, TMmuLo vr PROCEDIMIENTO GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACION po Empresarial coniso SGSI-P01 PROCEDIMIENTO GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION SGSI-P01 RESPONSABILIDAD Y AUTORIDAD FECHA REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestién| 90/10/2014 Integral APROBADO POR: Jairo Martinez 30/10/2014 Gerente de ITS VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 1 de 10Grupo Empresarial ReDcomM PROCEDIMIENTO GESTION DE TMmuLo LOS INCIDENTES DE covico SEGURIDAD DE LA SGSI-PO1 INFORMACION 1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor Iéalos y apliquelos. Verifique que esté utilizando la ultima Versién correspondiente a la Ultima revisi6n. N° VERSION FECHA MobIFiC. mobiFic. MODIFICACIONES 2 5/11/2010 -Actualizar el objeto y alcance del procedimiento. = Actualizer los nombres, cargos y extensiones de las personas a las cuales se pueden realizar los reportes de seguridad de la informacién. -Actualizar el formato SGSI-P01-F01 - Actualizar la descripcién general de actividades. 3 09/07/2013 = Actualizacién del aleance del procedimiento | Actualizacién de los incidentes criticos | Actualizacién del correo para reporte de eventos de seguridad | Actualizacién de los eventos y/o debilidades a reportar. 4 30/10/2014 = Actualizar logo del documento. | Actualizar cargo y responsables de la persona encargada de aprobar el documento - Eliminar las firmas digitales de la portada. = Incluir la gestién desarrollada a través del software service desk Incluir los registros del software de service desk. VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 2 de 10, TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE Copico Gripo tmpresarl SEGURIDAD DE LA SGSI-PO1 ReDpcom INFORMACION 2. OBJETO Asegurar que las debilidades y los incidentes de seguridad en la informacién se identifican y se toman los correctivos necesarios para prevenir que no vuelvan a ocurrir. Asegurar que se da cumplimiento a los lineamientos de la politica general de seguridad de la informacion y a la politica especifica SGSI-PL 25 de gestion de incidentes de seguridad 3. ALCANCE Este procedimiento inicia con el reporte de debilidades o incidente de seguridad que afecten de forma critica los activos de informacién de la organizacién, continua con la Investigacion y andlisis de los eventos reportados y finaliza con la toma de acciones de mejora para prevenir la ocurrencia de nuevos incidentes. Aplica para todos los colaboradores de la organizacién. 4, DOCUMENTOS PARA CONSULTA + NTC-ISO/EC 27001:2013 Tecnologia de Informacion. Técnicas de Seguridad Sistemas de Gestién de la Seguridad en la Informacién (SGSI) Requisitos. * NTC-ISO-IEC 17799:2006 Tecnologias de Informacién. Técnicas de Seguridad. Cédigo de Practica para la Gestién de la Seguridad de la Informacién. * NTC-ISO-IEC 5254:2006 Administracién del Riesgo. * GTC 169 Tecnologia de la informacién. Técnicas de seguridad. Gestién de incidentes de seguridad de la informacion. 27/02/2008 * SGSI-PL25 Politica de gestién de incidentes de seguridad de la Informacion 5. TERMINOS Y DEFINICIONES ANALISIS DE RIESGO: Proceso que permite determinar cuan frecuentemente puede ‘ocurrir eventos especificos y la magnitud de sus consecuencias. EVENTO DE SEGURIDAD DE LA INFORMACION: Presencia identificada de una condicién de un sistema, servicio o red, que indica que una posible violacién de la politica de seguridad de la informacion o la alla de las salvaguardas, 0 una situacién desconocida previamente que puede ser pertinente a la seguridad, INCIDENTE DE SEGURIDAD DE LA INFORMACION: Un evento o serie de eventos de seguridad de la informacion no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la informacién. Como algunos ejemplos de incidentes criticos de seguridad podemos citar: VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 3 de 10, TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE Copico Gripo tmpresarl SEGURIDAD DE LA SGSI-PO1 ReDpcom