5. Proceso de notificación y gestión de intentos de intrusión

Contenidos

• Establecimiento de las responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones
• Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial
• Criterios para la determinación de las evidencias objetivas en las que se soportara la gestión del incidente
• Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones
• Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo
• Establecimiento del nivel de intervención requerido en función del impacto previsible
• Guía para la investigación y diagnostico del incidente de intento de intrusión o infecciones
• Establecimiento del proceso de resolución y recuperación de los sistemas tras un incidente derivado de un intento de intrusión o infección
• Proceso para la comunicación del incidente a terceros, si procede
• Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente

"La cuestión, no es si una organización sufrirá o no un incidente de seguridad, sino cuándo sucederá."
— (Patrick Kral -[1])

[1]: Incident Handler's Handbook

• https://github.com/paulveillard/cybersecurity-incident-response

Principales planes de respuestas a incidentes

• NIST (Guía de Gestión de Incidentes de Seguridad Informática SP 800-61): preparación, detección y análisis, Contención, Erradicación y Recuperación y Acciones Post-incidente.
• SANS - Marco para la gestión de incidentes: Preparación, Identificación, Contención, erradicación, recuperación y Lecciones aprendidas.

Plan de Respuesta a Incidentes

Actividades contempladas en un Plan de Respuesta a Incidentes

• Constitución de un Equipo de Respuesta a Incidentes.
• Definición de una Guía de Procedimientos.
• Detección de un incidente de seguridad.
• Análisis del incidente.
• Contención, erradicación y recuperación.
• Identificación del atacante y posibles actuaciones legales.
• Comunicación con terceros y relaciones públicas.
• Documentación del incidente de seguridad.
• Análisis y revisión a posteriori del incidente

Documentación clave para un Plan de Respuesta a Incidentes

• Organigrama de la organización
• Lista de activos, datos y servicios críticos
• Diagramas de red
• Diagramas de flujo de datos
• Puntos de entrada/salida
• Plan de Continuidad de negocio
• Plan de Recuperación de desastres
• Playbook de Respuesta a Incidentes para los ataques típicos
• Formulario de cadena de custodia
• Cuestionario sobre el incidente
• Información de contacto para la aplicación de la ley
• On-call/handover
• Cumplimiento de normas/regulación
• Estándar de procedimientos operativos

Enlaces

• Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (artículos: 24 y 37)
• Guía CCN-STIC 403 Gestión de Incidentes de Seguridad
• CCN-STIC 817 Gestión de incidentes de seguridad
• Claves para la gestión de ciberincidentes (infografía)
• INCIBE - Guia Gestión Ciberincidentes Sector Privado
• INCIBE - Guia Nacional Notificacion Gestion Ciberincidentes
• Enfoque de Microsoft para la administración de incidentes de seguridad
• Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información. MINTIC - Colombia
• Gestión de Incidentes de Seguridad de la Información - Alcaldía de Bogota
• Kral P. (2020). Incident Handler's Handbook
• https://www.ccn-cert.cni.es/ca/guias/guias-series-ccn-stic/100-procedimientos/209-novedades-ccn-cert/11297-la-notificacion-de-incidentes-clave-para-la-seguridad-nacional.html
• https://angeles.ccn-cert.cni.es/index.php/es/docman/documentos-publicos/358-ciberconsejos-lucia-como-agilizar-la-gestion-y-notificacion-de-ciberincidentes-con-lucia/file