Você está na página 1de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

PROCEDIMIENTO GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA


INFORMACIN
SGSI-P01

RESPONSABILIDAD Y AUTORIDAD
REVISADO POR:
Claudia Paez
Coordinadora del
Integral
APROBADO POR:
Jairo Martnez
Gerente de ITS

VERSIN No. 5

Sistema

de

Gestin

FECHA

30/10/2014

30/10/2014

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 1 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

1. TABLA DE MODIFICACIONES
En este documento se realizaron cambios. Por favor lalos y aplquelos.
Verifique que est utilizando la ltima Versin correspondiente a la ltima revisin.

N VERSIN
MODIFIC.

FECHA
MODIFIC.

5/11/2010

MODIFICACIONES
-Actualizar el objeto y alcance del procedimiento.
- Actualizar los nombres, cargos y extensiones de las
personas a las cuales se pueden realizar los reportes de
seguridad de la informacin.
-Actualizar el formato SGSI-P01-F01
- Actualizar la descripcin general de actividades.
-

09/07/2013
-

30/10/2014

VERSIN No. 5

Actualizacin del alcance del procedimiento


Actualizacin de los incidentes crticos
Actualizacin del correo para reporte de eventos de
seguridad.
Actualizacin de los eventos y/o debilidades a reportar.

Actualizar logo del documento.


Actualizar cargo y responsables de la persona
encargada de aprobar el documento
Eliminar las firmas digitales de la portada.
Incluir la gestin desarrollada a travs del software
service desk
Incluir los registros del software de service desk.
Actulziar la versin del dopcuemnto.

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 2 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

2. OBJETO
Asegurar que las debilidades y los incidentes de seguridad en la informacin se identifican
y se toman los correctivos necesarios para prevenir que no vuelvan a ocurrir. Asegurar
que se da cumplimiento a los lineamientos de la poltica general de seguridad de la
informacin y a la poltica especfica SGSI-PL 25 de gestin de incidentes de seguridad.
3. ALCANCE
Este procedimiento inicia con el reporte de debilidades o incidente de seguridad que
afecten de forma critica los activos de informacin de la organizacin, continua con la
investigacin y anlisis de los eventos reportados y finaliza con la toma de acciones de
mejora para prevenir la ocurrencia de nuevos incidentes. Aplica para todos los
colaboradores de la organizacin.
4. DOCUMENTOS PARA CONSULTA

NTC-ISO/IEC 27001:2013 Tecnologa de Informacin. Tcnicas de Seguridad.


Sistemas de Gestin de la Seguridad en la Informacin (SGSI) Requisitos.
NTC-ISO-IEC 17799:2006 Tecnologas de Informacin. Tcnicas de
Seguridad. Cdigo de Practica para la Gestin de la Seguridad de la
Informacin.
NTC-ISO-IEC 5254:2006 Administracin del Riesgo.
GTC 169 Tecnologa de la informacin. Tcnicas de seguridad. Gestin de
incidentes de seguridad de la informacin. 27/02/2008
SGSI-PL25 Poltica de gestin de incidentes de seguridad de la Informacin.

5. TRMINOS Y DEFINICIONES
ANLISIS DE RIESGO: Proceso que permite determinar cun frecuentemente puede
ocurrir eventos especficos y la magnitud de sus consecuencias.
EVENTO DE SEGURIDAD DE LA INFORMACIN: Presencia identificada de una
condicin de un sistema, servicio o red, que indica que una posible violacin de la poltica
de seguridad de la informacin o la falla de las salvaguardas, o una situacin desconocida
previamente que puede ser pertinente a la seguridad.
INCIDENTE DE SEGURIDAD DE LA INFORMACIN: Un evento o serie de eventos de
seguridad de la informacin no deseados o inesperados, que tienen una probabilidad
significativa de comprometer las operaciones de negocio y amenazar la seguridad de la
informacin.
Como algunos ejemplos de incidentes crticos de seguridad podemos citar:

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 3 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

Robo de informacin sensible de proyectos.


