CAMPAÑA DE LA EMPRESA

ASCOLSA

PRESENTADO POR:
PABLO CIRO ECHEVERRI
LARRY SANTIAGO VILLA CARDONA

POLITECNICO JAIME IZASA CADAVID

1 DE MAYO

DOCUMENTACION DE ESTANDARES PARA LA CONSTRUCCION DE INFORMES

2019

1
2
Contenido
1. INTRODUCCION: ................................................................................................................... 5
2. OBJETIVOS Y ALCANCE ..................................................................................................... 5
2.1 Objetivo General: .............................................................................................................. 5
2.2 Objetivos Específicos: ............................................................................................................ 5
3. ALCANCE:............................................................................................................................... 5
4. CONTEXTO DE LOS EVENTOS: .......................................................................................... 6
4.1 Clasificación de Eventos. .................................................................................................. 6
4.2 Origen de los eventos: ....................................................................................................... 7
4.3 Características de los Eventos. .......................................................................................... 7
4.4 Etapa de Crisis. .................................................................................................................. 8
4.4.1 ANTES ....................................................................................................................... 8
4.4.2 DURANTE ................................................................................................................. 9
4.4.3 DESPUES................................................................................................................... 9
4.5 Planes que se activan en la atención de eventos .............................................................. 10
4.5.1 Llamada telefónica ................................................................................................... 10
4.5.2 Correo Electrónico ................................................................................................... 11
5. GUIA PARA RESPUESTAS DE EVENTOS ....................................................................... 12
5.1 Equipos de respuesta a incidentes CSIRT ....................................................................... 13
5.1.1 Descripción de CSIRT ............................................................................................. 13
5.1.2 Objetivos el CSIRT .................................................................................................. 13
5.1.3 Funciones del CSIRT. .............................................................................................. 13
5.1.4 Recursos CSITT. ...................................................................................................... 14
5.1.5 Alcance CSIRT. ....................................................................................................... 14
5.1.6 Servicios del CSIRT. ................................................................................................ 14
6. FLUJO DE ATENCION PARA LOS EVENTOS ALTOS Y MEDIOS. .............................. 16
7. CADENA DE LLAMADAS SEGÚN EL EVENTO. ........................................................... 17
8. PLAN DE ATENCION DE INCIDENTES ........................................................................... 18

3
Ilustración 1 Etapa de Crisis............................................................................................................. 8
Ilustración 2 Atención de Eventos. Llamadas Telefónica .............................................................. 10
Ilustración 3 Planes que se activan en atención de eventos de Correos Electrónicos .................... 11
Ilustración 4 Guía Para Respuestas de Eventos ............................................................................. 12
Ilustración 5 Flujo de atención para los eventos altos y medios. ................................................... 16
Ilustración 6 Cadena de llamadas según el evento. ........................................................................ 17
Ilustración 7 PLAN DE ATENCION DE INCIDENTES .............................................................. 18

Tabla 1 Clasificación de Eventos ..................................................................................................... 6

Tabla 2 Origen de los Eventos ......................................................................................................... 7
Tabla 3 Características de los Eventos. ............................................................................................ 7

4
 1. INTRODUCCION:
Las diferentes circunstancias actuales de la empresa ASCOLSA, unida a la rapidez de
respuesta requerida por los grupos de interés dependiendo del Área, hace más vulnerables
a organización ante la materialización de un evento que afecte la normal prestación de sus
servicios.
Motivo por el cual la empresa ASCOLSA requiere contas con una estructura
organizacional que cuente con características de empresas de nueva generación donde la
estructura organizacional tiene lineamientos como: La gestión de riesgo (ISO 31000 e ISO
27005), continuidad de negocios, gestión de crisis además se aplica a todos los procesos
de la compañía el concepto de resiliencia el cual permite mejorar toda la estructura
ASCOLSA en donde se tenga en cuenta los roles y responsabilidades los cuales permiten
anticipar, evaluar, responder de forma oportuna y adecuadamente a estos incidentes e
incorporar lecciones aprendidas a todas las áreas, con el fin de preservar los recursos y
mitigar las consecuencias.
Una estructura de esta naturaleza incorpora elementos de tipo estratégico, táctico
operacional, lineamientos, metodologías y procedimientos.

