Tema 2: Auditoría de Incidentes de Ciberseguridad (3 parte - 105-121 pags)

Questions and Answers

¿Cuál de las siguientes opciones no se menciona como una característica de un programa de respuesta sólido?

Integración con las operaciones de TI

Documento de procedimientos técnicos detallados

Acceso a la competencia técnica

Interacción con el mercado financiero (correct)

¿Cuál de los siguientes elementos es crucial para la cultura y procesos de aprendizaje continuo en la gestión de incidentes?

Realización de posmortems e integración de lecciones aprendidas (correct)

Establecimiento de alianzas con empresas competidoras

Automatización de todos los procesos de respuesta

Invitación de expertos externos cada semestre

¿Qué aspecto es menos crítico para la preparación técnica de incidentes importantes?

Acceso a sistemas de seguridad

Acceso a la experiencia en aspectos legales de seguridad

Mantenimiento de un sitio web atractivo para el cliente (correct)

Competencia técnica con sistemas críticos de la empresa

¿Qué pregunta es relevante para verificar la preparación en la gestión de incidentes?

¿Conoce bien sus altos valores activos (HVA)? (C)

¿Qué aspecto no es parte de los controles mejorados para activos de alto valor?

Desarrollo de un plan de marketing (B)

¿Cuál es uno de los beneficios de una respuesta bien planificada ante un ataque de ciberseguridad?

Reducir el coste operativo del atacante (B)

¿Qué se debe priorizar en la preparación contra incidentes de ciberseguridad?

La identificación de activos de alto valor (B)

¿Cuál de las siguientes opciones NO es un aspecto relevante para la preparación ante ciberataques?

Estrategias de marketing (A)

¿Qué acción se sugiere para reducir el impacto comercial de un incidente de ciberseguridad?

Ruptura de modelo económico del atacante (A)

¿Qué aspecto es esencial para la gestión eficaz de la recuperación tras un ciberataque?

Eliminar otras vulnerabilidades en el sistema (D)

Flashcards

Activos de alto valor (HVA)

Componentes empresariales críticos (servidores, aplicaciones, datos, etc.) en un entorno de producción.

Preparación para incidentes cibernéticos

Pasos para protegerse, detectar y responder a un ataque cibernético.

Respuesta a incidentes cibernéticos

Proceso de gestión de un ataque cibernético para minimizar el daño.

Disuasión del atacante

Acciones para aumentar el costo operativo de un atacante y reducir el impacto del ciberataque.

Inventario de componentes HVA

Listado de activos de alto valor para priorizar la protección y detección

¿Qué es el programa de respuesta frente a un incidente?

Un programa que integra la respuesta al incidente con las prioridades del negocio, las operaciones de TI, la gestión de la continuidad del negocio y la recuperación de desastres. Debe ser adaptable, con una cultura de aprendizaje continuo e incluir documentación detallada para todos los implicados.

¿Qué es un contexto de fuentes internas y externas?

Entender las amenazas potenciales para tu empresa tanto de dentro como de fuera.

Cultura de aprendizaje continuo

Realizar evaluaciones post-incidente (posmortems) y aplicar las lecciones aprendidas. Ejercicios regulares y validación del equipo rojo.

¿Para qué sirve la documentación en un programa de respuesta?

Proporciona familiaridad con el marco de respuesta a todos los involucrados. Incluye instrucciones detalladas para profesionales de TI y seguridad.

¿Qué habilidades son cruciales para una preparación técnica sólida?

Acceso a expertos en seguridad y sistemas críticos de la empresa, y experiencia en aspectos operativos, de comunicación y legales de incidentes de seguridad.

