|
<< Clic para mostrar Tabla de Contenidos >> Respuesta a incidentes de seguridad |
Equipo Central de Respuesta a Incidentes de Seguridad Informática (CSIRT)
El CSIRT es el punto focal para tratar los incidentes de seguridad informática en Bizagi. Las responsabilidades especificas del CSIRT son las siguientes:
•Supervisar sistemas para detectar o identificar violaciones de seguridad.
•Servir como punto central de comunicación, tanto para recibir informes de incidentes de seguridad como para difundir información crucial a las entidades apropiadas sobre el incidente.
•Documentar y catalogar incidentes de seguridad.
•Promover la conciencia de la seguridad dentro de la empresa para ayudar a evitar que ocurran incidentes en su organización.
•Auditorías de sistemas y redes de apoyo mediante procesos como la evaluación de la vulnerabilidad y las pruebas de penetración.
•Aprender sobre las nuevas vulnerabilidades y estrategias de ataque empleadas por los atacantes.
•Investigar nuevos parches de software.
•Analizar y desarrollar nuevas tecnologías para minimizar las vulnerabilidades y los riesgos de seguridad.
•Proporcionar servicios de consultoría de seguridad.
•Perfeccionar y actualizar continuamente los sistemas y procedimientos actuales.
Papeles del CSIRT
Papel |
Descripción del Papel |
|---|---|
Jefe de Equipo (Equipo Central) |
El Jefe del Equipo es responsable de las actividades del CSIRT y coordina los exámenes de sus acciones, así como la promoción de cambios en las políticas y procedimientos para hacer frente a futuros incidentes. Este rol ha sido asignado al Líder de Investigación y Desarrollo de Infraestructura de Bizagi.
Cuando la información del cliente puede estar en riesgo, o la infraestructura del cliente está involucrada en el incidente o es requerida para su manejo, el Líder de Equipo establece y maneja la relación directa con el correspondiente Líder de Equipo del lado del cliente. |
Líder de Incidente (Equipo Central) |
En el caso de un incidente, el Jefe de Equipo designa a una persona responsable de coordinar la respuesta. El Jefe de Incidentes es el propietario del incidente en particular o del conjunto de incidentes de seguridad relacionados. Toda la comunicación sobre el evento se coordina a través del Líder de Incidente, y cuando habla con los que están fuera del CSIRT, él o ella representa a todo el CSIRT.
El papel de Líder de Incidentes de Bizagi ha sido designado a los Especialistas en Seguridad de la Información y Forenses de la compañía.
|
Contacto TI (Miembro asociado) |
Este miembro es responsable de coordinar la comunicación entre el Líder de Incidentes y el resto del grupo de TI. El Contacto de TI es el principal responsable de encontrar personas en el grupo de TI para manejar eventos de seguridad particulares.
El Gerente de TI de Bizagi es el Contacto de TI de nuestro CSIRT.
Cuando se requiere la participación del equipo de TI del cliente, un Contacto de TI para el lado del cliente también es designado por el Líder del Equipo en coordinación con el líder del equipo CSIR del cliente correspondiente. |
Asesor Jurídico (Miembro asociado) |
El Asesor Jurídico determina cómo proceder durante un incidente con una responsabilidad legal mínima y una capacidad máxima para procesar a los delincuentes. El Asesor Jurídico también es responsable de la coordinación de toda comunicación con organismos externos de aplicación de la ley o de investigación o partes interesadas. Esta función ha sido asignada al Consejo General de Bizagi. |
Gerencia (Miembro asociado) |
Dependiendo del incidente en particular, el CSIRT puede involucrar a los gerentes de los departamentos, o a los gerentes de toda la organización. La persona encargada de la gestión adecuada variará según el impacto, la ubicación, la gravedad y el tipo de incidente, y su participación la decide el Jefe del Equipo. |
Plan de Respuesta a Incidentes
En caso de un incidente, el CSIRT coordina una respuesta y se comunicará con los miembros asociados que estarán involucrados en ese incidente en particular. En el cuadro siguiente se muestran las responsabilidades de cada función durante el proceso de respuesta al incidente.
Actividad |
Jefe de Equipo |
Líder de Incidente |
Contacto TI |
Asesor Jurídico |
Gestión |
|---|---|---|---|---|---|
Reunión del Equipo |
Implementa |
Aconseja |
Ninguno |
Ninguno |
Ninguno |
Evaluación Inicial |
Aconseja |
Dueño |
Aconseja |
Ninguno |
Ninguno |
Respuesta Inicial |
Aconseja |
Dueño |
Implementa |
Actualiza |
Actualiza |
Recoger Pruebas Forenses |
Aconseja |
Implementa |
Aconseja |
Dueño |
Ninguno |
Implementar un Arreglo Temporal |
Aconseja |
Dueño |
Implementa |
Actualiza |
Aconseja |
Envíar la Comunicación |
Implementa |
Aconseja |
Aconseja |
Aconseja |
Aconseja |
Verificar con las Fuerzas de Seguridad Locales |
Aconseja |
Actualiza |
Actualiza |
Implementa |
Dueño |
Implementar un Arreglo Permanente |
Aconseja |
Dueño |
Implementa |
Actualiza |
Actualiza |
Determinar el Impacto Financiero en los Negocios |
Aconseja |
Actualiza |
Actualiza |
Aconseja |
Dueño |
Puntos Clave para las Actividades de Respuesta a Incidentes
Evaluación inicial
Como parte de su evaluación inicial nosotros:
•Tomamos medidas para determinar si se trata de un incidente real o de un falso positivo.
•Obtenemos una idea general del tipo y la gravedad del ataque. Debemos reunir al menos la información suficiente para empezar a comunicarla para futuras investigaciones y para empezar a contener los daños y minimizar el riesgo.
•Registramos las acciones a fondo. Estos registros se utilizarán más tarde para documentar el incidente (ya sea real o falso).
Comunicación de Incidentes
Cuando alguien, ya sea dentro o fuera del CSIRT sospecha que hay un incidente de seguridad, debe comunicarlo rápidamente al CSIRT a través del Help Desk, correo electrónico, o cualquier otro medio que considere mejor. El Jefe del Equipo, reunirá al equipo, e identificará quién necesita ser contactado fuera del núcleo del CSIRT para asegurarse de que se mantendrá el control apropiado y la coordinación del incidente, mientras se minimiza la extensión del daño.
Sólo se informa a los que desempeñan un papel en la respuesta al incidente hasta que éste se controla adecuadamente. El Jefe de Equipo determinará más tarde quién necesita ser informado del incidente.
Contención de Daños y Gestión de Riesgos
El CSIRT tiene que actuar rápidamente para reducir los efectos reales y potenciales de un ataque. La respuesta exacta depende de la naturaleza del ataque. Sin embargo, se utilizan las siguientes prioridades como punto de partida:
•Proteger la vida humana y la seguridad de las personas. Siempre son nuestra primera prioridad.
•Proteger los datos clasificados y sensibles. Determinar qué datos están clasificados y cuáles son sensibles para priorizar las respuestas en la protección de los datos.
•Proteger otros datos, incluyendo los datos de gestión. Actuar para proteger primero los datos más valiosos antes de pasar a otros menos útiles.
•Proteger el hardware y el software contra los ataques. Esto incluye la protección contra la pérdida o alteración de los archivos del sistema y los daños físicos al hardware.
•Minimizar la interrupción de los recursos informáticos (incluidos los procesos). Aunque el tiempo de funcionamiento sea muy importante en la mayoría de los entornos, mantener los sistemas en funcionamiento durante un ataque podría dar lugar a mayores problemas más adelante. Por esta razón, reducir al mínimo la perturbación de los recursos informáticos puede ser, por lo general, una prioridad relativamente baja.
Las medidas mínimas adoptadas para contener los daños son las siguientes:
•Intente evitar que los atacantes sepan que estamos al tanto de sus actividades.