Denegacin de servicio masiva sobre equipos de la red, afectando la operacin
de la Compaa.
Denegacin de servicio masivo por el ingreso y propagacin de virus que explotan
vulnerabilidades.
Dao de servidores
Incumplimientos de las polticas o las directrices que comprometan los activos de
la organizacin.
Cambios no controlados en el sistema.

MONITOREO: comprobar, supervisar, observar crticamente, o registrar el proceso de una


actividad, accin o sistema en forma sistemtica, para identificar cambios.
RESTRICCIONES: Por lo general las restricciones son establecidas o reconocidas por la
direccin de la organizacin y estn influidas por el entorno en el cual opera sta.
SALVAGUARDAR: son prcticas, procedimientos o mecanismos que pueden proteger
contra una amenaza, reducir una vulnerabilidad.
SOLICITUD DEL SERVICIO: Una solicitud de servicio es una peticin de un usuario de
informacin o asesoramiento, o de un cambio estndar, o para el acceso a un servicio de
TI.
VULNERABILIDAD: muestra la fragilidad de un sistema (fsico, Tcnico, organizacional,
cultural, etc.) que puede ser afectado adversamente, causando daos o perjuicios.
6. DESCRIPCIN GENERAL DE ACTIVIDADES
6.1.

REPORTE SOBRE LOS EVENTOS Y LAS DEBILIDADES DE LA SEGURIDAD


DE LA INFORMACIN

Todos los colaboradores que identifiquen o se percaten de un evento y/o debilidad de


seguridad de la informacin debern notificar inmediatamente a la gerencia de ITS.
Reporte telefnico: 7434440 ext.: 1109,1188, 1310
Correo electrnico: service.desk@redcom.com.co
NOMBRE
Jairo Martinez
John Quinche

CARGO
Gerente de ITS
Coordinador de Sistemas

CORREO
jairo.martinez@redcom.com.co
john.quinche@redcom.com.co

6.1.1. REPORTE SOBRE LOS EVENTOS Y DEBILIDADES DE SEGURIDAD DE LA


INFORMACIN
VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 4 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

Luego de recibir el reporte del evento y/o debilidad de seguridad de la informacin la


Gerencia de ITS proceder a determinar en primera instancia si el reporte es un incidente,
con base en un anlisis de la informacin recibida, si luego de analizada la informacin se
determina que es un incidente se procede a recolectar toda la informacin pertinente
para la investigacin y anlisis del evento (incidente), esta informacin quedara
registrada en el formato SGSI-P01-F01.
De otra parte a travs del software ManageEngine Service Desk se registran todos los
incidentes reportados por los usuarios, de tal manera que se garantice la trazabilidad y
control de los eventos reportados.
6.1.2. EVENTOS Y/O DEBILIDADES A REPORTAR
Los eventos y/o debilidades que se pueden reportar para su respectiva investigacin,
anlisis y gestin pueden ser:
-

6.2.

Accesos no autorizados a los sistemas de informacin y uso indebido de los


recursos informticos de la compaa.
Suministrar la informacin a quien no tiene derecho a conocerla.
Fraude
Usar la informacin con el fin de obtener beneficio propio o de terceros.
Hacer pblica la informacin sin la debida autorizacin.
Realizar copias no autorizadas de software.
Intentar modificar, reubicar o sustraer equipos de cmputo, software, informacin o
perifricos sin la debida autorizacin.
Transgredir o burlar los mecanismos de autenticacin u otros sistemas de
seguridad.
Enviar cualquier comunicacin electrnica fraudulenta.
Violacin cualquier Ley o Regulacin nacional respecto al uso de sistemas de
informacin.
Robo de informacin sensible.
Denegacin de servicio masivo sobre equipos de la red, afectando la operacin
diaria de la Compaa.
Denegacin de servicio masivo por el ingreso y propagacin de virus que explotan
vulnerabilidades.
Otros eventos y/o debilidades relacionadas con seguridad de la informacin que
afecten de forma critica los activos de informacin de la organizacin.
GESTIN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA
INFORMACIN

6.2.1. RESPONSABILIDADES Y PROCEDIMIENTOS

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 5 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

