GESTIÓN DE EVENTOS E INCIDENTES DE SEGURIDAD DIGITAL

Gestionar los eventos de seguridad de la información para detectar y tratar con eficiencia, en particular identificar si es necesario o no clasificarlos como incidentes de seguridad de la información.
Permitir identificar los incidentes de seguridad de la información para ser evaluados y dar respuesta de la manera más eficiente y adecuada.
Minimizar los impactos adversos de los incidentes en la organización y sus operaciones de negocios mediante las salvaguardas adecuadas como parte de la respuesta a tal incidente.
Objetivos Consolidar las lecciones aprendidas que dejan los incidentes de seguridad de la información y su gestión para aprender rápidamente. Esto tiene como objeto incrementar las oportunidades de prevenir la ocurrencia de futuros incidentes, mejorar la implementación y el uso de las salvaguardas y mejorar el esquema global de la gestión de incidentes
de seguridad de la información.
Definir los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de los incidentes de seguridad de la información, a través de una base de conocimiento y registro de incidentes y a través de los indicadores del sistema de gestión de seguridad de la información.
Definir los procedimientos formales de reporte y escalada de los incidentes de seguridad.
Establecer variables de posible riesgo, en efecto, es la posible valoración de aspectos sensibles en los sistemas de información.
CAPA FISICA

La capa física se refiere a la infraestructura física de una red, incluyendo cables, enrutadores, switches y dispositivos de red. En términos de seguridad, implica proteger físicamente los activos de red, como garantizar que los servidores estén ubicados en áreas seguras y restringir el acceso físico a los dispositivos.

TIPO DE INSIDENTE DESCRIPCIÓN PREPARACIÓN DETECCIÓN Y ANÁLISIS CONTENCIÓN ERRADICACIÓN ACTIVIDAD POST INCIDENTE ENTE DE CONTROL

Consiste en identificar y evaluar intentos no autorizados de

Establecer controles de acceso físico a las
instalaciones de la empresa, como sistemas de
Acceso físico
tarjetas de identificación, cerraduras electrónicas videovigilancia), establece políticas, entrena al personal,
restringido
y sistemas de videovigilancia para evitar el
acceso no autorizado a áreas sensibles.
Evalúa las necesidades, diseña e implementa un sistema Detener de inmediato la amenaza (activar alarmas, Revisar y documentar el incidente, evaluar sus Equipo de seguridad interno y, en algunos casos,
ingreso a áreas protegidas mediante la supervisión de
de control (tarjetas, cerraduras electrónicas, intervención de seguridad), investigar y eliminar la causa impactos, implementar medidas correctivas, auditores externos, responsables de supervisar y
sistemas de seguridad (videovigilancia, control de acceso),
subyacente, actualizar políticas y procedimientos, hacer seguimiento de mejoras en seguridad, garantizar la implementación adecuada de
y luego analizar la información para tomar medidas
realiza pruebas, mantén el sistema, monitorea incidentes capacitar al personal y verificar la resolución completa del comunicar según sea necesario y cumplir con medidas de seguridad física, incluyendo controles
adecuadas y mejorar la seguridad en función de la
y realiza auditorías. Esto asegura la protección de áreas incidente. obligaciones legales y regulatorias. de acceso y sistemas de vigilancia.
gravedad del incidente.
sensibles y activos de red.

Preparación para falta de energía: Diseñar, implementar y Acciones inmediatas para restaurar la energía y mantener Revisión, documentación y evaluación del El equipo de gestión de infraestructura de
Implementar sistemas de respaldo de energía,
mantener sistemas de respaldo como generadores o Detección y análisis de falta de energía: Supervisar la operatividad (activación de sistemas de respaldo), incidente, implementación de medidas energía, en conjunto con auditores internos o
como generadores eléctricos o baterías UPS
No se tiene un baterías UPS, capacitación del personal, políticas claras, constantemente los sistemas de energía para detectar identificación y corrección de la causa, seguido de correctivas, pruebas de recuperación, externos, supervisa y asegura el funcionamiento
(Uninterruptible Power Supply), para garantizar
Respaldo de energía monitorización constante y actualizaciones para asegurar interrupciones, y analizar las causas de las interrupciones medidas preventivas para evitar futuras interrupciones actualización de políticas y procedimientos, y adecuado de los sistemas de respaldo y la
la continuidad de las operaciones en caso de
la continuidad de la infraestructura de red durante cortes mediante la revisión de registros y pruebas para prevenir (mejora de la redundancia y mantenimiento del sistema de seguimiento continuo para mejorar la estabilidad infraestructura eléctrica para prevenir y abordar
interrupciones eléctricas.
de energía. problemas futuros. respaldo). de la infraestructura de energía. interrupciones de energía.

