BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN

CIBERSEGURIDAD EN LA EMPRESA

TEMA 7. REPORTE DE INCIDENTES

1) PROCEDIMIENTO GESTIÓN DE
INCIDENTES EN CIBERSEGURIDAD EN LA
EMPRESA

2) REPORTES DE INCIDENTES

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN
CIBERSEGURIDAD EN LA EMPRESA

Si se parte de la premisa que la seguridad al cien por cien no existe, se asume

que será imposible garantizar que no ocurrirá ningún incidente de Ciberseguridad,
en consecuencia se deben disponer métodos y medidas de detección de
incidentes.
Se deberá aplicar una correcta aplicación de políticas, herramientas proactivas de
monitorización y la adecuada concienciación de los usuarios y responsables de los
sistemas informáticos.

Análisis
Para poder determinar de forma eficaz que reacción debe aplicarse a un incidente,
será necesario realizar una evaluación y análisis del mismo.

Las fases básicas del análisis de incidentes de Ciberseguridad son:

1. Evaluación Tras la detección de un incidente, se debe determinar el nivel de

impacto que este tiene sobre los activos:
 Bajo impacto: Cuando el incidente afecta a activos considerados
insignificantes.
 Medio impacto: Cuando el incidente afecta a activos considerados de
interés medio. También se consideran de medio impacto todas las
incidencias que pueden afectar a procesos de la organización.
 Alto impacto: Cuando el incidente afecta a activos considerados de interés
alto o procesos vitales para la organización.

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN
CIBERSEGURIDAD EN LA EMPRESA

2. Clasificación de los incidentes de seguridad

El siguiente paso es realizar una clasificación, esta debe ser sencilla y rápida de
realizar. A continuación se expone un ejemplo clásico de clasificación de
incidentes:
 Fuga de información: Todos los incidentes que hayan provocado o sean
susceptibles de provocar una fuga de información.
 Acceso no autorizado: Los incidentes que han permitido a un atacante
acceder de forma no autorizada a activos o sistemas de la organización.
 Alteración de activos: Los incidentes que han permitido una modificación,
borrado o deterioro de activos de la organización.
 Uso inapropiado de recursos: Cuando un recurso de la organización ha
sido usado de forma ilícita o indebida.
 Deterioro de disponibilidad: Todos los incidentes que han provocado una
no disponibilidad de activos o servicios, o un deterioro de la misma.
 Otros: Cualquier otro incidente que no pueda clasificarse en los grupos
anteriores.

3. Priorización

La priorización es fundamental debido a que la mayoría de incidentes afectaran a

diversos activos o sistemas, incluso en muchas ocasiones, se trataran incidencias
múltiples. Será necesario realizar priorización de las mismas, para poder dar paso
a la reacción necesaria.
Para determinar la prioridad se deben tener en cuenta siempre el nivel de impacto
obtenido en la evaluación, completando con distintos factores, siempre
dependiendo de las características propias de la organización.

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN
CIBERSEGURIDAD EN LA EMPRESA

Algunos de los factores habituales utilizados para determinar la priorización son:

 Daño actual: El perjuicio o daño que ha efectuado el incidente hasta el

mismo momento en que se ha detectado.
 Daño futuro: El perjuicio o daño futuro que puede efectuar el incidente.
 Recursos: Recursos disponibles por la organización o disponibilidad de
recursos externos y tiempos de respuesta.
 Aspectos normativos/legales: La necesidad de efectuar o no
reclamaciones, denuncias o imponer sanciones

Reacción

Tras aplicar el protocolo de gestión de incidentes en Ciberseguridad y realizar el

análisis del incidente, se debería disponer de suficiente información para hacer
frente a la incidencia.
Las acciones a realizar deberían mantener este orden:

 Mitigación, supresión, recuperación o bloqueo: Mitigar los efectos del

incidente, restablecer los activos a su estado original o bloqueo de sistemas
y activos. Se deberá realizar las acciones adecuadas, dependiendo de los
resultados obtenidos del análisis. No siempre un bloqueo, supresión del
incidente y recuperación inmediata de los activos es la mejor solución, ya
que si por ejemplo fuese necesario efectuar denuncias, primero se debería
realizar un peritaje informático forense del incidente.

