Clasificación de los incidentes de seguridad informática. Matriz de Incidentes

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Clasificación de los incidentes de seguridad informática. Matriz de Incidentes

Clasificación de los incidentes de seguridad informática. Matriz de Incidentes

Incidentes de seguridad informática

El objetivo principal del Modelo de Gestión de Incidentes de Seguridad Informática es contar con un enfoque estructurado y que se encuentre bien planificado que ayude a manejar de forma adecuada todos los incidentes de seguridad de la información.

Los objetivos que se persiguen son:

  • Establecer los roles y responsabilidades dentro de la empresa para poder evaluar los riesgos.
  • Definir los eventos de seguridad de la información en los que detectar y tratar con eficacia los incidentes de seguridad informática.
  • Identificar los incidentes de seguridad de la información para que sean evaluados y ofrezcan respuesta de forma mucho más eficaz y adecuada.
  • Disminuir los impactos adversos de los incidentes en la empresa y las operaciones de negocios mediante las salvaguardas que se adecuan a cada parte de la respuesta a tal incidente.
  • Consolidar las lecciones que se han aprendido de otros incidentes de seguridad de la información. Con esto el objetivo es incrementar las oportunidades de prevenir la ocurrencia de futuros incidentes, mejorar la implantación y la utilización de salvaguardas y mejorar el esquema general de la gestión de incidentes de seguridad de la información.
  • Establecer los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de todos los incidentes de seguridad de la información, según una base de conocimiento y registro de incidentes y mediante los indicadores del sistema de gestión de seguridad de la información.
  • Definir los procesos de manera formal del reporte y escalada de los incidentes de seguridad.
  • Establecer variables de posibles riesgos, es la posible valoración de aspectos sensibles en los sistemas de información.

 

Para poder conseguir todos estos objetivos, la gestión de incidentes de seguridad de la información en la que se involucra los siguientes procesos de forma cíclica como lo muestra la imagen:

  • Establecer y preparar la gestión del incidente
  • Detectar y analizar
  • Contener, erradicar y recuperar
  • Realizar diferentes actividades post-incidentes

 

Matriz de clasificación de Incidentes

Clase de Incidente

Tipo de Incidente

Descripción

 

1

Contenido Abusivo

Pornografía Infantil – Sexual – Violencia Pornografía infantil, glorificación de la violencia, otros.
Spam «Correo masivo no solicitado», lo que significa que el destinatario no ha otorgado permiso verificable para que el mensaje sea enviado y además el mensaje es enviado como parte de una grupo masivo de mensajes, todos teniendo un contenido similar
Difamación Desacreditación o discriminación de alguien

2

Código Malicioso

Malware, Virus, Gusanos, Troyanos, spyware, Dialler, rootkit Software que se incluye o inserta intencionalmente en un sistema con propósito dañino. Normalmente, se necesita una interacción del usuario para activar el código.
 

3

Recopilación de Información

Scanning Ataques que envían solicitudes a un sistema para descubrir puntos débiles. Se incluye también algún tipo de proceso de prueba para reunir información sobre hosts, servicios y cuentas. Ejemplos: fingerd, consultas DNS, ICMP, SMTP (EXPN, RCPT, …), escaneo de puertos.
Sniffing Observar y registrar el tráfico de la red (escuchas telefónicas o redes de datos).
Ingeniería Social Recopilación de información de un ser humano de una manera no técnica (por ejemplo, mentiras, trucos, sobornos o amenazas).
 

4

Intentos de Intrusión

Intentos de acceso Múltiples intentos de inicio de sesión (adivinar / descifrar contraseñas, fuerza bruta).
Explotación de vulnerabilidades conocidas Un intento de comprometer un sistema o interrumpir cualquier servicio explotando vulnerabilidades conocidas que ya cuentan con su clasificación estandarizada CVE (por ejemplo, el búfer desbordamiento, puerta trasera, secuencias de comandos cruzadas, etc.).
Nueva Firma de Ataque Un intento de usar un exploit desconocido.

5

Intrusión

Compromiso de Cuenta Privilegiada Un compromiso exitoso de un sistema o aplicación (servicio). Esto puede han sido causado de forma remota por una vulnerabilidad conocida o nueva, pero también por un acceso local no autorizado. También incluye ser parte de una botnet.
Compromiso de Cuenta sin privilegios
Compromiso de Aplicación, Bot

6

 

Disponibilidad

 

Ataque de denegación de servicio (DoS / DDoS) Con este tipo de ataque, un sistema es bombardeado con tantos paquetes que las operaciones se retrasan o el sistema falla. Algunos ejemplos DoS son ICMP e inundaciones SYN, ataques de teardrop y bombardeos de mail’s. DDoS a menudo se basa en ataques DoS que se originan en botnets, pero también existen otros escenarios como Ataques de amplificación DNS. Sin embargo, la disponibilidad también puede verse afectada por acciones locales (destrucción, interrupción del suministro de energía, etc.), fallas espontáneas o error humano, sin mala intención o negligencia.
Sabotaje
Intercepción de información

7

Información de seguridad de contenidos

Acceso no autorizado a la información Además de un abuso local de datos y sistemas, la seguridad de la información puede ser en peligro por una cuenta exitosa o compromiso de la aplicación. Además, son posibles los ataques que interceptan y acceden a información durante la transmisión (escuchas telefónicas, spoofing o secuestro). El error humano / de configuración / software también puede ser la causa.
Modificación no autorizada de la información
 

 

8

Fraude

Phishing Enmascarado como otra entidad para persuadir al usuario a revelar un credencial privada.
Derechos de Autor Ofrecer o instalar copias de software comercial sin licencia u otro materiales protegidos por derechos de autor (Warez).
Uso no autorizado de recursos Usar recursos para fines no autorizados, incluida la obtención de beneficios empresas (por ejemplo, el uso del correo electrónico para participar en cartas de cadena de ganancias ilegales) o esquemas piramidales).
Falsificación de registros o identidad Tipo de ataques en los que una entidad asume ilegítimamente la identidad de otro para beneficiarse de ello.

9

Vulnerable

Sistemas y/o softwares Abiertos Sistemas «Open Resolvers», impresoras abiertas a todo el mundo, vulnerabilidades aparentes detectadas con nessus u otros aplicativos, firmas de virus no actualizadas, etc.

10

Otros

Todos los incidentes que no encajan en alguna de las otras categorías dadas Si la cantidad de incidentes en esta categoría aumenta, es un indicador de que el esquema de clasificación debe ser revisado.

11

Test

Para pruebas Producto de pruebas de seguridad controladas e informadas

Fuente: CSIRT

Diplomado ISO 27001 con la Escuela Europea de Excelencia

La evaluación y tratamiento de riesgos en ISO 27001 es un punto fundamental de la norma que será estudiado junto a todos los demás en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización un alumno será capaz de implementar y auditar un SGSI en cualquier tipo de organización.

No dude en convertirse en un experto en seguridad de la información matriculándose en este curso formativo aquí.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…