Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACIÓN GENERAL
Versión: 01
Subproceso: SUBPROCESO
“PROCEDIMIENTO DE GESTIÓN DE
INCIDENTES Y EVENTOS DE SEGURIDAD
INFORMÁTICA DE SEGURIDAD”
Código: PR-SEI-STE-101
Versión: 01
1 Objetivo
2 Alcance
Este procedimiento aplica a todos los servidores públicos que participen en el reporte y
resolución de incidentes y eventos de seguridad informática que se presenten dentro de CNEL
EP.
3 Definiciones
Página 2 de 7
Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01
USUARIO: Todo funcionario, personal de contratistas, temporales o terceros, que hagan uso de
los servicios informáticos de los que se dispone dentro de CNEL EP.
4 Responsabilidades
GERENTE GENERAL
Aprobar y disponer la aplicación del procedimiento.
5 Políticas
5.1 El usuario deberá informar al área de Seguridad de la Información, mediante los medios
dispuestos para tal efecto (correo electrónico, llamada telefónica), los incidentes y
eventos de seguridad informática de los que sean testigos durante el cumplimiento de
sus actividades diarias.
5.2 Los indicentes y eventos de seguridad informática comunicados por algún usuario a la
Mesa de Ayuda, deberán ser informados de manera inmediata a la Gerencia de
Seguridad de la Información.
Página 3 de 7
Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01
5.5 La gestión de los incidentes y eventos de seguridad informática puede iniciarse sin
necesidad de un reporte, cuando se realice su detección por parte del personal de la
Gerencia de Seguridad de la Información por medio del monitoreo activo de los
incidentes y eventos de seguridad, ya sea de forma manual o mediante el uso de
herramientas automatizadas de correlación de incidentes y eventos. Para el
reconocimiento de dichos incidentes y eventos, se revisarán temas como:
modificaciones de políticas en los sistemas de seguridad, creación de usuarios no
autorizados, intentos sistemáticos de acceso y cambios no autorizados en las
configuraciones del equipamiento, y alertas del software de antivirus y antispyware.
6 Desarrollo
6.2 Una vez determinado que el incidente o evento efectivamente involucra un tema de
seguridad informática, el Profesional de Seguridad de la Información Tecnológica lo
registra en el sistema de gestión de incidentes y eventos de seguridad de la plataforma
GlobalSuite.
Página 4 de 7
Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01
Urgencia: Depende del tiempo máximo de demora que acepte el cliente para la
resolución del incidente o evento, y/o el nivel de servicio.
6.6 Para contener el incidente o evento de seguridad informática y evitar que se propague,
el Profesional de Seguridad de la Información Tecnológica aplica los niveles de
contención y soporte requeridos, basados en los conocimientos de informática forense,
análisis de malware e ingeniería social inversa.
6.7 Cuando el incidente o evento de seguridad informática pueda afectar a otros usuarios o
sistemas, el Profesional de Seguridad de la Información Tecnológica revisa la base de
datos de gestión de configuraciones para determinar los sistemas que podrían ser
afectados y notifica a los usuarios para que conozcan las posibles afectaciones en su
flujo habitual de trabajo.
6.9 Si realizadas todas las acciones previstas para el manejo de incidentes o eventos de
seguridad informática, no se alcanzare la resolución de los mismos, el Profesional de
Seguridad de la Información Tecnológica deberá gestionar el escalarlo hacia las
instituciones o empresas especializadas, así como a los organismos gubernamentales de
mayor jerarquía que puedan apoyar a la solución.
Página 5 de 7
Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01
7 Seguimiento y medición
8 Documentos de Referencia
Página 6 de 7
Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01
9 Registros
- -
10 Anexos
Página 7 de 7
Anexo 1
Diagrama de flujo
Inicio
Inicio
Anexo 1
Diagrama de flujo
Inicio
Inicio
Anexo 2
“Clasificación de incidentes/eventos de seguridad informática”
Por su tipo
TIPO DESCRIPCIÓN
Ocurrencia que indica una situación previamente desconocida,
no es necesariamente una ocurrencia maliciosa o adversa.
Incidencia/Evento
Ejemplo: Bloqueo de cuenta de usuario por alcanzar límite
máximo de intentos, Recepción de Correo Spam.
Violación o amenaza inminente a política de seguridad de la
información; un evento que compromete la seguridad de un
Incidente sistema en términos de confidencialidad, integridad o
disponibilidad. Ejemplo: Acceso no autorizado a sistema,
incidente Correo Phishing, Hackeo Página Web.
Por su estado
ESTADO DESCRIPCIÓN
Abierto Incidente o evento reportado, se abre caso en sistema de
Gestión de Incidentes.
En Investigación Se ha asignado un técnico para la investigación del incidente.
Incidente o evento que no se refiere a cuestiones de seguridad y
Rechazado
debe ser redirigido a otra área.
Resolución de incidente o evento que se encuentra demorado
En Espera
debido a falta de información o soporte de otras áreas.
El incidente o evento ha sido resuelto e informado al usuario por
Resuelto
el técnico que lo gestionó.
El incidente o evento que ha sido resuelto correctamente y
Cerrado confirmado por el usuario quien lo notificó. Cerrado por lo tanto
de forma definitiva.
Por su categoría
CATEGORÍA DESCRIPCIÓN/SUBCATEGORÍA
Ingreso a sistemas sin contar con autorizaciones necesarias.
Acceso no autorizado Subcategorías: Abuso de privilegios / Robo de identidad /
Penetración externa.
Infección de Sistemas.
Código malicioso Subcategorías: Malware (Virus, worms, keylogger, trojan, etc.) /
Inyección de script en servicio web.
Por el impacto
IMPACTO DESCRIPCIÓN
Impacta a un único usuario.
Muy Bajo No existe posibilidad de propagación.
Causa un daño irrelevante a efectos prácticos.
Impacta a un número pequeño de sistemas o personas.
No afecta a ningún activo importante.
Bajo
Afecta a un segmento de red o un área específica.
Baja probabilidad de propagación.
Por su urgencia
URGENCIA DESCRIPCIÓN
Muy Baja La incidencia se puede resolver en un período mayor a 48 horas.
La incidencia se debe resolver en un período no mayor de 48
Baja
horas.