El ente de control en el contexto de actividades

Proteger físicamente los equipos de TI, como
servidores, routers y switches, mediante la
Seguridad del equipo instalación de cerraduras de gabinete y sistemas
fisico (posible robo) de detección de intrusiones físicas, para
prevenir el acceso no autorizado y el robo de
hardware.
Identificar activos críticos, instalar medidas de seguridad,
establecer políticas y capacitación, realizar pruebas y
monitoreo constante para prevenir robos y proteger los autorizado o robos. El análisis incluye investigar las causas, Erradicación: Investigar y corregir las causas del incidente
activos clave de la organización.
La detección y análisis de la seguridad del equipo físico
involucra la supervisión constante de sistemas de
seguridad física para detectar intentos de acceso no
revisar registros y evidencia para comprender el incidente, para restaurar la seguridad y prevenir futuros problemas.
tomar medidas apropiadas y ajustar políticas de seguridad
para prevenir futuros incidentes.
Las actividades posteriores a un incidente de posteriores a un incidente de seguridad del
seguridad del equipo físico incluyen revisar y equipo físico suele ser el equipo de seguridad de
documentar el incidente, evaluar su impacto, la organización, que se encarga de supervisar y
tomar medidas correctivas para abordar las coordinar las respuestas a incidentes de
Detener de inmediato el acceso no autorizado o el robo
causas subyacentes, realizar pruebas de seguridad física. También pueden estar
mediante alarmas y notificación a la seguridad.
recuperación, comunicar y notificar según sea involucrados auditores internos o externos, según
necesario, y continuar evaluando y mejorando las políticas y regulaciones de la organización,
las medidas de seguridad. Estas acciones para evaluar y verificar la efectividad de las
buscan aprender de la experiencia, fortalecer la medidas de seguridad y las respuestas
seguridad y reducir el riesgo de incidentes posteriores a incidentes.
similares en el futuro, garantizando la protección
de los activos de la organización.

CAPA DE APLICACION

La capa de aplicación se encuentra en la parte superior del modelo de referencia OSI y se refiere a las aplicaciones y servicios utilizados para acceder y procesar datos en una red. La seguridad en esta capa implica proteger las aplicaciones y los protocolos utilizados, como el cifrado de datos en tránsito, la autenticación de usuarios y el manejo adecuado
de los datos ingresados por los usuarios.

TIPO DE INSIDENTE DESCRIPCIÓN PREPARACIÓN DETECCIÓN Y ANÁLISIS CONTENCIÓN ERRADICACIÓN ACTIVIDAD POST INCIDENTE ENTE DE CONTROL

El equipo de seguridad de la organización

La contención y erradicación de la falta de actualizaciones supervisa y coordina la respuesta a incidentes de
Identificar sistemas, monitorear vulnerabilidades,
y parches en la capa de aplicación implica detener falta de actualizaciones y parches en la capa de
establecer un plan de actualización con pruebas y
cualquier actividad maliciosa, aplicar los parches y Revisión y documentación, evaluación de aplicación, implementando medidas correctivas y
Mantener al día las aplicaciones y sistemas políticas claras, capacitar al personal y desarrollar un plan
No realizan Identificar sistemas desactualizados, evaluar la gravedad actualizaciones necesarios para corregir vulnerabilidades, impacto, análisis de lecciones aprendidas, mejoras en políticas y procedimientos. En algunos
operativos con las últimas actualizaciones y de respuesta a incidentes para mantener la seguridad y
Actualizaciones y de las vulnerabilidades, priorizar actualizaciones, planificar realizar pruebas de validación, y establecer un monitoreo acciones correctivas, mejoras en políticas y casos, pueden estar involucrados auditores
parches de seguridad para corregir prevenir ataques.
parches hace mucho su aplicación y realizar auditorías para fortalecer la continuo para mantener la seguridad de las aplicaciones y procedimientos, y seguimiento continuo a través internos o externos para verificar la efectividad de
vulnerabilidades conocidas y protegerse contra
tiempo seguridad de la capa de aplicación. sistemas operativos. Estas acciones aseguran que las de auditorías para garantizar la seguridad de las las acciones tomadas.
ataques maliciosos.
vulnerabilidades se aborden de manera efectiva y se aplicaciones y sistemas operativos.
prevenga el riesgo de futuros ataques y amenazas a la
seguridad.

