GINT-G-006 Guía Gestion de Incidentes PDF

SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006
SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017
PROCESO: GESTIÓN INFRAESTRUCTURA Y

Versión: 001
TECNOLOGIAS DE INFORMACION
n
GUIA: GESTION DE INCIDENTES Número de página 1 de 18
GUIA PARA LA GESTIÓN DE INCIDENTES


Versión: 001
n
TABLA DE CONTENIDO
1. INTRODUCCIÓN ............................................................................................................ 3
2. OBJETIVO ..................................................................................................................... 3
3. ALCANCE ...................................................................................................................... 5
4. RESPONSABILIDADES .................................................................................................... 5
5. GLOSARIO .................................................................................................................... 5
6. ACTIVIDADES PARA LA GESTIÓN DE INCIDENTES. .......................................................... 7
6.1 REPORTE Y REGISTRO DE EVENTOS E INCIDENTES ..................................................... 7
6.1.1 RECURSOS DE COMUNICACIÓN ............................................................................. 9
6.1.2 RECURSOS PARA EL REGISTRO DE INCIDENTES ....................................................... 9
6.2 DETECCIÓN, EVALUACION Y ANÁLISIS...................................................................... 10
6.2.1 DETECCIÓN IDENTIFICACIÓN Y GESTIÓN DE ELEMENTOS INDICADORES DE UN
INCIDENTE. ........................................................................................................................ 10
6.2.2 ANÁLISIS ............................................................................................................. 11
6.2.3 EVALUACIÓN. ...................................................................................................... 12
6.3 CLASIFICACIÓN DE EVENTOS TECNOLÓGICOS Y/O INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN................................................................................................................... 12
6.3.1 PRIORIZACIÓN DE LOS INCIDENTES. ..................................................................... 13
6.3.2 TIEMPOS DE RESPUESTA...................................................................................... 14
6.3.3 DECLARACIÓN Y NOTIFICACIÓN DE INCIDENTES ................................................... 14
6.3.4 RECURSOS PARA EL ANÁLISIS DE INCIDENTES....................................................... 16
6.3.5 RECURSOS PARA LA MITIGACIÓN Y REMEDIACIÓN. .............................................. 16
6.4 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN. .................................................... 16
6.5 ACTIVIDADES POST-INCIDENTE................................................................................ 17
6.5.1 INFORME DEL INCIDENTE: ................................................................................... 17
6.5.2 LECCIONES APRENDIDAS: .................................................................................... 17
7. CONTROL DE CAMBIOS. .............................................................................................. 18

Versión: 001
n
1. INTRODUCCIÓN
Este documento ha sido preparado de una manera sencilla para SUPERSOCIEDADES

y contiene la entrega los lineamientos básicos para poner en marcha un Sistema de
Gestión de Incidentes de Seguridad de la información, a través de un modelo
propuesto, el cual está concebido para que se puedan integrar los incidentes de
seguridad sobre los activos de información, independiente del medio en el que se
encuentren.
El documento está basado en los siguientes esquemas de trabajo:
a. Modelo de Seguridad de la Información emitidos por Gobierno en línea programa
del Ministerio de Tecnologías de la Información y las Comunicaciones. (GEL-
articles-5482_G21_Gestion_Incidentes)
b. El microproceso de Gestión de Incidentes que propone la norma ISO27001:2013,
ya que establece un PHVA para el manejo de este tipo de eventos. (Anexo A, punto
A.16 Gestión de Incidentes de Seguridad de la Información)
c. Los controles de la norma ISO27002:2013 (punto A.16 Gestión de Incidentes de
Seguridad de la Información) que ayudarán a la implementación del modelo de
gestión de incidentes a proponer y al cumplimiento de la ley 1581 de 2012 “Ley de
protección de Datos”.
2. OBJETIVO
El objetivo principal del Modelo de Gestión de Incidentes de seguridad de la

información es tener un enfoque estructurado y bien planificado que permita a
Supersociedades:
a) Administrar adecuadamente los eventos tecnológicos
b) Gestionar los incidentes de seguridad de la información
c) Integrar los procedimientos de atención para estos dos tipos de sucesos.
Estos eventos e incidentes pueden ocurrir en el procesamiento de los datos e

información de la institución y de las entidades con la que se tenga una relación de
supervisión.
Los objetivos generales del modelo son:
 Definir roles y responsabilidades dentro de la Organización para el tratamiento de
los incidentes y que permitan mantener la operación, la continuidad y la
disponibilidad de los servicios que presta Supersociedades.
 Establecer la concordancia entre los eventos tecnológicos y los incidentes de
Seguridad de la información, para aprovechar que en un solo reporte y registro se

