1. Habilidades profesionales:

2. Coordinación y cooperación:

3. Tramitación de pruebas:

•Evidencia digital: como registros, grabaciones, archivos informáticos y componentes de sistemas informáticos. Como la memoria o el disco duro.

·Materiales impresos: como documentos impresos, notas escritas a mano, informes en papel, etc.

•Si se trata de un delito penal, deberá contar con profesionales con experiencia en aplicación de la ley, y el papel del CISSP es apoyar y cumplir con cualquier solicitud de estos profesionales.

Al realizar una respuesta a incidentes, la recopilación de pruebas digitales es extremadamente importante. La evidencia digital suele ser efímera, por lo que debe recopilarse lo más rápido posible para garantizar la integridad de la evidencia.

Para garantizar la integridad de la evidencia, estas son algunas de las mejores prácticas:

•La análisis forense digital y respuesta a incidentes (DFIR) es un proceso que implica recopilar y analizar evidencia digital para investigar y responder a incidentes de seguridad.

•El manejo de evidencia digital requiere seguir ciertos procesos y estándares, como ISO/EC 27037:2012 y NISTSP 800-86.

•Es muy importante mantener una buena cadena de custodia, incluido el registro de todos los procesos de evidencia desde la recolección hasta el análisis, para garantizar la integridad y confiabilidad de la evidencia.

La naturaleza distribuida y el alcance global de la computación en la nube presentan desafíos únicos para la ciencia forense digital. Al recopilar evidencia de entornos de nube, se deben considerar cuestiones legales y técnicas, incluidas cuestiones relacionadas con la soberanía y jurisdicción de los datos.

•Exactitud:

•Autenticidad:

•Comprensibilidad:

•Convincente:

•Objetivo:

•Admisible:

1. Captura de datos

2.Entrevista

3.Interrogatorio

4. Solicitudes externas

•Herramientas forenses: estas herramientas incluyen software y equipos para el seguimiento y gestión de casos, estaciones de trabajo y áreas de trabajo segregadas y dedicadas al trabajo forense para evitar la contaminación de las pruebas bajo investigación. Algunas herramientas específicas pueden incluir bloqueadores de escritura y generadores de imágenes, contenedores de Faraday y herramientas de grabación de vídeo y audio.

Pasos generales del procedimiento para el análisis forense:

La naturaleza de la computación en la nube dificulta la recopilación de pruebas y pueden surgir cuestiones jurisdiccionales.

Principalmente detectando y generando alertas.

Una vez que se detecta una intrusión, se toman una variedad de acciones proactivas, como: implementar reglas de firewall para bloquear el tráfico malicioso, restaurar archivos a su estado anterior a la corrupción e incluso cerrar aplicaciones, servicios o servidores para evitar más intrusiones.

IDS e IPS se pueden implementar como variantes basadas en red (NIDS y NIPS) o basadas en host (HIDS y HIPS).

• Detección basada en patrones de comportamiento, observando si el tráfico se desvía de las líneas de base esperadas

•Detección basada en firmas, que analiza el tráfico de red o la actividad del host en busca de patrones de ataque conocidos.

Demasiados falsos positivos no son algo bueno. Por lo tanto, cuando se utilizan IDS e IPS, es necesario calibrarlos de acuerdo con la actividad básica de una organización específica y evitar ataques DoS accidentales tanto como sea posible.

1. Centralización: archivos de registro agregados dispersos en diferentes sistemas en una biblioteca central para su análisis y monitoreo.

2. Estandarización: convierta los datos de registro generados por diferentes sistemas en un formato consistente para búsqueda y correlación.

3 Correlación y detección: Correlación a través de datos especiales para detectar los límites en el sistema con las empresas de seguridad que operan en el sistema.

4. Alertas: una vez que los datos se analizan y procesan, SIEM generará automáticamente alertas para incitar a los analistas a investigar, mejorando la eficiencia de la detección y respuesta a incidentes de seguridad.

Definición del punto de referencia: el monitoreo efectivo requiere un conjunto de medidas de referencia para una comparación continua, que puede basarse en un marco de cumplimiento reconocido (como PCI-DSS, NIST SP 800, etc.) o una línea de base del sistema (como CIS).

Automatización: para un monitoreo continuo, confíe en herramientas automatizadas como las herramientas de detección y respuesta de endpoints (EDR) y las herramientas de análisis del comportamiento de usuarios y entidades (UEBA).

Frecuencia: La frecuencia del monitoreo debe determinarse en función de la prioridad del control y los costos evaluados. Esto requiere sopesar los riesgos y el uso de recursos.

Métricas apropiadas: Las métricas definidas para un programa de monitoreo continuo deben proporcionar información procesable sobre la efectividad de los controles. Esto requiere garantizar que las métricas sean mensurables para poder realizar un seguimiento y mejorar.

Plan de acción claro: si se descubren problemas durante el seguimiento, debe haber un plan de acción claro para resolverlos. Esto incluye la localización de problemas, la resolución y el seguimiento.

