SGSI

Sistema de Gestin de Seguridad de la Informacin

! !
!

Gua de procesos en gestin de incidentes

Versin 1.0 2010 Setiembre 2010

"#$%&!'(!)'*+&*+,!
!"#$%&'%(')'('*+,$%'*%-'./,0*%&'%,*+,&'*/'.%'*%.'-"(,&$&%&'%1$%,*)2(3$+,0* 4444444444444444445! 678'/2 44444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444445! 9'),*,+,2*'. 44444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444445! "#$%&'()(!#*+,-'.# /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 0! 1.,&-#!(,!2,3%4'()(!'&5#4$6-'7)////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 0! 8&7'(,&-,!(,!2,3%4'()(!'&5#4$6-'7)///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 9! :(,*+,;$1'.%$.;'+/2.%&'%"*$%;21#/,+$%&'%-'./,0*%&'%,*+,&'*/'.444444444444444444444444444444444444444444444444444444444<! :,5'&'7';&!(,!"#$%&'()(!<*+,-'.# ////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 9! "=)2'5'7)7';&!(,!'&7'(,&-,2/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// 9! >4#7,2#2!(,!3,2-';&!(,!'&7'(,&-,2//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// ?! >4#7,2#!(,!@=)&'5'7)7';&!A!@4,@)4)7';&!@)4)!,&54,&-)4!'&7'(,&-,2!(,!2,3%4'()( /////////////////////////////// ?! >4#7,2#!(,!)-,&7';&!)!'&7'(,&-,2////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// B! >4#7,2#!(,!$,+#4)!7#&-'&%)!@)4)!,&54,&-)4!5%-%4#2!'&7'(,&-,2 ///////////////////////////////////////////////////////////////// B! 9,$-($3$%&'%;(2+'.2. 444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444=! >')'('*+,$.444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444=!

! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !

Ttulo | 3

! ! ! !
Versin 1.0 2010
Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y el Conocimiento) Usted es libre de copiar, distribuir, comunicar y difundir pblicamente este documento as como hacer obras derivadas, siempre y cuando tengan en cuenta citar la obra de forma especfica y no utilizar esta obra para fines comerciales. Toda obra derivada de esta deber ser generada con estas mismas condiciones.

Gua de referencia en gestin de incidentes en seguridad de la informacin

Objeto
El objetivo de esta Gua es dar los lineamientos bsicos para la elaboracin de los manuales de gestin de incidentes de acuerdo a las mejores prcticas actuales. La Guia propondr entonces algunas definiciones generales de acuerdo a normas internacionales reconocidas para luego presentar los puntos mas relevantes que una Poltica de gestin de incidentes deber contener. Esta gua toma como referencia la normativa de ISO/IEC 18044, NIST800-61 y el Hanbook de CERT/CC

Definiciones
Comunidad objetivo
La Comunidad Objetivo es aquel grupo de personas, sistemas u organizaciones para quienes se prestar el servicio de gestin de incidentes.

Evento de seguridad informtica

Un evento de seguridad informtica es una ocurrencia identificada de un estado de un sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin o la falla de medidas de seguridad (safeguards), o una situacin previamente desconocida que pueda ser relevante para la seguridad. [ISO 18044] Por ejemplo: un usuario se conecta a un sistema, un intento fallido de un usuario para ingresar a una aplicacin, el firewall que permite o bloquea un acceso, una notificacin de un cambio de contrasea de un usuario privilegiado, etc. Un Evento de Seguridad Informtica no es necesariamente una ocurrencia maliciosa o adversa.

Ttulo | 6

Incidente de seguridad informtica

Un incidente de seguridad informtica es la violacin o amenaza inminente a la violacin de una poltica de seguridad de la informacin implcita o explcita. Tambin es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y disponibilidad). Un incidente puede ser denunciado por los involucrados, o indicado por un nico o una serie de eventos de seguridad informtica. [NIST800-61, ISO 18044]. Como ejemplos de incidentes de seguridad podemos enumerar: Acceso no autorizado Robo de contraseas Robo de informacin Denegacin de servicio

Principales aspectos de una poltica de gestin de incidentes

La Gestin de Incidentes puede definirse como el conjunto de acciones y procesos tendientes a brindar a las organizaciones de la comunidad objetivo fortalezas y capacidades para responder en forma adecuada a la ocurrencia de incidentes de seguridad informtica que afecten real o potencialmente sus servicios.

