Escuela de la Gestión Pública Plurinacional

Diplomado en Seguridad de la Información

MODULO – V
Diplomado en Seguridad de la información
TEMÁTICA: Introducción Gestión de Incidentes de Seguridad

1
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

Desarrollo de Contenidos

Contenidos
1 1.1. Introducción 2
1.2. Gestión de incidentes de seguridad de la información 3
1.2.1. Objetivo 3
1.2.2. Características de un modelo de Gestión de incidentes 4
1.3. Incidente de seguridad 6
1.4. Definiciones 8
Referencia bibliográfica: 9

2
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

INTRODUCCION GESTIÓN DE INCIDENTES DE SEGURIDAD

DEFINICIONES Y CONCEPTOS
1.1. Introducción

La información y los procesos que la apoyan, los sistemas y las redes, son bienes
importantes de las entidades por lo que requieren ser protegidos frente a amenazas que
pongan en peligro la disponibilidad, la integridad, la confidencialidad de la información, la
estabilidad de los procesos, los niveles de competitividad, la imagen corporativa, la
rentabilidad y la legalidad, aspectos necesarios para alcanzar los objetivos de la
organización.

La información generalmente es procesada, intercambiada y conservada en redes de datos,

equipos informáticos y soportes de almacenamiento que son parte de lo que se conoce
como sistemas informáticos. Los sistemas informáticos están sometidos a potenciales
amenazas de seguridad de diversa índole, originadas desde dentro y fuera de la
organización procedente de una amplia variedad de fuentes físicas y lógicas.

Entre los riesgos físicos, se consideran los accesos no autorizados a la información, los
desastres naturales, sabotajes, incendios y accidentes. Los riegos lógicos pueden ser
considerados como la contaminación de programas malignos, ataques de denegación de
servicios y otros

Es posible disminuir el nivel de riesgo de forma significativa y con ello la materialización de

las amenazas y la reducción del impacto sin necesidad de realizar elevadas inversiones no
contar con una gran estructura de personal. Para ello se hace necesario conocer y gestionar
de manera ordenada los riesgos a los que está sometido el sistema informático, considerar
procedimientos adecuados y planificar e implementar los controles de seguridad que
correspondan.

La elevación de los niveles de seguridad informática se consigue implantando un conjunto

de controles, que incluyan políticas, procesos, procedimientos, estructuras organizativas y
funciones de Hardware y software, los que deben ser establecidos, implementados,
supervisados y mejorados cuando sea necesario para cumplir los objetivos específicos de
seguridad de la información.

3
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

Existe tendencias equivocadas de considerar los aspectos relativos a la seguridad

informática como tarea exclusiva de un especialista determinado de las áreas de
informática o de seguridad cuando es responsabilidad de las principales jefes, responsables
de una organización y en la que deben participar todo aquel que utiliza las tecnologías de la
información.

1.2. Gestión de incidentes de seguridad de la información

1.2.1. Objetivo

El objetivo principal del Modelo de Gestión de Incidentes de seguridad de la información

es tener un enfoque estructurado y bien planificado que permita manejar
adecuadamente los incidentes de seguridad de la información.

Los objetivos del modelo son garantizar que:

 Definir roles y responsabilidades dentro de la Organización como eje puntual

para evaluar los riesgos y permita mantener la operación, la continuidad y la
disponibilidad del servicio.
 Gestionar los eventos de seguridad de la información para detectar y tratar con
eficiencia, en particular identificar si es necesario o no clasificarlos como
incidentes de seguridad de la información.
 Permitir identificar los incidentes de seguridad de la información para ser
evaluados y dar respuesta de la manera más eficiente y adecuada.
 Minimizar los impactos adversos de los incidentes en la organización y sus
operaciones de negocios mediante las salvaguardas adecuadas como parte de la
respuesta a tal incidente.
 Consolidar las lecciones aprendidas que dejan los incidentes de seguridad de la
información y su gestión para aprender rápidamente. Esto tiene como objeto
incrementar las oportunidades de prevenir la ocurrencia de futuros incidentes,
mejorar la implementación y el uso de las salvaguardas y mejorar el esquema
global de la gestión de incidentes de seguridad de la información.
 Definir los mecanismos que permitan cuantificar y monitorear los tipos,
volúmenes y costos de los incidentes de seguridad de la información, a través de

4
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

una base de conocimiento y registro de incidentes y a través de los indicadores

del sistema de gestión de seguridad de la información.
 Definir los procedimientos formales de reporte y escalada de los incidentes de
seguridad.
 Establecer variables de posible riesgo, en efecto, es la posible valoración de
aspectos sensibles en los sistemas de información.

Para lograr estos objetivos, la gestión de incidentes de seguridad de la información involucra los
siguientes procesos de manera cíclica como lo muestra la imagen:

 Planificación y preparación para la gestión del Incidente

 Detección, análisis y reporte.
 Evaluación y decisión.
 Respuesta o actividades Post-Incidente

Esta guía le permitirá a las entidades estar preparadas para afrontar cada una de las etapas
anteriores, y adicionalmente definiendo responsabilidades y procedimientos para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

1.2.2. Características de un modelo de Gestión de incidentes

Esta guía de gestión de incidentes de seguridad de la información plantea una serie de

actividades para dar cumplimiento con el ciclo de vida de la gestión y respuesta a un
incidente de seguridad.

Para definir las actividades de esta guía se incorporaron componentes definidos por el
NIST alineados con los requerimientos normativos de la NTC–ISO–IEC 27035- 2013 para
la estrategia de Gobierno en Línea.

