La gestión de incidentes es un servicio central provisto por NTTDATA-ES-CERT para dar respuesta a las amenazas a la seguridad de la información y consta de un conjunto de procesos definidos y estructurados. Este incluye un apoyo completo y canales de comunicación con el personal afectado durante todo el proceso para asegurar una respuesta eficiente y adecuada. A continuación se presentan las distintas etapas de nuestro servicio de respuesta a incidentes:

• Reporte (recepción del incidente por nuestros operadores).
• Notificación del incidente en el sistema de seguimiento.
• Identificación y clasificación.
• Priorización.
• Investigación inicial y contención.
• Rastreo de incidentes.
• Escalada a miembros del equipo de nivel 2/3 (si fuese necesario).
• Los casos forenses los gestiona el servicio de Investigación Forense.
• Los casos de malware los gestiona el servicio de Análisis de Malware.
• Solución, reporte y cierre.

Este servicio normalmente se provee desde las instalaciones de nuestro CERT, pero si el escenario así lo requiriese, nuestro equipo está preparado para desplazarse hasta oficinas remotas o las instalaciones del cliente, así como para colaborar con otros equipos de IT o de recuperación de incidentes.

Los artefactos son las “huellas digitales” dejadas por los usuarios en su uso de un software o sistema operativo. La gestión de artefactos es clave para cualquier investigación forense, debiéndose garantizar su confidencialidad e integridad en todo momento.

En el equipo de respuesta a incidentes contamos con un entorno de análisis controlado para el tratamiento de estos artefactos. Para las muestras maliciosas, se cuenta con un laboratorio propio de pruebas, incluyendo entornos sandboxing aislados, que simulan sistemas y dispositivos corporativos comunes para probar malware recientemente descubierto o archivos/documentos sospechosos para determinar su naturaleza.

Este análisis da lugar a una serie de informes con detalles sobre el comportamiento y las acciones llevadas a cabo en el sistema (creación de archivos, accesos, modificaciones, descargas, conexiones establecidas, etc.).

• Generación de informes detallando el malware analizado.
• Definición de contramedidas y actividades de mitigación para protegerse contra malware descubierto.
• Colaboración e intercambio de información con otras organizaciones de seguridad, clientes y comerciantes.

Para complementar nuestros servicios de manejo de artefactos e incidentes, ofrecemos a nuestros clientes y organizaciones un servicio forense especializado bajo demanda, para gestionar investigaciones relacionadas con actividades criminales o malas praxis. Los servicios forenses abarcan sistemas, RAM, tráfico de red y recuperación de datos.

• Recogida de evidencias forenses.
• Cumplimiento de leyes y regulaciones aplicables.
• Controles estrictos para garantizar la cadena de custodia.
• Capacidad para aportar validez judicial en juicios.

Servicio de respuesta rápida para la detección e identificación de infecciones de malware y amenazas relacionadas con código malicioso, para complementar nuestros procesos centrales de manejo de artefactos e incidentes. Este servicio se centra en aportar:

• Detección proactiva de malware y servicios de inspección en profundidad.
• Identificación y análisis preventivos de malware.
• Soporte al cliente en la mitigación y aplicación de medidas.