ANCI | Taller de Respuesta a Incidentes y Plan de Crisis

ya bueno el objetivo de esta<br>presentación Es brindar a los<br>participantes los conocimientos y<br>herramientas introductorios esto es una<br>clase inicial para identificar corregir<br>y recuperarse de un incidente de<br>seguridad efecto significativo<br>permitiéndoles minimizar el impacto y<br>fortalecer la resiliencia de sus temas<br>ante futuras amenazas si de esta<br>eh charla o exposición sale alguien eh<br>con Ánimo de hacer su plan de respuesta<br>anti incidentes o o su plan de crisis eh<br>Ya por lo menos yo estaría feliz y me<br>daría por pagado con que se cumple el<br>objetivo bien eh Cuál es el temario<br>primero vamos a hablar de algunas<br>referencias que sería interesante eh que<br>todos tuvieran<br>al menos a la vista o con Ánimo de irl<br>leyendo el en<br>segunda en segundo tema va a ser qué es<br>lo que es un incidente efecto<br>significativo Ahí vamos a ocupar las<br>referencias<br>nacionales las etapas desde respuesta<br>ancient después el plan de crisis y<br>finalmente podamos hacer una dinámica<br>con los<br>participantes en donde Espero que<br>ustedes me puedan aportar ya Cuál es la<br>idea es que durante la presentación yo<br>voy a ir diciendo algunos conceptos y<br>esos conceptos al final de la<br>presentación van a estar todos en un en<br>una como como eh col de de palabras y me<br>gustaría sería ideal que dos personas<br>ahí no sé si Ramón me puedes ayudar a<br>medida que vaya avanzando la la<br>presentación de que ya estén como<br>definidos quienes quisieran hablar eh Al<br>final eh pero la idea es que ojalá<br>alguien con un perfil que esté en etapa<br>introductoria en el tema de c seguridad<br>A lo mejor para mí sería ideal alguien<br>que posiblemente eh está empezando o fue<br>designado hace poco tiempo y está más o<br>menos pensando en cómo hacer su eh su<br>plan de respuesta an<br>incidente y alguien que tenga un poco<br>más de experiencia y que nos pueda eh<br>aportar en cuanto a su propia visión ya<br>la idea es que seleccionen un par de<br>conceptos de las de los temas que yo voy<br>a hablar durante la presentación y nos<br>puedan eh decir por qué para ellos es<br>importante bien<br>eh Bueno las referencias eh tenemos<br>referencias nacionales y e<br>internacionales eh desde el punto de<br>vista nacional hay dos que son la ley<br>marco de ciberseguridad y el decreto<br>supremo 295 que es el que aprueba el<br>reglamento de reporte de incidentes de<br>ciberseguridad vamos a estar hablando de<br>este tema durante eh prácticamente toda<br>la presentación Eh entonces es<br>importante que los tengan en mente y<br>sería ideal que todo aquel que esté<br>trabajando en ciberseguridad al menos en<br>Chile tenga haya visto o leído estas<br>estas dos<br>referencias internacionales Hay<br>muchísimas elegí solamente estas tres y<br>si ustedes lo buscan en Google<br>probablemente escriben lo que dice ahí<br>no les puse el<br>link lo más probable es que el primer<br>resultado Que aparezca sea ese Pero hay<br>un un un playbook de cisa que nos<br>entrega se vincula un poco con mitat que<br>es la referencia tres eh que habla de eh<br>de la respuesta anti incidente<br>propiamente tal es decir cuando ya tengo<br>un incidente Qué cosas tengo que hacer<br>para poder eh salir lo más arioso<br>posible del incidente y el la segunda<br>referencia que aparece ahí el punto dos<br>que dice n computer Security incident<br>handling guide es eh la es una guía que<br>es es un poco tiene varios años es es<br>como del 2004 me parece por ahí<br>y y y tiene<br>eh Como la parte planificat de la<br>respuesta ancient es decir si ustedes no<br>tienen un plan de respuesta ancient y y<br>y no tienen como muy claro por dónde<br>partir o cuáles son los aspectos que<br>debiera abarcar la planificación eh Acá<br>está en esa en esa segunda referencia<br>respecto de los temas importantes que<br>voy a hablar en esta en esta<br>presentación tenemos la respuesta antici<br>inicial que tiene referencia con la con<br>las referencias uno y tres que en fondo<br>serían el el playbook con eh mitre<br>Attack y en la segunda parte eh voy a<br>hablar más de de la parte del del de la<br>guía eh de para poder planificar la<br>respuesta<br>eh bien eh primer tema que es lo que es<br>un incidente efecto significativo acá<br>tenemos eh dos referencias la primera es<br>la ley marco y evidentemente estas son<br>complementarias el el decreto eh Es<br>el el decreto es es subsidiario de la<br>ley eh Pero qué es lo que dice la ley la<br>ley Dice que una incidente efecto<br>significativo es un incidente que es<br>capaz de interrumpir la continuidad de<br>un servicio esencial Qué es es un<br>servicio esencial es un organismo fondo<br>que está categorizado como servici<br>esencial en la misma ley o afectar la<br>integridad física o salud las personas<br>así como en el en caso de afectar<br>sistemas informáticos que contengan<br>datos personales ya vamos a dar varios<br>ejemplos a medida que vaya avanzando la<br>presentación eh<br>y además la ley tiene tres menciona tres<br>cosas que son afectaciones a o o por<br>cantidad de personas afectadas en el<br>incidente por la duración de este o por<br>la extensión geográfica O sea la<br>cantidad de eh localidades que hayan<br>sido afectadas por el incidente ya<br>eh qué ejemplos tenemos por ejemplo que<br>afecten a un gran número de personas o<br>por la duración de incidente acá el<br>clásico ransomware cuando cuando hay un<br>incidente rare normalmente la afectación<br>de personas o tenemos varios ejemplos<br>que en donde hayan afectado varias<br>personas por ejemplo y también por la<br>cantidad de tiempo que que haya sido<br>afectado el inente bien aquí hay<br>ejemplos de esta categoría de ransomware<br>muchos que<br>pueden después con el tiempo ir<br>verificando y y comentando<br>bien otro ejemplo es aquí me quise ir un<br>la extensión geográfica Eh hay ciertas<br>aquí mi idea es ir tratando de traspasar<br>algunas cosas que hemos estado<br>observando en el equipo respuesta anti<br>incidente eh Y que se van repitiendo en<br>los distintos servicios esenciales eh<br>Hay una gran cantidad de incidentes en<br>este último tiempo de equipos que son eh<br>de de distintas instituciones que están<br>siendo utilizados para distribuir<br>fishing ya entonces eh qué es lo que nos<br>está pasando Es que claro un computador<br>o una cuenta que está comprometida que<br>está distribuyendo fishing probablemente<br>no es tan importante Entonces a lo mejor<br>eventualmente podría cometer error de<br>pensar de que no es un evente de efecto<br>no es un incidente de efecto<br>significativo sin embargo si ese equipo<br>está disparando fishing para muchos<br>lugares y por ejemplo otros países por<br>ejemplo el caso de que sea el servicio<br>esencial un organismo que depende de la<br>administración del estado enviando<br>eh correos maliciosos a otros estados o<br>otras administraciones de otros estados<br>Entonces el la extensión geográfica del<br>incidente es grande por lo tanto cae en<br>la categoría de incidente de efecto<br>significativo es decir deben reportarlo<br>ya ese es un poco la el el el la la eh<br>la evaluación que deberían ir haciendo<br>eh con la segunda referencia aquí en el<br>en el en el reglamento se extiende un<br>poco más el la el o o hace un poco más<br>simple la forma de categorizar los<br>incidentes