86HORAS |
Diseñado y producido por Smartmind
Contenidos
Objetivo. Identificar las diferentes estrategias, modelos de actuación y formas de implantación en la respuesta a incidentes, en función de las características del ataque, coordinando las actuaciones del equipo de respuesta asignado.
Descripción de un equipo de respuesta a incidentes
Estructura organizativa
Distribución de funciones y operación
Organización de un equipo de respuesta a incidentes
Creación de procedimientos, políticas y planes para respuesta a incidentes
Identificación de servicios
Servicios Reactivos
Servicios proactivos
Gestión de la ciberseguridad
Relación de las fases en la respuesta a incidentes
Detección del incidente
Análisis de datos e identificación del incidente
Contención y erradicación del incidente
Recuperación del incidente
Notificación del incidente por regulación
Localización y contacto de los equipos de coordinación y respuesta a Incidentes de ciberseguridad: CSIRTs
Agencia de Ciberseguridad de Cataluña: modelos de interrelación y servicio
Foros internacionales: FIRST, TERENA, Trusted Introducer
Agentes nacionales: INCIBE, CCN-CERT, CNPIC
Asociación nacional de equipos de respuesta a incidentes: CSIRT.ES
Asimilación de las funciones y objetivos de los organismos nacionales e internacionales de coordinación y soporte a los equipos de respuesta a incidentes.
Intercambio de ideas mediante las herramientas de colaboración ofrecidas por cada uno de ellos y alcance de la colaboración esperada de éstos, tanto para miembros de sus organizaciones, como para equipos de respuesta no vinculados.
Valoración de las fuentes de información sobre los ataques conocidos y las recomendaciones de detección y mitigación de éstos.
Rigor en la selección, recomendación y automatización de las reacciones de respuesta a cada tipo de incidente detectado
Implicación en la supervisión, evaluación, documentación y comunicación de la respuesta de los técnicos encargados de llevar a cabo las acciones reactivas recomendadas
Prescripción del uso de las herramientas colaborativas para optimizar los recursos empleados en la respuesta a incidentes
Evaluación del riesgo y la política de protección de datos y sistemas corporativos a las estrategias de respuesta a incidentes recomendadas por organismos nacionales e internacionales.
Objetivo. Categorizar las fuentes de información de los datos implicados en incidentes de ciberseguridad.
Recopilación de datos significativos
Identificación de las fuentes de datos internas de un centro de operaciones de seguridad, mediante herramientas de monitorización de red y sistemas informáticos.
Identificación de fuentes de datos externas: Análisis de inteligencia del ataque (investigación, Threat Intelligence) e Inteligencia en fuentes abiertas (OSINT)
Recogida de evidencias digitales: búsquedas ciegas, preservación de la confidencialidad de los datos, preservación de la cadena de custodia y gestión de copias de seguridad.
Análisis de datos de intrusiones
Evaluación del impacto potencial de la intrusión y determinación del nivel de alerta correspondiente
Detección de intrusiones (IDS)
Protección contra intrusiones (IPS)
Gestión de datos
Análisis forense: Conocer las buenas prácticas de recogida de evidencias digitales, para mantener su validez en caso de realizarse una denuncia por los daños sufridos.
Correlación de datos y generación de alarmas
Gestión de logs de los diferentes sistemas y servicios
Sistemas de gestión de eventos de seguridad (SIEM)
Homogeneización de los datos. Filtrado y normalización de las fuentes.
Tratamiento de las alarmas: automatización de respuestas y Comunicación del escenario del incidente
Otras herramientas: Orquestación y automatización (SOAR), Visualización de datos y Generación automática de informes
Colaboración con los miembros de los equipos de recogida y análisis de datos, así como con expertos externos
Designación de roles y responsabilidades a los miembros de los equipos de trabajo, asignación de tareas y distribución de turnos.
Valoración de la utilidad de los datos recopilados y del impacto de los ataques en los procesos de negocio y los activos de la organización.
Compromiso con la identificación y evaluación de fuentes de datos, tanto externas como internas, abiertas u ocultas en programas, memoria u otros sistemas de almacenamiento externo o en la nube.
Rigor en la discriminación de datos verídicos de falsos
Responsabilidad en la protección de los activos digitalizados y datos sensibles de la corporación.
Objetivo. Aplicar la normativa, herramientas y estándares correspondientes, en la detección y respuesta a incidentes de ciberseguridad.
Interpretación, selección y aplicación de las herramientas y los estándares internacionales y nacionales de detección y respuesta a incidentes de ciberseguridad
MITRE ATT&CK
SIGMA (Security Management Services)
SIEM (OSSIM)
IDS (SNORT)
RTIR
OTRS
LUCIA
Clasificación de normativas de protección de datos personales
RGPD de la UE (Reglamento General de Protección de Datos Europeo)
LOPD-GDD (Ley orgánica de protección de datos y garantía de derechos digitales española)
Adecuación al Esquema Nacional de Seguridad
Metodología de análisis y gestión de riesgos (MAGERIT)
Herramientas de análisis, evaluación y gestión de riesgos (PILAR)
Aplicación de la Directiva NIS
Proveedores de servicios esenciales
Impacto en las empresas suministradoras
Definición de los principios de la ética profesional:
En la respuesta a incidentes
En la captura y custodia de evidencias
Responsabilidad en la protección de los activos digitalizados y datos sensibles de la corporación.
Sensibilización por los requisitos legales aplicables a los procesos de negocio de la corporación.
Objetivo. Aplicar herramientas y técnicas de análisis y gestión de la respuesta a un incidente de ciberseguridad.
Extracción de información:
De una fuente de datos de tráfico en una red corporativa
De fuentes OSINT
Automatización de los procesos de detección de intrusiones:
Integración de fuentes de datos en una herramienta SIEM.
Selección de los parámetros para la detección y generación de alarmas relevantes.
Gestión de la respuesta a un incidente de seguridad informática.
Identificación de fuentes de cooperación para optimización de la respuesta a un incidente de ciberseguridad
Planificación de actuaciones y procedimientos
Resolución de un ciber-incidente
Colaboración con otros miembros del equipo de trabajo.
Eficiencia en la utilización de herramientas habituales en los centros de operaciones de seguridad y equipos de respuesta a incidentes
Rigor en la redacción de informes de resultados
Constancia en la programación de actividades de recogida y clasificación de datos.
