Delitos Informáticos

Trabajo: Detección de delitos informáticos

1. Descripción de la actividad
Es necesario desarrollar un Manual de Detección de Incidentes, el cual debe
contener una sección para los casos de:

2. Introducción
El presente documento forma para del Sistema de Gestión de Seguridad de la
Información tomando como base los lineamientos recomendados en Norma la ISO
IEC 27001, se especifican los lineamientos básicos para el manejo adecuado de
incidentes de seguridad, con el objetivo de preservar la Confidencialidad,
Integridad y Disponibilidad de los activos de la organización.

3. Objetivos de la gestión de incidentes

El principal objetivo del Manual de Gestión de Incidentes es contar con un
proceso estructurado y planificado que permita manejar adecuadamente los
incidentes de seguridad de la información.

Los objetivos particulares se pueden clasificar de la siguiente manera:

● Detección y registro del incidente

● Clasificación y soporte inicial
● Investigación y diagnóstico
● Solución y restablecimiento del servicio
● Cierre del incidente
● Monitoreo, seguimiento y comunicación
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

4. Definición de roles y responsabilidades

Para proporcionar un enfoque coherente y efectivo en la gestión de incidentes /

eventos de seguridad, es importante definir y asignar las responsabilidades
necesarias a las funciones apropiadas de la organización.

Dentro de la Política de Seguridad de la información está definido que la principal

responsabilidad de la gestión preliminar de incidentes / eventos de seguridad
(captura, informe y aplicación de la primera reparación) recae en la Gerencia de
Seguridad de la organización. Las áreas de auditoría, legal, TI y la alta dirección
estarán involucradas, según corresponda

4.1. Gerentes y empleados en general

Los gerentes serán responsables de la planificación de entrenamientos adecuados

de sus equipos sobre temas relevantes de seguridad, particularmente con
respecto a incidentes de seguridad. Para aquellos departamentos que típicamente
están involucrados en el proceso de gestión de incidentes / eventos de seguridad,
los recursos necesarios deben estar habilitados para realizar tareas relevantes de
seguridad de manera oportuna.

Los empleados deberán reportar cualquier evento / incidente de seguridad

(sospechado o confirmado) de inmediato al gerente de línea y al equipo de
seguridad. Por lo tanto, es de vital importancia que todos los empleados conozcan
las políticas de seguridad aplicables.

4.2. Gerencia de Seguridad

La Gerencia de Seguridad es responsable de:
● La creación y el mantenimiento de la lista de incidentes / eventos de
seguridad predefinidos y los planes de respuesta correspondientes
2
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

● Comunicación del proceso y para asegurar un alto nivel de conciencia.

● Monitoreo del manejo de cada evento / incidente de seguridad serio y
prioritario.
● Garantizar la participación oportuna de las áreas legal, auditoría, TI y alta
dirección para el análisis y la asignación de eventos / incidentes de
seguridad a la estructura adecuada para la remediación.
● Definición y configuración de interfaces para otros procesos (por ejemplo,
gestión de riesgos).
● Monitorear la ejecución de pruebas regulares (al menos una vez al año) de
los procesos de respuesta a eventos / incidentes.
● Definición de requisitos para el registro y monitoreo de eventos de
seguridad.

4.3. Centro de Operaciones de Seguridad

El COS será responsable de:
● Mejora continua y monitoreo de eventos / incidentes reportados por
personal autorizado o detectados por herramientas de monitoreo y
detección.
● Actuar como punto único de contacto para eventos / incidentes de
seguridad durante todo el ciclo de vida del incidente
● Realizar una verificación de incidentes inicial para verificar la integridad y
precisión de la información, lo que puede incluir la necesidad de entrevistar
a la persona que reportó el incidente, para aclarar cualquier información
faltante
● Garantizar la participación oportuna del área de seguridad y del equipo de
soporte adecuado para el análisis y la asignación de eventos / incidentes de
seguridad a la estructura adecuada para su reparación.
● Encargarse de todo el proceso de comunicación entre las partes
involucradas en la solución / manejo del incidente

5. Detección y registro de incidentes

El personal de la organización debe observar cualquier anormalidad que pueda
ocurrir en su entorno de trabajo (lógico, de red, físico, de datos y de personas) y
3
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

determinar si la anormalidad detectada es de hecho un evento / incidente de

seguridad.

