No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Respuesta a incidentes

5/19
Recursos

Aportes 6

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Me gusto como en este curso se explica el ciclo de vida de la respuesta a incidentes Les comparto un pequeño ejemplo aplicado a los sistemas: -------------------------------------------------------- **1. Preparación:** * **Desarrollar un plan de respuesta a incidentes:** El plan debe definir los roles y responsabilidades, los procedimientos de respuesta y las herramientas que se utilizarán. * **Identificar los activos críticos:** Es importante identificar los activos que son más importantes para la organización y que deben protegerse con prioridad. * **Realizar ejercicios de respuesta a incidentes:** Los ejercicios ayudan a probar el plan de respuesta y a identificar las áreas que necesitan mejorar. **2. Detección:** * **Implementar medidas de detección:** Se deben implementar medidas para detectar los incidentes de seguridad de manera rápida y eficiente. * **Monitorear los sistemas y la red:** Es importante monitorizar los sistemas y la red para identificar cualquier actividad anómala. * **Investigar las alertas:** Se deben investigar todas las alertas de seguridad para determinar si se ha producido un incidente. **3. Contención:** * **Aislar los sistemas afectados:** Es importante aislar los sistemas afectados para evitar que el incidente se propague. * **Deshabilitar las cuentas de usuario comprometidas:** Se deben deshabilitar las cuentas de usuario que se han visto comprometidas. * **Contener el malware:** Se debe contener el malware para evitar que se propague a otros sistemas. **4. Erradicación:** * **Eliminar el malware:** Se debe eliminar el malware de los sistemas afectados. * **Limpiar los sistemas afectados:** Se deben limpiar los sistemas afectados para eliminar cualquier rastro del incidente. * **Restaurar los sistemas a su estado original:** Se deben restaurar los sistemas a su estado original antes del incidente. **5. Recuperación:** * **Desarrollar un plan de recuperación:** El plan de recuperación debe definir cómo se restaurarán los sistemas y los datos a su estado original. * **Implementar el plan de recuperación:** Se debe implementar el plan de recuperación para restaurar los sistemas y los datos a su estado original. * **Aprender del incidente:** Es importante aprender del incidente para mejorar el plan de respuesta a incidentes y prevenir futuros incidentes.
# 5. Respuestas a incidentes Son eventos adversos para mitigar potenciales daños recuperar operaciones y aprender de estas lecciones para mejoras futuras. ![](https://static.platzi.com/media/user_upload/dfasdfs-transformed-2eedcbfb-5b7f-4ad6-871e-cf1cb9afab5f.jpg) **5.1. Preparación** El plan que se va a desarrollar cuando ocurra un incidente. · ¿Quién puede comunicar el incidente? · ¿Quién tiene la autorización de dar a conocer a sus clientes lo que esta ocurriendo? Entender los riesgos para evitar esos incidentes. 5.2. Detección y análisis Hay softwares especializados que está recopilando eventos, esos eventos son evaluados y pueden indicar el tipo de problema según la necesidad de atención. Se usan normalmente 3 niveles de atención: · Primer nivel: Primera línea de atención al usuario o los operadores que leen las señales, ellos darán solución a problemas mínimos ocurridos. · Segundo nivel: Al no ser solucionado el problema en el primer nivel, se le dará información a personal mas especializado al producto o proceso, para mitigar el daño y ar solución. · Tercer nivel: Cuando se llega a este punto porque no se detecta la raíz del problema, se requiere investigación y a su vez un equipo especializado. 1.3. Contención, erradicación y recuperación · Contención: contener el equipo que está ocasionando el incidente. · Erradicación: Como evitar que este incidente suceda de nuevo. · Recuperación: Se finalizará la operación de recuperación de las fases normales y se****** indicará que estamos fuera de peligro. 