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN
CIBERSEGURIDAD EN LA EMPRESA

 Peritaje informático forense: Este proceso es necesario siempre que se

desee formular una denuncia o realizar una reclamación. El simple hecho
de la necesidad de realizar un peritaje, requiere la preservación de
evidencias, en consecuencia realizar algunas acciones agresivas de
supresión de un incidente, puede causar la perdida de las mismas. Para
realizar un proceso de peritaje válido ante estamentos judiciales, se debe
acudir a personal especializado (Peritos Judiciales Informático Forenses),
ya que todo el proceso requiere una metodología y conocimientos
específicos.

 Notificaciones: El RD 704/2011 de 20 mayo, por el que se aprueba el

Reglamento de protección de las infraestructuras críticas dispone que “El
Responsable de Seguridad y Enlace representará al operador crítico ante la
Secretaría de Estado de Seguridad en todas las materias relativas a la
seguridad de sus infraestructuras y los diferentes planes especificados en
este reglamento, canalizando, en su caso, las necesidades operativas e
informativas que surjan al respecto”. Por tanto se establece la obligación de
notificar algunos incidentes de Ciberseguridad, esta obligación está
directamente relacionada con el tipo de incidente, los activos afectados o
las características de la corporación.

 Reclamaciones y denuncias: Si es necesario realizar denuncias, se

recomienda interponerlas en departamentos especializados de las FFCCS,
como el Grupo de Delitos Telemáticos de la Guardia Civil, la Brigada de
Investigación Tecnológica de la Policía Nacional u otros grupos
especializados de Policías de las Comunidades Autonómicas. También
existen bufetes de abogados especializados en delitos informáticos a los
que se puede recurrir.

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 BORRADOR: PROCEDIMIENTO GESTION DE INDICENTES EN
CIBERSEGURIDAD EN LA EMPRESA

Prevención tras la reacción

Tras aplicar las medias de reacción oportunas, no se debe descuidar la
prevención, tras un incidente de Ciberseguridad siempre será necesario realizar:

 Revisión: Revisión de amenazas, vulnerabilidades, riesgos, protocolos,

políticas y sistemas de gestión de la información. Toda la información
obtenida del análisis del incidente y en especial del peritaje forense en caso
de haberse realizado, deberá tenerse en consideración en la realización de
las revisiones.

 Aplicar medidas correctivas: Por supuesto será necesario aplicar los

cambios técnicos precisos, así como la adecuación de los equipos y
software que sean necesarios para prevenir la posible reproducción de la
incidencia ocurrida.

 Formación y concienciación: Revisar planes de formación con el fin de

incluir los cambios efectuados en políticas y protocolos, así como agregar
formación específica sobre los incidentes ocurridos.

Procedimiento gestion de incidentes en

REPORTE DE CIBERINCIDENTES ciberseguridad en la empresa
 REPORTES DE CIBERINCIDENTES EN LA
EMPRESA

A) Un usuario de la RED CORPORATIVA sospecha que hay archivos

correspondientes al Departamento de I+D que han sido extraidos sin
consentimiento de los responsables. Tras la debida formación que se
ofrece en la empresa dirigida tanto a trabajadores como a responsables de
seguridad envia un reporte de ciberincidente a el Responsable de
Seguridad y Enlace para su seguimiento y evaluación.

REPORTE DE CIBERINCIDENTE
DATOS DEL USUARIO QUE REPORTA EL CIBERINCIDENTE
Nombre: Juan García Pérez
Teléfono: 654321987 Fax: 654321987
Email: juangarciaperez@gmail.com
Departamento: Recursos Humanos
Dirección: C/ La laguna nº 13
DATOS RELATIVOS AL INCIDENTE
Sistema/Servicio afectado:

Se cree que puede estar saliendo información de la RED I+D de la empresa a la RED CORPORATIVA

Descripción del incidente detectado:

- Como trabajador de recursos humanos y usuario de la RED CORPORATIVA de la empresa, se observa

una carpeta oculta en el sistema. Se decide mandar este reporte al RSE de empresa debido a que dichos
archivos contienen información de los proyectos de investigación del Departamento de I+D .