5.1. Informe de incidente

Todos los incidentes reportados deberán ser registrados inicialmente y con ayuda
del área de seguridad en el “Formulario de reporte de incidente” que deberá ser
enviado a cualquiera de las siguientes opciones:
● seguridadoperaciones@correo.net
● Por teléfono al (55)1234-5678
Aquí se muestra el formulario a llenar:

Fecha de envío del reporte Status

Responsable del envío Número de

incidente
Fecha del evento

Tipo Protección de Seguridad de Seguridad Salud y medio

datos la Física ambiente
información

Descripción

Nivel de riesgo / Crítico Alta Media Baja

prioridad

Áreas afectadas

Responsable del
manejo del incidente

Responsable de la
investigación y
mitigación

Acciones a tomar Descripción Responsable Fecha Status

Análisis de causa raíz

Capítulo(s) ISO27001

4
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

Registro de costos de
remediación y daño

5.2. Detección
Las áreas de seguridad y TI serán las encargadas del monitoreo y detección de
eventos o incidentes de seguridad relacionados con la Confidencialidad,
integridad y Disponibilidad de la Información, utilizando las herramientas
tecnológicas necesarias para éstas tareas.

● Security Information and Event Management System (SIEM)

○ Será el área de seguridad la encargada de operar la plataforma
SIEM.
○ El monitoreo se realizará sobre la infraestructura de red local,
dispositivos de usuario final y todos los equipos que interactúen en la
infraestructura de TI de la organización.
● Fraude
Es responsabilidad de todos los empleados de la organización el reportar actos
sospechosos de fraude, la mejor manera de hacerlo es mediante un correo
electrónico o llamada:
○ buzon.etico@correo.net
○ Por teléfono al (55)1234-8765

Será el área legal quien se encargará de investigar y recibir el incidente (ver

formato mencionado en punto 5.1). Las áreas de TI y Seguridad deberán aportar
los datos equipos afectados y analizar la necesidad de requerir análisis forense
para una investigación más detallada.

● Fuga / Divulgación de Información (Privacidad)

El área de auditoría y cumplimiento se encargará de monitorear el cumplimiento
de los controles de Seguridad de la Información implementados para mantener su
Confidencialidad, Integridad y Disponibilidad para prevenir cualquier tipo de
incidente que involucre divulgación de datos sensibles o de uso exclusivo de la
organización.
5
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

Ésta área se encargará de darle seguimiento e investigar los incidentes

relacionados con este tipo de delito. El área de donde fue sustraída la
información, así como las área Legal, TI y Seguridad deberá colaborar con la
investigación del incidente y aportar los datos necesarios para su mitigación y
solución

● Propiedad Intelectual
El área de TI deberá cumplir con los lineamientos establecidos sobre el uso de
software seguro y licencias legalmente adquiridas, con el fin de prevenir cualquier
tipo de incidente relacionado con uso de software ilegal. De la misma manera los
empleados de la compañía deberán cumplir con la política de buen uso de equipo
de trabajo, donde se establece la prohibición de software apócrifo, uso de torrents
y cualquier aplicación de la que no se tenga licencia.
Para el caso de los incidentes relacionados con software y hardware sin licencia,
así como aplicaciones fuera de cumplimiento será el área de TI la encargada de
investigar el incidente, apoyándose con el área Legal y Seguridad para la
mitigación y solución, así como para las medidas legales a tomar.

En el caso de los incidentes relacionados con afectación a la propiedad intelectual

de la compañía será el área Legal quien se encargue de investigar y mitigar el
incidente, apoyándose en las áreas de TI y Seguridad, así como del área afectada
para recabar los datos que sean de ayuda para su resolución e implementación de
medidas legales para la reparación del daño.

● Afectaciones a la información
Será el área de Seguridad la encargada de clasificar el tipo de incidente y qué tipo
de afectación a la información se causó
○ Confidencialidad - Punto cubierto en la parte de privacidad
○ Integridad - Pérdida, daño o modificaciones no autorizadas
○ Disponibilidad - Afectaciones al acceso a los servicios o información
Una vez establecida la clasificación (ver el formato descrito en el punto 5.1)
deberá encargarse de la investigación y apoyarse en las áreas de TI y Legal según
corresponda, para la mitigación.
6
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

6. Clasificación y soporte inicial

Será necesario contar con el formato descrito en el punto 5.1 para que el
incidente sea debidamente atendido y se pueda realizar una correcta clasificación
del mismo.