Equilibrio entre costo y valor: el costo de un programa de monitoreo continuo debe equilibrarse con el valor obtenido del mismo. Esto requiere una evaluación integral de los beneficios esperados versus los costos de implementación para garantizar que la inversión esté justificada.

Una violación de datos ocurre cuando información confidencial se transmite ilegalmente y sale de una red. Los atacantes pueden aprovechar puertos, protocolos y servicios estándar, como correo electrónico, FTP o HITTP, para enviar datos. A veces, incluso disfrazan sus actividades disfrazando los datos como fuentes de datos comunes de alto tráfico, como el tráfico HTTP.

Las herramientas DLP pueden identificar y administrar tipos específicos de datos, como escanear la red en busca de datos confidenciales desconocidos almacenados en la red, identificar datos confidenciales que se transmiten a través de la red y generar alertas cuando se intenta copiar archivos de archivos compartidos. Estas herramientas pueden bloquear temporalmente dichas acciones y pedirle al usuario que confirme si realmente desea enviar el archivo, o incluso pueden impedir dichas acciones por completo.

El objetivo de la vigilancia demográfica es identificar los datos que ingresan a la red y evitar que ingresen a la red mensajes que contengan datos confidenciales, como correos electrónicos.

Las estrategias para el monitoreo de entrada y salida física incluyen inspeccionar los medios físicos que ingresan y salen de las instalaciones para garantizar que la transmisión de datos no viole las políticas de la organización.

Brix es una fuente crítica de información para las actividades de aplicación de la seguridad, incluido el monitoreo continuo y la respuesta a incidentes (IR). Se pueden utilizar marcos como IS027001 y NIST SP 800-53 para desarrollar una estrategia de registro. NIST SP 800-92 proporciona requisitos básicos para la gestión de datos de registros de seguridad y procesos para estandarizar y desagregar la información recopilada.

Una empresa u organización necesita determinar qué eventos deben registrarse y cuáles pueden ignorarse. Esto debe sopesarse con las estrategias de riesgo y seguridad para garantizar que los datos de registro no sean redundantes ni carezcan de información crítica.

Los registros deben registrar suficientes detalles para reconstruir las operaciones en el sistema de información, incluido quién realizó las operaciones, qué hicieron y cuándo tuvieron lugar. Los puntos de datos comunes incluyen ID de usuario o proceso, marcas de tiempo, identificadores de dispositivo, nombres de objetos, identificadores de políticas, etc.

Los datos de registro pueden contener información confidencial, por lo que es necesario garantizar su confidencialidad e integridad. Puede proteger la integridad de los medios de almacenamiento de datos escribiendo archivos de registro en medios de almacenamiento de alta integridad, como los discos WORM. Para los registros de aplicaciones que pueden contener información confidencial, es necesario restringir el acceso para proteger la confidencialidad de los datos.

El volumen de datos de registro aumenta con el tiempo, lo que requiere una planificación de la capacidad. Para los registros locales almacenados en el servidor, puede implementar un período de retención más corto para ahorrar espacio. Los registros almacenados en una herramienta SIEM se pueden conservar durante meses, años o incluso para siempre. Los datos de registro también se pueden archivar utilizando métodos de almacenamiento fuera de línea y de bajo costo para proporcionar costos más bajos y un acceso más lento.

La inteligencia de amenazas es una estrategia preventiva que ayuda a los profesionales de la seguridad a identificar y predecir amenazas y atacantes que pueden atacar sus organizaciones. Esta inteligencia se puede integrar con SIEM y SOAR, y las fuentes incluyen, entre otras, proveedores comerciales de inteligencia sobre amenazas, agencias gubernamentales (como CISA en los Estados Unidos), centros de análisis e intercambio de información de la industria (ISAC) y la web profunda, la oscuridad. web, redes sociales o blogs, etc.

La búsqueda de amenazas es una estrategia de defensa proactiva que utiliza análisis manual y herramientas automatizadas para encontrar y analizar datos de amenazas para detectar y defenderse proactivamente contra amenazas dentro y fuera de la organización. Esto se puede hacer en los siguientes tres niveles:

UEBA es una solución de seguridad que utiliza modelos de análisis estadístico y aprendizaje automático para definir una línea base de comportamiento normal o esperado de usuarios y entidades con sistemas de información. Cualquier desviación de esta línea de base esperada se marcará como sospechosa y se utilizará como entrada para otras herramientas de seguridad para análisis posteriores.

En este contexto, las entidades se refieren a actores no humanos en la red, incluido el hardware (como enrutadores y servidores), así como procesos, subprocesos o demonios de software. Un usuario es un usuario humano que inicia sesión e interactúa con un sistema de información.

UEBA proporciona adaptabilidad y monitoreo de seguridad más granular, lo que permite personalizar las políticas de seguridad en función de las necesidades únicas de cada organización. Este enfoque puede evitar restricciones e impactos innecesarios en actividades comerciales legítimas, al tiempo que mejora la rentabilidad de las herramientas de seguridad.