Versión: 001
n
facilite la gestión, tratamiento y dar respuesta de la manera más eficiente y

adecuada.
 Definir los procedimientos formales de reporte y escalada de los eventos
tecnológicos y los incidentes de seguridad.
 Minimizar los impactos adversos de los incidentes en la organización y sus
operaciones de negocios mediante el establecimiento de controles y salvaguardas
adecuadas como parte de la respuesta a los incidentes.
 Consolidar las lecciones aprendidas que dejan los incidentes de seguridad de la
información y su gestión para aprender rápidamente. Esto tiene como objeto
incrementar las oportunidades de prevención y ocurrencia de futuros incidentes,
mejorar la implementación y el uso de controles, y mejorar continuamente el
proceso de la gestión de incidentes de seguridad de la información.
 Definir los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes
y costos de los incidentes de seguridad de la información, a través de una base de
conocimiento y registro de incidentes y a través de los indicadores del sistema.
Para lograr estos objetivos, en el modelo técnico de gestión de incidentes de seguridad

de la información se involucran las siguientes fases de manera cíclica como lo muestra
la imagen:
• Preparación, reporte y registro de eventos e incidentes

• Detección y análisis.
• Contención, erradicación, recuperación y respuesta.
• Actividades Post-Incidentes.
Ciclo de vida de la gestión de incidentes
Este modelo de Gestión de Incidentes le permitirá a SUPERSOCIEDADES estar

preparada para afrontar cada una de las etapas anteriores, y adicionalmente definir

Versión: 001
n
responsabilidades y procedimientos para asegurar una respuesta rápida, eficaz y

ordenada a los eventos tecnológicos e incidentes de seguridad de la información.
3. ALCANCE
Es aplicable a los activos de información, acorde con el catálogo de incidentes.
4. RESPONSABILIDADES
- De acuerdo con el manual de políticas de seguridad de la información todos los

funcionarios, terceros y contratistas que tengan acceso a los activos de
información de Supersociedades deben reportar al área de mesa de ayuda, los
eventos tecnológicos o incidentes de seguridad de la información.
- El servicio de mesa de ayuda debe realizar el registro de los eventos
tecnológicos o incidentes de seguridad de la información que reporte los
funcionarios, en la herramienta definida.
- Los administradores de la herramienta definida (SYSTEM CENTER) deben
mantenerla activa y configurada para el registro de los eventos tecnológicos o
incidentes de seguridad de la información, y para la emisión de los informes que
se requieran
5. GLOSARIO
 ACTIVOS TECNOLÓGICOS: Recursos del sistema de información o

relacionados con éste, necesarios para que la entidad funcione correctamente y
alcance los objetivos propuestos por su Dirección. Se pueden estructurar en las
siguientes categorías: Software, Hardware, Servicios, Datos, Personal,
Proveedores, instalaciones físicas, Comunicaciones, Equipamiento auxiliar.
 CONFIDENCIALIDAD: Garantía que la información sea accedida únicamente
por usuarios y procesos autorizados.
 CONTROL: Medida que permite garantizar la reducción del nivel de un riesgo
específico o mantenerlo dentro de límites aceptables.
 DISPONIBILIDAD: Garantía que los usuarios y procesos autorizados tengan
acceso a los activos de información cuando los requieran.
 EVENTO: Suceso que puede ocurrir en un espacio y tiempo específico,
generando impactos sobre los activos tecnológicos y activos del negocio. Un
evento de seguridad de la información es la presencia identificada de un estado
del sistema, del proceso, del servicio o de los recursos tecnológicos que indican

Versión: 001
n
un incumplimiento posible de las políticas de seguridad de la información o de