•Comparar el coste de desconectar los sistemas comprometidos y relacionados con el riesgo de continuar las operaciones.
•Determinar el punto o puntos de acceso utilizados por el atacante e implementar medidas para prevenir futuros accesos
Gravedad de la Identificación del Incidente
Para poder recuperarse eficazmente de un ataque, es importante determinar la gravedad del compromiso de los sistemas. Esto determinará la forma de contener y reducir al mínimo el riesgo, cómo recuperarse, con qué rapidez y a quién se comunica el incidente, y si se debe buscar asesoramiento jurídico. Para determinar el alcance del incidente se tienen en cuenta los siguientes aspectos:
•Determinar la naturaleza del ataque (esto podría ser diferente de lo que sugiere la evaluación inicial).
•Determinar el punto de origen del ataque.
•Determinar la intención del ataque. ¿El ataque se dirigió específicamente a su organización para adquirir información específica, o fue al azar?
•Identificar los sistemas que han sido comprometidos.
•Identificar los archivos a los que se ha accedido y determine la sensibilidad de esos archivos.
Para determinar la gravedad del incidente el equipo tiene que tener en cuenta lo siguiente:
•Tener reuniones para intercambiar información sobre los hallazgos de los miembros del equipo, verificar los resultados, determinar si puede haber una actividad de ataque relacionada o potencial y ayudar a identificar si el incidente es un falso positivo.
•Determinar si se ha conectado a la red equipo no autorizado o si hay indicios de acceso no autorizado mediante la puesta en peligro de los controles de seguridad física.
•Examinar los grupos clave (administradores de dominio, administradores, cuentas de servicio y cualquier otra cuenta de privilegios elevados) para detectar entradas no autorizadas.
•Buscar software de evaluación o explotación de la seguridad en las computadoras comprometidas.
•Buscar procesos o aplicaciones no autorizados que se estén ejecutando o configurando para ejecutarse utilizando las carpetas de inicio o las entradas del registro.
•Buscar lagunas en los registros del sistema o la ausencia de los mismos.
•Revisar los registros de los sistemas de detección de intrusos para detectar signos de intrusión, qué sistemas podrían haber sido afectados, métodos de ataque, tiempo y duración del ataque, y el alcance general de los posibles daños.
•Examinar otros archivos de registro en busca de conexiones inusuales; fallos en la auditoría de seguridad; éxitos inusuales en la auditoría de seguridad; intentos fallidos de inicio de sesión; intentos de iniciar sesión en cuentas predeterminadas; actividad durante horas no laborables; cambios de permisos de archivos, directorios y recursos compartidos; y permisos de usuario elevados o modificados.
•Comparar los sistemas con las comprobaciones de integridad de archivos/sistemas realizadas anteriormente para identificar adiciones, supresiones, modificaciones y modificaciones de permisos y control del sistema de archivos y del registro.
•Buscar datos sensibles que puedan haber sido movidos u ocultados para futuras recuperaciones o modificaciones.
•Comprobar los sistemas en busca de datos no comerciales, copias ilegales de software y registros de correo electrónico o de otro tipo que puedan ayudar en una investigación. Si existe la posibilidad de violar la privacidad u otras leyes al realizar una búsqueda en un sistema con fines de investigación, el equipo debe incorporar al Asesor Jurídico antes de proceder.
El CSIRT utiliza herramientas como EventCombMT y DumpEL en sistemas Windows para ayudar a determinar cuánto ha sido atacado un sistema.
Protección de Pruebas
En muchos casos, si el medio ambiente ha sido atacado deliberadamente, nosotros o nuestros clientes tendrán que tomar medidas legales contra los autores. Para preservar esta opción, el CSIRT se encarga de reunir pruebas que pueden utilizarse contra ellos, incluso si en última instancia se decide no llevar a cabo dicha acción. Para hacerlo, tenemos que respaldar los sistemas comprometidos tan pronto como sea posible. Estas copias de seguridad se hacen antes de realizar cualquier acción que pueda afectar a la integridad de los datos en el medio original. Se realizan dos copias de seguridad completas bit a bit de todo el sistema utilizando medios nuevos y nunca antes utilizados (siempre que sea posible). Una copia de seguridad se hace en un medio de "una sola escritura, varias lecturas", para que pueda ser utilizada más tarde para el procesamiento del delincuente. Esta copia de seguridad está físicamente asegurada hasta que se necesite. La otra copia de seguridad se utiliza para la recuperación de datos. Las actividades de respaldo se documentan como parte de las actividades del proceso de respuesta a incidentes.
