ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

16. Gestión de Incidentes

El objetivo es garantizar que los eventos de seguridad de la información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.


Las organizaciones cuentan con innumerables activos de información, cada uno expuesto a sufrir incidentes de seguridad. Resulta necesario contar con una capacidad de gestión de dichos incidentes que permita comenzar por su detección, llevar a cabo su tratamiento y colaborar en la prevención de futuros incidentes similares.



Objetivo de control


Objetivo

El objetivo es garantizar una administración de incidentes de seguridad de la información coherente y eficaz en base a un enfoque de comunicación de los eventos y las debilidades de seguridad.


16.1 Gestión de incidentes de seguridad de la información y mejoras

Deberían establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de información de una manera efectiva y una vez que hayan sido comunicados.


Se debería aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de información.


Cuando se requieran evidencias, éstas deben ser recogidas para asegurar el cumplimiento de los requisitos legales.


Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos débiles de control, identifican oportunidades de mejora y conforman por sí mismos un mecanismo eficaz de concienciación en seguridad.


Debería establecerse el informe formal de los eventos y de los procedimientos de escalado.


Todos los empleados, contratistas y terceros deberían estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales.


Se les debería exigir que informen de cualquier evento o debilidad en la seguridad de información lo más rápido posible y al punto de contacto designado.


Establezca y dé a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de seguridad.


Actividades de control del riesgo

16.1.1 Responsabilidades y procedimientos: Se deberían establecer las responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.


16.1.2 Notificación de los eventos de seguridad de la información: Los eventos de seguridad de la información se deberían informar lo antes posible utilizando los canales de administración adecuados.


16.1.3 Notificación de puntos débiles de la seguridad: Se debería requerir anotar e informar sobre cualquier debilidad sospechosa en la seguridad de la información en los sistemas o servicios tanto a los empleados como a contratistas que utilizan los sistemas y servicios de información de la organización.


16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones: Se deberían evaluar los eventos de seguridad de la información y decidir su clasificación como incidentes.


16.1.5 Respuesta a los incidentes de seguridad: Se debería responder ante los incidentes de seguridad de la información en atención a los procedimientos documentados.


16.1.6 Aprendizaje de los incidentes de seguridad de la información: Se debería utilizar el conocimiento obtenido del análisis y la resolución de incidentes de seguridad de la información para reducir la probabilidad y/o impacto de incidentes en el futuro.


16.1.7 Recopilación de evidencias: La organización debería definir y aplicar los procedimientos necesarios para la identificación, recopilación, adquisición y preservación de la información que puede servir de evidencia.


Métricas asociadas

Número y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier pérdida tangible o intangible producida.


Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la dirección.


Estadísticas del helpdesk de TI, con análisis sobre el número y tipos de llamadas relativas a seguridad de la información (p. ej., cambios de contraseña; porcentaje de preguntas acerca de riesgos y controles de seguridad de la información respecto al total de preguntas). A partir de las estadísticas, cree y publique una tabla de clasificación por departamentos (ajustada según el número de empleados por departamento), mostrando aquellos que están claramente concienciados con la seguridad, frente a los que no lo están.


Enlaces a soluciones recomendadas

ENISA: Esta guía complementa el actual conjunto de guías de ENISA para el apoyo de CERTs. En él se describen las buenas prácticas y proporciona información y orientaciones prácticas para la gestión de incidentes de seguridad desde la red y la información con énfasis en la gestión de incidentes.


ENISA CERT: Ejercicios y material de de formación en gestión de incidentes con guías en español.


GENOS: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


SANS: Guías y Modelos para la comunicación y gestión de incidentes (inglés).


Web Help Desk: Web Help Desk es una herramienta de gestión de soporte a usuarios -incluyendo el registro de incidencias automático vía correo electrónico-, que dispone de una versión gratuita.


