Tema 2: Auditoría de Incidentes de Ciberseguridad (2 parte- 89-105 pags)
10 Questions
1 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Cuál es el objetivo para el indicador de estado de cierre de incidentes según la métrica de gestión de incidentes?

  • <15%
  • <10% (correct)
  • <20%
  • <5%

    • ¿Qué se mide para el indicador M 6 sobre incidentes de peligrosidad muy alta/crítica?

  • Porcentaje de incidentes con respuesta
  • Número total de incidentes notificados
  • Frecuencia de incidentes reportados
  • Número de incidentes cerrados sin respuesta (correct)

    • ¿Con qué frecuencia se mide el indicador de gestión de incidentes?

  • Mensual
  • Semestral
  • Trimestral (correct)
  • Anual

    • ¿Cuál es el umbral rojo aplicado para el estado de cierre de incidentes?

    <p>50%</p> Signup and view all the answers

    En el contexto de la gestión de incidentes, ¿qué se entiende por umbral amarillo?

    <p>Un nivel aceptable pero que requiere atención</p> Signup and view all the answers

    ¿Qué significa T(50) en el contexto de cierre de incidentes?

    <p>Tiempo que se tarda en cerrar el 50% de los incidentes</p> Signup and view all the answers

    ¿Cuál es el umbral rojo para T(90)?

    <p>T(90) &gt; 45d</p> Signup and view all the answers

    ¿Con qué frecuencia se deben medir las métricas de incidentes?

    <p>Anualmente</p> Signup and view all the answers

    ¿Cuál es el objetivo de M 4, según la información proporcionada?

    <p>Conocer si es necesario aumentar la fuerza de trabajo</p> Signup and view all the answers

    ¿Qué indicador refleja los recursos consumidos en la resolución de incidentes de seguridad?

    <p>Estimación de horas-hombre dedicadas a incidentes</p> Signup and view all the answers

    Study Notes

    Tema 2. Auditoría de incidentes de ciberseguridad

    • Cuando se analiza un incidente, el equipo de respuesta a incidentes debe notificar a las personas adecuadas, incluyendo todas las partes implicadas, y la notificación debe incluir el qué, el a quién y el cuándo. Las políticas de respuesta a incidentes deben definir este proceso.
    • La implementación adecuada de las medidas de notificación ayuda a detectar vulnerabilidades en los sistemas de información de una organización.
    • El análisis de incidentes desencadena los procesos de tratamiento del incidente y notificación.
    • La organización, al atender un ciberincidente, prioriza la mitigación del impacto, luego la eliminación del problema en los sistemas afectados y, finalmente, la recuperación al funcionamiento normal.
    • La contención es crucial para incidentes que podrían afectar los recursos o aumentar los daños.
    • La contención proporciona tiempo para desarrollar una estrategia de reparación. Decisiones como apagar un sistema, desconectarlo o desactivar funciones son parte de la contención.
    • La erradicación o mitigación implica la eliminación de componentes de un incidente (malware, cuentas de usuarios), y la corrección de vulnerabilidades explotadas.
    • La recuperación implica restaurar el funcionamiento normal, corrigiendo vulnerabilidades, aplicando parches, cambiando contraseñas, etc. Se deben usar copias de seguridad limpias si es posible.
    • Después de un incidente, se debe generar un informe que describa el incidente, sus causas, costes (especialmente respecto a la información o servicios afectados), y las medidas a tomar para evitar futuros incidentes similares.

    Métricas

    • Las métricas de gestión de incidentes son importantes para evaluar y mejorar el proceso de respuesta a incidentes.
    • Se deben establecer métricas que cuantifiquen el desempeño del modelo de gestión de incidentes.
    • Las métricas deben provenir, por ejemplo, del Esquena Nacional de Seguridad (CCN-STIC 817).
    • Las métricas se pueden usar para mejorar la gestión de incidentes y para evaluar el cumplimiento de los estándares.
    • Se incluyen métricas para la resolución de incidentes (Alto y Medio impacto); métricas de implantación y métricas de recursos.
    • Se establecen objetivos, métodos, variables a caracterizar, umbrales (amarillo y rojo), frecuencia de medición y frecuencia de reporte para cada una de las métricas.

