NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE

INCIDENTES DE SEGURIDAD

MARCELO GALVÁN - Director Departamento de Seguridad de la Información

Banco Central del Paraguay

¿DEBO GESTIONAR LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN DE MI ORGANIZACIÓN?

90% ha tenido que lidiar con ISI en los pasados 6 meses

100% considera que su organización puede ser victima de un ataque

cibernético

100% considera de valor la utilización de metodologías o estándares de Gestión de ISI

40% considera disponer de procedimientos de Gestión de

ISI implementados

30% considera disponer de procesos de identificación de

ISI en un tiempo razonable

20% tiene implementado un SOC (Security Operations Center) interno o externo

MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

+1000 publicaciones relacionadas a Ciberseguridad tales como Normas o

Estándares (Research Report – PwC 2013)

+30 publicaciones dedicadas parcial o totalmente a la

Gestión de ISI

ORGANIZACIÓN Y PERSONAS

PRODUCTOS Y TECNOLOGÍAS

SERVICIOS PROFESIONALES

MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Modelo, Guía o Norma de Referencia:

Autoridad de publicación:

Incluye aspectos relacionados a:

Integrado a:

NIST SP 800-61 R2 Computer Security

Incident Handling Guide

National Institute of Standards and

Technology - U.S. Dep. Commerce

Organización y Personas – Productos y Tecnologías

NIST Cybersecurity Framework

Good Practice Guide for Incident

Management

European Network and Information Security Agency

Organización y Personas – Servicios

Profesionales

ENISA Cybsersecurity Eval. Framework

ISO 27035:2011 Information security

incident management

ISO/IEC JTC 1/SC 27

Organización y Personas

ISO 27.000 Family Standards

Estructura y Servicios del Equipo de

Respuesta

MODELO DE REFERENCIA: NIST SP 800-61 R2 – Computer Security Incident Handling Guide

- Modelos de Equipo de Respuesta

- Selección del personal del equipo

- Servicios de Gestión Incluidos

- Relación con otras áreas

Procesos y Fases de la Gestión de Incidentes

- Preparación - Detección y análisis - Contención, erradicación

y recuperación - Actividades post-

incidente

Colaboración y Coordinación entre

organizaciones

- Coordinación con organizaciones externas

- Colaboración para el intercambio de información

Incident Handling Life Cycle

MODELO DE REFERENCIA: NIST SP 800-61 R2 – Computer Security Incident Handling Guide

Marco o Contexto de la Gestión de

Incidentes

MODELO DE REFERENCIA: Good Practice Guide for Incident Management

- Roles Responsabilidades - Cooperación Nacional - Servicios y políticas del

CERT - Relaciones con la alta

administración

Procesos y Fases de la Gestión de Incidentes

- Registro y Clasificación - Resolución del incidente - Actividades post-

incidente - Workflows - Taxonomías

MODELO DE REFERENCIA: Good Practice Guide for Incident Management

Incident Handling Process Flow Example

Reporte

Respuesta

Cierre

MODELO DE REFERENCIA: ISO 27035:2011 - Information security incident management

Procesos y Fases de la Gestión de Incidentes

- Preparación y planeación

- Detección y reporte - Clasificación - Respuesta - Lecciones aprendidas

MODELO DE REFERENCIA : ISO 27035:2011 - Information security incident management

Inci

dent

Han

dlin

g Ph

ases

- iSIRT - PoC - Referencias Cruzadas con la 27001

GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY

Basado en la ISO 27035:2011

Adaptado a la estructura y a los procesos internos del BCP

Además del PoC y del iSIRT se vió la necesidad de generar un CSI (Comité de Seguridad de la Información) para hacer frente a situaciones de crisis

Se diseño un modelo de iSIRT del tipo Ad Hoc, facilitando la inclusión de otras áreas afectadas

Se han incorporado las recomendaciones de otros modelos de referencia, tales como ITIL y COBIT

GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY

H. DE MONITOREO GTIC - POC DSIUSUARIO ISIRT CSI

INIC

IODE

TECC

IÓN

Y RE

PORT

EAN

ALISI

S Y E

VALU

ACIO

NRE

SPUE

STA

Y RE

MED

IACI

ON

EVENTO EVENTO

Recibe notificación del evento ocurrido

y registra el caso

Analiza y Evalúa si Corresponde a un incidente o a un “Falso Positivo”

¿Es un incidente?

NO

Documenta los resultados del

análisis realizado

SI

Responde al Incidente

¿Se pudo Resolver?

NO

Analiza el incidente y toma las medidas necesarias para su

resolución

SI

Documenta y Cierra el Caso

Responde al Evento

¿Se pudo Resolver?

SI

Documenta y Cierra el Caso

FIN FIN

NO

Notifica al usuario sobre el cierre del

caso¿Reportó un

usuario?SI

NO

Registra el Evento y Asigna un

Responsable

EVENTO

CONCLUSIONES, OBSERVACIONES Y RECOMENDACIONES FINALES

1) Aprender a gestionar incidentes de seguridad es crucial

2) Los modelos de referencia facilitan la gestión de incidentes

3) Reaprovechar procesos y estructuras internas

4) Compartir información es parte del proceso

5) Involucrar a las autoridades según la necesidad

6) La clave son las personas

MUCHAS GRACIAS

MARCELO GALVÁN A., ISO 27001LA, ISO22301LA, CCNP, CCDP, CCSS Director de Seguridad de la Información

Banco Central del Paraguay mgalvan@bcp.gov.py

+595216192696