GESTIÓN DE INCIDENTES DE LA
SEGURIDAD DE INFORMACIÓN
Es
un hecho o amenaza que atenta contra la Confidencialidad , Integridad y
Disponibilidad de un sistema informático.
¿QUÉ
MEDIDAS TOMAR?
Medidas Preventivas
Son
aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de
Backup, Planes de continuidad, cifrado, etc.
Con
esto nos referimos a toda acción que tenga como principal medida salvaguardar
nuestros activos.
Medidas de Detección
Son
las que tienen a controlar es decir, Registros de Auditoria, Revisiones de
Seguridad, etc.
Medidas Correctivas
Consiste
en tener a mano el uso de esquemas de
tolerancia a fallos, procedimientos de Restauración, etc.
Para este fin se utilizan las siguientes pautas
- Prevención de incidentes.
- Detección y el reporte del incidente.
- Clasificación del incidente.
- Análisis del incidente.
- Respuesta al incidente.
- Registro de incidentes.
- Aprendizaje.
Beneficios
- Responder a los incidentes de manera sistemática, eficiente y rápida.
- Facilitar una recuperación en poco tiempo, perdiendo muy poca información.
- Realizar continuamente mejoras en la gestión y tratamiento de incidentes.
- Generar un Base de conocimientos sobre Incidentes.
- Evitar incidentes repetitivos.
- La posibilidad de apegar los incidentes acorde a legislación vigente.
El proceso de Gestión para el tratamiento de incidentes consta de 6
pasos
1. Preparación / Prevención
Si
hablamos de estar preparados, es importante poder armar una especie de cuadro
con una categorización de los tipos de incidentes como por ejemplo por tipo de incidente
y envergadura de daños producidos,
para esto podemos usar este criterio en donde sumamos los efectos negativos
producidos por el incidente y la criticidad de los recursos afectados y
esto nos devuelve la criticidad del incidente.
2. Detección / Notificación
En
este segundo paso es cuando nos encontramos frente a una detección de un
incidente y esta puede ser manual o automática ya sea por una advertencia que
este indicando un incidentes o puede ser también por una señal de algún sistema
que indique que está ocurriendo o en el peor de los casos que ya ocurrió el
incidente.
3. Análisis Preliminar
Una
vez que ya contamos con los indicadores o advertencias tenemos que saber si es
verdaderamente un incidente de seguridad o solo se trata de un falso positivo,
para poder lograr ver la luz al final del camino, tenemos que realizar la tarea
de recolección de Información.
4. Contención, respuesta y recupero
Ya
en esta instancia nos avocamos a la tarea de volver los sistemas a la
normalidad para ello contamos con tres acciones:
- Contención es evitar que el incidente siga produciendo daños.
- Erradicación es eliminar la causa del incidente y todo rastro de los daños.
- Recupero es volver el entorno afectado a su estado original.
5. Investigación
No
hay nada mejor que aprender de los hechos desfavorables, es por eso que la
investigación nos nutre de una base de Conocimiento que nos permite entender lo
que paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar
todas las medidas necesarias en la investigación, realizando una correcta
adquisición de evidencia aplicando en todo momento el control de la cadena de
custodia y utilizando elementos de validación.
6. Actividades Posteriores
Es
un hecho que al finalizar la gestión y tratamiento de incidentes donde debemos
realizar lo siguiente:
- Organizar reuniones.
- Mantener la documentación.
- Crear bases de conocimiento.
- Integrar la gestión de incidentes al análisis de riesgos.
- Implementar controles preventivos.
- Elaborar Tableros de Control.
No hay comentarios:
Publicar un comentario