jueves, 4 de junio de 2009

Análisis forense. Cómo investigar un incidente de seguridad


A pesar de las barreras de protección erigidas para salvaguardar los activos de información, los incidentes de seguridad se siguen produciendo. Estar preparado para reaccionar ante un ataque es fundamental. Una de las fases más importantes de la respuesta a incidentes consiste en la investigación del incidente para saber por qué se produjo la intrusión, quién la perpetró y sobre qué sistemas. Esta investigación se conoce como análisis forense y sus características más destacadas serán explicadas en este artículo.

Un plan de respuesta a incidentes ayuda a estar preparado y a saber cómo se debe actuar una vez se haya identificado un ataque. Constituye un punto clave dentro de los planes de seguridad de la información, ya que mientras que la detección del incidente es el punto que afecta a la seguridad del sistema, la respuesta define cómo debe reaccionar el equipo de seguridad para minimizar los daños y recuperar los sistemas, todo ello garantizando la integridad del conjunto.

El plan de respuesta a incidentes suele dividirse en varias fases, entre las que destacan:

1) respuesta inmediata, para evitar males mayores, como reconfigurar automáticamente las reglas de los cortafuegos o inyectar paquetes de RESET sobre conexiones establecidas;

2) investigación, para recolectar evidencias del ataque que permitan reconstruirlo con la mayor fidelidad posible;

3) recuperación, para volver a la normalidad en el menor tiempo posible y evitar que el incidente se repita de nuevo; y

4) creación de informes, para documentar los datos sobre los incidentes y que sirvan como base de conocimiento con posterioridad, para posibles puntos de mejora y como información para todos los integrantes de la organización. De manera adicional, se hacen necesarios los informes por posibles responsabilidades legales que pudieran derivarse.

Articulo completo...




No hay comentarios: