El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Gestión de respuesta a incidentes

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Dado que tarde o temprano los riesgos se convierten en incidentes, es importante que sepamos qué tipo de respuesta vamos a dar y las fases de la misma considerando además las distintas categorías de incidentes propuestas por el NIST.

Transcripción

Robert Mueller, el que fue director del FBI, dijo que hay dos tipos de empresas: las que han sido hackeadas y las que lo serán. Incluso, pueden combinarse en una única categoría: aquellas que han sido hackeadas y las que lo volverán a ser. El punto es que la cibercriminalidad y el espionaje empresarial y estatal, éste último, sobre todo en sectores estratégicos, es un hecho y, tarde o temprano, por azar o por ser objetivos de cierto valor, cualquier empresa puede verse afectada por un ciberataque; cuyas consecuencias dependerán de lo bien o mal preparada que se encuentre. Es decir, de si es capaz de descubrir el incidente a tiempo, y de responder para minimizar el impacto. Las cinco fases de la función de respuesta a incidentes, propuesta por el framework de ciberseguridad NIST, son: planificación, comunicación, análisis, mitigación y mejoras. De estas, tres son a su vez parte de la función de recuperación. El documento del NIST, titulado "Guía para la gestión de incidentes", establece cuatro estadios que coinciden con el framework. La fase de comunicación, en lugar de ser independiente, es continua a lo largo de las otras cuatro etapas. Si comparamos ahora estas propuestas con las de ISO 27035, actualizada en 2016, y con título: "Principios de gestión de incidentes para la seguridad de la información", tendremos que cuatro de las etapas son prácticamente iguales, pero este estándar establece como segunda fase, y parte de la respuesta, la detección de los incidentes. Es decir, que los planes y guías del NIST consideran la respuesta a incidentes a partir de la detección, mientras que ISO 27000 integra la detección de los incidentes como parte de la respuesta a los mismos. Sea cual sea el modelo escogido, lo que está claro es que la información es la clave. Debemos nutrirnos de la información que generan nuestros sistemas de monitorización, pero también de fuentes externas que nos ayuden a descubrir posibles incidentes, indicadores de compromiso y prácticas de contención o remediación que ya hayan sido empleadas con éxito por otras organizaciones. Las mejores fuentes de información son los equipos de respuesta a Emergencias Informáticas o CERT, también conocidos como equipos de respuestas ante incidencias de seguridad o CSIRT, aunque el término CERT es el que se está imponiendo a pesar de estar registrado en los Estados Unidos. Estos organismos son agrupaciones de expertos en ciberseguridad que, enfocándose a un público objetivo, analizan y comunican los incidentes de seguridad que pueden afectar a dicho público. Pueden ofrecer servicios de respuesta a incidentes y, además, publican boletines de seguridad con alertas de amenazas y vulnerabilidades para que los responsables de seguridad de empresas y organizaciones los tomen en consideración. Gran cantidad de estados disponen de un CERT nacional para cubrir las necesidades, tanto de sus administraciones públicas como de las empresas que operan en un país. Así, por ejemplo, tenemos el US-CERT de los Estados Unidos, mientras que en España los dos CERT públicos más destacados son el CERT de Seguridad de Industria y el Centro Criptológico Nacional CERT del CNI. Éstos y otros muchos CERT podemos encontrarlos como miembros del foro de equipos de seguridad y respuesta a incidentes. FIRST es un foro que engloba tanto CERT públicos como de empresas privadas. Se trata de una organización cuya meta es que los distintos miembros, que podemos ver en este mapa, intercambien información para crecer y dar cada vez mejor servicio a sus respectivos públicos. Si nos fijamos, por ejemplo, en España, podemos ver que está el CERT del Centro Criptológico Nacional o el de Infraestructuras críticas del que hablábamos. Y podemos obtener información de cada uno de ellos. El CERT del Centro Criptológico Nacional ofrece los servicios de gestión de incidentes, sistemas de alerta temprana, formación y sensibilización, y varios otros, dedicados tanto a la administración pública como a las empresas privadas. Para garantizar una comunicación fluida entre los distintos CERT y la industria y administraciones públicas, es necesario establecer un lenguaje común. Y lo primero que se necesita para gestionar incidentes es poder clasificarlos. El US-CERT clasifica a los incidentes en seis categorías distintas. La 0 solo hace ejercicios de Ted Teaming o pentesting. Los accesos físicos o lógicos no autorizados a recursos o información, serían incidentes de categoría 1. La categoría 2 la componen las denegaciones de servicio, es decir, cuando por cualquier problema o ataque, un servicio interno o externo no puede ser prestado o la calidad del mismo, debido al incidente, es insuficiente. La categoría número 3 corresponde a la instalación de código malicioso en sistemas de nuestra infraestructura, es decir, el malware cuyo despliegue e instalación no ha podido ser evitado. El uso inapropiado de la información o recursos de la organización corresponde a la categoría 4. Detectar que nuestra infraestructura está siendo analizada y escaneada manualmente o mediante automatismos supone un incidente de categoría 5. Una categoría muy importante, ya que nos previene de próximos ataques que aún están en fase de exploración. La sexta, y última categoría, representa todos aquellos indicadores que nos hacen sospechar que un incidente esté en curso. No son pistas concluyentes, pero lo suficientemente relevantes como para iniciar investigaciones al respecto.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.