Los resultados de monitoreo generados por UEBA pueden servir como información útil para otras herramientas de seguridad como SOAR o IPS, activando respuestas automatizadas y controles de seguridad. Por ejemplo, si se detecta una máquina potencialmente infectada, podría activar medidas de cuarentena de red o suspender las credenciales de acceso de un usuario para limitar el daño potencial que la actividad maliciosa puede causar a una organización.

La configuración es el primer paso en la gestión de la configuración. Por lo general, esto implica el uso de una imagen de referencia previamente aprobada que satisfaga las necesidades de la organización en cuanto a configuración de hardware y software, lo que permite una rápida implementación de sistemas operativos y software. Esto reduce el tiempo de instalación y posibles errores.

Para aprovisionar eficazmente, las organizaciones deben tener una comprensión clara de todos sus activos, incluidos hardware, software, servicios en la nube y más. Esto se puede lograr mediante un control de inventario de activos proactivo y reactivo. El control de inventario proactivo registra información detallada a medida que se compran hardware y software, mientras que el control de inventario reactivo agrega activos desconocidos al inventario a medida que se descubren.

Una vez que se comprenden todos los activos, una organización puede establecer una línea de base, que es un conjunto establecido de estándares organizacionales utilizados para garantizar que los sistemas estén configurados para cumplir con esos estándares. Sin embargo, las líneas de base no son estáticas. A medida que cambian las funciones del sistema, las versiones del sistema, las aplicaciones de parches y los entornos operativos, es posible que sea necesario ajustar la línea base. Esto requiere un proceso de gestión de cambios cuidadosamente diseñado para garantizar que los cambios en la línea de base se planifiquen, prueben e implementen cuidadosamente.

•Guías de implementación técnica de seguridad de la Agencia de Sistemas de Información de Defensa (DISA STIG)

• Punto de referencia de la CEI

•Orientación proporcionada por proveedores (por ejemplo: Microsoft, Alibaba Cloud, etc.)

•automatización:

Este es un principio de seguridad de la información que se centra en la idea de que solo aquellos que deben acceder a información específica debido a responsabilidades laborales o requisitos de la misión deben tener acceso a esa información. En pocas palabras, si alguien no necesita utilizar la información para su función laboral, entonces no debería tener acceso a ella.

Este es otro principio de seguridad de la información que enfatiza limitar el acceso de los usuarios tanto como sea posible, otorgándoles sólo los derechos mínimos que absolutamente necesitan para realizar su trabajo. Hacerlo reduce el riesgo que puede surgir por abuso de privilegios o si el sistema se ve comprometido.

Se refiere a la separación de diferentes pasos de un proceso empresarial entre varias personas para evitar que una persona tenga demasiados permisos o capacidades, reduciendo así el riesgo de amenazas internas y actividades fraudulentas.

El control multijugador significa que se requiere más de una persona para realizar una acción o tarea. No significa necesariamente que estas personas tengan los mismos o diferentes privilegios, solo que, en aras del equilibrio, la acción o tarea debe ser realizada por varias personas.

El control de M de N también es similar al control de varias personas, pero solo requiere que M de N personas que sean capaces de realizar tareas relacionadas trabajen juntas para completar el proceso.

Los permisos de operación (permisos) que generalmente se otorgan a los usuarios en el sistema. Estos permisos pueden incluir lectura, escritura, modificación de archivos, ejecución de programas, acceso a recursos específicos, etc.

Se trata de una cuenta con privilegios especialmente altos en el sistema, normalmente una cuenta de administrador del sistema o de superusuario. Los permisos de estas cuentas pueden incluir cambiar la configuración del sistema, instalar software, administrar cuentas de usuario, etc.

•Configuración: Los usuarios que requieren acceso privilegiado deben someterse a una investigación rigurosa para garantizar que tengan necesidades legítimas y que sean confiables.

•Uso: Las cuentas privilegiadas deben tener pasos de autenticación adicionales, como la autenticación multifactor obligatoria, el uso de la cuenta debe tener un límite de tiempo y caducar automáticamente, y todas las operaciones deben registrarse.

•Auditoría: Se deben realizar comprobaciones de registro automáticas o manuales de cuentas privilegiadas con regularidad para detectar cualquier comportamiento inusual o sospechoso.

Cancelación de aprovisionamiento: al cancelar el aprovisionamiento de una cuenta privilegiada, es mejor suspender o desactivar primero la cuenta y luego realizar una revisión para determinar si es necesario cancelar el aprovisionamiento de la cuenta de forma permanente.

1) Brinda oportunidades de capacitación cruzada, brindando a los empleados la oportunidad de mejorar sus habilidades y brindando más flexibilidad a la organización.

2) Mitigar amenazas internas como el fraude.

Es un acuerdo firmado entre una organización y un proveedor, que estipula los indicadores de disponibilidad y desempeño que deben cumplir los productos o servicios proporcionados por el proveedor, así como las responsabilidades y obligaciones de ambas partes. Normalmente, los SLA contendrán cláusulas de penalización para garantizar que el proveedor pueda cumplir sus compromisos y también para alentarlo a proporcionar mejores productos o servicios.

