HOJA DE RUTA

Fecha de generación: 2021-10-15 08:49:28

Solicitante: CHRISTIAN GIOVANNY CASCANTE CABALLERO, GERENTE DE SEGURIDAD DE LA INFORMACION

Profesional de Procesos: PIEDAD LORENA CASSAGNE MOYANO

INFORMACIÓN GENERAL

Código del documento: PR-SEI-STE-101

Nombre del documento: PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA

Código único: 200

Versión: 01

Macroproceso: SEGURIDAD DE LA INFORMACION

Proceso: Seguridad Tecnológica

Subproceso: SUBPROCESO

RUTA DEL DOCUMENTO

Elaboradores Cargo Fecha de Fecha de
Recepción Aceptación
LUIS EDUARDO BANO ALVAREZ DIRECTOR DE SEGURIDAD DE LA INFORMACION 2021-10-07 2021-10-07
TECNOLOGIC
Revisores Cargo Fecha de Fecha de
Recepción Aceptación
CHRISTIAN GIOVANNY CASCANTE CABALLERO GERENTE DE SEGURIDAD DE LA INFORMACION 2021-10-07 2021-10-07
MARIA EUGENIA LOOR CEVALLOS COORDINADOR/A DE SEGURIDAD DE LA INFORMACION 2021-10-07 2021-10-11
FANNY PATRICIA NAZARENO ARROYO GERENTE JURIDICO 2021-10-07 2021-10-11
Aprobador Cargo Fecha de Fecha de
Recepción Aprobación
RAFAEL MARCOS VASQUEZ FREIRE GERENTE GENERAL 2021-10-11 2021-10-14

Powered by TCPDF (www.tcpdf.org)

 EMPRESA ELÉCTRICA PÚBLICA ESTRATÉGICA CORPORACIÓN
NACIONAL DE ELECTRICIDAD

“PROCEDIMIENTO DE GESTIÓN DE
INCIDENTES Y EVENTOS DE SEGURIDAD
INFORMÁTICA DE SEGURIDAD”

Datos generales del documento

ELABORACIÓN X ACTUALIZACIÓN ELIMINACIÓN

Código: PR-SEI-STE-101

Versión: 01

Proceso / Subproceso: Seguridad de la Información/Seguridad Tecnológica

-
Observación:
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

1 Objetivo

Asegurar la notificación, registro, tratamiento y resolución de los incidentes y eventos de

seguridad informática que sucedan dentro de la Empresa Eléctrica Pública Estratégica
Corporación Nacional de Electricidad, CNEL EP.

2 Alcance

Este procedimiento aplica a todos los servidores públicos que participen en el reporte y
resolución de incidentes y eventos de seguridad informática que se presenten dentro de CNEL
EP.

3 Definiciones

EVENTO DE SEGURIDAD INFORMÁTICA: Ocurrencia identificada de un estado de un sistema,

servicio o red que indica una situación previamente desconocida que pueda ser relevante para
la seguridad informática. Por ejemplo: un usuario se conecta a un sistema, un intento fallido de
un usuario para ingresar a una aplicación, el firewall que permite o bloquea un acceso, una
notificación de un cambio de contraseña de un usuario privilegiado, etc. Un evento de
seguridad informática no es necesariamente una ocurrencia maliciosa o adversa.

INCIDENTE DE SEGURIDAD INFORMÁTICA: Violación o amenaza inminente a la política de

seguridad de la información implícita o explícita. También es un evento que compromete la
seguridad de un sistema en términos de confidencialidad, integridad o disponibilidad. Como
ejemplos de incidentes de seguridad podemos enumerar: acceso no autorizado, robo de
contraseñas, robo de información, denegación de servicio, etc.

GESTIÓN DE CONFIGURACIONES: Base de datos que juega un papel clave en la resolución de

incidentes y eventos, pues por ejemplo, nos muestra información sobre los responsables de los
componentes de configuración implicados. La base de datos de gestión de configuraciones
también nos permite conocer todas las implicaciones que pueden tener en otros servicios el
mal funcionamiento de un determinado elemento de configuración.

