Академический Документы
Профессиональный Документы
Культура Документы
Presentaciones
Manual de Gestin de Incidentes
Tutorial LACNIC XVII
Quito-Ecuador
Proyecto AMPARO
Ca!tulo I"
#Linea$ientos y Acciones
reco$endadas ara la %or$acin
de un C&IRT'
Autor:
Jos Luis Chvez Cortez
Informacin Bsica Inicial
Alcance
!ol%ticas
Servicios
!ol%ticas
Servicios
-e(inici#n
!ol%ticas Reco'en$a$as
Polticas de Seguridad Informtica
POLTICAS RECOMENDADAS
Poltica de seguridad. Poltica de tratamiento de grandes
actiidades.
Poltica de clasi!icaci"n de in!ormaci"n. Poltica de error #umano.
Poltica de comunicaci"n e$terna. Poltica de selecci"n de %ersonal.
Poltica %ara la clasi!icaci"n de los datos. Poltica de des%ido.
Poltica de aislamiento de la in!ormaci"n. Poltica de uso de dis%ositios m"iles.
Poltica de seguridad del Internet. Poltica de uso del correo electr"nico.
Poltica de noti!icaci"n de Incidentes. Poltica de entrenamiento & ca%acitaci"n.
Poltica de tratamiento de incidentes. Poltica de tele conmutaci"n de la
in!ormaci"n.
Poltica e$terna %ara el acceso de la
in!ormaci"n.
Poltica de la seguridad de la com%utadora
%ersonal.
Poltica de la seguridad de la red de
com%utadoras.
Poltica de la seguridad de los e'ui%os de
telecomunicaciones (Internos & E$ternos)
6ivel $e !riori$a$
)scalona'iento
!roceso
Registro
Clasi(icaci#n
Control $e !roceso
Soporte $e Inci$entes
Gestin de Incidentes
6ivel $e !riori$a$
I'pacto: $eter'ina la
i'portancia $el inci$ente
$epen$ien$o $e c#'o ste
a(ecta a los procesos $e
negocio &2o $el n0'ero $e
usuarios a(ecta$os
.uncional: se re/uiere el
apo&o $e un especialista
$e 's alto nivel para
resolver el pro"le'a
Jerr/uico: $e"e'os
acu$ir a un responsa"le
$e 'a&or autori$a$ para
to'ar $ecisiones /ue se
escapen $e las
atri"uciones asigna$as
a ese nivel, co'o, por
e+e'plo, asignar 's
recursos para la
resoluci#n $e un
inci$ente especi(ico
Gestin de Incidentes
C)RRAR I6CI-)6T)
Gestin de Incidentes
!roceso
Monitorizacin y Seguimiento
Cierre del
Incidente
Registro
La a$'isi#n a tr'ite $el inci$ente: el Centro $e Servicios $e"e $e ser capaz $e evaluar en
pri'era instancia si el servicio re/ueri$o se inclu&e en el nivel $e servicio contrata$o $el
cliente & en caso contrario reenviarlo a una autori$a$ co'petente
Co'pro"aci#n $e /ue ese inci$ente a0n no ha si$o registra$o: es co'0n /ue 's $e un
usuario noti(i/ue la 'is'a inci$encia & por lo tanto han $e evitarse $uplicaciones
innecesarias
6oti(icaci#n $el inci$ente: en los casos en /ue el inci$ente pue$a a(ectar a otros usuarios
estos $e"en ser noti(ica$os para /ue conozcan co'o esta inci$encia pue$e a(ectar su (lu+o
ha"itual $e tra"a+o
Gestin de Incidentes
Clasi(icaci#n
Cierra el inci$ente
Gestin de Incidentes
Gestin de Incidentes CSIRT
*8-)L8S 8R3A6I<ACI86AL)S CSIRT
*o$elo -istri"ui$o
*o$elo Centraliza$o
*o$elo Co'"ina$o
*o$elo Coor$ina$or
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
TI!8S -) )STR9CT9RAS 8R3A6I<ACI86AL)S
*o$elo .uncional
*o$elo 4%"ri$o
*o$elo *atricial
*8-)L8 .96CI86AL
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
MODELO FUNCIONAL
FORTALEAS
DE!ILIDADES
"ermite econom#a$ de e$cala en
lo$ de%artamento$ &uncionale$'
"ermite el de$arrollo de
