INFORME GESTION DE INCIDENTES

JESSICA DOLAINE URREGO PEDRAZA

UNIVERSIDAD MANUELA BELTRÁN

SEGURIDAD INFORMATICA II

INGENIERIA DE SOFTWARE

2020
 INFORMA GESTION DE INCIDENTES .................................................................................. 1
1. Los principales estándares internacionales ISO que hacen referencia a la gestión de
incidentes. .................................................................................................................................... 3
2.Investigar sobre las metodologías de gestión de incidentes, seleccionar una y
explicar sus principales fases ............................................................................................. 7
3. Definición e Identificación de las funciones principales del CSIRT ................................ 8
4. Realizar una propuesta de un formato que permita realizar el planteamiento de
método para categorizar vulnerabilidades técnicas. .................................................. 10
5. Un cuadro a doble entrada con la identificación de los diferentes tipos de
software malicioso que existen, sus características y un ejemplo de caso real por
cada uno. .................................................................................................................... 11
Bibliografía .............................................................................................................. 14
 1. Los principales estándares internacionales ISO que hacen referencia a la
gestión de incidentes.

 ISO 27001
Sistemas de gestión de la seguridad de la información:

Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad

de los datos y de la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los sistemas de gestión la seguridad de la información
permite a las organizaciones la evaluación del riesgo y la aplicación de los controles
necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la

competitividad y la imagen de una organización.

Estructura de la norma:

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones

sobre el uso, finalidad y modo de aplicación de este estándar.
2. Referencias Normativas: Recomienda la consulta de ciertos documentos
indispensables para la aplicación de ISO27001.
3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge
indicaciones sobre el conocimiento de la organización y su contexto, la comprensión
de las necesidades y expectativas de las partes interesadas y la determinación del
alcance del SGSI.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política
de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.
6. Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos
de Seguridad de la Información y el modo de lograrlos.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento
del SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.
8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta
parte de la norma indica que se debe planificar, implementar y controlar los procesos
de la organización, hacer una valoración de los riesgos de la Seguridad de la
Información y un tratamiento de ellos.
9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
 10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia de
mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

 ISO 20000

Gestión de Servicios TIC

Esta norma cubre la gestión de los servicios TIC, permite a una organización orientar
sus servicios de tecnologías de la información a las necesidades de los clientes internos
o externos, garantizado un servicio de calidad y eficiencia.

Este estándar se basa en un conjunto de conceptos y prácticas para la gestión de las

tecnologías de la información, la adopción de esta norma tiene como objetivo básico y
fundamental proporcionar un servicio con la máxima calidad, bien a la propia
organización o bien a sus clientes externos.

Beneficios de la certificación

1. Proteger la imagen de la compañía y gestionar los riesgos de servicios de

tecnología de la información a terceros.
2. Mejorar la gestión de los servicios de tecnología de la información dentro de la
propia organización.
3. Minimizar los tiempos de respuesta en caso de incidencia y mejorar los resultados
y el funcionamiento de las aplicaciones tecnológicas.
4. Demostrar que se tiene procedimientos y controles adecuados para proporcionar
un servicio de calidad coherente y a un coste efectivo.

Proceso de certificación ISO 20000

Preparación Instigación Evaluación Auditoria Post Auditoria

Previa
 Elaborar  Seleccionar  Revisar la  Acordar fechas,  Seguimientos
documentación. evaluador. documentación. espacios. de resultado.
 Ejecutar  Determinar el  Simular  Reunión inicial.  Obtención
procedimientos. alcance. auditoria.  Revisar certificada.
 Obtener  Solicitar  Realizar documentación.  Evaluaciones
registros. certificación. correcciones.  Evaluación de internas.
 Evaluaciones  Preparar la  Organizar procesos.  Mantenimiento
internas. organización. auditoria.  Reunión de anual.
conclusiones.
  ISO 22301
Gestión de Continuidad de Negocio

La norma brinda un marco que permite a las empresas identificar sus amenazas y fortalecer
su capacidad, tanto para evitar que ocurran eventos disruptivos como para actuar en caso
de que ocurran, respondiendo de forma adecuada para reducir el impacto de este en la
continuidad del negocio. La finalidad es que la organización mantenga su funcionamiento
durante y después del incidente, para garantizar que los productos y servicios sean
entregados a sus clientes oportunamente.

Especifica los requisitos para planificar, establecer, implementar, operar, monitorear,

revisar, mantener y mejorar de forma continua un sistema de gestión documentado para
prepararse, responder y recuperarse de eventos perturbadores que puedan surgir.