GESTIÓN DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA: Conjunto de acciones y

procesos tendientes a brindar a los sistemas informáticos que soportan activos de información
críticos de la Corporación, las fortalezas y capacidades necesarias para responder en forma
adecuada a la ocurrencia de incidentes de seguridad informática que afecten real o
potencialmente sus servicios.

INFORMÁTICA FORENSE: Aplicación de técnicas científicas y analíticas especializadas a

infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos
válidos dentro de un proceso legal. Dichas técnicas incluyen reconstruir elementos
informáticos, examinar datos residuales, autenticar datos y explicar las características técnicas
del uso de datos y bienes informáticos.

INGENIERÍA SOCIAL INVERSA: Práctica de obtener información confidencial a través de la

manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para
obtener información, acceso o permisos en sistemas de información que les permitan realizar

Página 2 de 7
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social

es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

MALWARE: Programa malicioso, programa maligno, programa malintencionado, en inglés

malware (acortamiento de malicious software), badware o código maligno, a cualquier tipo de
software que realiza acciones dañinas en un sistema informático de forma intencionada (al
contrario que el «software defectuoso») y sin el conocimiento del usuario.

MESA DE AYUDA: Hace refencia a la pltaforma informática a través de la cual se notifican

incidentes, o requerimeintos informáticos, y los relacionados a seguridad de la información.
Los canales son soporteti@cnel.gob.ec y telefónico al 991.

USUARIO: Todo funcionario, personal de contratistas, temporales o terceros, que hagan uso de
los servicios informáticos de los que se dispone dentro de CNEL EP.

4 Responsabilidades

Para la correcta ejecución de este procedimiento es imprescindible delimitar el campo de

acción de cada una de las partes que intervienen:

 GERENTE GENERAL
 Aprobar y disponer la aplicación del procedimiento.

 GERENCIA DE ASUNTOS CORPORATIVOS

 Elaborar, tramitar y actualizar el procedimiento.

 GERENCIA DE SEGURIDAD DE LA INFORMACIÓN

 Implantar el procedimiento mediante la realización de talleres de socialización.
Cumplir y hacer cumplir la normativa vigente.

5 Políticas

5.1 El usuario deberá informar al área de Seguridad de la Información, mediante los medios
dispuestos para tal efecto (correo electrónico, llamada telefónica), los incidentes y
eventos de seguridad informática de los que sean testigos durante el cumplimiento de
sus actividades diarias.

5.2 Los indicentes y eventos de seguridad informática comunicados por algún usuario a la
Mesa de Ayuda, deberán ser informados de manera inmediata a la Gerencia de
Seguridad de la Información.

5.3 La Gerencia de Seguridad de la Información debe realizar el registro y seguimiento de los

incidentes y eventos de seguridad informática reportados hasta su resolución e informe
a los usuarios sobre el resultado.

5.4 Cuando sea requerido, la Gerencia de Tecnología de Información deberá apoyar a la

resolución de los incidentes y eventos de seguridad informática junto al área de
Seguridad de la Información.

Página 3 de 7
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

5.5 La gestión de los incidentes y eventos de seguridad informática puede iniciarse sin
necesidad de un reporte, cuando se realice su detección por parte del personal de la
Gerencia de Seguridad de la Información por medio del monitoreo activo de los
incidentes y eventos de seguridad, ya sea de forma manual o mediante el uso de
herramientas automatizadas de correlación de incidentes y eventos. Para el
reconocimiento de dichos incidentes y eventos, se revisarán temas como:
modificaciones de políticas en los sistemas de seguridad, creación de usuarios no
autorizados, intentos sistemáticos de acceso y cambios no autorizados en las
configuraciones del equipamiento, y alertas del software de antivirus y antispyware.

