Contenido

1. INTRODUCCION .............................................................................................. 3
2. OBJETIVOS Y ALCANCE ................................................................................. 3
2.1 Objetivos generales ........................................................................................... 3
2.2 Objetivos Específicos ........................................................................................ 3
3. Alcance .............................................................................................................. 3
4. CONTEXTOS DE LOS EVENTOS ...................................................................... 4
4.1 Características del Evento ............................................................................. 7
Elementos o componentes claves en la gestión de crisis .................................... 7
4.2 Etapas de las crisis ........................................................................................ 9
4.2.1 ANTES...................................................................................................... 9
4.2.2 DURANTE .............................................................................................. 10
4.2.3 DESPUES................................................................................................ 11
4.3 Planes que se activan en la atención de eventos .................................................. 12
4.3.1 Llamada telefónica.................................................................................... 12
4.3.2 Correo electrónico .................................................................................... 13
5. GUIA PARA RESPUESTA DE EVENTOS ........................................................ 14
5.1 Equipo de respuesta a incidentes CSIRT .................................................... 14
5.1.1 Descripción del CSIRT ............................................................................. 15
5.1.2 Objetivos del CSIRT ................................................................................. 15
5.1.3 Funciones del CSIRT ................................................................................ 16
5.1.4 Recursos CSIRT ....................................................................................... 16
5.1.5 Alcance CSIRT ........................................................................................ 16
5.1.6 Servicios de CSIRT .................................................................................. 17
6. Flujo de atención para los eventos altos y medios .......... Error! Bookmark not
defined.
7. Cadena de llamadas según el evento ............................................................ 19
8. Plan de atención e incidentes ........................................................................ 20
1. INTRODUCCION
Las diferentes circunstancias actuales e la empresa ASCOLSA, unida a la rapidez de
respuesta requerida por los grupos de interés dependiendo del área haca más vulnerables a
organización ante l materialización de un evento que afecte la norma prestación de sus
servicios

Motivo por el cual la empresa ASCOLSA requiere contar con una estructura organizacional
que cuente con características de empresas de nueva generación de donde la estructura
organizacional tiene lineamientos como: La gestión de riesgo (ISO 31000 y ISO 270005),
continuidad de negocios, gestión de crisis además se aplica en todos los procesos de la
compañía el concepto de residencia el cual permite mejorar toda la estructura ASCOLSA
en donde se tenga en cuenta los roles y responsabilidades lo cuales permitan anticipar,
evaluar, responder oportuna y adecuadamente estos incidentes e incorporar lecciones
aprendidas a todas las áreas con el fin de preservar los recursos y migrar las consecuencias
una estructura de esta naturaleza incorpora elementos de tipo estratégico, táctico
operacional, lineamientos, metodologías y procedimientos.

2. OBJETIVOS Y ALCANCE
2.1 Objetivos generales

Diseñar para la organización ASCOLSA el protocolo de Atención de Eventos y Crisis que

permita identificar situaciones de riesgo. Activar protocolos necesarios para atender y
controlar un posible evento, mitigar el máximo sus consecuencias recuperar la operatividad
y evaluar su accionar para implementar lecciones aprendidas

2.2 Objetivos Específicos

-Implantar los criterios para evaluar un evento de la organización

-Especificar los roles y responsabilidades de acuerdo con el área y a los diferentes equipos
y funcionarios de la organización que interactúan en un evento

-Establecerlos procedimientos a seguir para coordinar y optimizar la manera eficaz el uso

de los recursos internos y externos para responder a los eventos que pueden generan la
crisis

3. Alcance
Con la implementación de PADEC (el protocolo de Atención de Eventos y Crisis) en la
compañía ASCOLSA, se pretende generar un plan integral que integre todos los procesos,
funciones, áreas y servicios críticos, que afecten los objetivos del negocio con todos estos
se busca tener planes donde se puedan atender y resolver los eventos y crisis que impacten
los procesos definidos en la

organización y que tenga

4. CONTEXTOS DE LOS EVENTOS

Clasificación de Eventos

En la empresa ASCOLSA el impacto se va medir teniendo en cuenta la siguiente tabla