1) Tipos de medios: incluidos registros en papel, unidades de disco duro (HDD), unidades de estado sólido (SSD) y almacenamiento en entornos de nube.

2) Clasificación de datos: Clasifique los datos de acuerdo con la política de clasificación de la organización para sentar las bases para seleccionar las medidas de control adecuadas.

3) Etiquetado y Marcado: Todos los medios deben estar etiquetados para mostrar el nivel de clasificación de los datos que contienen. En diferentes circunstancias, se pueden utilizar marcas de agua, encabezados/pies de página de archivos o metadatos para marcar.

4 Procesamiento: Los usuarios deben recibir capacitación sobre los niveles de clasificación y los procedimientos de procesamiento de medios. Los procedimientos de procesamiento pueden incluir cómo manejar datos confidenciales, cumplir con los requisitos de destrucción, etc.

·Implementar controles de seguridad: Aplicar las medidas de control de seguridad necesarias según la clasificación de los datos, registrar los procesos y procedimientos correspondientes y capacitar a los usuarios.

•Principio de Mínimo Privilegio: Limitar el acceso a los medios e implementar medidas de seguridad física.

•Protección física: centrarse en la protección física para abordar riesgos potenciales, como equipos perdidos o robados. Los controles compensatorios, como el cifrado de disco, garantizan la confidencialidad de los datos.

•Transport Butterfly: Garantiza la seguridad de los medios en tránsito mediante cifrado, verificación de hash y medidas de protección física.

•Desinfección y eliminación: Elija el método de desinfección y eliminación adecuado según sus necesidades, como recubrimiento, desmagnetización, destrucción física o trituración criptográfica. En las soluciones de almacenamiento en la nube, el borrado criptográfico puede ser el único método de seguridad viable.

•Gestión de proveedores: garantizar que los proveedores de destrucción cumplan con los contratos y acuerdos de nivel de servicio, incluidos los estándares de seguridad física y los requisitos de seguro.

•Eventos: elementos observables, como operaciones regulares. Normalmente no se requiere ninguna acción adicional.

• Incidentes: Eventos no planificados que tienen un impacto adverso en la organización y requieren que el personal de TI, operaciones y seguridad investiguen y remedien conjuntamente.

•Documentar las herramientas, recursos y procesos necesarios para identificar, clasificar y remediar el impacto de un incidente.

•Contiene definiciones de tipos de incidentes, personal del equipo de respuesta a incidentes, funciones y salarios, recursos necesarios y procesos de gestión de incidentes.

•El marco de respuesta a incidentes enfatiza la planificación de incidentes con anticipación y el desarrollo de estrategias de respuesta apropiadas. Tales como: TL, NIST, ISACA

•Categorizar y priorizar según la criticidad, el impacto y la urgencia.

Muchas organizaciones utilizan (P0-P5) para clasificar incidentes. P0 es el más crítico y P5 es el menos crítico, pruebas y ejercicios de respuesta a incidentes:

•Pruebe el plan en situaciones que no sean de emergencia para identificar lagunas, descuidos o problemas.

•Reducir la confusión o el desperdicio durante un incidente real capacitando a los miembros del equipo de respuesta a incidentes sobre sus responsabilidades mediante simulacros.

•Asegurar la adecuada coordinación con proveedores de servicios externos para permitir que la organización continúe operando.

•El plan de respuesta a incidentes debe identificar proveedores de servicios externos clave o terceros y documentar la información de contacto.

•Aclarar los roles y responsabilidades de terceros para que los equipos internos y terceros puedan colaborar para manejar incidentes.

1) Identificar los procesos de RI que necesitan mejoras;

2) Abordar la causa subyacente o raíz para evitar que el incidente vuelva a ocurrir.

1•Inspección estática de paquetes (sin estado): Esta es la primera generación de firewalls que se centra en el filtrado basado en reglas de la información del encabezado de los paquetes.

2. Firewall con estado: basado en la primera generación, el firewall de segunda generación agrega una comprensión del contexto de comunicación (estado) y proporciona una protección más flexible e inteligente.

3. Firewall de aplicaciones web (WAF) y puerta de enlace API: estos tipos específicos de firewalls no corresponden directamente a una determinada generación de firewalls, sino que son soluciones dedicadas para escenarios de aplicaciones específicos (como aplicaciones web y API).

4. Firewall basado en host: tampoco corresponde directamente a una determinada generación de firewalls, sino que es una protección implementada en un único host para proporcionar una capa adicional de seguridad más allá del firewall de la red.

5. Firewall de próxima generación (NGFW): a menudo considerado la tercera generación de firewalls, integra múltiples funciones de seguridad. Como firewall con estado, puerta de enlace API, detección de intrusiones y servicios VPN, etc., que proporcionan un firewall de seguridad de red más completo.

Este concepto surge en entornos de nube y redes definidas por software (SDN) y no está directamente relacionado con una generación de firewall específica. Son funcionalmente similares a los firewalls pero son más flexibles y escalables en entornos virtualizados.