6.1. Tipo de incidente / relacionado con

● Seguridad de la Información
● Protección de datos
● Seguridad Física
● Salud y medio ambiente

6.2. Nivel de riesgo

Para determinar el nivel de riesgo o prioridad nos basaremos en la siguiente
clasificación

Clasificación Impacto

Crítico - Incidente o evento en el que al menos varios clientes o varios

Prioridad 1 activos se ven seriamente afectados (incidente) o se espera que se
vean afectados (evento) y la probabilidad de que el incidente o
evento llegue a la prensa es bastante alta

Alta - Prioridad 2 Al menos un cliente o un activo se ve gravemente afectado

(incidente) o se espera que se vea afectado (evento) y la
probabilidad de que el incidente o evento llegue a la prensa es
bastante baja. El mismo evento / incidente se repite porque las
contramedidas no fueron efectivas.

Media - Prioridad No se identifica un impacto o afectación significativa

3

Baja - Prioridad 4 No se espera impacto o afectación

6.3. Clasificación del incidente

La siguiente tabla servirá de guía para una correcta clasificación del incidente

Prioridad Encargado Incidente / Escala / Área

7
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

/ Nivel de
Riesgo

Afectaciones a la información -
Gusano/Virus/Troyano/Spyware Software instalado
T. I. / Legal
intencionalmente en un sistema causando un daño a
más de un activo de la compañía
Crítico P1
Privacidad -
Acceso no autorizado a la base de datos de clientes
Legal
donde se contienen datos sensibles, resultando en
robo de información e incumplimiento regulatorio

Alto P2 Seguridad Afectaciones a la información -

Un intento exitoso de poner en peligro un sistema o
interrumpir cualquier servicio mediante la explotación
de vulnerabilidades que aún no están clasificadas o
son desconocidas

Medio P3 T. I Propiedad intelectual -

Un empleado instala software ilegal en su equipo de
cómputo

Bajo P4 Legal Fraude

Intento de uso no autorizado de cuentas bancarias de
la compañía, sin afectaciones.

7. Investigación y diagnóstico
Para la investigación y diagnóstico deberán colaborar además del área encargada,
las demás áreas que puedan ayudar en la investigación y mitigación del incidente.
7.1. Investigación
Se deberán utilizar las herramientas tecnológicas como el SIEM y en caso de ser
necesario requerir al cómputo forense para la realización de una investigación
efectiva, siempre basándonos en el nivel de clasificación y tipo de incidente, a
mayor criticidad, mayores recursos de investigación.

7.2. Diagnóstico
Para el diagnóstico y mitigación utilizaremos el método de análisis causa - raíz,
con el fin de plantear el problema principal e ir encontrando las fallas que lo
desencadenaron.

Para ésto utilizaremos el método de los 5 porqués:

8
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

● A cada respuesta que surge, se pregunta un porqué. En general las

primeras 5 preguntas servirían para determinar las causas del problema,
pero esto no implica que no puedan seguir realizándose preguntas para
profundizar.

7.3. Clasificación del incidente de acuerdo a la norma ISO27001

Determinar en qué capítulo(s) de la norma ISO27001 recae el problema, con el fin
de revisar los controles implementados y hacer las correcciones necesarias

8. Solución y restablecimiento del servicio

Una vez realizado el diagnóstico y clasificación del incidente, se realizarán 4
procesos para la solución y restablecimiento del servicio.

8.1. Contención
Se aplicarán las estrategias de contención previamente definidas para que el
problema no escale o crezca la magnitud del impacto. Dependiendo el tipo de
incidente la estrategia será diferente, tomando en cuenta criterios como:
disponibilidad del servicio, daños potenciales, análisis forense, preservación de
evidencia.

8.2. Resolución
Una vez controlado el incidente se deberá definir la implementación de
soluciones, los cuales pueden ir desde la corrección o implementación de
controles, acciones correctivas o reparación del daño o simplemente asumir el
riesgo.

Para el caso de incidentes clasificados como Críticos o Altos se deberá contar con
un comité de manejo de crisis, que tomará las decisiones pertinentes para la
solución. El comité está formado por:
● Dirección General
● Legal
● Finanzas
● TI
● Recursos Humanos
9
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

● Seguridad
● Auditoría y cumplimiento
● Asesores externos según el caso

Para el caso de los incidentes clasificados como Medio o Bajo, la solución deberá
contar con la aprobación de las áreas involucradas

8.3. Recuperación
En el caso de los incidentes clasificados como Críticos o Altos se deberá proceder
con la implementación del plan de continuidad de negocio o de recuperación de
desastres.

Para el caso de incidentes clasificados como Medio o Bajo, será decisión de las
áreas involucradas el implementar las medidas necesarias para la recuperación
del servicio o activo dañado.

9. Cierre del Incidente

Para el cierre del incidente se deberán haber cumplido los puntos 5 al 8, con las
debidas aprobaciones de cada una de esas fases.

