ENSAYO
“MECANISMOS DE IDENTIFICACION, CLASIFICACION Y PRIORIZACION DE
INCIDENTES DE SEGURIDAD”
NOMBRE: LEONARDO SILVA
MATERIA: GESTION DE LA SEGURIDAD
Se podría definir incidente de seguridad como Los diferentes ataques que sufren
los sistemas conectados a Internet. Éstos amenazan el buen funcionamiento de
cualquier organización y violan implícita o explícitamente las políticas de seguridad.
Dado que las organizaciones continuamente realizan transacciones a través de
internet están expuestas a diferentes tipos de eventualidades que se podrían
identificar como incidentes de seguridad y afectar de alguna manera cada uno de
los procesos diarios.
Es posible parametrizar un incidente de seguridad, si se logra encajar como incidente
automático o incidente manual, los primeros serian producidos a través de algún
tipo de software, programa maligno o virus. Los segundos estarían enfocados en
ataques intencionales hacia un sistema o activo de información, denegación de
servicios, accesos no autorizados o indisponibilidad de algún recurso TI. Lo anterior
nos brinda una guía para comprender y lograr clasificar un incidente como incidente
de seguridad, dado que siempre los diferentes eventos se enfocan claramente en
afectar directamente un sistema o entrar en el sin ningún tipo de autorización.
Para identificar un incidente de seguridad, determinar su alcance y los sistemas
afectados por el mismo, se pueden obtener indicios de múltiples maneras en función
de la naturaleza y tipo de incidente. Uno de los principales mecanismos es el análisis
de logs, registros y fuentes de información para detectar anomalías.
Sin duda alguna dentro de las fuentes de información de logs más relevantes
tenemos: Consolas de antivirus, Sistemas de Detección, Prevención de Intrusión
(IDS/IPS), Registros de auditoría para detectar intentos de acceso no autorizados,
Registro de conexiones bloqueadas en los cortafuegos, Registro de conexiones
realizadas a través del proxy, Registros en herramientas DLP (Data Loss Prevention).
La detección de este tipo de anomalías permite identificar un posible incidente de
seguridad, así como la naturaleza o el alcance del mismo. En el caso de que alguno
de estos registros presentase alguna anomalía, sería necesario su análisis detallado
para determinar si realmente existe un incidente.
El análisis respectivo de un incidente se puede realizar usando diferentes
herramientas que permiten verificar y encontrar la trazabilidad de cada evento
ocurrido, su origen y activos que afecta directamente. No obstante se deben priorizar
los eventos o incidentes de seguridad de acuerdo a dos parámetros: impacto y
urgencia que genere en el negocio, también los activos que se afecten, tiempo y
costo de recuperación, de esta manera se puede identificar la gravedad del incidente
(menor, moderado, mayor, critico) además de generar una jerarquía de
atendimiento para cada evento.
Cuando se detecta el incidente, es clave definir la extensión del mismo, si se trata
de una infección, así como el tipo de equipos a los que afecta, buscando las
características comunes (plataforma de sistema operativo, tipo concreto de puestos
de trabajo, solo servidores, etc.) para determinar la extensión de la infección y poder
tomar medidas en función de los patrones identificados.
La prioridad del incidente podría cambiar. Por ejemplo, se pueden encontrar
soluciones temporales que restauren aceptablemente el nivel de servicio y que
permitan retrasar un poco el cierre del incidente sin graves repercusiones.
Se debe tener en cuenta que existen eventos o incidentes que requieren atención y
solución inmediata si se trata de la afectación de algún software o servicio primordial
para la compañía. De esta manera evaluar qué medidas o agentes de solución están
al alcance para lograr minimizar los tiempos y el negocio mantenga su línea a de
producción a la mayor normalidad posible.
Según lo anterior podemos trazar escalas de medida de urgencia con impacto para
cada evento posible y después realizar una clasificación de mayor a menor para
luego preparar contramedidas temporales o definitivas según el caso.
Claramente la prioridad de atención de los incidentes va en aumento directamente
proporcional al impacto sobre el activo o servicio TI.
Top Related