(a)ilidade$ en %ro&undidad'
"ermite *ue la organizacin
alcance $u$ o)+eti,o$ &uncionale$'
E$ me+or con uno o uno$ cuanto$
%roducto$'
Re%ue$ta lenta a lo$ cam)io$ del
entorno'
"uede (acer *ue la$ deci$ione$
$e acumulen en la %arte $u%erior-
con $o)recarga de la +erar*u#a'
Conduce a una mala
coordinacin (orizontal entre
de%artamento$'
Da lugar a una menor inno,acin'
Im%lica un %unto de ,i$ta limitado
de la$ meta$ organizacionale$'
*8-)L8 1ASA-8 )6 )L !R8-9CT8
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
MODELO !ASADO EN EL "RODUCTO
FORTALEAS DE!ILIDADES
De$centraliza la toma de deci$ione$'
Se utiliza en organizacione$ grande$'
R.%ida ada%tacin de unidade$ de tra)a+o'
"ermite *ue lo$ %ro)lema$ de coordinacin e
integracin $ean detectado$ lo m.$ %ronto
%o$i)le y $e le$ de una $olucin r.%ida'
Altamente recomendada %ara la
im%lementacin de cam)io$ r.%ido$'
Se logra ai$lar lo$ %ro)lema$ concerniente$ a
un %roducto re$%ecto a lo$ dem.$ y e,ita *ue
inter&ieran lo$ %ro)lema$ de una &uncin con
todo$ lo$ %roducto$'
"ermite el em%leo de e*ui%o e$%ecializado
%ara el mane+o de materiale$- a$# como de
$i$tema$ e$%ecializado$ de comunicacione$'
Sati$&accin del Cliente'
Reduce la o%ortunidad de utilizar e*ui%o o %er$onal
e$%ecializado'
Entor%ece la e$tandarizacin'
Coordinacin de&iciente entre l#nea$ del %roducto'
Se entor%ece la comunicacin entre e$%eciali$ta$- ya *ue
a(ora %re$entan $u$ $er,icio$ en di&erente$ unidade$'
Lo$ em%leado$ de la organizacin $e di,iden en gru%o$ y
$e encarga de la %roduccin de un %roducto e$%eci&ico-
adem.$ cada gru%o tiene un e$%eciali$ta %ara cada
&uncin y un gerente *ue e$ el re$%on$a)le de $u%er,i$ar
el %roce$o *ue $e lle,a a ca)o %ara la o)tencin del
%roducto o $er,icio y adem.$ en,#a un re%orte al director
general de la organizacin acerca de la e,olucin de e$te
%roce$o- e$te director general e$ el re$%on$a)le de
$u%er,i$ar *ue cada gerente realice de &orma adecuada $u
tra)a+o y &i+a la$ meta$ de la organizacin'
*8-)L8 1ASA-8 )6 L8S CLI)6T)S
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
MODELO !ASADO EN EL CLIENTE
FORTALEAS
DE!ILIDADES
Me+ora la ada%tacin a la$
nece$idade$ del cliente'
De$centralizacin del %roce$o de
deci$in'
Me+or e$tandarizacin de
%roducto$'
Sati$&accin del Cliente'
/e$tin de nic(o$ de negocio de
la organizacin'
Di&icultad de coordinacin con lo$
de%artamento$ organizado$ $o)re
otra$ )a$e$- con una con$tante
%re$in de lo$ gerente$ $olicitando
e0ce%cione$ y tratamiento
e$%ecial'
En cierta$ oca$ione$ %ueden
reducir$e o incrementar$e cierto$
ti%o$ de cliente$- ya $ea %or
rece$ione$ econmica$ donde lo$
comercio$ minori$ta$ tienden a
di$minuir y %or el contrario $e
incrementan lo$ muy %e*ue1o$
negocio$- e$to re*uiere m.$
,endedore$ %ero di$minuye el
grado de e&iciencia de lo$ mi$mo$'
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
*8-)L8 4=1RI-8
MODELO 23!RIDO
FORTALEAS DE!ILIDADES
Coordinacin entre y dentro de
la$ l#nea$ del %roducto'
Coincidencia de o)+eti,o$ entre
la$ di,i$ione$ y la central'
E&iciencia en lo$ de%artamento$
centralizado$'
Ada%ta)ilidad- coordinacin en
la$ di,i$ione$'
Se crean con&licto$ entre el
%er$onal cor%orati,o y el
di,i$ional'
Alto$ co$to$ admini$trati,o$'