las políticas operacionales, una falla de las medidas de seguridad tomadas o
una situación previamente desconocida que genera riesgos para la entidad.
 EVENTOS DE SEGURIDAD DE LA INFORMACIÓN: Resultado de intentos
intencionales o accidentales de romper las medidas de seguridad de la
información impactando en la confidencialidad, integridad y disponibilidad de los
datos
 INFORMACIÓN: Es un conjunto organizado de datos, que constituyen un
mensaje sobre un determinado ente o fenómeno. Indicación o evento llevado al
conocimiento de una persona o de un grupo. Es posible crearla, mantenerla,
conservarla y transmitirla.
 IMPACTO: Daño producido a la organización por la materialización de un riesgo
sobre los activos tecnológicos, visto como diferencia en las estimaciones de los
estados de seguridad obtenidas antes y después del evento.
 INTEGRIDAD: Condición de seguridad que garantiza que la información es
actualizada, en todo su ciclo de vida, sólo por el personal y procedimientos
autorizados.
 REGISTRO DE EVENTOS: En ingles Logs. Mecanismo mediante el cual se
guarda en un archivo (generalmente de texto) toda la información
correspondiente a las actividades o eventos de un determinado sistema,
dispositivo o equipo.
 RIESGO: Probabilidad o posibilidad de que una amenaza aprovechando la
vulnerabilidad o vulnerabilidades de un sistema, equipo o cualquier otro tipo de
activo, se concrete, causando daños, perjuicios o pérdidas a la organización
propietaria del mismo.
 SEGURIDAD DE LA INFORMACIÓN: Actividad que regula la protección de los
recursos tecnológicos de una entidad a través de políticas, normas,
procedimientos y estándares.
 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: Parte del
sistema de gestión general de una organización, basada en un enfoque hacia
los riesgos globales del negocio, cuyos fines son establecer, implementar,
operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la
información.
 SISTEMA DE INFORMACIÓN: Conjunto de datos, aplicaciones y equipos que
de manera conjunta proveen a la empresa la información necesaria para la
ejecución de las tareas y la toma de decisiones de los niveles estratégico,
táctico y operativo.
 TRAZABILIDAD: Conjunto de medidas, acciones y procedimientos que
permiten registrar, identificar y realizar seguimiento a los incidentes en cada
producto desde su origen hasta su respuesta final.

Versión: 001
n
6. ACTIVIDADES PARA LA GESTIÓN DE INCIDENTES.
Estas actividades se sustentan en el Modelo técnico de Gestión de Incidentes que se

encuentra en la carpeta “documentación de seguridad de la información” de la
dirección de Informática y desarrollo, en el SharePoint.
Este modelo Técnico de Gestión de Incidentes involucra:
- Normatividad que sustenta el modelo

- El esquema del modelo
- Las actividades
- Los controles involucrados en el modelo incluido de ISO 27001:2013, que
deben ser validados por los funcionarios que designe el Director de informática
y Desarrollo. .
- La medición de los controles y los indicadores de gestión
o Cumplimiento del control
o Nivel de Madurez
o Nivel de riesgo
- Los indicadores del proceso de Gestión de Incidentes.
6.1 REPORTE Y REGISTRO DE EVENTOS E INCIDENTES
Esta fase dentro del ciclo de vida de LA GESTIÓN DE INCIDENTES se realiza

teniendo en cuenta dos aspectos:
a. La respuesta a los eventos tecnológicos y a los incidentes de seguridad que se

presentan comúnmente en el diario trascurrir del procesamiento de datos y en
la prestación de los servicios tecnológicos.
b. La prevención de los eventos tecnológicos y de los incidentes de seguridad de

la información ya que muchos de estos sucesos pueden ser detectados,
evaluados y gestionados con anterioridad, mediante la gestión de las
vulnerabilidades en los activos de información, afirmando que el hardware,
software, redes, datos y procesos son lo suficientemente seguros.
La función de respuesta a incidentes es responsable de la prevención de incidentes y

es muy importante que se considere como un componente fundamental de los
programas de respuesta.
En esta fase, la función de gestión de incidentes o quien se designe para esta labor
debe velar por la disposición de los recursos de atención de incidentes y las
herramientas necesarias para cubrir las demás etapas del ciclo de vida del mismo,

Versión: 001
n
creando (si no existen) y validando (si existen) los procedimientos necesarios y

programas de capacitación.
Esta fase debe ser apoyada por la dirección de informática y Desarrollo o quien este
designe, incluyendo las mejores prácticas para el aseguramiento de redes, sistemas, y
aplicaciones por ejemplo:
 Gestión de Parches de Seguridad: Supersociedades debe contar con un programa

