ENSAYO

MECANISMOS DE IDENTIFICACION, CLASIFICACION Y PRIORIZACION DE

INCIDENTES DE SEGURIDAD

NOMBRE: LEONARDO SILVA

MATERIA: GESTION DE LA SEGURIDAD

Se podra definir incidente de seguridad como Los diferentes ataques que sufren
los sistemas conectados a Internet. stos amenazan el buen funcionamiento de
cualquier organizacin y violan implcita o explcitamente las polticas de seguridad.
Dado que las organizaciones continuamente realizan transacciones a travs de
internet estn expuestas a diferentes tipos de eventualidades que se podran
identificar como incidentes de seguridad y afectar de alguna manera cada uno de
los procesos diarios.
Es posible parametrizar un incidente de seguridad, si se logra encajar como incidente
automtico o incidente manual, los primeros serian producidos a travs de algn
tipo de software, programa maligno o virus. Los segundos estaran enfocados en
ataques intencionales hacia un sistema o activo de informacin, denegacin de
servicios, accesos no autorizados o indisponibilidad de algn recurso TI. Lo anterior
nos brinda una gua para comprender y lograr clasificar un incidente como incidente
de seguridad, dado que siempre los diferentes eventos se enfocan claramente en
afectar directamente un sistema o entrar en el sin ningn tipo de autorizacin.

Para identificar un incidente de seguridad, determinar su alcance y los sistemas

afectados por el mismo, se pueden obtener indicios de mltiples maneras en funcin
de la naturaleza y tipo de incidente. Uno de los principales mecanismos es el anlisis
de logs, registros y fuentes de informacin para detectar anomalas.

Sin duda alguna dentro de las fuentes de informacin de logs ms relevantes

tenemos: Consolas de antivirus, Sistemas de Deteccin, Prevencin de Intrusin
(IDS/IPS), Registros de auditora para detectar intentos de acceso no autorizados,
Registro de conexiones bloqueadas en los cortafuegos, Registro de conexiones
realizadas a travs del proxy, Registros en herramientas DLP (Data Loss Prevention).
La deteccin de este tipo de anomalas permite identificar un posible incidente de
seguridad, as como la naturaleza o el alcance del mismo. En el caso de que alguno
de estos registros presentase alguna anomala, sera necesario su anlisis detallado
para determinar si realmente existe un incidente.
El anlisis respectivo de un incidente se puede realizar usando diferentes
herramientas que permiten verificar y encontrar la trazabilidad de cada evento
ocurrido, su origen y activos que afecta directamente. No obstante se deben priorizar
los eventos o incidentes de seguridad de acuerdo a dos parmetros: impacto y
urgencia que genere en el negocio, tambin los activos que se afecten, tiempo y
costo de recuperacin, de esta manera se puede identificar la gravedad del incidente
(menor, moderado, mayor, critico) adems de

generar una jerarqua de

atendimiento para cada evento.

Cuando se detecta el incidente, es clave definir la extensin del mismo, si se trata

de una infeccin, as como el tipo de equipos a los que afecta, buscando las
caractersticas comunes (plataforma de sistema operativo, tipo concreto de puestos
de trabajo, solo servidores, etc.) para determinar la extensin de la infeccin y poder
tomar medidas en funcin de los patrones identificados.

La prioridad del incidente podra cambiar. Por ejemplo, se pueden encontrar

soluciones temporales que restauren aceptablemente el nivel de servicio y que
permitan retrasar un poco el cierre del incidente sin graves repercusiones.

Se debe tener en cuenta que existen eventos o incidentes que requieren atencin y
solucin inmediata si se trata de la afectacin de algn software o servicio primordial
para la compaa. De esta manera evaluar qu medidas o agentes de solucin estn
al alcance para lograr minimizar los tiempos y el negocio mantenga su lnea a de
produccin a la mayor normalidad posible.
Segn lo anterior podemos trazar escalas de medida de urgencia con impacto para
cada evento posible y despus realizar una clasificacin de mayor a menor para
luego preparar contramedidas temporales o definitivas segn el caso.
Claramente la prioridad de atencin de los incidentes va en aumento directamente
proporcional al impacto sobre el activo o servicio TI.