1. Función: Detectar intentos de intrusión en el sistema.

2. Tipo:

3. Cómo funciona: un dispositivo pasivo que analiza el tráfico o la actividad y detecta actividad que coincide con patrones maliciosos o se desvía del funcionamiento normal o esperado del sistema.

4. Respuesta: Genera una alerta que requiere acción humana.

1. Función: Detectar y reaccionar ante intentos de intrusión en el sistema.

2. Tipo:

3. Cómo funciona: un dispositivo activo que analiza el tráfico o la actividad y detecta actividad que coincide con patrones maliciosos conocidos o que se desvía del funcionamiento normal o esperado del sistema.

•Respuesta: tomar acciones preventivas automáticamente, como implementar nuevas reglas de firewall.

1. NIDS/NIPS

2.ESCONDICIONES/CADERAS

•Costos mas bajos

•Conocimiento experto

•Control inferior

•Riesgo de que terceros sean atacados

• Gastos generales adicionales de gestión de terceros.

•Centro de Operaciones de Seguridad (SOC): operaciones SOC parcial o totalmente subcontratadas

• Análisis forense digital y respuesta a incidentes (DFIR): como una extensión de la vigilancia continua, proporcionada por MSSP

Inteligencia de amenazas: proporciona información sobre amenazas potenciales a la organización, que se puede combinar con monitoreo continuo, evaluación de riesgos y tecnología SOAR.

Es un entorno aislado con capacidad limitada para conectarse a recursos fuera del entorno sandbox.

•Análisis de virus: Ejecutar malware en máquinas virtuales aisladas. Prevenir la infección de otros sistemas.

•Prueba de concepto: Experimentar en un entorno aislado sin afectar la integridad de los datos del sistema de producción.

Controle el comportamiento del tiempo de ejecución de la aplicación mediante un conjunto restrictivo de reglas

Ejemplo: el sistema iOS de Apple restringe el acceso de las aplicaciones a datos y funciones

Añade una capa extra de seguridad a tu smartphone

Se instala una aplicación específica en el teléfono del usuario que permite el acceso a los datos de la organización pero restringe el acceso a los datos externos.

•Información utilizada para detectar o recopilar intentos no autorizados de acceder a datos y sistemas de información.

Los Honeypots parecen ser recursos valiosos, pero en realidad no contienen datos importantes.

•Distraer a los atacantes y proteger objetivos de alto valor

•Recopilar información del atacante, como la dirección IP.

•Existen problemas legales con respecto al uso de honeypots/honeynets en diferentes jurisdicciones, particularmente con respecto al atrapamiento.

• Proporciona una forma sencilla de implementar y monitorear dispositivos honeypot

•Manejar los desafíos legales relacionados con los honeypots y evitar problemas de trampas.

• Las alertas generadas se pueden integrar en herramientas SIEM o SOAR

El primer software antivirus (A/V), a medida que evolucionaron las amenazas, fue reemplazado gradualmente por software antimalware (A/M).

Adopte un modelo de defensa en capas para garantizar que el tráfico y la actividad se analicen minuciosamente para detectar comportamientos no deseados.

Se puede implementar en recursos críticos como servidores de correo electrónico, servidores para compartir archivos y herramientas de monitoreo de red.

•Solución de detección y respuesta de endpoints (EDR): combina capacidades A/M, firewall de host, monitoreo de integridad de archivos y UEBA

•Servicio administrado de detección y respuesta (MDR): combina capacidades de detección con servicios de seguridad de terceros para abordar los riesgos de seguridad de los endpoints.

• Herramientas basadas en firmas: encuentre archivos específicos o patrones de actividad asociados con malware conocido

•Detección heurística: se basa en el análisis estadístico de patrones de actividad para detectar comportamientos potencialmente maliciosos.

• Acciones posteriores a la detección: poner en cuarentena archivos o sistemas afectados, generar alertas

•Integración de alertas: integre con herramientas SIEM para monitoreo y respuesta centralizados, o con SOAR para respuesta automatizada a incidentes

• Detectar y responder a incidentes más rápido

•Si se configura correctamente, el error humano se puede eliminar de la toma de decisiones.

La naturaleza de caja negra de la toma de decisiones: es difícil detectar errores o comprender el resultado, por lo que tomar medidas basadas en alertas puede resultar difícil. Debemos ser cautelosos al tratar con nuevas tecnologías.

•Caza de amenazas: búsqueda de amenazas que puedan explotar vulnerabilidades desconocidas.

•Análisis de vulnerabilidades: detecta automáticamente vulnerabilidades conocidas, como configuraciones inseguras o software sin parches.

•Confrontación rojo-azul: el equipo rojo realiza pruebas de objetivos en activos específicos y el equipo azul realiza la defensa.

•Pruebas de penetración y recompensa de errores: pruebas manuales para encontrar vulnerabilidades.

•Automatizar los procesos y flujos de trabajo de gestión de vulnerabilidades utilizando herramientas SOAR.

1) Cree una solicitud de cambio: documente el propósito, la justificación, la persona responsable, los recursos necesarios y el impacto esperado del cambio.