2. OBJETIVOS Y ALCANCE
2.1 Objetivo General:
Diseñar para la organización ASCOLSA el Protocolo de Atención de Eventos y Crisis
que permita identificar situaciones de riesgo, activar protocoles necesarios para atender y
controlar un posible evento, mitigar al máximo sus consecuencias, recuperar la
operatividad y evaluar su accionar para implementar lecciones aprendidas.
2.2 Objetivos Específicos:
 Implantar los criterios para evaluar un evento en la organización.
 Especificar los roles y responsabilidades de acuerdo con el área y a los diferentes
equipos y funcionarios de la organización que interactúan en un evento.
 Establecer los procedimientos a seguir para coordinar y optimizar de manera
eficaz el uso de los recursos internos y externos para responder a los eventos que
puedan tener crisis.

3. ALCANCE:
Con la implementación del PADEC (El Protocolo de Atención de Eventos y Crisis) en la
campaña ASCOLSA, se pretende generar un plan integral que integre todos los procesos,
funciones, áreas y servicios críticos, que afecten los objetivos del negocio. Con todos
estos se busca tener planes donde se puedan atender y resolver los eventos y crisis que
impacten los procesos definidos en la organización y que tenga.

5
 4. CONTEXTO DE LOS EVENTOS:
4.1 Clasificación de Eventos.
En la empresa ASCOLSA el impacto se va a medir teniendo en cuenta lo siguiente, tabla
donde se especifica los niveles de impacto que se pueden generar en la compañía.
IMPACTO
Alto
Incidentes de atención
inmediata.
El incidente de seguridad
afecta a activos de
información considerados de
impacto mayor y que influyen
directamente a los objetivos
de la organización.
Se incluyen en esta categoría
aquellos incidentes que
afecten:
 Amenaza la integridad
y la vida de las
personas.
 Afectar el buen
nombre de la empresa.
 Afectar las relaciones
o negociaciones con
los grupos de interés.
 Afectar la estabilidad
financiera de la
empresa.
 Afecta la información
de índole personal.
 Pérdida o robo de
información
catalogada como
secreto comercial o
industrial.
 Afecta infraestructura
critica para los
procesos de la
empresa.
 Generar
incumplimiento de las
normas legales.
Tabla 1 Clasificación de Eventos
Medio
El incidente de seguridad
afecta a activos de
información considerados de
impacto moderado que
influyen directamente a los
objetivos de un proceso
determinado.
Se incluyen en esta categoría
aquellos incidentes que
afecten:
 Compromete
mediamente el buen
nombre de la empresa.
 Afecta medianamente
a las personas.
 Impacta un numero
moderado de sistemas
o personas.
Bajo
El incidente de seguridad
afecta a activos de
información considerados de
impacto menor e
insignificante, que no incluye
en ningún objetivo. Estos
incidentes deben ser
monitoreados con el fin de
evitar un cambio de impacto.
Se debe documentar todos los
procedimientos concernientes
a la atención de incidentes
que ocurren en la
organización para que sirva
como fuente de conocimiento.
Se incluyen en esta categoría
aquellos incidentes que
afecten:
 No afecte la integridad
o la vida de las
personas.
 Impacta un número
mínimo de equipos no
críticos
6
 4.2 Origen de los eventos:
Amenazas TIC Amenazas Amenazas Amenazas Amenazas
Naturales Humanas/S Estratégicas y asociadas con los
ociales Administrativa proyectos.
s
Malware INCENDIOS ERROR SABOTAJE Roles mal definidos.
HUMANO
Fishing RAYOS ROBO
RANSOWARE INUNDACION
KEYLOGER TERREMOTO
SPYWARE ERUPCION
VOLCANICA
FALLOS ALTAS
TEMPERATUR
AS
DESCARGAS
DAÑOS ELECTRICAS
DESACTUALIZ
ACIONES
Tabla 2 Origen de los Eventos

