Salta el contingut

Incidents de Ciberseguretat (Mòdul 5021)

Proposta didàctica

En aquest mòdul treballem el resultat d'aprenentatge principal: Desenvolupa plans de prevenció i conscienciació en ciberseguretat, analitza i investiga incidents, implementa mesures de resposta i els documenta correctament.

El mòdul professional 5021 - Incidents de Ciberseguretat té una càrrega lectiva de 99 hores i es divideix en cinc grans blocs temàtics que cobreixen tot el cicle de vida d'un incident de seguretat: des de la prevenció i conscienciació fins a la notificació i documentació final.


Criteris d'avaluació

Bloc RA1: Prevenció i conscienciació

  • CA1.1 Defineix principis generals de ciberseguretat organitzatius.

  • CA1.2 Estableix normativa de protecció del lloc de treball.

  • CA1.3 Defineix pla de conscienciació per a empleats.

  • CA1.4 Desenvolupa materials de conscienciació.

  • CA1.5 Realitza auditoria del pla de prevenció.

Bloc RA2: Taxonomia i detecció

  • CA2.1 Classifica taxonomia d'incidents de ciberseguretat.

  • CA2.2 Estableix controls de monitoratge i detecció.

  • CA2.3 Detecta incidents de seguretat física.

  • CA2.4 Realitza monitoratge via OSINT.

  • CA2.5 Classifica i documenta incidents detectats.

Bloc RA3: Investigació d'incidents

  • CA3.1 Recull evidències de manera segura i forense.

  • CA3.2 Analitza evidències digitals d'un incident.

  • CA3.3 Investiga un incident de ciberseguretat.

  • CA3.4 Intercanvia informació amb tercers (CERTs, ISACs).

  • CA3.5 Implementa mesures de contenció de l'incident.

Bloc RA4: Resposta a incidents

  • CA4.1 Aplica procediments d'actuació per a la resposta a incidents.

  • CA4.2 Implementa respostes ciberresilients.

  • CA4.3 Segueix flux de presa de decisions durant un incident.

  • CA4.4 Restableix serveis afectats per un incident.

  • CA4.5 Documenta lliçons apreses post-incident.

  • CA4.6 Realitza seguiment post-incident.

Bloc RA5: Documentació i notificació

  • CA5.1 Aplica procediment de notificació temporal (SLAs).

  • CA5.2 Realitza notificació interna de l'incident.

  • CA5.3 Notifica l'incident a les autoritats competents.

  • CA5.4 Redacta notificació formal als afectats.

  • CA5.5 Gestiona la comunicació de l'incident als mitjans.


Continguts de referència

  1. Prevenció i conscienciació en ciberseguretat

    • 1.1 Principis generals: CIA (Confidencialitat, Integritat, Disponibilitat)
    • 1.2 Normativa de protecció del lloc de treball
    • 1.3 Plans de conscienciació per a empleats
    • 1.4 Materials i campanyes de conscienciació
    • 1.5 Auditoria del pla de prevenció
  2. Taxonomia i detecció d'incidents

    • 2.1 Classificació d'incidents (ENISA, MITRE ATT&CK)
    • 2.2 Eines de monitoratge: SIEM, IDS/IPS, EDR
    • 2.3 Detecció d'incidents de seguretat física
    • 2.4 Monitoratge passiu via OSINT
    • 2.5 Classificació i valoració d'incidents
  3. Investigació d'incidents

    • 3.1 Metodologia forense bàsica
    • 3.2 Recollida i preservació d'evidències
    • 3.3 Cadena de custòdia
    • 3.4 Anàlisi d'evidències (logs, artefactes, memòria)
    • 3.5 Intercanvi d'informació: CERT, INCIBE, CCN-CERT
  4. Resposta a incidents

    • 4.1 Fases de resposta (PICERL)
    • 4.2 Playbooks per tipus d'incident
    • 4.3 Ciberresiliència i continuïtat de negoci
    • 4.4 Eines de gestió: TheHive, MISP
    • 4.5 Lliçons apreses
  5. Documentació i notificació

    • 5.1 Procediment de notificació temporal
    • 5.2 Notificació interna
    • 5.3 Notificació a autoritats (INCIBE, CCN-CERT, AEPD)
    • 5.4 Notificació als afectats
    • 5.5 Comunicació als mitjans de comunicació