La preparación para abordar un incidente de mala

autenticación de usuarios en la capa de aplicación implica
establecer políticas de autenticación sólidas, que incluyan
contraseñas fuertes, autenticación de dos factores y
bloqueo de cuentas tras intentos fallidos. También se
Implementar políticas de autenticación sólidas,
requiere educar a los usuarios sobre prácticas seguras de
como el uso de contraseñas fuertes,
Mala Autenticación de autenticación, implementar tecnología adecuada,
autenticación de dos factores y políticas de
usuarios monitorear y registrar eventos, desarrollar un plan de
bloqueo de cuenta después de múltiples intentos
respuesta a incidentes, realizar auditorías de seguridad y
fallidos de inicio de sesión.
mantener actualizadas las aplicaciones y servicios. Estas
medidas buscan asegurar una autenticación segura,
proteger los datos y mitigar el riesgo de incidentes
relacionados con la autenticación insegura en la capa de
aplicación.
El ente de control en el contexto de actividades
La detección y análisis de un incidente de mala Las actividades posteriores a un incidente de
posteriores a un incidente de mala autenticación
autenticación de usuarios en la capa de aplicación implica mala autenticación en la capa de aplicación
de usuarios en la capa de aplicación
el uso de registros de eventos y monitoreo para identificar incluyen la revisión y documentación del
La contención y erradicación de un incidente de mala generalmente involucra al equipo de seguridad de
intentos de autenticación fallidos o sospechosos. Luego, se incidente, la evaluación de su impacto, el análisis
autenticación en la capa de aplicación involucran detener la organización. Este equipo se encarga de
lleva a cabo una investigación exhaustiva para determinar de lecciones aprendidas, la implementación de
inmediatamente la actividad maliciosa, identificar y corregir supervisar y coordinar la respuesta al incidente,
la causa y el alcance del incidente, identificar acciones correctivas y mejoras en políticas y
las causas subyacentes, implementar medidas correctivas, implementar medidas correctivas y realizar
vulnerabilidades subyacentes en las políticas de procedimientos, la realización de auditorías de
realizar pruebas de validación y establecer un monitoreo auditorías de seguridad. También podría haber
autenticación y evaluar su gravedad. Los hallazgos se seguridad y el mantenimiento de actualizaciones
continuo para prevenir futuros problemas de autenticación. una participación de auditores internos o externos
documentan meticulosamente para futuras referencias, lo y parches. Estas acciones tienen como objetivo
según las políticas y regulaciones de la
que permite tomar medidas correctivas adecuadas y fortalecer la seguridad en la autenticación de
organización, para evaluar y verificar la
fortalecer la seguridad en la capa de aplicación para usuarios y prevenir futuros incidentes similares.
efectividad de las acciones tomadas.
prevenir incidentes similares.

Las actividades posteriores a un incidente El ente de control en el contexto de actividades

Realizar auditorías regulares de seguridad en
Tickes en contra en
las aplicaciones y sistemas para identificar y
Auditorías de
corregir posibles brechas de seguridad, así
seguridad y fallos en
como para evaluar el cumplimiento de las
calidad
políticas de seguridad establecidas.
que las auditorías se realicen de manera efectiva, que se
constantemente la seguridad y calidad de las aplicaciones
La preparación para abordar un incidente de "Tickets en
La detección y análisis de un incidente relacionado con
contra en Auditorías de seguridad y fallos en calidad" en
"Tickets en contra en Auditorías de seguridad y fallos en
la capa de aplicación implica establecer políticas de
calidad" en la capa de aplicación implican el uso de
seguridad y calidad, planificar auditorías regulares,
sistemas de registro de eventos y herramientas de
identificar vulnerabilidades, tomar acciones correctivas,
monitoreo para identificar problemas en las auditorías de
tener un plan de respuesta a incidentes, mantener
seguridad y la calidad. Luego, se lleva a cabo una
registros detallados, capacitar al personal y realizar
investigación para determinar las causas subyacentes y
revisiones continuas. Estas medidas buscan garantizar
evaluar su gravedad e impacto. Se identifican
vulnerabilidades y se documentan los hallazgos, lo que
aborden las brechas identificadas y que se mejore
permite tomar medidas correctivas adecuadas y mejorar la
seguridad y calidad en la capa de aplicación.
y sistemas.
relacionado con "Tickets en contra en Auditorías posteriores a un incidente relacionado con
de seguridad y fallos en calidad" en la capa de "Tickets en contra en Auditorías de seguridad y
aplicación incluyen la revisión y documentación fallos en calidad" en la capa de aplicación
La contención de un incidente relacionado con "Tickets en
del incidente, la evaluación de su impacto, el generalmente involucra al equipo de seguridad de
contra en Auditorías de seguridad y fallos en calidad" en la
análisis de lecciones aprendidas, la la organización. Este equipo es responsable de
capa de aplicación implica detener la actividad maliciosa,
implementación de acciones correctivas y supervisar y coordinar la respuesta al incidente,
aislar sistemas afectados y aplicar medidas correctivas
preventivas, la mejora de la gestión de implementar medidas correctivas y preventivas, y
temporales. La erradicación implica identificar causas raíz,
auditorías, la capacitación del personal y el mejorar las políticas y procedimientos
corregir vulnerabilidades, implementar medidas
establecimiento de un monitoreo continuo. Estas relacionados con la seguridad y calidad. También
preventivas y restaurar la operación normal. Estas
acciones tienen como objetivo aprender de la podrían estar involucrados auditores internos o
acciones buscan detener el incidente, eliminar sus causas
experiencia, prevenir problemas similares en el externos, según las políticas y regulaciones de la
y prevenir problemas futuros relacionados con la seguridad
futuro y mejorar la seguridad y calidad en la capa organización, para evaluar y verificar la
y calidad en la capa de aplicación.
de aplicación. efectividad de las acciones tomadas.