6 Desarrollo

GESTIÓN REACTIVA DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA

6.1 Cuando un usuario o un administrador de servicios detecte un incidente o evento de

seguridad informática, lo reporta de inmediato a la Gerencia de Seguridad de la
Información a través de los medios destinados para tal propósito (correo electrónico,
llamada telefónica).

6.2 Una vez determinado que el incidente o evento efectivamente involucra un tema de
seguridad informática, el Profesional de Seguridad de la Información Tecnológica lo
registra en el sistema de gestión de incidentes y eventos de seguridad de la plataforma
GlobalSuite.

6.3 El Profesional de Seguridad de la Información Tecnológica realiza un análisis detallado

para identificar si existe otro incidente o evento de seguridad informática reportado de
la misma característica. Para este análisis toma en consideración el tipo de incidente o
evento con base en la “Clasificación de incidentes/eventos de seguridad informática”
(anexo 2), naturaleza del activo afectado, y cantidad de activos y sistemas o unidades
afectadas. Adicionalmente, accede a los logs y registros de información disponibles para
construir una línea de tiempo y determinar la trazabilidad de las acciones sucedidas.

6.4 Dependiendo del tipo de incidente o evento de seguridad informática, el Profesional de

Seguridad de la Información Tecnológica revisa:

 Logs de acceso de routers y firewalls

 Logs de intento de login de usuarios
 Logs de acceso, error de webservers y correo electrónico
 Logs de antivirus
 Reportes de uso de equipamiento de red
 Registros de plataforma de seguridad de ciberseguridad

6.5 El Profesional de Seguridad de la Información Tecnológica determina el nivel de

prioridad, el mismo que es calculado automáticamente por el sistema de gestión de
incidentes y eventos de seguridad de la plataforma GlobalSuite, basado esencialmente
en dos parámetros:

Página 4 de 7
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

 Impacto: Determina la importancia del incidente o evento dependiendo de cómo éste

afecta a los procesos de negocio y/o del número de usuarios afectados.

 Urgencia: Depende del tiempo máximo de demora que acepte el cliente para la
resolución del incidente o evento, y/o el nivel de servicio.

Nota: La prioridad del incidente puede cambiar durante su ciclo de vida.

6.5.1. Dependiendo de la prioridad, el Profesional de Seguridad de la Información

Tecnológica asigna los recursos necesarios (personal/tecnológico) para la resolución
del incidente o evento de seguridad informática.

6.5.2 Si el incidente o evento de seguridad informática afecta a un grupo de usuarios o

tiene una afectación crítica para la Corporación, el Profesional de Seguridad de la
Información Tecnológica involucra a personal de Tecnologías de la Información
(Infraestructura, Soporte, Aplicaciones) dependiendo del caso, de manera que se
pueda conformar un equipo de trabajo enfocado en la resolución del incidente o
evento de seguridad informática.

6.6 Para contener el incidente o evento de seguridad informática y evitar que se propague,
el Profesional de Seguridad de la Información Tecnológica aplica los niveles de
contención y soporte requeridos, basados en los conocimientos de informática forense,
análisis de malware e ingeniería social inversa.

6.7 Cuando el incidente o evento de seguridad informática pueda afectar a otros usuarios o
sistemas, el Profesional de Seguridad de la Información Tecnológica revisa la base de
datos de gestión de configuraciones para determinar los sistemas que podrían ser
afectados y notifica a los usuarios para que conozcan las posibles afectaciones en su
flujo habitual de trabajo.

6.8 El Profesional de Seguridad de la Información Tecnológica notifica el incidente o evento

de seguridad informática a la cuenta de correo electrónico incidente@ecucert.gob.ec
adjuntando el reporte respectivo.

6.9 Si realizadas todas las acciones previstas para el manejo de incidentes o eventos de
seguridad informática, no se alcanzare la resolución de los mismos, el Profesional de
Seguridad de la Información Tecnológica deberá gestionar el escalarlo hacia las
instituciones o empresas especializadas, así como a los organismos gubernamentales de
mayor jerarquía que puedan apoyar a la solución.