Para asegurar una respuesta rpida, eficaz y ordenada se debe tener en cuenta que al
presentarse un fallo o incidente de seguridad de la informacin, el usuario debe reportarlo
a la Gerencia de ITS en el menor tiempo posible.
Luego de recibir la informacin se realizara una investigacin del incidente, para
determinar de qu tipo es; a que activo de informacin est afectando y cual es
tratamiento para minimizar el impacto que pueda tener (si lo llegase a tener). La
informacin recolectada durante esta actividad queda registrada en el formato SGSI-P01F01 que contiene un registro detallado del incidente donde se muestra el proceso desde
el momento en que se detecta el evento hasta su minimizacin.
Dentro del registro se deber diligenciar los siguientes datos:

Datos de la persona informante: Puede ser la cualquier persona que identifique


el incidente; ya sean empleados, contratistas o terceros.

Datos del incidente: Es en donde se registra que tipo de incidente es; virus
informtico, prdida de la informacin, incumplimiento a las normas, dao en el
medio de transporte, dao en el software, dao en el hardware, etc.

Grado de criticidad/severidad: Hace referencia a la importancia del incidente


sobre la organizacin (critico, moderado o insignificante).

NIVEL DE SEVERIDAD
DELINCIDENTE
CRITICO /ALTO
MODERADO / MEDIO
INSIGNIFICANTE
/BAJO

IMAPACTO
Es un evento muy crtico, en el cual representa una seria amenaza para la
organizacin y afecta de forma inmediata a uno ms recursos crticos
Pone en peligro informacin sensitiva confidencial.
Es un evento que puede ser una amenaza potencial, pero que no se
identifica como una amenaza seria y/o inmediata.
Es un evento que podra ser una amenaza menor es el resultado de una
actividad no autorizada, pero que no compromete recursos crticos
informacin sensitiva

Descripcin detalla del Incidente: En este punto hacemos un registro de cul


fue el incidente, a que persona o rea inmediata afect, segn lo relatado por la
persona que reporta el evento.

Efectos Producidos: Es en donde se registra la forma en que se manifiesta el


tipo de incidente (virus, Bloqueo de equipos, reinicio de equipos, dao de sistemas
operativos, etc.).

Origen del incidente: Es en donde se registra cual es la procedencia del


incidente; si es por virus, dao de sistema operativo, errores del usuario, dao en
la red, etc. Se analizan las causas que originaron el evento.

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 6 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

Alcance: Es en donde se registra la cadena


efectos del incidente.

Acciones: Es en donde se registran los actos realizados para controlar o


minimizar los efectos producidos por el incidente de acuerdo al nivel de severidad
del incidente

Conclusin/Lecciones Aprendidas.: Es en donde se registra las medidas y/o


acciones de mejoramiento aplicables para que no se vuelva a repetir el incidente.

de eventos producidos por los

6.2.2. APRENDIZAJE DEBIDO A LOS INCIDENTES DE SEGURIDAD DE LA


INFORMACIN
Una vez identificados los incidentes de seguridad, stos se valorarn segn el impacto
que tienen en la compaa y se tomarn acciones de mejoramiento para mitigar estos
incidentes.
La informacin obtenida de la investigacin y anlisis de los eventos de seguridad de la
informacin se debe informar los colaboradores o reas a afectadas para prevenir
recurrencia de los incidentes o nuevos incidentes.
Estas comunicaciones se podrn realizar utilizando los siguientes medios:
-

De forma verbal con los colaboradores o reas afectadas.


