1

ACTIVIDAD 2 INFORME GESTIÓN DE INCIDENTES

JOSÉ LUIS CÁRDENAS CASTRO

UNIVERSIDAD MANUELA BELTRÁN MODALIDAD VIRTUAL

DOCENTE JOSÉ M. TÉLLEZ GÓMEZ

SEGUIRDAD INFORMATICA II

NOVIEMBRE 2020
 2

TABLA DE CONTENIDO

INTRODUCCION…………………………………………………………………...…......3
1. OBJETIVOS…………………………………………………………………..........4
1.1.1. Objetivo general…………………………………………………..........4
1.1.2. Objetivos específicos…………………………………………...…........4
2. PRINCIPALES ESTÁNDARES INTERNACIONALES ISO.................................5
2.1.1. Para prevención o preparación ante incidentes.......…………......…......5
2.1.2. Durante/Después del incidente................................................................7
2.1.3. En todos los momentos del incidente......................................................8
2.1.4. Relacionadas del análisis tecnológico y gestión de incidentes................9
3. METODOLOGÍAS DE GESTIÓN DE INCIDENTES..........................7
4. FUNCIONES PRINCIPALES DEL CSIRT.............................................................8
5. FORMATO PARA CATEGORIZAR VULNERABILIDADES TÉCNICAS........9
6. DIFERENTES TIPOS DE SOFTWARE MALICIOSO QUE EXISTEN..............10
7. CONCLUSIONES...................................................................................................11
BIBLIOGRAFÍA.................................................................................................................12
LISTADO DE TABLAS

Tabla No.1 Formato Categorizar Vulnerabilidades Técnicas........................................11

 3

INTRODUCCIÓN

Dentro de la Seguridad Informática en las organizaciones empresarial y estatales es

importante estar preparado, de una manera sencilla tener unos lineamientos para adecuar un
sistema de gestión de incidentes, mediante la propuesta de un modelo de acuerdo para el
menjo de estos para brindar una seguridad en la información que se tiene en los diferentes
medios de almacenamiento, todo desde las normas y estándares que existen.
 4

1. OBJETIVOS

1.1.1. OBJETIVO GENERAL

Realizar un análisis básico de los principales Modelos de Gestión de Incidentes de

seguridad de la información es tener un enfoque estructurado y bien planificado que
permita a las organizaciones sin importar de que tipo sean una buena administración
ante una eventualidad en sus equipos y poder implementar la atención de estos
sucesos de forma precisa.

1.1.2. OBJETIVOS ESPECÍFICOS

a) Como se definen los roles y responsables en la organización para que se encargué de

los incidentes, mantener la operación, su continuidad y los servicios siempre
disponibles.
b) Definir los procesos formales de reporte, como escalar lo tipos de eventos y las
funciones de los equipos de respuesta a incidentes de seguridad.
c) Realizar un formato como mecanismos que permitan categorizar las falencias
técnicas. conocimiento y registro de incidentes y a través de los indicadores del
sistema.
 5

2. PRINCIPALES ESTÁNDARES INTERNACIONALES ISO

Hoy en día en cualquier tipo de organización se expone diferentes incidentes que pueden
afectar de tal forma que se genere una detención de sus actividades y ser un impedimento
para proseguir con la actividad principal del negocio lo cual afecta a más de una persona. Lo
que hace que en estos días las organizaciones se preocupen más por cómo plantear estrategias
para mitigar, planificar y recuperarse ante un posible desastre para no afectar todas sus
actividades, sino de cara a dar la mejor respuesta antes, durante y después de un incidente
grave capaz de producir una interrupción en sus principales procesos de negocio y
de acuerdo objetivo poder resolver algún tipo de incidente de forma acelerada, eficiente
y examinar porque produjo la incidencia y poner atención de primer grado en que no se
vaya a generar nuevamente en el futuro a corto o largo plazo. Por todo ello han llevado a
definir con personas que están dedicadas al tema para crear normas y estándares para
clasificar o mitigar estos incidentes antes, durante cualquier momento y el aspecto
tecnológico.