Recomendaciones para la posible insercin
del CSIRT en la organizacin y sus posibles
modelos de relacin
*8-)L8 *ATRICIAL
MODELO MATRICIAL
FORTALEAS DE!ILIDADES
Logra la coordinacin nece$aria %ara
$ati$&acer la$ demanda$ duale$ de lo$
cliente$'
Com%arte &le0i)lemente lo$ recur$o$
(umano$ entre %roducto$'
Ada%tada %ara deci$ione$ com%le+a$ y
cam)io$ &recuente$ en un entorno
ine$ta)le'
"ro%orciona o%ortunidade$ %ara el
de$arrollo de (a)ilidade$ tanto
&uncionale$ como en %roducto$'
E$ m.$ adecuada en organizacione$
de tama1o mediano con %roducto$
m4lti%le$'
Recur$o$ 2umano$ com%artido$'
Somete a lo$ %artici%ante$ a la e0%eriencia de una
autoridad dual5 e$to %uede $er &ru$trante y oca$ionar
con&u$in'
Im%lica *ue lo$ %artici%ante$ nece$itan )uena$
(a)ilidade$ inter%er$onale$ y muc(a ca%acitacin'
Con$ume tiem%o5 im%lica &recuente$ reunione$ y
$e$ione$ %ara la $olucin de con&licto$'
No &uncionar. a meno$ *ue lo$ %artici%ante$ entiendan y
ado%ten relacione$ colegiada$ en lugar de ti%o ,ertical'
Re*uiere grande$ e$&uerzo$ %ara mantener el e*uili)rio
de %oder'
R)C8*)6-ACI86)S -) S)39RI-A- .ISICA >
A*1I)6TAL
Local .%sico
Trata'iento Ac0stico
A'"iente Cli'tico
Instalaci#n )lctrica
Ca"lea$o
Ilu'inaci#n
!r#7i'os !asos:
Control $e Accesos
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
C86CL9SI?6
)valuar & controlar per'anente'ente la seguri$a$ (%sica $el local es la "ase para
co'enzar a integrar la seguri$a$ co'o una (unci#n pri'or$ial $entro $e cual/uier
organizaci#n
Tener controla$o el a'"iente & acceso (%sico per'ite:
-is'inuir siniestros
Tra"a+ar 'e+or 'antenien$o la sensaci#n $e seguri$a$
-escartar (alsas hip#tesis si se pro$u+eran inci$entes
Tener los 'e$ios para luchar contra acci$entes
Las $istintas alternativas estu$ia$as son su(icientes para conocer en to$o 'o'ento
el esta$o $el 'e$io en el /ue nos $ese'pe@a'osA & as% to'ar $ecisiones
so"re la "ase $e la in(or'aci#n "rin$a$a por los 'e$ios $e control a$ecua$os
)stas $ecisiones pue$en variar $es$e el conoci'iento $e la reas /ue recorren
ciertas personas hasta la e7tre'o $e evacuar el local en caso $e acci$entes
R)C8*)6-ACI86)S S81R) ARQ9IT)CT9RA -)
R)-)S -) 96 CSIRT
A'"iente .%sico
In(raestructura $e Re$
4ar$5are
So(t5are
In(raestructura $e Teleco'unicaciones
-iagra'as Sugeri$os
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
A'"iente .%sico
Breas A$'inistrativas: las reas a$'inistrativas as% co'o las salas $e reuniones o
apo&o po$rn ser co'parti$as con el resto $e la organizaci#n
Breas 8perativas: tales co'o salas $e tra"a+o $e los e/uipos tcnicos, sala $e
servi$ores & sala $e la"oratorios son consi$era$os a'"ientes cr%ticos & $e"ern
tener i'ple'entaciones $e aspectos $e seguri$a$ (%sica espec%(ica
Ambientes Crticos: a'"iente asila$o $e otros $eparta'entos, seg'entaci#n $el
circuito $e servicios, acceso restringi$o al a'"iente $e tra"a+o, o"e$ecer la pol%tica
$e in(or'aci#n $el CSIRT &2u organizaci#n
Recomendaciones: el acceso & per'anencia en el local $e terceras personas sea
aco'pa@a$o por integrantes $el CSIRT & tener sie'pre a $isposici#n 'e$ios $e
protecci#n & prevenci#n: e7tintores, sensores $e hu'o, rocia$ores, circuito interno
