazo así como también tomar decisiones a la hora de correr los procesos de preparación (ver mas adelante). El esquema de clasificación deberá contemplar al menos los siguientes aspectos de un incidente: Tipo: Por tipo de un incidente entendemos a una clasificación en categorías que clasifiquen los aspectos funcionales del incidente. Algunos ejemplos de esto son por ejemplo: Acceso no autorizado a sistemas Denegación de servicio Divulgación de información sensible Infección de Malware Severidad: La severidad de un incidente es un elemento de clasificación que debe permitir el potencial impacto del incidente. Este impacto puede ser medido de diversas maneras. En algunos casos será posible establecer una escala monetaria, en otros casos se podrá establecer una escala de impacto funcional (por ejemplo alta, media, baja) de acuerdo a la afectación de los servicios. Procesos de gestión de incidentes Los procesos definen conjuntos de actividades que son realizadas por parte del Centro de Respuestas independientemente de que se esté respondiendo a un incidente o no. Los procesos que la política deberá definir comprenderán al menos los siguientes aspectos: Proceso de planificación y preparación para enfrentar incidentes de seguridad El proceso de preparación incluye todas aquellas actividades de tipo proactivo que puedan llevarse a cabo para estar mejor preparado para responder y enfrentar incidentes de seguridad. Estas actividades incluyen items como: Análsis de alertas y amenazas Actividades de sensibilización Actividades de entrenamiento Ensayos y evaluaciones de seguridad Definición de procedimientos Analisis y mejora contínua del proceso

8 Título 8 Proceso de atención a incidentes El proceso de atención a incidentes agrupa todas las actividades de tipo reactivo que se realizan como parte de la respuesta a un incidente concreto. Este proceso incluirá items como: Recepción de reportes de incidentes Clasificación y valoración de impacto Relevamiento de sistemas y procesos de negocio afectados asi como sus responsales Elaboración de un plan de respuesta al incidente con medidas de contención y mitigación recomendadas. Obtención de avales para ejecución del plan de respuesta, si este lo requiere Ejecución de las medidas de contención y mitigación Elaboración de un informe final de cierre Proceso de mejora continua para enfrentar futuros incidentes El proceso de mejora continua agrupa todas las actividades que serán realizadas por parte de la entidad afectada por el incidente para mejorar su postura de seguridad para enfrentar futuros incidentes. La experiencia adquirida en la atención al incidente así como toda la información obtenida durante el curso de la acción podrá permitir la elaboración de un plan de acciones de mejora a implementar por la entidad afectada. El objetivo de este plan de acciones no deberá ser en ningún caso un objetivo de auditoría o de búsqueda de responsables si no que el objetivo deberá ser el de fortalecer a la organización para evitar la repetición de incidentes similares en el futuro.

9 Título 9 Diagrama de procesos El siguiente diagrama ilustra como los procesos detallados anteriormente se coordinan entre sí. Referencias [ISO 18044] Information Technology Security Techniques Information security incident management: [NIST ] Computer Security Incident Handling Guide:

10 Título 10

Documentos relacionados

Política de Gestión de Incidentes de Seguridad de la Información

SGSI Sistema de Gestión de Seguridad de la Información Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 2010 Setiembre 2010 Versión 1.1 2010 Este documento ha sido elaborado