Herramientas de usuario
master_cs:gsi:ginc
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:ginc [2025/10/27 17:29] – thejuanvisu | master_cs:gsi:ginc [2025/10/27 18:42] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 5: | Línea 5: | ||
| * CSIRT: Equipo de respuestas a incidentes de seguridad en computadores (Mercado Europeo) | * CSIRT: Equipo de respuestas a incidentes de seguridad en computadores (Mercado Europeo) | ||
| * CERT: Equipo de respuesta a incidentes en computadores (Mercado Estadounidense) | * CERT: Equipo de respuesta a incidentes en computadores (Mercado Estadounidense) | ||
| + | |||
| + | ===== Incidente de seguridad ===== | ||
| + | Cualquier evento importante que se produzca de forma intencional o accidentada. Hay varios tipos: | ||
| + | * Contenido abusivo | ||
| + | * Contenido malicioso o malware | ||
| + | * Obtención de información | ||
| + | * Acceso indebido o intrusión | ||
| + | * Disponibilidad | ||
| + | * Seguridad/ | ||
| + | * Fraude | ||
| + | * Helpdesk | ||
| + | * Otros | ||
| + | |||
| + | Las amenazas pueden proceder de: | ||
| + | * Crimen organizado | ||
| + | * Agentes gubernamentales | ||
| + | * Hacktivismo | ||
| + | * Amenaza interna | ||
| + | |||
| + | ===== Clasificación de incidentes ===== | ||
| + | * Gravedad: Daño originado a la organización y el caracter de urgencia del mismo | ||
| + | * Orden de prioridad por incidencia. | ||
| + | |||
| + | ===== Respuesta a un incidente ===== | ||
| + | |||
| + | * Controlar y minimizar cualquier tipo de de daño a la organización. | ||
| + | * Coordinar actividades para una recuperación rápida | ||
| + | * Preservación de la evidencia: Logs y evidencias necesarias para trazar los movimientos del atacante. | ||
| + | * Prevenir eventos similares en el futuro, registrando las lecciones aprendidas de estos eventos. | ||
| + | * Compartir información relacionada con estos incidente con otros CSIRT. | ||
| + | ===== Ciber-Resilencia ===== | ||
| + | Capacidad de una organización para resistir ataques y mantenerse en pié. Capacidad de una organización de mantener sus servicios en caso de ataque. | ||
| + | * A nivel europeo,la ENISA (Agencia de Seguridad de las Redes y de la Información de la Unión Europea) creo un programa para mejorar la ciber-resilencia de los estados miembros. | ||
| + | * En 2013 se crea la Estrategia de Ciberseguridad Nacional (ESN) | ||
| + | * También existe un acuerdo entre el ministerio de interior y el ministerio de industria para proteger Infraestructuras Críticas a través del CNPIC (Centro Nacional de Protección de Infraestructuras Críticas). | ||
| + | * Se apoya en el INCIBE, el CCN y las fuerzas y cuerpos de seguridad del estado. | ||
| + | * Busca la protección de todas las infraestructuras críticas y servicios esenciales del pais. | ||
| + | * El CCN-CERT es el CERT regulador del Esquema Nacional de Seguridad (ENS), ofreciendo guías, recomendaciones y herramientas para proteger las administraciones públicas. | ||
| + | * Dispone de guías y medidas para medir la ciber-resilencia de las adminsitraciones públicas. | ||
| + | * INES: Cuadro de mando donde las adminsitraciones públicas vuelcan el estado de la seguridad, de este volcado se saca un informe con un mapa de estado de las organizaciones. | ||
| + | |||
| + | ===== Estrategia de la Unión Europea en cuanto a la ciberseguridad ===== | ||
| + | * Ciber-resilencia | ||
| + | * Reducción drástica de la delincuencia en la red | ||
| + | * Desarrollo de una política de ciberdefensa | ||
| + | * Desarrollo de recursos industriales y tecnológicos necesarios en materia de ciberseguridad | ||
| + | * Establecimiento de una política internacional coherente del ciberespacio de la Unión Europea y la promoción de los valores europeos esenciales. | ||