$e televisi#n, piso (also, pare$es re(ractarias, ca+a (uerte para el al'acena'iento $e
$ocu'entos secretos, siste'a e'presarial $e al'acena+e $e copias $e seguri$a$
reas Fsicas Mnimas: recepci#n, o(icina $el $irector, cuarto $e seguri$a$ :Ca+a
.uerte;, sala $e reuniones, sala $e archivos & al'acena'iento $e 'e$ios, sal$a $e
capacitaci#n2entrena'iento, sala $e operaciones, la"oratorio, sala $e servi$ores
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
In(raestructura $e Re$
La in(raestructura $e la re$ $e co'puta$ores $el CSIRT $e"e estar separa$a $e
la in(raestructura $e la organizaci#n en /ue est hospe$a$a )l CSIRT $e"e
tener una estructura propia $e su"re$es & $o'inios Re$ $e la organizaci#n &
re$ $el CSIRT
Se reco'ien$a /ue el CSIRT tenga una estructura $e re$ $e co'puta$ores
aisla$a, per'itien$o i'ple'entar seg'entos $e re$es con (unciones
espec%(icas Al 'enos $e"en $e e7istir $os seg'entos $entro $e la re$ CSIRT:
Re$ para la operaci#n en a'"iente $e pro$ucci#n: para el al'acena+e $e los
$atos & e+ecuci#n $e las tareas relativas a los servicios
Re$ para tareas $e la"oratorio: para la aplicaci#n $e prue"as & estu$ios
Las re$es /ue se conectan con el a'"iente e7terno :Internet; $e"en $e ser
protegi$as por 'e$io $e $ispositivos $e seguri$a$ seg0n su necesi$a$
:.ire5all, !ro7&, I-S, I!S, etc;
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
Recomendaciones generales respecto a la infraestructura
fsica necesaria en las etapas iniciales
RED SE/URA SE/MENTADA
SE"ARADA DE LA OR/ANIACI6N
Detalle$ De$cri%cin
Caracter#$tica$
E$*uema %ara )rindar $er,icio$ reacti,o$ y
%roacti,o$'
Se%aracin &#$ica de la red CSIRT y de la
organizacin'
Enlace$ %ara el acce$o al Internet redundante$
%ara la red CSIRT'
Sen$ore$ y Ser,idor con Si$tema de Deteccin de
Intru$o$ 7IDS8'
Red ai$lada %ara "rue)a$ de la)oratorio'
Tre$ rede$ di&erente$'
Ni,ele$ de acce$o interno$ regulado %or lo$
Fire9all$ entre la Organizacin y el CSIRT'
Acce$o a Internet
o
Enlace de la Organizacin: ; M)%$'
o
Enlace$ redundante$ CSIRT: < M)%$'
o
Enlace %ara red de La)oratorio: ; M)%$'
So&t9are
Se %uede utilizar $o&t9are li)re'
Beneficios en la implementacin de un CSIRT as
como su !nlisis Situacional e Implementacin de
su Presupuesto de In"ersin y #uncionamiento
!ENEFICIOS EN LA IM"LEMENTACI6N DE UN CSIRT
Un %unto de contacto &ocal y con&ia)le dentro de la
comunidad %ara el mane+o de incidente$ de
$eguridad in&orm.tica'
"romue,e un de$arrollo en la utilizacin de
in&rae$tructura tecnolgica )a$ado en la$ )uena$ y
me+ore$ %r.ctica$ %ara la adecuada coordinacin de
la re$%ue$ta a incidente$ de $eguridad in&orm.tica'
Un %unto e$%ecializado y a$e$or %ara la %roteccin
de la$ di$tinta$ acti,idade$ in&orm.tica$ de lo$
$ectore$ *ue con&orman $u comunidad o)+eti,o'
!rinda in&ormacin $o)re ,ulnera)ilidade$ y la$
a$ocia con $u$ re$%ecti,a$ recomendacione$ %ara la
$u mitigacin y=o control'
"ro,ee $er,icio$ de %u)licacin de in&ormacin
e&icace$ con la &inalidad de $ocializar la cultura de
$eguridad in&orm.tica'
"romue,e y de$arrolla materiale$ de
concientizacin- educacin y entrenamiento en
,ariedad de tema$ de $eguridad in&orm.tica'
"artici%a y com%arte e0%eriencia$ con e*ui%o$
