CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES

DE SEGURIDAD DE LA INFORMACIÓN

INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN

1
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación,
modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes,
sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información de la Cooperativa.

1. OBJETIVO
La política establece los lineamientos y acciones a realizar para el manejo y control de incidentes de seguridad
que lleguen a detectarse, los cuales atenten contra la confidencialidad, integridad y disponibilidad de la
información y los recursos de TI.

2. RESPONSABILIDADES
Los responsables de cumplir con los lineamientos para la gestión de incidentes son:
- Encargado(a) de Seguridad de la Información y Seguridad Física.
- Gerencia, Sub Gerencias, Jefaturas Involucradas, Jefes de Agencias.

3. DESCRIPCIÓN
Los incidentes de seguridad de la información deberán ser controlados y minimizados mediante el monitoreo
periódico de la red y de actividades sospechosas que lleguen a presentarse. Se aplicará un proceso de mejora
continua para monitorear, evaluar y gestionar en su totalidad los incidentes de seguridad de la información.

3.1. CLASIFICACIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Según la Normativa ASFI, los incidentes se clasifican de la siguiente forma:

1. Pérdida de servicio
2. Pérdida de equipo o instalaciones
3. Sobrecargo o mal funcionamiento del sistema
4. Errores humanos
5. Incumplimiento de políticas o procedimientos
6. Deficiencia de controles de seguridad física
7. Cambios incontrolables en el sistema

2
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

8. Mal funcionamiento del software

9. Mal funcionamiento del hardware
10. Código malicioso
11. Negación del servicio
12. Errores resultantes de datos incompletos o no actualizados
13. Violaciones en la confidencialidad e integridad de la información
14. Mal uso de los sistemas de información
15. Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos
16. Intentos recurrentes y no recurrentes de acceso no autorizado

EJEMPLOS DE LA CLASIFICACIÓN DE INCIDENTES DE SEGURIDAD

DE LA INFORMACIÓN SEGÚN NORMATIVA ASFI
TIPO DE INCIDENTE EJEMPLOS DE TIPO DE ACCIONES A TOMAR
INCIDENTES
1. Pérdida de servicio * Corte de energía eléctrica * Se tiene generador de
* Corte de fibra óptica energía eléctrica
* Corte de Internet * Coordinar con proveedores
* Otros

2. Pérdida de equipo o * Dispositivos de red Tomar acciones preventivas

instalaciones * Periféricos
* Estaciones de trabajo

3. Sobrecargo o mal Factores externos Tomar acciones preventivas

funcionamiento del sistema
* Sobrecalentamiento
* Agua o incendio
*Exposición a campos magnéticos
* Cortes de energía
* Caídas de rayo
Factores internos
* Inestalibidad en la lectura del disco
* Manipulación del Sistema
* Eliminación accidental de archivos

3
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN
* Intentos fallidos de ingreso al sistema
4. ERRORES * Eliminación accidental de información
HUMANOS por error del usuario
5. Incumplimiento de políticas * Incumplimiento de la normativa.
o procedimientos * Acciones premeditadas.
6. Deficiencia de controles de Acceso físico: Las causas comunes son
seguridad física la permisividad e inexistencia de control
de instalaciones internas. Estas pueden
ser por personas internas y externas.
7. Cambios incontrolables en Manipulación en las bases de datos
el sistema
8. Mal funcionamiento del Fallas en los sistemas de información
software
9. Mal funcionamiento del Fallas en los equipos, infraestructura
hardware tecnológica
4
* Evitar ingresos fallidos al
sistema
* Cumplir políticas y
procedimientos de seguridad
de la información
Cumplir políticas y
procedimientos de seguridad
de la información
Identificar a la persona que
infringe la normativa interna,
indagar motivos por los cuales
se encuentra en instalaciones
sin autorización, identificar
causas que permitieron su
ingreso.
Cumplir políticas y
procedimientos de seguridad
de la información
Tomar acciones preventivas
Tomar acciones preventivas
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

10. Código malicioso * Uso descontrolado de dispositivos de Identificar el tipo de código

almacenamiento
* Acceso a páginas sospechosas
* Vulnerabilidades a nivel de red que
faciliten la propagación.
malicioso, aislar equipos
comprometidos de la red,
monitoreo del tráfico de red.
Analizar el comportamiento del
código malicioso, entre otras
acciones.