de gestión de vulnerabilidades (Sistemas Operativos, Bases de Datos, Aplicaciones,
Otro Software Instalado), este programa ayudara a los administradores en la
identificación, adquisición, prueba e instalación de los parches.
 Aseguramiento de plataforma: Supersociedades debe ser asegurada
correctamente. Se debe configurar la menor cantidad de servicios (principio de
menor privilegio) con el fin de proveer únicamente aquellos servicios necesarios
tanto a usuarios internos como externos. Se deben revisar configuraciones por
default (usuarios, contraseñas y archivos compartidos). Cada recurso que pueda ser
accedido por externos e incluso por usuarios internos debe desplegar alguna
advertencia. Los servidores deben tener habilitados sus sistemas de auditoría para
permitir el registro de eventos.
 Seguridad en redes: Debe existir una gestión constante sobre los elementos de
seguridad. Las reglas configuradas en equipos de seguridad como firewalls deben
ser revisadas continuamente. Las firmas y actualizaciones de dispositivos como IDS
o IPS deben encontrarse al día. Todos los elementos de seguridad y de red deben
encontrarse sincronizados y sus logs deben ser enviados a un equipo centralizado
de recolección de logs para su respectivo análisis.
 Prevención de código malicioso: Todos los equipos de la infraestructura (servidores
como equipos de usuario) deben tener activo su antivirus, antimalware con las
firmas actualizadas al día.
 Sensibilización y entrenamiento de usuarios: Los usuarios en SUPERSOCIEDADES
incluidos los administradores de TI deben ser sensibilizados de acuerdo a las
políticas y procedimientos existentes relacionados con el uso apropiado de redes,
sistemas y aplicaciones en concordancia con los estándares de seguridad de la
entidad. Los encargados de los sistemas de información deben establecer las
necesidades de capacitación de las personas encargadas de la protección de los
datos.
 La gestión de cambios: La actualización de activos de información (hardware,
software, redes, datos, procesos, instalaciones y personas), deben estar sujetos a la
autorización previa, a las pruebas antes de su despliegue y a la actualización de la
documentación relacionada.

Versión: 001
n
Las actividades descritas anteriormente buscan prevenir la ocurrencia de incidentes de

seguridad de la información que esta soportada por TI, y adicionalmente es necesario
realizar una evaluación periódica (semanal, mensual, semestral, anual).
6.1.1 Recursos de Comunicación
Los elementos necesarios para la comunicación del equipo de atención de incidentes

dentro de la entidad son:
• Información de Contacto: Se debe tener una lista de información de contacto de
cada una de las personas que conforman el grupo de gestión de incidentes o
quienes realicen sus funciones.
• Información de Escalamiento: Se debe contar con información de contacto para el
escalamiento de incidentes según la estructura de la entidad.
• Información de los administradores de la plataforma tecnológica (Servicios,
Servidores)
• Contacto con el área de recursos humanos o quien realice sus funciones (por si se
realizan acciones disciplinarias).
• Contacto con áreas interesadas o grupos de interés (CCP - Policía Nacional,
Fiscalía, entre otras)
• Política de Comunicación: La entidad debe tener una política de comunicación de
los incidentes de seguridad de la información para definir que incidente puede ser
comunicado a los medios y cual no.
6.1.2 Recursos para el registro de incidentes
Los elementos necesarios para el registro de los incidentes que se reportan (ya sea por
parte interna de la dirección de Informática o por parte de los usuarios) son:
a) Un sistema manual o automatizado para el registro de los incidentes, donde se

defina entre otros aspectos:
- Fecha y hora de: reporte, descubrimiento, del incidente, de inicio y final de la
investigación, de cierre y de respuesta.
- Nombre completo de quien reporta, quien lo registra, quien investiga.
- Descripción del incidente.
- Elementos (hardware, software, funcionarios, datos, lugares, procesos, etc..)
involucrados en el evento tecnológico o incidente de Seguridad de la
Información.
- Resultados de la investigación.

Versión: 001
n
- Decisiones tomadas.
- Lecciones aprendidas.
b) Un sistema manual o automatizado para el registro de la base de conocimiento

resultante de la investigación y de las acciones realizadas.
c) Un grupo de funcionarios que se encarguen de la recepción del reporte, del

registro, de análisis preliminar, la investigación y la respuesta y cierre de los
eventos tecnológicos e incidentes de seguridad de la información.
d) Una lista de categorías de incidentes (Catálogo de servicios acondicionado) que

facilite la selección del evento tecnológico o incidente de seguridad. (Ver anexo 1).
6.2 DETECCIÓN, EVALUACION Y ANÁLISIS
En esta fase del modelo se tiene en cuenta las diferentes fuentes de reporte o
detección de eventos tecnológicos materializados y de incidentes de seguridad.
Se aclara que los incidentes de seguridad son sucesos que contravienen las políticas
de seguridad de la información y/o que generan acciones en contra de los principios de
disponibilidad, integridad y confidencialidad de la información.
Los eventos tecnológicos son sucesos que impiden el correcto procesamiento de la
información o la no prestación de los servicios tecnológicos. Algunos de estos eventos
pueden tomarse como incidentes de seguridad de la información debido al impacto que
generar sobre el cumplimiento de los objetivos de los procesos de Supersociedades.
6.2.1 Detección Identificación y Gestión de Elementos Indicadores de un

