El plan de se comienza a formar tomando en cuenta la estructura y composición de los equipos y sus acciones. Cada equipo tendrá un líder y cuando se active el estado de emergencia estos responderán al director del equipo quien establecerá las indicaciones para la ejecución de procesos por parte de los equipos. Plan de emergencia: Se establecen una serie de calamidades o emergencias potenciales a nivel informático, como lo son los ciberataques; los cuales son todos los eventos que conlleve, robo de información mediante código malicioso, bloqueo del servicio, daño de equipos y sistemas operativos ejecutados por virus; se han mencionado las consecuencias de los ataques, causas más comunes y populares en estos días. Se establecerán espacios de contingencia en todos los horarios, mañana, tarde o noche en días normales o feriados, del personal de tecnología siempre existirá una persona lista para atender posibles emergencias, ya sea remota o presencialmente, así como una lista de contactos para solicitar apoyo o autorizaciones de parte de gerencia o el líder de Seguridad Informática. Organización y tareas: La organización estará a cargo del equipo de Seguridad, ya que serán los encargados de mitigar un ataque en caso de que ocurra, si toma mucho tiempo se deberá informar a gerencia y se decidirá si la empresa se declara en emergencia o no. En caso de que se declare en emergencia se activarán los protocolos de seguridad y solo en ésta etapa se comenzará a accionar de acuerdo a las indicaciones del Director, de forma general algunas de las acciones que se tomarán serán las siguientes: Seguridad Detectar ataques en el sistema Establecer el impacto de la amenaza Informar a Gerencia los eventos críticos Coordinar con los demás expertos la aplicación del plan de contingencia Comunicaciones Bloqueo del perímetro interno y externo Coordinar cambios de ruta del tráfico externo e interno hacia el CDV. Activar honeynet en el perímetro externo para evitar propagación de la amenaza. Informar cuando se active honeynet para monitoreo, revisión y determinar plan para mitigar la amenaza Actualizar reglas del firewall en el CDV y configuraciones de switch y router ( en caso de ser necesario). Centro de Cómputo Monitorear el sistema y verificar funcionamiento de los servicios. Informar sobre novedades durante y después del ataque. Verificar conexiones hacia el CDV. Tener disponible los últimos respaldos de la base de datos de producción y del sistema en general. Verificar disponibilidad de servicios internos y externos cuando haya terminado el cambio. Servidores Bajar servicios red del sistema operativo y aplicaciones. Aislar los servidores de la red interna para verificación posterior, si un servidor está comprometido, apagarlo. Verificar y aplicar respaldos (en caso de ser necesarios) en servidores del CD. Verificar actualizaciones en servidores del CD. Verificar procesos en servidores del CD. Actualizar almacenamiento de datos en CD, en caso de ser necesario. Bases de datos Cerrar las conexiones a la base de datos de producción. Bajar servicios y desmontar la base de datos. Verificar almacenamiento de la base de datos no crezca en espacio(en caso de que se viera comprometida). Revisar los servicios y procesos de base de datos en el CD. Restaurar la base de datos en el CD (en caso de ser necesario). Verificar los servicios y procesos de la base de datos. Desarrollo de aplicaciones Verificar aplicaciones en el CD y actualizarlas (si fuera necesario) con la última versión estable. Realizar pruebas de compatibilidad y funcionamiento en el CD Replicar configuraciones en las instalaciones del CD para continuar operaciones desde la contingencia (remoto). Control de calidad Verificar los cambios aplicados por el equipo de desarrollo en el CD y certificar su óptimo funcionamiento. Controlar las versiones instaladas en el CD, cumplan con las solicitudes o requerimientos ya implementados. Certificar las pruebas de funcionamiento de las aplicaciones del CD. Procedimiento de respuesta: Este consta de 3 fases que, pueden explicar la aplicación del plan de contingencia. Tomaremos como ejemplo un ataque de inyección de código malicioso, desde el