PDF de programación - Respuestas a incidentes de seguridad de TI

Respuestas a incidentes de
seguridad de TI

La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha
de publicación. Dado que Microsoft debe responder a las condiciones siempre cambiantes de mercado, este proceder no se debería interpretar
como un compromiso por parte de Microsoft. Asimismo, Microsoft no puede garantizar la precisión de la información presentada tras la fecha de
publicación. La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a
modificaciones sin previo aviso.
Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS NI IMPLÍCITAS EN
ESTE DOCUMENTO.
A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo
electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías,
organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. Es
responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte de
este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea
electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los
contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft.
© 2004 Microsoft Corporation. Reservados todos los derechos.
Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y otros países.

2



3 Respuestas a incidentes de seguridad de TI

Contenido

Introducción

Antes de comenzar

Reducción del número y gravedad de los incidentes de seguridad

Formación del Equipo principal de respuesta para incidentes de seguridad de los equipos

Definición de un plan de respuesta para incidentes

Contención del daño y reducción de los riesgos

Información relacionada

Introducción

¿Está preparado el administrador o el departamento de tecnología de la información (TI) para controlar incidentes
de seguridad? Muchas organizaciones aprenden a responder a los incidentes de seguridad únicamente después
de sufrir ataques. Para entonces, los incidentes se han convertido en una cuestión más costosa de lo necesario.
Las respuestas adecuadas para los incidentes deben ser una parte integral de la directiva global de seguridad y
de la estrategia de reducción de riesgos.

Existen claras ventajas directas en las respuestas a los incidentes de seguridad. Además, también pueden existir
beneficios económicos indirectos. Por ejemplo, su compañía de seguros podría ofrecer descuentos en el caso de
poder demostrar que la organización puede responder a los ataques de forma rápida y rentable. O bien, en el caso
de ser un proveedor de servicios, un plan de respuesta formal para incidentes podría ayudar a consolidar la
empresa, dado que mostraría un serio interés en el proceso de seguridad de la información.

En este documento se ofrece un proceso recomendado, así como procedimientos que pueden utilizarse para
responder a intrusiones identificadas en un entorno de red pequeño o mediano (SMB). También se explica el
valor de formar un equipo de respuesta para incidentes de seguridad con funciones explícitas para cada uno de
los miembros del equipo, así como el procedimiento para definir un plan de respuesta para incidentes de seguridad.

Para responder correctamente a los incidentes deberá:

• Reducir el número y la gravedad de los incidentes de seguridad.

•

Formar el Equipo de respuesta para incidentes de seguridad de los equipos (CSIRT) principal.

• Definir un plan de respuesta para incidentes.

• Contener el daño y reducir los riesgos.

Antes de comenzar

Los administradores de sistemas dedican bastante tiempo a los entornos de red y están muy familiarizados con
las redes. Documentan los entornos y disponen de copias de seguridad preparadas. Debe existir un proceso de
auditoría preparado para supervisar el rendimiento y la utilización. Antes de implementar un equipo de respuesta
para incidentes debe existir con anterioridad un cierto nivel de concienciación.

No importa la cantidad de información que se conozca del entorno de red, el riesgo de recibir un ataque continúa.
Cualquier estrategia de seguridad razonable debe incluir información acerca de cómo responder a diferentes tipos
de ataques.

 
4 Respuestas a incidentes de seguridad de TI

Reducción del número y gravedad de los incidentes de seguridad
En la mayoría de las ocasiones, es mejor prevenir que curar; la seguridad no es una excepción. Siempre que sea
posible, lo primero será evitar los incidentes de seguridad. Sin embargo, resulta imposible evitarlos todos. Cuando
ocurra uno, deberá garantizar que el impacto quede reducido. Para reducir el número e impacto de los incidentes
de seguridad deberá:

• Establecer y aplicar de forma clara todas las directivas y procedimientos. Muchos incidentes de seguridad
se crean de forma accidental debido a que el personal de TI no ha seguido o no ha comprendido los cambios
en los procedimientos de administración, o bien no han configurado correctamente los dispositivos de seguridad
como, por ejemplo, servidores de seguridad y sistemas de autenticación. Las directivas y procedimientos se
deben probar minuciosamente para garantizar que son prácticas y claras, además de proporcionar el nivel
adecuado de seguridad.

