MP 069 2019

Manual de Procedimiento Diciembre
para la Gestión de Incidentes

de Seguridad de la
Información y Ciberseguridad
2019
Este documento contiene la segunda versión del Manual de
Procedimiento para la Gestión de Incidentes de Seguridad de la Versión 2.0
DIRECCIÓN NACIONAL DE RIESGOS DE OPERACIONES
© 2019. Dirección de Procesos, Calidad e Innovación- Coordinación General de

Planificación y Gestión Estratégica – Banco Central del Ecuador.
Todos los derechos reservados.
El presente documento no puede ser reproducido, distribuido, comunicado

públicamente, archivado o introducido en un sistema de recuperación de información,
o transmitido, en cualquier forma y por cualquier medio (electrónico, mecánico,
fotográfico, grabación o cualquier otro), total o parcialmente, sin el previo
consentimiento por escrito del Banco Central del Ecuador.
ÍNDICE
REVISIÓN Y APROBACIÓN.................................................................................................................... 3
CONTROL DE HISTORIAL DE CAMBIOS ................................................................................................ 4
INFORMACIÓN GENERAL .................................................................................................................... 5
1. GLOSARIO DE TÉRMINOS Y/O DEFINICIONES: ....................................................................... 6
2. ÁMBITO DE APLICACIÓN ........................................................................................................ 8
3. CONTENIDO TÉCNICO DEL DOCUMENTO............................................................................... 8
3.1. FICHA DEL PROCEDIMIENTO .................................................................................................. 8
3.2. DIAGRAMA DE FLUJO ........................................................................................................... 10
3.3. DESCRIPCIÓN ........................................................................................................................ 11
4. ANEXOS................................................................................................................................. 14
MANUAL DE PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
CÓDIGO VERSIÓN PÁGINA
MP-069 2.0 Página 3 de 20
REVISIÓN Y APROBACIÓN:
Elaborado por: Firma

Firmado digitalmente por
Especialista de Riesgos de Operaciones JOHN ALEXIS NARVAEZ MEJIA
Fecha: 2019.12.24 11:08:46
-05'00'
Especialista de Servicios, Procesos y Firmado digitalmente por ANA

LUCIA ESPINEL PACHECO
Calidad Fecha: 2019.12.24 09:14:15 -05'00'
Revisado y Validado por: Firma

Coordinadora General Jurídica, PRISCILA DEL CARMEN GUERRERO
SILVA
Subrogante Fecha: 2019.12.24 12:04:39 -05'00'
Coordinadora General de Planificación y Firmado digitalmente por REYNA

VERONICA VALENCIA REINEL
Gestión estratégica Fecha: 2019.12.24 11:32:44 -05'00'
Firmado digitalmente por VICTOR

Coordinador General de Tecnologías de la GEOVANNY BARRIONUEVO
Información y Comunicación BOLANOS
Fecha: 2019.12.24 10:37:43 -05'00'
Director de Aseguramiento de la Calidad y Firmado digitalmente por OCTAVIO

FERNANDO ALBUJA ROMERO
Seguridad Informática Fecha: 2019.12.24 09:33:24 -05'00'

Director Nacional de Riesgos de CHRISTIAN GERMAN MERA
PROANO
Operaciones Fecha: 2019.12.24 10:59:24 -05'00'

Directora de Procesos, Calidad e CLAUDIA ELIZABETH AYERVE
GONZAGA
Innovación, Subrogante Fecha: 2019.12.24 11:04:20 -05'00'
Coordinador de Infraestructura y Firmado digitalmente por CESAR

ARTURO BEDON CHAMORRO
Operaciones TI (Oficial de Seguridad de la Fecha: 2019.12.24 11:18:47
Información) -05'00'
Aprobado por: Firma

JANETH OLIVA MALDONADO
Subgerente General ROMAN
Fecha: 2019.12.27 18:21:55
-05'00'
Recuerde: Este documento ha sido aprobado con firma electrónica, lo que proporciona validez, integridad y no repudio de la información.
La impresión del documento no garantiza su vigencia y se considerará como copia no controlada.
CONTROL DE HISTORIAL DE CAMBIOS
Fecha de
Versión Descripción del cambio
actualización
Versión Inicial del Manual de procedimiento para la administración
01 Diciembre - 2016
de incidentes de seguridad de la información
Actualización del diagrama de flujo y del manual de procedimiento

para la gestión de incidentes de seguridad de la información y
ciberseguridad se realizó con base en el Oficio Nro. MINTEL-SEGE-
2019-0179-O de 09 de junio de 2019, en el cual el Ministerio de
Telecomunicaciones y de la Sociedad de la Información estableció el
“Plan de Acción Emergente Ante Ciberataques, con el objetivo de que
las instituciones públicas estén preparadas para prevenir, protegerse
y reaccionar de manera sistemática ante incidentes de
ciberseguridad que puedan afectar los servicios gubernamentales”.
Adicionalmente se da cumplimiento a recomendación de Informe No.

