Gestin de incidentes en seguridad de la informacin

Objetivo
El objetivo de esta Gua es dar los lineamientos bsicos para la elaboracin de los
manuales de gestin de incidentes de acuerdo a las mejores prcticas actuales.
La Gua propondr entonces algunas definiciones generales de acuerdo a normas
internacionales reconocidas para luego presentar los puntos ms relevantes que una
Poltica de gestin de incidentes deber contener.
Definiciones
Comunidad objetivo
La Comunidad Objetivo es aquel grupo de personas, sistemas u organizaciones
para quienes se prestara el servicio de gestin de incidentes.
Evento de seguridad informtica
Un evento de seguridad informtica es una ocurrencia identificada de un estado de un
sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la
informacin o la falla de medidas de seguridad, o una situacin previamente
desconocida que pueda ser relevante para la seguridad.
Por ejemplo:
Un usuario se conecta a un sistema, un intento fallido de un usuario para ingresar a una
aplicacin, el firewall que permite o bloquea un acceso, una notificacin de un cambio
de contrasea de un usuario privilegiado, etc.
Un Evento de Seguridad Informtica no es necesariamente una ocurrencia maliciosa o
adversa.
Incidente de seguridad informtica
Un incidente de seguridad informtica es la violacin o amenaza inminente a la
violacin de una poltica de seguridad de la informacin implcita o explcita.
Tambin es un incidente de seguridad un evento que compromete la seguridad de un
sistema (confidencialidad, integridad y disponibilidad). Un incidente puede ser
denunciado por los involucrados, o indicado por un nico o una serie de eventos de
seguridad informtica.
Como ejemplos de incidentes de seguridad podemos enumerar:

Acceso no autorizado.

Robo de contraseas.
Robo de informacin.
Denegacin de servicio.

Principales aspectos de una poltica de gestin de incidentes

La Gestin de Incidentes puede definirse como el conjunto de acciones y procesos
tendientes a brindar a las organizaciones de la comunidad objetivo fortalezas y
capacidades para responder en forma adecuada a la ocurrencia de incidentes de
seguridad informtica que afecten real o potencialmente sus servicios.
Definicin de Comunidad Objetivo
La poltica de gestin de incidentes en seguridad de la informacin debe incluir una
definicin clara de la Comunidad Objetivo. Esta puede estar incluida en la misma
definicin de la poltica o en un documento independiente. Es importante que la
definicin sea lo ms concreta posible, pero pueden utilizarse definiciones ms
generales como "los sistemas informticos que soporten activos de informacin
crticos del Estado" y luego especifcalos en listas no excluyentes.
Clasificacin de incidentes
Toda poltica de gestin de incidentes deber definir un esquema de
clasificacin de los incidentes de seguridad. Si bien es real que los incidentes pueden ser
difciles de encasillar en un esquema de clasificacin fijo, la clasificacin permite
elaborar estadsticas en el mediano y largo plazo as como tambin tomar
decisiones a la hora de correr los procesos de preparacin (ver ms adelante).
El esquema de clasificacin deber contemplar al menos los siguientes aspectos de un
incidente:
Tipo:
Por tipo de un incidente entendemos a una clasificacin en categoras que clasifiquen
los aspectos funcionales del incidente. Algunos ejemplos de esto son por ejemplo:

Acceso no autorizado a sistemas.

Denegacin de servicio.
Divulgacin de informacin sensible.
Infeccin de Malware.

Severidad:
La severidad de un incidente es un elemento de clasificacin que debe permitir el
potencial impacto del incidente. Este impacto puede ser medido de diversas maneras. En
algunos casos ser posible establecer una escala monetaria, en otros casos se podr

establecer una escala de impacto funcional (por ejemplo alta, media, baja) de acuerdo
a la afectacin de los servicios.
Procesos de gestin de incidentes
Los procesos definen conjuntos de actividades que son realizadas por parte del
Centro de Respuestas independientemente de que se est respondiendo a un
incidente o no.
Los procesos que la poltica deber definir comprendern al menos los siguientes
aspectos:
Proceso de planificacin y preparacin para enfrentar incidentes de seguridad
El proceso de preparacin incluye todas aquellas actividades de tipo proactivo que
puedan llevarse a cabo para estar mejor preparado para responder y enfrentar
incidentes de seguridad.
Estas actividades incluyen tems como:

Anlisis de alertas y amenazas.

Actividades de sensibilizacin.
Actividades de entrenamiento.
Ensayos y evaluaciones de seguridad.
Definicin de procedimientos.
Anlisis y mejora contina del proceso.

Proceso de atencin a incidentes

El proceso de atencin a incidentes agrupa todas las actividades de tipo reactivo que se
realizan como parte de la respuesta a un incidente concreto.
Este proceso incluir tems como:

Recepcin de reportes de incidentes.

Clasificacin y valoracin de impacto.
Relevamiento de sistemas y procesos de negocio afectados as como sus
responsables.
Elaboracin de un plan de respuesta al incidente con medidas de contencin y
mitigacin recomendadas.
Obtencin de avales para ejecucin del plan de respuesta, si este lo requiere.
Ejecucin de las medidas de contencin y mitigacin.
Elaboracin de un informe final de cierre.

Proceso de mejora contina para enfrentar futuros incidentes

El proceso de mejora continua agrupa todas las actividades que sern realizadas por
parte de la entidad afectada por el incidente para mejorar su postura de seguridad para

enfrentar futuros incidentes.

La experiencia adquirida en la atencin al incidente as como toda la informacin
obtenida durante el curso de la accin podr permitir la elaboracin de un plan de
acciones de mejora a implementar por la entidad afectada.
El objetivo de este plan de acciones no deber ser en ningn caso un objetivo de
auditora o de bsqueda de responsables si no que el objetivo deber ser el de
fortalecer a la organizacin para evitar la repeticin de incidentes similares en el
futuro.
Diagrama de Procesos
El siguiente diagrama ilustra como los procesos detallados anteriormente se coordinan
entre s.