enise-t14 alejandro gomez bermejo

DIA 21Taller: Implantación ISO 27000 en el entorno empresarial PYME

Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

ALEJANDRO GÓMEZ BERMEJOGERENTE DE SOLUCIONES MNEMO

FECHA 21 Noviembre 2007

1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2

Índice

1. Necesidad y beneficios de la gestión de incidentes

2. Metodología para la gestión de incidentes3. Metodología para la continuidad del negocio4. Buenas prácticas para la gestión de

incidentes5. Buenas prácticas para la continuidad del

negocio6. Integración con el SGSI

3

La frecuencia creciente de incidentes de seguridad de la información, rapidez de propagación e impacto hacen necesaria la definición e implantación de buenas prácticas de gestión de incidentes y continuidad del negocio que contemplen políticas, recursos y procedimientos de seguridad específicos.

Algunos beneficios de la gestión de incidentes y la continuidad del negocio son:

Responder de modo sistemático ante incidentes. Adoptar medidas de respuesta adecuadas a cada incidente

Favorecer la continuidad del negocio ante incidentes de seguridad con objeto de minimizar los impactos en la empresa.

Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes y la continuidad del negocio.

Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor gestión de futuros incidentes.

1. NECESIDAD Y BENEFICIOS DE LA GESTIÓN DE INCIDENTES Y LA CONTINUIDAD DEL NEGOCIO

NECESIDAD

BENEFICIOS

4

METODOLOGÍAS Y BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES2. METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES

Metodología Gestión de incidentes

Referencias: Norma ISO 27001, ISO 27002, ISO 18044, NIST SP800-61, NIST SP800-83

Detección y análisis

Contención, resolución, recuperación

Acciones posteriores al cierre

Preparación

5

METODOLOGÍAS Y BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES

PreparaciónLas actividades de preparación deben contemplar tanto el establecimiento de la capacidadde respuesta a incidentes como la prevención de incidentes.

Establecimiento de procedimientos de gestiónLos incidentes se pueden originar y materializar de maneras muy distintas. Se debe desarrollar una política de gestión de incidentes y procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto previsible en la empresa.

Establecimiento de capacidad de respuesta.Se debe prever la disponibilidad de:

Personal (equipo, personas individuales) para la gestión de incidentes: gestores, técnicos, responsabilidades, contactosDocumentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración.Informes de actividad considerada normal (“baseline”) de redes y sistemas que permitan detectar actividades anómalas.CERTs en los que puede apoyarse la empresa y su capacidad de respuesta.

2. METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES

Preparación

6


Las actividades de detección y análisis incluyen la clasificación de incidentes que pueden afectar a la empresa, detección de signos indicadores y precursores de incidentes, análisis, priorización, notificación y documentación de los incidentes.

Los signos de un incidente pueden ser de dos tipos:

Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; e.g.: alerta de un sensor avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un servidor, accesos lentos y generalizados a servicios o sistemas, etc

Signos precursores: signos de que un incidente puede ocurrir en el futuro; e.g.; barrido de puertos, anuncio de “exploits” que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa anunciadas por hackers, …

Los indicadores deberían poner en marcha acciones reactivas previstas por la empresa.

Los precursores deberían ser tratados con acciones preventivas.



7


Fuentes de precursores e indicadores

Algunas fuentes de precursores e indicadores que la empresa debe considerar son:

Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de monitorización de servicios.

Logs de sistemas operativos, dispositivos de red y aplicaciones.

Información pública: nuevas vulnerabilidades y “exploits”, sitios web y listas de correo de profesionales donde se comparten experiencias de incidentes en distintas organizaciones.

Personal: personas de la empresa y de otras organizaciones informando de la materialización de posibles incidentes.

CERT/CSIRT: organismos de información y apoyo para la respuesta incidentes de seguridad como CERT de INTECO.