Incidente.
Para detectar eventos o incidentes existen los siguientes procedimientos:
a. Reporte de usuarios.
La principal fuente de detección de eventos e incidentes son los funcionarios que
hacen uso de los diferentes servicios de la dirección de Informática, de los sistemas
y aplicaciones para realizar sus labores de actualización y generación de
información para la toma de decisiones en los diferentes niveles administrativos.
b. El monitoreo de infraestructura.
La revisión continua del funcionamiento de los activos de información permite
prevenir problemas, eventos no deseados e incidentes de seguridad de la

Versión: 001
n
información. Factor importante es contar con un grupo de monitoreo e indicadores

que nos indiquen que posiblemente se ha presentado o se va a presentar un
incidente. Generalmente algunos de estos elementos son:
• Alertas en sistemas de seguridad

• Caídas de servidores
• Reportes de funcionarios de monitoreo
• Informes de Software antivirus
• Funcionamientos de sistemas fuera de lo normal
• Análisis de Auditorias de los sistemas y de la infraestructura tecnológica,
basados en:
 Logs de servidores
 Logs de aplicaciones
 Logs de herramientas de seguridad
 Cualquier otra herramienta que permita la identificación de un incidente
de seguridad.
6.2.2 Análisis
Las actividades de análisis de un incidente involucran los siguientes aspectos:

- Tener conocimientos de las características normales a nivel de red y de los
sistemas.
- Los administradores de TI deben tener conocimiento total sobre los
comportamientos de la Infraestructura que están administrando.
- Toda información que permita realizar análisis al incidente debe estar centralizada
(Logs de servidores, redes, aplicaciones).
- Es importante efectuar correlación de eventos, ya que por medio de este proceso se
pueden descubrir patrones de comportamiento anormal y poder identificar de
manera más fácil la causa del incidente.
- Sincronización de relojes con una única fuente.
- Contar con una base de conocimiento con información relacionada sobre nuevas
vulnerabilidades, información de los servicios habilitados, y experiencias con
incidentes anteriores.
- Crear matrices de diagnóstico que faciliten identificar similitudes en incidentes.

Versión: 001
n
6.2.3 Evaluación.
Para realizar la evaluación de un evento tecnológico y/o un incidente de seguridad se

debe tener en cuenta los niveles de impacto sobre los procesos y servicios de
Supersociedades. Los grados de severidad pueden ser:
• Impacto Alto: Un evento tecnológico y/o un incidente de seguridad de la información
que afecta a:
- Activos de información considerados como críticos.
- Los objetivos misionales y servicios críticos.
- La reputación y el buen nombre o involucren aspectos legales.
- La información confidencial de la entidad o de terceros bajo custodia.
- Los gastos por multas y sanciones.
- Varios procesos a la vez.
• Impacto Medio: Un evento tecnológico y/o un incidente de seguridad de la

información que afecta a:
- Activos de información considerados como importancia moderada.
- Los objetivos de un proceso determinado.
- Procesos internos no críticos.
- Procesos tecnológicos, generando sobrecarga de trabajo y reprocesos de
información.
• Bajo Impacto: Un evento tecnológico y/o un incidente de seguridad de la información

que afecta a:
- Activos de información considerados de baja importancia.
- Los objetivos de un área determinada o de funcionarios.
- La relación interna entre procesos.
6.3 CLASIFICACIÓN DE EVENTOS TECNOLÓGICOS Y/O INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN
Los eventos tecnológicos deben estar clasificados en una matriz de categorías acorde
al catálogo de servicios tecnológicos. A su vez cada categoría debe estar relacionada
con algún principio de Seguridad de la Información (Disponibilidad, Integridad y
Confidencialidad).
Asimismo, debe existir una categoría de incidentes de seguridad de la información

propiamente dicha. Es decir incidentes de Disponibilidad de la información, Integridad
de la Información y Confidencialidad de la información.
Ejemplo de diferenciación de un evento tecnológico y de un incidente de seguridad:


Versión: 001
n
Evento tecnológico:
ASOCIACION
EVENTO CATEGORIA
SI
Contraseña no funciona Acceso a los sistemas de Disponibilidad

información
Tarjeta de red bloqueada Denegación de servicios Disponibilidad
Información invalida Daño en datos Integridad
Perdida de archivos Deficiencia en programas Confidencialidad
Incidente de Seguridad:
ASOCIACION
EVENTO CATEGORIA
SI
Suplantación de Identidad Confidencialidad Confidencialid

ad
Elevación de privilegios Acceso no autorizado Confidencialid
ad
Virus Informático Código malicioso Disponibilidad
6.3.1 Priorización de los Incidentes.
Con el fin de permitir una atención adecuada a los incidentes se debe determinar el
nivel de prioridad del mismo, y de esta manera atenderlos adecuadamente según la
necesidad. El nivel de prioridad está ligado con el impacto del evento tecnológico y/o
del incidente de seguridad.
NIVEL
DEFINICIÓN
PRIORIDAD
BAJA Sistemas no críticos que apoyan a funcionarios y a una

sola dependencia.
MEDIA Sistemas que apoyan más de una dependencias o
proceso de la entidad
ALTA Sistemas y activos de información críticos que sostienen
servicios misionales

