Equipo 5

RESPUESTA A INCIDENTES DE
SEGURIDAD Y PLANES PARA LA
CONTINUIDAD DEL NEGOCIO
Tecnologías
de
informació
n vii

Grupo: 77 06-Oct-2020
 9.1 Incidentes de seguridad

Por "Incidente de Seguridad"

entendemos cualquier evento que
pueda provocar una interrupción o
degradación de los servicios
ofrecidos por el sistema, o bien
afectar a la confidencialidad o
integridad de la información.
Un incidente de seguridad puede ser:

Causado por un acto intencionado La consecuencia de un error o

realizado por un usuario interno o trasgresión (accidental o
un atacante externo para utilizar, deliberada) de las políticas y
manipular, destruir o tener acceso a procedimientos de seguridad, o de
información y/o recursos de forma un desastre natural o del entorno
Ó (inundación, incendio, tormenta,
no autorizada.
fallo eléctrico, etc.…).
 9.2 Plan de respuesta a incidentes
La definición e implantación de un Plan de Respuesta a Incidentes debería tener en cuenta una
serie de actividades y tareas, entre las cuales podríamos destacar las siguientes:
1.Constitución de un 4.Análisis del
2.Definición de una Guía de 3.Detección de un
Equipo de Respuesta a incidente.
Procedimientos. incidente de seguridad.
Incidentes.

9.Análisis y
5.Contención, 7.Comunicación 8.Documentación
6.Identificación del revisión "a
erradicación y con terceros y del incidente de
atacante y posibles posteriori" del
recuperación. relaciones públicas. seguridad.
actuaciones legales. incidente.
9.2.1 Equipo de respuesta a incidentes de seguridad Informática (CSIRT)
El Equipo de respuesta a Incidentes de Seguridad
Informática (CSIRT, Computer Security Incident
Response Team) está constituido por las personas
que cuentan con la experiencia y la formación
necesaria para poder actuar ante las incidencias y
desastres que pudieran afectar a la seguridad
informática de una organización.

Generalmente sólo las grandes organizaciones cuentan

con un equipo de personas contratadas para cumplir con
esta función. En la mayoría de las organizaciones que no
cuentan con un Equipo de Respuesta formalmente
constituido, será necesario identificar quiénes son las
personas responsables de acometer cada una de las tareas
que se haya definido en el Plan de Respuesta a
Incidentes, definiendo claramente las responsabilidades,
funciones y obligaciones de cada persona implicada en
dicho plan.
 La organización deberá mantener actualizada la lista de La experiencia
direcciones y teléfonos de contacto para emergencias, para es un factor
poder localizar rápidamente a las personas clave. determinante para
poder actuar de
forma correcta
 En algunos casos será necesario contratar a las personas con la evitando errores a
necesaria experiencia y cualificación profesional la hora de
(conocimientos técnicos, habilidades de comunicación...). responder de forma
rápida y eficaz ante
 Conviene prestar especial atención a la formación continua de los miembros los incidentes de
del Equipo de Respuesta a Incidentes (o de las personas que deban asumir seguridad.
esta responsabilidad si no existe el equipo como tal), contemplando tanto los
aspectos técnicos como los aspectos legales (delitos informáticos).

 Estas personas deben contar con la donación de medios técnicos y materiales

necesarios para poder cumplir con eficacia su misión. Para comprobar la
idoneidad de los medios disponibles, el entrenamiento de los miembros del
equipo y las actividades definidas en el Plan de Respuesta a Incidentes,
conviene llevar a cabo simulacros de forma periódica en la organización.
 Como parte integrante del Plan de Respuesta a Incidentes,
Procedimientos y
9.2.2 la organización debe definir una guía de actuación clara y
actividades a realizar detallada con los procedimientos y acciones necesarias
para la restauración rápida, eficiente y segura de la
capacidad de procesamiento informático y de
comunicaciones de la organización, así como para la
recuperación de los datos dañados o destruidos.