Definicin de Comunidad Objetivo

La poltica de gestin de incidentes en seguridad de la informacin debe incluir una definicin clara de la Comunidad Objetivo. Esta puede estar incluida en la misma definicin de la poltica o en un documento independiente. Es importante que la definicin sea lo mas concreta posible, pero pueden utilizarse definiciones mas generales como "los sistemas informticos que soporten activos de informacin crticos del Estado" y luego especifialos en listas no exluyentes.

Clasificacin de incidentes
Toda poltica de gestin de incidentes deber definir un esquema de clasificacin de los incidentes de seguridad. Si bien es real que los incidentes pueden ser difciles de encasillar en un esquema de clasificacin fijo, la

Ttulo | 7 clasificacin permite elaborar estadsticas en el mediano y largo plazo as como tambin tomar decisiones a la hora de correr los procesos de preparacin (ver mas adelante). El esquema de clasificacin deber contemplar al menos los siguientes aspectos de un incidente: Tipo: Por tipo de un incidente entendemos a una clasificacin en categoras que clasifiquen los aspectos funcionales del incidente. Algunos ejemplos de esto son por ejemplo: Acceso no autorizado a sistemas Denegacin de servicio Divulgacin de informacin sensible Infeccin de Malware Severidad: La severidad de un incidente es un elemento de clasificacin que debe permitir el potencial impacto del incidente. Este impacto puede ser medido de diversas maneras. En algunos casos ser posible establecer una escala monetaria, en otros casos se podr establecer una escala de impacto funcional (por ejemplo alta, media, baja) de acuerdo a la afectacin de los servicios.

Procesos de gestin de incidentes

Los procesos definen conjuntos de actividades que son realizadas por parte del Centro de Respuestas independientemente de que se est respondiendo a un incidente o no. Los procesos que la poltica deber definir comprendern al menos los siguientes aspectos:

Proceso de planificacin y preparacin para enfrentar incidentes de seguridad

El proceso de preparacin incluye todas aquellas actividades de tipo proactivo que puedan llevarse a cabo para estar mejor preparado para responder y enfrentar incidentes de seguridad. Estas actividades incluyen items como: Anlsis de alertas y amenazas Actividades de sensibilizacin Actividades de entrenamiento Ensayos y evaluaciones de seguridad Definicin de procedimientos Analisis y mejora contnua del proceso

Ttulo | 8

Proceso de atencin a incidentes

El proceso de atencin a incidentes agrupa todas las actividades de tipo reactivo que se realizan como parte de la respuesta a un incidente concreto. Este proceso incluir items como: Recepcin de reportes de incidentes Clasificacin y valoracin de impacto Relevamiento de sistemas y procesos de negocio afectados asi como sus responsales Elaboracin de un plan de respuesta al incidente con medidas de contencin y mitigacin recomendadas. Obtencin de avales para ejecucin del plan de respuesta, si este lo requiere Ejecucin de las medidas de contencin y mitigacin Elaboracin de un informe final de cierre

Proceso de mejora continua para enfrentar futuros incidentes

El proceso de mejora continua agrupa todas las actividades que sern realizadas por parte de la entidad afectada por el incidente para mejorar su postura de seguridad para enfrentar futuros incidentes. La experiencia adquirida en la atencin al incidente as como toda la informacin obtenida durante el curso de la accin podr permitir la elaboracin de un plan de acciones de mejora a implementar por la entidad afectada. El objetivo de este plan de acciones no deber ser en ningn caso un objetivo de auditora o de bsqueda de responsables si no que el objetivo deber ser el de fortalecer a la organizacin para evitar la repeticin de incidentes similares en el futuro.

Ttulo | 9

Diagrama de procesos
El siguiente diagrama ilustra como los procesos detallados anteriormente se coordinan entre s.

Referencias
[ISO 18044] Information Technology Security Techniques Information security incident management: http://webstore.iec.ch/preview/info_isoiec18044%7Bed1.0%7Den.pdf [NIST 800-61] Computer Security Incident Handling Guide:

Ttulo | 10 http://www.nmt.edu/~sfs/Regs/sp800-61.pdf