Este documento establece el procedimiento para el manejo de incidentes de computación en SALCERT. El procedimiento incluye 4 pasos: 1) Detectar y reportar incidentes, 2) Jerarquizarlos, 3) Analizarlos, y 4) Responder a ellos. SALCERT ofrece servicios reactivos como alertas, manejo de incidentes y vulnerabilidades, y servicios proactivos como auditorías y difusión de información de seguridad.
Copyright:
Attribution Non-Commercial (BY-NC)
Formatos disponibles
Descargue como DOC, PDF, TXT o lea en línea desde Scribd
0 calificaciones0% encontró este documento útil (0 votos)
556 vistas9 páginas
Este documento establece el procedimiento para el manejo de incidentes de computación en SALCERT. El procedimiento incluye 4 pasos: 1) Detectar y reportar incidentes, 2) Jerarquizarlos, 3) Analizarlos, y 4) Responder a ellos. SALCERT ofrece servicios reactivos como alertas, manejo de incidentes y vulnerabilidades, y servicios proactivos como auditorías y difusión de información de seguridad.
Este documento establece el procedimiento para el manejo de incidentes de computación en SALCERT. El procedimiento incluye 4 pasos: 1) Detectar y reportar incidentes, 2) Jerarquizarlos, 3) Analizarlos, y 4) Responder a ellos. SALCERT ofrece servicios reactivos como alertas, manejo de incidentes y vulnerabilidades, y servicios proactivos como auditorías y difusión de información de seguridad.
Copyright:
Attribution Non-Commercial (BY-NC)
Formatos disponibles
Descargue como DOC, PDF, TXT o lea en línea desde Scribd
Descargar como doc, pdf o txt
0 calificaciones0% encontró este documento útil (0 votos)
Este documento establece el procedimiento para el manejo de incidentes de computación en SALCERT. El procedimiento incluye 4 pasos: 1) Detectar y reportar incidentes, 2) Jerarquizarlos, 3) Analizarlos, y 4) Responder a ellos. SALCERT ofrece servicios reactivos como alertas, manejo de incidentes y vulnerabilidades, y servicios proactivos como auditorías y difusión de información de seguridad.
Copyright:
Attribution Non-Commercial (BY-NC)
Formatos disponibles
Descargue como DOC, PDF, TXT o lea en línea desde Scribd
Descargar como doc, pdf o txt
Está en la página 1/ 9
Manual de
Procedimiento para el Tratamiento de Incidentes
SALCERT
“Entre más callado estés
más es tu capacidad de escuchar” Procedimiento de Manejo de Incidentes SALCERT
Definiciones:
CSIRT: (Computer System Incident Response Team) CERT: (Computer
Emergency Reponse Team) Es una organización o un equipo que provee servicio o soporte en las areas de prevención, manejo y respuestas de ante incidentes de computo.
TI: Tecnologías de información.
Manejo de Incidentes: La habilidad de proveer administración de eventos e
incidentes que se general al interior de las instituciones que afectan uno más los componentes de la plataforma tecnológica de la institución y no es solo la aplicación de tecnología para resolver los problemas de los eventos generados.
Sistema Comprometido Es aquel equipo de procesamiento, almacenamiento, de comunicaciones o de seguridad que se encuentra bajo la influencia anormal de un tercero en alguna de sus capas y/o funciones.
Advisory
Documento que provee a mediano y largo plazo información sobre los
problemas y las soluciones para la minimización o desaparición del impacto ante ocurrencia de un evento, generalmente haciendo referencia a una vulnerabilidad. (Ver ejemplos en anexo 3)
3 Procedimiento de Manejo de Incidentes SALCERT
Introducción
El presente documento genera las directrices estándar para el adecuado
manejo y respuesta ante incidentes de computo, un CSIRT o CERT no es lo mismo que un equipo de ciberseguridad, es decir su responsabilidad no es brindar seguridad a cualquiera de las capas que componen las plataformas de TI, si no que el manejo y respuesta ante incidentes de computo; si bien es cierto, su misión puede incluir la prevención, no es su rol primario.