El objetivo perseguido con la Guía de

Procedimientos es conseguir una respuesta
sistemática ante los incidentes de seguridad,
realizando los pasos necesarios y en el orden
adecuado para evitar errores ocasionados por la
precipitación o la improvisación. Una buena Guía de
procesamientos permitirá minimizar los daños
ocasionados y facilitar la recuperación del sistema
afectado.
9.2.3 Detección de un Incidente de Seguridad
La organización debería prestar especial atención a los posibles
indicadores de un incidente de seguridad, como una actividad
dentro del Plan de Respuesta a Incidentes.

Seguidamente se
presenta una relación de
los principales
indicadores de posibles
incidentes de seguridad.
 Ejemplos
Algunos ejemplos de los incidentes de seguridad mencionados son:
• Precursores de un ataque: actividades • Caídas o mal funcionamientos de
previas de reconocimiento del servidores.
sistema informático. • Fallas en el rendimiento de la red,
• Alarmas generadas en los Sistemas por incrementos inusuales del
de Detección de Intrusiones o en trafico de datos.
herramientas de antivirus. • Existencia de herramientas no
• Registro de actividad extraña en los autorizadas en el sistema
“logs” de servidores.
Otros ejemplos que existen…

• Informes de usuarios sobre

comportamientos extraños o
imposibilidad de acceder a
ciertos servicios.
• Notificación de un intento de
ataque desde equipos de la propia
organización
• Desaparición de equipos de la red
de la organización.
 Conviene tener en cuenta que los ataques informáticos se han vuelto cada vez mas
sofisticados, por lo que es difícil conseguir detectarlos a tiempo, incluso existen
herramientas que facilitan este tipo de ataques ocultando su actividad y que se pueden
obtener de forma gratuita en internet.

Por otra parte, la gran cantidad de información que se genera en los “logs” y en las
distintas herramientas de seguridad puede dificultar su posterior estudio, debido
sobre todo a la perdida de tiempo provocada por los “falsos positivos.”
 9.2.4 Análisis de un Incidente
de Seguridad

El Plan
El Plan de
de Respuesta
Respuesta aa Incidentes
Incidentes debe
debe definir
definir cómo
cómo el
el equipo
equipo ¿Qué equipos,
¿Qué equipos, redes,
redes, servicios
servicios
de respuesta
de respuesta debería
debería proceder
proceder alal análisis
análisis de
de un
un posible
posible y/o aplicaciones
y/o aplicaciones se
se han
han podido
podido
incidente de
incidente de seguridad
seguridad en
en cuanto
cuanto este
este fuese
fuese detectado
detectado por
por la
la ver afectados?
ver afectados?
organización, determinando
organización, determinando enen primer
primer lugar
lugar cual
cual es
es su
su alcance:
alcance:

¿Se ha
¿Se ha podido
podido comprometer
comprometer
información confidencial
información confidencial de
de
la organización
la organización dede sus
sus
usuarios yy clientes?
usuarios clientes?

¿Ha podido
¿Ha podido afectar
afectar aa
terceros?
terceros?
 Se podría utilizar una
“Matriz de Diagnostico”
Seguidamente, el equipo de para facilitar la actuación
respuesta debe determinar del equipo en momentos de
como se ha producido el máximo estrés, evitando
incidente: que se tomen decisiones
• Que tipo de ataque precipitadas que produzcan
informático ha sido el
errores.
causante
• Que vulnerabilidades del
sistema han sido
explotadas.
• Que métodos ha
empleado el atacante
• Entre otros…
9.2.5 Contención, Erradicación y Recuperación

Dentro del plan de

respuestas a incidentes, el
equipo de respuesta debe
elegir una determinada
estrategia de contención
del incidente de seguridad.
Plan de respuesta a incidentes
Llevar acabo una rápida actuación para evitar que el incidente pueda tener mayores
consecuencias para la organización.
Primera opción
Apagar todos los equipos afectados, desconexión de estos equipos de
la red informática, desactivando ciertos servicios, etc.

