SGSI

Sistema de Gestin de Seguridad de la Informacin

Gua de procesos en
gestin de incidentes

Versin 1.0 2010

Setiembre 2010

Table of Contents
Gua de referencia en gestin de incidentes en seguridad de la informacin ..................5
Objeto ...................................................................................................................................................................5
Definiciones .......................................................................................................................................................5
Comunidad objetivo ....................................................................................................................................................... 5
Evento de seguridad informtica.............................................................................................................................. 5
Incidente de seguridad informtica......................................................................................................................... 6
Principales aspectos de una poltica de gestin de incidentes.........................................................6
Definicin de Comunidad Objetivo .......................................................................................................................... 6
Clasificacin de incidentes........................................................................................................................................... 6
Procesos de gestin de incidentes............................................................................................................................ 7
Proceso de planificacin y preparacin para enfrentar incidentes de seguridad ............................... 7
Proceso de atencin a incidentes.............................................................................................................................. 8
Proceso de mejora continua para enfrentar futuros incidentes ................................................................. 8
Diagrama de procesos ....................................................................................................................................9
Referencias.........................................................................................................................................................9

 Ttulo | 3

Versin 1.0 2010
Este documento ha sido elaborado por AGESIC (Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad
de la Informacin y el Conocimiento)
Usted es libre de copiar, distribuir, comunicar y difundir pblicamente este documento as como hacer obras derivadas, siempre
y cuando tengan en cuenta citar la obra de forma especfica y no utilizar esta obra para fines comerciales. Toda obra derivada de
esta deber ser generada con estas mismas condiciones.
Gua de referencia en gestin de
incidentes en seguridad de la
informacin
Objeto
El objetivo de esta Gua es dar los lineamientos bsicos para la elaboracin
de los manuales de gestin de incidentes de acuerdo a las mejores
prcticas actuales.
La Guia propondr entonces algunas definiciones generales de acuerdo a
normas internacionales reconocidas para luego presentar los puntos mas
relevantes que una Poltica de gestin de incidentes deber contener.
Esta gua toma como referencia la normativa de ISO/IEC 18044,
NIST800-61 y el Hanbook de CERT/CC

Definiciones
Comunidad objetivo
La Comunidad Objetivo es aquel grupo de personas, sistemas u
organizaciones para quienes se prestar el servicio de gestin de
incidentes.

Evento de seguridad informtica

Un evento de seguridad informtica es una ocurrencia identificada de un
estado de un sistema, servicio o red que indica una posible violacin de la
poltica de seguridad de la informacin o la falla de medidas de seguridad
(safeguards), o una situacin previamente desconocida que pueda ser
relevante para la seguridad. [ISO 18044]
Por ejemplo: un usuario se conecta a un sistema, un intento fallido de un
usuario para ingresar a una aplicacin, el firewall que permite o bloquea
un acceso, una notificacin de un cambio de contrasea de un usuario
privilegiado, etc.
Un Evento de Seguridad Informtica no es necesariamente una ocurrencia
maliciosa o adversa.
 Ttulo | 6

Incidente de seguridad informtica

Un incidente de seguridad informtica es la violacin o amenaza
inminente a la violacin de una poltica de seguridad de la informacin
implcita o explcita.
Tambin es un incidente de seguridad un evento que compromete la
seguridad de un sistema (confidencialidad, integridad y disponibilidad).
Un incidente puede ser denunciado por los involucrados, o indicado por
un nico o una serie de eventos de seguridad informtica. [NIST800-61,
ISO 18044].

Como ejemplos de incidentes de seguridad podemos enumerar:

Acceso no autorizado
Robo de contraseas
Robo de informacin
Denegacin de servicio

Principales aspectos de una poltica de

gestin de incidentes
La Gestin de Incidentes puede definirse como el conjunto de acciones y
procesos tendientes a brindar a las organizaciones de la comunidad objetivo
fortalezas y capacidades para responder en forma adecuada a la ocurrencia de
incidentes de seguridad informtica que afecten real o potencialmente sus
servicios.