DNAIB-2018-027 de 20 de agosto de 2018, en el cual la Dirección
02 Diciembre - 2019
Nacional de Auditoría Interna Bancaria señala, “Disponer al personal
a su cargo, actualizar el Manual de procedimiento para la
administración de incidentes de seguridad de la información del BCE
con el fin de monitorear y evaluar los incidentes recurrentes y su
frecuencia”.
Se da cumplimiento a recomendación de Informe No. BCE-DNAIG-I-

007-2018 de 19 de septiembre de 2018, en el cual la Dirección
Nacional de Auditoría Interna Gubernamental señala, “Definirá y
aplicará mecanismos que permitan al usuario que reporta un
incidente o novedad relacionada, cerrar el mismo, en coordinación
con el Director de Soporte Informático”.
INFORMACIÓN GENERAL
Manual de Procedimiento para la Gestión de Incidentes de Seguridad de la

TÍTULO
John Narváez
Dirección Nacional de Riesgos de Operaciones
Autores: Ana Espinel
Dirección de Procesos, Calidad e Innovación
Vigencia: El presente documento tendrá vigencia a partir de la fecha de su aprobación.
Subgerente General, mediante Resolución Administrativa No. BCE-GG-093-2019

Aprobación:
de 07 de marzo de 2019, Artículo 1, numeral 4.
Responsabilidad
de la
implementación,
Dirección Nacional de Riesgos de Operaciones
ejecución, del
Coordinación General de Tecnologías de la Información y Comunicación
control previo y
concurrente:
Responsabilidad El presente documento normativo será revisado y actualizado por las áreas
de la revisión y previstas en responsabilidad de la implementación, ejecución, del control previo y
actualización: concurrente.
Responsabilidad
Dirección Nacional de Auditoría Interna Bancaria y/o Gubernamental, en el
de la evaluación
ámbito de su competencia.
de control interno:
El presente documento normativo será distribuido por la Dirección de Gestión

Documental y Archivo a los servidores previstos en responsabilidad de la
Distribución: implementación, ejecución, del control previo y concurrente.
1. GLOSARIO DE TÉRMINOS Y/O DEFINICIONES:

Activo de información: Es todo recurso que genera, procesa, transporta y/o resguarda información
necesaria para la operación y el cumplimiento de los objetivos del Banco Central del Ecuador, por lo
tanto, se requiere proteger su confidencialidad, integridad y disponibilidad de las amenazas propias de
su naturaleza y características.
Alta Dirección: Es la Gerencia General, Subgerencia General y miembros del Comité de Gestión de
Seguridad de la Información.
Amenaza: Todo evento previsible o no, que pueda afectar a las personas, bienes e información.
BCE: Banco Central del Ecuador.
BMC Remedy Action Request System: Es la herramienta tecnológica que apoya la gestión de incidentes
del BCE. Combina las buenas prácticas de ITIL® (Information Technology Infrastructure Library, buenas
prácticas para la gestión de servicios de tecnologías de la información) y el autoservicio intuitivo para
permitir una entrega de servicios más inteligente de los incidentes que se producen en un área de
tecnología.
Ciberseguridad: Es la protección de los activos de información digitales, considerando las amenazas a la

información, procesada, almacenada y transportada por sistemas o aplicaciones interconectados.
Comité de Continuidad: Encargado de promover el desarrollo de las políticas de la administración del

Plan de Continuidad de la institución.
Comité de Gestión de Seguridad de la información: Encargado de coordinar la seguridad de la

información en la institución basado en las normas técnicas ecuatorianas INEN ISO/IEC 27000 y de
aceptación general.
Confidencialidad: Es el atributo de la seguridad de la información que permite que la información tenga

acceso sólo al personal autorizado.
Criptografía: Técnica de escribir con procedimientos o claves secretas o de un modo enigmático, de tal
forma que lo escrito solamente sea inteligible para quién tenga autorización de descifrarlo.
Disponibilidad: Es el atributo de la seguridad de la información que está relacionado con la garantía de