$imilare$ y %ro,eedore$ de $er,icio$ de $eguridad
in&orm.tica %ara $u %romocin y actualizacin- a$#
como %ara el e$ta)lecimiento de me+ore$ e$trategia$
%ara el mane+o de incidente$ de $eguridad
in&orm.tica'
Admini$tra %unto$ de contacto con otro$ CSIRT$
%ara re$%aldar la$ di$tinta$ e$trategia$ de $eguridad
in&orm.tica en un $entido m.$ glo)al'
A%oya a otra$ in$titucione$ *ue lo re*uieran a
de$arrollar ca%acidade$ %ro%ia$ %ara el mane+o de
incidente$ a$# como la im%lantacin de )uena$ y
me+ore$ %r.ctica$ de $eguridad in&orm.tica'
"o$ee un e*ui%o %er$onal e$%ecializado en
con$tante %roce$o de actualizacin con la intencin
de )rindar $er,icio$ de $o%orte in&orm.tico$ con un
alto ni,el de e&icacia y e&iciencia a lo$ di$tinto$
re*uerimiento$ *ue la comunidad demande de $u
re$%ecti,o CSIRT'
Beneficios en la implementacin de un CSIRT as
como su !nlisis Situacional e Implementacin de
su Presupuesto de In"ersin y #uncionamiento
AN>LISIS FODA /ENERAL "ARA UN CSIRT
ELEMENTO DESCRI"CI6N
FORTALEAS "o$ee el re$%aldo de la organizacin *ue lo (o$%eda a$# como el recorrido *ue la mi$ma tenga
en la comunidad a la *ue %ertenece'
Un %unto &ocal %ara la noti&icacin y tratamiento de incidente$ de $eguridad'
Di$%oni)ilidad de %er$onal t?cnico cali&icado y actualizado'
Dado el conocimiento *ue %o$ee $u %er$onal- el CSIRT e$ rele,ante %ara el %roce$o de
educacin %ara la $eguridad y %re,encin de incidente$'
O"ORTUNIDADES De$arrollo de relacione$ comerciale$ de largo %lazo con lo$ cliente$'
!4$*ueda$ de alianza$ con tercero$ *ue com%lementen lo$ $er,icio$ en el mercado o)+eti,o'
/ran nece$idad de coordinacin de incidente$ de $eguridad in&orm.tica'
"royecto de inter?$ general %ara todo$ lo$ $ectore$ de la $ociedad'
No e0i$te centralizacin en la medicin de $eguridad in&orm.tica en el $egmento de $er,icio'
DE!ILIDADES E0%eriencia'
Reconocimiento del tra)a+o del nue,o CSIRT'
Lo$ $ectore$ %4)lico y %ri,ado no tienen la %rioridad ni la co$tum)re de a$e$orar$e %or un ente
e$%ecializado en tema$ de $eguridad in&orm.tica'
In&rae$tructura TIC d?)il' Inci%iente regulacin de $er,icio$ in&orm.tico$'
AMENAAS De$aceleracin de la econom#a mundial y local'
R.%ida o)$ole$cencia de lo$ e*ui%o$ in&orm.tico$'
Com%etidore$ ya e$ta)lecido$ en el mercado de la $eguridad in&orm.tica'
Re$%aldo &inanciero limitado'
!a+o$ incidente$ de $eguridad in&orm.tica %ueden de$em)ocar en di&icultar el auto
$o$tenimiento del CSIRT'
)l costo en el /ue se incurre suele ser "a+o co'para$o con a/uellos luego $e
pro$uci$o un $a@o )l $esconoci'iento & la (alta $e in(or'aci#n son el
principal inconveniente cuan$o se eval0a la inclusi#n $e seguri$a$ co'o parte
$e un siste'a
8"+etivos
Iisi#n
*isi#n
Modelos organizacionales
Circunscripci#n
*isi#n
!osici#n en la organizaci#n
In(raestructura
.inancia'iento $e la operaci#n
)structura
Modelos organizacionales
*o$elos $e re(erencia
)/uipo $e seguri$a$
Centro coor$ina$or
Modelos organizacionales
IRT
CSIRT
CIRT
SIRT
CERTA
Modelos organizacionales
Circunscipci#n
B'"ito $e acci#n
Co"ertura geogr(ica
Centralizado
Di$tri)uido
Modelos organizacionales
*isi#n
Servicios
"re,encin
Deteccin
Modelos organizacionales
Servicios
Anlisis $e vulnera"ili$a$es
-etecci#n $e inci$entes