de Cuándo es un incidente<br>efecto significativo y aquí le quería<br>dar algunos ejemplos por cada uno de los<br>de estos cinco puntos que especifica con<br>más detalle el reglamento el primero<br>dice interrumpir la continuidad de un<br>servicio esencial aquí evidentemente un<br>ransomware eh grande que afecte a varios<br>servidores por ejemplo o a la red<br>completa sin duda afecta la continuidad<br>operacional de un servicio esencial por<br>lo tanto es un incidente de efecto<br>significativo eh una afectación el<br>segundo punto es una afectación a la<br>integridad física o la salud de las<br>personas aquí hay ejemplos históricos<br>que en otros países por ejemplo donde<br>han habido incidentes en donde eh se ha<br>afectado la eh la la distribución<br>eléctrica esa distribución eléctrica<br>afecta hospitales y probablemente esos<br>hospitales han han eh perdido la<br>capacidad de mantener eh Por ejemplo<br>personas que dependían de ciertos eh<br>equipos para mantenerse bien Por lo<br>tanto eh ha afectado a las sal las<br>personas ese tipo de de de incidentes<br>que podrían terminar en ese tipo de<br>cosas<br>eh además el tercero es afectar la<br>integridad o confidencialidad de activos<br>informáticos eh Acá hay ejemplos muchos<br>muchos ejemplos pero el clásico<br>defacement que implica la el acceso a<br>través de la explotación de una<br>vulnerabilidad o de una eh de un Rodo<br>credenciales a un a la administración de<br>una página web o un servicio por ejemplo<br>que que administra algún servicio<br>esencial y este es modificado o alterado<br>entonces eh Efectivamente es un<br>incidente efecto significativo por lo<br>tanto hay que reportarlo eh El otro es<br>utilizar o ingresar eh sin autorización<br>a redes o sistemas informático acá<br>también tenemos un ejemplo importante eh<br>otra de las cosas que están ocurriendo<br>mucho en general en en el país es que<br>eh el el el ataque denominado o el tipo<br>infoser creo que es un infoser es un<br>malware que se distribuye por distintos<br>medios y que afecta a las personas a los<br>computadores de las personas Eh entonces<br>qué ocurre que podría ser por ejemplo<br>que este computador de esta persona es<br>utilizado<br>eh en la red corporativa y también es<br>utilizado en otras redes y eso es normal<br>ocurre en en distintos organismos por<br>por tema recursos o lo que sea entonces<br>si esa persona en estando fuera de la<br>red corporativa es comprometida con info<br>con un infoser lo que hace este ataque<br>es llevarse eh la información que tiene<br>muchas veces son capaces de incluso<br>tomar pantallazo de la actividad que<br>tiene el el el usuario el usuario que<br>está comprometido por lo tanto eh se va<br>a llevar datos personales de ese<br>computador en particular ahora ese<br>computador en particular Podría tener<br>accesos a otra cosas que son de la red<br>corporativa por ejemplo acceso a una VPN<br>por ejemplo eh administración de<br>plataformas internas y ese tipo de cosas<br>Ese ese ataque que parte con un infoser<br>con un robo credenciales de un<br>computador que está conectado a una red<br>wi-fi por ejemplo o a una red de la casa<br>después Lo que implica o lo que genera<br>es la venta de estas de estas<br>credenciales en en en otros lados y esos<br>otros lados podrían realizar un segundo<br>ataque una segunda fase del ataque ya<br>con los accesos que permitieron eh que<br>se accedieron por a través del del info<br>stiler Entonces<br>el cuando un<br>usuario está comprometido con un<br>infoser es un alto riesgo y más aún si<br>es que este es por ejemplo un<br>administrador de una red o si es que es<br>un<br>eh un administrador de sistema bien y<br>que curiosamente ocurre los incidentes<br>importantes que hemos tenido grandes<br>grandes que hemos tenido en el último<br>tiempo el vector de entrada es a través<br>de un compromiso infoser por fuera ya no<br>dentro de la red corporativa sino que se<br>comprometió antes perdió las<br>credenciales y esas credenciales fueron<br>utilizadas para ejecutar el ataque a la<br>red corporativa por lo tanto hay que<br>darle mucha atención a este tipo de de<br>incidentes bien cuando nosotros<br>reportamos esta información es<br>importante que ustedes lo reciban lo<br>analicen y respondan y reporten en caso<br>de que efectivamente ese usuario exista<br>y tenga eh el riesgo que conlleva a<br>tener claves importantes de personas eh<br>distribuidas Por alguna parte eh Y<br>finalmente El quinto punto es afectar<br>sistemas informáticos que contengan<br>datos personales Aquí también eh Podrían<br>haber por ejemplo incidentes que afecten<br>a plataformas eh gubernamentales<br>eh registro civil clave única y etcétera<br>que podrían Tener información personal<br>de la eh de la ciudadanía Entonces estos<br>estos cinco puntos ya parecen o son<br>bastante más clarificadores que el el<br>concepto general en que mencionaba la<br>ley en el artículo 27 y con esto ya<br>tenemos al menos una base más más<br>clarificadora de cuándo eh tenemos que<br>reportar eh Y cuándo podemos categorizar<br>un incidente como de efecto<br>significativo Ya en simple y como para<br>cerrar esta parte de la de la<br>presentación si hay un ransomware si hay<br>un defacement si hay un infos stealer si<br>hay un eh si hay un un malware que esté<br>distribuido en la red y que esté<br>generando efectos sobre la continua<br>operacional si hay un ataque de negación<br>de servicio que haya afectado a la<br>disponibilidad o o o que haya eh<br>comprometido la disponibilidad de algún<br>servicio es un incidente de efecto<br>significativo por lo tanto debemos<br>reportarlo bien ese es como como el<br>concepto general<br>eh vamos a la etapa de la respuesta an<br>incidente aquí lo que vamos a hablar es<br>tuvimos un incidente importante eh se<br>nos cayeron los servicios Se nos cifró<br>se nos cifraron los computadores pasó<br>algo eh que efectivamente nos dimos<br>cuenta del efecto y tenemos que hacer<br>algo para poder eh recuperarnos del<br>incidente de decir seguridad<br>eh las etapas las cuatro etapas Esto<br>está en en en las referencias<br>internacionales que les da al principio<br>eh Cuáles son las cuatro etapas contener<br>erradicar recuperar y lecciones<br>aprendidas eh qué es lo que qué es lo<br>que es contener el objetivo de esta de<br>esta etapa es limitar el impacto del<br>incidente ya Cómo se logra se logra<br>mediante la implementación de una medida<br>reactiva temporal que permite aislar el<br>sistema comprometido aquí en la imagen<br>que les puse ahí el es un incendio<br>forestal eso que aparece ahí como blanco<br>es un cortafuego eh que aplicable a los<br>incendios forestales no un cortafuego<br>firewall de ciberseguridad qué es lo que<br>Cuál es el objetivo de este de este<br>cortafuego es contener el incendio es<br>decir probablemente eso esa parte de<br>bosque que se ve por fuera del de esta<br>malla blanca que hay eh es susceptible<br>de de de de quemarse por lo tanto de<br>propagar aún más el incendio pero esa<br>malla contenedora lo que está tratando<br>de hacer es aceptar que esa parte se<br>perdió que se va a quemar y estamos<br>salvando los otro bien el éxito de una<br>respuesta anti incidente es directamente<br>proporcional con la velocidad de la<br>contención es decir si ustedes ustedes<br>queé deberían sacar de esto debieran ser<br>capaces de entender Cuáles son eh