que la información pueda ser utilizada en el momento que se la requiera por el personal autorizado.
ECUCERT: Centro de respuesta a incidentes informáticos del Ecuador.
ERISI: Equipo de Respuesta a Incidentes de Seguridad de la Información y está conformado por el Oficial
de Seguridad de la Información o su delegado, Coordinador General de Tecnologías de la Información y
Comunicación o su delegado, Director Nacional de Protección de Especies Valoradas o su delegado,
Dirección Nacional de Riesgos de Operaciones delegado de Seguridad de la Información, de acuerdo al
Anexo 2.
ERISTI: Equipo de Respuesta a Incidentes de Seguridad de Tecnologías de la Información y está

conformado por el Oficial de Seguridad de la Información o su delegado, Coordinador General de
Tecnologías de la Información y Comunicación o su delegado, Director de Aseguramiento de la Calidad y
Seguridad Informática o su delegado, Director de Soporte Informático o su delegado, Director de

Infraestructura y Operaciones TI o su delegado, Director de Desarrollo Informático o su delegado,
Dirección Nacional de Riesgos de Operaciones delegado de Riesgo Operativo, Dirección Nacional de
Riesgos de Operaciones delegado de Seguridad de la Información, de acuerdo al Anexo 3.
Incidente de seguridad de la información: Interrupción o alteración del proceso normal de seguridad de

los activos de información o una situación de fallas en seguridad de la información con probabilidad
significativa de comprometer la confidencialidad, integridad y disponibilidad de la información de la
institución. Ejemplos: 1. No se puede ingresar a los sistemas. 2. Identifican que ingresaron a su equipo
sin autorización.
Incidente de ciberseguridad: Interrupción o alteración del proceso normal de seguridad de los activos
de información digitales, la infraestructura tecnológica, los componentes lógicos de la información y las
interacciones en el ciberespacio con probabilidad significativa de comprometer las operaciones de la
institución. Ejemplos: 1. Comportamiento inusual al ingresar a los aplicativos e infraestructura
tecnológica. 2. Correo electrónico de remitente y origen desconocido.
Información: Es cualquier forma de registro electrónico, óptico, magnético o en otros medios

previamente procesados en varios datos que pueden ser almacenados o distribuidos y sirven para
análisis, estudios, toma de decisiones, ejecución de una transacción o entrega de un servicio; y se
constituye en un activo de información del BCE.
Integridad: Es el atributo de la seguridad de la información para que la información mantenga su

totalidad y exactitud garantizando los métodos de procesamiento.
MINTEL: Ministerio de Telecomunicaciones y de la Sociedad de la Información.
Oficial de Seguridad de la Información: Es el responsable de alinear las estrategias y actividades de

seguridad de la información con los objetivos de la institución, y gestiona las políticas y procedimientos,
para que sea gestionado apropiadamente por los responsables de los activos de información del BCE y
se encuentren adecuadamente protegidos del impacto de los riesgos de seguridad de la información.
Seguridad de la información: Se refiere a la protección de la confidencialidad, integridad y

disponibilidad de la información, mediante la definición de estrategias, políticas y lineamientos.
2. ÁMBITO DE APLICACIÓN
 Oficina Matriz Quito
 Oficina Casa de la Moneda
 Oficina Plataforma Gubernamental de Gestión Financiera
 Dirección Zonal Guayaquil
 Dirección Zonal Cuenca
3. CONTENIDO TÉCNICO DEL DOCUMENTO
3.1. FICHA DEL PROCEDIMIENTO
PROCEDIMIENTO: Procedimiento para la gestión de incidentes de seguridad de la información y
ciberseguridad
OBJETIVO DEL Normar la atención, tratamiento y solución a los incidentes de seguridad de la

PROCEDIMIENTO: información y ciberseguridad.
RESPONSABLE DEL
PROCEDIMIENTO: Dirección Nacional de Riesgos de Operaciones
DISPARADOR: Notificación de incidente de seguridad de la información y ciberseguridad

RESPONSABILIDADES:
 Todos los servidores públicos que tengan acceso a los activos de información del
BCE deben reportar a través de Herramienta BMC Remedy Action Request
System, los incidentes de seguridad de la información y ciberseguridad, cuando
estos ocurran o exista presunción (Para mayor referencia ver el glosario de
términos en la página 7).
 Los incidentes de seguridad de la información y ciberseguridad catalogados como
alto y crítico, se deberán informar al Comité de Gestión de Seguridad de la
Información.
RECURSOS
MATERIALES HUMANOS TECNOLÓGICOS FINANCIEROS