9.1. Elaboración del informe post - incidente

El informe deberá ser documentado y cubriendo los puntos siguientes:
● Ficha o forma de levantamiento (punto 5.1)
● Documentos recabados en las fases 6 y 7
● Diagnóstico y análisis causa raíz
○ Registro de errores o fallas que provocaron el incidente en una base
de datos
● Solución y registro de controles y medidas implementadas, así como
decisiones tomadas.
● Lecciones aprendidas

10
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

10.Monitoreo, seguimiento y comunicación

Es de suma importancia contar con una base de datos donde se tengan
registrados todos los incidentes pasados, con el fin de encontrar soluciones
implementadas efectivamente y poderlas aplicar en futuros incidentes, además de
elaborar estrategias de prevención.

10.1. Monitoreo y seguimiento de incidentes

● Antes
○ Serán las áreas Legal, TI y Seguridad, dependiendo la naturaleza del
incidente las responsables del debido cumplimiento de los controles
implementados para la prevención de incidentes.
○ El área de auditoría y cumplimiento será la encargada de supervisar
que se cumplan los controles
● Durante:
El Centro de Operaciones de seguridad será el encargado de darle seguimiento al
incidente, manteniendo la comunicación con las áreas involucradas para revisar el
estado.
● Después:
El área involucrada y las áreas que dieron soporte para la resolución, deberán dar
seguimiento a las acciones posteriores a seguir además de la aparición de nuevas
amenazas que puedan provocar que un incidente se repita

10.2. Comunicación
● Externa
Para el caso de incidentes clasificados como Críticos o Altos el comité de manejo
de crisis será el encargado de definir la estrategia de comunicación externa, que
puede incluir:
○ Elaborar comunicados de prensa informando el incidente
○ Comunicar a clientes posiblemente afectados
○ Comunicar a los empleados de la organización

11
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

○ Responder cuestionamientos de partes afectadas o atender a la

prensa.

Para el caso de los incidentes clasificados como Medio o Bajo, la necesidad de

comunicar a entidades externas al incidente dependerá si hubo terceros afectados
y siempre bajo la aprobación del director general.

● Interna
Entendemos como comunicación interna a la interacción entre las partes
involucradas, que consta de las siguientes fases:
○ Informe del incidente
○ Comunicados de seguimiento
○ Reuniones físicas o por llamada
○ Informes de seguimiento
○ Informe de cierre

10.3. Casos de éxito

11.Conclusiones

Es importante contar con un plan bien estructurado de manejo de incidentes,

donde se establezcan los roles y responsabilidades de las partes involucradas en
su remediación, así como una base de conocimiento de incidentes anteriores,
donde se consulten las lecciones aprendidas y soluciones implementadas, sin
dejar de mencionar la importancia de la prevención de riesgos similares.

El contar con un sistema de gestión de incidentes, planes de respuesta,

continuidad de negocio y recuperación de desastres son de gran ayuda para que
las organizaciones puedan responder a eventuales crisis y salir bien libradas,
evitando pérdidas graves (reputación, económicas, humanas). Aún y cuando no se
necesite contar con una certificación en Seguridad de la información es de gran
ayuda el tomar en cuenta los estándares ISO27000 y en su caso el ITIL V3, donde

12
 Asignatura Datos del alumno Fecha

Delitos
Informáticos

vienen herramientas y controles que las organizaciones pueden implementar en

su gestión de incidentes.

Desde luego muchos incidentes tienen que ver con hechos delictivos, tanto dentro
como fuera de las organizaciones, por eso es necesario fomentar la cultura de la
denuncia y seguimiento, para crear un ambiente de seguridad donde las
compañías además de mostrar que tienen mecanismos efectivos de prevención y
defensa, también son coadyuvantes en el combate al crimen, erradicando la
cultura de la impunidad.

12.Referencias

Instituto Colombiano de Normas Técnicas y Certificación. (2009, 19 agosto).

Norma Técnica Colombiana ISO/IEC 27005. Recuperado 5 de agosto de 2020, de
http://gmas2.envigado.gov.co/gmas/downloadFile.public?
repositorioArchivo=000000001071

ITIL V3. Gestión de Incidencias. (s. f.). Servicetonic. Recuperado 6 de agosto de

2020, de https://www.servicetonic.com/es/itil/itil-v3-gestion-de-incidencias/

Análisis causa raíz | Qué es, ejemplos y métodos. (s. f.). Grapheverywhere.
Recuperado 5 de agosto de 2020, de https://www.grapheverywhere.com/analisis-
causa-raiz-que-es-ejemplos-y-metodos/

13