4.3 Características de los Eventos.

En la compañía ASCOLSA los eventos están caracterizados de acuerdo con los siguientes
cinco parámetros
Evento Efecto
Amenazas tecnológicas. Perdida de confianza de los grupos de
Interés, el objetivo del negocio.
Amenazas naturales. Perdida de infraestructura.
Amenazas humanas o sociales. El objetivo del negocio.
Amenazas estratégicas y administrativas. Daño de la reputación de las directivas de
la organización.
Amenazas asociadas a los proyectos La organización se convierte en el centro
de atención de los medios.
Tabla 3 Características de los Eventos.

7
 4.4 Etapa de Crisis.

Ilustración 1 Etapa de Crisis

4.4.1 ANTES
 Lecciones Aprendidas.
 Tiempo.
 Roles (Matriz de comunicaciones. Responsables de la documentación)
 Planes a la medida (comunicaciones)
 Conformación de equipos.
 Presupuesto
 Definición de indicadores.
 Recurso humano y tecnología.
 Definir metas.
 Tener contingentes (Equipos, personas y operaciones).
 Capacitación.
 Definición de la metodología.
 Coordinación con los grupos de atención natural y departamental.
 Lista de contacto actualizada,
 Plan de recuperación en cuanto a tiempo, recursos y personas.
 Definición de las plantillas.

8
4.4.2 DURANTE
 Monitoreo.
 Motivación al personal.
 Simulacros.
 Seguridad proactiva.
 Comunicación.
 Aprobaciones.
 Tener contingentes (Equipos, Personas y operaciones).
 Hacer pruebas al Plan
 Coordinación con los grupos de atención nacional y departamento.
 Implementar las mejoras.
 Plan de recuperación en cuanto tiempo, recursos y personas.
 Aprobación a tiempo de las planillas.
 Integración de los departamentos.
 Lecciones aprendidas.
 Entrenamiento.
 Motivación al personal.
 Verificación de resultados.
 Validar el plan por un tercero.
 Clasificación de los eventos.
 Identificación de las víctimas y como ayudarles.

4.4.3 DESPUES
 Comunicación.
 Lecciones aprendidas.
 Actualizaciones o mejoras.
 Integración con todos los departamentos.
 Conservar las evidencias (informes del evento) para tener un soporte ante las
solicitudes de los entes de control, posibles reclamaciones de compañías
aseguradoras y solicitudes de otros interesados.
 Regresar a la normalidad bajo estándares de calidad y confiabilidad.

9
 4.5 Planes que se activan en la atención de eventos
4.5.1 Llamada telefónica

Móvil línea Selección de Fijo Línea directa=5528

directa = #456 canal

Iniciar la llamada telefónica

Terminar No Si
proceso Esperar respuesta
del equipo de Reportar el incidente
incidentes

No

Recibe respuesta de Mesa:

Si reporte
Incidente Realiza el triaje según
llamada telefónica
In
Si

Se realiza el proceso de documentación ,clasificación,

y priorización y escalamiento en la herramienta
estipulada para ello

Terminar proceso:
Reporte incidentes
exitoso
Ilustración 2 Atención de Eventos. Llamadas Telefónica

10
 4.5.2 Correo Electrónico

Ingresar correo institucional

Iniciar correo para reportar el incidente

Reportar el incidente al correo

mesa@eltelar.com.co

Redactar el asunto

Redactar la descripción

Terminar el No Dar clic en Si Mensaje enviado

proceso enviar

Recibe respuesta de
Mesa: Realiza el triaje
según el correo

No

Si reporte Contactar al usuario y

incidente hacer recolección más
detallada del incidente

Si

Se realiza el proceso de documentación , Clasificación

y priorización y escalamiento en la herramienta Terminar el proceso:
estipulada para ello Reporte incidentes

Activación del grupo según el nivel de CSIRT

Ilustración 3 Planes que se activan en atención de eventos de Correos Electrónicos

