Clasificación de Incidentes de Seguridad
4
Clasificación de Incidentes de Seguridad Conceptualizando, un incidente de seguridad es todo evento indeseado e inesperado que afecta la seguridad de la información y las operaciones del negocio. Cuando deseamos identificar un incidente de seguridad, determinar su alcance y los sistemas que puede llegar afectar, podemos realizarlo dependiendo del origen y el tipo de incidente. La principal manera de clasificar e identificar, se puede realizar mediante el análisis de logs, los registros de sistema y fuentes de información con el propósito de detectar cualquier anomalía que se pueda presentar. Algunas fuentes de información que podemos utilizar pueden ser: Consolas de antivirus. Sistemas de detección y prevención de intrusos IDS, IPS Registros de accesos no permitidos y conexiones bloqueadas por cortafuegos. Herramientas DLP. Anomalías en tráficos de red Partiendo de esto registro podemos establecer un esquema de clasificación que se ajuste a las necesidades propias del negocio en nuestra empresa, tomando en cuenta aspectos importantes como la naturaleza del incidente, la criticidad y el número de sistemas afectados, el impacto que el incidente puede tener en la organización desde un punto de vista legal, de imagen pública, y de prestación de servicio. Un ejemplo para clasificarlos puede ser: Clase de Incidente Tipo de Incidente Descripción Código dañino Infección Extendida Virus que afecta a un conjunto amplio de sistemas o dispositivos Infección única Solo se afecta un dispositivo, usuario o sistema
-
Upload
elkin-galvis -
Category
Documents
-
view
56 -
download
5
description
Gestion de la Seguridad
Transcript of Clasificación de Incidentes de Seguridad
Clasificación de Incidentes de Seguridad
Conceptualizando, un incidente de seguridad es todo evento indeseado e
inesperado que afecta la seguridad de la información y las operaciones del negocio.
Cuando deseamos identificar un incidente de seguridad, determinar su alcance y
los sistemas que puede llegar afectar, podemos realizarlo dependiendo del origen y
el tipo de incidente. La principal manera de clasificar e identificar, se puede realizar
mediante el análisis de logs, los registros de sistema y fuentes de información con
el propósito de detectar cualquier anomalía que se pueda presentar. Algunas
fuentes de información que podemos utilizar pueden ser:
Consolas de antivirus.
Sistemas de detección y prevención de intrusos IDS, IPS
Registros de accesos no permitidos y conexiones bloqueadas por
cortafuegos.
Herramientas DLP.
Anomalías en tráficos de red
Partiendo de esto registro podemos establecer un esquema de clasificación que
se ajuste a las necesidades propias del negocio en nuestra empresa, tomando en
cuenta aspectos importantes como la naturaleza del incidente, la criticidad y el
número de sistemas afectados, el impacto que el incidente puede tener en la
organización desde un punto de vista legal, de imagen pública, y de prestación de
servicio. Un ejemplo para clasificarlos puede ser:
Clase de Incidente Tipo de Incidente Descripción
Código dañino
Infección Extendida Virus que afecta a un conjunto
amplio de sistemas o dispositivos
Infección única Solo se afecta un dispositivo,
usuario o sistema
Esta clasificación permitirá dar relevancia a los incidentes que por su prioridad
y urgencia requieran una solución en el menor tiempo posible. Por lo tanto y
aplicando las recomendaciones presentadas por ITIL es conveniente definir los
niveles de impacto y urgencia para los incidentes y a su vez construir una matriz de
prioridades en base a las necesidades de la organización.
Los niveles de impacto podemos definirlos a partir de las siguientes interrogantes:
¿Se presenta una pérdida total que afecta a uno o varios servicios críticos?
¿Se presenta degradación de uno o varios servicios relacionados con procesos
críticos?
¿El incidente afecta a un número significativo de usuarios de la organización?
¿Se puede dar soporte interno al incidente, es necesario acudir a algún tercero?
De esta manera podemos definir los niveles de impacto calificándolos como:
Menor
Moderado
Significativo
Extenso
Para definir el nivel de urgencia se debe observar si el incidente afecta áreas
críticas, usuarios VIP, se presenta en fechas claves para cualquier operación del
negocio (cierre de mes, pago de nómina), o si hay una amenaza clara de una política
de seguridad. Podemos clasificar los niveles de urgencia como:
Bajo
Medio
Alto
Crítico
El impacto permitirá determinar la importancia del incidente; la urgencia el
tiempo de respuesta ante el incidente; a partir de éstos mecanismos
determinaremos la prioridad, que será el resultado del impacto por la urgencia:
IMPACTO
UR
GE
NC
IA
Extenso Significativo Moderado Menor
Crítico Crítico Crítico Alta Alta
Alto Crítica Alta Alta Media
Medio Alta Media Media Media
Bajo Baja Baja Baja Baja
Luego de definidos estos mecanismos podemos establecer una matriz para
clasificar y dar prioridad a los incidentes de seguridad que se ajuste a las
necesidades de nuestra organización, un ejemplo puede ser:
Clase de
Incidente Tipo de Incidente Descripción Prioridad
Referencias Bibliográficas
ICBF (2012) Plantilla articulo cómo, Recuperado el 27 de septiembre de 2015, en
http://www.icbf.gov.co/portal/page/portal/IntranetICBF/AplicacionesDIT/DIT%20-
%20Base%20de%20Conocimiento/Base%20de%20conocimiento/Matriz%20de%2
0prioridades%20de%20incidentes.pdf
CERT (2010) SGSI, Recuperado el 27 de septiembre de 2015, en
http://www.cert.uy/wps/wcm/connect/certuy/405e6859-2aab-4b21-b619-
b916774a23b7/Guia+de+procesos+en+gestion+de+incidentes.pdf?MOD=AJPERE
S&CONVERT_TO=url&CACHEID=405e6859-2aab-4b21-b619-b916774a23b7
CCN-CERT (2012) Criterios comunes para la Gestión de Incidentes de Seguridad
en el Esquema Nacional de Seguridad (ENS), Recuperado el 27 de septiembre de
2015, en https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/817-Gestion_incidentes_seguridad/817-
Gestion_incidentes_seguridad-ago12.pdf