2.1.1. Para prevención o preparación ante incidentes

Por lo que debemos tener claridad algunas normas que estas antes y nos sirven para
definir como estar preparados ante un incidente:

 ISO 22399: Nos proporciona una guía para la preparación ante incidentes y gestión
de la continuidad operativa.
 PAS 200 / BS 11200: Para la gestión de crisis la cual da orientación y como realizar
buenas prácticas.
 ISO 31000: Se trata de una norma internacional en la cual una da una serie de
directrices y principios para gestionar el riesgo de las organizaciones.
 6

2.1.2. Durante/Después el incidente

Con la realización de la evaluación de los incidentes se traza la ruta a seguir:

 ISO 22320: Ayuda a establecer una estructura, proceso de mando y control
para la definición de procesos de la gestión de la información básica de la
operación para coordinar y generar cooperación entre los implicados y/o
organizaciones.
 ISO 27031: Es un complemento de la ISO 27001, para dar una gestión de
toda la tecnología, comunicación de la información para así poder dar
obtención continuidad la actividad de la organización.

2.1.3. En todos los momentos del incidente

Son normas de tipo complementarias a las anteriores descritas.

 ISO 22313: Se dan pautas al proceso del sistema de gestión a que la organización
no tenga que para su operación y a que siempre se esté evaluado para una mejora
continua.
 ISO 22317: Directriz de continuidad del negocio de la organización, seguridad,
protección de los ciudadanos.
 ISO 22318: Guía que nos ayuda a dar la continuidad de las cadenas de suministro.
 ISO 22398: Norma que recomienda tener unas buenas prácticas en las
organizaciones para llevar una planificación, ejecución y siempre tener planes de
mejoras llevando a cabo simulacros para aprender a reaccionar y entender como
sobre llevarlos, lo cual se aplica a todas las organizaciones y a cualquier persona
con la responsable de evaluar los resultados para toma de las medidas pertinentes.
 ISO 22399: Generar una preparación con criterios para atender un evento en
todo tipo de organizaciones para mantener la continuidad de la operación y que
al diseñar el sistema de gestión sea el más adecuado.
 7

2.1.4. Relacionadas del análisis tecnológico y gestión de incidentes

Con el avance tecnológico surge la necesidad de preparase para la gestión de incidentes

para lo cual están las siguientes pautas normativas:

 ISO 27001: Estándar para la seguridad de la Información.

 ISO 20000: Se usa para realizar la certificación de todo lo relacionado con los
servicios de gestión y soporte de la infraestructura tecnológica.
 Guías NIST – SP 800: conjunto de documentos relacionados con el análisis y
gestión de riesgos tecnológicos.
 ITIL (Information Technology Infrastructure Library): Compre sobre ña
buenas prácticas destinadas a la gestión de servicios de tecnologías de la
información.
 8

3. METODOLOGÍAS DE GESTIÓN DE INCIDENTES

Cuando se escoge una metodología para la gestión de incidencias se realice una

implementación en una organización lo cual ayuda a las labores y servicios no se tenga
afectaciones, interrupciones y apagados en periodos largos de tiempo los cuales no son
tolerables de ninguna manera en cualquier área que compone la organización, por tal
motivo es muy importante definir la metodología de gestión de incidentes por lo cual en
la que se va a evaluar de que se trata la metodología ITIL4, en la dentro del proceso a la
gestión de incidentes nos da un control completo de cualquier evento para prevenir y
realizar una reinicio un el menor tiempo posible minimizando los impactos para dar
seguridad y confianza a los clientes internos y externos. Esta metologia se tiene los
siguientes pasos:

