Wikipedia

Usuario:Balusin/Taller

Este es el taller de Balusin. Un taller de usuario es una subpágina de usuario que sirve para iniciar el desarrollo de artículos o realizar pruebas. Esto no es un artículo de la enciclopedia.
También puedes realizar pruebas de edición desechables en la zona de pruebas común, o crear otros talleres o subpáginas.

El ISO/IEC 27035-3 (03/20/2013) pertenece a la familia ISO/IEC 27000, la cual trata acerca de los estándares basados en la Seguridad de la Información para Sistemas de Gestión de la Seguridad de la Información. Las estructuras en una organización para la seguridad de la información varían dependiendo del campo de tamaño y de negocios de las empresas u organizaciones. Actualmente, el incremento de incidentes en la red (ciberataques, piratería…) aumentan constantemente, lo cual provoca preocupación en la seguridad de la información de las empresas. Es por ello, que, para garantizar la protección de la información de una forma eficiente, se requiere una organización dedicada a ello. Sin embargo, tareas como monitorización, análisis, detección… no es algo sencillo con un gran volumen de datos, por tanto, surgen normas para intentar garantizar esta seguridad, una de las cuales es ISO/IEC 27035-3. Este estándar en concreto, se encarga de proporcionar las directrices para una gestión eficiente de incidentes, además de planificar, preparar la respuesta y la operación práctica, todo ello junto con la norma ISO/IEC 27035-1 e ISO/IEC 27035-2.[1]


Categorización del Estándar

editar

Según Origen

editar

Según su origen o creación lo catalogamos como un estándar de JURE. Este tipo de estándares son producidos por una institución del gobierno o, como ocurre en este caso, por una organización internacional reconocida como es ISO (International Organization for Standarization). Para la creación del estándar, el grupo encargado de la estandarización (en este caso la organización ISO) debe seguir un proceso abierto que permite a todos participar para llegar al consenso. Este estándar se desarrolla con respecto a las normas internacionales que se redactan de acuerdo con las reglas establecidas en las Directivas ISO/IEC. La principal tarea del comité técnico conjunto es preparar normas internacionales. [2]

Según Posibilidades Aplicación

editar

Se trata de un estándar abierto, ya que no pone limitaciones ni restricciones ante su uso o aplicación para un determinado organismo.

Según Materia que Estandariza

editar

Dado que se encuentra dentro de la familia de los ISO/IEC 27000, la materia que trata es los datos, es decir, el software necesario para proteger y evitar la vulnerabilidad de la información.

Según Ámbito de Aplicación

editar

Se trata de una norma internacional, protegido por copyright por la ISO y la IEEE. A excepción de lo permitido por las leyes aplicables de país del usuario, ni esta norma ISO/IEEE ni cualquier extracto de la misma puede ser reproducida, almacenada en un sistema de recuperación o transmitida en cualquier forma o a través de cualquier medio: electrónico, fotocopia, grabación o cualquier otra manera, sin el permiso previo y por escrito de ser asegurado. Las solicitudes de autorización para reproducir deberán dirigirse a las normas ISO o la IEEE. [3]

Descripción general del estándar

editar

Además, podemos destacar las siguientes partes que el estándar aborda:

Parte 1: Principios de Gestión de Incidencias

Parte 2: Directrices para planificar y prepararse para la respuesta a incidentes

Parte 3: Guías para las operaciones de respuesta a incidentes

Parte 4: Organización y formación de equipos de respuesta a incidentes

Parte 5: Funciones y responsabilidades de los empleados IRT

Parte 6: Actividades prácticas IRT

Parte 7: Manejo de incidentes

Propósito

editar

La función principal de estas organizaciones se centra en la seguridad de la información y en la capacidad de respuesta ante ciberataques y amenazas webs. Además, se requieren equipos como el IRT, compuesto por expertos capaces de afrontar los problemas anteriormente citados, para así gestionar de esta forma los incidentes de una forma eficiente. Por tanto, según esta norma, se debe proporcionar directrices prácticas para IRTs sobre gestión, operación y respuesta.

Alcance

editar

ISO/IEC 27035 proporciona las directrices para la gestión de incidentes de sistemas de seguridad de forma eficaz, la respuesta ante los mismos y el funcionamiento de IRT. Junto con ISO/IEC 27035-1 e ISO/IEC 27035-2 ofrecen orientación acerca de directrices de operación y qué respuestas prácticas tomar para evitar la evolución del problema.

Definiciones

editar

IRT: equipos de respuesta a incidentes, se trata de un equipo capacitado y de confianza de la organización encargada de incidentes durante su ciclo de vida

SGI: sistemas de gestión de la información

Información de gestión de incidentes de seguridad: se trata de procesos para detectar, informar, evaluar, responder y aprender de los incidentes de seguridad de la información.