Mediante correos electrnicos.
Capacitaciones
Lecciones aprendidas

6.3 RECOLECCIN Y CONSERVACIN DE EVIDENCIAS


En caso que las acciones de seguimiento que impliquen acciones legales (civiles o
penales) estas solo sern determinadas por la Gerencia General de la compaa.
Para la recoleccin y retencin de las evidencias que puedan ser presentadas ante las
autoridades competentes, se debern seguir los lineamientos de las buenas prcticas de
la custodia de evidencias digitales, tomando como margo general la legislacin
colombiana, en tal sentido se debern desarrollar las siguientes actividades como parte
de la recoleccin y conservacin de evidencias:

El primer paso comprende la captura de la evidencia, que ser realizada por el


responsable de seguridad de la informacin junto con el apoyo del administrador
de la red y las personas a cargo del proceso. La evidencia ser la prueba del
delito, la que delatar al intruso. A la hora de capturar la evidencia, se debe

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 7 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

proceder con cautela para no modificar pista alguna. Para recopilar estas
evidencias se aplicaran las buenas prcticas de computacin forense segn el tipo
de evidencia.

Se debe proceder a realizar la captura de la evidencia con herramientas que no


modifiquen ni el entorno ni la prueba en s, salvaguardando su integridad.

Se debe ser muy precavido a la hora de recolectar la evidencia; pues la idea es no


modificarla. Para ello podemos utilizar los siguientes elementos:

Bolsas antiestticas, que permitan la correcta manipulacin de medios de


almacenamiento.

Bolsas de seguridad, para guardar los elementos fsicos, que permitan garantizar
que una vez guardados se tenga la certeza que la bolsa no ha sido abierta.

Embalaje, para guardar los Discos Duros y evitar que una eventual cada o
maltrato al elemento ocasione una prdida de informacin, que en este caso sera
perdida de la evidencia.

Etiquetas o Rtulos, para marcar los elementos fsicos, con el fin de


identificarlos. Esta etiqueta debe tener la informacin necesaria que identifique al
elemento. Por ejemplo si hablamos de un Disco Duro, se debera incluir por lo
menos la siguiente informacin:
Un consecutivo
Nmero del incidente
Descripcin del elemento (Marca, Modelo, Serial, Capacidad, tipo de
conector (IDE, SCSI, ATA), configuracin fsica, particiones, Sistema
Operativo)
Fecha y Hora
Lugar
Nombre y firma de quien recolecta el elemento. Si es posible nombre y
firma de un testigo.

Dependiendo del tipo de incidente de seguridad y la criticidad del mismo, se determinaran


las actividades a seguir para la recoleccin y conservacin de la evidencia, siguiendo los
lineamientos de la cadena de custodia para cada caso especfico.
NOTA
La organizacin., cuenta con un circuito cerrado que se activa por movimiento, el cual
tiene un monitoreo de 24 horas en cada una de las reas de la compaa.
Este monitoreo queda registrado y tambin puede ser utilizado como evidencia en
incidentes donde est involucrado el robo de elementos, manipulacin de informacin,
VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 8 de 10

TITULO

PROCEDIMIENTO GESTIN DE
LOS INCIDENTES DE
SEGURIDAD DE LA
INFORMACIN

CDIGO

SGSI-P01

ingresos indebidos de cualquier carcter, dao de activos, etc, aplicando las tcnicas
adecuadas de recoleccin y conservacin de la evidencia.

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 9 de 10

TITULO
CDIGO

PROCEDIMIENTO GESTIN DE LOS INCIDENTES DE LA


SEGURIDAD DE LA INFORMACIN

SGSI-P01

7. CONTROL DE REGISTROS

UBICACIN

ORDENACION
(numrico,
alfabtico o
cronolgico)

DISPONI
BILIDAD
DE
ACCESO

SOPORT
E

TIEMPO DE
RETENCIN
A-G

TIEMPO DE
RETENCIN
A-C

DISPOSICI
N FINAL

IDENTIFICACIN

RPSABLE DEL
ARCHIVO

Reporte e Investigacin de
Incidentes de Seguridad de la
Informacin

CSIG

CSIG

CRONOLGICO

CSI, IS ,
SGG

Papel

1 ao

NA

Eliminacin

Registros de Incidentes de
Service desk

Coordinador de ITS

192.168.11.252

CRONOLGICO

Gerencia
de ITS

Digital

NA

NA

NA

CSIG: Coordinador del Sistema Integral de Gestin

VERSIN No. 5

VIGENTE DESDE EL 30 DE OCTUBRE DE 2014

Pgina 10 de 10

Você também pode gostar