2) Revisión de cambios: el comité de control de cambios o la junta asesora de cambios (CCB o CAB) lleva a cabo una revisión para evaluar el valor comercial, el impacto y los riesgos potenciales del cambio.

3) Aprobación del Cambio: Ejecutado por el responsable según el plan registrado.

4) Coordinar cuestiones de seguridad: garantizar que se sigan los procesos relevantes durante la adquisición e implementación de nuevo hardware.

•Cambios estándar: bajo riesgo, poco probable que tenga un impacto negativo, aprobado previamente. Por ejemplo: aplique parches estándar, agregue activos estándar e instale software aprobado.

•Cambios normales: requieren un proceso completo de gestión de cambios. La implementación está programada de acuerdo con las reuniones periódicas del Comité de Cambio.

•Cambios de emergencia: Responder a emergencias, como incidentes de seguridad. Se pueden emplear procesos de toma de decisiones simplificados o más livianos para equilibrar la seguridad y la velocidad.

Relevante para los objetivos de seguridad de disponibilidad, identifique activos y funciones críticas a través del análisis de impacto comercial (B/A) y diseñe estrategias de recuperación para equilibrar las necesidades y los costos de disponibilidad.

•Objetivo de tiempo de recuperación (RTO): el tiempo necesario para restaurar un sistema o proceso mediante procedimientos de emergencia.

•Objetivo de punto de recuperación (RPO): la cantidad de pérdida de datos que se puede tolerar en caso de un desastre.

•Tiempo de inactividad máximo tolerado (MTD o MAD): el tiempo que una organización puede sobrevivir sin que un activo o proceso esté disponible para su uso.

•Copia de seguridad completa: realizar una copia de seguridad de todos los datos lleva más tiempo y ocupa más espacio.

• Copia de seguridad incremental: realiza una copia de seguridad de los datos que han cambiado desde la última copia de seguridad completa o incremental. Es la más rápida pero la que tarda más en restaurarse.

•Copia de seguridad diferencial: realiza una copia de seguridad de todos los datos que han cambiado desde la última copia de seguridad completa, más rápido y con menores requisitos de almacenamiento.

Mantenga al menos tres copias de los datos, dos copias se almacenan localmente o en el sitio, incluida la copia de los datos maestros, y una copia se almacena en una copia de seguridad remota fuera de línea.

Integridad y confidencialidad de la copia de seguridad:

•Servicios en la nube, como software como servicio (SaaS), configurados para alta disponibilidad, replicación automática de datos y persistencia de datos.

•Utilizar infraestructura como servicio (laas) o plataforma como servicio (paas) como solución de almacenamiento de respaldo.

•Evaluar el equilibrio entre la pérdida de control de datos físicos y el ahorro de costos al utilizar servicios en la nube. Cifrar datos antes de almacenarlos en un entorno de nube puede ser una medida de seguridad eficaz.

•Sitio frío: Instalación vacía, requiere configuración de equipos y servicios públicos, mayor tiempo de recuperación y menor costo.

•Sitio cálido: Cuenta con algunos equipamientos y requiere cierto grado de construcción.

·Sitio activo: Tiene las mismas instalaciones y datos que el sitio principal, es costoso pero ayuda a cumplir el RTO o RPO a corto plazo.

· Ventajas: Metadatos integrados para sitios de multiprocesamiento. Tiene alta confiabilidad.

•Desventajas: Mayores costos de alquiler, personal y equipos.

Se refiere a la capacidad del sistema para resistir fallas y se basa en un diseño que toma en cuenta las fallas e incorpora acciones correctivas.

Proporcione redundancia y redireccionamiento dinámico a través de tecnologías como balanceadores de carga o agrupación en clústeres para garantizar la disponibilidad continua del sistema.

Una función en la tecnología de red que prioriza el tráfico importante, como los datos de misión crítica o urgentes.

Según los niveles del Uptime Institute, diferentes niveles de centros de datos pueden proporcionar distintos grados de tiempo de actividad garantizado ante una interrupción.

Sistemas que pueden tolerar fallas de hardware, software o procesamiento de datos y continuar operando, como sistemas RAID y de bases de datos.

1. Los profesionales de la seguridad suelen ser responsables de la respuesta inicial a situaciones de desastre.

2. Las acciones necesarias para responder a un desastre varían según el tipo de desastre. Las personas tienen capacidades limitadas para tomar decisiones durante situaciones estresantes, por lo que es mejor tener planes de respuesta y acción preaprobados en los planes de recuperación ante desastres y continuidad del negocio.

3. Algunas tareas que deben abordarse en el plan incluyen:

4 Documentar todas las operaciones para respaldar las revisiones posteriores al desastre y proporcionar la evidencia requerida para seguros o acciones legales.

•Incluye empleados y gerencia que necesitan saber información sobre el incidente y cómo participar en la respuesta.

•Los métodos de comunicación pueden ser activos (como una cadena telefónica) o pasivos (como mensajes publicados en un sitio web).

•El método de comunicación elegido debe tener en cuenta la importancia de la persona que lo recibe y el mensaje que se transmite.