| + | |||
| + | ===== Organismos de Seguridad en España ===== | ||
| + | * INCIBE (Antes INTECO): Organismo de seguridad dependiende del ministerio de economía y empresa, se encarga de pymes y ciudadanos. | ||
| + | * CNPIC (Centro Nacional para la protección de infraestructuras crítcias) | ||
| + | * CCN (Centro Criptológico nacional): Se encarga de la ciberseguridad de las administraciones públicas y empresas estratégicas | ||
| + | * Mando conjunto de ciberdefensa | ||
| + | * CERT Autonómicos | ||
| + | * Grupo de delitos telemáticos de la guardia civil | ||
| + | * Brigada tecnológica de la policia nacional | ||
| + | * AEPD (Agencia Española de Protección de Datos) | ||
| + | |||
| + | ===== Organismos de gestión de incidentes ===== | ||
| + | * CCN-CERT: Centro de coordinación de incidencias y alertas de seguridad para las administraciones públicas | ||
| + | * INCIBE CERT | ||
| + | * IRIS-CERT (Desaparecido): | ||
| + | * CERT-EU: Cert de la unión europea, coordina el resto de certs nacionales. | ||
| + | |||
| + | ===== ISO27001 vs ISO27032 ===== | ||
| + | * 27001: | ||
| + | * Ambito: global | ||
| + | * Certificable: | ||
| + | * Ibjetivo: ISMS | ||
| + | * Activos: Proporciona un marco detallado para la identificación y clasificación de activos internos | ||
| + | * controles: 93 | ||
| + | * Descripción de controles: breve descripción | ||
| + | * 27032: | ||
| + | * Ambioto: Concreta y especóifica | ||
| + | * Certificable: | ||
| + | * Objetivo: Ciberseguridad | ||
| + | * Activos | ||
| + | * Controles | ||
| + | * Descripción de controles: detallada | ||
| + | |||
| + | ===== Tratamiento de los incidentes ===== | ||
| + | * ISO27001: | ||
| + | * Notificar los incidentes | ||
| + | * Clasificar incidentes en base a su impacto y urgencia | ||
| + | * Tratar los incidentes: ver como contenerlos, | ||
| + | * Cerrar los incidentes: Notificar al que abrió el incidente. | ||
| + | * Registrar la información de lo que se aprende en los incidentes de seguridad. | ||
| + | * Base de datos con los conocimientos | ||
| + | ===== Especialidades en la respuesta a incidentes ===== | ||
| + | * Análisis forense digital: Es necesario conocimiento de informatica forense para analizar los sistemas afectados | ||
| + | * Monitorización: | ||
| + | * SIEM: | ||
| + | * EDR (Endpoint Detection and Response) | ||
| + | * Threat Hunting: Un humano buscando problemas dentro de los logs de los sistemas. Puede llegar a encontrar cosas que igual no detecta un SIEM. | ||
| + | * Ciberinteligencia | ||
| + | |||
| + | ===== Actividades contempladas en un Plan de Respuesta a Incidentes (PRI) ===== | ||
| + | |||
| + | * Constitución de un equipo de respuesta a incidentes (IRT) | ||
| + | * Denominado como CSIRT (Computer Security Incident Response Team) | ||
| + | * Personas con experiencia y formación adecuada en desastres de ciberseguridad. | ||
| + | * Medios técnicos y materiales necesarios para cumplir el objetivo | ||
| + | * Simulacros periódicos | ||
| + | * Presente únicamente en grandes organizaciones. | ||
| + | * SOC vs CSIRT: | ||
| + | * SOC: detección de comportamientos inseguros por parte de los usuarios | ||
| + | * CSIRT: Control de incidentes | ||
| + | * Definición de guía de procedimientos | ||
| + | * Detección de un incidente de Seguridad | ||
| + | * Análisis del incidente | ||
| + | * Contención, | ||
| + | * Identificación del atacante y posibles actuaciones legales | ||
| + | * Comunicación con terceros y relaciones públicas | ||
| + | * Documentación del incidente de seguridad | ||
| + | * Análisis y revisión a posteriori del incidente. | ||
master_cs/gsi/ginc.1761586158.txt.gz · Última modificación: 2025/10/27 17:29 por thejuanvisu
Herramientas de la página