CAPA DE RED
La capa de red se encarga de enrutar los paquetes de datos a través de una red y establecer la conectividad entre diferentes dispositivos. La seguridad en esta capa se enfoca en proteger la infraestructura de red, como la segmentación de red, la configuración adecuada de firewalls y routers, y la implementación de sistemas de detección y prevención de
intrusiones.
TIPO DE INSIDENTE DESCRIPCIÓN PREPARACIÓN DETECCIÓN Y ANÁLISIS CONTENCIÓN ERRADICACIÓN ACTIVIDAD POST INCIDENTE ENTE DE CONTROL
Fallos en la Implementar firewalls de red para filtrar el tráfico
configuración
No se usa del entrante
Utilizar y saliente,VPN
conexiones bloqueando conexiones
para establecer no
canales
Firewall de la
correctamente red
VPN autorizadas y evitando
seguros y cifrados ataques
entre externos, como
usuarios
Implementar
Detección de intrusos intrusiones sistemas
y ataques de detecciónremotos
dedenegación de y la
deintrusos
servicio
(Virtual Private red interna de la
(IDS, por sus siglasempresa, garantizando
en inglés) y sistemas dela
Network) confidencialidad
prevención de(DDoS).
la información
de intrusos transmitida.
(IPS, por sus siglas en
CAPA DE DATOS
inglés) para monitorear y responder a
La capa de datos se refiere a los datos
actividades mismos queen
sospechosas selatransmiten
red, comoa través de una red. La seguridad en esta capa se centra en proteger la confidencialidad, integridad y disponibilidad de los datos. Esto incluye el uso de cifrado para proteger los datos en tránsito y en reposo, el establecimiento de políticas de acceso y permisos, y la implementación de
intentos de acceso no autorizados o mecanismos de respaldo y recuperación de datos.
comportamiento anómalo.
TIPO DE INSIDENTE DESCRIPCIÓN PREPARACIÓN DETECCIÓN Y ANÁLISIS CONTENCIÓN ERRADICACIÓN ACTIVIDAD POST INCIDENTE ENTE DE CONTROL

La preparación para garantizar la seguridad en la capa de

datos implica la identificación de datos críticos, el
desarrollo de políticas de respaldo y recuperación, la
selección de soluciones adecuadas de copia de
Realizar copias de seguridad periódicas de los
seguridad, la implementación de encriptación de datos, el
No se realizan Copias datos críticos y almacenarlas en ubicaciones
almacenamiento seguro en ubicaciones protegidas,
de seguridad y se seguras y fuera del sitio, utilizando métodos de
pruebas regulares de recuperación, documentación
pierde informacion encriptación para proteger la integridad de los
detallada y capacitación del personal. Estas medidas
datos.
aseguran la protección, integridad y disponibilidad de los
datos críticos, permitiendo su recuperación efectiva en
caso de incidentes y garantizando la seguridad de la
información.
La detección y análisis de incidentes de seguridad en la
capa de datos implican el monitoreo continuo de
actividades, alertas automáticas ante comportamientos
sospechosos y análisis forenses para investigar incidentes.
El proceso incluye la recopilación de datos relevantes,
identificación de causas raíz, evaluación de impacto y
documentación detallada de la investigación. Estas
acciones son esenciales para comprender la naturaleza de
los incidentes, proteger la confidencialidad de los datos y
tomar medidas correctivas efectivas.
La corrección y erradicación de incidentes de seguridad en
la capa de datos involucran la eliminación de amenazas
activas, la restauración de datos, la aplicación de parches
y actualizaciones, la revisión y mejora de políticas y
controles de seguridad, y una investigación exhaustiva
para identificar causas raíz. Estas acciones buscan
resolver el incidente, proteger la integridad de los datos y capacitación del personal, monitoreo constante y
prevenir futuros incidentes mediante mejoras en la
seguridad de la capa de datos.
Las actividades posteriores a un incidente de
El ente de control en el contexto de actividades
seguridad en la capa de datos incluyen la
posteriores a un incidente de seguridad en la
revisión y documentación del incidente, la
capa de datos puede variar, pero generalmente
evaluación de lecciones aprendidas, la
implica el equipo de seguridad de la información
implementación de mejoras en políticas y
y, en algunos casos, entidades externas como
controles de seguridad, la comunicación interna
auditores o reguladores. Su función es supervisar
y externa, auditorías y revisiones continuas,
y garantizar que se implementen medidas
adecuadas para abordar el incidente, mejorar la
documentación continua. Estas acciones buscan
seguridad y cumplir con las regulaciones
fortalecer la seguridad de la capa de datos y
aplicables.
prevenir futuros incidentes.

