Código SGSI-USI-PE-03

Procedimiento de Gestión de Versión 1.1

Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 1 de 8

Procedimiento de Gestión de Incidentes

de Seguridad de la Información
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 2 de 8

1. OBJETIVO
Establecer las responsabilidades y lineamientos para gestionar de manera efectiva los eventos de seguridad
de la información de la Agencia Peruana de Cooperación Internacional, en adelante APCI, de modo tal que
sean comunicados y atendidos de manera oportuna.

2. ALCANCE
El presente documento es de aplicabilidad para el personal interno y externo de la APCI. Aplica a todos los
eventos de seguridad de información que puedan causar un potencial daño a la APCI.

3. DOCUMENTOS DE REFERENCIA
● Ley N° 27806 Ley de Transparencia y Acceso a la Información Pública
● Ley N° 27927 Ley de Transparencia y Acceso a la Información Pública (modificada con la Ley N°
27806)
● Norma Técnica Peruana ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos

4. RESPONSABILIDADES

Roles Responsabilidades
- Asegurar la adecuada gestión de los eventos con relación a la seguridad de la
información.
- Proponer soluciones ante un evento de seguridad de información reportado.
- Velar por el cumplimiento de los proyectos planificados.
- Informar al Comité de Gestión Digital respecto a los incidentes graves que
hayan sido reportados.
Oficial de Seguridad - Recibir los eventos de seguridad de información que ocurran en la APCI,
de la Información gestionar su atención requerida y atender los casos que se encuentran en la
capacidad operativa
- Analizar y Delegar las incidencias informáticas en las estaciones de trabajo
referidas a correo, internet, acceso a la red, sistemas de información,
servidores, motor de base de datos, virus informáticos u otros temas
relacionados a la seguridad de los sistemas de información, etc.

Trabajador de la
- Reportar los eventos de seguridad de la información al CSIRT-MRE.
APCI y terceros

5. SIGLAS Y DEFINICIONES
5.1. SIGLAS
USI Unidad de Sistemas e Informática
OSI Oficial de Seguridad de la Información
SGSI Sistema de Gestión de la Seguridad de la Información
SI Seguridad de la Información

5.2. DEFINICIONES
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 3 de 8

Persona que utiliza el aplicativo y/o sistema informático en operación para llevar
a cabo una función específica. Tiene conocimiento de las tareas operativas
Usuario normalizadas de acuerdo a los procedimientos operativos, administrativos e
informáticos.

Usuario responsable por los cambios respecto a los procesos y activos de TI.
Propietario
Es el área o colaborador de la APCI responsable de ejecutar los planes de
Responsable de
acción para solucionar el incidente.
solución
Ocurrencia detectada que indica posible violación de la política de seguridad de
Evento de Seguridad la información, incumplimiento o debilidad de un control que podría impactar en
de la Información la organización.

Un único evento o una serie de eventos de seguridad de la información,

Incidente de inesperados o no deseados, que tienen una probabilidad significativa de
Seguridad de la comprometer las operaciones de la organización y de amenazar la seguridad de
Información la información.

Son hallazgos o pruebas que se consideran verdaderas pero que luego se

Falso positivo demuestran falsas.

Un problema es una circunstancia en la que se genera un obstáculo al curso

Problema normal de las cosas.
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 4 de 8

6. DIAGRAMA DE FLUJO

6.1. IDENTIFICACIÓN DEL EVENTO O INCIDENTE DE SI

7. DESCRIPCIÓN DE LAS ACTIVIDADES

 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 5 de 8

Nro. Responsable Actividad Descripción

7.1 Identificación del evento o incidente de SI
7.1.1 Trabajador de la Comunicar Los usuarios y terceros al identificar un evento de seguridad,
APCI o tercero el evento informan al OSI acerca de uno o varios eventos de
seguridad, mediante el siguiente correo electrónico
soporte@apci.gob.pe.

7.1.2 Oficial de Registra el En esta etapa el OSI registrará la siguiente información del
Seguridad de la evento evento, en el Registro de incidente de Seguridad de la
Información Información (F01-SGSI-USI-PE-03).