Manejo de incidentes: hace referencia a acciones de detección, comunicación, evaluación, respuestas y aprendizaje de los incidentes de seguridad de la información.

PoC: pruebas de concepto, una implementación de una idea, un método, una aplicación o un programa que, de forma generalizada, se lleva a cabo de manera incompleta o resumida.


Procesos de gestión de incidentes

editar

A. Detección y notificación

editar

Detección de Eventos

editar

Los eventos de seguridad en la información pueden ser detectados bien por una persona que pueda notar que algo es motivo de preocupación. Las posibles fuentes de detección con respecto a eventos de seguridad por tanto pueden ser: Los usuarios Gerentes de línea y administradores de seguridad Clientes Departamento de tecnología de la información (TI) Los proveedores de servicios gestionados IRTs Otras unidades y trabajadores que detecten anomalías en su trabajo diario Sitios web Medios de comunicación

Reporte de eventos

editar

Una vez identificada la fuente de detección, la persona notificada por diversos medios, es la responsable y encargada de iniciar el proceso de detección y presentación de un informe. Esto podría realizarlo cualquier miembro del personal de una organización, ya sea una persona de planta o alguien contratado. Esta persona debe seguir el protocolo y los procedimientos usando el formulario de notificación de eventos de seguridad de la información especificada por el sistema de gestión de incidentes de seguridad de la información. La siguiente información puede ser usada como una base para una forma de seguimiento de incidentes: Indicar hora/fecha de la detección Observaciones Información por contacto El formulario completado se debe utilizar por el personal IRT solo cuando registre eventos de seguridad de la información o vulnerabilidades en el sistema de seguimiento de incidente. Por tanto, la persona que reporta un acontecimiento de seguridad debe completar el formulario de notificación de eventos de seguridad, y un miembro del equipo asignado por el IRT se encargará de recibir todos los informes reportados, ya sea por correo electrónico, fax, teléfono… Este miembro realiza la evaluación y toma las acciones apropiadas para informar a los responsables involucrados, así como para resolver el incidente de seguridad. Se insiste mucho en la puntualidad en el contenido rellenado del formulario de notificación. Un acontecimiento de seguridad de información pude determinarse rápidamente como una falsa alarma, opbien pude ser resuelto a con una respuesta satisfactoria. En ambos casos, un formulario de informe debe ser completado y remitido a la administración local.[1]

B. Evaluación y decisión

editar

Evaluación y decisión inicial del PoC

editar

La persona que recibe el formulario debe insertarlo en una base de datos de eventos de seguridad de la información/incidentes/vulnerabilidades y revisarlo. Dicho responsable intentará obtener información adicional por parte de la persona que reporta el caso de seguridad. A continuación, el PoC debe llevar a cabo una evaluación y determinar si el evento de seguridad debe ser clasificado como un incidente de seguridad o como una falsa alarma. Además de fecha y hora, se debe reportar la siguiente información de forma complementaria: Lo que fue visto, hecho y porqué La ubicación de le evidencia Cómo se llevó a cabo la verificación de las pruebas (si procede) Si finalmente el evento se determina como un incidente de seguridad, es posible que una evaluación adicional sea llevada a cabo, lo cual puede requerir medidas correctivas. Normalmente, el incidente de seguridad necesita ser derivado directamente al IRT para una evaluación adicional y proceder con las acciones. El PoC debe completar a continuación un formulario de notificación de incidentes de seguridad, el cual debe contener la siguiente información: La forma en que se produjo el incidente Lo que afecta o puede afectar El impacto del incidente en el negocio Indicación si el incidente de seguridad se considera significativo o no La forma en que se ha tratado hasta el momento El grado de importancia del incidente determinará como será tratado, es decir, las prioridades deben fijarse de acuerdo con los impactos comerciales asociados con el incidente de seguridad y el esfuerzo (estimado) necesario para responder a los incidentes de seguridad. Para incidentes con una misma prioridad, el esfuerzo que se requiere es una métrica para determinar el orden en que se deben responder dichos incidentes.[1]

Evaluación y confirmación por parte del IRT

editar

La IRT es la encargada de clasificar como incidente de seguridad tras la evaluación y confirmación de la decisión. En el caso de que no haya información suficiente para la autenticidad del incidente reportado, el correspondiente miembro del IRT debe iniciar una evaluación y determinar si se trata o no de una falsa alarma.[1]


C. Respuestas

editar

Respuesta inmediatas

editar
Información general
editar

El principal objetivo de la persona IRT consiste en identificar qué decisiones tomar como respuesta ante un incidente de seguridad de la información, notificando de la forma más detallada posible el incidente, además de la posterior notificación de las acciones necesarias como respuesta al personal correspondiente. Por tanto, lo que se debe conseguir de esta forma es reducir lo máximo posible el impacto producido por un incidente de seguridad, considerándose la identificación del atacante como un factor “secundario”.[1]