El ente de control en el contexto de la preparación

Establecer políticas de acceso a datos que
definan los privilegios y permisos de los usuarios
No se tienen Políticas
en función de sus roles y responsabilidades,
de acceso a datos
restringiendo el acceso a la información
confidencial solo a aquellos que lo necesiten.
La preparación para abordar un incidente de falta de
políticas de acceso a datos en la capa de datos implica
identificar datos críticos, desarrollar políticas de acceso y
permisos, establecer políticas de respaldo con copias de
seguridad periódicas y almacenamiento seguro fuera del
sitio, aplicar encriptación de datos, seleccionar soluciones
de respaldo adecuadas, realizar pruebas de
recuperación, documentar procedimientos y capacitar al de alertas de actividad sospechosa, revisión de registros de
personal. Estas medidas garantizan la protección de la
confidencialidad, integridad y disponibilidad de los datos y
permiten una respuesta efectiva ante incidentes
relacionados con la capa de datos.
La detección y análisis de un incidente relacionado con la
falta de políticas de acceso a datos en la capa de datos
incluyen la monitorización de acceso a datos, configuración una investigación exhaustiva para identificar causas raíz,
acceso, investigación inicial para determinar la naturaleza
del incidente, recopilación de evidencia, evaluación del
impacto, identificación de causas raíz y documentación
detallada. Estas acciones son esenciales para comprender
la naturaleza del incidente, sus causas y su impacto en la
seguridad de los datos.
La corrección y erradicación de un incidente relacionado
con la falta de políticas de acceso a datos en la capa de
datos implican la implementación de políticas de acceso
claras, la revisión y actualización de permisos de acceso,
el establecimiento de procedimientos sólidos de respaldo,
la implementación de mejoras en políticas y controles,
capacitación del personal y monitorización continua para
prevenir futuros incidentes y fortalecer la seguridad de los
datos.
Las actividades posteriores a un incidente
para abordar un incidente relacionado con la falta
relacionado con la falta de políticas de acceso a
de políticas de acceso a datos en la capa de
datos en la capa de datos incluyen la revisión y
datos generalmente se refiere al equipo de
documentación del incidente, la identificación de
seguridad de la información de la organización,
lecciones aprendidas, la implementación de
encargado de supervisar y garantizar la
mejoras en políticas y procedimientos, la
implementación adecuada de medidas de
comunicación con partes interesadas, auditorías
seguridad y la respuesta a incidentes. Este equipo
y revisiones continuas, capacitación del
trabaja en colaboración con otros departamentos
personal, monitoreo constante y registro
y puede incluir al CISO o Gerente de Seguridad
documentado. Estas acciones buscan fortalecer
de la Información. Su función es garantizar la
la seguridad de la capa de datos y prevenir
seguridad de los datos y el cumplimiento de
futuros incidentes.
políticas y procedimientos de seguridad.

Las actividades posteriores a un incidente El ente de control en el contexto de la seguridad

La preparación para abordar un incidente relacionado con
la falta de políticas de encriptación de datos en la capa de La detección y análisis de un incidente relacionado con la
Utilizar técnicas de encriptación para proteger la
No se establecen
confidencialidad de los datos almacenados y
politicas de
transmitidos, especialmente en casos de
Encriptación de datos
información sensible o crítica.
datos implica identificar datos sensibles, desarrollar
políticas claras de encriptación, seleccionar métodos y
herramientas adecuados, implementar soluciones de
encriptación, gestionar claves de forma segura, capacitar
al personal, realizar auditorías y pruebas de seguridad,
revisar el cumplimiento normativo y mantener un
monitoreo constante para proteger la confidencialidad de análisis son pasos cruciales para comprender la naturaleza
los datos almacenados y transmitidos, especialmente los
datos sensibles o críticos.
relacionado con la falta de políticas de de la información es una entidad o grupo dentro
La contención de un incidente relacionado con la falta de
encriptación de datos en la capa de datos de una organización encargado de supervisar y
políticas de encriptación de datos en la capa de datos
falta de políticas de encriptación de datos en la capa de incluyen la revisión y documentación del garantizar el cumplimiento de políticas de
implica aislar el incidente, restaurar servicios críticos y
datos implican la monitorización de eventos de seguridad, incidente, la identificación de lecciones seguridad, así como coordinar la respuesta a
aplicar inmediatamente políticas de encriptación. La
configuración de alertas, auditorías de seguridad y una aprendidas, la implementación de mejoras en incidentes de seguridad. Puede tomar la forma de
erradicación se centra en eliminar amenazas, revisar y
investigación inicial. El análisis incluye la recopilación de políticas y procedimientos, la comunicación con un equipo de seguridad, un comité
mejorar políticas y procedimientos, realizar auditorías de
evidencia, evaluación del impacto, identificación de causas partes interesadas, auditorías y revisiones interdepartamental, un departamento de
seguridad, proporcionar capacitación y establecer un
raíz y notificación a las partes interesadas. La detección y continuas de seguridad, capacitación del cumplimiento y auditoría, el consejo directivo o
monitoreo continuo. Estas acciones buscan detener el
personal, monitoreo constante y registro una entidad reguladora externa. Su función
incidente, eliminar sus causas y fortalecer la seguridad de
del incidente y tomar medidas correctivas efectivas. documentado. Estas acciones buscan fortalecer principal es asegurar la seguridad de la
los datos.
la seguridad de los datos y prevenir futuros información y la gestión efectiva de incidentes de
incidentes similares seguridad.