Segunda opción
Retrasar la contención para poder estudiar con más detalle el tipo de
incidente y tratar de averiguar quien es el responsable del mismo

Por ultimo
La recuperación es la etapa del plan de respuesta a incidentes en la
que se trata de restaurar los sistemas para que puedan volver a su
normal funcionamiento.
Para ello, será necesario completar tareas como la reinstalación del
sistema operativo y de las aplicaciones partiendo de una copia de
seguridad, la configuración adecuada de los servicios e instalación
de los últimos parches y actualizaciones de seguridad, el cambio
de contraseñas que puedan haber sido comprometidas, la
desactivación de las cuentas que hayan sido utilizadas durante el
incidente, la revisión de las medidas de seguridad para prevenir
incidentes similares y la prueba del sistema para comprobar su
correcto funcionamiento.
 9.2.6 Identificación del atacante y posibles actuaciones legales
• En cuanto a la ejecución de
acciones conta el atacante, se
recomienda presentar una denuncia
ante las unidades policiales
especializadas en este tipo de
incidentes o ataques informáticos,
para poder emprender de este
modo las correspondientes
actuaciones policiales y judiciales • La identificación del atacante
pude ser una tarea que consume
bastante tiempo y recursos, por lo
que no debería interferir en la La identificación del atacante es
• Algunas organizaciones optan contención y erradicación del
problema.
necesaria para poder emprender
por no seguir legalmente a los
atacantes por el esfuerzo acciones legales para exigir
necesario: costes trámites responsabilidades y reclamar
judiciales, publicación en los
indemnización.
medios, etc.
Conviene destacar que, si la organización
decidiese actuar por su propia cuenta,
“tomando la justicia por su mano”, es decir
realizar ataques a modo de represaría contra los
equipos y redes informáticas, esta actuación
podría traer graves consecuencias para la
organización.

Si el atacante ha utilizado técnicas de

enmascaramiento, la organización podría
lanzar un ataque contra equipos y redes
inocentes, con las correspondientes
responsabilidades legales que se derivan de
la actuación, por lo que podría ser denunciada
por las organizaciones propietarias de estos
equipos atacados a modo de represalia.
9.2.7 Comunicación con terceros y relaciones
públicas Sería recomendable contactar con los fabricantes del
software y/ o hardware que se hayan visto involucrados
en el incidente, debido a una vulnerabilidad o una mala
configuración de sus productos.
El plan de respuestas a
incidentes tiene que contemplar
cómo la organización debería Por otra parte, hay que tener en
comunicar a terceros la causa y cuenta el cumplimiento de la
las posibles consecuencias del normativa existente ya que algunos
incidente de seguridad de países, que obliga a la notificación
informática. de los incidentes de seguridad a
determinados organismos de la
administración que pudieran verse
afectados por dicho incidente.

En los contactos con los clientes de la organización

debería poder transmitir seguridad y tranquilidad,
indicando en todo momento que “la situación esta
controlada”.
 La organización debería
procurar no relevar
información sensible,
como los detalles
técnicos de las medidas
adoptables para
responder al incidente de
seguridad, y evitar en la
medida lo posible las
especulaciones sobre las
causas o los responsables
En la del incidente de
comunicación seguridad.
con los medios
9.2.8 Documentación del Incidente de Seguridad
El plan de Respuesta a Incidentes debería establecer cómo se tiene que
documentar un incidente de seguridad como los que se presentan a
continuación:
Hechos registrados (eventos Comunicaciones que se
Descripción del tipo Daños producidos en
en los "logs" han realizado con terceros
incidente. el sistema informático.
de los equipos). y con los medios.

Lista de evidencias Comentarios e Posibles actuaciones y recomendaciones

obtenidas durante el impresiones del personal para reforzar la seguridad y evitar incidentes
análisis y la involucrado. similares en el futuro.
investigación.
 9.2.9 Análisis y revisión a posteriori del incidente

Dentro del Plan de Respuesta a Incidentes se tiene que contemplar una etapa para el
análisis y revisión a posteriori de cada incidente de seguridad, a fin de determinar qué ha
podido aprender la organización como consecuencia del mismo.