donde se especifica los niveles de impacto que se pueden generar en la compañía

IMPACTO
Alto Medio bajo
Incidentes de atención El incidente de seguridad El incidente de seguridad
inmediata. afecta a activos de afecta a activos de
El incidente de seguridad información considerados información considerados
afecta a activos de de impacto moderado que de impacto menor e
información considerados influyen directamente a los insignificante, que no
de impacto mayor y que objetivos de un proceso influyen en ningún
influyen directamente a los determinado objetivo. Estos incidentes
objetivos de la organización deben ser monitoreados con
se influyen en esta categoría Se incluyen en esta el fin de evitar un cambio
aquellos incidentes que categoría aquellos en el impacto.
afecten: incidentes que afecten: Se debe documentar todos
 Amenaza la los procedimientos
integridad y la vida  Compromete concernientes a la atención
de las personas. mediante el buen de incidentes que ocurran
 Afectar el buen nombre de la en la organización para que
nombre de la empresa sirva como fuente de
empresa.  Afecta conocimiento
 Afectar las medianamente a las Se incluyen en esta
relaciones o personas categoría incidentes que
negociaciones con  Impacta un numero afecten:
los grupos de moderado de  No afecta la
interés. sistemas o personas integridad o la vida
 Afectar la de las personas
estabilidad  Impacta un número
financiera de la mínimo de equipos
empresa. no críticos
  Afecta información
de índole personal
 Pérdida o robo de
información.
catalogada como
secreto comercial o
industrial.
 Afecta
infraestructura
critica para los
procesos de la
empresa
 Generar
incumplimiento de
normas legales.

Tabla 1 clasificación de eventos

Origen de los eventos

AMENAZAS TIC AMENAZAS AMENAZAS AMENAZAS AMENAZAS

NATURLES HUMANAS/SOCIALES ESTRATEGICAS Y ASOCIADAS A
ADMINISTRATIVA LOS PROYECTOS
S
Malware INCENDIOS ERROR HUMANO SABOTAJE Roles mal definidos
Fishing RAYOS ROBO
RANSOMWARE INUNDACION
KEYLOGER TERREMOTO
SPYWARE ERUPCION
VOLCANICA
FALLOS ALTAS
TEMPERATURA
S
DAÑOS DESCARGAS
ELECTRICAS
DESACTUALIZACI
ON

Tabla 2 Origen de los elementos

 4.1 Características del Evento

En la compañía ASCLSA los eventos están caracterizados de acuerdo con los siguientes 5
parámetros:

Evento Efecto

Amenazas tecnológicas Pérdida de confianza de los grupos de interés, el objetivo del

negocio
Amenazas naturales Perdida de infraestructura

Amenazas humanas o sociales El objetivo del negocio

Amenazas estratégicas y administrativas Daño de la reputación de las directivas de la organización

Amenazas asociadas a los proyectos La organización se convierte en el centro de atención de los

medios

Tabla 3 Características del evento

 ELEMENTOS O COMPONENTES CLAVES EN LA GESTION DE CRISIS

D
Roles (matriz de comunicaciones) u -Monitores
Conformación de equipo r -Motivación personal
Presupuesto -Simulacros

ANTES
a
Definición de indicadores -Seguridad personal
n
Recurso humano y tecnología -Comunicación
t
Definir metas -Agrupación
e
Tener contingencia (equipos) -Implementación mejoras
y operaciones)
Capacitaciones
Definición de metodología
Lista de contactos actualizada
Plan de recuperación en
cuanto a tiempo
Planificar Hacer

ETAPAS
• DESPUES -Lecciones aprendidas
Mejora Verificar
-Emprendimiento
-Comunicación
-Movimiento al personal
-Lecciones aprendidas
-Verificación de resultados
-Integración de todos los
-comuni32jhgcaciones
departamentos
-Clasificación de eventos
4.2 Etapas de las crisis

4.2.1 ANTES
- Lecciones aprendidas

- Tiempo

-Roles (Matriz de Comunicaciones Responsables de la documentación)

-Planos a la medida (comunicaciones)

. Conformación de equipos

-Presupuesto

Definición de indicadores

-Recurso humano y tecnología

-Definir metas

-Tener contingencias (equipo, personas y operaciones)

-Capacitación

-Definición de la metodología

-Coordinación con los grupos de atención nacional y departamental

-Lista de contacto actualizada

-Plan de recuperación en cuanto tiempo, recursos, personas

-Definición de plantillas
4.2.2 DURANTE

-Monitoreo

-Motivación al personal

-simulacros

-seguridad proactiva

-comunicación

-aprobaciones

-tener contingencia (Equipos, personas y operaciones)

-hacer pruebas al plan

-coordinación con los grupos de atención nacional y departamento

-implementar las mejoras

Plan de recuperación en cuanto a tiempo, recursos, personas

-aprobación a tiempo de las plantillas

-integración de los departamentos

-lecciones aprendidas

-entrenamiento

-motivación al personal

-verificación de resultados

-validar el plan por un tercero

-clasificación de los eventos

-identificación de las víctimas y como ayudarlas

4.2.3 DESPUES
-Comunicación

-lecciones aprendidas

-actualización o mejores

-integración con todos los departamentos

-conservar las evidencias (informes del evento) para tener un soporte antes las
solicitudes de los antes de control posibles reclamaciones de compañías
aseguradoras y solicitudes de otros interesados