• Obtener compatibilidad de administración para directivas de seguridad y control de incidentes.

• Valorar de forma rutinaria los problemas de seguridad del entorno. Las valoraciones debe realizarlas un
especialista de seguridad con la autorización apropiada sobre los sistemas para realizar estas acciones, es
decir, derechos de administración otorgados y vinculados.

• Comprobar de forma rutinaria todos los equipos y dispositivos de la red para garantizar que tienen instaladas

las ultimas revisiones.

• Establecer programas de formación de seguridad para el personal de TI y los usuarios finales. La mayor
vulnerabilidad de cualquier sistema es un usuario sin experiencia. El gusano ILOVEYOU aprovechó de
forma eficaz está vulnerabilidad entre el personal de TI y los usuarios finales.

•

Publicar anuncios de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con
una advertencia de las medidas legales que se pueden tomar contra los infractores. Estos anuncios facilitan
la recopilación de pruebas y las acciones legales contra los atacantes. Debe obtener asesoramiento legal para
garantizar que la redacción de los anuncios de seguridad es adecuada.

• Desarrollar, implementar y aplicar una directiva que requiera contraseñas seguras. Puede obtener más

información acerca de las contraseñas en "Aplicación de contraseñas seguras en toda la organización" en el
Kit de orientaciones sobre seguridad.

•

Supervisar y analizar de forma rutinaria el tráfico de la red y el rendimiento del sistema.

• Comprobar de forma rutinaria todos los registros y mecanismos de registro, incluidos los registros de eventos
del sistema operativo, los registros específicos de cada aplicación y los registros del sistema de detección de
intrusiones.

• Comprobar los procedimientos de copia de seguridad y restauración. Debe saber dónde se encuentran las
copias de seguridad, quién puede tener acceso a ellas y cuáles son los procedimientos para la restauración
de datos y recuperación del sistema. Asegúrese de comprobar con regularidad las copias de seguridad y los
medios mediante una restauración selectiva de los datos.

• Crear un Equipo de respuesta para incidentes de seguridad de los equipos (CSIRT) para solucionar los

incidentes de seguridad. En la siguiente sección de este documento encontrará más información acerca de
CSIRT.

 
5 Respuestas a incidentes de seguridad de TI

Formación del Equipo principal de respuesta para incidentes de
seguridad de los equipos

El CSIRT es el punto de inicio en el control de los incidentes de seguridad con los equipos del entorno. Este
equipo debe incluir a un grupo de personas con responsabilidad para controlar cualquier incidente de seguridad.
Los miembros del equipo deben tener tareas claramente definidas para garantizar que no existe ningún área de
respuesta sin cubrir.

Para la organización es muy importante que el equipo esté formado antes de que ocurra un incidente. De esta
forma, el control de incidentes se verá influido positivamente. Un equipo adecuado deberá:

•

•

Supervisar los sistemas para localizar infracciones de seguridad.

Servir como punto central de comunicaciones, tanto para recibir informes de incidentes de seguridad como
para propagar información vital acerca del incidente a las entidades apropiadas.

• Documentar y catalogar los incidentes de seguridad.

•

•

Promocionar la concienciación de seguridad en la compañía para ayudar a evitar incidentes en la organización.

Permitir auditorías de sistemas y de red mediante procesos tales como valoraciones de vulnerabilidad y
pruebas de infiltración.

• Conocer las nuevas vulnerabilidades y las estrategias de ataque empleadas por los atacantes.

•

Investigar nuevas revisiones de software.

• Analizar y desarrollar nuevas tecnologías para reducir las vulnerabilidades y los riesgos de seguridad.

• Ofrecer