Se realizara un informe final sobre el incidente, en el que se puedan desarrollar los

incidentes de las siguientes diapositivas:
 1. Investigación sobre las 2. Revisión de las decisiones y
causas y las consecuencias actuaciones del equipo de
respuesta a incidentes.
del incidente
• Estudio de la documentación generada • Composición y organización
por el equipo de respuesta a incidentes. del equipo.
• Revisión detallada de los registros de • Formación y nivel de
actividad (“logs”) de los ordenadores y desempeño de los miembros.
dispositivos afectados por el incidente. • Rapidez en las actuaciones y
• Evaluación del coste del incidente de decisiones: ¿cómo respondió
seguridad para la organización. el personal involucrado en el
• Seguimiento de las posibles acciones incidente?; ¿qué tipo de
legales emprendidas contra los información se obtuvo para
responsables del incidente. gestionar el incidente?
3. Análisis de los procedimientos 4. Revisión de las Políticas de
y de los medios técnicos Seguridad de la organización
empleados en la respuesta al
incidente
• Redefinición de aquellos procedimientos • Definición de nuevas
que no hayan resultado adecuados. directrices y revisión de
• Adopción de las medidas correctivas que las actualmente
se consideren necesarias para mejorar la previstas por la
respuesta ante futuros incidentes de organización para
seguridad.
reforzar la seguridad de
• Adquisición de herramientas y recursos su sistema informático.
para reforzar la seguridad del sistema y
la respuesta ante futuros incidentes de
seguridad.
 PRACTICAS RECOMENDADAS POR
9.3
EL CERT/CC

El CERT/CC (Computer Emergency

Response Team/Coordination Center)
propone una serie de actividades para
mejorar la respuesta de una
organización ante los incidentes de
seguridad informática.

A continuación se presentaran algunas de las principales actividades propuestas por este organismo, agrupadas
en tres fases o etapas:
 9.3.1 Preparación de la respuesta ante
incidentes de seguridad
• Definición del plan de actuación y los • Adquisición e instalación de herramientas
procedimientos para responder a los informáticas y dispositivos que faciliten la
incidentes, especificando, entre otras respuesta ante incidentes. Conviene disponer
cuestiones, a quien se debe informar en de equipos redundantes, dispositivos de red,
caso de incidente etc.
• Documentación del plan de actuación y • Verificación de los procedimientos y
de los procedimientos para responder a dispositivos de copias de seguridad.
los incidentes. • Formación y entrenamiento del personal
• Comprobación de que el plan de afectado por este plan y procedimiento de
actuación y los procedimientos previstos actuación.
cumplen con los requisitos legales y las • Mantenimiento actualizado de una base de
obligaciones contractuales con terceros. datos de contactos (personas y
organizaciones).
9.3.2 Gestión del incidente de seguridad
• Aislamiento de los equipos afectados • Participación en las medidas de
por el incidente, realizando además una investigación y de persecución legal de
copia de seguridad completa en sus los responsables ante el incidente.
discos duros. • Aplicaciones de soluciones de
• Captura y protección de toda la emergencia para tratar de contener el
información asociada con el incidente: incidente: desconectar los equipos
registro de actividad de los equipos y afectados de la red corporativa.
dispositivos de red, etc.
• Eliminación de todos los medios posibles
• Catalogación y almacenamiento seguro que faciliten una nueva intrusión en el
de toda la información para poder sistema.
preservar las evidencias.
• Recuperación de la actividad normal de
• Revisión de toda la información los sistemas afectados: reinstalación de
disponible para poder caracterizar el aplicaciones y servicios, incluyendo
tipo de incidente o intento de intrusión. parches y actualizaciones de seguridad.
 9.3.3 Seguimiento del incidente de
seguridad
Identificación de las lecciones
y principales conclusiones de cada incidente,
recurriendo para ello al análisis "post-mortem"
de los equipos afectados y a las
personas implicadas. Revisión de las políticas
y procedimientos de seguridad,
realización de un nuevo análisis detallado de
las vulnerabilidades y riesgos del sistema.
 9.4 OBLIGACIÓN LEGAL DE
NOTIFICACIÓN DE ATAQUES E
INCIDENCIAS
• Es una medida que ya ha sido adoptada por el Estado de California en Estados
Unidos. Así, en este Estado desde el I de julio de 2003 todos los Websites de
comercio electrónico están obligados por ley a informar a sus clientes cuando
se haya producido una violación de la seguridad de su sistema informático.
• Toda empresa afectada por un ataque informático deberá informar de este
hecho por correo electrónico a sus clientes. indicándoles que el número de su
tarjeta de crédito o algún otro dato de carácter personal podría haber sido
sustraído de los ordenadores de la empresa.
• Esta alerta informativa se tendrá que enviar tanto en caso de robo de
información como cuando hayan sido descubiertas brechas de seguridad en el
Website de la empresa.
9.5 INFORMÁTICA La ciencia forense recurre a la aplicación de un
FORENSE método científico para analizar las evidencias
disponibles y formular hipótesis sobre lo ocurrido.
La informática forense se encarga de adquirir,
9.5.1Fundamentos de la preservar, obtener y presentar datos que han sido
procesados electrónicamente y guardados en un
Informática Forense medio computacional.