los<br>puntos en donde ustedes podrían contener<br>un incidente ya la peor contención de<br>tod es cortar los cables es como el El<br>ejemplo<br>exageradamente extremo y ridículo sería<br>cortar los cables no lo hagan Es una<br>broma eh pero sí debiéramos ser capaces<br>por ejemplo de A lo mejor en el firewall<br>que este firewall real de Cyber o en el<br>mismo equipo a través de por ejemplo las<br>soluciones edr antivirus algunas<br>permiten eh contener el equipo que está<br>comprometido para que este no siga<br>propagando o no o cortar en el fondo el<br>proceso del ataque bien eso eso es un<br>poco concepto la etapa de contención<br>aquí hay harto de pensar de levantar su<br>red y decir dónde están mis<br>oportunidades para poder contenerlo<br>incidente la segunda etapa es erradicar<br>el objetivo es eliminar la causa raíz<br>del incidente<br>eh pensemos que estamos en un incidente<br>tipo ransomware por ejemplo eh que<br>afectó o que al menos pasó por todas las<br>etapas de del ataque es decir hubo<br>escala de privilegio hubo creación de<br>cuentas para ser utilizadas por los<br>atacantes<br>hubo movimientos laterales etcétera<br>entonces qué cosa aquí no son todas<br>estas pero sí algunos<br>ejemplos eliminar primero el binario que<br>generó o uno de o todos los malware que<br>hayan estado implementados durante el<br>ataque eso es una parte por ejemplo<br>eliminar las cuentas creadas por los<br>atacantes cambios de enales eh Por<br>ejemplo en caso de que hayan sido estas<br>comprometidas a través de lo que<br>hablábamos antes info steer o o de<br>alguna filtración de<br>credenciales la eliminación de las<br>vulnerabilidades explotadas Es decir me<br>atacaron mi vector de entrada fue la<br>explotación de una vulnerabilidad de un<br>servicio que estaba publicado es<br>internet Entonces el parchado Es parte<br>un poco de la erradicación para evitar<br>las futuras eh ataques iguales a los que<br>se hayan recibido anteriormente eh Y acá<br>voy a aprovechar de un poco hacer<br>publicidad a la Ans y al y al cesir<br>Nacional<br>eh Para saber todas las medidas de<br>radicación Porque estos son ejemplos<br>solamente es necesario realizar un<br>digital forensic anent response qué es<br>lo que es esto es un análisis de<br>forensia digital que nos permite saber<br>todas las todas las etapas o todos los<br>pasos que dio el atacante hasta lograr<br>el efecto en el en el ataque bien<br>entonces eh el cesir cuando ustedes<br>piden ayuda cuando ustedes reportan y<br>hacen clic en Necesito ayuda o Necesito<br>que el cesir eh gestione o ayuda a<br>gestionar este incidente lo que nosotros<br>vamos a realizar es eh acceder a esos a<br>esos servicios que servidores que están<br>comprometidos o a esa red vamos a hacer<br>el análisis que nos va a permitir saber<br>cuáles fueron todos los pasos que dio de<br>acuerdo a las referencias que estaban<br>que aparecían al principio de la de la<br>presentación eh Y les vamos a entregar<br>un informe que dice Cuáles fueron los<br>pasos que se dieron por parte del<br>atacante Entonces dónde están las<br>medidas de radicación es decir acá están<br>los eh archivos que se crearon Estas son<br>las cuentas que se crearon Estas son las<br>vulnerabilidades que se utilizaron para<br>poder eh eh pasar todas las etapas del<br>ataque y eso a ustedes les va a permitir<br>estar con seguridad de que ese incidente<br>ya está gestionado y está eh finalizado<br>bien y pueden pasar a la siguiente etapa<br>entonces<br>eh Eso es parte un poco de lo que me<br>gustaría que tuvieran presente y es que<br>siempre es posible eh dentro de la<br>disponibilidad que tengamos solicitar<br>apoyo al cesir para poder gestionar un<br>incidente después viene la etapa de<br>recuperación El objetivo de la etapa de<br>recuperación es restaurar los sistemas y<br>y operaciones afectadas a un estado<br>seguro y funcional eh Cómo se logra se<br>logra mediante la implementación de los<br>respaldos con sus respectivas medidas de<br>seguridad que hagan improbable un ataque<br>de iguales características es un poco<br>parecido a lo que hablábamos antes es<br>decir si vamos a implementar un respaldo<br>que teníamos de el día antes del ataque<br>probablemente ese respaldo tiene<br>vulnerabilidades que fueron utilizadas<br>por el atacante por lo tanto tenemos que<br>corregirlas antes de pasar a producción<br>eh en esta etapa es donde vamos a<br>utilizar el plan de recuperación ant<br>desastre o plan de continuidad<br>operacional o plan de continuidad del<br>negocio<br>eh Por lo tanto es como concepto<br>importante de tener presente debiera<br>existir o debiéramos tenerlo<br>eh cómo lo vamos a hacer para cuando<br>tengamos un incidente en que se nos<br>comprometan todos estos servicios o los<br>servicios que son más importantes cómo<br>lo vamos a hacer para poder volver a la<br>a la línea en la brevedad<br>posible y finalmente viene la etapa de<br>lecciones aprendidas que muchas veces eh<br>se olvida pero es muy importante y el<br>objetivo es analizar lo que ocurrió eh<br>Para poder mejorar la capacidad de<br>detección respuesta y prevención de<br>futuros incidentes eh aquí hay algunos<br>ejemplos de preguntas que deberíamos<br>hacernos en esta etapa de es decir ya<br>listo recuperamos los servicios volvimos<br>a la línea y estamos okay el incidente<br>se declara como gestionado se cerró el<br>proceso de reporte con el cesir nacional<br>y ahora viene viene la etapa de<br>lecciones aprendidas En donde podemos<br>preguntarnos por ejemplo qué<br>oportunidades tuvimos para haber<br>detectado antes de que ocurriera el<br>incidente es decir<br>eh el atacante qué es lo que hizo dónde<br>fue cuáles fueron siempre nosotros<br>tuvimos una oportunidad para evitar que<br>esto ocurriera Entonces como pararse Y<br>tratar de hacer un viaje en el tiempo y<br>decir si es que hubiésemos ten tenido<br>esta este parche esto no Hubiese pasado<br>si hubiésemos tenido esta regla de<br>firewall eh le habríamos cortado el el<br>ataque que sufrimos entonces esa<br>pregunta es muy importante hacérsela en<br>esta etapa eh Cuál fue el vector de<br>entrada utilizado por el atacante acá eh<br>siempre yo trato de de hablar del 80 20<br>es decir si somos capaces de protegernos<br>o tener una buena defensa en contra<br>de o evitando los que es desde la etapa<br>inicial del vector de entrada entonces<br>probablemente vamos a estar resolviendo<br>el 80% de lo de los ataques<br>Ese es como es una idea en el fondo no<br>es que seaas una regla pero sí puede ser<br>ahora cuáles son los ataques o los<br>vectores de entrada más utilizados eh<br>que nosotros hemos visto en el cesir eh<br>explotaciones de vulnerabilidad es decir<br>una vulnerabilidad<br>eh presente en un activo inform que está<br>publicado es internet rápidamente va a<br>terminar probablemente en un en un<br>defacement es muy rápido pasa muy poco<br>tiempo desde que existe la<br>vulnerabilidad y que esa vulnerabilidad<br>tiene un exploit disponible por ejemplo<br>en algún en alguna página que que se que<br>se encargue de distribuir este tipo de<br>de de herramientas Eh entonces lo más<br>probable es que ese ese ese ese servidor<br>ya esté comprometido ya entonces la<br>gestión de vulnerabilidad pasa a ser un<br>tema importante eh el segundo vector de<br>entrada utilizado eh que estos no son de<br>más A menos sino que son ejemplos que<br>hemos visto en general eh el