11
 5. GUIA PARA RESPUESTAS DE EVENTOS

CSRIT

Alto Encargado Del Especialista Grupo incidentes Ayuda externa

Área

Medio Jefe Evento

Analista
Atención de
incidentes
Encargado Área

Especialista
Crisis
Grupo incidentes

Grupo de crisis Ayuda externa

Grupo incidentes
Bajo
Especialista
Grupo de gerencias

Coordinador Soporte Encargado de Área

Ilustración 4 Guía Para Respuestas de Eventos

12
 5.1 Equipos de respuesta a incidentes CSIRT
La entidad ASCOLSA a través de sus años de actividades han logrado gran aceptación de
las personas debido la oferta de sus productos, y la población de banda de la red es
suficiente, sumado a esto la red inalámbrica soporta la demanda de tráfico en horas pico.
Por otro lado, existen dependencias que cuentan con equipos especializados, que cumplen
con los requerimientos de hardware y software para un funcionamiento adecuado, para las
actividades de carácter investigativo y tecnológico donde se les puede brindar soluciones
de calidad a los clientes.
Sumando a esto la compañía cuenta con laboratorios de prueba que cumplen con los
estándares internacionales de calidad en telecomunicaciones y seguridad de la
información; además se cuenta con una red en fibra óptica con redundancia, en la que se
pueden integrar no solo todos los servicios de telecomunicaciones (telefonía IP, video,
conferencia, sistemas de investigaciones, sistemas de información, entre otros.) sino
también a todo los sistemas relacionados con la operatividad de la compañía y de todos
los clientes, (sistemas de acceso, sistemas monitoreo, elevadores, video vigilancia,
sensores, entre otros.) orientada a la alta calidad, fiabilidad y acceso a la misma sin
importar que dispositivo o el lugar en el que este se encuentre.
5.1.1 Descripción de CSIRT
El CSIRT de la empresa ASCOLSA estará conformado inicialmente con un grupo de
trabajo con expertos en las diferentes áreas especificas de la compañía, además se
fortalece con el conocimiento adquirido paulatinamente, con las capacitaciones del
personal interno de la compañía para expandir el mercado de la información.
5.1.2 Objetivos el CSIRT
El CSRIT de la empresa ASCOLSA, resuelve las necesidades y problemas en seguridad
de la información, además de integración de los sistemas a nuevos servicios para lograr
una modernización tecnológica y conceptual en la empresa.
El CSIRT, formula soluciones optimas a los problemas de seguridad de la información en
la compañía.
El CSIRT selecciona e implementa diferentes softwares de aplicación que permite la
sistematización de la actual plataforma y que satisfaga las necesidades de la compañía.
5.1.3 Funciones del CSIRT.
 Definir planes y políticas de seguridad Tics.
 Procesar los distintos incidentes de seguridad informática que se presente.
 Controlar el daño provocado por incidentes de seguridad informática a los
sistemas de información de las organizaciones.
 Servicios de detección de intrusos y otros, que permiten prevenir la ocurrencia de
incidentes contra la infraestructura informática de la organización.
 Realizar monitoreo de forma constante a través de auditorias de seguridad o
evaluaciones, el cumplimiento y la aplicación de las políticas Tics.

13
 Validar la calidad de los servios, productos, estándares, y métodos sobre
seguridad.
 Asesorar a las compañías publicas y/o privadas en recomendaciones en soluciones
de seguridad.
 Apoya la estrategia se seguridad nacional, a través de definiciones de políticas de
Seguridad Tics.
5.1.4 Recursos CSITT.
 Tiene expertos responsables de cada área específica de la compañía para el
desarrollo de medidas preventivas y reactivas ante incidencias.
 Tiene una infraestructura de tecnologías de manejo de información y
comunicación que sirve de base para el manejo de eventos en el escenario de
seguridad.
 Tiene sistemas de comunicación especializados.
 Tienes políticas que apoyen al manejo de los escenarios de la seguridad de la
información.
5.1.5 Alcance CSIRT.
 Dimensionamiento de la infraestructura física de sistemas de información y
comunicación.
 Implementación de la infraestructura física de comunicaciones que son requeridos.
 Implementación de los sistemas especializados de manejo de Información de
Seguridad.
 Realizar investigaciones para la implementación de Planes y Políticas de
Seguridad.
 Realizar planes para la reacción ante incidentes de Seguridad.
 Realizar estudios sobre el estado se seguridad global de redes.
5.1.6 Servicios del CSIRT.