Equipo de cómputo Subgerente General Herramienta BMC Remedy Action Presupuesto
Request System Asignado
Suministros de Coordinador General de Herramientas tecnológicas
Oficina Tecnologías de la Información y disponibles del BCE.
Comunicación o su delegado
Oficial de Seguridad de la Correo electrónico
Información o su delegado
Especialista de CGTIC
Especialista de la Dirección
Nacional de Riesgos de
Operaciones
Equipo de Respuesta a
Incidentes (ERISI) o (ERISTI)
Comité de Continuidad
Comité de Gestión de Seguridad
de la Información
PROVEEDORES ENTRADAS
Unidades operativas del BCE (Responsable del Activo de Número de Incidente en BMC Remedy
Información)
Equipo de respuesta a incidentes de seguridad de la
información
Equipo de respuesta a incidentes de seguridad de
tecnologías de la información
SALIDAS CLIENTES
Documento o registro del equipo de respuesta a Unidades operativas del BCE (Responsable del Activo
incidentes de Información)
Solución del incidente
Notificación de cierre de incidente
BASE LEGAL / CONTROLES

Acuerdo Nro. 166 emitido por la Secretaría Nacional de la Administración Pública, mediante el cual se expide el
Esquema Gubernamental de Seguridad de la Información.
Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información.
NT-001 Norma para la Administración de la Seguridad de la Información del Banco Central del Ecuador.
Normas del National Institute of Standards and Technology (NIST) SP 800-61 (Referencial)
MP-069 2.0 Página 10 de 20
3.2. DIAGRAMA DE FLUJO
MP-069 2.0 Página 11 de 20
3.3. DESCRIPCIÓN
# RESPONSABLE TAREAS DOCUMENTOS
ASOCIADOS
Recibir el incidente de seguridad de la información o
ciberseguridad a través de la Mesa de Ayuda utilizando -Número de Incidente
1 Especialista de CGTIC
el canal de comunicación BMC Remedy Action Request en BMC Remedy
System.
Validar Incidente:
Se evalúa si se trata de un incidente de seguridad o no.
No, es un incidente de seguridad realizar actividad 3 y
atender como incidente de TI.
2 Especialista de CGTIC Si, es un incidente de seguridad, verifica si corresponde
a uno nuevo?
Si, la información recibida está clasificada como un
incidente de seguridad nuevo, ir a la actividad 5.
En caso contrario ir a la actividad 4.
Procedimiento de gestión de incidentes de TI -Procedimiento de
La información recibida que no esté relacionada con los gestión de incidentes
3 Especialista de CGTIC
incidentes de seguridad debe atenderse de acuerdo al de TI
procedimiento de gestión de incidentes de TI.
Vincular como incidente ya registrado:
En caso de que la información recibida contenga
4 Especialista de CGTIC información adicional para un incidente de seguridad ya
registrado, vincular como incidente de seguridad ya
registrado y pasa actividad 8
Ponderar incidente:
Si se confirma como un incidente de seguridad, notifica -Anexo 1
5 Especialista de CGTIC al Oficial de Seguridad de la Información, asigna la -Notificación de
categoría de criticidad inicial en el BMC Remedy, en incidente
función de la prioridad de acuerdo al Anexo 1.
Delegar responsable del registro, clasificación y
Oficial de Seguridad de seguimiento:
6 la Información Recibir el incidente de seguridad de la información o
ciberseguridad, y delega al Especialista de Riesgos de
Operaciones para su clasificación.
Registrar incidente en la matriz de incidentes, el nivel de -Matriz de Incidentes
Especialista de la criticidad y clasifica los Incidentes de Seguridad de la -Anexo 4. Clasificación
Dirección Nacional de Información y Ciberseguridad de acuerdo al Anexo 4, y de Incidentes de
7
Riesgos de remite al Oficial de Seguridad de la Información la Seguridad de la
Operaciones clasificación para que realice la convocatoria de manejo Información y
de incidentes. Ciberseguridad
Revisar el nivel de criticidad:
Oficial de Seguridad de
8 Si el incidente es crítico, pasa a la actividad 9
la Información
Caso contrario va a la actividad 10
Notificar a los organismos de control:
Después de verificar la criticidad, si la ponderación del -Correo Electrónico de
Oficial de Seguridad de
9 incidente de seguridad de la información es crítico, notificación de
la Información
deberá reportar al MINTEL y si es un incidente de incidente crítico
ciberseguridad deberá reportar al ECUCERT y MINTEL,
MP-069 2.0 Página 12 de 20