Questionari inicial

  1. Què és un incident de ciberseguretat i en què es diferencia d'un event de seguretat?
  2. Quines tres propietats fonamentals constitueixen la tríada CIA de la ciberseguretat?
  3. Quins organismes nacionals espanyols s'encarreguen de la gestió d'incidents de ciberseguretat?
  4. En quines situacions una empresa té l'obligació legal de notificar una bretxa de seguretat?
  5. Quin és el termini màxim per notificar una bretxa de dades personals a l'AEPD segons el RGPD?
  6. Què és un SIEM i per a què s'utilitza en la detecció d'incidents?
  7. Explica la diferència entre un IDS i un IPS. Quin és l'avantatge i l'inconvenient de cada un?
  8. Què és OSINT i com es pot utilitzar per a la monitoratge de ciberseguretat?
  9. Quines fases inclou un pla de resposta a incidents típic?
  10. Què és la cadena de custòdia en el context d'una investigació forense digital?
  11. Quin és el principi fonamental de la recollida d'evidències forenses digitals?
  12. Què és un playbook d'incidents i per a què serveix?
  13. Explica breument en què consistí l'atac WannaCry de 2017 i quina vulnerabilitat va explotar.
  14. Quina diferència hi ha entre la contenció, l'erradicació i la recuperació en la resposta a incidents?
  15. Què és un CERT i com col·labora amb les organitzacions durant un incident?
  16. Què és la tècnica de phishing i quines variants en coneixes?
  17. En quin consisteix un atac de ransomware i com afecta la disponibilitat dels sistemes?
  18. Què és la ciberresiliència i com es diferencia de la simple seguretat informàtica?
  19. Quins elements ha d'incloure obligatòriament un informe post-incident?
  20. Quina és la diferència entre un pla de resposta a incidents (IRP) i un pla de continuïtat de negoci (BCP)?

Programació d'aula

El mòdul té una durada de 99 hores lectives distribuïdes aproximadament en els cinc blocs temàtics al llarg del curs.

Sessió Continguts Activitats CAs Treballats
1 Presentació del mòdul. Conceptes bàsics
2 Tríada CIA. Principis generals ciberseguretat CA1.1
3 Marc normatiu: RGPD, ENS, NIS2 CA1.1, CA1.2
4 Normativa de protecció del lloc de treball CA1.2
5 Plans de conscienciació: disseny CA1.3
6 Plans de conscienciació: implementació CA1.3
7 Materials de conscienciació: posters i newsletters CA1.4
8 Materials de conscienciació: vídeos i simulacres CA1.4
9 Phishing simulat: eines i metodologia CA1.3, CA1.4
10 Auditoria del pla de prevenció CA1.5
11 Mètriques i KPIs de conscienciació CA1.5
12-14 Pràctica: Campanya de conscienciació Pràctica grupal CA1.3, CA1.4, CA1.5
15-20 Projecte bloc 1 Projecte Tots CA1.x
21 Taxonomia d'incidents: ENISA, MITRE ATT&CK CA2.1
22 Tècniques d'atac: kill chain i TTPs CA2.1
23 Eines SIEM: arquitectura i funcionament CA2.2
24 Desplegament Wazuh amb Docker Pràctica SIEM CA2.2
25 Correlació d'events i alertes CA2.2
26 IDS/IPS: Snort i Suricata CA2.2
27 EDR: detecció en endpoints CA2.2
28 Seguretat física: controls i incidents CA2.3
29 OSINT per a detecció: Shodan, VirusTotal CA2.4
30 OSINT: Maltego i SpiderFoot Pràctica OSINT CA2.4
31 Matriu d'impacte i probabilitat CA2.5
32 Classificació i documentació d'incidents CA2.5
33-37 Pràctica SIEM amb Wazuh Pràctica CA2.2, CA2.5
38-40 Projecte bloc 2 Projecte Tots CA2.x
41 Metodologia forense: introducció CA3.1
42 Ordre de volatilitat i recollida d'evidències CA3.1
43 Eines forenses: dd, FTK, Autopsy CA3.1, CA3.2
44 Cadena de custòdia: documents i procediments CA3.1
45 Anàlisi de logs: syslog, Windows Event Log CA3.2
46 Anàlisi de memòria amb Volatility CA3.2
47 Anàlisi de fitxers i artefactes CA3.2
48 Investigació d'incidents: metodologia CA3.3
49 Timeline d'incidents CA3.3
50 CERTs nacionals: INCIBE, CCN-CERT CA3.4
51 ISACs i intercanvi d'informació CA3.4
52 Mesures de contenció: tipus i criteris CA3.5
53-57 Pràctica investigació forense Pràctica CA3.1, CA3.2, CA3.3
58-60 Projecte bloc 3 Projecte Tots CA3.x
61 Fases de resposta: model PICERL CA4.1
62 Playbook de resposta a ransomware CA4.1, CA4.3
63 Playbook de resposta a phishing CA4.1, CA4.3
64 Playbook de resposta a DDoS CA4.1, CA4.3
65 Playbook de resposta a data breach CA4.1, CA4.3
66 Ciberresiliència: concepte i implantació CA4.2
67 Pla de continuïtat de negoci (BCP) CA4.2
68 RTO i RPO: objectius de recuperació CA4.4
69 Restabliment de serveis: procediments CA4.4
70 Eines de gestió: TheHive CA4.1
71 Eines de gestió: MISP CA4.1, CA3.4
72 Lliçons apreses: format i contingut CA4.5, CA4.6
73-77 Simulacre d'incident (tabletop exercise) Exercici Tots CA4.x
78-80 Projecte bloc 4 Projecte Tots CA4.x
81 Marc legal de notificació: RGPD, NIS2 CA5.1
82 SLAs de notificació: terminis legals CA5.1
83 Notificació interna: cadena de comandament CA5.2
84 Notificació a l'AEPD: procediment CA5.3
85 Notificació a INCIBE i CCN-CERT CA5.3
86 Redacció de comunicació als afectats CA5.4
87 Gestió de crisi: comunicació als mitjans CA5.5
88 Post-mortem: format i bones pràctiques CA4.5, CA5.1
89-93 Pràctica: gestió completa d'un incident Pràctica final Tots
94-99 Projecte final integrador Projecte final Tots