segundo es<br>el robo credenciales que hemos hablado<br>harto de eso está el tema de de los info<br>stealer o de los robos de cuando hay por<br>ejemplo publicación de datos Y esos<br>datos van con<br>eh eh con con credenciales esas<br>credenciales normalmente son utilizadas<br>después para probar si es que eh se<br>puede acceder a esto a estos servicios<br>entonces eh es importante eh tener eh<br>capacidad de gestión sobre las<br>credenciales de los de los de los<br>usuarios o de los administradores de las<br>plataformas de los distintos servicios y<br>aquí lo remito un poco a eh los siete<br>consejos o los consejos básicos y<br>avanzados de ciberseguridad que en algún<br>momento eh se expusieron o que se<br>presentan como dentro del de de las del<br>paquete de presentaciones o de clases<br>que hacemos desde la ansia eh<br>el otro tipo de el otro vector de<br>entrada que lo hemos visto que es muy<br>usual es la descarga de aplicaciones<br>maliciosas dice pero cómo sí es descarga<br>aplicaciones maliciosas es decir tenemos<br>la posibilidad o los usuarios tienen la<br>posibilidad de descargar cosas a través<br>de distintas de distintos servicios la<br>navegación web<br>p2p y infinidades de de posibilidades y<br>a través de esas Descargar malware y Y<br>eso se utiliza como el vector de entrada<br>para un futuro ataque más grande<br>entonces eh esas son como las tres Yo<br>podría decir lo que más hemos visto en<br>cuanto a explotación o sea en cuanto a<br>vectores de entrada explotación de<br>vulnerabilidades Rodo credenciales eh<br>aquí Rodo credenciales también agrego el<br>fishing que es como lo de todos los días<br>y la descarga de aplicaciones por parte<br>de los usuarios<br>eh probablemente hay algunas que son más<br>comunes que otras pero los quise<br>mencionar porque el impacto que tienen<br>eh es importante es decir cuando hemos<br>analizado incidentes importantes hemos<br>tenido eh Como vector de entrada alguna<br>de estas tres de estos tres ejemplos<br>eh otra pregunta que es importante<br>hacerse en la etapa de lección<br>aprendidas es si nuestro plan de<br>recuperación eh funcionó como<br>esperábamos es decir nos teníamos A lo<br>mejor eh nuestros respaldos<br>eh muy poco actualizados por lo tanto<br>era mejor partir de cero que cargar los<br>respaldos que teníamos eh desde la<br>última actualización Eso Eso pasa Y<br>entonces uno dice tengo mi plan de<br>recuperación ante desastre Sí porque<br>tengo mis respaldos fuera de la línea<br>pero probablemente esos respaldo fuera<br>de la línea son tan antiguos que era<br>mejor eh Borrar todo y empezar todo de<br>Cero en lugar de eh cargar los respaldos<br>por lo tanto mi plan de recuperación an<br>desastres fue ninguno es partir de cero<br>Eh entonces eh eso es uno de los<br>ejemplos en donde podríamos decir eh<br>teníamos un plan de recuperación an<br>desastre pero este no funcionó como<br>esperábamos<br>eh Y y la última el último ejemplo de<br>pregunta es qué vamos a hacer si esto<br>vuelve a ocurrir es decir muchas veces<br>en el incidente propiamente tal<br>improvisamos dependemos Mucho de la<br>eh de las cualidades profesionales de<br>las personas que están involucradas en<br>el inente y podemos eh de alguna u otra<br>forma salir adelante y resolver el<br>problema<br>eh Pero eso no es lo ideal lo ideal es<br>que seamos capaces de responder a un tem<br>incidente sin la necesidad de depender<br>de ciertas personas específicas eh o<br>tener un plan y esto es Es como si<br>ustedes miran hacia atrás lo que hemos<br>hablado hasta ahora es tengo por ejemplo<br>eh identificado dónde contendría En caso<br>de que tenga un incidente de explotación<br>de una vulnerabilidad de un servidor que<br>está expuesto es internet ahí cómo lo<br>contengo tengo ndr que nos me permite<br>contenerlo o eh tengo capacidad que de<br>de contener en el firewall para cortar<br>las comunicaciones de ese de ese<br>servidor etcétera ahí es parte de un<br>poco la dinámica que hay que hacer para<br>nosotros esta parte es muy importante<br>porque de<br>estas de estas preguntas o de las<br>respuestas a estas preguntas son las<br>alertas de incidentes que nosotros<br>generamos a través de nuestra página web<br>entonces eh de esta forma es como<br>estamos contribuyendo a la<br>ciberseguridad de todos bien entonces eh<br>para nosotros siempre es importante<br>participar de esta de esta etapa y poder<br>obtener esa información para poder<br>publicarla y generar esta esta dinámica<br>de sinergia y de compartir<br>información me ha pasado también o nos<br>ha pasado en este último tiempo que han<br>ocurrido ciertas cosas incidentes que no<br>han pido apoyo al cesir y que<br>eh Y que no hemos tenido la oportunidad<br>de recibir esa ese información por lo<br>tanto no hemos tenido la oportunidad<br>para para publicar esos datos o generar<br>estos indicadores de compromiso o<br>colaboración a la comunidad entonces eh<br>para nosotros es muy importante tener<br>acceso a esa información para poder eh a<br>procesarla y publicarla y ponerla a<br>disposición de<br>todos bien eso respecto de la respuesta<br>anti incidente eh cambio de tema ahora<br>voy a hablar del plan de crisis se<br>vincula mucho pero esto es no tengo<br>todavía el incidente estoy en la etapa<br>de estoy planificando qué es lo que voy<br>a hacer cuando ocurra entonces<br>eh vamos a a ver qué cosas deberíamos<br>deberíamos preguntarnos o preocuparnos<br>eh cuando estamos en la etapa de pensar<br>y planificar antes de que los incidentes<br>ocurran eh Por qué deberíamos tener un<br>plan de crisis muchas veces un dice<br>Bueno pero para qué voy a hacer esto eh<br>Entonces primero es que todos los<br>ciberataques tienen un propósito y un<br>efecto prepararnos<br>e nos permitirá responder de forma<br>rápida y coordinada es decir Mientras<br>más preparado est más posibilidades o<br>más oportunidades tengo para poder<br>reducir daños e impactos segundo el<br>segundo nivel sería que tener la<br>posibilidad de tener una continuidad<br>operacional es decir tener la capacidad<br>en caso de que tenga un incidente de<br>llegar a la etapa de recuperación en un<br>tiempo aceptable muchas veces nos ha<br>pasado que hemos tenido incidentes en<br>donde no hay plan de recuperación ante<br>desastre o no tengo un plan de respuesta<br>anti incidentes que me permita eh<br>responder de la manera más rápida<br>posible o contener o alguna de las<br>etapas que hablábamos anteriormente<br>Entonces eso ha impactado en la<br>continuidad operacional del servicio eh<br>esencial contar con una planificación es<br>decir si tengo un plan puedo entrenar es<br>decir puedo hacer eh aquí el ejemplo muy<br>clásico en nuestro país en general es<br>cuando hacíamos operación de en el<br>colegio y nos decían vamos en caso de<br>que haya un terremoto o que haya un un<br>una inundación o algo así eh vamos a<br>evacuar de tal forma y esto es lo que<br>vamos así como vamos a responder ante un<br>incidente Entonces eso es así porque<br>tenemos un plan es decir sabemos qué es<br>lo que tenemos que hacer en caso de que<br>tengamos un incidente si no tenemos un<br>plan vamos a caer en la improvisación ya<br>y y evidentemente si tenemos un plan<br>podemos entrenar es decir podemos decir<br>Hagamos una práctica y ver cómo Qué pasa<br>si tenemos un incidente cuánto tiempo<br>nos demoramos en en en implementar<br>nuestros respaldos o<br>en