Versión: 001
n
6.3.2 Tiempos de Respuesta
Para el caso de la atención de incidentes de seguridad se han establecido unos

tiempos máximos de atención de los mismos, con el fin de atender adecuadamente los
incidentes de acuerdo a su criticidad e impacto. Los tiempos expresados en la
siguiente tabla son un acercamiento al tiempo máximo en que el incidente debe ser
atendido, y no al tiempo en el cual el incidente debe ser solucionado. Esto se debe a
que la solución de los incidentes puede variar dependiendo del caso.
Nivel de
Tiempo de atención
Impacto
BAJO 3 - 10 días
MEDIO 24 a 48 horas
ALTO Menor o igual a 24 horas
La siguiente tabla es un resumen del tiempo de atención según nivel de impacto y

prioridad de atención de un evento tecnológico y/o incidente de seguridad.
Nivel de Impacto Prioridad Tiempo de atención
ALTO ALTA Menor o igual a 24 horas

MEDIO MEDIA 24 a 48 horas
BAJO BAJA 3 a 10 días
6.3.3 Declaración y Notificación de Incidentes

En Supersociedades existe una guía denominada GINT-DP-001 Gestión de Incidentes,
la cual describe el proceso de Gestión de Incidentes. Se involucra en este proceso:
a. Un grupo de funcionarios que conforman la mesa de ayuda.

b. Una herramienta de registro y control de incidentes (Service Manager).
c. Actividades de registro, análisis, respuesta de incidentes.
De acuerdo con la política de seguridad de la Información y el modelo de Seguridad de

la Información, todos los funcionarios, contratistas y personal de terceros que laboren
en la entidad, tienen la responsabilidad de realizar el reporte de cualquier evento
tecnológico y/o incidente de seguridad que observen o experimenten.
En esta guía la notificación de incidentes inicia precisamente por el funcionario que

reporta a la mesa de ayuda sobre algún incidente. La notificación de los incidentes

Versión: 001
n
permite responder a los mismos en forma sistemática, minimizar su ocurrencia, facilitar

una recuperación rápida y eficiente de las actividades minimizando la pérdida de
información y la interrupción de los servicios, y el proceso de tratamiento de incidentes,
y manejar correctamente los aspectos legales que pudieran surgir durante este
proceso.
A continuación se describe un proceso de notificación de incidentes de seguridad que

podría ser adoptado por la entidad:
Un usuario, tercero o contratista que sospeche sobre la materialización de un incidente

de seguridad deberá notificarlo al primer punto de contacto definido por la entidad (Ej:
Soporte de primer nivel). El incidente puede ser notificado a través de cualquier canal
de comunicación (Telefónico, Correo, Aplicativo) es importante resaltar que debe existir
un formato el cual el usuario que reporta el incidente debe diligenciar con la mayor
cantidad posible de información relacionada con el incidente.
El primer punto de contacto identificará el tipo de incidente (de acuerdo a la tabla de

clasificación de incidentes que realiza la entidad). Analizará si el incidente reportado
corresponde a un incidente de seguridad de la información o está relacionado con
requerimientos propios de la infraestructura de TI. En caso de ser catalogado como un
incidente de seguridad se notificarán a la persona encargada de la atención de
incidentes o a quien haga sus veces para que tome las decisiones correspondientes. El
primer punto de contacto será el encargado de realizar el seguimiento del Incidente
hasta su cierre definitivo.
Si el incidente de seguridad es identificado por otra línea diferente a un usuario de la

entidad, a través de los elementos de detección o administradores de TI, este es
notificado directamente a la persona encargada de atención de incidentes quien tomará
las acciones necesarias de atención. Se notificará al primer punto de contacto sobre la
presentación de un incidente de seguridad para que realice la documentación
respectiva y esté atento al seguimiento y desarrollo del mismo.
El punto de contacto clave dentro de la gestión de incidentes es la persona encargada

de la atención de los mismos, el cual se encarga de coordinar y asignar las actividades
con las partes interesadas. Estos últimos se encargan de solicitar el apoyo a las
personas involucradas con el proceso con el fin de la correcta ejecución de actividades
que den solución al incidente.
La persona encargada de la atención de incidentes tendrá la potestad para decidir

sobre las acciones que se deban ejecutar ante la presencia de un incidente de
seguridad y es la persona que notificará a las altas directivas de la entidad.