Introducció al mòdul

Per què és crucial la gestió d'incidents?

La gestió d'incidents de ciberseguretat no és una opció, és una necessitat organitzativa. Tota empresa o institució, independentment de la seva mida, és un objectiu potencial per a actors maliciosos. La pregunta ja no és si es produirà un incident, sinó quan es produirà i quina serà la capacitat de resposta de l'organització.

El cost mitjà d'una bretxa de seguretat el 2024 va superar els 4,88 milions de dòlars a nivell global, segons l'informe anual d'IBM. A Espanya, el CCN-CERT va gestionar més de 107.000 incidents durant el 2023, una xifra que ha crescut any rere any.

Els incidents de major impacte dels darrers anys han posat en evidència que cap organització és immune: des del WannaCry de 2017 que va afectar centenars de milers de sistemes en 150 països en poques hores, passant per SolarWinds el 2020 que va comprometre agències governamentals dels EUA durant mesos sense ser detectat, fins a la bretxa de Colonial Pipeline el 2021 que va paralitzar el subministrament de combustible a la costa est dels EUA. A Espanya, l'atac al SEPE el 2021 va paralitzar les sol·licituds d'atur de milers de persones durant setmanes.

Tots aquests incidents tenien un denominador comú: l'absència o la insuficiència dels plans de prevenció, detecció i resposta.

Estructura del mòdul

El mòdul s'organitza en cinc blocs que segueixen el cicle de vida natural d'un incident:

flowchart LR
    A["🛡️ Prevenció\n& Conscienciació\n(20h)"] --> B["🔍 Taxonomia\n& Detecció\n(20h)"]
    B --> C["🔬 Investigació\nd'Incidents\n(20h)"]
    C --> D["⚡ Resposta\na Incidents\n(20h)"]
    D --> E["📋 Documentació\n& Notificació\n(19h)"]
    E -.->|"Millora contínua"| A

Cada bloc es recolza en pràctiques amb eines reals (Wazuh, TheHive, MISP, Autopsy) i en l'estudi de casos reals documentats. L'objectiu és que l'alumnat surti del mòdul amb la capacitat de gestionar un incident de principi a fi en un entorn professional real.


El cicle de vida d'un incident

Un incident de ciberseguretat no és un moment puntual, sinó un procés que evoluciona a través de diverses fases. Comprendre aquest cicle és fonamental per poder intervenir eficaçment en qualsevol punt.

flowchart TD
    subgraph PRE["FASE PRE-INCIDENT"]
        A["Identificació d'actius"] --> B["Anàlisi de riscos"]
        B --> C["Implementació de controls"]
        C --> D["Plans i playbooks"]
        D --> E["Formació i conscienciació"]
    end

    subgraph DURING["FASE DURANT L'INCIDENT"]
        F["Detecció d'anomalia"] --> G["Triatge i classificació"]
        G --> H["Activació del pla de resposta"]
        H --> I["Contenció"]
        I --> J["Investigació i anàlisi"]
        J --> K["Erradicació"]
        K --> L["Recuperació"]
    end

    subgraph POST["FASE POST-INCIDENT"]
        M["Verificació de la recuperació"] --> N["Post-mortem i lliçons apreses"]
        N --> O["Actualització de controls"]
        O --> P["Notificació a autoritats"]
        P --> Q["Comunicació als afectats"]
    end

    PRE -->|"Incident detectat"| DURING
    DURING -->|"Sistemes restablerts"| POST
    POST -.->|"Millora contínua"| PRE

Les fases en detall

Fase pre-incident (Preparació): La fase de preparació és la més important i, paradoxalment, la que moltes organitzacions descuiden. Una organització ben preparada pot respondre a un incident en qüestió d'hores; una organització impreparada pot trigar setmanes. Durant aquesta fase s'identifiquen els actius crítics, s'avaluen els riscos, s'implementen controls preventius i es redacten els plans d'actuació.

