A tu propio ritmo

Explora nuestra extensa colección de cursos diseñados para ayudarte a dominar varios temas y habilidades. Ya seas un principiante o un aprendiz avanzado, aquí hay algo para todos.

Bootcamp

Aprende en vivo

Únete a nosotros en nuestros talleres gratuitos, webinars y otros eventos para aprender más sobre nuestros programas y comenzar tu camino para convertirte en desarrollador.

Próximos eventos en vivo

Catálogo de contenidos

Para los geeks autodidactas, este es nuestro extenso catálogo de contenido con todos los materiales y tutoriales que hemos desarrollado hasta el día de hoy.

Tiene sentido comenzar a aprender leyendo y viendo videos sobre los fundamentos y cómo funcionan las cosas.

Buscar en lecciones

IngresarEmpezar
← Regresar a lecciones
Editar en Github

Deteccion y respuesta de un incidente de ciberseguridad

Mecanismos de Detección
Elementos que Alertan sobre un Incidente
Evaluación y Análisis de la Incidencia
Clasificación y Priorización
Conclusión

Detección: Identificación y Gestión de Elementos Indicadores de un Incidente

La fase de detección es crucial para identificar que algo no está bien. Los mecanismos de detección incluyen varias fuentes y señales:

Mecanismos de Detección

  • Alertas en sistemas de seguridad: Los programas como los antivirus y sistemas de detección de intrusos generan alertas cuando detectan actividad sospechosa. Es vital que los administradores de TI tengan conocimiento total sobre los comportamientos de la infraestructura que están administrando.
  • Caídas de servidores: Una caída inesperada de un servidor puede ser un indicio de un ataque o problema de seguridad. Los logs de servidores son esenciales para investigar la causa.
  • Reportes de usuarios: Los usuarios a menudo son los primeros en notar comportamientos anómalos, como dificultades para acceder a sistemas o datos. Tener conocimientos de las características normales a nivel de red y de los sistemas ayuda a diferenciar entre problemas técnicos y posibles incidentes de seguridad.
  • Software antivirus dando informes: Los antivirus no solo eliminan amenazas, sino que también generan informes detallados sobre posibles infecciones y actividades sospechosas.
  • Otros funcionamientos fuera de lo normal del sistema: Cualquier comportamiento inusual en el sistema, como lentitud inesperada o acceso no autorizado a archivos, puede ser un indicador de un incidente.

Para detectar eficazmente los incidentes, es fundamental contar con una única fuente de tiempo (sincronización de relojes), ya que esto facilita la correlación de eventos y el análisis de información.

Elementos que Alertan sobre un Incidente

  • Logs de servidores: Los registros detallados de actividades en los servidores pueden revelar patrones anómalos. Toda información que permita realizar análisis al incidente debe estar centralizada.
  • Logs de aplicaciones: Los logs de las aplicaciones pueden mostrar intentos de acceso no autorizados y otros comportamientos inusuales.
  • Logs de herramientas de seguridad: Estos logs son cruciales para identificar intentos de intrusión y otras amenazas de seguridad.
  • Otras herramientas de identificación: Cualquier herramienta que permita la identificación de un incidente de seguridad es valiosa. Es importante efectuar correlación de eventos para descubrir patrones de comportamiento anormal y poder identificar de manera más fácil la causa del incidente.

Evaluación y Análisis de la Incidencia

Una vez detectada la incidencia, evaluarla y analizarla en detalle es esencial para comprender su impacto y tomar las medidas adecuadas.

  • Revisión de logs: Examinar minuciosamente los registros de eventos para identificar el origen y la trayectoria del ataque. Para un correcto análisis de un incidente, debe existir una única fuente de tiempo.
  • Entrevistas: Hablar con los usuarios afectados y otros testigos puede proporcionar contexto adicional sobre lo ocurrido.
  • Herramientas de análisis: Utilizar software especializado para examinar archivos sospechosos y tráfico de red.

Clasificación y Priorización

Clasificar y priorizar las incidencias ayuda a determinar la gravedad y el tipo de respuesta necesaria.

  • Clasificación: Identificar la gravedad de la incidencia (baja, media, alta) en función del impacto en el negocio y la sensibilidad de los datos afectados.
  • Priorización: Determinar el orden de atención basado en el impacto y el alcance de la incidencia. Crear matrices de diagnóstico e información para los administradores menos experimentados es una buena práctica.

Nivel de Prioridad

La prioridad de un incidente depende del valor o importancia dentro de la entidad y del proceso que soporta el o los sistemas afectados. A continuación se presentan diferentes niveles de criticidad:

Nivel CriticidadValorDefinición
Inferior0,10Sistemas no críticos, como estaciones de trabajo de usuarios con funciones no críticas.
Bajo0,25Sistemas que apoyan a una sola dependencia o proceso de una entidad.
Medio0,50Sistemas que apoyan más de una dependencias o proceso de la entidad.
Alto0,75Sistemas pertenecientes al área de Tecnología y estaciones de trabajo de usuarios con funciones críticas.
Superior1,00Sistemas Críticos.
  • Impacto Actual: Depende de la cantidad de daño que ha provocado el incidente en el momento de ser detectado.
  • Impacto Futuro: Depende de la cantidad de daño que pueda causar el incidente si no es contenido ni erradicado.
Nivel ImpactoValorDefinición
Inferior0,10Impacto leve en uno de los componentes de cualquier sistema de información o estación de trabajo.
Bajo0,25Impacto moderado en uno de los componentes de cualquier sistema de información o estación de trabajo.
Medio0,50Impacto alto en uno de los componentes de cualquier sistema de información o estación de trabajo.
Alto0,75Impacto moderado en uno o más componentes de más de un sistema de información.
Superior1,00Impacto alto en uno o más componentes de más de un sistema de información.

Luego de definir estas variables, se calcula la prioridad mediante la siguiente fórmula:

[ \text{Nivel de Prioridad} = (\text{Impacto Actual} \times 2.5) + (\text{Impacto Futuro} \times 2.5) + (\text{Criticidad del Sistema} \times 5) ]

Los resultados se comparan con la siguiente tabla para determinar la prioridad de atención:

Nivel PrioridadValor
Inferior00,00 – 02,49
Bajo02,50 – 03,74
Medio03,75 – 04,99
Alto05,00 – 07,49
Superior07,50 – 10,00

Tiempos de Respuesta

Para la atención de incidentes de seguridad, se establecen tiempos máximos de respuesta según la criticidad e impacto del incidente. Los tiempos en la siguiente tabla representan el tiempo máximo en que el incidente debe ser atendido, no necesariamente solucionado, ya que la solución puede variar según el caso.

Nivel PrioridadTiempo de Respuesta
Inferior3 horas
Bajo1 hora
Medio30 min
Alto15 min
Superior5 min

Cada entidad tiene la libertad de definir los tiempos de atención según consideren conveniente y según la criticidad de los activos impactados.

Conclusión

La gestión de incidencias de seguridad requiere un enfoque sistemático y bien coordinado. Mantener y usar una base de conocimiento con información sobre nuevas vulnerabilidades, información de los servicios habilitados, y experiencias con incidentes anteriores es crucial para mejorar continuamente el proceso de detección, evaluación y análisis. Siguiendo estos pasos, las organizaciones pueden responder de manera efectiva a incidentes de seguridad, minimizar el daño y proteger sus activos más valiosos.