8


Algunas actividades necesarias para realizar el análisis de incidentes de seguridad:

Conocer el perfil y actividad de las redes y sistemasEstablecer las características de la actividad normal de las redes y sistemas de la empresa.De este modo, se pueden detectar cambios que puedan ser indicadores o precursores de incidentes.

Centralizar, correlacionar y conservar información de logs.Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y sistemas de detección o prevención de intrusiones. Correlacionar la información de logs.

Contacto con otros recursos internos o externosContactar con recursos internos expertos en seguridad (si existen) ó externos como organizaciones tipo CERT, subcontratistas y fabricantes.



9


Clasificación y priorización de incidentes

Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de gestión. Si el incidente no se puede clasificar se realizará el tratamiento mediante un procedimiento genérico de gestión de incidentes.

Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno simultáneamente.

Notificación del incidenteUna vez un incidente ha sido detectado, analizado y priorizado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las personas adecuadas dentro de la empresa. El incidente puede notificarse a otras organizaciones como CERTs o clientes que puedan ser afectados por el incidente.



10


Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa.

Puede ser necesario tomar decisiones como deshabilitar servicios, apagar sistemas ódesconectar equipos de la red antes de que el impacto pueda extenderse a la empresa.

Las decisiones se pueden facilitar si las estrategias y procedimientos para contener los distintos tipos de incidentes han sido determinadas previamente.

La empresa tiene que analizar los impactos previsibles para cada tipo de incidente y definir estrategias de contención en función del nivel de riesgo considerado como aceptable.

Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos, equipos, …) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales.


Contención

11


Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa.

En las actividades de resolución se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren adecuadas para resolver el incidente o prevenir futuras ocurrencias.

Actividades habituales de resolución pueden ser la instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red.

Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups, reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos.


Resolución y recuperación

12


Información de cierre de incidentes

La empresa debe hacer un estudio de recapitulación analizando las características de los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación.

Se recomienda completar un formulario que describa los datos anteriores e incluya origen y persona que detecta el incidente, servicios y sistemas afectados, fecha/hora de inicio y cierre, responsable de la gestión del incidente y acciones tomadas para resolución.

Periódicamente se deben analizar las actividades realizadas y estudiar posibles mejoras o cambios que deban realizarse ante futuros incidentes.

Métricas y coste

Se recomienda recoger y analizar métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones correctivas o preventivas.



13

METODOLOGÍAS Y BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES3. METODOLOGÍA PARA LA CONTINUIDAD DEL NEGOCIO

Metodología Continuidad del negocio

Referencias: Norma ISO 27001, ISO 27002, BS 25999

Seleccionar y diseñar estrategia

Desarrollar e implantar estrategia

Probar, mantener, revisar

Analizar la empresa

14


Análisis de impacto de los serviciosSe debe realizar un análisis de los servicios y procesos de la empresa. Este análisis es conocido también como BIA (Business Impact Analysis).

El análisis BIA permite determinar los sistemas de información y recursos sobre los que se apoyan los servicios clave y el impacto que tendría su prestación la falta de disponibilidad de los mismos.

Se recomienda analizar distintos tiempos de recuperación considerando el impacto de la falta de disponibilidad en los servicios y procesos de la empresa.

Identificación de servicios críticosPara cada servicio clave analizado se generarán tablas de impacto para las funciones, actividades y recursos que soportan la prestación de dicho servicio y por tanto su criticidad.

Los servicios clave se clasificarán por distintos niveles de criticidad (por ejemplo: Muy Alta, Alta, Media, Baja).

El nivel de criticidad determinará la estrategia de respaldo para cada servicio considerado.

3. METODOLOGÍA PARA LA CONTINUIDAD DEL NEGOCIO

Analizar y comprender la empresa

15


Análisis de riesgos y recomendaciones de mejora

Se recomienda realizar un análisis de riesgos sobre los servicios críticos según hayan sido determinados en el análisis de impacto BIA y sobre los sistemas de información y comunicaciones en los que estos se apoyan.