ENISA: Enlace con información y recursos completos en inglés y español con la intención de ayudar a una respuesta temprana "CERT" mediante equipos capacitados para reaccionar a los eventos cotidianos y especiales. El material contiene 12 ejercicios en diversos escenarios, que van desde actividades CERT internos a las actividades de coordinación durante los ataques cibernéticos a gran escala contra países enteros.


NIST: Este documento proporciona ayuda a las organizaciones para establecer una respuesta y gestión efectiva de los incidentes de seguridad en sistemas TI.


SEINHE: Consideraciones sobre la gestión de incidentes de seguridad de la información..


Osiatis: Formación en base a ITILv3 para la gestión de peticiones de servicio, eventos, incidencias y problemas.


CERT UK: Guía de respuesta a incidentes del GovCertUK, organismo responsable del soporte a los departamentos gubernamentales del Reino Unido en los incidentes de seguridad.


Downtime Cost: Calculadora/cronómetro que permite valorar el coste potencial de una parada en los servicios.


Sudora: Herramienta que permite estimar el coste de las paradas en los servicios.


AVG Rescue: Poderoso juego de herramientas indispensable para rescatar y reparar equipos infectados.


BSI: Código de práctica para la gestión de operación para cámaras de vigilancia de circuito cerrado (CCTV).


CAINE: Ofrece un entorno forense completo que se organiza para integrar herramientas de software existentes como módulos de software y proporcionar una interfaz gráfica fácil de usar.


101 utilidades forenses: Blog con post de recopilación de 101 utilidades forenses.


CYBEX: Colección de jurisprudencia española sobre evidencia electrónica..


DRADIS: Marco Open source para poder compartir en un repositorio centralizado la información y trazabilidad de las auditorías de seguridad en sistemas y en aplicaciones web, así como en tests de intrusión.


ENISA: Directorio con diversas soluciones recopiladas por ENISA para la recogida ed información y análisis de evidencias.


FROST: Forensic Recovery of Scrambled Telephone es una herramienta que permite ataques de arranque en frío y ecuperar información sensible, tales como listas de contactos, visitas a sitios Web y fotos, directamente desde la RAM, a pesar de que el gestor de arranque está bloqueado.


ISO/IEC 27037: Estándar que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.


MANDIANT: MANDIANT Memoryze es un software forense para memorias de libre uso que ayuda en la respuesta de un incidente mediante la búsqueda en actividad maliciosa en la memoria del computador. Memoryze puede obtener y/o analizar imágenes y sistemas en activo y puede incluir ficheros paginados en sus análisis.


MATRIUX: Con todas las funciones de distribución de seguridad que consiste en un grupo de gran alcance, de código abierto y herramientas gratuitas que puede ser utilizado para diversos fines, incluyendo, pero no limitado a, pruebas de penetración, hacking ético, el sistema y la administración de redes, los ciber investigaciones forenses, pruebas de seguridad, análisis de vulnerabilidad, y mucho más.


MICROSOFT TECHNET: Guía de planeamiento de supervisión de la seguridad y detección de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamaño: la capacidad de identificar ataques de forma instantánea y la capacidad de realizar análisis forenses de los sucesos ocurridos antes, durante y después de un ataque.


NIST: Este documento proporciona ayuda para la integración del análisis forense con los mecanismos de una respuesta y gestión efectiva de los incidentes de seguridad.


OS FORENSICS:Puede obtener información sobre accesos recientes a aplicaciones, documentos, dispositivos de almacenamiento y redes mediente el escaneo del registro. La información se recoge y muestra en paneles de un modo útil y sencillo.


RadioGraPhy: Herramienta forense que recoge la mayor información posible de sistemas Windows dentro de las claves de registro del proceso de arranque y del navegador IE, cuentas del sistema y propiedades, ficheros de inicio, servicios del sistemas, drivers, procesos ocultos, información de red, entre otros.


SANS: El SANS SIFT Workstation es un Appliance de VMware que es pre-configurado con todas las herramientas necesarias para llevar a cabo un examen forense detallado digital.


Sleuth Kit: Web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris).