Gestion Incidentes 01 Intro Master NextIBS S21

Cybersecurity: Módulo 2
Gestión de incidentes de ciberseguridad

Govardhan Ghanshyam
govargu@s21sec.com
INDICE
• Introducción a la gestión de incidentes de ciberseguridad

• Información crítica
• Detección y reporte de incidentes
• Análisis de incidentes
• Respuesta a incidentes
• Vectores de ataque
• Implementación de un sistema de recogida y análisis de eventos
(SIEM)
Cybersecurity: Módulo 4
Gestión de incidentes de ciberseguridad
Introducción a la gestión de incidentes de ciberseguridad
CIBERSEGURIDAD
¿QUE RIESGOS Y AMENAZAS EXISTEN ACTUALMENTE?
¿CÓMO HAN CAMBIADO ESTOS RIESGOS EN LOS ÚLTIMOS 5

AÑOS?
¿CÓMO AFECTAN ESTOS CAMBIOS A UN EQUIPO DE GESTIÓN DE

INCIDENTES?
ENTORNO ACTUAL
EN LA ACTUALIDAD ES INEVITABLE TENER QUE UTILIZAR ALGÚN

SERVICIO Y/O APLICACIÓN DE LAS TECNOLOGÍAS DE LA
INFORMACIÓN
• Procesos de negocio
• Almacenamiento de información
• Transacciones bancarias
• Día a día de cualquier usuario

INTERNET CONECTA MÚLTIPLES INDUSTRIAS
Agricultura
– Plantas de procesado de alimentos
– Granjas
Suministro de agua
– Plantas tratamiento agua
– Presas
Sanidad
– Hospitales
– Centros de salud
– Farmacias
Energía
– Plantas de producción de energía
– Sistemas de transporte
Telecomunicaciones
– Empresas de comunicaciones
Sistema financiero
– Bancos
Administración pública
– Servicios
Transporte
– Mercancías, personas.
RIESGOS
Internet ha revolucionado la forma en la que se desarrollan los procesos

de negocio, permitiendo realizar las acciones de forma remota, con las
múltiples ventajas que ello conlleva.
¿Existen desventajas ?
RIESGOS
– Robo de identidad personal
– Fraude bancario
– Pérdida de propiedad intelectual
– Denegaciones de servicio
– Acceso a información confidencial: datos fiscales, médicos, etc.
– Daños en la imagen de empresa / organización
CUMPLIMIENTO LEGAL
Se están introduciendo normativas y regulaciones para garantizar la

confidencialidad de la información: implementación de procedimientos,
tecnologías, auditorías, etc.
Estas normativas pueden tener impacto en las políticas de seguridad de

una organización, especialmente con:
– Requisitos para la protección de datos
– Capacidades para la respuesta ante incidentes
– Alertas ante accesos no autorizados a información crítica

AMENAZAS AUMENTAN
– Explotación de vulnerabilidades software / hardware

– Ataques de denegación de información
– Fraude
– Ataques a la web corporativa
– Código malicioso (virus, rootkits, botnets, etc.)
– Phishing
– Spam
– Ingeniería social
COMIENZOS (IN)SEGURIDAD
EN LOS ÚLTIMOS AÑOS
– Sinowal
– Zeus
– Conficker
– Stuxnet
En 2012 incremento de las APT, los ataques en movilidad, cloud computing y

fraude electrónico. Auge de los ataques de denegación de servicio
distribuido por razones socio-políticas.
ACTUALIDAD
ACTUALIDAD EN CIFRAS
89% Zeus700
262.000 M 6.600 M
140.000 M 10%
ACTUALIDAD EN CIFRAS S21SEC
CASOS DE FRAUDE ONLINE

SOLUCIONADOS 2012: 5.280
VULNERABILIDADES
REGISTRADAS 2012: 10.042
VULNERABILIDADES TOTALES
REGISTRADAS: 88.773
NÚMERO DE INCIDENTES
GESTIONADOS DESDE EL
CERT:1.850 AL MES
CAUSAS (IN)SEGURIDAD
IGNORANCIA DEL USUARIO

– ¿Abrirías un .doc .exe .pdf?
– ¿Te crees lo que llega al correo?
COMODIDAD DEL USUARIO

– Siguiente-Siguiente-Siguiente-Siguiente
VULNERABILIDADES
– Navegador
– Visor flash
– Visor PDF
FALTA DE CONCIENCIACIÓN
– Pérdida de datos
– SPAM
– Ataques de ingeniería social
GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD
Las organizacionesdeben establecer una estrategia de gestión de

incidentes
Activos Procesos de Nivel de riesgo Proc. de Misión
negocio Gestión de
incidentes
EVENTOS DE SEGURIDAD
Un “Evento” es cualquier acción que se desarrolla en la organización:

– Acciones personales
– Eventos en sistemas y aplicaciones
– Eventos referentes a seguridad física
– Etc.
Nos interesan los eventos que tienen que ver con la seguridad de los
sistemas de la información.
Para poder analizar los “eventos” que se realizan en la organización es

fundamental que se registren todos las acciones que se realicen.
INCIDENTE DE SEGURIDAD
¿Qué es un incidente de seguridad?
Un incidente de seguridad puede ser:
– Acceso no autorizado a información confidencial
– Tráfico de red anómalo
– Procesos y aplicaciones sospechosas
– No cumplimiento de alguna regla definida en la política de seguridad

GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD
¿Qué es la gestión de incidentes de ciberseguridad?

La capacidad de proporcionar una gestión integral de los incidentes que
afectan a la información y los activos tecnológicos de una organización
Un gestor de incidentes para ser efectivo debe tener en cuenta los

siguientes aspectos:
– ¿Cuáles son los activos y datos críticos que tienen que ser
protegidos?
– ¿Cuál es su objetivo?
– ¿Qué rol desempeña en el procedimiento global de la gestión de
incidentes?
– ¿Con quién y cómo se comunica?
EFICIENCIA EN LA GESTIÓN DE INCIDENTES
La rapidez en la respuesta de una organización frente a los incidentes

que puedan surgir minimizará el daño producido y el coste de
recuperación
Incluso las mejores infraestructuras de seguridad no pueden garantizar

al 100% que no se producirán intrusiones u otras acciones maliciosas
Cuando se produce un incidente de seguridad en una organización, es

fundamental la existencia de políticas y metodologías definidas que
permitan dar una respuesta efectiva
ESTRATEGIAS PARA UNA GESTIÓN EFECTIVA
– Identificar activos y datos críticos, su localización, sus responsables y la

criticidad de los mismos
– Estar al día en las actualizaciones de seguridad de sistemas operativos y

aplicaciones
– Disponer de una red de seguridad perimetral
– Monitorizar todos los eventos que se produzcan a lo largo de la organización
– Disponer de una política de seguridad que detalle los procedimientos y

metodologías a seguir
– Concienciar y formar en cultura de seguridad

MODELO GLOBAL DE GESTIÓN DE INCIDENTES
Preparación
Análisis de vulnerabilidades Gestión de incidentes

Monitorización de sistemas
Requisitos normativos
Mejora de sistemas y Detección Priorización Respuesta

aplicaciones
Protección
ACCIONES EN LA GESTIÓN DE INCIDENTES
Acciones
Acciones
preliminares Análisis del Acciones
Detección preliminares Respuesta
de incidente posteriores
de análisis
respuesta
CSIRT
Un CSIRT, Computer Security Incident Response Team, es un equipo

de respuesta a incidentes de seguridad
CSIRT
OBJETIVOS
– Minimizar y controlar los daños
– Proporcionar una respuesta efectiva
– Ayudar a prevenir futuros accidentes
ACCIONES TÍPICAS DE UN CSIRT

– Proporcionar un punto centralizado para el reporte de incidentes
– Identificar y analizar los incidentes de seguridad
– Dar respuesta a los incidentes
– Coordinar la respuesta a los incidentes de seguridad entre
diferentes departamentos e incluso externos
– Compartir el conocimiento adquirido para mejorar los
procedimientos
EJEMPLOS DE CSIRT
S21SEC www.s21sec.com/es/s21sec-cert
INTECO http://cert.inteco.es/cert/INTECOCERT
¿ Preguntas ?

Gestion Incidentes 01 Intro Master NextIBS S21

Cargado por

Copyright:

Formatos disponibles

Gestion Incidentes 01 Intro Master NextIBS S21

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion Incidentes 01 Intro Master NextIBS S21

Cargado por

Copyright:

Formatos disponibles

Cybersecurity: Módulo 2

Gestión de incidentes de ciberseguridad

• Introducción a la gestión de incidentes de ciberseguridad

¿QUE RIESGOS Y AMENAZAS EXISTEN ACTUALMENTE?

¿CÓMO HAN CAMBIADO ESTOS RIESGOS EN LOS ÚLTIMOS 5

¿CÓMO AFECTAN ESTOS CAMBIOS A UN EQUIPO DE GESTIÓN DE

EN LA ACTUALIDAD ES INEVITABLE TENER QUE UTILIZAR ALGÚN

• Día a día de cualquier usuario

Internet ha revolucionado la forma en la que se desarrollan los procesos

Se están introduciendo normativas y regulaciones para garantizar la

Estas normativas pueden tener impacto en las políticas de seguridad de

– Requisitos para la protección de datos

– Capacidades para la respuesta ante incidentes

– Alertas ante accesos no autorizados a información crítica

– Explotación de vulnerabilidades software / hardware

En 2012 incremento de las APT, los ataques en movilidad, cloud computing y

CASOS DE FRAUDE ONLINE

IGNORANCIA DEL USUARIO

COMODIDAD DEL USUARIO

Las organizacionesdeben establecer una estrategia de gestión de

Un “Evento” es cualquier acción que se desarrolla en la organización:

Para poder analizar los “eventos” que se realizan en la organización es

¿Qué es un incidente de seguridad?

Un incidente de seguridad puede ser:

– Acceso no autorizado a información confidencial

– Tráfico de red anómalo

– Procesos y aplicaciones sospechosas

– No cumplimiento de alguna regla definida en la política de seguridad

¿Qué es la gestión de incidentes de ciberseguridad?

Un gestor de incidentes para ser efectivo debe tener en cuenta los

La rapidez en la respuesta de una organización frente a los incidentes

Incluso las mejores infraestructuras de seguridad no pueden garantizar

Cuando se produce un incidente de seguridad en una organización, es

– Identificar activos y datos críticos, su localización, sus responsables y la

– Estar al día en las actualizaciones de seguridad de sistemas operativos y

– Disponer de una red de seguridad perimetral

– Monitorizar todos los eventos que se produzcan a lo largo de la organización

– Disponer de una política de seguridad que detalle los procedimientos y

– Concienciar y formar en cultura de seguridad

Análisis de vulnerabilidades Gestión de incidentes

Mejora de sistemas y Detección Priorización Respuesta

Un CSIRT, Computer Security Incident Response Team, es un equipo

ACCIONES TÍPICAS DE UN CSIRT

También podría gustarte