Este análisis aportará información para poder actuar con medidas:

Correctivas: Para apoyar la determinación de la estrategia de continuidad más adecuada en caso de contingencias.Preventivas: Para emprender oportunidades de mejora que puedan disminuir lasituación de riesgos actual.

Las medidas de tipo correctivo y preventivo una vez planificadas e implantadas realimentarán de nuevo el análisis de riesgos de la empresa.

El análisis de riesgos favorecerá la determinación del alcance del plan de contingencias de la empresa: ubicaciones, servicios, aplicaciones, incidentes.


Analizar y comprender la empresa

16


Alternativas estratégicasDependiendo de la criticidad del servicio, proceso o sistema a respaldar, son posibles distintas soluciones de continuidad desde la redundancia de elementos críticos y contratos con tiempos de resolución garantizados hasta la disponibilidad de un centro de respaldo para los servicios más críticos.

Cuando la estrategia de continuidad se base en la instalación propia o contratación de un centro de respaldo, se deben analizar las distintas variantes posibles de centro de respaldo.

Diseño de la solución de continuidad

El diseño de la solución de continuidad debería contemplar los siguientes aspectos:

Resultados del análisis de riesgosIdentificación de servicios críticosTiempos máximo aceptable de no disponibilidad y objetivo de recuperaciónEscenarios de continuidad y posibles opciones tecnológicasInfraestructuras hardware y software necesariasIdentificación de personal, procedimientos y parámetros de recuperación


Seleccionar y diseñar la estrategia de continuidad de negocio

17


Recursos para la continuidad de servicios críticosSe deben determinar cuales son los recursos mínimos necesarios para la continuidad de los servicios críticos de la empresa en caso de contingencias.

Para cada tipo de recurso (personal, sistemas, aplicaciones,…) se debe detallar el número requerido para cada rango de tiempo durante el cual es necesario dar continuidad del servicio.

Especificación de requisitos para proveedoresSe recomienda realizar una especificación de requisitos que incluirá las especificaciones de los elementos requeridos para la puesta en marcha de la estrategia de continuidad seleccionada incluído un posible centro de respaldo.

Plan de contingenciasLa estrategia de continuidad debe quedar formalizada en un plan de contingencias que incluya el alcance del mismo, procedimientos, responsables, tiempos de recuperación y recursos para la continuidad.


Desarrollar e implantar la estrategia de continuidad

18


Se deben realizar las pruebas, mantenimiento y revisión de la estrategia de continuidad, plan de contingencias y recursos requeridos por los servicios críticos incluídos en el alcance del plan de contingencias.

Periódicamente, se debe revisar y actualizar:

Alcance del Plan de Contingencias y adecuación a las necesidades y objetivos de la empresa.Eficacia y eficiencia de los procedimientos establecidos para supuestos de contingencia, realizando los cambios necesarios para garantizar la recuperación de los servicios y sistemas de información.Información que figura en el Plan de Contingencias es adecuada, completa y convenientemente actualizada.Riesgos y áreas de criticidad han sido contemplados adecuadamente y se han establecido medidas preventivas para minimizar dichos riesgos.Conocimiento, por parte de los integrantes de los diferentes equipos, de susprocedimientos de actuación y responsabilidades


Probar, mantener y revisar

19


La revisión del plan analizará y facilitará la introducción todas aquellas mejoras que resulten necesarias para optimizar la respuesta ante posibles incidentes. La evaluación de la gestión del incidente considerará, entre otros, los siguientes aspectos:Tiempo de reacción:

- Evaluar la rapidez en la detección del incidente, verificando si las medidas técnicas de detección requieren algún tipo de mejora.

- Verificar el tiempo empleado para la notificación y escalado del incidente.

- Examinar los tiempos de implantación de las medidas de resolución del incidente.

Efectividad de la estrategia de escalado y notificación: evaluar la efectividad en la escalado del incidente, verificando si es necesario incorporar información adicional de contacto o bien modificar alguno de los datos que figuran en los procedimientos de notificación establecidos.