INFORMACION Robo de informacién sensible de proyectos. Denegacién de servicio masiva sobre equipos de la red, afectando la operacién dela Compajia ‘+ Denegacién de servicio masivo por el ingreso y propagacién de virus que explotan vulnerabilidades. Dafio de servidores Incumplimientos de las poltticas 0 las directrices que comprometan los activos de la organizacién, ‘* Cambios no controlados en el sistema. MONITOREO: comprobar, supervisar, observer criticamente, 0 registrar el proceso de una actividad, accidn o sistema en forma sistematica, para identificar cambios, RESTRICCIONES: Por lo general las restricciones son establecidas o reconocidas por la direccién de la organizacién y estan influidas por el entorno en el cual opera ésta SALVAGUARDAR: son practicas, procedimientos 0 mecanismos que pueden proteger contra una amenaza, reducir una vulnerabilidad. SOLICITUD DEL SERVICIO: Una solicitud de servicio es una peticién de un usuario de informacion 0 asesoramiento, o de un cambio estandar, o para el acceso a un servicio de TI VULNERABILIDAD: muestra la fragilidad de un sistema (fisico, Técnico, organizacional, cultural, etc.) que puede ser afectado adversamente, causando dafios o perjuicios. 6. DESCRIPCION GENERAL DE ACTIVIDADES 61. REPORTE SOBRE LOS EVENTOS Y LAS DEBILIDADES DE LA SEGURIDAD DE LA INFORMACION Todos los colaboradores que identifiquen 0 se percaten de un evento ylo debilidad de seguridad de la informacién deberan notificar inmediatamente a la _gerencia de ITS. Reporte telefénico: 7434440 ext: 1109,1188, 1310 Correo electrénico: service.desk@redcom.com.co Perea CORREO Jairo Martinez Gerente de ITS jairo.martinez@redcom.com.co John Quinche Coordinador de Sistemas _| john.quinche@redcom.com.co 6.1.1. REPORTE SOBRE LOS EVENTOS Y DEBILIDADES DE SEGURIDAD DE LA INFORMACION VERSION No.5 | VIGENTE DESDE EL 20 DE OCTUBRE DE 20t4 Pagina 46 10]TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE Copico Gripo tmpresarl SEGURIDAD DE LA SGSI-PO1 ReDpcom INFORMACION Luego de recibir el reporte del evento y/o debilidad de seguridad de Ia informacion la Gerencia de ITS procedera a determinar en primera instancia si el reporte es un incidente, con base en un andlisis de la informacién recibida, si luego de analizada la informacién se determina que es un incidente se procede a_recolectar toda la_ informacion pertinente para la investigacién y andlisis del evento (incidente), esta informacion quedara registrada en el formato SGSI-P01-FO1 De otra parte través del software ManageEngine ~ Service Desk se registran todos los incidentes reportados por los usuarios, de tal manera que se garantice la trazabilidad y control de los eventos reportados. 6.1.2. EVENTOS Y/O DEBILIDADES A REPORTAR Los eventos ylo debilidades que se pueden reportar para su respectiva investigacién, andlisis y gestin pueden ser: - Accesos no autorizados a los sistemas de informacién y uso indebido de los Tecursos informaticos de la compafiia. = Suministrar la informacién a quien no tiene derecho a conocerla. - Fraude - _ Usar la informacion con el fin de obtener beneficio propio 0 de terceros. + Hacer publica la informacién sin la debida autorizacion - Realizar copias no autorizadas de software + Intentar modificar, reubicar 0 sustraer equipos de computo, software, informacion periféricos sin la debida autorizacion, = Transgredir © burlar los mecanismos de autenticacion u otros sistemas de seguridad. - Enviar cualquier comunicacién electrénica fraudulenta = Violacién cualquier Ley 0 Regulacién nacional respecto al uso de sistemas de informacion = Robo de informacién sensible - Denegacién de servicio masivo sobre equipos de la red, afectando la operacién diaria de la Compatiia. - Denegacién de servicio masivo por el ingreso y propagacién de virus que explotan vulnerabilidades. - Otros eventos y/o debilidades relacionadas con seguridad de la informacién que afecten de forma critica los activos de informacién de la organizacion. 