- ID: Corresponde a un número correlativo para la

asignación del evento de SI.
- Contacto que registra: El contacto corresponderá a la
persona encargada de registra el evento.
- Asunto: En este campo se define el nombre del evento
- Fecha de registro: Fecha de la comunicación del
evento en el formato dd/mm/aaaa.
- Reportante del evento: Permite indicar qué personal
ha detectado el evento que se está tratando.
- Descripción del evento: A través de este campo se
especificará lo más detallado posible, en qué consiste el
evento reportado.
- Tipo de evento: Permite determinar si el evento
registrado se trata de una incidencia, un problema, un
evento o un falso positivo
- Estado: Las opciones son:
o Abierto: El evento es creado.
o Investigación: Se encuentra en la fase de
identificación de las causas.
o Rechazado: No corresponde a un riesgo de SI.
o En espera: Se encuentra en proceso de solución
o Resuelto: El evento fue solucionado.
- Tipo de comunicación: Correo electrónico, llamada
telefónica o comunicación verbal. Se debe de registrar el
e-mail y/o número telefónico al cual se podrá comunicar
el estado.
- Procesos afectados: Permite determinar qué procesos
de la APCI se han visto afectados por el evento que se
ha registrado.
- Categoría: Se debe registrar la categoría del incidente,
de acuerdo al siguiente listado:
o Acceso lógico: Incidente ocurrido como
consecuencia de una inadecuada gestión de
accesos a nivel lógico en los sistemas de
información, en los componentes de red y carpetas
compartidas.
o Acceso físico: Incidente ocurrido como
consecuencia de accesos físicos no autorizados a
las instalaciones de la APCI donde el acceso es
restringido.
o Suplantación de identidad: Incidente ocurrido
como consecuencia del uso indebido de
información de autenticación secreta de un usuario.
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 6 de 8

o Pérdida de información: Incidente ocurrido como

consecuencia de la pérdida o transferencia no
autorizada de información a través de dispositivos
o sistemas de información.
o Indisponibilidad: Incidente ocurrido como
consecuencia de la indisponibilidad prolongada de
un o más activos de información sean sistemas de
Información, carpetas compartidas, correo
corporativo, servicios tecnológicos, entre otros.
o Ataques de código malicioso: Incidente ocurrido
como consecuencia de falla en los controles de
detección y prevención.
o Incumplimiento: Incidente ocurrido como
consecuencia del incumplimiento de políticas o
procedimientos de SI que comprometan la
confidencialidad, disponibilidad e integridad de la
información.
o Cambios: Incidente ocurrido como consecuencia
de fallos o errores en los sistemas de información
debido a cambios no controlados adecuadamente.
o Falla del software: Incidente ocurrido como
consecuencia de la instalación o actualización del
software en los equipos de cómputo.
- Activo afectado: Nombre del activo, activos y/o que fue
afectado por el evento.
- Tipo de activo afectado: Se debe registrar el tipo de
activo involucrado que ha sido afectado como
consecuencia del incidente. Estos pueden ser:
o Sistema de Información
o Persona
o Tercero
o Información digital
o Información física
- Impacto: Permite establecer un valor cualitativo, para
determinar el nivel de daño que provoca la Incidencia o
problema. Los niveles son:
o Alto: El evento limita la operación de alguno de los
procesos de manera indefinida
o Medio: El evento afecta de manera momentánea
los procesos de la APCI.
o Bajo: Los procesos siguen operando, pero se
presentan pequeñas dificultades en algunas
actividades.
- Prioridad: Los niveles son:
o Alto: La atención debe ser inmediata.
o Medio: La atención puede esperar entre 1 y 3 días.
o Bajo: La atención puede esperar más de 7 días.

La prioridad se determinará en función al impacto.

7.1.3 Oficial de Evaluar el El OSI procede a evaluar el evento, para determinar si es un

Seguridad de la evento incidente o evento de SI, para ello deberá de verificar si
Información cumple con cualquiera de las siguientes causas:
- Incumplimientos de políticas, normas y/o procedimientos
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 7 de 8

sobre SI.
- Cambios no controlados en los sistemas (software y
hardware) y servicios.
- Fallas en software y/o hardware.
- Violaciones de acceso a los sistemas.
- Ataques por software de tipo malicioso (malware).
- Correos fraudulento (phishing) solicitando información
del usuario.
- Pérdida o fuga de información.
- Mal uso y abuso del correo electrónico.
- Detección de vulnerabilidades de la seguridad.