- Se sospecha que el PC pudiera estar infectado con algún tipo de malware o bien mediante acceso no
autorizado a los elementos de red tras explotar alguna vulnerabilidad desde el exterior de la empresa
¿Cómo se detectó el incidente?
Al guardar la información sobre nuevos aspirantes a trabajadores en la empresa, en la base de datos de
gestion de empleados. Se observa una carpeta sospechosa
¿Cuándo se detectó?
11:00 h del Lunes 24 de Junio de 2017
¿Quién lo detectó?
La sospecha de alguna irregularidad en el sistema fue detectada por mi Juan García Pérez
Medidas preliminares tomadas, si se han tomado:
Como medidas preliminares se avisa al departamento de I+D, se escribe el reporte al RSE, y me mantengo
a la espera de nuevas ordenes del departamento de Seguridad para actuar sobre el ordenador de mi
puesto de trabajo según se pida.

REPORTE DE CIBERINCIDENTES REPORTES DE CIBERINCIDENTES EN

LA EMPRESA
1 de 2
 REPORTES DE CIBERINCIDENTES EN LA
EMPRESA

B) El Responsable de Segurida y Enlace (RSE) de la empresa genera un

reporte dirigido al CERTSI, en el que se pide soporte ante un
ciberincidente en la RED SCADA de la empresa:

REPORTE DE CIBERINCIDENTE
DATOS DEL USUARIO QUE REPORTA EL CIBERINCIDENTE
Nombre: Laura Gómez García (Responsable de Seguridad y Enlace)
Teléfono: 654321987 Fax: 654321987
Email: lgg.empresa@empresa.com
Departamento: Seguridad
Dirección: C/ La laguna nº 13
DATOS RELATIVOS AL INCIDENTE
Sistema/Servicio afectado:

“Pieza de malware que falsea los datos del HMI de planta”

Descripción del incidente detectado: Se reporta incidencia al CERT de Seguridad e Industria (CERTSI)
para la respuesta de un ciberataque sufrido en nuestra planta de envasado ENVASASE.S.A.

Se solicita asistencia para el análisis exahustivo de la pieza hallada, así como, indicaciones para mitigar su
propagación, para la recuperación del sistema y la detección del malware.

Como evidencias digitales, se envían todos los datos obtenidos desde hace 2 días por el ordenador de
procesos de la RED SCADA así como las medidas obtenidas en planta.

Finalmente como Responsable de Seguridad y Enlace de ENVASASE.S.A, solicito la denuncia del incidente
a las Fuerzas y Cuerpos de Seguriad del Estado para el inicio de las correspondientes investigaciones. Se
debe de tener en cuenta, que,este incidente a ocasionado el paro de la producción, lo que nos da a
entender que existe la posibilidad de un presunto sobotaje al sistema de la empresa
¿Cómo se detectó el incidente? Se detecta por un operador de planta, al ver que los datos ofrecidos por
la RED SCADA en el HMI, no son los mismos que los observados por el auxiliar de operación en los
indicadores locales de velocidad de la maquinaria de envasado planta
¿Cuándo se detectó? (8.00h del día 31 de Julio de 2017)

¿Quién lo detectó? Operación de planta

Medidas preliminares tomadas:

Se detiene la operación de planta y se obtiene el volcado de memoria, logs así como todo tipo de correos
electronicos que les serán remitidos con el reporte.

Se teme que con el tiempo, la tensión provocada por las velocidades excesivas cause algún tipo de
desintegración de la maquinaria de planta.

REPORTE DE CIBERINCIDENTES REPORTES DE CIBERINCIDENTES EN

LA EMPRESA
2 de 2