6.2. GESTION DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA INFORMACION 6.2.1. RESPONSABILIDADES Y PROCEDIMIENTOS VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 5 de 10, TMmuLo 7 PROCEDIMIENTO GESTION DE conse LOS INCIDENTES DE Gro Errol SEGURIDAD DE LA SesiPor R=eDcom INFORMACION Para asegurar una respuesta rapida, eficaz y ordenada se debe tener en cuenta que al presentarse un fallo 0 incidente de seguridad de la informacion, el usuario debe reportarlo a la Gerencia de ITS en el menor tiempo posible. Luego de recibir la informacion se realizara_una investigacién del incidente, para determinar de qué tipo es; @ que activo de informacién esté afectando y cual es tratamiento para minimizar el impacto que pueda tener (si lo llegase a tener). La informacién recolectada durante esta actividad queda registrada en el formato SGSI-PO1- FO1 que contiene un registro detallado del incidente donde se muestra el proceso desde el momento en que se detecta el evento hasta su minimizacién. Dentro del registro se debera diligenciar los siguientes datos + Datos de la persona informante: Puede ser la cualquier persona que identifique el incidente; ya sean empleados, contratistas o terceros. * Datos del incidente: Es en donde se registra que tipo de incidente es; virus informatico, pérdida de la informacién, incumplimiento a las normas, dafio en el medio de transporte, dario en el software, dario en el hardware, ete. * Grado de criticidadiseveridad: Hace referencia a la importancia del incidente sobre la organizacién (critico, moderado o insignificante). NIVEL DE SEVERIDAD DELINCIDENTE IMAPACTO Es un evento muy cri, en el cual representa una seria amenaza para la SU YNRLOMMME oranizacion y afecta de forma inmediata a uno 0 mas recursos eriticas & one en peligro informacion sensitva 6 confidencial Es un evento que puede ser una amenaza potencial, pero GUE NO Se Identivea como una amenaza seria ylo inmeciata Es un evento que podria ser una amenaza menor 6 6s el resultado Ge una actividad no autorlzada, pero que no compromete recursos critlcos 6 Informacion sensitiva TrID) INSIGNIFICANTE rer) ‘+ Descripcién detalla del Incidente: En este punto hacemos un registro de cual fue el incidente, a que persona o area inmediata afecté, segun lo relatado por la persona que reporta el evento. * Efectos Producidos: Es en donde se registra la forma en que se manifiesta el tipo de incidente (virus, Bloqueo de equipos, reinicio de equipos, dafio de sistemas operatives, etc.), * Origen del incidente: Es en donde se registra cual es la procedencia del incidente; si es por virus, dafio de sistema operativo, errores del usuario, dafio en la red, etc. Se analizan las causas que originaron el evento, VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 6 de 10TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE Copico Gripo tmpresarl SEGURIDAD DE LA SGSI-PO1 ReDpcom INFORMACION * Alcance: Es en donde se registra la cadena de eventos producidos por los efectos del incidente. * Acciones: Es en donde se registran los actos realizados para controlar o minimizar los efectos producidos por el incidente de acuerdo al nivel de severidad del incidente + ConclusioniLecciones Aprendidas.: Es en donde se registra las medidas y/o acciones de mejoramiento aplicables para que no se vuelva a repetir el incidente. 6.2.2. APRENDIZAJE DEBIDO A LOS INCIDENTES DE SEGURIDAD DE LA INFORMACION Una vez identificados los incidentes de seguridad, éstos se valoraran segtin el impacto que tienen en la compaiiia y se tomarén acciones de mejoramiento para mitigar estos incidentes. La informacion obtenida de la investigacién y anélisis de los eventos de seguridad de la informacién se debe informar los colaboradores 0 areas a afectadas para prevenir recurrencia de los incidentes 0 nuevos incidentes. Estas comunicaciones se podran realizar utilizando los siguientes medios: De forma verbal con los colaboradores 0 areas afectadas. Mediante correos electrénicos. Capacitaciones Lecciones aprendidas 6.3 