Delitos Informáticos Trabajo: Detección de delitos informáticos 1. Descripción de la actividad Es necesario desarrollar
Views 9 Downloads 0 File size 114KB
Delitos Informáticos
Trabajo: Detección de delitos informáticos 1. Descripción de la actividad Es necesario desarrollar un Manual de Detección de Incidentes, el cual debe contener una sección para los casos de:
2. Introducción El presente documento forma para del Sistema de Gestión de Seguridad de la Información tomando como base los lineamientos recomendados en Norma la ISO IEC 27001, se especifican los lineamientos básicos para el manejo adecuado de incidentes de seguridad, con el objetivo de preservar la Confidencialidad, Integridad y Disponibilidad de los activos de la organización.
3. Objetivos de la gestión de incidentes El principal objetivo del Manual de Gestión de Incidentes es contar con un proceso estructurado y planificado que permita manejar adecuadamente los incidentes de seguridad de la información. Los objetivos particulares se pueden clasificar de la siguiente manera: ●
Detección y registro del incidente
●
Clasificación y soporte inicial
●
Investigación y diagnóstico
●
Solución y restablecimiento del servicio
●
Cierre del incidente
●
Monitoreo, seguimiento y comunicación
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
4. Definición de roles y responsabilidades Para proporcionar un enfoque coherente y efectivo en la gestión de incidentes / eventos de seguridad, es importante definir y asignar las responsabilidades necesarias a las funciones apropiadas de la organización. Dentro de la Política de Seguridad de la información está definido que la principal responsabilidad de la gestión preliminar de incidentes / eventos de seguridad (captura, informe y aplicación de la primera reparación) recae en la Gerencia de Seguridad de la organización. Las áreas de auditoría, legal, TI y la alta dirección estarán involucradas, según corresponda 4.1. Gerentes y empleados en general Los gerentes serán responsables de la planificación de entrenamientos adecuados de sus equipos sobre temas relevantes de seguridad, particularmente con respecto a incidentes de seguridad. Para aquellos departamentos que típicamente están involucrados en el proceso de gestión de incidentes / eventos de seguridad, los recursos necesarios deben estar habilitados para realizar tareas relevantes de seguridad de manera oportuna. Los empleados deberán reportar cualquier evento / incidente de seguridad (sospechado o confirmado) de inmediato al gerente de línea y al equipo de seguridad. Por lo tanto, es de vital importancia que todos los empleados conozcan las políticas de seguridad aplicables. 4.2. Gerencia de Seguridad La Gerencia de Seguridad es responsable de: ●
La creación y el mantenimiento de la lista de incidentes / eventos de seguridad predefinidos y los planes de respuesta correspondientes
●
Comunicación del proceso y para asegurar un alto nivel de conciencia.
●
Monitoreo del manejo de cada evento / incidente de seguridad serio y prioritario.
●
Garantizar la participación oportuna de las áreas legal, auditoría, TI y alta dirección para el análisis y la asignación de eventos / incidentes de seguridad a la estructura adecuada para la remediación.
2
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
●
Definición y configuración de interfaces para otros procesos (por ejemplo, gestión de riesgos).
●
Monitorear la ejecución de pruebas regulares (al menos una vez al año) de los procesos de respuesta a eventos / incidentes.
●
Definición de requisitos para el registro y monitoreo de eventos de seguridad. 4.3. Centro de Operaciones de Seguridad
El COS será responsable de: ●
Mejora continua y monitoreo de eventos / incidentes reportados por personal autorizado o detectados por herramientas de monitoreo y detección.
●
Actuar como punto único de contacto para eventos / incidentes de seguridad durante todo el ciclo de vida del incidente
●
Realizar una verificación de incidentes inicial para verificar la integridad y precisión de la información, lo que puede incluir la necesidad de entrevistar a la persona que reportó el incidente, para aclarar cualquier información faltante
●
Garantizar la participación oportuna del área de seguridad y del equipo de soporte adecuado para el análisis y la asignación de eventos / incidentes de seguridad a la estructura adecuada para su reparación.