Un equipo de análisis forense estará

constituido por expertos con los
conocimientos y experiencia necesarios en el
desarrollo de estas actividades.
 9.5.1 Etapas de la Informática Forense

1. 4. Elaboración de
3. Análisis de la un informe con
Identificación y 2. Preservación
información las conclusiones
captura de las de las evidencias.
obtenida. del análisis
evidencias. forense.
9.5.2.1 CAPTURA DE LAS EVIDENCIAS
Una evidencia es toda aquella información
que podrá ser capturada y analizada
posteriormente para interpretar de la forma
más exacta posible el incidente de
seguridad: en qué ha consistido, qué daños
ha provocado, cuáles son sus
consecuencias y quién pudo ser el
responsable.
Asimismo, es posible generar distintas
copias de las evidencias digitales para
facilitar su conservación y posterior
análisis. La tecnología informática
permitirá averiguar si alguna de estas
copias ha sido modificada o falsificada,
comparándola con la original.
9.5.2.2 Preservación de las evidencias digitales
• A la hora de preservar las evidencias digitales será
necesario contemplar una serie de tareas de tipo técnico y
de medidas de carácter organizativo, teniendo en cuenta
las recomendaciones de la IOCE (International
Organization on Computer Evidence, Organización
Internacional sobre Evidencias Informáticas)
• Así, en primer lugar, se deberá utilizar un adecuado
método de identificación, precinto, etiquetado y
almacenamiento de las evidencias.
• Estas evidencias digitales deberán ser preservadas de
factores ambientales adversos: campos magnéticos,
fuentes de radiación, etc.
• Otro aspecto de gran importancia es la documentación de
todo el proceso de adquisición de evidencias, llevado a
cabo por profesionales con los conocimientos adecuados.
 9.5.2.3 Análisis de las evidencias obtenidas
• El análisis de las evidencias digitales capturadas en las etapas anteriores podría ser realizado mediante
herramientas especializadas que permiten analizar la imagen obtenida de los discos duros sin tener que volcarla a
otro disco o unidad de almacenamiento.
• La labor de análisis puede comenzar con la búsqueda de información (cadenas de caracteres alfanuméricos) en el
volcado de la memoria del sistema o en las imágenes de los discos duros sospechosos.
• Se tendrá que realizar una comprobación de la integridad en los ficheros y librerías del sistema, para detectar
posibles manipulaciones.
• El análisis de las evidencias también debe contemplar la revisión de los ficheros de configuración del sistema,
donde se establecen los parámetros básicos de arranque, los servicios que se van a ejecutar y las directivas de
seguridad.
• La tarea de análisis de los ficheros se puede ver dificultada por el hecho de que algunos de estos ficheros se
encuentren comprimidos y/o cifrados.
• El equipo de análisis forense deberá tener especial cuidado a la hora de localizar aquellos ficheros marcados
como borrados en el disco pero que todavía no habían desaparecido de éste.
• Con las herramientas adecuadas también es posible recuperar fragmentos de antiguos ficheros, además de
facilitar el análisis de los datos que pudieran encontrarse en los espacios de separación entre particiones y
sectores, así como en el espacio no utilizado dentro de cada sector.
9.5.3 Herramientas de análisis forense
Las herramientas de análisis forense permiten asistir al
especialista durante el análisis de un delito informático,
automatizando buena parte de as tareas descritas en los
apartados anteriores para facilitar la captura, preservación y
posterior análisis de las evidencias digitales.