Definicin de Comunidad Objetivo

La poltica de gestin de incidentes en seguridad de la informacin debe
incluir una definicin clara de la Comunidad Objetivo. Esta puede estar
incluida en la misma definicin de la poltica o en un documento
independiente. Es importante que la definicin sea lo mas concreta posible,
pero pueden utilizarse definiciones mas generales como "los sistemas
informticos que soporten activos de informacin crticos del Estado" y luego
especifialos en listas no exluyentes.

Clasificacin de incidentes
Toda poltica de gestin de incidentes deber definir un esquema de
clasificacin de los incidentes de seguridad. Si bien es real que los incidentes
pueden ser difciles de encasillar en un esquema de clasificacin fijo, la
 Ttulo | 7

clasificacin permite elaborar estadsticas en el mediano y largo plazo as

como tambin tomar decisiones a la hora de correr los procesos de
preparacin (ver mas adelante).
El esquema de clasificacin deber contemplar al menos los siguientes
aspectos de un incidente:

Tipo:
Por tipo de un incidente entendemos a una clasificacin en categoras que
clasifiquen los aspectos funcionales del incidente. Algunos ejemplos de
esto son por ejemplo:
Acceso no autorizado a sistemas
Denegacin de servicio
Divulgacin de informacin sensible
Infeccin de Malware

Severidad:
La severidad de un incidente es un elemento de clasificacin que debe
permitir el potencial impacto del incidente. Este impacto puede ser medido
de diversas maneras. En algunos casos ser posible establecer una escala
monetaria, en otros casos se podr establecer una escala de impacto
funcional (por ejemplo alta, media, baja) de acuerdo a la afectacin de los
servicios.

Procesos de gestin de incidentes

Los procesos definen conjuntos de actividades que son realizadas por
parte del Centro de Respuestas independientemente de que se est
respondiendo a un incidente o no.
Los procesos que la poltica deber definir comprendern al menos los
siguientes aspectos:

Proceso de planificacin y preparacin para enfrentar

incidentes de seguridad
El proceso de preparacin incluye todas aquellas actividades de tipo
proactivo que puedan llevarse a cabo para estar mejor preparado para
responder y enfrentar incidentes de seguridad.
Estas actividades incluyen items como:
Anlsis de alertas y amenazas
Actividades de sensibilizacin
Actividades de entrenamiento
Ensayos y evaluaciones de seguridad
Definicin de procedimientos
Analisis y mejora contnua del proceso
 Ttulo | 8

Proceso de atencin a incidentes

El proceso de atencin a incidentes agrupa todas las actividades de tipo
reactivo que se realizan como parte de la respuesta a un incidente
concreto.
Este proceso incluir items como:

Recepcin de reportes de incidentes

Clasificacin y valoracin de impacto
Relevamiento de sistemas y procesos de negocio afectados asi
como sus responsales
Elaboracin de un plan de respuesta al incidente con medidas de
contencin y mitigacin recomendadas.
Obtencin de avales para ejecucin del plan de respuesta, si este
lo requiere
Ejecucin de las medidas de contencin y mitigacin
Elaboracin de un informe final de cierre

Proceso de mejora continua para enfrentar futuros

incidentes
El proceso de mejora continua agrupa todas las actividades que sern
realizadas por parte de la entidad afectada por el incidente para mejorar
su postura de seguridad para enfrentar futuros incidentes.
La experiencia adquirida en la atencin al incidente as como toda la
informacin obtenida durante el curso de la accin podr permitir la
elaboracin de un plan de acciones de mejora a implementar por la
entidad afectada.
El objetivo de este plan de acciones no deber ser en ningn caso un
objetivo de auditora o de bsqueda de responsables si no que el
objetivo deber ser el de fortalecer a la organizacin para evitar la
repeticin de incidentes similares en el futuro.
 Ttulo | 9

Diagrama de procesos
El siguiente diagrama ilustra como los procesos detallados anteriormente se
coordinan entre s.

Referencias
[ISO 18044] Information Technology Security Techniques Information
security incident management:
http://webstore.iec.ch/preview/info_isoiec18044%7Bed1.0%7Den.pdf
[NIST 800-61] Computer Security Incident Handling Guide:
 Ttulo | 10

http://www.nmt.edu/~sfs/Regs/sp800-61.pdf