Principales aportaciones ISO 22301

1. Mayor énfasis en la definición de los objetivos, su seguimiento mediante métricas

adecuadas.
2. Clara definición de las responsabilidades de la Direccion.
3. Mejora en la planificación de los recursos para garantizar la continuidad del negocio.

Estructura de la norma ISO 22301

1. Ámbito de aplicación.
2. Referencias normativas.
3. Términos y definiciones.
4. Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo
en cuenta los objetivos estratégicos de la organización, sus productos y servicios
claves, su tolerancia al riesgo, así como cualquier obligación reglamentaria.
5. Liderazgo. La alta dirección debe demostrar un compromiso continuo con el SGCN.
A través de su liderazgo y acciones, la dirección puede crear un ambiente en el cual
el personal esté completamente involucrado y el sistema de gestión pueda funcionar
de manera eficaz en sinergia con los objetivos de la organización.
6. Planificación. Se establecen objetivos estratégicos y principios para la orientación
del SGCN en su totalidad.
7. Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio,
se basa en el uso de los recursos apropiados para cada actividad. Estos recursos
incluyen personal competente, toma de conciencia y comunicación, etc. todo esto
debe estar apoyado por la documentación que sea necesaria.
8. Operación. Después de la planificación del SGCN, la organización debe ponerlo en
funcionamiento.
9. Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento
permanente del sistema, así como revisiones periódicas para mejorar su operación.
10. Mejora. La organización puede mejorar continuamente la eficacia de su sistema de
gestión a través del uso de la política de continuidad de negocio, los objetivos, los
resultados de auditorías, los indicadores, las acciones correctivas y preventivas y la
revisión por la dirección.
  ISO 27035
Gestión de Incidentes de Seguridad de la Información.

Los controles de la seguridad de la información no son perfectos debido a que pueden fallar,
pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en
funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos
no son totalmente eficaces o fiables.

La gestión de incidentes da lugar a que existan controles de detección y correctivas que

estarán destinadas a reducir los impactos desfavorables y aprender las lecciones sobre
mejoras en el SGSI.

La norma proporciona un enfoque estructurado para:

 Identificar, comunicar y evaluar los incidentes de la seguridad de la información

 Contestar, gestionar los incidentes de la seguridad de la información
 Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información
 Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de
los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información
y de las vulnerabilidades.

La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las

organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de
forma específica para las empresas que presten servicios de gestión de incidentes de
seguridad de información.

ISO-27035 constituye un proceso con cinco etapas que son claves:

 Preparase para enfrentarse a los incidentes.

 Reconocer los incidentes de seguridad de la información.
 Examinar los incidentes y tomar las decisiones sobre la forma en que se han llevado a cabo
las cosas.
 Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
 Aprender de las lecciones.
2.Investigar sobre las metodologías de gestión de incidentes, seleccionar una y
explicar sus principales fases.

 Metodología MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Es una metodología de análisis y gestión del riesgo creada por el Consejo Superior de
Administración Electrónica de España, como respuesta a la percepción de que la
administración y en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de su misión.

Objetivos del método:

 Concienciar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de detectarlos a tiempo.
 Ofrecer un método sistemático para analizar tales riesgos.
 Ayudar a descubrir y planificar las salvaguardas oportunas para mantener los
riesgos bajo control.
 Preparar a la organización para procesos de evaluación, auditoria, certificación o
acreditación, según corresponda en cada caso.

Técnicas específicas para el análisis de riesgos:

 Análisis mediante tablas

 Análisis algorítmicos
 Arboles de ataque

Técnicas Generales:

 Diagrama de procesos
 Técnicas graficas
 Planificación de proyectos
 Sesiones de trabajo
 Valoración Delphi
La metodología MERGIT especifica ciertos pasos a seguir según su realización:

Se puede observar la relación que existe entre las variables que intervienen en un análisis
de riesgos; Un detalle a tener en cuenta es que en esta metodología la palabra
vulnerabilidad la define como: potencialidad o posibilidad de ocurrencia de una amenaza
sobre un activo, no es reemplazada por el termino degradación del activo y frecuencia de
ocurrencia de amenaza.