1.4. Actividad post-incidente · Crear canales útiles en los canales de contención. · Pregunta entre colegas las dudas, soluciones y problemas sucedidos anteriormente. · Es necesario llamar a un equipo de expertos. Construir un documento de análisis post-mortem, es un documento que me explica la secuencia
Gestión de eventos adversos para mitigar potenciales daños. 800-601 NIST Preparación Detección y análisis. Qué tan grave es. Hay tres niveles de atención usuales: Primer nivel. Segundo nivel si el problema es más complejo. Tercer nivel, para problema complejo donde no se tiene determinada la causa raíz. Contención, erradicación y recuperación. Lo primero es contener el daño o aislar el equipo que minimice drásticamente el daño. La recuperación se tiene al volver con la operación normal. Actividad post-incidente. Tener canales de comunicación eficientes. Construir documento de análisis post-mórtem. Las acciones y aprendizaje nos retroalimentan sobre qué hacer para minimizar una exposición y que no vuelva a ocurrir.
# Respuesta a incidentes Se refiere a la gestión de eventos adversos, para mitigar potenciales daños, recuperar operaciones y aprender de estas lecciones para mejoras futuras. # Ciclo de vida de respuesta a incidentes 1. Preparación: Del equipo que va atender los incidentes, el plan que vamos a desarrollar cuando curra, quien puede comunicar el incidente. Entender los riesgos para evitar y mitigar los incidentes. 2. Detección y análisis: Como nos enteramos. Tenemos software especializado que recoge los eventos. Esos son evaluados y nos indica si es un problema que puede ser atendido de una vez o debe ira a un análisis posterior. Frecuencia de los eventos ayuda a detectar que tan grave es el incidente. Recomendable clasificar los incidentes para escalar según su complejidad. 3. Contención, erradicación y recuperación: Siempre que se atienda un incidente es importante hacer una contención del daño del mismo. Una vez contenido, empezamos a entender como evitar que nos vuelva a suceder, eso es la erradicación y finalizamos con la recuperación de las operaciones normales e indicamos que estamos fuera de peligro. 4. Actividad post-incidente: Útil tener canales de comunicación entre todos los niveles. Análisis de las lecciones aprendidas. Un documento que explique todo lo que paso en el momento, las lecciones aprendidas y los siguientes pasos. Esto nos regresa a la fase de preparación. ![Fortify.jpg](https://prod-files-secure.s3.us-west-2.amazonaws.com/8baaf65a-e9e3-4fef-8ee9-1d886becabe0/a1bc8f08-2dc6-4aed-9684-42dfb3564572/Fortify.jpg) Cuando atendemos un incídete lo más importante es lo que aprendimos de este. Y generar un documentos post-mortem o post incídete. Otro elemento importante es una línea de tiempo incluido, quien reporto, quien atendió, que acciones se ejecutaron. Identificar la causa raíz, si es conocida. ❓ Recomendable usar la técnica de los 5 porqués
También les comparto mi fork de los postmortem templates que no los vi en la sección de recursos en este momento. <https://github.com/EloyChavezDev/postmortem-templates>
¿Qué es el NIST 800-61? El NIST 800-61 es una publicación especial del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos. También se conoce como "Computer Security Incident Handling Guide" o "Guía de Manejo de Incidentes de Seguridad Informática". Esta guía proporciona directrices detalladas sobre cómo detectar, mitigar y responder a incidentes de seguridad informática en organizaciones. Está diseñada para ayudar a los equipos de seguridad y a los profesionales de TI a manejar de manera efectiva los incidentes de seguridad, minimizando el impacto en la organización y reduciendo el riesgo de futuros incidentes. El NIST 800-61 aborda varios aspectos del manejo de incidentes, incluyendo la preparación para incidentes, la detección y análisis de incidentes, la contención y erradicación de amenazas, la recuperación de sistemas y datos, y la respuesta a incidentes a nivel organizativo. En resumen, el NIST 800-61 es una referencia importante para las organizaciones que desean establecer un proceso eficaz para manejar incidentes de seguridad informática de manera proactiva y eficiente.