Es recomendable que las entidades creen un equipo de atención de incidentes de

seguridad en cómputo CSIRT o un grupo que haga sus veces, quienes se encargaran de

5
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

definir los procedimientos a la atención de incidentes, realizar la atención, manejar las

relaciones con entes internos y externos, definir la clasificación de incidentes, y además
de esto se encargaran de:

 Detección de Incidentes de Seguridad: Monitorear y verificar los elementos de

control con el fin de detectar un posible incidente de seguridad de la
información.

 Atención de Incidentes de Seguridad: Recibe y resuelve los incidentes de

seguridad de acuerdo con los procedimientos establecidos.

 Recolección y Análisis de Evidencia Digital: Toma, preservación, documentación

y análisis de evidencia cuando sea requerida.

 Anuncios de Seguridad: Deben mantener informados a los funcionarios,

contratistas o terceros sobre las nuevas vulnerabilidades, actualizaciones a las
plataformas y recomendaciones de seguridad informática a través de algún
medio de comunicación (Web, Intranet, Correo).

 Auditoria y trazabilidad de Seguridad Informática: El equipo debe realizar

verificaciones periódicas del estado de la plataforma para analizar nuevas
vulnerabilidades y brechas de seguridad.

 Certificación de productos: El equipo verifica la implementación de las nuevas

aplicaciones en producción para que se ajusten a los requerimientos de
seguridad informática definidos por el equipo.

 Configuración y Administración de Dispositivos de Seguridad Informática: Se

encargaran de la administración adecuada de los elementos de seguridad
informática.

 Clasificación y priorización de servicios expuestos: Identificación de servicios

sensibles y aplicaciones expuestas para la prevención o remediación de ataques.

 Investigación y Desarrollo: Deben realizar la búsqueda constante de nuevos

productos en el mercado o desarrollo de nuevas herramientas de protección para

6
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

combatir brechas de seguridad, y la proposición de nuevos proyectos de

seguridad de la información.

Este grupo está enfocado principalmente en atender los incidentes de seguridad de la

información que se presentan sobre los activos soportados por la plataforma tecnológica
de la entidad.

1.3. Incidente de seguridad

Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la

Política de Seguridad de la Información implícita o explícita.

Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un

único o una serie de eventos seguridad de la información indeseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones de negocio y de
amenazar la seguridad de la información.

Por lo tanto, para el CERTuy un incidente de seguridad de la información se define como un

acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de
información; un impedimento en la operación normal de las redes, sistemas o recursos
informáticos; o una violación a la Política de Seguridad de la Información del organismo.

Ejemplos de Incidentes de Seguridad

 Un acceso no autorizado.
 El robo de contraseñas.
 Prácticas de Ingeniería Social.
 La utilización de fallas en los procesos de autenticación para obtener accesos
indebidos.
 El robo de información.
 El borrado de información de terceros.
 La alteración de la información de terceros.
 El abuso y/o mal uso de los servicios informáticos internos o externos de una
organización.
 La introducción de código malicioso en la infraestructura tecnológica de una entidad
(virus, troyanos, gusanos, malware en general).
7
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

 La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta

no aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de
determinado servicio.
 Situaciones externas que comprometan la seguridad de sistemas, como quiebra de
compañías de software, condiciones de salud de los administradores de sistemas,
entre otros.
Evento de seguridad según la Norma ISO 27035

 Una ocurrencia identificada en el estado de un sistema, servicio o red, indicando una

posible violación de la seguridad de la información, política o falla de los controles, o
una situación previamente desconocida que puede ser relevante para la seguridad.
 La falla de medidas de seguridad.
 Una situación previamente desconocida que pueda ser relevante para la seguridad.

Son ejemplos de este tipo de eventos:

 Un usuario que se conecta a un sistema.

 Un intento fallido de un usuario para ingresar a una aplicación.
 Un firewall que permite o bloquea un acceso.
 Una notificación de cambio de contraseña de un usuario privilegiado, etc.
 Se debe destacar que un Evento de Seguridad Informática no es necesariamente una
ocurrencia maliciosa o adversa.

1.4. Definiciones

A los efectos del presente documento definimos algunos términos:

Amenaza:

Es una situación o acontecimiento que puede causar daño a los bienes informáticos: puede
ser una persona, un programa malicioso o un suceso natural o de otra índole y representan
los posibles atacantes o factores que inciden negativamente sobre las debilidades del
sistema.

Análisis de riesgo

8
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

El proceso dirigido a determinar la probabilidad de que las amenazas se materialicen sobre

los bienes informáticos e implica la identificación de los bienes a proteger, las amenazas que
actúan sobe ellos, su probabilidad de ocurrencia y el impacto que puede causar.

Bienes informáticos

Los elementos componentes del sistema informático que deben ser protegidos

Impacto

Es el daño producido por la materialización de una amenaza

Riesgo

Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema
informático, causando un impacto negativo en la organización.

Seguridad

Es usado en sentido de minimizar los riesgos a que están sometidos los bienes informáticos
hasta llevarlos a niveles adecuados.

Sistema de información

Es el conjunto de bienes informáticos de que dispone una entidad para su correcto

funcionamiento y a la consecución de os objetivos.

Vulnerabilidad

En un sistema informático es un punto o aspecto susceptible de ser atacado o de dañar su

seguridad: representan las debilidades o aspectos falibles o atacables en el sistema
informático y califican el nivel de riesgo del mismo.

Referencia bibliográfica:

9
 Escuela de la Gestión Pública Plurinacional
Diplomado en Seguridad de la Información

https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_incidentes#Ejemplos

http://polux.unipiloto.edu.co:8080/00003293.pdf

https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-
informatica/?MOD=AJPERES&CONVERT_TO=url&CACHEID=405e6859-2aab-4b21-b619-
b916774a23b7

https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-
informatica/comunicacion/publicaciones/que-es-un-incidente

http://e-forma.kzgunea.eus/mod/book/view.php?id=9929

10