Objetivo General
Establecer una normativa básica estandarizada para la clasificación, manejo y
el adecuado tratamiento de incidentes de computo, cualesquiera sea sus orígenes, causas y efectos, y sean o no considerados en el conocimiento actual de los mismos.
Objetivos Específicos
• Establecer parámetros para la adecuada clasificación de incidentes
• Generar los insumos básicos a recolectar en el tratamiento de incidentes. • Establecer los procedimientos para el manejo de incidentes. • Establecer un estándar en el tratamiento de incidentes.
4 Procedimiento de Manejo de Incidentes SALCERT
Procedimiento general del manejo de Incidentes.
El procedimiento general para el adecuado manejo de incidentes esta dividido
en los siguientes pasos:
1-Detectar y reportar 2-Jerarquerizar 3-Analizar 4-Responder al incidente.
Detectar y Reportar.
Consiste Habilidad de recibir y revisar informaciones de eventos, reportes de
incidentes y alertas.
Este paso del proceso consiste en obtener información detallada del incidente entre las cuales se pueden citar:
-¿Quién está Involucrado?
-¿Cuál es la institución? -¿Cuál es su rol? -¿Dónde se encuentra geográficamente? -¿Quiénes son los administradores de la RED y de los Sistemas?
-¿Cuál es la naturaleza del incidente?
-¿Cuál es el alcance del incidente?
-¿Cuál es la linea de tiempo?
-Fecha y hora ocurrido. -Fecha y hora descubierto
5 Procedimiento de Manejo de Incidentes SALCERT
-Fecha y hora reportado
¿Cuáles son los detalles de la infraestructura comprometida?
Función y criticidad Versión del OS Nivel de Actualización Aplicaciones que corren sobre Defensas de seguridad Relaciones con otros sistemas Puertos y servicios Formatos de archivos logs
Para tal efecto, se debe utilizar el formulario definido en el anexo 1.
Inmediatamente se recibe, se debe estar seguro de contar con la mayor
información posible para poder comprender el incidente; si es necesario se puede realizar una visita o una llamada telefónica con el objeto de obtener mayor información.
Nota: Cuando se sospecha que el servicio de mensajeria por correo electrónico
se encuentra comprometido, no se utilizará dicho servicio, sino que uno alterno tal como la red pública de telecomunicaciones y las visitas presénciales.
Jerarquerizar:
Realizar acciones para ordenar , categorizar, priorizar y asignar recursos a la
atención de los incidentes, para comprender mejor esto, tomemos de modelo un Hospital que jerarquiza y atiende a los pacientes por su grado de estado critico.
Es un elemento importante para la optimización del manejo de incidentes.
6 Procedimiento de Manejo de Incidentes SALCERT
Analisis: Es la habilidad de determinar qué paso, cuál fue el impacto, robo o daño, así como que acciones de recuperación o mitigación fueron adoptadas
Respuesta al Incidente:
Consiste en las acciones tomadas para resolver o mitigar un incidente,
coordinar y diseminar información, y la implementación de estrategias que eviten la repetición del incidente en mención.
Servicios Los servicios que serán ofrecidos por el SALCERT serán los siguientes:
Servicios Reactivos:
Alertas y advertencias Manejo de incidentes Análisis Soporte en sitio Soporte para la respuesta Coordinación en la respuesta de incidentes Manejo de Vulnerabilidades Análisis de vulnerabilidades Respuesta de vulnerabilidades Coordinación de respuesta de vulnerabilidades
7 Procedimiento de Manejo de Incidentes SALCERT
Servicios Proactivos.
Anuncios Vigilancia Tecnológica Auditoria de seguridad Desarrollo de herramientas de seguridad Servicios de detección de intrusión Diseminación de información relacionada con la seguridad informática.
Requerimientos para el manejo de incidentes.
Aunque el rol principal del CSIRT es reactivo, no se debe dejar de lado que los esfuerzos que se puedan realizar en otro campo, benefician de manera directa la función principal, buscando como mínimo lo siguiente:
Prevenir incidentes y ataques
Entrenamiento a personal técnico y usuarios finales Monitoreo y evaluación de infraestructura detectando vulnerabilidades. Compartiendo información con otros CSIRT.
Esquema de funcionamiento de proceso “Manejo de Incidentes”