RECOLECCION Y CONSERVACION DE EVIDENCIAS En caso que las acciones de seguimiento que impliquen acciones legales (civiles 0 penales) estas solo serdn determinadas por la Gerencia General de la compafiia, Para la recoleccién y retencion de las evidencias que puedan ser presentadas ante las autoridades competentes, se deberén seguir los lineamientos de las buenas précticas de la custodia de evidencias digitales, tomando como margo general la legislacién colombiana, en tal sentido se deberén desarrollar las siguientes actividades como parte de la recoleccién y conservacién de evidencias: * El primer paso comprende la captura de la evidencia, que sera realizada por el responsable de seguridad de la informacién junto con el apoyo del administrador de la red y las personas a cargo del proceso. La evidencia sera la prueba del delito, la que delataré al intruso. A la hora de capturar la evidencia, se debe VERSION No.5 | VIGENTE DESDE EL 20 DE OCTUBRE DE 20t4 Pagina 7 ae 10]TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE Copico Gripo tmpresarl SEGURIDAD DE LA SGSI-PO1 ReDpcom INFORMACION proceder con cautela para no modificar pista alguna. Para recopilar estas evidencias se aplicaran las buenas précticas de computacion forense segun el tipo de evidencia. + Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en si, salvaguardando su integridad Se debe ser muy precavido a la hora de recolectar la evidencia; pues la idea es no modificarla. Para ello podemos utilizar los siguientes elementos: * Bolsas antiestaticas, que permitan la correcta manipulacién de medios de almacenamiento. + Bolsas de seguridad, para guardar los elementos fisicos, que permitan garantizar que una vez guardados se tenga la certeza que la bolsa no ha sido abierta + Embalaje, para guardar los Discos Duros y evitar que una eventual caida 0 maltrato al elemento ocasione una pérdida de informacién, que en este caso sera perdida de la evidencia. * Etiquetas o Rotulos, para marcar los elementos fisicos, con el fin de identificarlos, Esta etiqueta debe tener la informacién necesaria que identifique al elemento. Por ejemplo si hablamos de un Disco Duro, se deberia incluir por lo menos la siguiente informacién: > Unconsecutivo > Numero del incidente > Descripcién del elemento (Marca, Modelo, Serial, Capacidad, tipo de conector (IDE, SCSI, ATA), configuracién fisica, particiones, Sistema Operativo) > Fecha y Hora Lugar > Nombre y firma de quien recolecta el elemento. Si es posible nombre y firma de un testigo. Y Dependiendo del tipo de incidente de seguridad y la criticidad del mismo, se determinaran las actividades a seguir para la recolecoién y conservacién de la evidencia, siguiendo los lineamientos de la cadena de custodia para cada caso espectfico. NOTA La organizacién., cuenta con un circuito cerrado que se activa por movimiento, el cual tiene un monitoreo de 24 horas en cada una de las dreas de la compaiiia Este monitoreo queda registrado y también puede ser utilizado como evidencia en incidentes donde esté involucrado el robo de elementos, manipulacién de informacién. VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 8 de 10TMmuLo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE covico SEGURIDAD DE LA SGSI-PO1 INFORMACION ingresos indebidos de cualquier cardcter, dafio de activos, etc, aplicando las técnicas adecuadas de recoleccion y conservacion de la evidencia. VERSION No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Pagina 9 de 10aan. Jsertic... Tmo PROCEDIMIENTO GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION T. CONTROL DE REGISTROS cooico SGSI-P01 CROENACTON | OPO = rewrone | reweoDe 5 RPSIBLEDEL (ouméieo, | BuDAD | soPoRT soso we | DeNTRCACION Sa UBICACION Moise [|e | EIBEON (RECON ye rong) _| AocE80 pate ees a & se ose Ses | Pad | tata | Nk | Biinacén 2 Coot ces | 102.168.1252 cans | Oolal | NA mM NA SIG: Coordinador del Sistema Integral de Gestiin \VERSIONNo.5 \VIGENTE DESDE EL 90 DE OCTUBRE DE 2014 Pagina 10 de 10