6.10 Confirmada la resolución definitiva del incidente o evento de seguridad informática, el

Profesional de Seguridad de la Información Tecnológica la documenta al igual que al
procedimiento seguido para su solución, generando una base de conocimientos
actualizada que permite actuar con mayor celeridad ante escenarios similares.

6.11 El Profesional de Seguridad de la Información Tecnológica comunica al usuario que el

incidente o evento de seguridad informática ha sido resuelto.

Página 5 de 7
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

GESTIÓN PREVENTIVA DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA

6.12 La Gerencia de Seguridad de la Información dispone al Profesional de Seguridad de la

Información Tecnológica realizar revisiones constantes de los incidentes o eventos de
seguridad informática que se producen.

6.13 El Profesional de Seguridad de la Información Tecnológica realiza actividades que

incluyen:

 Análisis de alertas y amenazas

 Actividades de concienciación
 Actividades de entrenamiento
 Ensayos y evaluaciones de seguridad
 Definición de procedimientos
 Análisis y mejora continua del proceso

6.14 En aquellos casos donde se detecten indicios de la materialización de incidentes o

eventos de seguridad informática debido a causas desconocidas o no contempladas con
anterioridad, el Profesional de Seguridad de la Información Tecnológica con la revisión y
aprobación del Director de Seguridad del área de Información Tecnológica, debe aplicar
una acción preventiva con el objetivo de analizar el caso de manera concreta y proponer
los cambios necesarios para evitar que en el futuro se repita la ocurrencia.

6.15 El Profesional de Seguridad de la Información Tecnológica realiza un Informe mensual

para la Gerencia de Seguridad de la Información exponiendo las tendencias existentes
encontradas como producto de las actividades mencionadas en el numeral anterior.

Nota: El análisis de tendencias debe incluir el volumen y el tipo de incidentes o eventos

de seguridad informática.

7 Seguimiento y medición

Indicador Objetivo Fórmula

(Número de incidentes o
Obtener porcentaje de
eventos de seguridad
Eficacia en resolución de de atención y resolución
informática resueltos/Número
Incidentes y eventos de de incidentes y eventos
de incidentes o eventos de
seguridad informática de seguridad
seguridad informática
informática
reportados-detectados) * 100

8 Documentos de Referencia

Para la elaboración del documento, se observaron las siguientes disposiciones legales,

reglamentarias y normativas:

 “Norma Técnica de Seguridad de la Información”.

Página 6 de 7
 Código:
PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y PR-SEI-STE-101
EVENTOS DE SEGURIDAD INFORMÁTICA Versión:
01

 MN-SEI-STE-001 “Manual de Políticas de Seguridad de la Información”.

9 Registros

Código Nombre o Descripción

- -

10 Anexos

10.1 Anexo 1: Diagrama de flujo.

10.2 Anexo 2: “Clasificación de incidentes/eventos de seguridad informática”.

Página 7 de 7
Anexo 1
Diagrama de flujo

PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA

Gestión reactiva de incidentes y eventos de seguridad informática

Usuario o administrador de servicios Profesional de Seguridad de la Información Tecnológica

Inicio

Al detectar un incidente o evento de

seguridad informática, reportarlo de
inmediato a la Gerencia de Seguridad de
la Información a través de los medios
destinados para tal propósito (correo
electrónico, llamada telefónica)

Una vez determinado que el incidente o

evento efectivamente involucra un tema
de seguridad informática, registrarlo en
el sistema de gestión de incidentes y
eventos de seguridad de la plataforma
GlobalSuite

Realizar un análisis detallado para

identificar si existe otro incidente o
evento de seguridad informática

Para este análisis, tomar en consideración

el tipo de incidente o evento con base en
la Clasificación de incidentes/eventos de
seguridad informática , naturaleza del
activo afectado, y cantidad de activos y
sistemas o unidades afectadas.
Adicionalmente, acceder a los logs y
registros de información disponibles para
construir una línea de tiempo y
determinar la trazabilidad de las acciones
sucedidas