●
Encargarse de todo el proceso de comunicación entre las partes involucradas en la solución / manejo del incidente
5. Detección y registro de incidentes El personal de la organización debe observar cualquier anormalidad que pueda ocurrir en su entorno de trabajo (lógico, de red, físico, de datos y de personas) y determinar si la anormalidad detectada es de hecho un evento / incidente de seguridad. 5.1. Informe de incidente Todos los incidentes reportados deberán ser registrados inicialmente y con ayuda del área de seguridad en el “Formulario de reporte de incidente” que deberá ser enviado a cualquiera de las siguientes opciones: ●
[email protected]
●
Por teléfono al (55)1234-5678
Aquí se muestra el formulario a llenar:
3
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
Fecha de envío del reporte
Status
Responsable del envío
Número de incidente
Fecha del evento Tipo
Protección de datos
Seguridad de la información
Seguridad Física
Salud y medio ambiente
Crítico
Alta
Media
Baja
Descripción
Nivel de riesgo / prioridad Áreas afectadas Responsable del manejo del incidente Responsable de la investigación y mitigación Acciones a tomar
Descripción
Responsable
Fecha
Status
Análisis de causa raíz
Capítulo(s) ISO27001 Registro de costos de remediación y daño 5.2. Detección Las áreas de seguridad y TI serán las encargadas del monitoreo y detección de eventos o incidentes de seguridad relacionados con la Confidencialidad, integridad y Disponibilidad de la Información, utilizando las herramientas tecnológicas necesarias para éstas tareas.
●
Security Information and Event Management System (SIEM) ○
Será el área de seguridad la encargada de operar la plataforma SIEM.
4
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
○
El monitoreo se realizará sobre la infraestructura de red local, dispositivos de usuario final y todos los equipos que interactúen en la infraestructura de TI de la organización.
●
Fraude
Es responsabilidad de todos los empleados de la organización el reportar actos sospechosos de fraude, la mejor manera de hacerlo es mediante un correo electrónico o llamada: ○
[email protected]
○
Por teléfono al (55)1234-8765
Será el área legal quien se encargará de investigar y recibir el incidente (ver formato mencionado en punto 5.1). Las áreas de TI y Seguridad deberán aportar los datos equipos afectados y analizar la necesidad de requerir análisis forense para una investigación más detallada. ●
Fuga / Divulgación de Información (Privacidad)
El área de auditoría y cumplimiento se encargará de monitorear el cumplimiento de los controles de Seguridad de la Información implementados para mantener su Confidencialidad, Integridad y Disponibilidad para prevenir cualquier tipo de incidente que involucre divulgación de datos sensibles o de uso exclusivo de la organización. Ésta área se encargará de darle seguimiento e investigar los incidentes relacionados con este tipo de delito. El área de donde fue sustraída la información, así como las área Legal, TI y Seguridad deberá colaborar con la investigación del incidente y aportar los datos necesarios para su mitigación y solución ●
Propiedad Intelectual
El área de TI deberá cumplir con los lineamientos establecidos sobre el uso de software seguro y licencias legalmente adquiridas, con el fin de prevenir cualquier tipo de incidente relacionado con uso de software ilegal. De la misma manera los empleados de la compañía deberán cumplir con la política de buen uso de equipo de trabajo, donde se establece la prohibición de software apócrifo, uso de torrents y cualquier aplicación de la que no se tenga licencia. Para el caso de los incidentes relacionados con software y hardware sin licencia, así como aplicaciones fuera de cumplimiento será el área de TI la encargada de investigar el incidente, apoyándose con el área Legal y Seguridad para la mitigación y solución, así como para las medidas legales a tomar.
5
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
En el caso de los incidentes relacionados con afectación a la propiedad intelectual de la compañía será el área Legal quien se encargue de investigar y mitigar el incidente, apoyándose en las áreas de TI y Seguridad, así como del área afectada para recabar los datos que sean de ayuda para su resolución e implementación de medidas legales para la reparación del daño. ●
Afectaciones a la información
Será el área de Seguridad la encargada de clasificar el tipo de incidente y qué tipo de afectación a la información se causó ○
Confidencialidad - Punto cubierto en la parte de privacidad
○
Integridad - Pérdida, daño o modificaciones no autorizadas
○
Disponibilidad - Afectaciones al acceso a los servicios o información
Una vez establecida la clasificación (ver el formato descrito en el punto 5.1) deberá encargarse de la investigación y apoyarse en las áreas de TI y Legal según corresponda, para la mitigación.