ASOCIADOS
utilizando los siguientes canales de comunicación:
 ECUCERT Correo Electrónico:
incidente@ecucert.gob.ec
 MINTEL Correo Electrónico:
ciberincidentes@gobiernoelectronico.gob.ec
Realizar convocatoria para la asignación del manejo de

Incidentes:
Si es un incidente de seguridad de la información, el
Oficial de Seguridad de la Información notifica la
atención al Equipo de Respuesta a Incidentes de -Mail de convocatoria
Oficial de Seguridad de Seguridad de la Información (ERISI) para su análisis e de manejo de
10
la Información investigación del Incidente. incidentes
Si es un incidente de ciberseguridad el Oficial de
Seguridad de la Información notifica al Equipo de
Respuesta a Incidentes de Seguridad de Tecnologías de
la Información (ERISTI) para su análisis e investigación
del Incidente.
Analizar y Resolver del Incidente:
Equipo de Respuesta a Coordina, investiga y ejecuta acciones para la resolución
11 Incidentes (ERISI) o del incidente de seguridad de la información en
(ERISTI) coordinación con actores internos y externos de ser
necesario.
Documentar incidente: -Reporte o
Equipo de Respuesta a
Elabora un reporte o documenta el incidente incluyendo documentación del
12 Incidentes (ERISI) o
el análisis de la causa raíz del incidente y de ser el caso incidente
(ERISTI)
las recomendaciones de mejora.
Notificar resolución de incidente:
Equipo de Respuesta a Notifica la resolución (exitosa o no exitosa) para registro
Incidentes (ERISI) o -Mail con
en la herramienta BMC Remedy, al Especialista de
13 (ERISTI)) Documentación del
CGTIC.
Incidente
Si la notificación es exitosa pasa a la actividad 14.
Si la notificación no es exitosa pasa a actividad 15.
Registrar documentación:
Luego de la resolución exitosa del incidente, registra la
14 Especialista de CGTIC -BMC Remedy
documentación y actualiza el estado del incidente a
"cerrado". Fin del proceso
Verificar mitigación de incidente de acuerdo al tipo:
A pesar de todas las medidas tomadas, si, el incidente
no se mitiga, verifica su criticidad.
Si es un incidente crítico, pasa a la actividad 17.
Oficial de Seguridad de Caso contrario verifica si es necesario involucrar -BMC Remedy
15
la Información recursos adicionales?
Si, involucrará recursos adicionales al grupo de trabajo
para identificar una posible solución o identificar que es
un incidente aislado, regresa a la actividad 11.
No, Notifica al especialista de CGTI y pasa a la actividad
MP-069 2.0 Página 13 de 20

ASOCIADOS
16.
Cierra el incidente y registrar

Si no se ha resuelto el incidente y no es posible realizar
-BMC Remedy
16 Especialista de CGTIC más análisis, se debe cerrar el incidente y registrar como
"No se alcanzó ninguna resolución".
Fin del proceso
Si, es un incidente crítico que afecte a la continuidad de
los servicios y operaciones del BCE, analizará si existen
coincidencias con eventos nacionales importantes
Oficial de Seguridad de financieros y de seguridad que hayan sido reportados,
17
la Información con la finalidad de contar con un conocimiento más
amplio de la situación.
Se notificará al Director Nacional de Riesgos de
Operaciones, y a la Alta Dirección.
Convocar al Comité de Continuidad
Realiza la convocatoria e informan la situación al Comité -Convocatoria a
18 Subgerente General
de Continuidad para que se analice la activación del plan reunión
de contingencia del BCE,
Activar planes de contingencia del BCE:
Dependiendo del tipo del impacto del incidente, se -Planes de
19 Comité de Continuidad activan los planes de contingencia, desarrollados de Contingencia de
acuerdo con las evaluaciones de riesgo operativo en unidades involucradas
cada una de las unidades administrativas.
Solventar la mitigación del incidente
20 Comité de Continuidad Analiza la información y dispone la ejecución de las
remediaciones de acuerdo al tipo de incidente.
Comité de Continuidad Desactivar los Planes de Contingencia
Evalúa las actividades realizadas durante la activación
de los planes de contingencia.
21 Verifica que el incidente se haya mitigado.
Si, la mitigación fue exitosa, dispone desactivar los
planes de contingencia y pasa a la actividad 22.
Caso contrario regresa a la actividad 20.
Comité de Continuidad Notificar a la Alta Dirección.
Una vez mitigado el incidente se notifica los resultados a Acta de Resolución del
22
la Alta Dirección y pasa a la actividad 14 con lo que Comité de Continuidad
finaliza el procedimiento.
FIN DEL PROCEDIMIENTO
MP-069 2.0 Página 14 de 20
4. ANEXOS
ANEXO 1: Ponderación
PONDERACIÓN
Crítico Alto Medio Bajo
Prioridad inmediata Prioridad inmediata Prioridad dentro

