Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. OBJETIVO:
Este documento es un procedimiento de las acciones que se tienen que realizar cuando se presenta
un incidente de seguridad en la red administrativa.
2. ALCANCE:
Aplica cuando se detectan únicamente incidentes de seguridad para todas las sedes de EEP.
3. CONSIDERACIONES:
Para ejecutar el procedimiento de Dump de memoria se tiene que habilitar temporalmente el acceso
a USB del usuario en caso no lo tenga.
4. PROCEDIMIENTO:
N1: Nivel 1 de Mesa de Ayuda /N2: Nivel 2 de Mesa de Ayuda /N3: Nivel 3 Infraestructura
4.2 DESCRIPCIÓN
equipos monitoreados.
El CISO, ICS Manager, Responsable ICS o personal de Infraestructura IT podrán detectar/generar
tickets de incidentes de Seguridad y enviarán el detalle del incidente por correo a HD.
En el ticket GSOC, CISO, ICS Manager, Responsable ICS o personal de infraestructura IT deberá
clarificar si es un equipo Administrativo o Industrial.
¿Lo tiene considerado HD?: En caso HD tenga reporte de algún incidente de seguridad debe
reportarlo al grupo siguiendo los escalamientos establecidos, según criticidad.
Si: Seguir paso 2
No: Seguir paso 3
2. Informar a GSOC:
HD(N1) debe informar al grupo que se ha detectado un incidente de seguridad, por cualquiera
de los medios recibidos del punto 1.
3. GSOC de acuerdo con la hora que se notifica se debe escalar y determinará el impacto.
CONTACTOS
GSOC +33149188559 email: soc@engie.com
Javier Gonzalez +33670108397 email: Javier.gonzalez1@engie.com
Nicolas Viellard +33760314725 email: nicolas.viellard@engie.com
Por ejemplo, Si se detecta infección en un file server se considera crítico y debe ser reportado
de inmediato. HD debe continuar con el procedimiento establecido de notificación.
Firewalls IT: Con el proveedor Think Network (Palo Alto Ilo, Lima administrado por N3).
Firewall FORTINET(OT): Con el proveedor SUPRA (uso de red industrial).
GSOC/ CISO una vez que recibe la información levantará el ticket incidente registrados por
ellos en el SIRP, en todo correo debe estar en copia Christian Morris y Alvaro Monjaras.
12. Cierra ticket aranda:
HD una vez que reciba la confirmación del grupo cerrará el caso.
Atención de Incidentes de Seguridad
INCIDENTE DE SEGURIDAD
WINDOWS
Las notificaciones son enviadas a través de la DL-EEP-Alertas Horario de oficina SI Call GSOC
INICIO ICSS <alertasicss.eep@engie.com> por GSOC/ SIO Es critico? EMAIL
GSOC
Si
No
8.- Escalamiento
con proveedores
5.- Ejecutar 6.- Deshabilitar el
procedimiento de puerto de red del
Dump de memoria equipo.
Informar al responsable
¿Es red
No del ICS/ Responsable de
administrativa?
seguridad IT
N3
SI
7.- Ejecución de
descarte inicial en
la consola KV Escalar con proveedor
Think Network
No se debe apagar el
Sacar el equipo
equipo, realizar la limpieza
de la red
y tomar las evidencias
Atención de Incidentes de Seguridad
6. CONTROL DE CAMBIOS