no sé cambiarnos de de por ejemplo de<br>dns o o cambiarnos de site y implementar<br>el site de contingencia ese tipo de cu<br>eh Y adicionalmente un plan de crisis un<br>plan de de respuesta anti incidentes nos<br>podría permitir diseñar un plan de<br>comunicación anticrisis y Esto va de la<br>mano Es decir un plan de respuesta anti<br>incidentes nos va a permitir o o o<br>debiera implicar la posibilidad de<br>generar un plan de crisis porque ambos<br>corren en en la misma<br>línea Qué pasa si no tengo un plan si no<br>hay un plan eh estamos obligados a<br>improvisar y como les decía<br>anteriormente a depender de la eh de las<br>cualidades profesionales de<br>de algunas personas específicas que sean<br>parte de la organización si es que no<br>tengo esas cualidades profesionales<br>dentro de mi organización voy a tener<br>que recurrir a solicitar ayuda<br>normalmente de emergencia a proveedores<br>normalmente es bastante más<br>caro comprar un un servicio de respuesta<br>anti incidente cuando ya tengo un<br>incidente cuando estoy en la en la etapa<br>de<br>planificación cuando no tengo la<br>posibilidad o no tengo planificado<br>mantener informado a quienes tengo que<br>mantener informado y aquí hablo del<br>respecto del plan de crisis entonces lo<br>que va a ocurrir Y como aquí lo que<br>quise graficar con ese ese ese icono<br>tipo gubernamental Es que este<br>eh este organismo gubernamental se va a<br>preguntar bueno Cuál es mi rona en esta<br>crisis este organismo gubernamental<br>podría ser Cualquiera podría ser un<br>ministerio podría ser eh el congreso el<br>poder judicial el consejo para la<br>transparencia el la contraloría quien<br>sea que podría de Bueno hay una crisis<br>importante en un servicio esencial como<br>no tengo información entonces me<br>pregunto qué es lo que yo al menos<br>debería preguntar y esas preguntas van a<br>impactar en las personas que van a estar<br>respondiendo el incidente por lo tanto<br>eh si no te si no te por eso que yo<br>mencionaba que van de la mano ambas<br>cosas el equipo de comunicaciones con el<br>equipo de eh técnico que va a estar<br>respondiendo y recuperando los<br>sistemas cuando no tengo un plan muchas<br>veces ocurren efectos colaterales aquí<br>quise poner un poco el ejemplo que nos<br>ocurrió el otro día hace un par de de<br>creo que fue la semana pasada el apagón<br>Se nos cortó la luz<br>eh en general el sistema de de<br>transporte<br>eh o sea el metro está impactado pero el<br>el en general las micros no tenían<br>ningún<br>problema pero como no existía un plan de<br>contingencia entonces todas las personas<br>eh Como que hicieron un ataque de<br>negación de servicio sobre sobre el<br>sobre el otro sistema Por lo tanto<br>empezó a colapsar el otro sistema<br>eh la en general se se dijo ya toda la<br>gente tiene que salir de acá del del<br>sector centro de Santiago y generó esto<br>que aparece ahí en las noticias esto es<br>una foto que yo le saqué a un diario<br>creo que es de la bbc news Entonces es<br>como impacto internacional efectos<br>colaterales producto de un incidente que<br>no tenía nada que ver con esto entonces<br>eso pasa cuando no hay una<br>planificación eh vamos a la etapas del<br>manejo de crisis esto se parece mucho a<br>lo que hablábamos anteriormente Pero<br>como estamos en la etapa de<br>planificación hay algo que pasa antes Es<br>decir me preparo me preparo para el<br>incidente ya entonces Y esto es cíclico<br>aparece también en las referencias que<br>les mencionaba al principio eh Y Estas<br>son las etapas y cuáles son las<br>preguntas que ira preguntarme en la<br>etapa previa al incidente es decir<br>tenemos Claro En qué etapa estamos<br>cuando cuando estoy en la planificación<br>cuando estoy Qué cosas me hacen entender<br>que estoy en en la etapa de eh de<br>incidente es decir contención<br>recuperación o erradicación recuperación<br>eh qué indicadores tengo cuando estoy en<br>la etapa de detección y análisis<br>monitoreo<br>etcétera Cuál es el impacto que podría<br>tener cada incidente acá es algo que voy<br>a hablarles un poco más adelante y es<br>que no todos los incidentes son iguales<br>hay algunos incidentes que podrían ser<br>de efecto significativo es decir tengo<br>que reportarlo pero no tienen un impacto<br>tan importante Por lo tanto la respuesta<br>que tengo que generar no es tan eh<br>grande como<br>eh Como en caso de que fuera un un<br>impacto más importante Ya Cuáles son las<br>implicancias Quiénes son los<br>responsables siempre es importante<br>entender para un tipo de incidente para<br>este tipo de incidentes si nos pasa por<br>ejemplo un un incidente importante<br>grande y grave que es sea eh algo que<br>nos cifró toda la red que nos botó todos<br>los servicios Quién va a ser el<br>responsable o de manejar o de gestionar<br>ese incidente dentro de la organización<br>va a ser el equipo ti<br>eh con los medios que tiene<br>entonces dependiendo del nivel o del<br>impacto que tenga el incidente es la<br>autoridad o la persona que tenga tiene<br>que ser el responsable de asumir ese<br>incidente por qué porque las distintas<br>autoridades tienen distintos distintos<br>medios que dependen de ellos que les<br>puedan permitir eventualmente tener<br>mejores capacidades para poder responder<br>ante un incidente Entonces eso es como<br>una de las preguntas importantes que hay<br>que hacer eh En qué momento podemos<br>decir este incidente ya está gestionado<br>cuando mandamos el último reporte a la<br>agencia Nacional de ciberseguridad en<br>ese momento Eh bueno Qué cosas se tienen<br>que dar para que para que es ese reporte<br>salga eh Hay responsables qué hay que<br>hacer por ejemplo para para que esto no<br>vela ocurrir que es lo que hablábamos<br>anteriormente la etapa de lecciones<br>aprendida eh en esta aquí en esta<br>diapositiva vemos un poco los roles y<br>las responsabilidades en una en una<br>crisis ya todo lo que aparece en en los<br>eh en los en las figuras rojas o o como<br>como más rojas tiene relación con el<br>equipo técnico o el equipo de<br>ciberseguridad eh interno es decir tengo<br>un incidente tengo la obligación de<br>reportar Alguien tiene que reportar<br>Alguien tiene que estar inscrito en la<br>plataforma y tiene tener la capacidad<br>para poder entender lo que está<br>ocurriendo y generar un reporte<br>a a la a la agencia eh probablemente esa<br>persona no va a ser el mismo que va a<br>realizar la contención la radicación y<br>la recuperación de los sistemas O sí<br>puede ser pero son cosas que tienen que<br>ocurrir es decir Son son cosas que<br>alguien tiene que hacerse responsable de<br>eso y eh En caso de que haga clic en el<br>en en en el checkbox que dice Eh<br>Necesito que el cesir me ayude a<br>gestionar este incidente O eventualmente<br>podría si es que es por ejemplo<br>eh alguien que tenga un servicio<br>contratado con un externo<br>entonces quién va a ser la persona que<br>va a ser la contraparte del externo que<br>va a venir a ayudar a gestionar el<br>incidente muchas veces no ocurre que<br>cuando hay un incidente Nos solicitan<br>ayuda y la contraparte<br>eh<br>No no entiende muy bien Cuál es su rol y<br>no tiene muy claro Cuáles son las cosas<br>que debiera eh tener para poder<br>eh incluir al equipo externo en el<br>proceso de respuesta antin incidente<br>entonces hay alguien que tiene que que<br>tener eso en mente bien hacia