Efectividad de los procedimientos de recuperación: verificar que las medidas implantadas, la asignación de prioridades y los procedimientos de cada uno de los equipos son correctos y adecuados a las características de la empresa.


Probar, mantener y revisar

20

13.1.1 Informar de eventos de la seguridad de la informaciónInformar de los eventos de la seguridad de la información a través de los canales de gestión apropiados tan pronto como sea posible.

13.1.2 Informar de debilidades de la informaciónLos empleados y contratistas deben ser informados de la necesidad de informar de cualquier observación o sospecha de incidente en servicios o sistemas de información.

13.2.1 Responsabilidades y procedimientosLas responsabilidades y procedimientos de gestión de incidentes deben estar establecidas para garantizar una respuesta rápida, efectiva y ordenada a los incidentes de seguridad.

13.2.2 Aprender de los incidentes de seguridad de la informaciónDeben de implementarse mecanismos para permitir identificar y monitorizar los tipos, volúmenes y costes de los incidentes de seguridad de la información.

13.2.3 Recogida de evidenciasCuando se requieran actuaciones legales después de un incidente de seguridad, las evidencias deben ser recogidas, conservadas, y presentadas conforme a la jurisdicción relevante.

4. BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES

Buenas prácticas ISO 27002. Controles sección 13

21

14.1.1 Proceso de gestión de continuidad de negocio Se debe implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad de negocio en toda la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización.14.1.2 Continuidad de negocio y valoración de riesgoLos eventos que pueden causar interrupciones a procesos de negocio deben ser identificados, así como la probabilidad e impacto de las interrupciones y sus consecuencias para la seguridad de la información.14.1.3 Desarrollar e implantar planes de continuidad que incluyan la seguridad de la informaciónLos planes deben ser desarrollados e implantados para mantener o restablecer las operaciones de negocio y asegurar la disponibilidad de la información al nivel adecuado y en los plazos requeridos una vez ocurrida una interrupción en los procesos críticos de negocio.14.1.4 Marco para la planificación de la continuidad del negocioSe debe mantener un solo marco para los planes de continuidad de los negocios para garantizar que los planes sean uniformes e identificar prioridades para las pruebas y mantenimiento. 14.1.5 Pruebas, mantenimiento y re-evaluación de los planes de continuidad de negocioLos planes de continuidad de negocio deben ser probados y actualizados con regularidad para asegurar que están puestos al día y son efectivos.

5. BUENAS PRÁCTICAS PARA LA CONTINUIDAD DEL NEGOCIO

Buenas prácticas ISO 27002. Controles sección 14

22


•Política•Procedimientos•Personal•Diagramas•Inventarios•Configuración

6. INTEGRACIÓN CON EL SGSI

•Detección de signos•Analizar•Clasificar•Priorizar•Notificar

•Definir estrategia•Aplicar medidas de contención•Eliminar, limpiar•Vuelta a estado normal

•Recapitulación de acciones•Informes•Métricas y coste•Acciones mejora


Contención, resolución, recuperación


Preparación

Metodología Gestión de incidentes

ImplantarDo

Revisar Check

Mejorar Act

Planificar Plan

SGSI

23


•Análisis de impacto BIA•Servicios críticos•Análisis de riesgos•Acciones de mejora

6. INTEGRACIÓN CON EL SGSI

Metodología Continuidad del negocio

•Alternativas para continuidad•Diseño de la solución

•Recursos mínimos•Especificación de continuidad•Plan de contingencias

•Pruebas periódicas•Mantenimiento•Evaluación gestión•Revisión •Acciones mejora

Seleccionar y diseñar estrategia

Desarrollar e implantar estrategia

Probar, mantener, revisar

Analizar la empresa

ImplantarDo

Revisar Check

Mejorar Act

Planificar Plan

SGSI

24

PREGUNTAS …?

GRACIAS POR SU ATENCIÓN

Alejandro Gómez

Gerente solucioneswww.mnemo.com

enise-t14 alejandro gomez bermejo

Documents