11. Negación del servicio
12. Errores resultantes
datos incompletos o
actualizados
* Generalmente ocurren por motivos
intencionados que buscan restringir el
acceso y disponibilidad de servicios,
aprovechando cambios incontrolados de
configuración, mal funcionamiento de
hardware, incidentes no intencionados,
errores incontrolados en sistemas y
otros.
de Registro de datos incompletos en el
no sistema
Identificar el origen del ataque
y bloquear el mismo; esto si no
se trata de una denegación
distribuida. Para su prevención
se recomienda implementar
reglas para identificar y
bloquear automáticamente
estos ataques.
Cumplir con el correcto llenado
de datos, como también
realizar actualizaciones
constantes.

13. Violaciones en la * Violación de la confidencialidad, que Cumplir políticas y

confidencialidad e integridad se realiza a través del acceso no procedimientos de seguridad
de la información autorizado al sistema, vulnerando las de la información
medidas de seguridad, establecida para
evitar que ajenos ingresen a un sistema
informático. sanciona la conducta de
dañar, introducir, borrar, deteriorar,
alterar, suprimir y hacer inaccesible los
datos informáticos a través de la
utilización de las Tecnologías de la
Información.
* Violación a la Integridad de Datos
Informáticos, inutilizan o perturban
además impiden el acceso, imposibilitan
su funcionamiento, o la prestación de
sus servicios cuando se impide el
acceso, imposibilita su funcionamiento
del sistema informático
* Violación a la disponibilidad implica
que no se pueda disponer de ella para
su gestión en el tiempo y la forma
requeridos por el usuario.
14. Mal uso de los sistemas * Violación de las políticas, normas y Cumplir políticas y
de información procedimientos de seguridad de la procedimientos de seguridad
información de la información

5
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

* Abuso o mal uso de los servicios

informáticos

15. Accesos no autorizados

exitosos, sin perjuicios visibles
a componentes tecnológicos
16. Intentos recurrentes y no
recurrentes de acceso no
autorizado
* Acceso físico a instalaciones de Identificar a la persona que
procesamiento de información o áreas infringe la normativa interna,
seguras. Las causas comunes son la indagar motivos por los cuales
permisividad e inexistencia de control de se encuentra en instalaciones
instalaciones internas. Estas pueden ser sin autorización, identificar
por personas internas y externas. causas que permitieron su
* Acceso lógico a información, servicios, ingreso.
sistemas, bases de datos, Para el acceso lógico es algo
configuraciones por defecto, errores de más complejo; las acciones a
aplicación, vulnerabilidades o parches tomar dependerán del tipo y
de seguridad no aplicados, entre otros. gravedad del incidente.
* Elevación de privilegios. Revisión de registros,
recuperar el servicio afectado,
correlación de accesos,
permisos, horas, nombres de
usuario, origen y otros.
* Alteración de la información Cumplir políticas y
* Borrado de la información procedimientos de seguridad
* Robo de información de la información

4.1. PUNTO DE CONTACTO

El Encargado(a) de seguridad de la Información y Seguridad Física, será el punto de contacto para el reporte
de eventos. Se debe garantizar que los funcionarios, conozcan a quien deben reportar los eventos de seguridad
de la información.

El mal funcionamiento u otro comportamiento anómalo del sistema puede ser un indicador de un ataque de
seguridad o una violación real de la seguridad y por lo tanto siempre debería reportar como evento de seguridad
de la información.

6
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

Ante un evento de seguridad de la información, se recomienda no ejecutar ninguna acción propia sino
reportarla inmediatamente al Encargado(a) de Seguridad de la Información y Seguridad Física.

Una vez solucionado el evento de seguridad, se deberá realizar un análisis e identificación de las causas del
incidente, de tal forma de planificar e implementar medidas correctivas para evitar la recurrencia de dicho
evento.