Reportar
Correo electr#nico
.or'ularios 5e"
!ersonal'ente
Modelos organizacionales
Clasi(icar, asignar
*esa $e a&u$a
"ro%ia
Autori$a$
Autori$a$ total
Autori$a$ co'parti$a
6o autori$a$
-i(erencia
-ecisi#n $e la gerencia2$irecci#n
Modelos organizacionales
!ersonal
!ersonal :responsa"le;
!ersonal
entre otra$'
Modelos organizacionales
!ersonal
Responsa"le tcnico
!ersonal
A$'inistraci#n $e siste'as
Re$es $e $atos
!rogra'aci#n
Soporte tcnico
-etecci#n $e intrusos
Anlisis $e vulnera"ili$a$es
!ersonal :sta((;
Resoluci#n $e pro"le'as
)7periencia
A&u$a
!ersonal :sta((;
-e"e (o'entarse
Intercam)io de conocimiento
Modelos organizacionales
!ersonal :sta((;
4a"ili$a$es
2a)ilidade$ t?cnica$
Tra)a+o en e*ui%o
Comunicacin
Facilidad de e0%re$in
!ersonal :contrataci#n;
)'plea$os
!arcial'ente e'plea$os
8utsourcing
Modelos organizacionales
Critici$a$ $e la in(raestructura
Costos
)structura organizacional
-ivisi#n $e responsa"ili$a$es
Correlaci#n $e in(or'aci#n
A$'inistraci#n
"re$u%ue$to
"er$onal
Seguri$a$ $e la in(or'aci#n
Monitoreo de o%eracin
Teleco'unicaciones
Soporte tcnico
O%eracin de in&rae$tructura
-eparta'ento +ur%$ico
Seguimiento a incidente$
"roce$o$ admini$trati,o$
Seguimiento legal
Relaciones p0"licas
Recursos hu'anos
!u$car e,idencia
Caracter%sticas particulares
Retroali'entaci#n li'ita$a
Servicios
Alerta$ de $eguridad
!oletine$ de $eguridad
Equipo de respuesta
Recursos
Ienta+as
-esventa+as
Caracter%sticas particulares
Servicios
Di&u$in y ca%acitacin
In(or'aci#n a la a$'inistraci#n2gerencia $e la
organizaci#n
Centro de respuesta a
incidentes centralizado
Servicios a$icionales
)valuaci#n $e tecnolog%a
)valuaci#n $e riesgos
Au$itor%as $e seguri$a$
Consultor%a
Centro de respuesta a
incidentes centralizado
Recursos
)structura central
"er$onal admini$trati,o
Recursos
"er$onal +ur#dico
Recursos
*ateriales
In$talacione$ &#$ica$
E*ui%o de o&icina
Recursos
Siste'as
Ienta+as
*o$elo esta"le
!ersonal $e$ica$o
-esventa+as
A$'inistraci#n2coor$inaci#n centraliza$a
Caracter%sticas particulares
De manera centralizada
Centro de respuesta a
incidentes distribuido
Servicios
Di&u$in y ca%acitacin
In(or'aci#n a la a$'inistraci#n2gerencia $e la
organizaci#n
Recursos
A$'inistraci#n central
8tros :opcional'ente;
"er$onal +ur#dico
Recursos
*ateriales
In$talacione$ &#$ica$
E*ui%o de o&icina
Recursos
Siste'as
Ienta+as
!ersonal especializa$o
-esventa+as
6o es (cil $e i'ple'entar
Respuesta a inci$entes
*ane+o $e vulnera"ili$a$es
Circunscripci#n a'plia
Interca'"io $e in(or'aci#n
Caracter%sticas particulares
!ersonal $e$ica$o
A$'inistraci#n2$irecci#n 0nica
!ersonal especializa$o
Servicios
Respuesta a inci$entes
Re$%ue$ta en $itio
An.li$i$ de ,ulnera)ilidade$
Cm%uto &oren$e
Seguimiento de incidente$
Servicios a$icionales
)valuaci#n $e tecnolog%a
Capacitaci#n
Mane+o de incidente$
An.li$i$ de amenaza$
Im%lementacin de tecnolog#a
Recursos
!ersonal
Relacione$ %4)lica$
Centro coordinador
Recursos
*ateriales
In$talacione$ &#$ica$
E*ui%o de o&icina
Recursos
Siste'as
Ienta+as
-esventa+as
!laneaci#n co'plica$a
In$epen$encia $i(%cil
Proyecto AMPARO
Ca!tulo III"
#Prouesta de Eseciali)acin de
*unciones en el interior de un Centro de
Resuesta'
Ing Leonar$o Ii$al M CISS!