Versión: 001
n
6.3.4 Recursos para el Análisis de Incidentes.

• Tener un listado de los puertos conocidos y de los puertos utilizados para realizar
un ataque.
• Tener un diagrama de red para tener la ubicación rápida de los recursos
existentes
• Una Línea – Base de Información de: Servidores (Nombre, IP, Aplicaciones,
Parches, Usuarios Configurados, responsable de cambios). Esta información
siempre debe estar actualizada para poder conocer el funcionamiento normal del
mismo y realizar una identificación más acertada de un incidente.
• Se debe tener un análisis del comportamiento de red estándar en este es
recomendable incluir: puertos utilizados por los protocolos de red, horarios de
utilización, direcciones IP con que generan un mayor tráfico, direcciones IP que
reciben mayor número de peticiones.
6.3.5 Recursos para la Mitigación y Remediación.

En este punto se consideran los elementos básicos para la contención de un posible
incidente, Backup de Información, imágenes de servidores, y cualquier información
base que pueda recuperar el funcionamiento normal del proceso o servicio.
6.4 CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN.
Es importante para SUPERSOCIEDADES implementar una estrategia que permita

tomar decisiones oportunamente para evitar la propagación del incidente y así
disminuir los daños a los recursos de TI y la pérdida de la confidencialidad, integridad y
disponibilidad de la información.
Esta fase se descompone en cuatro (4) componentes:
Contención: esta actividad busca la detección del incidente con el fin de que no se
propague y pueda generar más daños a la información o a la arquitectura de TI, para
facilitar esta tarea la entidad debe poseer una estrategia de contención previamente
definida para poder tomar decisiones por ejemplo: apagar sistema, desconectar red,
deshabilitar servicios.
La estrategia de contención varía según el tipo de incidente y los criterios deben estar
bien documentados para facilitar la rápida y eficaz toma de decisiones. Algunos
criterios que pueden ser tomados como base son:
• Criterios Forenses
• Daño potencial y hurto de activos
• Necesidades para la preservación de evidencia
• Disponibilidad del servicio

Versión: 001
n
• Tiempo y recursos para implementar la estrategia

• Efectividad de la estrategia para contener el incidente (parcial o total)
• Duración de la solución
Erradicación: Después de que el incidente ha sido contenido se debe realizar una

erradicación y eliminación de cualquier rastro dejado por el incidente.
Recuperación: Es la restauración de los sistemas y/o servicios afectados para lo cual

el administrador de TI o quien haga sus veces deben restablecer la funcionalidad de
los sistemas afectados, y realizar un endurecimiento del sistema que permita prevenir
incidentes similares en el futuro. Debe existir un plan de continuidad del servicio
suficientemente probado en los diferentes escenarios, como apoyo en la restauración
de los servicios, sistemas y aplicativos.
6.5 ACTIVIDADES POST-INCIDENTE
Las actividades Post-Incidente básicamente se componen en:

a. Un informe apropiado del Incidente.
b. Determinación de las lecciones aprendidas.
c. Establecimiento de medidas tecnológicas, disciplinarias y penales de ser
necesarias.
d. Registro en la base de conocimiento para alimentar los indicadores.
6.5.1 Informe del Incidente:
Después que el servicio ha sido reestablecido debe prepararse para el nivel

correspondiente o para el proceso involucrado, un informe detallado del evento
tecnológico y/o incidente de seguridad de la información que indique lo que paso, como
se resolvió, elementos implicados, las lecciones aprendidas y el tiempo que demoro la
solución y el tiempo sin servicio.
Asimismo, se deben actualizar los indicadores de gestión de incidentes y presentar el
informe gerencial del proceso.
6.5.2 Lecciones Aprendidas:
Cada equipo de respuesta a incidentes debe evolucionar para reflejar las nuevas
amenazas, la mejora de la tecnología, y las lecciones aprendidas. Mantener un
proceso de "lecciones aprendidas" después de un incidente grave, y periódicamente
después de los incidentes menores, es sumamente útil en la mejora de las medidas de