de los 10 días
laborales.
Impacta en todos Impacta al menos

los siguientes uno de los
criterios: siguientes criterios: No genera
impacto y se
o Impacto en la o Impacto en la El impacto genera procederá a
continuidad de los continuidad de los errores o retrasos rechazar el
servicios servicios
significativos en el incidente
desarrollo de las
o Impacto o Impacto funciones
Reputacional a la Reputacional a la
Imagen del BCE Imagen del BCE
o Impacto de Pérdida o Impacto de Pérdida

Financiera del BCE Financiera del BCE
Fuente: Dirección Nacional de Riesgos de Operaciones
MP-069 2.0 Página 15 de 20
ANEXO 2: Equipo de respuesta a incidentes de seguridad de la información (ERISI)
Coordina, investiga y ejecuta acciones hacia la resolución del incidente de seguridad

de la información. La formación de este equipo está integrado por:
El Oficial de Seguridad de la Información delegará a un Especialista para liderar la

investigación del incidente de seguridad de la información y ciberseguridad.
MP-069 2.0 Página 16 de 20
ANEXO 3: Equipo de respuesta a incidentes de seguridad de tecnologías de la

información (ERISTI)
Coordina, investiga y ejecuta acciones hacia la resolución del incidente de

ciberseguridad. La formación de este equipo está integrado por:
MP-069 2.0 Página 17 de 20
ANEXO 4: Clasificación de Incidentes de Seguridad de la Información y

Ciberseguridad
Clasificación de incidentes que afectan a la confidencialidad, integridad o

disponibilidad de los activos de información:
Clasificación Tipo de incidente Descripción

Incumplimiento a la Norma El incumplimiento a la norma y de acuerdo a
para la Administración de su nivel de criticidad, está relacionado a una
Seguridad de la falta que conlleva sanciones administrativas
Faltas a la política de Información disciplinarias por orden de gravedad de los
seguridad de la servidores públicos previstas en la Ley
información Orgánica del Servicio Público o en el Código
de Trabajo, según corresponda; sin perjuicio
de las responsabilidades civiles y/o penales,
de darse el caso.
Cuentas de usuario o Controles de acceso han sido vulnerados y
credenciales vulneradas están siendo utilizados por terceros.
Acceso o intrusión física no Todo evento sospechoso o evidente que va
autorizada a datos en contra de la seguridad física y de
Acceso no autorizado a exposición de los datos.
datos Intrusión física Acceso no autorizado al Centro de Proceso
de Datos y a las áreas restringidas del BCE.
Alteración o destrucción no La información es alterada, eliminada o
autorizada de información destruida por personal no autorizado que
atenta a la integridad de la información.
Spam Correo electrónico masivo con mensajes
sospechosos o no deseados de origen
desconocido.
Ciberacoso Uso de cualquier medio del BCE, para acosar
al servidor público, mediante ataque mal
intencionado, divulgación de información
Contenido malicioso confidencial o falsa, entre otros.
Difamatorio o Amenazas al servidor público o al BCE que
discriminatorio afectan a la dignidad, imagen o reputación.
Contenido sexual o No controlar el acceso a contenido
violento inadecuado inadecuado por cualquier medio y acceder a
contenidos no asociados a la actividad
laboral.
Sistema, aplicación o Componente tecnológico de la
componente de la infraestructura del BCE (servidor, estación de
infraestructura tecnológica trabajo, sistemas o aplicación, sistema
infectado. operativo, medio de almacenamiento
electrónico, entre otros dispositivos),
Contenido dañino afectado por un ciberataque.
Modificación, instalación o Administración y uso de software no
eliminación no autorizada permitido.
de software
Sabotaje Sabotaje físico, o daños que atentan a los
activos de información o infraestructura
MP-069 2.0 Página 18 de 20