Study Notes

Tema 2: Auditoría de Incidentes de Ciberseguridad

• Roles en la Respuesta a Incidentes: CSIRT MANAGER, Unidad de Manejo de Incidentes, Unidad de Análisis de Amenazas, Unidad de Análisis de Artefactos, Unidad de Monitoreo de Seguridad, Unidad de Concientización y Capacitación.
• Definición del Rol de Respuesta a Incidentes: El rol se centra en la identificación, contención, informe y remediación de incidentes.
• Capacidades: Habilidades para responder a incidentes en entornos de nube, detección de intrusiones basada en host y red, entendimiento de redes informáticas y protocolos de seguridad, gestión de riesgos, leyes, reglamentos, políticas y ética en ciberseguridad y privacidad, conocimiento de ciberamenazas, vulnerabilidades y repercusiones operativas de fallos de ciberseguridad, planes de continuidad y recuperación de desastres, manejo de malware, preservación de la integridad de las pruebas, protección de las comunicaciones de red, reconocimiento de vulnerabilidades y ataques, protección contra malware.

Procedimientos de Actuación en la Gestión de Incidentes

• Introducción: Las organizaciones deben enfocarse en obtener el máximo retorno de su inversión en seguridad, priorizando esfuerzos y presupuesto para disuadir ataques.
• Preparación para Incidentes: Se deben focalizar los esfuerzos en tecnología, operaciones, legal y comunicación para mejorar la respuesta y la recuperación.

Preparación Genérica

• Identificar Activos de Alto Valor (HVA): Inventariar componentes críticos para desarrollar planes de recuperación y priorizar controles de protección.
• Confirmar un Despliegue de Software Fiable: Validar la capacidad de ejecutar scripts e instaladores para una respuesta rápida.
• Capacidades de Detección y Supervisión: Controlar atacantes avanzados con herramientas como correlación y análisis de eventos, inteligencia de amenazas, análisis del comportamiento de usuarios y entidades, detección de indicadores de compromiso.
• Capacidades de Investigación Forense: Capacidad para investigar ataques dirigidos incluyendo análisis de malware, línea de tiempo completa, contratando analistas o servicios profesionales.
• Seguimiento y Análisis de Costos de Respuesta: Mantener un registro de los gastos directos e indirectos para una mejor gestión del riesgo.
• Preparación para la Recuperación: Validar la capacidad de recuperar datos críticos mediante copias de seguridad fuera de línea o resistentes a ransomware. Creación de procedimientos de recuperación de cuentas/hosts comprometidos.

Operaciones

• Gestión de Incidentes: Es un reto complejo que requiere conocimiento técnico, variables desconocidas y tensión. Es crucial para minimizar el impacto potencial en las operaciones del negocio, justificando la inversión en preparativos.

Comunicación

• Comunicación en Incidentes: Es fundamental durante incidentes para evaluar y mitigar el impacto en la marca y la reputación a través de un plan que incluya: ¿A quién?, ¿Cuándo?, ¿Qué información? y quien comunicará?
• Factores Clave en Comunicación: Debe haber claridad, una estructura para la información y el acceso a la información relevante.
• Consideraciones Legales y Políticas: Es importante considerar tanto las consideraciones legales como las políticas de la organización, incluyendo declaraciones de compromiso de la administración.

Recursos

• Equipos y Sistemas: Se incluyen ejemplos de activos (computadoras, software, etc) y cómo organizar la información

Procesos

• Recopilación de Información: Se definen diferentes métodos para recopilación de información relacionados con vulnerabilidades
• Evaluación de Incidentes: Se debe identificar, evaluar si el incidente es pertinente al grupo o área especifico, y se debe clasificar su gravedad.
• Triage (clasificación): Es un procedimiento para asignar prioridades estableciendo prioridades para los incidentes y priorizando la dedicación de tiempo y recursos.

Description

Este cuestionario se centra en los roles y capacidades necesarias para la respuesta a incidentes de ciberseguridad. Se cubrirán aspectos clave como la identificación, contención y remediación de incidentes, así como las habilidades requeridas en entornos de nube y la gestión de riesgos en ciberseguridad. Prepárate para evaluar tus conocimientos sobre los diferentes roles en el manejo de incidentes y su importancia en la seguridad informática.