Detecció i classificació: No tot event de seguretat és un incident. Un event és qualsevol observació en un sistema (per exemple, un intent d'inici de sessió fallit). Un incident és un event o conjunt d'events que compromen o amenacen la confidencialitat, integritat o disponibilitat dels actius. El triatge permet distingir els veritables incidents dels falsos positius i assignar-los un nivell de gravetat.

Contenció: L'objectiu de la contenció no és eliminar l'amenaça, sinó limitar-ne l'abast mentre es prepara una resposta adequada. Existeix la contenció a curt termini (accions immediates com aïllar un sistema) i la contenció a llarg termini (mesures que permeten continuar operant amb seguretat mentre es treballa en l'erradicació).

Investigació i erradicació: La investigació busca entendre el qui, el com i el per què de l'incident. L'erradicació elimina la causa arrel: desinstal·lar el malware, tancar la vulnerabilitat explotada, eliminar els comptes compromesos.

Recuperació: El restabliment dels serveis ha de fer-se amb cura, verificant que els sistemes estan nets i que les vulnerabilitats han estat corregides. Un retorn precipitat pot conduir a una reinfecció.

Lliçons apreses: La fase final és la més valuosa per a la millora contínua. El document de lliçons apreses (o post-mortem) ha de respondre a: Què va passar? Quan i com es va detectar? Quina va ser la resposta? Qué es va fer bé i qué es podria millorar? Quins canvis cal implementar?


Regulació europea i nacional

La gestió d'incidents de ciberseguretat no és només una qüestió tècnica, sinó també legal. Diverses normatives estableixen obligacions concretes per a les organitzacions:

RGPD (Reglament General de Protecció de Dades - UE 2016/679): Obliga les organitzacions a notificar les bretxes de dades personals a l'autoritat supervisora (AEPD a Espanya) en un màxim de 72 hores des que en tinguin coneixement. Si la bretxa suposa un risc elevat per als drets dels afectats, cal notificar-los directament.

Directiva NIS2 (Network and Information Security 2 - UE 2022/2555): Amplia l'àmbit d'aplicació de la directiva NIS original i estableix requisits més estrictes de gestió d'incidents per a entitats essencials i importants. Preveu sancions de fins al 2% del volum de negoci global.

ENS (Esquema Nacional de Seguretat - RD 311/2022): Obliga les administracions públiques espanyoles i els seus proveïdors a implementar mesures de seguretat i gestionar els incidents seguint procediments documentats. Els incidents han de notificar-se al CCN-CERT.

LPIC (Llei de Protecció de les Infraestructures Crítiques - L8/2011): Estableix obligacions específiques per als operadors d'infraestructures crítiques (energia, transport, aigua, finances, etc.) en matèria de prevenció i resposta a incidents.

Organismes clau

Organisme Àmbit Web
INCIBE-CERT Empreses, ciutadans i universitats incibe.es
CCN-CERT Administracions públiques i empreses estratègiques ccn-cert.cni.es
AEPD Protecció de dades personals aepd.es
CNPIC Infraestructures crítiques interior.gob.es/cnpic
ENISA Agència de ciberseguretat de la UE enisa.europa.eu

Recursos del mòdul

Continguts teòrics

Pràctiques

Rúbriques d'avaluació


Activitats i projectes

Activitats bàsiques

  • AC501. (RA1 // CA1.1, CA1.2) Anàlisi del marc normatiu de ciberseguretat a Espanya
  • AC502. (RA1 // CA1.3, CA1.4) Disseny d'una campanya de conscienciació per a una empresa fictícia
  • AC503. (RA2 // CA2.1) Mapa de tàctiques MITRE ATT&CK per a un sector concret
  • AC504. (RA2 // CA2.2) Configuració bàsica de regles SIEM amb Wazuh
  • AC505. (RA3 // CA3.1, CA3.2) Anàlisi forense d'una imatge de disc amb Autopsy
  • AC506. (RA4 // CA4.1) Redacció d'un playbook de resposta a phishing
  • AC507. (RA5 // CA5.3, CA5.4) Simulació de notificació d'una bretxa a l'AEPD

Pràctiques de laboratori

  • PR501. (RA2 // CA2.2, CA2.5) Desplegament i configuració de SIEM Wazuh amb Docker
  • PR502. (RA2 // CA2.4) Recollida d'intel·ligència OSINT sobre un domini autoritzat

Projecte final integrador

  • PF501. Gestió completa d'un incident simulat: des de la detecció fins a la notificació final, incloent investigació forense, resposta i documentació.