Forensics in Spanish
Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 08:30AM
.:: b3r2c0 ::. (bertuco lostintheshell net) (5 replies)
Re: Política de Seguridad:¿qué hacer cuando detectas unaintrusión? Sep 19 2006 08:03AM
Isaac Perez (suscripcions tsolucio com)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 19 2006 07:50AM
Francisco GómezMarín (francisco gomezmarin com)


On Mon, 18 Sep 2006 10:30:58 +0200, ".:: b3r2c0 ::." <bertuco (at) lostintheshell (dot) net [email concealed]> wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>
> De todo lo que he leído por ahí, lo que más me llama la atención es
> las
> dos vertientes frente al caos: desconexión inmediata, copia a bajo
> nivel, etc... y la del seguimiento en tiempo real para intentar dar con
> el atacante; supongo, aunque no siempre lo he visto así, que lo ideal es
> que con cualquiera de las dos prácticas, las autoridades sean avisadas
> en el momento.
>
> Espero vuestras sugerencias.
>
> Gracias por todo de antemano.

Hola,

Sin ser un experto en políticas de seguridad, te diría que de las dos vertientes que hablas
una no me termina de convencer. IMHO, una política de seguridad debe de definir soluciones
preestablecidas a cualquier evento que pueda tener lugar en los sistemas informáticos de tu
empresa, para evitar improvisaciones que puedan ocasionar malos resultados. Así, yo, en mi
empresa, no me centraría en lo que llamas "seguimiento en tiempo real para intentar dar con el
atacante", ya que eso lo considero más propio de una honeynet (a no ser que la empresa se
dedique a ese tipo de investigaciones). Yo realizaría el estudio del disco aparte pero para
localizar la vulnerabilidad explotada y poder subsanarla cuanto antes para restablecer el
servicio cuanto antes, ya que en una empresa el tiempo es crítico. Es por ello que tratar de
localizar al atacante no me parecería lo más lógico, a no ser que dispongas de un amplio equipo
de personas o dedicadas exclusivamente a eso. Si no es así, yo dejaría en manos de las autoridades
el problema con los correspondientes logs. Espero haberte entendido bien y que mi respuesta te
sirva.

Un saludo.

--
Francisco Gómez Marín
MSN: txuy (at) hotmail (dot) com [email concealed]

[ reply ]
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 09:25PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com) (1 replies)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 19 2006 05:24AM
Mario de Frutos (marfru cartif es)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 08:42PM
Sergio González (sergidj69 gmail com) (1 replies)
Re: Poltica de Seguridad: qu hacer cuando detectas una intrusin? Sep 18 2006 10:33PM
Richard Garca Rondn (richardgarcia hotmail co uk)


 

Privacy Statement
Copyright 2010, SecurityFocus