crítica, como cortes de cableados de equipos,
incendios provocados, o conductas graves
que afecten a la prestación de un servicio.
Interrupciones en la Interrupciones por causas ajenas, desastre o
disponibilidad del servicio fenómenos naturales.
Robo de datos Poner en exposición a terceros, información
sin la debida autorización.
Los robos de datos pueden producirse
dentro del BCE por personal interno, externo
o mediante ciberataque desde el exterior.
Pérdida de datos Pérdida de información por descuido del
personal, fallo de disco duro o robo físico.
Divulgación de datos Divulgaciones que no están autorizadas que
tratan de adquirir información confidencial y
Filtración de datos
que pueden dar lugar a robos o fugas
Robo o pérdida de un Robo o pérdida de un recurso informático
recurso informático que contiene información confidencial.
Mal uso de datos Uso inadecuado de la información y que no
se encuentran asociados a la actividad
laboral.
Revelación de Acceso público a servicios en los que
información potencialmente pueda relevarse información
sensible.
Falla del sistema o Afectación o interrupción al funcionamiento
aplicación normal de componentes tecnológicos
(servidores, sistemas o aplicación, sistemas
operativos, dispositivos de comunicaciones,
entre otros).
Falla de los Falla en la red Interrupción o tráfico inusual sobre la red
componentes interna.
tecnológicos Criptografía débil Servicios accesibles públicamente que
puedan presentar criptografía débil.
Sistema o aplicativo Configuraciones inadecuadas en la
vulnerable infraestructura tecnológica, versiones de
sistemas o aplicaciones sin parches de
seguridad actualizados.
Uso no autorizado de Uso de recursos para propósitos
recursos inadecuados, incluyendo acciones con ánimo
de lucro.
Derechos de autor Ofrecimiento o instalación de software sin
licencia u otro material protegido por
derechos de autor.
Fraude Suplantación Tipo de ataque en el que una entidad
suplanta a otra para obtener beneficios
ilegítimos.
Phishing Suplantación de otra entidad con la finalidad
de convencer al usuario para que revele sus
credenciales privadas.
MP-069 2.0 Página 19 de 20

Compromiso de cuenta con Intrusión que compromete a un sistema o
privilegios aplicativo en el que el atacante ha adquirido
privilegios.
DoS (Denegación de Un ataque de denegación de servicio DoS,
servicio) causa que un servicio o recurso sea
DDoS (Denegación inaccesible a los usuarios y se relaciona con
distribuida de la pérdida de conectividad con la red, su
servicio) ampliación de ataque es de tipo distribuido
DDoS.
Ransomware Modificación no autorizada de información
por un atacante empleando credenciales
sustraídas de un sistema o aplicación. El
ataque bloquea totalmente el equipo y
solicita dinero a cambio de devolver el
control.
Malware Término que engloba a todo tipo de
programa o código informático malicioso
cuya función es dañar un sistema o causar un
mal funcionamiento. Dentro de este grupo
podemos encontrar términos como: Virus,
Troyanos, Gusanos, keyloggers, Botnets,
Ransomware, Spyware, Adware, Hijackers,
Keyloggers, FakeAVs, Rootkits, Bootkits,
Rogues.
Caballo de Troya Tipo de código malicioso que aparenta ser
Ciberataque
algo que no es. Toma el control de los
ordenadores sin permiso de los usuarios.
Rootkits Son herramientas o programas que permiten
acceder a los niveles administrativos de un
ordenador o una red.
Spear phishing Estafa por correo electrónico cuyo objetivo
es acceso no autorizado a datos.
Spyware Paquete de software que realiza un
seguimiento y envía información de
identificación personal o información
confidencial a otras personas sin permiso de
los usuarios.
Virus Programa de ordenador que realiza intrusión
en disco y realiza acciones sin el
conocimiento o permiso del usuario, infecta
otros archivos y se propagan
automáticamente.
Gusanos Son programas que realizan copias de sí
mismos, alojándolas en diferentes
ubicaciones del ordenador. El objetivo de
este malware suele ser colapsar los
ordenadores y las redes informáticas,
impidiendo así el trabajo a los usuarios.
Armouring Es una técnica que utilizan los virus para
esconderse e impedir ser detectados por los
MP-069 2.0 Página 20 de 20

antivirus.
Ingeniería Social Mecanismo para manipular personas y eludir
los sistemas de seguridad. Esta técnica
consiste en obtener información de los
usuarios por teléfono, correo electrónico,
correo tradicional o contacto directo.
Explotación de Intento de compromiso de un sistema o de
vulnerabilidades interrupción de un servicio mediante la
conocidas explotación de vulnerabilidades con un
Identificador estandarizado.
Explotación de Compromiso de una aplicación mediante la

Vulnerabilidades de explotación de vulnerabilidades de software.
software
APT (amenaza persistenteAtaques dirigidos mediante mecanismos
avanzada) sofisticados de ocultación, anonimato y
persistencia. Esta amenaza habitualmente
emplea técnicas de ingeniería social para
conseguir sus objetivos junto con el uso de
procedimientos de ataque conocidos o
genuinos.
Ciberterrorismo Uso de redes o sistemas de información con
fines de carácter terrorista.
Ataque desconocido Ataque empleando exploit desconocido.