Los pasos propuestos por esta metodología se definen en las siguientes actividades:

 Identificar Activos
 Identificar Salvaguardas de seguridad existentes
 Valorar los activos
 Identificar amenazas
 Valorar amenazas
 Identificar vulnerabilidades
 Estimar vulnerabilidades
 Identificar impacto
 Valorar impactos
 Evaluar el riesgo intrínseco
 Evaluar el riesgo efectivo

3. Definición e Identificación de las funciones principales del CSIRT

CSIRT (Computer Security Incident Response Team)

Es un equipo interno o externo a la organización, cuyo objetivo principal es minimizar y

controlar los daños de un ciberataque. Este también cumple las funciones de asesorar,
responder y recuperar la normalidad en las operaciones, así como prevenir que ocurran
futuros incidentes. Para lograrlo, actúa como coordinador de todas las áreas, individuos y
procesos involucrados en un incidente.

Los CSIRT pueden ser constituidos como equipos con roles y tareas bien definidas para
cada miembro o estar compuestos por individuos que se agrupan cuando se presenta una
brecha de seguridad, con cada miembro realizando varias tareas previamente
determinadas en una o más áreas. El tipo de CSIRT que se escoja, un equipo fijo o uno
libre,
dependerá de la frecuencia de los incidentes de ciberseguridad y su nivel de peligrosidad,
entre otros factores.

Un CSIRT tiene la capacidad de vigilar actividades sospechosas proactivamente y también

de investigar y rastrear a los ejecutores de un ciberataque, permitiendo neutralizar a los
cibercriminales y perseguirlos legalmente.

Los CSIRT cobran especial importancia en dos situaciones:

 la primera, cuando la organización está atravesando un cambio estructural, de

tecnologías o de procesos, durante los cuales ya es recomendable tener el equipo
conformado.
 la segunda, cuando considera que su ciberseguridad está en un nivel de riesgo
elevado.

Los principales roles de un CSIRT son:

 Revisar arreglos y procedimientos estándar de seguridad.

 Detectar, analizar, responder y prevenir ciberamenazas.
 Priorizar y escalar alertas y tareas.
 Gestionar auditorías y entrenamiento ante nuevas amenazas.
 Realizar estudios forenses sobre los incidentes.
 Investigar nuevas formas de amenazas.
 Desarrollar planes de comunicación para públicos, clientes, trabajadores y
directorio.
 Coordinar y ejecutar las estrategias de respuesta.
 Mantener un registro de todas las actividades para referencias futuras.
 Mantener un registro para cumplir normas y regulaciones.
 Gestionar el manejo remoto de la información crítica como contraseñas o
configuraciones de red.

El CSIRT no solo debe analizar potenciales vulnerabilidades de manera continua, sino

además garantizar que estas fallas sean parchadas para mitigar los posibles riesgos. En
este caso, un equipo de especialistas para descubrir vulnerabilidades y ejecutar pruebas
de penetración, simulando ser hackers, pueden conformar parte del CSIRT.
El equipo también es responsable, las 24 horas del día, todos los días del año, de
monitorear, detectar, analizar, generar reportes y responder ante eventos de
ciberseguridad. En él confluyen especialistas y personal de los departamentos de
Relaciones Públicas, Servicio Técnico, Administración e incluso Marketing.
Entre los ciberriesgos de los que se puede hacer cargo un CSIRT, destacan los ataques de
denegación de servicios, las infecciones con malware, el robo de identidad y la alteración
de información de una organización.
 4. Realizar una propuesta de un formato que permita realizar el planteamiento
de método para categorizar vulnerabilidades técnicas.

AREA DE LA ORGANIZACIÓN:
SEVERIDAD
IDENTIFICADOR TIPO DE VULNERABILIDAD ACTIVO TIPO FECHA CUANTITATIVA ACCIONES
5. Un cuadro a doble entrada con la identificación de los diferentes tipos de
software malicioso que existen, sus características y un ejemplo de caso real
por cada uno.