    CSIRT/CERT/SOC

    • Un CSIRT (Computer Security Incident Response Team) es un equipo de expertos que responde a incidentes de seguridad informática.
    • Un CSIRT proporciona servicios de respuesta a incidentes, mitigación de riesgos y formación.
    • Los CSIRT deben tener la capacidad para reaccionar a incidentes y actividades relacionadas con análisis, mitigación, recuperación y gestión de la crisis.
    • Un CSIRT establece métricas para gestionar incidentes, las cuales son cruciales para la organización y el equipo.
    • Los CSIRT generalmente trabajan dentro de un SOC, donde centralizan la gestión de incidentes relacionados con tecnología e información.
    • Los CSIRT pueden tener relaciones con otros CSIRT y proveer apoyo mutuo.
    • Puede existir una relación estrecha entre CSIRT y SOC.
    • Los roles dentro de un CSIRT incluyen, entre otros, al CSIRT Manager, Threat Analysis Unit, Artifact Analysis Unit y Security Monitoring Unit.

    Gestión y análisis de eventos de seguridad

    • La gestión de eventos de seguridad tiene como objetivo identificar incidentes a partir de la relación y análisis de eventos de seguridad.
    • Esto se realiza con datos de múltiples fuentes.
    • Las capacidades de los CSIRT incluyen la gestión de eventos de seguridad, la respuesta a incidentes, la mitigación de incidentes, la coordinación de incidentes, y la gestión de vulnerabilidades nuevas o existentes.
    • La recepción de informes, el análisis, las pruebas forenses, la mitigación, la recuperación y la coordinación son parte del proceso.
    • Otra función es la concienciación y formación de los miembros del equipo y de la organización.
    • La coordinación y la colaboración con otros CSIRTs o equipos de seguridad son fundamentales.
    • Los servicios proactivos enfocan a la prevención, mientras que los reactivos hacen frente a incidentes. Existen también servicios de gestión de calidad.
    • Los equipos realizan análisis de riesgos asociados a los incidentes.
    • También se trabaja en la adquisición de datos, análisis y síntesis, y en la comunicación.

    Organización de los servicios

    • Las organizaciones de CSIRT pueden tener diferentes modelos de servicio
    • Estos modelos incluyen turnos de trabajo, personal de guardia, subcontratación de personal externo y uso del NOC, dependiendo del tamaño y complejidad de la organización.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Related Documents

    Tema 2. Auditoría de Incidentes de Ciberseguridad PDF

    Description

    En este cuestionario, exploraremos los conceptos clave relacionados con la auditoría de incidentes de ciberseguridad. Se abordarán aspectos como la notificación de incidentes, la implementación de políticas de respuesta y la contención de ciberincidentes. Prepárate para evaluar tu conocimiento sobre cómo gestionar y mitigar los impactos de los incidentes de seguridad informática.

    More Like This

    Incident Response Plan Overview
    5 questions

    Incident Response Plan Overview

    TolerableFuturism avatar
    TolerableFuturism
    Cybersecurity Strategies and Incident Response
    40 questions

    Cybersecurity Strategies and Incident Response

    CleanBromeliad2518 avatar
    CleanBromeliad2518
    Cybersecurity Incident Response
    34 questions

    Cybersecurity Incident Response

    RicherMercury avatar
    RicherMercury
    Incident Response Management Quiz
    24 questions

    Incident Response Management Quiz

    AdvancedAntigorite3364 avatar
    AdvancedAntigorite3364
    Use Quizgecko on...
    Browser
    Open
    Browser
    Browser