CAPA DE NUBE

La capa de nube se refiere a los servicios y recursos de computación basados en la nube, donde los datos y las aplicaciones se almacenan y se accede a ellos a través de internet. La seguridad en esta capa implica proteger los datos y aplicaciones en la nube mediante el uso de medidas como la autenticación y autorización adecuadas, el cifrado de
datos, el monitoreo de actividades sospechosas y la implementación de políticas de seguridad en la nube.

TIPO DE INSIDENTE DESCRIPCIÓN PREPARACIÓN DETECCIÓN Y ANÁLISIS CONTENCIÓN ERRADICACIÓN ACTIVIDAD POST INCIDENTE ENTE DE CONTROL

El ente de control en la seguridad de la

información y la evaluación de proveedores de
La preparación para abordar un incidente relacionado con La detección y análisis de un incidente relacionado con la
servicios en la nube es una entidad interna o
la evaluación de proveedores de servicios en la nube, que evaluación de proveedores de servicios en la nube implican La contención de un incidente relacionado con la Las actividades posteriores a un incidente externa encargada de supervisar y garantizar el
carecen de seguridad adecuada o son costosos, implica monitorear de manera continua, registrar eventos evaluación de proveedores de servicios en la nube implica relacionado con la evaluación de proveedores de
Evaluación de Realizar una evaluación exhaustiva de los cumplimiento de las políticas de seguridad, así
pasos como una evaluación exhaustiva inicial de los relevantes y configurar alertas. Cuando se detecta un aislar y restaurar la seguridad de los datos y aplicaciones servicios en la nube incluyen la evaluación de
proveedores son proveedores de servicios en la nube, verificando como de gestionar riesgos. Puede tomar diversas
proveedores, análisis de riesgos, establecimiento de problema, se inicia una investigación que incluye la afectados, mientras que la erradicación implica identificar daños, la preparación de un informe detallado, la
servicios, sin sus políticas de seguridad, cumplimiento formas, como un departamento de seguridad, un
políticas y SLAs, evaluación continua, planificación de recopilación de datos, la evaluación del impacto, la las causas raíz, corregir problemas subyacentes, revisar identificación de lecciones aprendidas, la
seguridad, normativo y medidas de protección de datos comité de cumplimiento, auditores internos o
alternativas y respaldo, capacitación del personal, identificación de causas, la notificación a partes contratos y procedimientos, proporcionar capacitación y reevaluación de proveedores, la mejora de
defectuosos o antes de confiarles la información de la reguladores externos. Su función principal es
monitoreo constante y un plan de respuesta a incidentes. interesadas, la evaluación de responsabilidad y la realizar auditorías continuas. Estas acciones buscan políticas y procedimientos, la capacitación
supremamente costos empresa. asegurar el cumplimiento de las políticas de
Estas medidas buscan garantizar la seguridad de los elaboración de un plan de acción. Estos pasos son abordar el incidente y prevenir futuros problemas con continua del personal, la revisión de contratos, la seguridad, coordinar la respuesta a incidentes y
datos y aplicaciones en la nube y evitar problemas esenciales para comprender y abordar el incidente de proveedores de servicios en la nube. realización de auditorías y revisiones periódicas, promover la mejora continua de la seguridad en la
relacionados con la elección de proveedores. manera efectiva. y el mantenimiento de un registro documentado evaluación de proveedores de servicios en la
de todas las acciones tomadas. Estas acciones nube y otros aspectos relacionados con la
tienen como objetivo fortalecer la seguridad y seguridad de la información.
prevenir futuros incidentes similares.