el lado<br>derecho están las figuras eh grises y<br>verdes las figuras grises son<br>eh al lado derecho está lo que es<br>comunicaciones es decir todo lo que<br>tengo que información que tengo que<br>sacar producto de un incidente<br>Entonces tenemos eh dentro de la del de<br>los cuadritos ahí que aparecen eh<br>ciudadanía o terceros que pueden haber<br>más esto es un ejemplo y cosas que a mí<br>se me ocurrieron mientras escribía esta<br>presentación pero por ejemplo clientes<br>sociedad en general eh la prensa redes<br>sociales eh es un tipo de información<br>que voy a generar es decir qué nos está<br>pasando eh eh Cuáles son eh la los los<br>plazos o eh la las estimaciones que<br>tengo volver a la<br>línea y probablemente ese tipo de<br>información se va a ir en estas<br>Comunicaciones y también en ese cuadrito<br>verde que aparece son stakeholders<br>internos es decir son personas que<br>tienen acceso a información o que<br>requieren de información el el cuadrito<br>este gubernamental que yo les mostraba<br>en en unas diapositivas<br>anteriores Qué tipo de información tengo<br>que entregarle a es a esos organismos o<br>person personas que tienen acceso a<br>información que requieren información y<br>que no son terceros ni la ciudadanía es<br>decir aquí hay algo un poco más<br>detallado entonces probablemente voy a<br>tener que decir cuáles son los sistemas<br>afectados Cuáles son los tiempos<br>estimados Para volver a línea Cuáles son<br>las medidas que se están tomando si es<br>que hay algún requerimiento de apoyo por<br>ejemplo si si nosotros<br>eh en un<br>organismo dependiente del Estado<br>cualquiera tiene un incidente<br>no es lo mismo lo que le voy a decir a<br>la ciudadanía a lo que le voy a decir<br>por ejemplo a nuestro nuestro superior<br>verdad por qué Porque ese superior<br>debería tener o jerárquicamente debería<br>tener medios que nos permitan eh<br>contribuir con la gestión del incidente<br>entonces esa es un poco la la idea y<br>cuáles son los roles y funciones que<br>debieran estar prensadas en el plan<br>Quién va a hacer esto no cierto quién<br>quién se va a encargar de conversar y<br>quién se va a encargar de informar quién<br>se va encargar de de de recuperar los<br>sistemas y eh en ese en ese aspecto cada<br>uno de los responsables tiene que<br>preplaneados eh probablemente el equipo<br>comunicaciones va a decir ah puedo puedo<br>generar un una comunicación estándar<br>cuando tenga un incidente eh<br>probablemente el equipo de y ahí lo que<br>hablábamos antes del equipo técnico<br>probablemente capaz que el equipo de ti<br>sea quiénes van a ser la la contención o<br>la respuesta inicial in incidente<br>entonces eh ahí van a haber cosas y<br>funciones que va a tener que realizar el<br>equipo ti para la la respuesta incidente<br>eh Como les hablaba anteriormente hay<br>distintos tipos o debiéramos tener la<br>capacidad al menos de categorizar el<br>impacto del incidente no todos los<br>ciberataques tienen que tener la misma<br>respuesta no es necesario ya entonces<br>aquí hay este cuadrito que aparece<br>dependiendo de la cantidad de de de de<br>la frecuencia o de la de la probabilidad<br>de ocurrencia del incidente y con<br>respecto a la severidad es decir<br>Mientras más Severo y más posible que<br>ocurra entonces puye tener que darle más<br>eh más atención a esa a ese riesgo y<br>eventualmente si nos vamos hacia el otro<br>lado eh vamos a tener eh menor cantidad<br>de riesgo esto teniendo un poco la<br>posibilidad de categorizar los<br>incidentes podríamos tener algo así como<br>un ejemplo eh la tabla que aparece en<br>pantalla en donde esto se leería de<br>abajo hacia arriba es decir eh en el<br>nivel Cero en la base tendríamos<br>incidentes de bajo impacto por ejemplo<br>de negaciones de servicio temporales<br>escaneos de Puerto cosas así que algunos<br>de ellos tienen que ser reportados a la<br>agencia probablemente con un una con una<br>respuesta automática podríamos contener<br>ese o o podríamos eliminar esa amenaza<br>por lo tanto eh No requiere de un<br>esfuerzo<br>eh importante después en el nivel uno o<br>en ese en la franja o o fila verde<br>tenemos la afectación de algún servicio<br>sin consecuencias importantes por<br>ejemplo la detección de un malware en un<br>pc o sea el antivirus lo detectó lo<br>contuvo<br>eh probablemente el malware lo mandó a<br>cuarentena Entonces el incidente pasa a<br>estar medianamente gestionado<br>rápidamente no se cayó ningún servicio<br>eh Por lo tanto el equipo de técnico<br>debiera ser capaz de gestionar un<br>incidente de ese tipo eh después en el<br>en el nivel dos o o amarillo eh tenemos<br>posible impacto a a servicio es decir<br>podría ser que impacte un servicio clave<br>para la institución acá eh nuevamente<br>aparecen el robo de credenciales ya acá<br>cuando hay cuando hay un incidente de<br>rales cuando tengo la certeza de que hay<br>un infosil en un computador entonces la<br>el riesgo o la probabilidad que tengo de<br>que después venga un incidente más<br>importante eh o o con efecto más<br>significativo entonces eh existe por lo<br>tanto debiera atenderlo ya como como un<br>como un nivel dos o como una amarillo<br>esto insisto esto es un ejemplo no es<br>que sea así no está esto no está escrito<br>en ninguna en ninguna Norma vigente eh<br>es solamente eh estoy dando ejemplos que<br>podrían ser utilizados por las personas<br>que trabajan en ceguridad en los<br>distintos servicios esenciales eh en el<br>nivel 3es aparece un impacto evidente<br>qué podría ser esto un un ransomware por<br>ejemplo en un servidor expuesta internet<br>es decir Podría tener un poco el indicio<br>de que este incidente está contenido en<br>en la superficie perimetral de la red o<br>en la nube en los servicios Cloud y<br>solamente me afectó ahí eh entonces la<br>respuesta va a ser sobre ese activo en<br>particular y no sobre toda la red en el<br>nivel cu eh o el rojo podría estar por<br>ejemplo un Impacto significativo de los<br>servicios clave de la institución por<br>ejemplo un ransomware en la red interna<br>es decir que haya comprometido toda la<br>red eso sería como un un nivel cuat y<br>finalmente el nivel cco o una emergencia<br>aquí sería una amenaza inminente en<br>infraestructura crítica hay algunos<br>servicios esenciales que podrían ser en<br>el futuro categorizados como operadores<br>de importancia vital y eventualmente un<br>incidente importante en esa<br>infraestructura podría generar un daño a<br>la infraestructura crítica nacional o a<br>la afectación de personas ciudadanos por<br>lo tanto debieran eh ser respondidos de<br>con con todas las capacidades posibles<br>entonces de esto podríamos tener lo que<br>el un poco<br>eh definido Quién va a ser el<br>responsable de cada uno de los niveles<br>de eh de categorización de incidente por<br>ejemplo los tres primeros es decir los<br>blancos los verdes y los y los amarillos<br>que son el los tres primeros de<br>ocurrencia alta y de impacto eh hasta<br>medio<br>podrían ser gestionados por el equipo de<br>ciberseguridad o el equipo ti de la<br>organización verdad Ahora cuando pasamos<br>a un nivel alto Severo haciendo un poco<br>de memoria en los altos eran ya<br>ransomware por ejemplo ransomware en un<br>activo o en toda la red entonces<br>debieran ser gestionados por el jefe<br>servicio Por qué Porque el jefe de<br>servicio tiene más medios