ISO 27000. Gestión de Incidentes
Referente a la ISO 27001, ISO 27002 se podría utilizar una Metodología de Gestión de Incidentes:
Preparación
Las actividades de preparación deben contemplar tanto el establecimiento de la capacidad de respuesta a incidentes como la prevención de incidentes.
Establecimiento de procedimientos de gestión
Los incidentes se pueden originar y materializar de maneras muy distintas. Se debe desarrollar una política de gestión de incidentes y procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto previsible en la empresa.
Establecimiento de capacidad de respuesta.
Se debe prever la disponibilidad de:
- Personal (equipo, personas individuales) para la gestión de incidentes: gestores, técnicos, responsabilidades, contactos
- Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración.
- Informes de actividad considerada normal (“baseline”) de redes y sistemas que permitan detectar actividades anómalas.
- CERTs en los que puede apoyarse la empresa y su capacidad de respuesta.
Detección y análisis
Las actividades de detección y análisis incluyen la clasificación de incidentes que pueden afectar a la empresa, detección de signos indicadores y precursores de incidentes, análisis, priorización, notificación y documentación de los incidentes.
Los signos de un incidente pueden ser de dos tipos:
Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; ej.: alerta de un sensor avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un servidor, accesos lentos y generalizados a servicios o sistemas, etc
Signos precursores: signos de que un incidente puede ocurrir en el futuro; e.g.; barrido de puertos, anuncio de “exploits” que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa anunciadas por hackers, …
Los indicadores deberían poner en marcha acciones reactivas previstas por la empresa.
Los precursores deberían ser tratados con acciones preventivas.
Fuentes de precursores e indicadores
Algunas fuentes de precursores e indicadores que la empresa debe considerar son:
- Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de monitorización de servicios.
- Logs de sistemas operativos, dispositivos de red y aplicaciones.
- Información pública: nuevas vulnerabilidades y exploits”, sitios web y listas de correo de profesionales donde se comparten experiencias de incidentes en distintas organizaciones.
- Personal: personas de la empresa y de otras organizaciones informando de la materialización de posibles incidentes.
- CERT/CSIRT: organismos de información y apoyo para la respuesta incidentes de seguridad como CERT de NTECO.
Algunas actividades necesarias para realizar el análisis de incidentes de seguridad:
- Conocer el perfil y actividad de las redes y sistemas
Establecer las características de la actividad normal de las redes y sistemas de la empresa. De este modo, se pueden detectar cambios que puedan ser indicadores o precursores de incidentes.
- Centralizar, correlacionar y conservar información de logs.
Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y sistemas de detección o prevención de intrusiones. Correlacionar la información de logs.
- Contacto con otros recursos internos o externos
Contactar con recursos internos expertos en seguridad (si existen) ó externos como organizaciones tipo CERT, subcontratistas y fabricantes.
Clasificación y priorización de incidentes
Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de gestión. Si el incidente no se puede clasificar se realizará el tratamiento mediante un procedimiento genérico de gestión de incidentes.
Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinarán el impacto previsible para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno simultáneamente.
Notificación del incidente
Una vez un incidente ha sido detectado, analizado y priorizado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las personas adecuadas dentro de la empresa.
El incidente puede notificarse a otras organizaciones como CERTs o clientes que puedan ser afectados por el incidente.
Contención
Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa.
Puede ser necesario tomar de cisiones como deshabilitar servicios, apagar sistemas ó desconectar equipos de la red antes de que el impacto pueda extenderse a la empresa.
Las decisiones se pueden facilitar si las estrategias y procedimientos para contener los distintos tipos de incidentes han sido determinadas previamente.
La empresa tiene que analizar los impactos previsibles para cada tipo de incidente y definir estrategias de contención en función del nivel de riesgo considerado como aceptable.
Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos, equipos, …) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales.
Resolución y Recuperación
Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa.
En las actividades de resolución se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren adecuadas para resolver el incidente o revenir futuras ocurrencias.
Actividades habituales de resolución pueden ser la instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red.
Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups, reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos.
Acciones Posteriores al Cierre
Información de cierre de incidentes
La empresa debe hacer un estudio de recapitulación analizando las características de los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación.
Se recomienda completar un formulario que describa los datos anteriores e incluya origen y persona que detecta el incidente, servicios y sistemas afectados, fecha/hora de inicio y cierre, responsable de la gestión del incidente y acciones tomadas para resolución.
Periódicamente se deben analizar las actividades realizadas y estudiar posibles mejoras o cambios que deban realizarse ante futuros incidentes.
Métricas y coste
Se recomienda recoger y analizar métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones correctivas o preventivas.
ISO 27000 específicamente ISO 27035: Gestión de Incidentes de seguridad de la información.
Un incidente en la ISO es uno o más eventos de seguridad de la información no deseados o no esperados que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazan la seguridad de la información.
Mediante la ISO 27035 se logra, detectar, reportar, evaluar, responder y gestionar las estrategias de continuidad del negocio previamente establecidas.
Estructura de la ISO 27035
ISO/IEC 27035 establece un enfoque estructurado y planificado para:
- Detectar, informar y evaluar los incidentes de seguridad de información;
- Responder a incidentes y gestionar incidentes de seguridad de la información;
- Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.
Etapa de Gestión de Incidentes
- Planear y preparar
- Detección y reporte
- Evaluación y decisión
- Respuestas
- Lecciones aprendidas
Planear y Preparar
- Política de gestión de incidentes de seguridad de la información, y compromiso de la gerencia.
- Políticas de seguridad de la información y gestión de riesgos actualizadas a nivel corporativo, sistemas, servicio y red.
- Esquema de gestión de incidentes de seguridad de la información.
- Establecimiento del ISIRT (Equipo de respuesta a incidentes del Seguridad de la Información).
- Soporte técnico y de otro tipo (incluyendo soporte de operaciones).
- Concientización sobre gestión de incidentes de seguridad de la información.
- Esquema de pruebas de la gestión de incidentes de seguridad de la información.
Detección y reporte
- Detección y reporte de eventos de seguridad de la información
Evaluación y decisión
- Evaluación de eventos de seguridad de la información y decisión sobre si es un incidente de seguridad de la información.
Respuestas
- Respuesta a incidente de seguridad de la información, incluyendo análisis forense.
- Recuperación de un incidente de seguridad de la información.
Lecciones aprendidas
- Análisis forense adicional, si se requiere, para identificar, preservar, analizar y presentar información o datos relevantes
- Identificación de lecciones aprendidas.
- Identificación y mejora de seguridad de la información.
- Identificación y mejora de la evaluación de riesgos de seguridad de la información y resultados de la revisión de la dirección.
- Identificación y mejora del esquema de gestión de incidentes de seguridad de la información.