•Incluye clientes, público, socios comerciales y proveedores afectados por emergencias organizacionales.

•Las obligaciones legales o contractuales pueden dictar cómo se realizan las comunicaciones con partes interesadas externas, como avisos de privacidad en caso de una violación de datos.

•Utilizar métodos de comunicación activos y pasivos según corresponda, como notificar proactivamente a los clientes o emitir nuevas consultas.

•La comunicación sigue el principio de una sola voz: la organización debe tener una voz unificada cuando se comunica con partes interesadas externas (como los medios de comunicación o el público), y este principio debe incluirse como parte de la capacitación.

•Al igual que en una evaluación de riesgos, el objetivo principal es identificar impactos y priorizar las respuestas.

•Es necesario determinar la naturaleza y el origen del desastre (por ejemplo, provocado por el hombre o natural) y la prioridad de las acciones de recuperación (como la evacuación del personal o el cierre gradual y la reubicación del equipo en instalaciones de respaldo).

•El proceso de evaluación puede ser continuo y el equipo de respuesta debe identificar los impactos actuales y posibles futuros del evento o desastre.

•Debe comunicarse a la gerencia y a los tomadores de decisiones para determinar la dirección correcta de acción.

•Si existe un buen plan BCDR, la respuesta debe seguir ciertos procedimientos o pasos y adaptarse al desastre específico.

• Estos pasos deben priorizar la vida, la salud y la seguridad, y al mismo tiempo considerar el impacto en los clientes, las obligaciones regulatorias y los costos directos e indirectos (como la pérdida de ingresos y el daño a la reputación).

•Después de la recuperación, evalúe el impacto general del desastre o evento.

•La evaluación debe incluir el costo financiero general para la organización (incluidos los costos de recuperación y cualquier pérdida de negocios o productividad), así como información sobre cómo mejorar las operaciones ante desastres y la continuidad en el futuro.

•El registro y la aplicación de las lecciones aprendidas se analizarán con más detalle en los capítulos siguientes.

•Restaurar el sitio o instalación original afectada por el desastre.

•Restaurar funciones comerciales críticas.

•Reanudación de los niveles normales de servicio en lugares clave.

•Texto de las personas específicas que consumen hongos en los planes C y DR.

•Y el papel del equipo de seguridad en la restauración de los servicios de TI y garantizar los controles de seguridad.

•Los equipos de recursos humanos, finanzas y asuntos legales pueden desempeñar papeles clave en ciertos tipos de desastres.

•Asegurar que el conocimiento se mantenga actualizado.

•Realice simulacros de incendio o evacuación con regularidad.

•Realizar pruebas y simulacros de rutina del plan BC o DR para capacitación cruzada y actualización de conocimientos del personal clave.

•Revisión periódica de los planes BC y DR.

•Revisión formal después de completar la recuperación

•Aprovechar las lecciones aprendidas para optimizar planes y procesos.

•Identificar fortalezas y debilidades en el plan.

•Analizar el impacto del comportamiento de los empleados en el proceso de recuperación.

•Realizar autopsias y análisis de causa raíz.

•Identificar las fortalezas de un plan o respuesta.

•Identificar posibles oportunidades de mejora.

•Aplicar la información recopilada al programa BCDR y mejorar los procesos.

•La prueba BCDR más sencilla

•Discutir planes con varias partes interesadas.

• Revisar información y procesos clave.

•Ejercicios de práctica en escenarios de la vida real.

•Operaciones sobre el terreno con actores clave

•Identificar posibles problemas y suposiciones.

• Similar a un simulacro de incendio

• Responder a escenarios específicos

•Verificar el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO)

•Pruebe los sistemas activos y de respaldo simultáneamente

•Asegurar que los sistemas de respaldo puedan soportar la carga real

• Descubra errores de configuración o problemas de copia de seguridad de datos.

•Simular un desastre real

•Alto costo, que puede afectar las operaciones normales.

•Identificar todos los problemas en los planes y procesos del BCDR.

1. Cambios en los requisitos de seguridad durante operaciones de emergencia, proporcionar sugerencias de cambios en los requisitos de seguridad para implementar o gestionar medidas para hacer frente a nuevos requisitos.

2. Orientación sobre cambios en los planes BC y DR

3. Diseñar escenarios de prueba y simulacro.

•Áreas públicas: vías, aceras, vestíbulos, estacionamientos.

• Entradas y salidas del recinto: mostrador de recepción, puerta de entrada, zona de carga y descarga

•Instalaciones externas: generador de respaldo, servicios públicos, estacionamiento.

•Instalaciones operativas: espacio de oficinas, salas de reuniones

•Instalaciones de alta seguridad: centros de datos, bóvedas, SCIF

•Controles Preventivos: Controles diseñados para evitar que ocurran incidentes de seguridad. Por ejemplo, los sistemas de control de acceso, vallas y cerraduras pueden evitar que personas no autorizadas entren a las instalaciones.