Dependiendo del tipo de incidente o

evento de seguridad informática, revisar:
Logs de acceso de routers y firewalls
Logs de intento de login de usuarios
Logs de acceso y error de webservers y
correo electrónico
Logs de antivirus
Reportes de uso de equipamiento de red
Registros de plataforma de seguridad de
cibereseguridad

Determinar el nivel de prioridad, el

mismo que es calculado
automáticamente por el sistema de
gestión de incidentes y eventos de
seguridad de la plataforma GlobalSuite,
basado esencialmente en dos
parámetros:
*Impacto
*Urgencia

Dependiendo de la prioridad, asignar los

recursos necesarios (personal/
tecnológico) para la resolución del
incidente o evento de seguridad
informática

Si el incidente o evento de seguridad

informática afecta a un grupo de usuarios
o tiene una afectación crítica para la
Corporación, involucrar a personal de
Tecnologías de la Información
(Infraestructura, Soporte, Aplicaciones)
dependiendo del caso, de manera que se
pueda conformar un equipo de trabajo
enfocado en la resolución del incidente o
evento de seguridad informática

Para contener el incidente o evento de

seguridad informática y evitar que se
propague, aplicar los niveles de
contención y soporte requeridos, basados
en los conocimientos de informática
forense, análisis de malware e ingeniería
social inversa

Cuando el incidente o evento de

seguridad informática pueda afectar a
otros usuarios o sistemas, revisar la base
de datos de gestión de configuraciones
para determinar los sistemas que podrían
ser afectados y notificar a los usuarios
para que conozcan las posibles
afectaciones en su flujo habitual de
trabajo

Norificar el incidente o evento de

seguridad informática a la cuenta de
correo electrónico
incidente@ecucert.gob.ec adjuntando el
reporte respectivo

Si realizadas todas las acciones previstas

para el manejo de incidentes o eventos
de seguridad informática, no se alcanzare
la resolución de los mismos, gestionar el
escalarlo hacia las instituciones o
empresas especializadas, así como a los
organismos gubernamentales de mayor
jerarquía que puedan apoyar a la solución

Confirmada la resolución definitiva del

incidente o evento de seguridad
informática, documentarla al igual que al
procedimiento seguido para su solución,
generando una base de conocimientos
actualizada que permite actuar con
mayor celeridad ante escenarios similares

Comunicar al usuario que el incidente o

evento de seguridad informática ha sido
resuelto

Inicio
Anexo 1
Diagrama de flujo

PROCEDIMIENTO DE GESTIÓN DE INCIDENTES Y EVENTOS DE SEGURIDAD INFORMÁTICA

Gestión preventiva de incidentes y eventos de seguridad informática

Gerencia de Seguridad de la Información Profesional de Seguridad de la Información Tecnológica

Inicio

Disponer se realicen revisiones

constantes de los incidentes o eventos de
seguridad informática que se producen

Realizar actividades que incluyan:

Análisis de alertas y amenazas

Actividades de concienciación
Actividades de entrenamiento
Ensayos y evaluaciones de seguridad
Definición de procedimientos
Análisis y mejora continua del proceso

En aquellos casos donde se detecten

indicios de la materialización de
incidentes o eventos de seguridad
informática debido a causas desconocidas
o no contempladas con anterioridad, con
la revisión y aprobación del Director de
Seguridad del área de Información
Tecnológica, aplicar una acción
preventiva con el objetivo de analizar el
caso de manera concreta y proponer los
cambios necesarios para evitar que en el
futuro se repita la ocurrencia

Realizar un Informe mensual para la

Gerencia de Seguridad de la Información
exponiendo las tendencias existentes
encontradas

Inicio
Anexo 2
“Clasificación de incidentes/eventos de seguridad informática”

Por su tipo

TIPO DESCRIPCIÓN
Ocurrencia que indica una situación previamente desconocida,
no es necesariamente una ocurrencia maliciosa o adversa.
Incidencia/Evento
Ejemplo: Bloqueo de cuenta de usuario por alcanzar límite
máximo de intentos, Recepción de Correo Spam.
Violación o amenaza inminente a política de seguridad de la
información; un evento que compromete la seguridad de un
Incidente sistema en términos de confidencialidad, integridad o
disponibilidad. Ejemplo: Acceso no autorizado a sistema,
incidente Correo Phishing, Hackeo Página Web.