6. Clasificación y soporte inicial Será necesario contar con el formato descrito en el punto 5.1 para que el incidente sea debidamente atendido y se pueda realizar una correcta clasificación del mismo. 6.1. Tipo de incidente / relacionado con ●
Seguridad de la Información
●
Protección de datos
●
Seguridad Física
●
Salud y medio ambiente
6.2. Nivel de riesgo Para determinar el nivel de riesgo o prioridad nos basaremos en la siguiente clasificación Clasificación
Impacto
Crítico - Prioridad 1
Incidente o evento en el que al menos varios clientes o varios activos se ven seriamente afectados (incidente) o se espera que se vean afectados (evento) y la probabilidad de que el incidente o evento llegue a la prensa es bastante alta
6
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
Alta - Prioridad 2
Al menos un cliente o un activo se ve gravemente afectado (incidente) o se espera que se vea afectado (evento) y la probabilidad de que el incidente o evento llegue a la prensa es bastante baja. El mismo evento / incidente se repite porque las contramedidas no fueron efectivas.
Media - Prioridad 3
No se identifica un impacto o afectación significativa
Baja - Prioridad 4
No se espera impacto o afectación
6.3. Clasificación del incidente La siguiente tabla servirá de guía para una correcta clasificación del incidente Prioridad / Nivel de Riesgo
Encargado
Incidente / Escala / Área
T. I. / Legal
Afectaciones a la información Gusano/Virus/Troyano/Spyware Software instalado intencionalmente en un sistema causando un daño a más de un activo de la compañía
Legal
Privacidad Acceso no autorizado a la base de datos de clientes donde se contienen datos sensibles, resultando en robo de información e incumplimiento regulatorio
Crítico P1
Alto P2
Seguridad
Afectaciones a la información Un intento exitoso de poner en peligro un sistema o interrumpir cualquier servicio mediante la explotación de vulnerabilidades que aún no están clasificadas o son desconocidas
Medio P3
T. I
Propiedad intelectual Un empleado instala software ilegal en su equipo de cómputo
Bajo P4
Legal
Fraude Intento de uso no autorizado de cuentas bancarias de la compañía, sin afectaciones.
7. Investigación y diagnóstico Para la investigación y diagnóstico deberán colaborar además del área encargada, las demás áreas que puedan ayudar en la investigación y mitigación del incidente. 7.1. Investigación Se deberán utilizar las herramientas tecnológicas como el SIEM y en caso de ser necesario requerir al cómputo forense para la realización de una investigación efectiva, siempre
7
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
basándonos en el nivel de clasificación y tipo de incidente, a mayor criticidad, mayores recursos de investigación. 7.2. Diagnóstico Para el diagnóstico y mitigación utilizaremos el método de análisis causa - raíz, con el fin de plantear el problema principal e ir encontrando las fallas que lo desencadenaron. Para ésto utilizaremos el método de los 5 porqués: ●
A cada respuesta que surge, se pregunta un porqué. En general las primeras 5 preguntas servirían para determinar las causas del problema, pero esto no implica que no puedan seguir realizándose preguntas para profundizar. 7.3. Clasificación del incidente de acuerdo a la norma ISO27001
Determinar en qué capítulo(s) de la norma ISO27001 recae el problema, con el fin de revisar los controles implementados y hacer las correcciones necesarias
8. Solución y restablecimiento del servicio Una vez realizado el diagnóstico y clasificación del incidente, se realizarán 4 procesos para la solución y restablecimiento del servicio. 8.1. Contención Se aplicarán las estrategias de contención previamente definidas para que el problema no escale o crezca la magnitud del impacto. Dependiendo el tipo de incidente la estrategia será diferente, tomando en cuenta criterios como: disponibilidad del servicio, daños potenciales, análisis forense, preservación de evidencia. 8.2. Resolución Una vez controlado el incidente se deberá definir la implementación de soluciones, los cuales pueden ir desde la corrección o implementación de controles, acciones correctivas o reparación del daño o simplemente asumir el riesgo. Para el caso de incidentes clasificados como Críticos o Altos se deberá contar con un comité de manejo de crisis, que tomará las decisiones pertinentes para la solución. El comité está formado por: ●
Dirección General
8
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
●
Legal
●
Finanzas
●
TI
●
Recursos Humanos
●
Seguridad
●
Auditoría y cumplimiento
●
Asesores externos según el caso
Para el caso de los incidentes clasificados como Medio o Bajo, la solución deberá contar con la aprobación de las áreas involucradas 8.3. Recuperación En el caso de los incidentes clasificados como Críticos o Altos se deberá proceder con la implementación del plan de continuidad de negocio o de recuperación de desastres. Para el caso de incidentes clasificados como Medio o Bajo, será decisión de las áreas involucradas el implementar las medidas necesarias para la recuperación del servicio o activo dañado.