•Control de amenazas: al crear amenazas potenciales, los atacantes potenciales tendrán miedo de atacar, reduciendo así la posibilidad de incidentes de seguridad. Por ejemplo, las cámaras de seguridad y las señales de advertencia pueden hacer que los atacantes potenciales se sientan vigilados, lo que reduce la probabilidad de cometer un delito.

•Controles de Detección: Medidas de control utilizadas para detectar incidentes de seguridad de manera oportuna. Por ejemplo, las cámaras de seguridad, los sistemas de detección de intrusos (IDS) y los sensores de movimiento pueden detectar intrusiones no autorizadas o comportamientos anormales.

• Controles de compensación: controles que brindan protección adicional cuando otros controles no logran prevenir o detectar completamente incidentes de seguridad. Por ejemplo, se puede utilizar personal de seguridad para realizar patrullas temporales cuando fallan los sistemas de control de acceso.

Controles de recuperación: controles que ayudan a restaurar las operaciones normales después de un incidente de seguridad. Por ejemplo, los generadores de respaldo y los planes de recuperación ante desastres pueden restaurar las operaciones de instalaciones críticas después de un incidente.

•Controles Directivos: Controles que dirigen el comportamiento dentro de una organización mediante la prescripción de reglas y procedimientos. Por ejemplo, la capacitación, las políticas y los procedimientos operativos en materia de seguridad pueden guiar a los empleados a seguir prácticas seguras.

•Controles correctivos: controles que toman medidas para reparar daños o corregir errores después de que ocurre un incidente de seguridad. Por ejemplo, las investigaciones posteriores al evento, las auditorías de seguridad y las acciones correctivas pueden ayudar a las organizaciones a resolver problemas de seguridad y evitar que incidentes similares vuelvan a ocurrir.

•Controles físicos: barreras, vallas.

•Control técnico: lector de tarjetas de identificación.

•Controles Administrativos: Políticas y Procedimientos

•Utilizar el paisajismo para brindar seguridad física.

•La iluminación juega un papel importante en la disuasión de conductas delictivas.

•Considere la ubicación de las ventanas y los materiales según las necesidades de seguridad de las instalaciones.

Estas instalaciones suelen tener empleados estacionados permanentemente allí y están sujetas a control de seguridad física para la organización. Necesitamos prestar atención a medidas de control como la protección contra incendios y el control ambiental para garantizar la seguridad del personal y los equipos.

•Detección y extinción de incendios: establezca caminos de detección de incendios y humo, y utilice agua pulverizada, extinción de incendios con gas y otros métodos para reducir el impacto del fuego en el personal y el equipo.

•Control de acceso: divida el acceso a diferentes áreas dentro de las instalaciones según los permisos de los empleados y use tarjetas de acceso o cerraduras para controlar el acceso.

•Políticas y procedimientos: capacitar a los empleados para que sigan procedimientos de seguridad, como limpiar escritorios y bloquear mamparas, y desarrollar evacuaciones de emergencia y otros aspectos. Materiales: utilizar materiales de construcción adecuados, como paredes, puertas y ventanas, de acuerdo con los requisitos de seguridad para mejorar la seguridad.

Estas instalaciones suelen incluir salas de almacenamiento de pruebas, instalaciones seguras de información compartimentada (SCIF) y salas de servidores o centros de datos porque almacenan activos sensibles o de alto valor.

•Las instalaciones de alta seguridad necesitan implementar medidas de control de seguridad adicionales, como inspección de equipos de entrada y salida, control de acceso físico multinivel, etc.

•Los centros de datos son instalaciones especiales de alta seguridad que requieren habilidades especializadas para su diseño y mantenimiento. Estas instalaciones requieren un mayor nivel de seguridad y, a menudo, implican un mayor presupuesto de seguridad.

•Estándares de diseño de referencia, como las Pautas de control térmico de centros de datos de ASHRAE y las Clasificaciones de disponibilidad de equipos de centros de datos de Uptime Institute.

Cuando los empleados viajan por negocios, las empresas deben garantizar su seguridad, incluido el suministro de seguros, cobertura médica, etc. En áreas de alto riesgo, es posible que sea necesario proporcionar medidas de seguridad adicionales, como personal de seguridad o transporte seguro. Al mismo tiempo, los empleados deben recibir capacitación sobre la seguridad de los dispositivos para evitar que se filtren los datos de la empresa.

Durante una emergencia, las empresas deben coordinarse con las autoridades de respuesta a emergencias (como médicas, bomberos, autoridades policiales, etc.). Al mismo tiempo, es necesario desarrollar métodos de comunicación de respaldo para entregar información crítica cuando los canales de comunicación normales estén bloqueados. Las situaciones de emergencia también pueden requerir la activación de planes de continuidad del negocio y recuperación ante desastres.

La coerción se produce cuando un empleado se ve obligado a actuar en violación de la política de la empresa debido a amenazas.

Se utilizan códigos de coerción especiales o palabras clave para detectar situaciones de coerción. Estos códigos o palabras clave deben ocultarse y cambiarse periódicamente. Además, brinde capacitación a los empleados de alto riesgo sobre cómo utilizar estos códigos y palabras clave.