 Detectar la incidencia: En donde se debe contar con un sistema para monitorear

todas las actividades que permite percibir las incidencias para actuar rápidamente
consigo mitigar al máximo la afectación posible. Una forma adicional es que los
usuarios se les den herramientas para que realicen reportes de incidencias atípicas
como fallas no habituales.
 Registrar la incidencia: Todo evento es obligatorio registrarlo completamente
con la mayor cantidad de información como la fecha, hora, usuario que lo recibe
y la descripción.
 Categorización: Esto permite dar una categoría de acuerdo al tipo, escala y daño
de la incidencia para así mismo priorizar en su atención y solución lo antes
posible.
 Priorización: De acuerdo a la categorización de la gravedad e impacto de la
incidencia se puede dar solución inmediatamente o se debe realizar un
escalamiento al departamento TI, para que uno de sus especialistas le dé una
solución en el menor tiempo posible para no ver afectada la operación de un área
o toda la organización.
 Resolución de la incidencia: Al tener el reporte inicial de la incidencia se da un
soporte e intentar dar solución, al no ser así se escala a la mesa de ayuda, cuando
 9

ellos no se puede dar correctivo a la incidencia para realizar una investigación y

un diagnostico software y/o hardware para cambiarlo y reconfigúralo dejando
todo operando normalmente. Por último, se documenta la solución y cierre de la
incidencia.
 10

4. FUNCIONES PRINCIPALES DEL CSIRT

Al hablar de un CSIRT este consiste en un equipo, interno o externo en la organización,

su función principal se usa para controlar y minimizar los daños de los ciberataques.
Además, tiene ciertas funciones adicionales como para guiar, dar respuesta y restablecer a
la normalidad y prevenir que ocurran futuros incidentes en la operación. Podemos resumir
sus principales objetivos y funciones:

 Generación de servicios preventivos como aviso, buscar vulnerabilidades, auditorias,

configuración, manteniento, desarrollo y divulgación de información que tenga que
ver con temas de mejoras en la seguridad.
 Generación de servicios de reacción cuando se genera un incidente o se detecta una
vulnerabilidad cuando detecta para generar el análisis, respuesta, soporte y
coordinación para tomar medidas ante estos hallazgos.
 11

5. FORMATO PARA CATEGORIZAR VULNERABILIDADES TÉCNICAS

Realizo propuesta de Formato para caracterizar las vulnerabilidades y llevar un registro del
estado de las mismas.

USUARIO MESA DE AYUDA

INCIDENTE REPORTA DESCRIPCION TIPO TECNICO NIVEL I DESCRPCION TIPO SOLUCION ESCALAR ESTADO
Notificacion y alerta
Registro
Clasificación
Diagnostico
Investigación
Solución
Estado
Segumiento
Documentar Solución
Cierre
 12

6. DIFERENTES TIPOS DE SOFTWARE MALICIOSO QUE EXISTEN

TIPO ESPECIE PELIGRO CARACTERISTICAS EJEMPLO

Impide a los usuarios acceder a Cuando realizamos la
su sistema o a sus archivos descarga de un
personales y que exige el pago de aplicativo de un sitio
un rescate para poder acceder de no seguro,el cual esta
nuevo a ellos infectado con el virus,
al ya estar en el
Ransomware Malware Alto dispositivo cifra todos
los documento y para
poder recuperarlos
piden un
compensacion
economica para poder
recuperarlos.
Se ejecuta de manera autonoma Uno muy comun es en
y automatica el cual controla correo electronico y
DDos Malware Alto todos los computadores y continenen enlaces o
servidores. archivos adjuntos que
son el virus como tal.
una amenaza avanzada En el caso del virus
persistente (APT) utiliza técnicas Struxnet, un gran
de hackeo continuas, ejemplo de APT, el
clandestinas y avanzadas para malware fue capaz de
acceder a un sistema y infectar y afectar a
APT Malware Alto
permanecer allí durante un sistemas como SCADA
tiempo prolongado, con , a reactores nucleares
consecuencias potencialmente y otros vitales para
destructivas. organizaciones y
paises
Se trata de programas maliciosos Uno muy utilizado de
que contienen datos o códigos forma masiva para
ejecutables, que se aprovechan explotar
de las vulnerabilidades del vulnerabilidades es el
software ejecutado en un equipo del ransomware
local o remoto. también conocido
Exploit Malware Alto
como “Virus de la
Policía”. se aprovecha
de vulnerabilidades en
Java y en sistemas
Windows para
infectar a los sistemas