-regresar a la normalidad bajo estándares de calidad y confiabilidad

 4.3 Planes que se activan en la atención de eventos
4.3.1 Llamada telefónica

Móvil línea
directa = Selección de canal Fijo Línea directa=5528
#456

Iniciar llamada telefónica

No Si
Esperar
Terminar el
respuesta del Reportar el incidente
proceso
equipo de
incidente

No

Si reporte
Recibe respuesta de MESA
incidente Realiza el traje según
llamada telefónica

Si

Se Realiza el proceso de
documentación clasificación y
priorización y escalamiento
en la herramienta estipulada
para ello

Terminar proceso:
Reporte incidentes
exitoso
4.3.2 Correo electrónico

ingresar correo institucional

iniciar correo para reportar el incidente

Reportar el incidente al correo

mesa@eltelar.com.co

Redactar correo

Redactar la descripción

NO SI
Terminar el
Dar clic en
proceso Mensaje Enviado
enviar

Recibe respuesta de Mesa

Realiza el triaje según el
correo

Si reporte Contactar al usuario y hacer

incidente recolección más detallada del
incidente

Se realiza el proceso de
documentación clasificación y
priorización y escalamiento Terminar el proceso
en la herramienta estipulada reporte incidentes
para ello

Activación del grupo según el nivel de CSIRT

 5. GUIA PARA RESPUESTA DE EVENTOS

CSIRT

Alto Encargado de área Especialista Grupo incidentes Ayuda Externa

Medio Jefe evento

Analista

Encargado Área
Atención de
incidentes Especialista

Crisis Grupo incidentes

Ayuda externa
Grupo de crisis

Bajo Grupo incidentes

Grupo de gerencias
Especialista

Coordinador Soporte Encargado Área

5.1 Equipo de respuesta a incidentes CSIRT

La entidad ASCOLSA a través de sus años de actividad han logrado gran aceptación las
personas debido a la oferta de sus productos, y la población
La entidad ASCOLSA a través de sus años de actividad ha logrado gran aceptación de las
personas debida la oferta de sus productos, y la población de

Banda de la red de suficiente sumando a esto la red inalámbrica soporta la demanda de

tráfico en horas pico

Por otro lado, existen dependencias que cuentan con equipos especializados que cumplen
con los

Requerimientos de hardware y software para un funcionamiento adecuado para las

actividades de

Carácter investigativo y tecnólogo donde se les puede brindar soluciones para las
actividades de

Carácter investigativo y tecnológico donde se les puede brindar soluciones de calidad a los
clientes

Sumando a esto la compañía cuenta con laboratorio de prueba que cumplen con los
estándares

Internacionales de calidad de telecomunicaciones y de seguridad de la información además

se cuenta con una red en fibra óptica con redundancia, en la que se puedan integrar solo
todos los servicios de telecomunicaciones(telefonía ip, video conferencia, sistema de
investigaciones, sistema de información, entre otros.) sino también a todos los sistemas
relacionados con la operatividad de la compañía y de todos los sistemas relacionados con la
operatividad de la compañía y de todos los clientes.(sistemas de acceso, sistemas
monitoreo, elevadores, video vigilancia, sensores, entre otros.) orientada a la alta calidad y
fiabilidad y acceso a la misma sin importar que dispositivo lugar en el que este se encuentre

5.1.1 Descripción del CSIRT

El CSIRT de la empresa ASCOLSA estará conformado inicialmente con un grupo de
trabajo con expertos en las diferentes áreas específicas de la compañía además se fortalece
con el conocimiento adquirido paulatinamente, con las capacitaciones del personal interno
de la compañía para expandir el mercado de seguridad de a información

5.1.2 Objetivos del CSIRT

El CSIRT de la empresa ASCOLSA, resuelve las necesidades y problemas en la seguridad
de la información, además de integración de los sistemas a nuevos servicios para lograr una
modernización tecnológica y conceptual en la empresa

El CSIRT, formula soluciones ópticas a los problemas de seguridad de la información en la

compañía
El CSIRT selecciona e implementa diferentes softwares de aplicación que permita la
sistematización de la actual plataforma y que satisfaga las necesidades de la compañía