Software Características Ejemplo

Malicioso
Troyano Software malicioso que se Carberp
presenta al usuario como La versión original era el típico troyano
un programa diseñado para robar la información
aparentemente legitimo e confidencial de los usuarios como las
inofensivo, pero que al credenciales bancarias o los accesos
ejecutarlo, le brinda a un a diferentes páginas web. Carberp
atacante acceso remoto al transmitía los datos robados a un
equipo infectado. servidor C&C controlado por el creador
del malware. Simple y directo. El único
componente “complicado” era
el rootkit que permitía al troyano pasar
desapercibido en el ordenador de la
víctima. La siguiente generación
incluía plug-ins: uno que eliminaba
el software antivirus del equipo
infectado y otro que intentaba
“destruir” el resto de malware, en caso
de que lo hubiera.
Gusanos I Love You
Es un virus de tipo gusano, escrito en
Tiene la capacidad a Visual Basic Script que se propaga a
propagarse sin la ayuda de través de correo electrónico y de IRC
una persona. Lo más (Internet Relay Chat). Miles de
peligroso de los worms o usuarios de todo el mundo, entre los
gusanos informáticos es su que se incluyen grandes
capacidad para replicarse
multinacionales e instituciones
en el sistema informático,
públicas- se han visto infectados por
este gusano.
Keylogger Es un tipo de software o un Zedlog
dispositivo hardware Es una herramienta de registro
específico que se encarga multiplataforma robusta, se basa en un
de registrar las sistema de registro de datos flexibles
pulsaciones que se que hace que sea fácil obtener los
realizan en el teclado, para datos necesarios, esta se implementa
posteriormente completamente en Java es compatible
memorizarlas en un fichero con (Windows, Linux y Max OS).
o enviarlas a través de
internet.
Recopila información de un CoolWebSearch (CWS)
ordenador y después Se instala involuntariamente y es
transmite esta información capaz de secuestrar Internet Explorer,
a una entidad externa sin el por lo que la página de inicio, las
conocimiento o el búsquedas y las preferencias del
 consentimiento del navegador quedan al gusto de su
propietario del ordenador. desarrollador.
Spyware

Programa que Appearch

Adware automáticamente muestra Es un programa de adware muy
u ofrece publicidad, ya sea común que actúa como secuestrador
incrustada en una página del navegador. Normalmente está
web mediante gráficos, entretejido con otro software gratuito, e
carteles, ventanas inserta tantos anuncios en el
flotantes, o durante la navegador que hace que la
instalación de algún navegación sea casi imposible.
programa al usuario, con el
fin de generar lucro a sus
autores.
Exploit Fragmento de software, Magnitude
fragmento de datos o Es uno de los kits de exploits más
secuencia de comandos conocidos y, además, más peligrosos
y/o acciones, utilizada con que podemos encontrar. Este kit suele
el fin de aprovechar una recopilar vulnerabilidades bastante
vulnerabilidad de recientes (como la CVE-2018-4878)
seguridad de un sistema tanto para Windows como para
de información para Internet Explorer y Flash Player.
conseguir un Además, se utiliza también para
comportamiento no distribuir ciertas amenazas, como
deseado del mismo. ransomware
Permite un acceso de
privilegio continuo a una
computadora pero que ZeroAccess
mantiene su presencia Remplaza algunos archivos críticos
activamente oculta al que son parte del sistema operativo y
control de los algunos propios de la estructura del
Rootkit administradores al kernel para hacerlo invisible tanto al
corromper el sistema operativo como al software de
funcionamiento normal del seguridad Antivirus.
sistema operativo o de
otras aplicaciones.
Ransomware Locky
Restringe el acceso a Es un tipo de ransomware que fue
determinadas partes o usado por primera vez en 2016 en un
archivos del sistema ataque lanzado por un grupo
infectado, y pide un organizado de hackers.
rescate a cambio de quitar Con la capacidad de cifrar más de 160
esta restricción. tipos de archivos, Locky se propaga
engañando a las víctimas para que lo
instalen mediante correos electrónicos
falsos con archivos adjuntos
infectados.

Se denomina un modelo
de abuso informático y que
 se comete mediante el uso
Phishing de un tipo de ingeniería
social, caracterizado por Phishing a Banco BBVA
intentar adquirir
información confidencial
de forma fraudulenta
(como puede ser una
contraseña, información
detallada sobre tarjetas de
crédito u otra información
bancaria). El cibercriminal,
conocido como phisher, se
hace pasar por una
persona o empresa de
confianza en una aparente
comunicación oficial
electrónica, por lo común
un correo electrónico, o
algún sistema de
mensajería instantánea o
incluso utilizando también
llamadas telefónicas.
Malware Esta palabra sirve para WannaCry (2017)
referirse a virus, spyware, Es el último que ha lanzado un aviso a
troyanos, es decir, toda nivel global: ya no se trata de infectar
clase de programas a usuarios aislados, sino de meterse
creados para dañar, espiar en las entrañas de grandes
o robar información del corporaciones e instituciones públicas,
sistema. infectar sus equipos y robarles
información, creando un pánico que
plantea casi más preguntas que
respuestas.
 Bibliografía

 https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
 https://www.grupoacms.com/norma-iso-20000
 https://www.welivesecurity.com/la-es/2015/05/18/que-es-como-trabaja-csirt-
respuesta-incidentes/