Ester Chicano Tejada - Gestión de incidentes de seguridad informática. IFCT0109

Un incidente de seguridad es cualquier evento que puede afectar a la integridad, confidencialidad y disponibilidad de la información. En otros términos, también se puede definir como un evento no deseado que puede comprometer significativamente las operaciones de una organización y amenazar su seguridad.

Hay numerosos tipos de incidentes de seguridad: accesos no autorizados, código malicioso, denegación de servicio, intentos de información de un sistema, uso deficiente de los recursos tecnológicos, etc. Para cada uno de ellos las organizaciones deben tomar una serie de medidas que los corrijan, los prevengan o, como mínimo, los detecten. La gestión de incidentes tiene como objetivo la organización de los recursos para que estas medidas sean aplicadas de un modo eficiente. Para ello se puede utilizar el “Visor de eventos” de Windows o una serie de comandos en Linux que ofrecen una visión de los diferentes archivos de registro de eventos.

Una vez ya se conoce cómo localizar los eventos que ocurren en un sistema, es básica la implantación de sistemas de prevención de intrusiones o de sistemas de detección de intrusiones como complemento a las demás medidas de seguridad de la organización.

Una vez decidido el sistema IDS/IPS a implantar, otra de las decisiones fundamentales que influirán en el sistema de seguridad de una organización es elegir la ubicación de estos sistemas. Atendiendo a criterios de asunción de riesgos, grado donfianza donde el riesgo es mínimo y el número de falsas alarmas es muy limitado).

Ejercicios de repaso y autoevaluación

1. Indique a qué propiedad de la información se refieren las siguientes definiciones (integridad, disponibilidad y confidencialidad).

1 Propiedad de la información que garantiza que no ha sido alterada y que se ha mantenido intacto el documento original de la misma.

2 Propiedad de la información en la que se garantiza que esté disponible para los usuarios cuando estos lo requieran.

3 Propiedad mediante la que se garantiza el acceso a la misma solo a usuarios autorizados.

2. Clasifique los siguientes incidentes de seguridad según el tipo de incidente al que hacen referencia.

1 Borrado de la información.

2 Troyanos.

3 Ataques a páginas web o servidores para saturarlos.

4 Detección de vulnerabilidades.

5 Violación de la normativa de acceso a internet.

6 Intentos de acceso no autorizados recurrentes.

7 Violación de políticas de seguridad informática.

3. Indique a qué categoría pertenecen las siguientes medidas (preventivas, de detección o correctivas).

1 Medidas que sirven para detectar y controlar los incidentes de seguridad.

2 Medidas implementadas una vez sucedido el incidente de seguridad que se utilizan para evitar que no vuelva a ocurrir y para restaurar el sistema a la situación anterior a la incidencia.

3 Medidas que se aplican para evitar la ocurrencia de incidentes de seguridad.

4. Complete los espacios libres de la siguiente oración:

La gestión de incidentes tiene como objetivo calcular y utilizar adecuadamente los ____________ necesarios para aplicar correctamente estas medidas de prevención, ____________y corrección de incidentes de ____________.

5. Indique cuál de las siguientes opciones no se corresponde con los beneficios que aporta una correcta gestión de incidentes en las organizaciones.

1 Rápida restauración del sistema informático garantizando la mínima pérdida de información posible.

2 Mejora continua de la gestión y tratamiento de incidentes.

3 Menor control de los procesos del sistema de información.

4 Optimización de los recursos disponibles.

6. ¿Qué es un log? ¿Qué datos referentes a los eventos quedan registrados en los logs?

7. Indique a qué tipo de eventos/registros del “Visor de eventos” de Windows se refieren las siguientes definiciones:

1 Eventos ocurridos en los accesos del sistema, como los intentos de inicio de sesión (tanto exitosos como fallidos).

2 Eventos registrados por aplicaciones o programas.

3 Eventos que se han reenviado a este registro desde otros equipos.

4 Eventos que hacen referencia a la instalación de aplicaciones en el equipo.

8. Complete los espacios libres de la siguiente oración:

Los sistemas de ____________ de intrusos o IDS (Intrusion Detection System) son programas cuya utilidad es detectar las ____________ que se pueden producir en la red o en un equipo. Se encargan de monitorizar los ____________ del equipo para buscar intentos de intrusión.

9. A pesar de haber varias arquitecturas de sistemas de detección de intrusos, hay ciertas peculiaridades que son comunes a todas ellas. ¿Cuáles son estas peculiaridades?

10. Rellene la siguiente tabla indicando a qué tipo de arquitectura IDS se corresponden las características situadas en la zona derecha de la misma.

11. Indique cuál de las siguientes oraciones no se corresponde con las ventajas de los sistemas de detección de intrusos basados en red o NIDS.

1 Son sistemas de fácil instalación y actualización.

2 Detectan accesos no deseados en la red.

3 Pueden operar y detectar ataques ante datos cifrados que circulan por la red.

4 Tienen un bajo impacto en la red al no intervenir en sus operaciones habituales.

12. Complete los espacios libres de la siguiente oración:

Los IDS basados en ____________ o HIDS detectan las ____________ a nivel de un equipo informático, analizando su ____________ para comprobar si ha habido algún tipo de alteración de los archivos del ______________, y para localizar actividades sospechosas. Fueron el ____________ tipo de IDS desarrollado e implementado.

13. ¿Qué diferencia los IDS de detección de abusos o firmas de los IDS de detección de anomalías?

14. Complete la siguiente tabla indicando qué tipo de acción (filtrado de paquetes, bloqueo de IP o acción de decepción) realizan los distintos IPS atendiendo a sus características fundamentales.

15. Determine a qué zona hace referencia cada una de las siguientes definiciones.