probablemente<br>va a haber que contratar o pedir apoyos<br>Entonces el jefe de servicio tiene a la<br>división de administración y finanzas<br>que le va a permitir eh gestionar<br>probablemente la<br>eh el el apoyo a terceros entonces aquí<br>escalara esto muchas veces se da de<br>manera natural Cuando tenemos un<br>incidente pequeño se gestiona por parte<br>del equipo de i o del equipo de c<br>seguridad Cuando tenemos un incidente<br>importante que como estos alto Severo lo<br>gestionan los jefes servicio o la máxima<br>autoridad posible eh pero pero está bien<br>o o es muy útil tenerlo definido Por qué<br>Porque nos permite escalarlos ya no nos<br>permite predecir o predefinir quién se<br>va a hacer cargo de esto y con Qué<br>medios lo lo lo va a realizar y<br>finalmente en caso de una emergencia<br>probablemente ahí hay que citar al<br>comité de seguridad eso no no está<br>definido pero pero pensando un poco<br>tirando líneas podría ser algo así ya<br>esto también es un ejemplo insisto acá<br>las cosas que he presentado no a<br>excepción de el reglamento y la ley eh<br>son eh ejemplos no no son eh órdenes o<br>ni ni disposiciones que tengan que<br>cumplir los eh los servicios esenciales<br>solamente son ejemplos que podrían ser<br>ocupados por ustedes como referencia o<br>eventualmente eh<br>eh descartados si es que tienen algún<br>otro otra cosa implementada por el<br>momento<br>eh bien Creo que he llegado al final de<br>la presentación<br>eh Me gustaría saber si si existe eh<br>Personas que quieran eh un poco cooperar<br>o<br>eh aportar con la con la presentación<br>con con su experiencia<br>pero hay algunas cosas que son las que<br>comenté durante la presentación y un<br>poco la idea es que seleccionen dos<br>conceptos Ojalá no alargarnos mucho eh<br>pero que seleccionen un par de conceptos<br>y digan Por qué Para ustedes son super<br>importantes o porque a lo mejor estos<br>debieran tener la máxima pridad<br>No si quiera<br>de que algui de que nadie quisiera<br>hablar eh Ah alguien levantó la mano<br>adelante Miguel Godoy me me parece que<br>quera<br>quera Ah ya Ah sí ad migel Sí sí Hola<br>Benjamín Oye mira buen una cosa bien<br>sencilla como aterrizando para mi<br>realidad la exposición tuya que fue en<br>términos así como bien generales y<br>amplios eh<br>Yo soy siso de un<br>hospital y este hospital donde yo estoy<br>es un hospital<br>concesionado donde compartimos cierto<br>tipo de servicios entre el hospital y la<br>sociedad concesionaria que lo<br>proporciona el servicio la<br>infraestructura<br>eh Hay cosas que son compartidas y hay<br>cosas que están muy bien definidas Quién<br>hace qué Entonces cuando yo te escucho<br>claro yo lo aterrizo eh veo que muchos<br>de estas presentaciones están como<br>enfocadas al tema que uno podría<br>sobreentender que es informático pero de<br>repente un muy buen ejemplo que tú diste<br>es como por ejemplo cuando hay otro tipo<br>de situaciones que nos afectan donde No<br>necesariamente el equipo informático va<br>a ser el primero en que tiene que estar<br>pero que puede afectar el funcionamiento<br>del hospital un corte de luz un corte de<br>agua<br>eh No sé pues a modo de ejemplo te lo<br>digo yo entonces cuando hablamos de un<br>plan de crisis<br>eh entendería yo que tendríamos que<br>nosotros contemplar a un equipo<br>multidisciplinario por todos los<br>servicios que están involucrados para<br>efectos de El buen o correcto<br>funcionamiento del hospital<br>ya y ahí va Lo que yo te decía recién<br>nosotros estamos<br>reciendo con este tema de hecho como<br>como hospital a nosotros se nos pone una<br>directriz general que tiene que ver con<br>respecto a que tenemos que implementar<br>un sistema de gestión de seguridad de<br>información<br>basándonos en las normas ISO<br>27001 la 27002 para fijar los controles<br>la 27005 para poder efectuar los<br>análisis de riesgo como tú bien lo<br>mostrabas ahí que son los mapas de<br>calor<br>Eh<br>entonces creo que lo más complejo<br>Benjamín como a modo de experiencia es<br>para quienes por primera vez entramos en<br>este campo empezamos a profundizar en lo<br>que es la ciberseguridad Y en donde<br>tenemos que empezar a ponernos al día<br>porque ya tenemos verdad que empezar a<br>reportar es es tener un mejor dominio<br>de de todo este de todo esto lo que<br>involucra y ahí es justamente tener una<br>visibilidad bastante amplia de que en<br>qué exactamente en donde nosotros<br>tenemos<br>que considerar Cuando tenemos que<br>definir un plan de de acción o de crisis<br>claro eso benjam ya tengo algo que decir<br>respecto a esto la verdad es que siento<br>que la cantidad de cosas que tienes que<br>que desarrollar es muy grande ya<br>entonces hay veces y lo que yo trato de<br>hacer o trato de recomendar es Buscar<br>cuáles son las oportunidades en donde el<br>con con un con una cantidad limitada de<br>recursos puedo lograr una un cambio<br>importante en la en la situación actual<br>Y eso es un poco parte de la definición<br>de la estrategia ya es super difícil<br>y como que es fácil decirlo pero pero la<br>idea es un poco<br>eh No tratar de de de ofuscarse con la<br>cantidad de información que aparece en<br>una norma que son grandes y que tienen<br>muchas muchos controles y eventualmente<br>decir eh Por dónde Podría empezar Ya y y<br>un poco eso es lo que traté de hacer con<br>esta presentación Es decirles<br>eh Estas son las cosas que están<br>ocurriendo verdad estos son los vectores<br>de entrada más utilizados<br>eh esta el el la etapa de contención es<br>clave para la para la cantidad de tiempo<br>que que me va a tomar gestionar el<br>incidente entonces probablemente Ahí es<br>donde están y que todo eso están las<br>normas ya pero el problema es que está<br>Eh Al igual que por ejemplo<br>eh la gestión de la información entonces<br>claro voy a tener que eh recorrerme la<br>norma completa para llegar a eso que era<br>probablemente una oportunidad eh de<br>generar un cambio importante porque<br>traté de gestionar toda la norma de una<br>vez Entonces eh trato un poco de de de<br>orientar en cuanto a la recomendación y<br>es<br>eh busquen cuáles son esas oportunidades<br>que tienen en donde puedan con un<br>control con implementación de controles<br>pequeños no tan que requieran tanto<br>esfuerzo y generar una un cambio<br>importante esa es un poco el comentario<br>No sé si si hay alguien más que quiera<br>que quiera comentarlo Muchas<br>gracias Ah yaos alguien que escri<br>podía pasar a la etapa pregunta<br>ya pero gracias<br>por<br>escuch Ramón acá de<br>comunicaciones s algunas preguntas te<br>las mandé por interno si las puedes ver<br>ahí más a voy<br>[Música]<br>ya Cecilia Díaz pregunta la interrupción<br>de la página de Mercado público sería un<br>incidente sí sin duda sin duda sería la<br>interrupción de la de una página<br>de acá esto parece que estamos hablando<br>del incidente de ifx del año<br>2023 creo sí eh En donde se interrumpió<br>eh la la disponibilidad de la página por<br>un tiempo y y sin duda ese es un<br>incidente de efecto significativo<br>probablemente eh una interrupción de la<br>página planificada es decir voy a<br>realizar un cambio en la configuración<br>por lo tanto voy a voy a dejar de<br>disponibilizar la página por un tiempo<br>acotado Eso no es un incidente porque<br>está<br>planificado no hay nada que reportar ahí<br>es parte de la