5.1.3 Funciones del CSIRT

 Definir planes y políticas de seguridad Tics
 Procesar los distintos incidentes de seguridad informática que se presente.
 Controlar el daño provocado por incidentes de seguridad informática a los sistemas
de información de las organizaciones
 Servicios de detección de intrusos otros, que permitan prevenir la ocurrencia de
incidentes contra la infraestructura informática de la organización
 Realizar monitoreo e forma constante a través de auditorías de seguridad o
evaluaciones, el cumplimiento y la aplicación de las políticas de Tics
 Validar la calidad de los servicios, productos, estándares y métodos sobre seguridad.
 Asesorar a las compañías públicas y/o privadas en recomendaciones de solución de
seguridad
 Apoyar la estrategia de seguridad nacional, atreves de definiciones de políticas de
seguridad Tics

5.1.4 Recursos CSIRT

 Tiene expertos responsables de cada área específica de la compañía para el
desarrollo de medidas preventivas y reactivas ante incidencias
 Tiene una infraestructura de tecnologías de manejo de información y
comunicaciones que sirve de base para el manejo de eventos en el escenario de
seguridad de la información

5.1.5 Alcance CSIRT

 Dimensionamiento de la infraestructura física de sistemas de información y
comunicación
 Implementación de la infraestructura física de comunicaciones que son requeridos
 Implementación de los sistemas especializados de manejo de información de
seguridad
 Realizar investigaciones para la implementación de planes y políticas de seguridad
 Realizar para reacción ante incidentes de seguridad
 Realizar estudios sobre el estado de seguridad global de redes
 5.1.6 Servicios de CSIRT
a Preventivos (ALTOS)
 Control interno (auditorias).
 Controles de seguridad de la información (políticas, directrices, procedimientos,
entre otras).
 Aportación de información a partir de avisos de seguridad evaluados sobre huecos
de seguridad en todos los productos de software de uso corriente como base para
una eficaz gestión de parches
 Aportación de información a partir de avisos de seguridad evaluados sobre malware
 Aportación de información sobre informes de gestión en lo referente a seguridad de
TI

b Reactivos (MEDIOS)
 Gestión de análisis de vulnerabilidades (Análisis, Tratamiento, verificación, mejora)
 Asistencia y asesoramiento preguntas en todo lo referente a seguridad de TI
 Estudio y coordinación de incidentes de seguridad
 Ejecución de analistas, así como de análisis de puntos débiles y de dispositivos
 Elaboración de análisis técnicos sobre ataques de piratas informáticos de malware y
de agujeros de seguridad
 Juicio de declaraciones sobre seguridad de TI
 Operaciones de un sistema de alarma de TI

c Sostenibilidad (BAJOS)
 Ejecución de ejercicios de seguridad (simulacros)
 Aportación de material para ayudar a tomar conciencia sobre seguridad
 Aportación de mejores prácticas en todo lo referente al trabajo del CERT, entre las
que cuentan: gestión de parches, manejo de incidencias o herramientas forenses
desarrollando el procedimiento de gestión de incidentes de CSIRT
 Utilizando los objetos del procedimiento de gestión de incidentes desarrolla un
procedimiento de gestión de incidentes completo. Realiza la secuencia correcta de
actividades, crea relaciones entre ellas y muestre las direcciones de los flujos de
trabajo. De forma adicional, amplia el proceso con sus propuestas para las
actividades

 Tras crear el procedimiento, identifique las actividades que requieren comunicación

con terceras partes. Para cada una de ellas. Indique los medios de comunicación
recomendados (por ejemplo, un correo ordinario. Una llamada telefónica, un correo
cifrado, entre otros)
  Analice su procedimiento señale los elementos críticos e identifique los problemas
potenciales que podrían aparecer durante la implementación del proceso

6. Flujo de atención para los eventos altos y medios

Comunicación internar Evento Alto y medio Comunicación entorna

Grupo legal Activación del CSIRT

Grupo externo de seguridad
Apoyo
Gerencia Equipo de respuesta
Interno
Especialistas externos
Equipo de crisis
Coordinador
Apoyo externo

Jefe de departamento

Especialistas departamento

Equipo de operación
mantenimiento y control

Documentación Plan de mejoras

7. Cadena de llamadas según el evento

Coordinador
Técnicos TI
Reporte Telefónico mesa TI
solicitud
cliente

Correo
electrónico
Diagnostico
checklist

Plataforma de Equipos de
apoyo informático apoyo interno
Eventos bajos y
medios

Jefe de sistema Jefe de sistema

Coordinador TI Equipo Técnico y
táctico

Eventos altos
8. Plan de atención e incidentes