equipo de trabajo del operador del Centro de Cómputo, la investigación realizada en ese momento concluyó que la causa de infección fue a través de un correo (con un archivo adjunto) que envió un proveedor de servicios aparentemente solicitando información acerca de las instalaciones físicas para realizar el paso de la línea de fibra óptica y mejorar las comunicaciones. El código ejecutó un archivo .bat y desde la estación de trabajo del operador realizó la descarga de información sobre productos nuevos y parte de la cartera de clientes afiliados a la empresa; esta información la envía a través de una conexión ftp a una IP pública registrada a nombre de la empresa rival. Mediante demandas y acuerdos de confidencialidad se pudo lanzar los productos sin perjuicio económico, y se pudo limpiar el sistema del virus. Menos de 30 días después se registró otro evento de seguridad: El equipo de seguridad informática detectó una serie de intentos de accesos mediante fuerza bruta al firewall, y es contenido cerrando el puerto de conexión. Unos minutos después se realiza un ataque DDoS, tipo SMURF, esto hizo que el firewall se ralentice y comience a rechazar conexiones, Seguridad lo detecta, informa a gerencia e inmediatamente se establece el estado de emergencia. Casi al mismo tiempo un usuario reporta fallos en su estación de trabajo a soporte técnico, y se detecta la presencia de un virus debido al comportamiento siguiente: o Consumo de disco duro al máximo o Tráfico de red elevado. o Sistema Operativo inestable debido al consumo de recursos. o Procesos desconocidos se encuentran con nombres propios del sistema operativo. Soporte técnico informa a Seguridad que el antivirus fue deshabilitado y no detectó el virus. Se procede a aislar el equipo de la red. Seguridad informa que se aplicará el plan de contingencia ante ciberataques. 1. Cuando la amenaza es detectada, Seguridad informa a gerencia y se establece el estado de emergencia, durante éste lapso el experto en Seguridad es la máxima autoridad. 2. El se cierran las conexiones de los equipos de comunicación, y procede a activar el “Honeynet”. Se coordinan cambios de ruta hacia el CD y que permanezcan en espera para habilitarlos. 3. El experto en seguridad informa a los propietarios de los enlaces y servicios externos sobre el cambio. 4. Se cierran las conexiones de base de datos en la base de producción, detienen servicios y procesos y se genera una copia de seguridad de la base de datos de modo incremental, para que sea subida hacia el CD 5. Se detienen los servicios de red de los equipos de producción ubicados en el centro de datos. 6. Se verifican los servicios tanto en el centro de datos principal como en el CDV. 7. Se le indica a los usuarios apagar inmediatamente sus estaciones de trabajo para evitar propagar la amenaza. 8. Se informa mediante un boletín la intermitencia en el sistema. 9. Se empiezan a subir las actualizaciones en el CDV de los equipos que lo requieran. Se deben actualizar tanto reglas como permisos de Firewalls y switches 10. Empieza la subida y restauración de la base de producción ubicada en el CDV. 11. Se actualizan las aplicaciones a sus últimas versiones cuando se confirme que terminaron las tareas en el CDV y se verifica el correcto despliegue de las aplicaciones con cambios implementados. 12. Cuando se informa que se ha terminado la restauración de la Base de Datos, se realizan las pruebas de transacción en el sistema a través de los equipos de prueba de la empresa. 13. Se le indica a los proveedores que habiliten los enlaces hacia el CDV, poniendo en línea el Centro de Datos Virtual y restaurando operaciones. La amenaza ha sido contenida y ubicada mediante IP, ahora se procede a bloquear dicha dirección y se envía una solicitud al proveedor de internet para que realice la misma acción. El ataque SMURF fue repelido con éxito, no solo por el bloqueo de IP, sino deshabilitando ping y echo en los firewalls, switches y demás equipos que tengan salida a Internet y reconfigurándolos para estos fines. El virus que fue detectado en las estaciones de trabajo también fue contenido aplicando un antivirus portátil y herramientas de desinfección avanzadas.