Por su estado

ESTADO DESCRIPCIÓN
Abierto Incidente o evento reportado, se abre caso en sistema de
Gestión de Incidentes.
En Investigación Se ha asignado un técnico para la investigación del incidente.
Incidente o evento que no se refiere a cuestiones de seguridad y
Rechazado
debe ser redirigido a otra área.
Resolución de incidente o evento que se encuentra demorado
En Espera
debido a falta de información o soporte de otras áreas.
El incidente o evento ha sido resuelto e informado al usuario por
Resuelto
el técnico que lo gestionó.
El incidente o evento que ha sido resuelto correctamente y
Cerrado confirmado por el usuario quien lo notificó. Cerrado por lo tanto
de forma definitiva.

Por su categoría

CATEGORÍA DESCRIPCIÓN/SUBCATEGORÍA
Ingreso a sistemas sin contar con autorizaciones necesarias.
Acceso no autorizado Subcategorías: Abuso de privilegios / Robo de identidad /
Penetración externa.
Infección de Sistemas.
Código malicioso Subcategorías: Malware (Virus, worms, keylogger, trojan, etc.) /
Inyección de script en servicio web.

Correo electrónico Recepción o envío de correo con contenido malicioso.

Subcategorías: Spam / Phishing / Captura de cuenta de usuario.

Denegación de servicio Actividad maliciosa tendiente a impedir o dificultar el acceso a

un servicio.

Escaneo externo Uso de herramientas de escaneo de puertos para verificar

vulnerabilidades a ser explotadas desde el exterior.

Robo de información Sustracción o divulgación de información corporativa crítica o

confidencial.
Anexo 2
“Clasificación de incidentes/eventos de seguridad informática”

Violación consciente o inconsciente de normas de seguridad

establecidas en el Manual de Políticas de Seguridad de la
Violación de políticas de
Información y demás normas y procedimientos establecidos por
seguridad
la Gerencia de Seguridad de la Información y que no se
enmarque en ninguna de las categorías anteriores.
Incidente múltiple Una mezcla de los anteriores.

Por el impacto

IMPACTO DESCRIPCIÓN
Impacta a un único usuario.
Muy Bajo No existe posibilidad de propagación.
Causa un daño irrelevante a efectos prácticos.
Impacta a un número pequeño de sistemas o personas.
No afecta a ningún activo importante.
Bajo
Afecta a un segmento de red o un área específica.
Baja probabilidad de propagación.

Impacta a un número moderado de sistemas o personas.

Medio Afecta activos importantes pero no críticos.
Afecta información privada de la Corporación.
Puede propagarse a otros activos.
Impacta a un gran porcentaje de sistemas o personas
Afecta activos críticos de la Corporación.
Alto
Afecta información confidencial de los usuarios.
Presenta alto nivel de propagación.
Amenaza continuidad de servicio de la Corporación.
Muy Alto
Amenaza la vida de las personas.

Por su urgencia

URGENCIA DESCRIPCIÓN
Muy Baja La incidencia se puede resolver en un período mayor a 48 horas.
La incidencia se debe resolver en un período no mayor de 48
Baja
horas.

Media La incidencia se debe resolver en un período no mayor de 12

horas.

Alta La incidencia se debe resolver en un período no mayor de 4

horas.

Muy Alta La incidencia se debe resolver en un período no mayor de 2

horas.