planificación Pero sí<br>cuando haya una afectación eh de un<br>servicio importante como el de Mercado<br>público sin duda sin duda que es un<br>incidente efecto significativo eh<br>Gonzalo suñega dice solo los<br>ciberataques son considerados incidentes<br>significativos<br>eh Está difícil está difícil esa<br>pregunta podría ser<br>que es poco probable pero podría ser que<br>haya un incidente que afecte a a<br>muchos a muchos organismos y que<br>este no tenga relación directa con un c<br>atque pero si haya sido un un un<br>incidente efecto significativo por lo<br>tanto hay que reportar eh Por qué Por<br>qué es importante reportar Porque si se<br>dan cuenta No necesariamente un incid no<br>es un<br>ciberataque pero aplica la respuesta<br>antici es decir probablemente cuando<br>haya un una indisponibilidad de un<br>servicio por algún efecto tercero que no<br>sea necesariamente un c atque voy a<br>tener que de todas maneras utilizar mi<br>plan de recuperación ante desastre o mi<br>plan de continuidad operacional entonces<br>pareciera ser que si aplica<br>eh Como activar el plan de respuesta<br>antin incidente<br>Entonces sí y recomiendo evidentemente<br>ante la duda siempre<br>reportar tengo otra pregunta aquí<br>gzs si se cae el nodo de acceso a<br>internet de un edificio donde se<br>encuentra tránsito los juzgados<br>emergencia seguridad se considera un<br>incidente signif ya que afecta la<br>disponibilidad eh ese es un ejemplo<br>complicado eh depende siempre requiere<br>un análisis de las de las personas eh<br>que están que están ahí<br>probablemente el tiempo podría ser un<br>indicador importante cuando hablamos al<br>principio de la de lo que está definido<br>en la ley o en el reglamento eh podría<br>ser la cantidad de afectaciones y<br>eventualmente háganse la pregunta de si<br>aplica o no ar el plan de respuesta<br>antin incidente el si se fijan en la<br>semántica el plan es de respuesta anti<br>incidente no respuesta si atque entonces<br>probablemente cuando hay incidentes<br>aplica utilizar el plan de respuesta<br>anti incidente la redundancia Y entonces<br>eh si debiéramos considerarlo como un<br>incidente efecto significativo<br>eventualmente<br>no alv seul dice si se cae el sitio web<br>institucional por una Fall técnica Ya<br>esa como que se va repitiendo provocada<br>por algún cambio en la configuración por<br>parte del administrador de sitio ya eso<br>a la larga no es un incidente efecto<br>significativo Ya el lo que<br>pregunt y es un poco<br>decir porque porque había una<br>planificación o porque alguien cambió<br>una configuración y se me cayeron los<br>servicios<br>Entonces es decir por acciones propias<br>del mismo<br>organismo en en la normal Eh Tuve una<br>caía de servicio eh podría ser que o sea<br>Sería bueno que al menos antes de<br>reportar verificarán Si eso es porque<br>probablemente el problema se resuelve<br>con gestión interna y no con<br>el el plan de respuesta anti incidente o<br>con las acciones de respuesta anti<br>incidente eh eso es como como cosas que<br>hay que tener<br>eh presente y Alba creo que Disculpen<br>que me demore un poquito porque la<br>respuesta es un poco larga O sea la<br>pregunta<br>eh Después de cuánto tiempo de<br>disponibilidad deberíamos reportarlo eh<br>Como insisto Depende depende de del de<br>lo que estén eh de lo que estén viviendo<br>Y si fueron capaces de determinar<br>internamente si es que eso obedece a<br>una a una operación normal del equipo<br>técnico o<br>e o efectivamente un un incidente eh que<br>tenga connotación dec el ataque<br>eh ran Tapia dice todos los servicios<br>esenciales deben tener eh plan de<br>respuesta antin incidente plan de<br>continuidad en negocio plan de<br>recuperación de desastre y plan de<br>crisis creo que lo dije en algún momento<br>la dentro de la presentación eh las<br>obligaciones están en la ley Los invito<br>a leérsela pero hoy día servicios<br>esenciales eh tienen dos<br>eh tienen dos eh obligaciones eh que son<br>eh la de reportar y la de de e eh y la<br>de gestionar internamente sus incidentes<br>es decir eh detectar<br>y y alertar o o o o generar una<br>respuesta inicial por lo tanto sí los<br>servicios esenciales deberían tener una<br>estrategia no lo dice específicamente y<br>claramente la ley pero probablemente va<br>a existir una norma en el en el mediano<br>plazo por parte de la agencia en donde<br>diga que todos los servicios esenciales<br>debieran tener un plan de respuesta<br>inente Benjamín Disculpa que interrumpa<br>se escucha sí Pablo Salinas por acá sí<br>adelante Pao eh También tengo presente<br>que de acuerdo a la ley<br>21663 eh se debe considerar las normas<br>de los organismos sectoriales para los<br>servicios esenciales Buen punto super<br>Buen punto sí que eso va a depender de<br>cada servicio esencial de acuerdo al<br>organismo sectorial que esté desin<br>correcto correcto super buena puerte<br>Pablo eh es verdad No acá nosotros<br>Probablemente esta estas recomendaciones<br>aplican a a o permiten contribuir con el<br>cumplimiento de las normativas<br>sectoriales pero claro no no no hay una<br>suerte de que Porque existe la la ley de<br>Marco de c seguridad o los reglamentos<br>que tienen relación con la ley eh se<br>vayan derogando en el fondo las<br>normativas que tienen los otros<br>reguladores eso no es así ya todos lo<br>todas las normas que tengan los otros<br>reguladores existen y y en probablemente<br>si es que entre ambos<br>eh nos estamos regulando de los mismos<br>temas en el futuro esto se va a<br>gestionar para que eh tengamos A lo<br>mejor ciertas cosas que estén en la<br>misma línea ya y que no no hayan<br>eh contradicciones entre normas bien eh<br>est a todo esto Esto no es el tema de la<br>normativa no es el tema de esta<br>presentación pero<br>eh el fondo Les comento lo que lo que<br>puedo eh lo que puedo ver y respecto a<br>los controles ahí en Cristóbal Arias<br>dice Respecto a los controles de<br>seguridad que exige la ley marco debería<br>implementar un sistema gestion es como<br>la pregunta es tengo tengo la obligación<br>de<br>eh de de implementar la norma ISO 27001<br>y ya eh No no la La respuesta es no no<br>tienen la obligación ya eh pueden<br>utilizar la norma como buenas prácticas<br>excepto perdón de acuerdo a lo que decía<br>Pablo de que haya una normativa<br>sectorial ya si que hay una normaa<br>sectorial Sí pero la pregunta es de<br>acuerdo a la ley y a la reglamentación<br>que tiene relación con la ley estoy<br>obligado a implementar la Norma 271 no<br>no están obligados ya eh debieran tener<br>una estrategia Sí ya entonces eh Para<br>eso un poco estamos tratando de hacer<br>este esta suerte de traspaso de<br>experiencia a la comunidad<br>e los reglamentos están en la página web<br>de lancy por si los quisieran leer eh<br>las dudas siempre las pueden enviar a<br>comunicaciones desarroll ccl o a eh<br>ayuda @ ani.gov.co<br>Eh Y creo que eso es en general lo que<br>tenía que comentarles no sé si hay<br>alguien que quiera hacer una última<br>pregunta o vamos cerrando la<br>presentación listo Muchas gracias eh Por<br>el tiempo eh Y espero que podamos estar<br>contribuyendo con las funciones propias<br>que tienen que realizar cada uno en su<br>en su respectivas<br>organización Muchas gracias y por<br>cualquier requerimiento estamos en<br>contacto<br>Saludos<br>gracias<br>Gracias chao chao<br>gracias gracias