MP 069 2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MP 069 2019

Cargado por

Copyright:

Formatos disponibles

Manual de Procedimiento Diciembre

para la Gestión de Incidentes

DIRECCIÓN NACIONAL DE RIESGOS DE OPERACIONES

© 2019. Dirección de Procesos, Calidad e Innovación- Coordinación General de

Todos los derechos reservados.

El presente documento no puede ser reproducido, distribuido, comunicado

MP-069 2.0 Página 3 de 20

Elaborado por: Firma

Especialista de Servicios, Procesos y Firmado digitalmente por ANA

Revisado y Validado por: Firma

Coordinadora General de Planificación y Firmado digitalmente por REYNA

Firmado digitalmente por VICTOR

Director de Aseguramiento de la Calidad y Firmado digitalmente por OCTAVIO

Firmado digitalmente por

Firmado digitalmente por

Coordinador de Infraestructura y Firmado digitalmente por CESAR

Aprobado por: Firma

MP-069 2.0 Página 4 de 20

CONTROL DE HISTORIAL DE CAMBIOS

Actualización del diagrama de flujo y del manual de procedimiento

Adicionalmente se da cumplimiento a recomendación de Informe No.

Se da cumplimiento a recomendación de Informe No. BCE-DNAIG-I-

MP-069 2.0 Página 5 de 20

Manual de Procedimiento para la Gestión de Incidentes de Seguridad de la

Vigencia: El presente documento tendrá vigencia a partir de la fecha de su aprobación.

Subgerente General, mediante Resolución Administrativa No. BCE-GG-093-2019

El presente documento normativo será distribuido por la Dirección de Gestión

MP-069 2.0 Página 6 de 20

1. GLOSARIO DE TÉRMINOS Y/O DEFINICIONES:

BCE: Banco Central del Ecuador.

Ciberseguridad: Es la protección de los activos de información digitales, considerando las amenazas a la

Comité de Continuidad: Encargado de promover el desarrollo de las políticas de la administración del

Comité de Gestión de Seguridad de la información: Encargado de coordinar la seguridad de la

Confidencialidad: Es el atributo de la seguridad de la información que permite que la información tenga

Disponibilidad: Es el atributo de la seguridad de la información que está relacionado con la garantía de

ECUCERT: Centro de respuesta a incidentes informáticos del Ecuador.

ERISTI: Equipo de Respuesta a Incidentes de Seguridad de Tecnologías de la Información y está

MP-069 2.0 Página 7 de 20

Seguridad Informática o su delegado, Director de Soporte Informático o su delegado, Director de

Incidente de seguridad de la información: Interrupción o alteración del proceso normal de seguridad de

Información: Es cualquier forma de registro electrónico, óptico, magnético o en otros medios

Integridad: Es el atributo de la seguridad de la información para que la información mantenga su

MINTEL: Ministerio de Telecomunicaciones y de la Sociedad de la Información.

Oficial de Seguridad de la Información: Es el responsable de alinear las estrategias y actividades de

Seguridad de la información: Se refiere a la protección de la confidencialidad, integridad y

MP-069 2.0 Página 8 de 20

OBJETIVO DEL Normar la atención, tratamiento y solución a los incidentes de seguridad de la

DISPARADOR: Notificación de incidente de seguridad de la información y ciberseguridad

MATERIALES HUMANOS TECNOLÓGICOS FINANCIEROS

MP-069 2.0 Página 9 de 20

BASE LEGAL / CONTROLES

MP-069 2.0 Página 10 de 20

3.2. DIAGRAMA DE FLUJO

MP-069 2.0 Página 11 de 20

MP-069 2.0 Página 12 de 20

# RESPONSABLE TAREAS DOCUMENTOS

Realizar convocatoria para la asignación del manejo de

MP-069 2.0 Página 13 de 20

# RESPONSABLE TAREAS DOCUMENTOS

Cierra el incidente y registrar

MP-069 2.0 Página 14 de 20

Crítico Alto Medio Bajo

Prioridad inmediata Prioridad inmediata Prioridad dentro