Las actividades posteriores a un incidente de

Prepararse para un incidente relacionado con una mala
configuración en la seguridad de la cuenta en la nube
Implementar medidas de seguridad robustas
implica establecer políticas, formación y herramientas de
Mala configuración en para las cuentas en la nube, como autenticación
seguridad adecuadas, realizar auditorías regulares,
la Seguridad de la multifactor, monitoreo de actividad sospechosa y
desarrollar un plan de respuesta y mantener una
cuenta gestión de permisos de acceso a los recursos en
monitorización constante. El objetivo es minimizar riesgos
la nube.
y garantizar la seguridad de los datos en la nube ante
posibles errores de configuración.
La contención y erradicación de un incidente de mala
La detección y análisis de un incidente de mala
configuración en la seguridad de la cuenta en la nube
configuración en la seguridad de la cuenta en la nube se
implican aislar y corregir la configuración errónea, aplicar
basan en un monitoreo continuo de actividades, alertas
parches de seguridad, cambiar contraseñas
automáticas y registros de eventos. En el análisis, se
comprometidas y luego llevar a cabo una investigación
investiga la naturaleza y el alcance del incidente, se
exhaustiva para identificar las causas raíz. Esto se
recopila evidencia, se evalúa el impacto, se identifican las
complementa con la revisión y mejora de políticas de
causas raíz, se notifica a las partes interesadas y se
seguridad, gestión de permisos más rigurosa, capacitación
implementa un plan de respuesta. La finalidad es
continua del personal y un enfoque proactivo en la
comprender y abordar eficazmente el incidente, así como
monitorización para prevenir futuros errores de
aprender de la experiencia para fortalecer las políticas y
configuración y mantener la seguridad de la cuenta en la
procedimientos de seguridad en la nube.
nube.
mala configuración en la seguridad de la cuenta
en la nube incluyen la evaluación de daños y la
El ente de control en seguridad en la nube suele
documentación detallada del incidente,
ser el equipo de seguridad de la organización,
identificando causas raíz y lecciones aprendidas.
junto con la alta dirección, encargado de
Se enfoca en la mejora de políticas y
supervisar y asegurar el cumplimiento de políticas
procedimientos de seguridad, la reevaluación de
y procedimientos de seguridad. También pueden
proveedores, la capacitación continua del
existir reguladores y entidades gubernamentales
personal y la revisión de contratos para fortalecer
relevantes en función de las regulaciones
la seguridad. También se realizan auditorías
específicas de la industria o jurisdicción.
periódicas y se mantiene un registro de todas las
acciones tomadas, con el propósito de prevenir
futuros errores de configuración y garantizar la
seguridad en la nube.

CONCLUSIÓN

Es fundamental para proteger los activos y la información de una empresa. Las medidas de seguridad en las capas física, de aplicación, de red, de datos y de nube son cruciales para mantener un entorno seguro y protegerse contra amenazas externas e internas. La implementación de estas medidas, junto con la concientización y la capacitación del
personal, contribuirá a minimizar los riesgos y garantizar la continuidad del negocio. Es importante revisar y actualizar regularmente el plan de seguridad informática para adaptarse a las nuevas amenazas y tecnologías emergentes.
 EVALUACIÓN, VALORACIÓN CLASIFICACIÓN
Gestionar los eventos de seguridad de la información para detectar y tratar con eficiencia, en particular identificar si es necesario o no clasificarlos como incidentes de seguridad de la información.
Permitir identificar los incidentes de seguridad de la información para ser evaluados y dar respuesta de la manera más eficiente y adecuada.
Minimizar los impactos adversos de los incidentes en la organización y sus operaciones de negocios mediante las salvaguardas adecuadas como parte de la respuesta a tal incidente.
Objetivos Consolidar las lecciones aprendidas que dejan los incidentes de seguridad de la información y su gestión para aprender rápidamente. Esto tiene como objeto incrementar las oportunidades de prevenir la ocurrencia de futuros incidentes, mejorar la implementación y el uso de las salvaguardas y mejorar el esquema global de la gestión de incidentes de seguridad de la información.
Definir los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de los incidentes de seguridad de la información, a través de una base de conocimiento y registro de incidentes y a través de los indicadores del sistema de gestión de seguridad de la información.
Definir los procedimientos formales de reporte y escalada de los incidentes de seguridad.
Establecer variables de posible riesgo, en efecto, es la posible valoración de aspectos sensibles en los sistemas de información.
Clasificación De Incidentes Priorización De Los Incidentes Y Tiempos De Respuesta
Capa EVALUACIÓN De Seguridad De La ERRADICACIÓN CONTENCIÓN Y/O RECUPERACION PLAN DE SENCIBILIZACIÓN ANALISIS FORENCE USUARIO SENCIBILIZADO ROL DEL DOCUMENTO ATENCIÓN REALIZADA POR
TIPO DE INSIDENTE DESCRIPCIÓN Información CRITICIDAD DEL SISTEMA IMPACTO ACTUAL IMPACTO FUTURO NIVEL DE PRIORIDAD
El primer paso es detectar y notificar el incidente de
acceso no autorizado. Esto puede hacerse a través
de sistemas de monitoreo, alertas de seguridad,
Que las personas que no esten autorizadas Identifica quiénes son los empleados y usuarios que informes de usuarios u otras fuentes.
Alto impacto encuentren la manera de entrar a esos necesitan ser sensibilizados en relación con el Es esencial preservar la evidencia digital para evitar
espacios y que roben informacion o objetos incidente de acceso no autorizado. Esto puede incluir cualquier alteración o destrucción accidental. Esto
de ese lugar, tambien puede ser que las a todo el personal de la organización o solo a aquellos implica tomar medidas para aislar el sistema Un experto en la seguridad
Acceso no autorizado a áreas personas que esten autorizadas a entrar sean que estén directamente relacionados con las áreas comprometido y garantizar que nadie más tenga como un Agente Primer
Acceso físico restringido sensibles Acceso no autorizado 0.75 0.75 0.75 7.5 Nivel Alto desleales con la empresa. sensibles afectadas. acceso a él. Punto de Contacto Administrador del Sistema Nicolas Parra Machado
Es importante contar con sistemas de
detección de interrupciones eléctricas, como
sensores de caídas de voltaje o monitoreo de
la calidad de la energía, para detectar el Se realiza un análisis detallado para determinar la
problema tan pronto como sea posible. causa raíz de la interrupción eléctrica. Esto podría
Una vez que la interrupción eléctrica haya sido incluir la revisión de registros de energía para
Alto impacto Establecer un sistema de comunicación eficiente para identificar fallos en el suministro eléctrico, la revisión
contenida y se haya identificado la causa, se
debe trabajar en la restauración de la energía notificar a los empleados sobre la interrupción de registros de eventos del sistema para detectar
fisica eléctrica. Esto puede implicar la reparación de
equipos dañados, la reconfiguración de
eléctrica, sus causas y la duración estimada. Esto
podría incluir el uso de mensajes de correo
actividad inusual antes y después de la interrupción, y
la búsqueda de evidencia de intrusiones o ataques
No se tiene un Respaldo de No disponibilidad de los sistemas o la activación de generadores de electrónico, mensajes de texto, comunicados en el cibernéticos que pudieran haber contribuido al técnicos y administradores
energía Interrupción eléctrica recursos 0.75 0.75 0.75 7.5 Nivel Alto energía de respaldo si están disponibles. sitio web de la empresa, etc. incidente. de centros de datos Administrador del Sistema Nicolas Parra Machado

