Ester Chicano Tejada - Gestión de incidentes de seguridad informática. IFCT0109

2 Código malicioso o malware: son incidentes que se infiltran en un sistema de información sin autorización del propietario. Son incidentes de código malicioso los siguientes:Virus informáticos.Troyanos: código malicioso que se introduce en el sistema informático como un programa aparentemente legítimo e inofensivo pero que, al ejecutarlo, permite el acceso remoto del sistema a usuarios no autorizados.Gusanos informáticos: código malicioso que, una vez ha accedido al sistema, se va duplicando a sí mismo. No altera los archivos ya instalados pero supone un consumo de recursos importante.

3 Denegación del servicio: eventos que producen la pérdida de un servicio en particular, impidiendo su ejecución normal. Suelen ser incidentes de denegación del servicio cuando en el sistema se nota que hay tiempos de respuesta muy bajos y servicios internos y externos inaccesibles sin motivos aparentes.

4 Pruebas, escaneos o intentos de obtención de información de un sistema de información: son eventos que intentan obtener información sobre las acciones que se producen en un sistema informático. Algunos de estos eventos son: Sniffers: aplicaciones cuya función es obtener la información que envían los distintos equipos de una red.Detección de vulnerabilidades: aplicaciones que buscan las vulnerabilidades de un sistema de información para aprovecharse de ello maliciosamente.

5 Mal uso de los recursos tecnológicos: eventos que atacan a los recursos tecnológicos de un sistema de información a causa de un mal uso de los mismos. Forman parte de este tipo de eventos:Violación de la normativa de acceso a internet.Abuso o mal uso de los servicios informáticos externos o internos.Abuso o mal uso del correo electrónico.Violación de las políticas, normas y procedimientos de seguridad informática de una organización.

Ante la posibilidad de que haya algún tipo de incidente de seguridad en la organización hay que tomar una serie de medidas que pueden ser:

1 Medidas preventivas: aquellas medidas que se aplican para evitar la ocurrencia de incidentes de seguridad. Algunos ejemplos son: utilización de contraseñas, cifrado de información, establecimiento de firewalls, etc.

2 Medidas de detección: medidas que sirven para detectar y controlar los incidentes de seguridad. Por ejemplo: auditorías de seguridad, revisiones de seguridad, etc.

3 Medidas correctivas: medidas implementadas una vez ya ha sucedido el incidente de seguridad que sirven para evitar que no vuelvan a ocurrir y para restaurar la situación inicial antes de la incidencia. Suelen ser procedimientos de restauración, eliminación de código malicioso y auditoría forense.

La gestión de incidentes tiene como objetivo calcular y utilizar adecuadamente los recursos necesarios para aplicar correctamente estas medidas de prevención, detección y corrección de incidentes de seguridad. Se establecen unas pautas generales a seguir para que esta gestión esté bien ejecutada:

1 Prevención de los incidentes: aplicación de las medidas preventivas que eviten la producción de los incidentes.

2 Detección y reporte de los incidentes: en caso de producirse el incidente hay que detectarlo y reportar el mismo a los responsables de su gestión.

3 Clasificación del incidente: definición del tipo de incidente que ha ocurrido (acceso no autorizado, robo de información, etc.).

4 Análisis del incidente: análisis de cómo se ha producido el incidente y de los daños que ha causado.

5 Respuesta al incidente: aplicación de las medidas correctivas para restaurar el sistema a la situación inicial antes de producirse el incidente.

6 Registro de incidentes: registro del incidente sucedido y de las medidas aplicadas para obtener un historial y un control de todos los registros que han ido ocurriendo.

7 Aprendizaje: análisis de los posibles errores causantes de la incidencia para evitar que se vuelvan a producir.

Siguiendo estas fases de gestión de incidentes, las organizaciones pueden obtener numerosos beneficios, entre ellos:

1 Rápida, eficiente y sistemática respuesta ante la aparición de incidentes.

2 Rápida restauración del sistema informático garantizando la mínima pérdida de información posible.

3 Generación de una base de datos con el histórico de los incidentes y de las medidas tomadas para una mayor rapidez ante próximos incidentes.

4 Mejora continua de la gestión y tratamiento de incidentes.

5 Eliminación de la aparición de incidentes repetitivos (gracias al registro histórico).

6 Optimización de los recursos disponibles.

7 Mayor productividad de los usuarios.

8 Mayor control de los procesos del sistema de información y del proceso de monitorización del mismo.

Sin embargo, una gestión de incidentes deficiente puede llevar a efectos adversos importantes:

1 Desperdicio y bajo rendimiento de los recursos.

2 Pérdida de información valiosa para la organización.

3 Pérdida de productividad en los servicios y, como consecuencia, peor calidad de servicio a los clientes.

Los intentos de intrusión son aquellos intentos que pueden afectar negativamente a la confidencialidad, integridad y disponibilidad de la información de un equipo o que intentan evitar los mecanismos de seguridad que hay establecidos.

Estas intrusiones pueden producirse de varios modos: desde usuarios no autorizados que acceden al sistema a través de internet, usuarios que sí están autorizados pero que intentan acceder a privilegios para los que no tienen autorización, hasta usuarios autorizados que utilizan malintencionadamente los privilegios que les han sido otorgados.

Para evitar este tipo de intrusiones están los sistemas de prevención de intrusiones o IDS que son sistemas que permiten establecer una protección adicional a los equipos y redes de una organización ante las posibles amenazas que pueden aparecer debido al uso exhaustivo de las redes y de los sistemas de información externos.

Actividades

1. Ponga varios ejemplos de los distintos tipos de incidencias de seguridad.

2. Busque más información sobre las medidas correctivas, preventivas y de detección y proponga algún ejemplo de cada una de ellas.