Ejemplo de acciones inmediatas
editar

Una de las acciones que se pueden tomar consiste en dejar funcionando el sistema en caso de recibir un ataque, es decir, dejarlo conectado a la red, para de esta forma evitar que deje de trabajar y además poder conseguir información del atacante. Pero hay que tener cuidado, si el atacante se da cuenta de que está siendo vigilado, podrá causar daños de mayor envergadura en los sistemas, pudiendo destruir información útil para su identificación. En el caso de no ser un ataque deliberado, es preciso identificar la fuente, y posteriormente aislar la parte de mayor importancia del sistema, e incluyo en casos más graves, apagar por completo el sistema, de esta forma se consigue detener la propagación y el riesgo de vulnerabilidad del sistema. Sin embargo, una vez se reactive, el riesgo de volver a ser atacado por el mismo fallo de seguridad está presente, por lo que es conveniente estudiar las posibles vulnerabilidades y taparlas (parchear el sistema).[1]

Actualizar la información del incidente
editar

Uno de los miembros que conforma el IRT se debe encargar de actualizar el informe añadiendo toda la información posible, posteriormente agregarlo a la base de datos de incidentes y finalmente notificar al administrador de IRT. En el caso de haber sido resuelto el incidente, deben indicarse las medidas tomadas para ello y las medidas para prevenir que en un futuro volviera a ocurrir.[1]


Evaluación del control sobre los incidentes de seguridad

editar

Una vez el miembro del IRT ha identificado y analizado el incidente de seguridad de la información, el siguiente paso consiste en determinar si el incidente se encuentra bajo control. Una de las métricas para evaluar si se encuentra bajo control, consiste en evaluar el tiempo transcurrido antes de recuperarse a una situación normal, En el caso de que el incidente sea del tipo pérdida de confidencialidad, integridad de los datos… es necesario evaluar otras métricas para determinar si el incidente se encuentra bajo control.[1]

Posteriores Respuestas

editar

Tras determinar su estado (bajo control o no) el miembro IRT debe evaluar si es necesario tomar más medidas o por el contrario, no hacer nada y continuar. Un área de respuesta consiste en el monitoreo del sistema y de la red, para así tener control acerca del tráfico de datos en los sistemas. En este paso es posible que el sistema de información vuelva a restaurarse a su normal funcionamiento.[1]

Respuestas ante situaciones críticas

editar

Si el miembro IRT considera que el incidente no se encuentra bajo control, será necesario tomar medidas extraordinarias para tratarlo. Las medidas para hacer frente a estos tipos de incidentes, deben estar relacionados directamente con las prioridades de la organización y con los plazos relacionados con la recuperación, es decir, los períodos de tiempo de interrupción máximos aceptables de TI.[1]

Información de análisis forense de seguridad

editar

Se trata de un análisis el cual debe hacerse mediante una copia exacta de los datos originales, evitando de esta forma perjudicar la integridad de la información del medio original. El análisis forense debe abarcar, entre otras, las siguientes actividades:

  • Actividad para determinar la actividad de los usuarios
  • Actividad para el análisis del correo electrónico
  • Actividad para analizar los archivos, su modificación u horas de modificación de los mismos (metadatos)
  • Actividad para analizar el registro de la red y del sistema[1]

Comunicaciones

editar

Cuando un miembro de IRT confirma un incidente de seguridad, hay varias personas las cuales deben ser informadas tanto a nivel interno como externo (prensa) de la empresa u organización. Por ello es importante que la comunicación se realice fe forma cuidadosa, sabiendo de que tiene que saber qué y cuándo.[1]

Escalamiento

editar

En ciertos casos excepcionales, los asuntos precisan de ser escalados para así dar cabida a los incidentes que se encuentran fuera de control y suponen un riesgo potencial respecto al impacto de negocio. Cuando esto sucede, los incidentes deben ser escaldos para activar el plan de continuidad del negocio.[1]

Certificación

editar

En el documento oficial no se hace referencia a una certificación obtenido con este Estándar, es por ello que su uso o conocimientos de él no conlleva conseguirla u obtenerla.

Referencias

editar
  1. a b c d e f g h i j k l m ISO/IEC DIS 27035-3 Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations. p. 1-322. 
  2. https://es.wikipedia.org/wiki/ISO/IEC_14764
  3. https://es.wikipedia.org/wiki/ISO/IEC_14764
Obtenido de «https://es.wikipedia.org/w/index.php?title=Usuario:Balusin/Taller&oldid=125184471»