Un keylogger es un software o
hardware que puede interceptar
y guardar las pulsaciones
realizadas en el teclado de un
equipo que haya sido infectado.
Este malware se sitúa entre el
teclado y el sistema operativo
KeyLogger Malware Alto para interceptar y registrar la
información sin que el usuario lo
note.
Un virus informático o gusano
informático es un programa de
software malicioso que puede
replicarse a sí mismo en
ordenadores o a través de redes
de ordenadores sin que te des
cuenta de que el equipo está
infectado. Como cada copia del
Gusanos Malware Alto
virus o gusano informático
también puede reproducirse, las
infecciones pueden propagarse
de forma muy rápida. Existen
muchos tipos diferentes de virus
y gusanos informáticos, y muchos
de ellos pueden provocar
grandes niveles de destrucción.
13
y solicitar un rescate a
los usuarios por los
datos almacenados -
que este malware cifra
para que no puedan
ser recuperados.
Es muy comun en el
sector financiero, que
es el más afectado,
donde capturan datos
de tarjetas de crédito,
contraseñas de
bancas, datos
personales, entre
otros; todo con el fin
de sustraer fondos de
terceros de forma
ilícita; a estos actos
delictivos se les
denomina robo
informático.
Dentro del código
HTML de los mensajes
de correo electrónico,
por lo que basta con
pinchar sobre el email
(pre visualizarlo) para
activarlos.
Troyanos o mediante
programas de
mensajería
instantánea, una
amenaza creciente, o
chat.

Los caballos de Troya o troyanos
son programas que se introducen
en el ordenador por diversos
medios, se instalan de forma
permanente y tratan de tomar el
control del sistema afectado.
Troyano Malware Alto
14
Incluso el malware
más simple puede
provocar una reacción
emocional. Por
ejemplo, un clásico
troyano de Skype
enviaba el mensaje
“Hola” a toda la lista
de contactos de su
víctima cada vez que
se conectaban. El
resultado era muy
predecible: los amigos
y familiares
respondían, muchos
de ellos
simultáneamente.
Para algunos usuarios
fue una experiencia
tan terrible que lo
llamaron el “peor virus
con el que se puede
topar un introvertido”.
 15

7. CONCLUSIONES

 Se comprende cómo se definen los roles y responsables en la organización para que

se encargué de los incidentes, mantener la operación, su continuidad y los servicios
siempre disponibles.
 Lo importante que es tener los procesos formales de reporte, como escalar lo tipos de
eventos y las funciones de los equipos de respuesta a incidentes de seguridad.
 Como el diseñar un formato como mecanismos nos permite categorizar las falencias
técnicas, conocimiento, registro de incidentes y a través de los indicadores del
sistema.
 16

BIBLIOGRAFÍA

Normas APA, a Chegg Service. (2019, noviembre 1). Normas APA 2019 actualizadas.
[Portal de internet]. Recuperado de: http://normasapa.com/formato-apa-presentacion-
trabajos-escritos/.
Gómez Fernández, L. (2015). Cómo Implantar un SGSI según UNE-ISO/IEC
27001:2014 y su aplicación en el Esquema Nacional de Seguridad. Madrid, España: Ediciones
AENOR.

ASOCIACIÓN COLOMBIANA DE INGENIEROS DE SISTEMAS. ISO/IEC 27001:2005,

Tecnología de la Información – Técnicas de seguridad - Sistemas de gestión de Seguridad de
la información – Requerimientos [en línea]. Bogotá: La Empresa [citado 9 octubre,
2013].Disponible en Internet:
<URL:http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/1
7-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit. pdf>

RAENG. Global Navigation Space Systems: reliance and vulnerabilities (2011) [en línea].
Londres: La Empresa [citado 12 agosto, 2013].Disponible en Internet:<URL:
http://www.raeng.org.uk/news/publications/list/reports/RAoE_Global_Navigation_Systems
_Report.pdf>
CSIRT-CCIT, (2016), Centro de Coordinación Seguridad informática Colombia.
http://www.csirt-ccit.org.co/