Tema 5: Detección de Incidentes de Ciberseguridad

Questions and Answers

Qué se debe incluir en los comentarios relacionados con un incidente?

• Las fechas de los eventos en otras empresas
• El historial del servidor afectado
• Las elecciones políticas actuales
• El calendario de eventos y las notificaciones a partes interesadas (correct)

Cuál de las siguientes opciones representa un aspecto evaluado en la severidad de un incidente?

• Opinión de las partes interesadas
• Costos asociados al incidente
• Nivel de severidad en la recuperación (correct)
• Impacto en la reputación de la empresa

Qué representa un 'ticket creado' en el contexto de un sistema TI afectado?

• El momento en que se detecta un incidente (correct)
• La comunicación a todas las partes interesadas
• La resolución total del incidente
• El inicio del proceso de recuperación

Qué evalúa el 'nivel global de severidad' de un incidente?

La combinación de severidades funcional, informativa y de recuperación (C)

Cuál de las siguientes afirmaciones es cierto respecto a un 'incidente mayor'?

Se considera cuando el impacto es significativo (B)

¿Cuál es el propósito principal de la comunicación a las partes interesadas tras un incidente de ciberseguridad?

Ser clara, concisa y centrada en la resolución del problema. (D)

¿Qué debe incluir el plan de acción creado tras un ciberincidente?

Acciones asignadas a personas con prioridades y fechas de finalización. (A)

¿Qué se debe hacer con la documentación de los incidentes de ciberseguridad?

Mantenerla almacenada de manera segura y accesible. (A)

¿Quiénes deben ser considerados partes interesadas en el informe de incidentes?

Las partes interesadas internas y externas relevantes, incluyendo alta dirección. (A)

¿Qué se debe evaluar en el análisis del incidente de ciberseguridad?

Las carencias técnicas y las deficiencias en personas o procesos. (B)

Flashcards

Comunicación de ciberincidentes

Es la transmisión clara y concisa de información sobre incidentes de ciberseguridad a todas las partes interesadas, enfocándose en la resolución de problemas y la mejora del control.

Plan de acción para incidentes

Documento que explica cómo la organización utilizará las lecciones aprendidas de un incidente de ciberseguridad para fortalecerse ante futuros ataques.

Análisis de incidentes de ciberseguridad

Evaluación que determina si la causa del incidente fue un error técnico, o problemas con las personas o procesos.

Seguimiento de acciones

Monitoreo del progreso de las medidas tomadas para solucionar los incidentes de ciberseguridad, asegurándose de que se completen oportunamente.

Informe final de incidentes

Documentación completa de incidentes de ciberseguridad y las acciones tomadas, para futuras referencias e informes.

¿Qué información es crucial para documentar un incidente?

Es importante registrar el ticket del incidente, el identificador, el evento detectado, la regla o evento del SIEM que lo activó, la unidad de negocio afectada, el sistema TI implicado, los comentarios y las fechas de creación y cierre del ticket.

Severidad funcional

Describe la gravedad del impacto del incidente en la funcionalidad normal de los sistemas o aplicaciones.

Severidad de la información

Evalúa el riesgo de pérdida o compromiso de la información confidencial debido al incidente.

Severidad de la recuperación

Mide el esfuerzo y el tiempo necesarios para restaurar los sistemas afectados al estado previo al incidente.

Incidente mayor

Un incidente que causa un impacto significativo y requiere una respuesta inmediata por parte de la organización.

Study Notes

Tema 5. Detección y documentación de incidentes de ciberseguridad

• Introducción a la unidad formativa: La unidad formativa 5 "Vuelta a la normalidad" trata las actividades post-incidente, el análisis del incidente y las lecciones aprendidas, el informe final, la comunicación del incidente y la implantación de ciberresiliencia en la organización.

5.1. Introducción a la unidad formativa

• Actividades post-incidente: Incluyen el post-análisis del incidente, las lecciones aprendidas, el informe final y la comunicación del incidente, así como la implantación de capacidades de ciberresiliencia.

• Análisis del incidente y lecciones aprendidas: La fase de investigación post-incidente, las acciones de mejora y la recopilación de evidencias.

• Informe final y comunicación de ciberincidentes: El seguimiento y la realización del informe final del incidente, plantillas para la implementación y el plan de comunicación para un ciberincidente.

• Implantación de capacidades de ciberresiliencia: Se desarrollan medidas proactivas y preventivas a partir de las lecciones aprendidas para enfrentar incidentes futuros, enfocándose en la seguridad mediante la utilización de una honeynet.

5.2. Análisis del incidente y lecciones aprendidas

• Investigación posincidente: Una vez resuelta la recuperación, es necesaria una investigación más profunda para determinar la causa raíz del problema, el alcance del impacto empresarial (finanzas, reputación, etc.) y la autoría del incidente.

• Lecciones aprendidas: Los incidentes de ciberseguridad deben analizarse y las lecciones extraídas para evaluar posibles mejoras en las estrategias o prácticas de seguridad.

• Revisión del incidente: La evaluación del incidente debe llevarse a cabo para determinar las acciones incorrectas, y las mejoras necesarias para futuros incidentes.

5.3. Informe final y comunicación de ciberincidentes

• Seguimiento e Informe final del incidente: Se debe documentar todos los incidentes, las medidas tomadas y la comunicación a las partes interesadas internas y externas.

• Informe documentado: Se debe crear un informe documentado del incidente con la descripción completa del incidente, su historia, causas, y las medidas tomadas.

• Partes interesadas: El informe debe dirigirse a las partes interesadas internas y externas de forma efectiva.

• Plantilla de informe pos-incidente: Incluye información sobre el incidente, la evaluación de la severidad e impacto, y las causas raíz.

5.4. Implantación de capacidades de ciberresiliencia

• Principios básicos: Se amplían los métodos de acceso a la infraestructura con sistemas en la nube, redes sociales, dispositivos móviles y la política BYOD.

• Ataques persistentes avanzados (APT): Los atacantes cada vez son más expertos.

• Ciberresiliencia: La capacidad para anticipar, resistir, recuperarse y adaptarse a situaciones adversas, ataques o compromisos en los sistemas.

5.5. Ciberresiliencia

• Componentes de estrategias de ciberresiliencia: Incluir la identificación de métodos para prevenir la ocurrencia de incidentes, la integración de la gestión de incidentes en otros esfuerzos empresariales, y el despliegue de controles técnicos reforzados para la detección y respuesta a incidentes.

• Aspectos clave: Centrarse en las misiones o funciones esenciales de la organización.

• Asumir las amenazas: Reconocer y aceptar la posibilidad de que el adversario perpetúe la presencia en el sistema.

Description

En esta unidad formativa, exploraremos las actividades necesarias tras un incidente de ciberseguridad, incluyendo el análisis del incidente, las lecciones aprendidas, y la creación de informes finales. También discutiremos cómo comunicar efectivamente los incidentes y cómo implementar capacidades de ciberresiliencia en una organización.