Versión: 001
n
seguridad y el proceso de gestión de incidentes y mantener un adecuado registro de

lecciones aprendidas permite conocer:
• Exactamente lo que sucedió, en qué momento y cómo el personal gestionó el

incidente.
• Los procedimientos documentados.
• Si se tomaron las medidas o acciones que podrían haber impedido la recuperación.
• Cuál sería la gestión de personal y que debería hacerse la próxima vez que ocurra un
incidente similar.
• Acciones correctivas para prevenir incidentes similares en el futuro.
• Cuales herramientas o recursos adicionales son necesarios para detectar, analizar y
mitigar los incidentes en el futuro.
El proceso de lecciones aprendidas puede poner de manifiesto la falta de un paso o

una inexactitud en un procedimiento y son un punto de partida para el cambio, y es
precisamente debido a la naturaleza cambiante de la tecnología de la información y los
cambios en el personal, que el equipo de respuesta a incidentes debe revisar toda la
documentación y los procedimientos para el manejo de incidentes en determinados
intervalos.
Actualmente, la herramienta de Supersociedades en la que se registran los incidentes
no tiene un campo propiamente dicho para registrar las lecciones aprendidas, pero se
propone que estas se relacionen a nivel general en el campo de observaciones y se
relacione con la herramienta de base del conocimiento mediante el código del incidente
que emite la herramienta, y donde se puede dejar registradas las actividades
realizadas para superar el evento tecnológico y/o incidente de seguridad y las
evidencias de la gestión realizada.
7. CONTROL DE CAMBIOS.
Versión Vigencia Vigencia Identificación de los Responsable

Desde Hasta cambios
Director de
001 16-06-2017 Creación del documento Informática y
Desarrollo
Elaboro : Profesional Sistemas Reviso: Líder de Seguridad Aprobó: Director Informática
Fecha : 16 de Junio de 2017 Fecha : 16 de Junio de 2017 Fecha : 16 de Junio de 2017

GINT-G-006 Guía Gestion de Incidentes PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GINT-G-006 Guía Gestion de Incidentes PDF

Cargado por

Copyright:

Formatos disponibles

SUPERINTENDENCIA DE SOCIEDADES Código: GINT-G-006

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

GUIA PARA LA GESTIÓN DE INCIDENTES

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

Este documento ha sido preparado de una manera sencilla para SUPERSOCIEDADES

El objetivo principal del Modelo de Gestión de Incidentes de seguridad de la

Estos eventos e incidentes pueden ocurrir en el procesamiento de los datos e

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

facilite la gestión, tratamiento y dar respuesta de la manera más eficiente y

Para lograr estos objetivos, en el modelo técnico de gestión de incidentes de seguridad

• Preparación, reporte y registro de eventos e incidentes

Ciclo de vida de la gestión de incidentes

Este modelo de Gestión de Incidentes le permitirá a SUPERSOCIEDADES estar

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

responsabilidades y procedimientos para asegurar una respuesta rápida, eficaz y

Es aplicable a los activos de información, acorde con el catálogo de incidentes.

- De acuerdo con el manual de políticas de seguridad de la información todos los

 ACTIVOS TECNOLÓGICOS: Recursos del sistema de información o

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

un incumplimiento posible de las políticas de seguridad de la información o de

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

6. ACTIVIDADES PARA LA GESTIÓN DE INCIDENTES.

Estas actividades se sustentan en el Modelo técnico de Gestión de Incidentes que se

Este modelo Técnico de Gestión de Incidentes involucra:

- Normatividad que sustenta el modelo

6.1 REPORTE Y REGISTRO DE EVENTOS E INCIDENTES

Esta fase dentro del ciclo de vida de LA GESTIÓN DE INCIDENTES se realiza

a. La respuesta a los eventos tecnológicos y a los incidentes de seguridad que se

b. La prevención de los eventos tecnológicos y de los incidentes de seguridad de

La función de respuesta a incidentes es responsable de la prevención de incidentes y

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

creando (si no existen) y validando (si existen) los procedimientos necesarios y

 Gestión de Parches de Seguridad: Supersociedades debe contar con un programa

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

Las actividades descritas anteriormente buscan prevenir la ocurrencia de incidentes de

6.1.1 Recursos de Comunicación

Los elementos necesarios para la comunicación del equipo de atención de incidentes

6.1.2 Recursos para el registro de incidentes

a) Un sistema manual o automatizado para el registro de los incidentes, donde se

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

b) Un sistema manual o automatizado para el registro de la base de conocimiento

c) Un grupo de funcionarios que se encarguen de la recepción del reporte, del

d) Una lista de categorías de incidentes (Catálogo de servicios acondicionado) que

6.2 DETECCIÓN, EVALUACION Y ANÁLISIS

6.2.1 Detección Identificación y Gestión de Elementos Indicadores de un

Para detectar eventos o incidentes existen los siguientes procedimientos:

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017

PROCESO: GESTIÓN INFRAESTRUCTURA Y

información. Factor importante es contar con un grupo de monitoreo e indicadores

• Alertas en sistemas de seguridad

Las actividades de análisis de un incidente involucran los siguientes aspectos:

SISTEMA GESTIÓN INTEGRADO Fecha: 16 de Junio de 2017