Si cumple con algunas de estas causas, y no ha vulnerado

un control establecido, podría afectar uno o varios procesos
y/o uno de los pilares de la seguridad de la información se
considerará un evento de SI. Si cumple con algunas de estas
causas, y ha vulnerado un control establecido y está
afectando uno o varios procesos y/o uno de los pilares de la
SI, se considerará un incidente de SI.

En ambos casos el OSI registra el evento o incidente en el

formato de Seguimiento de eventos e incidentes (F02-SGSI-
USI-PE-03) y adjuntara la evidencia correspondiente del
evento de SI o incidente de SI. Si no es un evento o incidente
el OSI atenderá el reporte y finalizará el proceso.

7.1.4 Oficial de Atender el El OSI coordinará con el responsable de la atención para:

Seguridad de la evento o - Neutralizar el incidente
Información incidente de - Reducir el impacto que pueda ocasionar el evento o
SI incidente
Asimismo, se comunicará el evento a los responsables, a los
propietarios de los activos de información o procesos
afectados, y a otros usuarios según se considere necesario.

7.1.5 Responsable de Análisis de El responsable del área que atenderá el evento o incidente:
atención causa y - Realizará el análisis para determinar las causas que
determina el originaron el evento o incidente.
Plan de - Determina el Plan de Acción que permitirá corregir y
Acción elimina las causas que originaron el evento o incidente.
El Plan de Acción deberá de tener:
- Aprobación de la jefatura de área que atenderá el
evento o incidente
- Plan de Acción
- Fecha en la que se ejecutará el Plan de Acción.

7.1.6 Jefatura de Área Revisa y La jefatura de área revisa el Plan de Acción si está conforme
aprueba lo aprueba, continua en la actividad 7.1.7. Si hay
Plan de observaciones lo deriva al responsable de la atención para
Acción su corrección, actividad 7.1.5.

7.1.7 Responsable de Implementa Ejecuta el Plan de Acción definido para la solución del evento
atención la solución de SI o incidente de SI y guarda la evidencia de la ejecución
del plan de acción para solucionar el evento de SI o incidente
de SI.
 Código SGSI-USI-PE-03
Procedimiento de Gestión de Versión 1.1
Incidentes de Seguridad de la
Fecha 22/04/2021
Información
Página 8 de 8

7.1.8 Oficial de Seguimiento El seguimiento de los eventos e incidentes reportados se

Seguridad de la al evento o realizan en el formato de Seguimiento de eventos e
Información incidente de incidentes (F02-SGSI-USI-PE-03), para determinar si se está
SI cumpliendo con la ejecución de los planes de acción.

7.1.9 Oficial de Cierre del Una vez se haya solucionado el evento de SI o incidente y
Seguridad de la evento o contando con la conformidad del usuario se procederá al
Información incidente de cierre.
SI
8. REGISTROS
Tiempo de
Código Nombre de Registro Responsable del Control
Conservación
Oficial de Seguridad de la
F01-SGSI-USI-PE-03 Registro de incidente de SI 12 meses
Información
Oficial de Seguridad de la
F02-SGSI-USI-PE-03 Seguimiento de eventos e incidentes 12 meses
Información

9. CONTROL DE CAMBIOS
Fecha
Tipo de Descripción del Responsable de
Versión Acción de Distribuido a Aprobado por
Cambio Cambio la Acción
Acción
22/11/201 Oficial de Seguridad Todo el personal Comité de
1.0 C Creación Creación del documento
9 de la Información de la APCI Gobierno Digital
22/04/202 Modificació Oficial de Seguridad Todo el personal Comité de
1.1 M Modificación del documento
1 n de la Información de la APCI Gobierno Digital

C=Creación, M=Modificación, D=Distribución, A=Aprobación