Segregacin de #unciones
Introduccin
Iarias (unciones
Activi$a$es recreativas
.le7i"ili$a$es
Segregacin de #unciones
&as #unciones
-irectorio
-irector )+ecutivo
Co'it )+ecutivo
3erente 8peracional
-i(usi#n
In(raestructura
Segregacin de #unciones
&as #unciones
Triage
-ocu'entaci#n
Log%stica
Investigaci#n
Legal
Segregacin de #unciones
&as #unciones
3esti#n $e inci$entes
)'"a+a$ores
.or'aci#n Continua
Co'ercial
-irectorio
!ol%tica
Iinculaci#n
Apo&o
.acilita$or
-irector )+ecutivo
Integrante o in,itado
.recuencia $e reuniones
-irector )+ecutivo
Capaci$a$ $e 'an$o
Li$erazgo
*otivaci#n
Co'it )+ecutivo
-irector )+ecutivo
Co'it )+ecutivo
Pro tempore o no
Reuniones peri#$icas
3erente 8peracional
-i(usi#n
*etas
I'agen 0nica
*escripcin de #unciones
In(raestructura
Capacitaci#n e i$onei$a$
Triage
Triage
-ocu'entaci#n
/enerarla
Cla$i&icarla
Almacenarla
Re$%aldarla
De$truirla
Di&undirla
*escripcin de #unciones
-ocu'entaci#n
/e$tin de Incidente$
!unto $e Re(erencia
Log%stica
Investigaci#n
Reputaci#n
Legal
Redaccin de in&orme$
3esti#n $e Inci$entes
)'"a+a$ores
!er'ite
.or'aci#n Continua
TIC$
Eectore$ de ata*ue$
Mal9are
"rotocolo$
.or'aci#n Continua
!osi"les
ISC;
ISACA
"MI
*escripcin de #unciones
Su$tentacin %ro%ia
!ol%ticas !roce$i'ientos
*anuales
!roce$i'ientos
ISACA- (tt%:==999'i$aca'org'
Realizar propuestas $e
C#$igo $e Stica
-e(iniciones
8"+etivos
Lengua+e
*oral
Aceptaci#n
Cdigo de 2tica
Ialores 'orales
Ialores 'orales
Respeto
4onesti$a$
Soli$ari$a$
Responsa"ili$a$
Cr%tica constructiva
3ratitu$
8pti'is'o
Superaci#n
Eoluntad
Inno,acin
"aciencia
Ama)ilidad
Em%at#a
Sencillez
"ro&e$ionali$mo
Alegr#a
Poltica de Seguridad &gica
8"+etivo
Alcance
Conteni$o
Admini$tradore$
No un $olo admini$trador
Conteni$o
Seguri$a$ peri'etral
Firewall de a%licacione$
Si$tema Antimalware
Conteni$o
Investigaci#n
La"oratorio
Contrase@as Ga$'inistra$orH
Conteni$o
Contrase@as GusuariosH
Contrase@as
Conteni$o
G*%ni'o privilegioH
Actualizaci#n $e (ir'as
Anlisis $e Riesgos
!ro"a"ili$a$ $e ocurrencia
Severi$a$
Atenta$os
Ian$alis'o
4uelgas
Poltica de Seguridad #sica y
!mbiental
.uego
4u'o
Inun$aci#n
4u'e$a$
Te'peratura
Controles
.%sicos
Tcnicos
A$'inistrativos
A'"ientales
Poltica de Seguridad #sica y
!mbiental
Controles .%sicos
3uar$ias
*uros
Cercas elctricas
Re+as
Ilu'inaci#n
Cerra$uras
Poltica de Seguridad #sica y
!mbiental
Controles Tcnicos
C'aras
I$enti(ica$ores "io'tricos
-etectores $e 'ovi'iento
Controles A$'inistrativos
Controles A'"ientales
Detectore$ de (umo
Detectore$ de agua
Conteni$o
Consi$eraciones previas
