Академический Документы
Профессиональный Документы
Культура Документы
para futuros
ataques
Resumen de
la solucin:
Implementacin
de la estrategia
de seguridad
adecuada
Introduccin
Los ltimos incidentes de programas
maliciosos han demostrado el coste y
el dao que pueden causar los
ciber-ataques.
Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento
nuclear iran y se considera que es la primera arma operativa en el ciberespacio1.
Shamoon puso en peligro e incapacit 30000 estaciones de trabajo de una
organizacin productora de petrleo2. Otro ataque de un programa malicioso
dirigido a una empresa pblica provoc que la empresa declarara una prdida
de 66000000 $ a causa del ataque3.
Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes
logran acceder a los sistemas de una organizacin, una respuesta rpida y bien
preparada puede minimizar rpidamente los daos y restaurar los sistemas
antes de que se produzcan daos significativos.
Para preparar una respuesta, las organizaciones deben comprender el curso
que pueden tomar los ataques, desarrollar una estrategia de contraataque,
decidir quin llevar a cabo las acciones y, luego, poner en prctica y
perfeccionar el plan.
www.emea.symantec.com/cyber-resilience
Atacante
Atacante
Usuario
Entrada
Expansin de ataque
Filtracin de ataque
www.emea.symantec.com/cyber-resilience
Preparacin
Deteccin
Respuesta
Recuperacin
Revisin
Perfeccionamiento del plan
de respuesta
www.emea.symantec.com/cyber-resilience
R
fu ecu
nc pe
io ra
na ci
m n
ie d
nt e
o
no
rm
al
S
pr iste
ot m
eg as
id
os
A
de tac
te an
ct te
ad
o
E
at ntra
ac d
an a d
te e
Tiempo
Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios
de toda la organizacin. En especial, pueden afectar la manera en que los
usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por
lo tanto, es necesario pensar de qu forma se mantendr la comunicacin
y se informar a los usuarios y ejecutivos sobre el progreso de la resolucin
de incidentes.
Los anlisis forenses no solo deben usarse para corroborar si se han puesto
en peligro datos, sino tambin para evaluar la forma en que los atacantes
penetraron originalmente en los sistemas. Como prioridad, se debe abordar
la vulnerabilidad que se utiliz para obtener acceso a fin de evitar que el
ataque se vuelva a repetir tan pronto se resuelva. Tambin puede ser til
recopilar y preservar la informacin obtenida en los anlisis forenses para
identificar a los responsables del ataque e iniciar acciones legales en su contra.
La fase de recuperacin implica la restauracin de los sistemas al estado
previo a la infeccin. El acceso a las copias de seguridad recientes de los
sistemas afectados puede facilitar en gran medida el proceso, siempre que
no contengan programas maliciosos. Se debe poner especial atencin en
garantizar que los sistemas se restauren a un estado libre de infeccin.
Luego, es necesario revisar cada incidente para identificar qu procedimientos
funcionaron de forma correcta y qu prcticas existentes faltaron. Se debe
aprovechar la oportunidad para aprender del incidente y mejorar los
procedimientos y el nivel de seguridad de la organizacin.
Creacin de un equipo de
respuesta
Todas las organizaciones necesitan contar con un plan de respuesta y, tambin,
con un equipo que lo implemente. Por este motivo, la asistencia de los
ejecutivos senior es un factor clave para lograr el xito. De hecho, cuando
un incidente evoluciona rpidamente, la participacin de un ejecutivo senior
con la autoridad para aprobar las medidas necesarias para contener y resolver
el incidente puede ser crucial a la hora de obtener una ventaja en trminos
de velocidad sobre los atacantes.
Las partes implicadas de los departamentos que puedan resultar afectadas
por un incidente debern formar parte del equipo de respuesta. Sin embargo, el
mayor aporte al equipo lo realizar el personal tcnico, quien implementar
el plan y tendr las habilidades necesarias para reparar los daos.
www.emea.symantec.com/cyber-resilience
Las organizaciones no deben pensar que todas las posiciones dentro del equipo
de respuesta deben ser ocupadas por personal interno. Los conocimientos
externos se deben tener en cuenta para las habilidades especializadas y la
experiencia en incidentes similares que se pueden incorporar al equipo.
La composicin del equipo tambin debe revisarse con frecuencia. Es posible
que los miembros deban estar de turno durante perodos extensos y que
disfruten del beneficio de salir del equipo de incidentes para descansar.
Del mismo modo, algunos ejercicios y pruebas pueden identificar otras
habilidades que se deban incorporar al equipo.
icar
ua
Act
www.emea.symantec.com/cyber-resilience
ob
ar
nif
la
er
ac
Los ejercicios regulares garantizan que los miembros del equipo se familiaricen
con sus roles y responsabilidades. La prueba de diferentes situaciones de
ataque garantiza que los procedimientos sean lo suficientemente completos
y flexibles para responder ante futuros ataques. Los equipos deben adoptar
el modelo de: planificar, hacer, comprobar y actuar.
pr
Co m
Planificar
Hacer
Comprobar
Actuar
www.emea.symantec.com/cyber-resilience
Conclusin
Al comprender cmo se producen
los ataques, implementar los
procedimientos correctos y desarrollar
una estrategia de respuesta clara, las
organizaciones podrn contrarrestar
futuros ataques y recuperarse de los
incidentes con mayor rapidez.
Referencias
1 N. Falliere, L. O. Murchu, E. Chien, W32. Stuxnet Dossier (Expediente
de W32. Stuxnet), libro blanco de Symantec Security Response, febrero
de 2007 S. Davies, Out of Control (Fuera de control), Engineering &
Technology v.6 (6), p. 60-62, julio de 2011
2 D. Walker, Saudi Oil Company Back Online After Cyber Sabotage
Attempt (Empresa petrolera nuevamente online despus de un intento
de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012
3 H. Tsukayama, Cyber Attack on RSA Cost EMC $66 Million (Ciber-ataque
en RSA le cuesta a EMC 66 millones de dlares),
The Washington Post, 26 de julio de 2011
4 Top Four Mitigation Strategies to Protect Your ICT System (Cuatro
estrategias principales de mitigacin para proteger el sistema de ICT),
Departamento de Defensa, Inteligencia y Seguridad del Gobierno de
Australia, p. 1, septiembre de 2011
5 Executive Companion: 10 Steps to Cyber Security (Complemento
ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento
de Negocios, Innovacin y Habilidades, Centro para la Proteccin de
la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y
Seguridad de la Informacin, p. 1, septiembre de 2012
Symantec EMEA
Sede central
350 Brook Drive
Green Park
Reading
RG2 6UH
Telfono: +44 (0)870 243 1080
Fax: +44 (0)870 243 1081