9. Cierre del Incidente Para el cierre del incidente se deberán haber cumplido los puntos 5 al 8, con las debidas aprobaciones de cada una de esas fases. 9.1. Elaboración del informe post - incidente El informe deberá ser documentado y cubriendo los puntos siguientes: ●
Ficha o forma de levantamiento (punto 5.1)
●
Documentos recabados en las fases 6 y 7
●
Diagnóstico y análisis causa raíz ○
●
Registro de errores o fallas que provocaron el incidente en una base de datos
Solución y registro de controles y medidas implementadas, así como decisiones tomadas.
●
Lecciones aprendidas
9
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
10.Monitoreo, seguimiento y comunicación Es de suma importancia contar con una base de datos donde se tengan registrados todos los incidentes pasados, con el fin de encontrar soluciones implementadas efectivamente y poderlas aplicar en futuros incidentes, además de elaborar estrategias de prevención. 10.1. ●
Monitoreo y seguimiento de incidentes
Antes ○
Serán las áreas Legal, TI y Seguridad, dependiendo la naturaleza del incidente las responsables del debido cumplimiento de los controles implementados para la prevención de incidentes.
○
El área de auditoría y cumplimiento será la encargada de supervisar que se cumplan los controles
●
Durante:
El Centro de Operaciones de seguridad será el encargado de darle seguimiento al incidente, manteniendo la comunicación con las áreas involucradas para revisar el estado. ●
Después:
El área involucrada y las áreas que dieron soporte para la resolución, deberán dar seguimiento a las acciones posteriores a seguir además de la aparición de nuevas amenazas que puedan provocar que un incidente se repita
10.2. ●
Comunicación
Externa
Para el caso de incidentes clasificados como Críticos o Altos el comité de manejo de crisis será el encargado de definir la estrategia de comunicación externa, que puede incluir: ○
Elaborar comunicados de prensa informando el incidente
○
Comunicar a clientes posiblemente afectados
○
Comunicar a los empleados de la organización
○
Responder cuestionamientos de partes afectadas o atender a la prensa.
Para el caso de los incidentes clasificados como Medio o Bajo, la necesidad de comunicar a entidades externas al incidente dependerá si hubo terceros afectados y siempre bajo la aprobación del director general.
10
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
●
Interna
Entendemos como comunicación interna a la interacción entre las partes involucradas, que consta de las siguientes fases: ○
Informe del incidente
○
Comunicados de seguimiento
○
Reuniones físicas o por llamada
○
Informes de seguimiento
○
Informe de cierre
10.3.
Casos de éxito
11.Conclusiones Es importante contar con un plan bien estructurado de manejo de incidentes, donde se establezcan los roles y responsabilidades de las partes involucradas en su remediación, así como una base de conocimiento de incidentes anteriores, donde se consulten las lecciones aprendidas y soluciones implementadas, sin dejar de mencionar la importancia de la prevención de riesgos similares. El contar con un sistema de gestión de incidentes, planes de respuesta, continuidad de negocio y recuperación de desastres son de gran ayuda para que las organizaciones puedan responder a eventuales crisis y salir bien libradas, evitando pérdidas graves (reputación, económicas, humanas). Aún y cuando no se necesite contar con una certificación en Seguridad de la información es de gran ayuda el tomar en cuenta los estándares ISO27000 y en su caso el ITIL V3, donde vienen herramientas y controles que las organizaciones pueden implementar en su gestión de incidentes. Desde luego muchos incidentes tienen que ver con hechos delictivos, tanto dentro como fuera de las organizaciones, por eso es necesario fomentar la cultura de la denuncia y seguimiento, para crear un ambiente de seguridad donde las compañías además de mostrar que tienen mecanismos efectivos de prevención y defensa, también son coadyuvantes en el combate al crimen, erradicando la cultura de la impunidad.
11
Asignatura
Datos del alumno
Fecha
Delitos Informáticos
12.Referencias Instituto Colombiano de Normas Técnicas y Certificación. (2009, 19 agosto). Norma Técnica Colombiana ISO/IEC 27005. Recuperado 5 de agosto de 2020, de http://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001071 ITIL V3. Gestión de Incidencias. (s. f.). Servicetonic. Recuperado 6 de agosto de 2020, de https://www.servicetonic.com/es/itil/itil-v3-gestion-de-incidencias/ Análisis causa raíz | Qué es, ejemplos y métodos. (s. f.). Grapheverywhere. Recuperado 5 de agosto de 2020, de https://www.grapheverywhere.com/analisis-causa-raiz-que-es-ejemplos-ymetodos/
12