)7pectativas
Apren$er $e lo ocurri$o
Poltica de Gestin de Incidentes
!roactivi$a$
Sustenta$a en
Sen$i)ilizacin
Ca%acitacin y entrenamiento
Te$t$ de "enetracin
Auditor#a$
.ase !reMInci$ente
:no ha& inci$ente reporta$o;
!ol%ticas,
!roce$i'ientos &
*anuales
Integrantes
> (unciones
Centro $e
Respuesta
prepara$o
In&ormacin de contacto
Mecani$mo de re%orte de
e,ento$ o incidente$
Celulare$
So&t9are %ara $er,icio$ de
$eguridad e intercam)io de
in&ormacin
Sitio del Centro
E$tacione$ de tra)a+o
La%to%$
Ser,idore$
E*ui%amiento de red
E$tacione$ y $er,idore$ de
la)oratorio
Di$%o$iti,o$ de
almacenamiento
Im%re$ora
C.mara de &oto$- &ilmadora
2erramienta$: sniffers-
analizadore$ de %rotocolo-
an.li$i$ &oren$e
2erramienta$ Cde tallerD
In$umo$ %ara %re$er,ar
e,idencia
Ca%acitacin- &ormacin y
entrenamiento
E$tado del arte de la
$eguridad y &uente$ de
in&ormacin a la$ cuale$
recurrir
Mecani$mo$ %ara alertar a la
Comunidad O)+eti,o
So&t9are %arc(e$ %ara mitigar
Poltica de Gestin de Incidentes
Reactivi$a$
Sustenta$a en
Com%render el incidente
Ai$larla$
Reactivi$a$
.ase Inci$ente
:el inci$ente est sien$o
gestiona$o;
)vento o
inci$ente?
Inci$ente?
Se noti(ica al
/uien
report#
SI
68
-eter'inaci#n
:es un evento o un inci$ente
$e un integrante $e la C8?;
Solicitudde
in&ormacin
Reporte
Rcepci#n $e
in(or'aci#n
Internet
La)oratorio
-ocu'entaci#n
interna
P
Co'uni$a$
8"+etivo?
SI
Se registra
Inci$ente
$e Seguri$a$
para
gestionar
QQTriagePP
Poltica de Gestin de Incidentes
-e(iniciones
)vento
Inci$ente $e seguri$a$
)+e'plos $e )ventos
enviar S!A*
enviar un S*S
Flooding de ICM"
$a)ota+e
&raude
/u$ano
Eiru$
/' Millcrece- M' Mo$$aBo9$Bi- R' Rue&le y M' a+iceB- State o&
t(e "ractice o& Com@%uter Security Incident Re$%on$e Team$
7CSIRT$8- octu)re ;NNJ' En l#nea:
(tt%:==999'cert'org=arc(i,e=%d&=NJtrNNK'%d&'
Con(i$encial
9so interno
!0"lica
8"+etivo
Alcance
Conteni$o
In(or'aci#n reci"i$a
Conteni$o
In(or'aci#n procesa$a
Conteni$o
In(or'aci#n al'acena$a
In(or'aci#n $estrui$a
In(or'aci#n genera$a
Conteni$o
In(or'aci#n envia$a
Conteni$o
E#a red
E#a %a%el
Ccon&idencialD o C$ecretaD
Regi$tro
Poltica de *ifusin de la Informacin
Propuesta
Conteni$o
Regi$tro
Poltica de *ifusin de la Informacin
Propuesta
Conteni$o
Regi$tro
Poltica de Guarda de la Informacin
Propuesta
8"+etivo
Alcance
Conteni$o
Respal$o $e la in(or'aci#n
Sitio $e respal$o
Poltica de Guarda de la Informacin
Propuesta
Conteni$o
In(or'aci#n cr%tica
Siste'as cr%ticos
Conteni$o
Ci&rado
Conteni$o
6ote"ooOs
Servi$ores
Redundancia e integridad