4.2. CUANTIFICACIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Se evaluará el incidente según el grado de afectación realizada a la Cooperativa y se realizará una cuantificación
del daño causado. Las cuáles serán catalogadas en:

 Baja, la cual no compromete el funcionamiento de la Cooperativa.

 Media, la cual llega a comprometer el funcionamiento interno de los sistemas, mal uso de los recursos.

 Alta, la cual llega a comprometer las características de integridad, confidencialidad y disponibilidad de

la información.

Por último, con el debido cuidado de los aspectos de confidencialidad, los incidentes de seguridad se deberán
usar en la concientización del personal, sobre ejemplos de que podría pasar, como responder ante los incidentes
de seguridad y como evitarlos en el futuro.

4.3. REPORTE DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Se tiene establecido un procedimiento formal para reportar los eventos y las debilidades de la seguridad de la
información, así como el procedimiento correspondiente para la escalada y respuesta ante el incidente.

La Cooperativa para efectos de control, seguimiento y solución, debe mantener una base datos para el registro
de los incidentes de seguridad de la información que considere la clasificación establecida exigida por ASFI.

Se tiene el siguiente formulario para el respectivo reporte de incidentes de seguridad de la información.

7
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

Cooperativa de Ahorro y Crédito Abierta “Quillacollo” R.L.

reporte de Incidentes de Seguridad de la Información

Fecha y hora de notificación: Jefe de Unidad:

Fecha y hora de inicio: Unidad:

DATOS DE LA PERSONA QUE NOTIFICA

Nombres y Apellidos:
Cargo: Agencia: N° Interno:

INFORMACIÓN SOBRE EL INCIDENTE

Describa el incidente:

INFORMACIÓN SOBRE EL INCIDENTE

Marque con una cruz todas las opciones que considere aplicables:
Clasificación de Incidentes de Seguridad de la
Información:
Pérdida de servicio
Pérdida de equipo o instalaciones
Sobrecargo o mal funcionamiento del Sistema
Errores humanos
Incumplimiento de Políticas o procedimientos
Deficiencias de controles de seguridad física
Cambios incontrolables del sistema
Mal funcionamiento del software
Clasificación de Incidentes de Seguridad de la Información:
Mal funcionamiento del hardware
Código Malicioso
Negación de Servicio
Errores resultantes de datos incompletos o no actualizados
Violaciones en la confidencialidad e integridad de la información
Mal uso de los sistemas de información
Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos
Intentos recurrentes y no recurrentes de acceso no autorizado.

SOLUCIÓN
Fecha y hora de solución:
Personal que solucionó:

Describa la solución:

Activo Afectado (Sistema, Computadora o

Servicios):

8
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

ACCIONES PREVENTIVAS PARA PÉRDIDA DE DATOS POR INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN
Aunque la pérdida de datos puede parecer inevitable, en realidad, con las precauciones y garantías
adecuadas, se puede prevenir.

 Copias de seguridad: No espere hasta ver señales de fallo en un disco duro. Ponga en marcha
un plan de copias de seguridad. Puede hacerlo en el servidor de respaldos.

 Recomendaciones adicionales:
o Mantenga sus equipos limpios y libres de polvo
o Si un PC se calienta debe informar inmediatamente a la Unidad de Sistemas
o Las copias de seguridad, debe realizarse de manera periódica
o Mantenga su software antivirus actualizado
o No abra correos electrónicos sospechosos o archivos adjuntos no confiables
o No deje su ordenador portátil o PC desatendido
o No elimine los archivos que no se sabe lo que son. Pueden ser necesarios para el sistema
operativo
o No deje líquidos cerca de su ordenador portátil o PC

CONSEJOS CLAVES PARA MEJORAR LA SEGURIDAD

DE DATOS CORPORATIVA

9
 CAPACITACIÓN A TODO EL PERSONAL SOBRE EL REPORTE Y REGISTRO DE INCIDENTES
DE SEGURIDAD DE LA INFORMACIÓN

A TOMAR EN CUENTA:

GRACIAS POR SU ATENCIÓN !!!!!

10