Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GINT-G-006 Guía Gestion de Incidentes PDF
GINT-G-006 Guía Gestion de Incidentes PDF
TABLA DE CONTENIDO
1. INTRODUCCIÓN ............................................................................................................ 3
2. OBJETIVO ..................................................................................................................... 3
3. ALCANCE ...................................................................................................................... 5
4. RESPONSABILIDADES .................................................................................................... 5
5. GLOSARIO .................................................................................................................... 5
6. ACTIVIDADES PARA LA GESTIÓN DE INCIDENTES. .......................................................... 7
6.1 REPORTE Y REGISTRO DE EVENTOS E INCIDENTES ..................................................... 7
6.1.1 RECURSOS DE COMUNICACIÓN ............................................................................. 9
6.1.2 RECURSOS PARA EL REGISTRO DE INCIDENTES ....................................................... 9
6.2 DETECCIÓN, EVALUACION Y ANÁLISIS...................................................................... 10
6.2.1 DETECCIÓN IDENTIFICACIÓN Y GESTIÓN DE ELEMENTOS INDICADORES DE UN
INCIDENTE. ........................................................................................................................ 10
6.2.2 ANÁLISIS ............................................................................................................. 11
6.2.3 EVALUACIÓN. ...................................................................................................... 12
6.3 CLASIFICACIÓN DE EVENTOS TECNOLÓGICOS Y/O INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN................................................................................................................... 12
6.3.1 PRIORIZACIÓN DE LOS INCIDENTES. ..................................................................... 13
6.3.2 TIEMPOS DE RESPUESTA...................................................................................... 14
6.3.3 DECLARACIÓN Y NOTIFICACIÓN DE INCIDENTES ................................................... 14
6.3.4 RECURSOS PARA EL ANÁLISIS DE INCIDENTES....................................................... 16
6.3.5 RECURSOS PARA LA MITIGACIÓN Y REMEDIACIÓN. .............................................. 16
6.4 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN. .................................................... 16
6.5 ACTIVIDADES POST-INCIDENTE................................................................................ 17
6.5.1 INFORME DEL INCIDENTE: ................................................................................... 17
6.5.2 LECCIONES APRENDIDAS: .................................................................................... 17
7. CONTROL DE CAMBIOS. .............................................................................................. 18
SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
1. INTRODUCCIÓN
2. OBJETIVO
3. ALCANCE
4. RESPONSABILIDADES
5. GLOSARIO
En esta fase, la función de gestión de incidentes o quien se designe para esta labor
debe velar por la disposición de los recursos de atención de incidentes y las
herramientas necesarias para cubrir las demás etapas del ciclo de vida del mismo,
SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
Esta fase debe ser apoyada por la dirección de informática y Desarrollo o quien este
designe, incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y
aplicaciones por ejemplo:
Los elementos necesarios para el registro de los incidentes que se reportan (ya sea por
parte interna de la dirección de Informática o por parte de los usuarios) son:
- Decisiones tomadas.
- Lecciones aprendidas.
En esta fase del modelo se tiene en cuenta las diferentes fuentes de reporte o
detección de eventos tecnológicos materializados y de incidentes de seguridad.
Se aclara que los incidentes de seguridad son sucesos que contravienen las políticas
de seguridad de la información y/o que generan acciones en contra de los principios de
disponibilidad, integridad y confidencialidad de la información.
Los eventos tecnológicos son sucesos que impiden el correcto procesamiento de la
información o la no prestación de los servicios tecnológicos. Algunos de estos eventos
pueden tomarse como incidentes de seguridad de la información debido al impacto que
generar sobre el cumplimiento de los objetivos de los procesos de Supersociedades.
a. Reporte de usuarios.
La principal fuente de detección de eventos e incidentes son los funcionarios que
hacen uso de los diferentes servicios de la dirección de Informática, de los sistemas
y aplicaciones para realizar sus labores de actualización y generación de
información para la toma de decisiones en los diferentes niveles administrativos.
b. El monitoreo de infraestructura.
La revisión continua del funcionamiento de los activos de información permite
prevenir problemas, eventos no deseados e incidentes de seguridad de la
SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
6.2.2 Análisis
6.2.3 Evaluación.
Los eventos tecnológicos deben estar clasificados en una matriz de categorías acorde
al catálogo de servicios tecnológicos. A su vez cada categoría debe estar relacionada
con algún principio de Seguridad de la Información (Disponibilidad, Integridad y
Confidencialidad).
Evento tecnológico:
ASOCIACION
EVENTO CATEGORIA
SI
Incidente de Seguridad:
ASOCIACION
EVENTO CATEGORIA
SI
Con el fin de permitir una atención adecuada a los incidentes se debe determinar el
nivel de prioridad del mismo, y de esta manera atenderlos adecuadamente según la
necesidad. El nivel de prioridad está ligado con el impacto del evento tecnológico y/o
del incidente de seguridad.
NIVEL
DEFINICIÓN
PRIORIDAD
Nivel de
Tiempo de atención
Impacto
BAJO 3 - 10 días
MEDIO 24 a 48 horas
ALTO Menor o igual a 24 horas
Contención: esta actividad busca la detección del incidente con el fin de que no se
propague y pueda generar más daños a la información o a la arquitectura de TI, para
facilitar esta tarea la entidad debe poseer una estrategia de contención previamente
definida para poder tomar decisiones por ejemplo: apagar sistema, desconectar red,
deshabilitar servicios.
La estrategia de contención varía según el tipo de incidente y los criterios deben estar
bien documentados para facilitar la rápida y eficaz toma de decisiones. Algunos
criterios que pueden ser tomados como base son:
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio
SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
Cada equipo de respuesta a incidentes debe evolucionar para reflejar las nuevas
amenazas, la mejora de la tecnología, y las lecciones aprendidas. Mantener un
proceso de "lecciones aprendidas" después de un incidente grave, y periódicamente
después de los incidentes menores, es sumamente útil en la mejora de las medidas de
SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
7. CONTROL DE CAMBIOS.