De las herramientas de
análisis forense disponibles  EnCase
 Autopsy
en el mercado podríamos  The Forensic Toolkit
considerar que las más  The Slueuth Kit, etc.
populares serían
 9.5.4 Organismos y medios especializados en
Informática forense
Entre los principales organismos internacionales especializados en la informática
forense destacan los siguientes:
La IACIS (Asociación La IOCE (Organización
Internacional de Especialistas en Internacional sobre las
Investigación Informática) Evidencias Informáticas)

Es una organización sin ánimo de Es un organismo creado en 1995 para

construir un foro en el que las
lucro dedicada a la formación de los
agencias de ley de todo el mundo
profesionales de la ley en el área pudieran intercambiar información
del análisis informático forense. sobre el análisis forense informático.
 Plan de
9.6
recuperación del
negocio
Las empresas son cada vez
mas conscientes de la
necesidad de estar preparadas
para poder responder ante todo
tipo de desastres y situaciones
catastróficas, como podrían ser
los incendios, inundaciones,
terremotos, etc. También se
podrían producir debido a
daños ocasionados por
sabotajes, robos o, incluso, por
atentados terroristas.
También conocido como Plan de continuidad del negocio o plan de contingencias, se deben especificar los
objetivos y prioridades a tener en cuenta por la organización en caso que pueda afectar a la continuidad del negocio.
Puntos que hay que tomar en cuenta para poder restaurar el funcionamiento del sistema informático de la
organización (datos, aplicaciones y servicios)
• Disponibilidad de un centro de reserva (servidores y bases de datos corporativas)
• Lineas back-up para las comunicaciones
• Almacenamietno RAID en los servidores
• Implantación de clusters de servidores
• Herramientas para llevar a cabo una replicación de los documentos y las bases de datos
Un elemento fundamental es la existencia de
un centro de respaldo o centro de back-up.
Este centro debería estar equipado con los
equipos informáticos adecuados y contar con
copias de seguridad de los datos críticos para
el negocio suficientemente actualizadas,
deberá contar con las mismas medidas de
seguridad informática que las instalaciones
principales.
Las organizaciones pueden adoptar distintas a
la hora de implantar un centro respaldo:
• Transporte periódico de copias de seguridad
a un almacén
• Centro de respaldo “frio”: se trata de un
cetro que cuenta con un equipamiento
suficiente de hardware, software y de
comunicaciones para mantener los servicios
críticos de la organización. El tiempo de
recuperación puede ser de una a varios días.
• Centro de respaldo “caliente”: cuenta con el mismo equipamiento que el centro
de respaldo "frio” pero además en este los equipos se encuentran en
funcionamiento y disponen de una replica de todos los datos y aplicaciones del
sistema informático. El tiempo de recuperación es de pocas horas.
• Centro de respaldo “caliente” en una configuración en “espejo” es un centro de
recuperación con el mismo equipamiento que el centro principal y que trabaja de
un modo paralelo a este, pudiendo entrar en acción inmediatamente a la caída del
centro principal.
Por otra parte debemos
destacar la importancia de
documentar el sistemas
informático al mayor nivel de
detalle posible, ya que en caso
de desastre no siempre se
podrá disponer de las personas
clave para poder disponer de
esta información.
Llevar a cabo auditorias y
pruebas periódicas para
garantizar la correcta
ejecución de los
procedimientos previstos para
la continuidad del negocio.
¿
~PREGUNTAS~
¿
 Preguntas
1. ¿Qué es un incidente de seguridad?
Cualquier evento que pueda provocar una interrupción o degradación de los servicios ofrecidos por el sistema,
o bien afectar a la confidencialidad o integridad de la información.
2. ¿Qué es el CSIRT y de qué se encarga?
El CSIRT es el "Equipo de respuesta a Incidentes de Seguridad Informática" o "Computer Incident Response
Team". Éste está constituido por las personas que cuentan con la experiencia y la formación necesaria para
poder actuar ante las incidencias y desastres que pudieran afectar a la seguridad informática de una
organización.
3. ¿Qué es una evidencia?
Es toda aquella información que podrá ser capturada y analizada posteriormente para interpretar de la forma
más exacta posible al incidente de seguridad; en qué ha consistido; qué daños ha provocado, cuáles son sus
consecuencias y quién pudo ser el responsable.
4. ¿En qué consiste la ciencia forense?
Es la aplicación de un método científico para analizar las evidencias disponibles y formular hipótesis sobre lo
ocurrido.
5. Se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente
y guardados en un medio computacional.
La informática forense.