Para sistemas extremadamente grandes, las copias de seguridad completas de todos los sistemas comprometidos podrían no ser factibles. En su lugar, hacemos copias de seguridad de todos los registros y de partes seleccionadas del sistema.
Notificaciones de Entidades Externas
Una vez que se haya contenido el incidente y se hayan conservado los datos para su posible enjuiciamiento, el equipo podrá considerar si es necesario empezar a notificar a las entidades externas apropiadas. Todas las divulgaciones externas se coordinan con el Asesor Jurídico. Entre las posibles entidades figuran las fuerzas del orden locales y nacionales, los organismos de seguridad externos y los expertos en virus.
Para algunos tipos de infracciones, también podríamos tener que notificar a los clientes y al público en general, en particular si los clientes pueden verse afectados directamente por el incidente. Estos tipos de revelaciones tienen que ser coordinadas con la Administración también.
Recuperación de Sistemas
La recuperación del sistema dependerá del alcance de la brecha de seguridad. TI necesita determinar si será posible restaurar el sistema existente dejando intacto todo lo posible, o si es necesario reconstruir completamente el sistema.
La restauración de los datos (simpre que sea posible) se hace usando copias de respaldo verficadas hechas antes de que occura el incidente.
Recopilación y Organización de Pruebas de Incidentes
El CSIRT documenta todos los procesos cuando se trata de cualquier incidente. Esto incluye una descripción de la infracción y los detalles de cada acción tomada (quién tomó la acción, cuándo la tomó y el razonamiento detrás de ella). Todas las personas involucradas con el acceso son anotadas a lo largo del proceso de respuesta.
Posteriormente, la documentación se organiza cronológicamente, se comprueba que esté completa y se firma y revisa con la dirección y los representantes legales. Las pruebas recogidas en la fase de pruebas de protección se salvaguardan en nuestras instalaciones de respaldo externas. El equipo siempre tiene dos personas presentes durante todas las fases que pueden firmar cada paso para reducir la probabilidad de que las pruebas sean inadmisibles y la posibilidad de que se modifiquen después.
Evaluación de los Daños y los Costos de los Incidentes
Los daños y los costos de los incidentes son una prueba importante necesaria si nosotros o nuestros clientes deciden emprender alguna acción legal. El CSIRT decide si continuar con la evaluación de los daños y los costos, en cuyo caso, la Dirección está involucrada, y se hace cargo de la actividad. La evaluación de los daños puede incluir algunos o todos los siguientes aspectos:
•Costos debido a la pérdida de ventaja competitiva por la liberación de información propietaria o sensible.
•Costos legales.
•Costos de mano de obra para analizar las infracciones, reinstalar el software y recuperar los datos.
•Costos relacionados con el tiempo de inactividad del sistema (por ejemplo, pérdida de productividad de los empleados, pérdida de ventas, reemplazo de hardware, software y otros bienes).
•Costos relacionados con la reparación y posible actualización de las medidas de seguridad física dañadas o ineficaces (cerraduras, paredes, jaulas, etc.).
•Otros daños consecuentes como la pérdida de reputación o de confianza de los clientes.
Examen de la Respuesta y Actualización de la Política
Una vez que se hayan completado las fases de documentación y recuperación, es posible que el equipo tenga que revisar el proceso a fondo para determinar qué pasos se ejecutaron con éxito y qué errores se cometieron. En caso de que aparezca algún hallazgo, el Jefe del Equipo será responsable de analizar y sugerir la mejora del proceso.
Last Updated 8/2/2023 10:55:17 AM