5.1.6.1 Preventivos (ALTOS).

 Control Interno (Auditorias).
 Controles se Seguridad de la Información (Políticas, directrices, procedimientos,
entre otras).
 Aportación de información a partir de avisos de seguridad evaluados sobre huecos
de seguridad en todos los productos de software de uso corriente como base para
una eficaz gestión de parches.
 Aportación de información a partir de avisos de seguridad evaluados sobre
malware.
 Aportación de información sobre informes de gestión en lo referente a seguridad
de TI.

14
5.1.6.2 Reactivos (MEDIOS)
 Gestión de análisis de vulnerabilidades (Análisis, Tratamiento, verificación,
mejora)
 Asistencia y asesoramiento a preguntas en todo lo referente a seguridad TI.
 Estudio y coordinación de incidentes de seguridad.
 Ejecución de análisis forenses, así como de análisis de puntos débiles y de
dispositivos.
 Elaboración de análisis técnicos sobre ataques de piratas informáticos, de malware
y de agujeros de seguridad.
 Juicio de declaraciones sobre seguridad de TI.
 Operación de un sistema de alarma de TI.

5.1.6.3 Sostenibilidad (BAJOS)

 Ejecución de ejercicios de seguridad (Simulacros)
 Aportación de material para ayudar a tomar conciencia sobre seguridad.
 Aportación de mejores practicas en todo lo referente al trabajo del CERT, entre las
que cuentan: gestión de parches, manejo de incidentes o herramientas forenses
desarrollando el procedimiento de gestión de incidentes del CSIRT
 Utilizando los objetos del procedimiento de gestión de incidentes, desarrolla un
procedimiento de gestión de incidentes completo. Realiza la secuencia correcta de
actividades, crea relaciones entre ellas y muestre las direcciones de los flujos de
trabajo. De forma adicional, amplia el proceso con sus propuestas para las
actividades.
 Tras crear el procedimiento, identifique las actividades que requieren
comunicación con terceras partes. Para cada una de ellas, indique los medios de
comunicación recomendados, por ejemplo. Un correo ordinario, una llamada
telefónica, un correo cifrado, entre otros.
 Analice su procedimiento. Señale los elementos críticos e identifique los
problemas potenciales que podrían aparecer durante la implementación del
proceso.

15
 6. FLUJO DE ATENCION PARA LOS EVENTOS ALTOS Y MEDIOS.

Comunicación interna Evento Alto y medio Comunicación externa

Grupo ilegal
Activación del CSRIT

Gerencia Apoyo Grupo externo de seguridad

interno Equipo de Respuesta
Especialistas externos
Equipo de crisis
Coordinador Apoyo externo

Jefe de departamento

Especialistas departamento

Equipos de operación
mantenimiento y control

Documentación Plan de mejoras

Ilustración 5 Flujo de atención para los eventos altos y medios.

16
 7. CADENA DE LLAMADAS SEGÚN EL EVENTO.

Reporte Telefónico Coordinador

solicitud Técnicos
Mesa TI
cliente TI

Correo
Diagnostico
Electrónico
Checklist

Equipos
Plataforma de
de apoyo
apoyo informático
interno
Eventos bajos y
medios

Jefe de sistema
Jefe de sistema
Coordinador TI Equipo técnico y
táctico

Eventos Altos

Ilustración 6 Cadena de llamadas según el evento.

17
 8. PLAN DE ATENCION DE INCIDENTES

Ilustración 7 PLAN DE ATENCION DE INCIDENTES

18