Determine quiénes son las personas que deben recibir

Seguridad del equipo físico
(posible robo)
Alto impacto
la sensibilización, incluyendo a todos los empleados,
contratistas y cualquier otra persona que tenga acceso
La contención se refiere a la acción de detener a los sistemas de TI de la organización. Realice una : Se busca evidencia digital que pueda ayudar a
la propagación del incidente y limitar su evaluación de riesgos para comprender las amenazas identificar al atacante o rastrear su origen. Esto puede
alcance. El objetivo principal es evitar que el específicas relacionadas con el acceso no autorizado incluir direcciones IP, registros de acceso, huellas
Acceso no autorizado a equipos atacante continúe comprometiendo más a equipos de TI y cómo podrían afectar a la digitales, malware o cualquier otro indicio que pueda
de TI Acceso no autorizado 0.75 0.75 0.75 7.5 Nivel Alto sistemas o datos. organización. llevar a la identificación. Administrador del Sistema Maria Jose Gutierrez Ruiz

EVALUACIÓN NIVEL DE PRIORIDAD

Nivel Prioridad = (Impacto
actual * 2,5) + (Impacto futuro *
2,5) + (Criticidad
Alto Impacto del Sistema * 5)
Medío Impacto
Bajo Impacto

Clasificación De Incidentes
De Seguridad De La
Información
Acceso no autorizado
Modificación de recursos no
autorizado:
Uso inapropiado de recursos
No disponibilidad de los recursos
Multicomponente
Otros:
Sombrero Negro (Black Hat): Representa a los hackers maliciosos o
criminales informáticos. Estos individuos realizan actividades ilegales con el
objetivo de obtener ganancias financieras, causar daño o robar información
confidencial.
Sombrero Blanco (White Hat): Estos son los "buenos chicos" de la
ciberseguridad. Son expertos en seguridad informática que trabajan para
proteger sistemas y redes. Su enfoque es ético y legal, y se dedican a
encontrar y corregir vulnerabilidades.
Sombrero Gris (Gray Hat): Los hackers con sombrero gris se encuentran
en un punto intermedio entre los sombreros negros y blancos. A menudo,
realizan actividades de hacking sin autorización, pero lo hacen con buenas
intenciones, como descubrir y reportar vulnerabilidades. A veces pueden
operar en una zona legalmente ambigua.
Sombrero Rojo (Red Hat): Los sombreros rojos se centran en las pruebas
de penetración y la identificación de vulnerabilidades. Su objetivo es ayudar
a las organizaciones a fortalecer su seguridad mediante la detección y
corrección proactiva de fallos de seguridad.
Sombrero Azul (Blue Hat): Este término se utiliza comúnmente en el
contexto de Microsoft / AWS y se refiere a individuos que realizan pruebas
de seguridad externas en productos o sistemas de Microsoft. Los
sombreros azules pueden ser empleados por la empresa o contratados
para evaluar la seguridad.
Sombrero Verde (Green Hat): Los sombreros verdes son aprendices o
principiantes en el mundo del hacking ético y la ciberseguridad. Están en
proceso de adquirir conocimientos y experiencia en el campo.