680202010-2 MANEJO DE INCIDENTES DE SEGURIDAD 2024-1

Actividad evaluativa 1: Elaboración de un procedimiento de Manejo de Incidentes de

Seguridad.

Por:

EQUIPO 3

Jimmy Osorio Alzate

Cristian Henao Peña

Docente:

Juan Grajales Puerta

Instituto Tecnológico Metropolitano-ITM

Medellín, Colombia

2024

1
 Procedimiento para el manejo de incidentes de seguridad

Código: 0001

Versión 01

Páginas
##

Fecha de elaboración
10-05-2024

Rev. No. MODIFICACION EFECTUADA FECHA

01 Creación de procedimiento para la gestión de incidentes 10-05-2024

de seguridad en la Cooperativa Financiera Incidentgest.
02 Parámetros en las definiciones. 11-05-2024

ÍTEM ELABORÓ REVISÓ APROBÓ

01 Cristian Alexander Henao Peña Jimmy Osorio Alzate Juan Grajales Puerta

02 Cristian Alexander Henao Peña Jimmy Osorio Alzate Juan Grajales Puerta

2
Contenido
Objetivo.............................................................................................................................. 4
Alcance .............................................................................................................................. 4
Definiciones ....................................................................................................................... 5
Generalidades .................................................................................................................... 7
Procedimiento de manejo de incidentes de seguridad .......................................................... 8
Diagrama de flujo.............................................................................................................. 11
Referencias ...................................................................................................................... 12

3
Objetivo

El objetivo del procedimiento de manejo de incidentes de ciberseguridad es establecer un

marco eficaz y eficiente para la detección, reporte, evaluación, respuesta y recuperación de
incidentes de seguridad de la información, asegurando la continuidad operativa y la protección
de los activos de información de la organización. Este procedimiento está alineado con las
normas y mejores prácticas establecidas en ISO 27001:2013, ISO 27002:2013 y NIST SP 800-
61 Rev 2, con el fin de minimizar el impacto de los incidentes y mejorar la capacidad de
respuesta ante futuras amenazas.

Objetivos Específicos:

• Garantizar que todos los incidentes de ciberseguridad sean detectados y reportados

de manera oportuna, permitiendo una respuesta inmediata para mitigar posibles
daños.
• Evaluar y clasificar los incidentes de acuerdo con su gravedad y potencial impacto en
la organización, priorizando la respuesta basada en la criticidad del incidente.
• Implementar acciones de respuesta apropiadas y documentadas para contener,
erradicar y recuperar los sistemas afectados por el incidente, reduciendo al mínimo el
tiempo de inactividad y la pérdida de datos.
• Asegurar una documentación completa y precisa de todos los incidentes y las
acciones tomadas, así como la comunicación efectiva entre todas las partes
interesadas relevantes.

Alcance

Este procedimiento aplica a toda la Cooperativa e incluye a todo el personal y sistemas

relacionados con la información, abarcando desde la detección hasta la recuperación
después del incidente, con comunicación y revisión continua para asegurar su efectividad y
cumplimiento normativo de acuerdo con la normatividad que aplica en temas de
Ciberseguridad.

4
Definiciones

Los siguientes términos con sus definiciones buscan establecer un entendimiento común y
consistente de los términos y procesos relacionados con el procedimiento de gestión de
incidentes de seguridad. Facilitan la comunicación efectiva y aseguran que todos los
involucrados en la gestión de incidentes trabajen con los mismos conceptos y criterios.

• Activos de Información: Son aquellos datos o información que tienen valor para una
organización.
• Activo Crítico: Instalaciones, sistemas, que, si es destruido, degradado o puesto
indisponible, afecte la confiablidad u operatividad del sistema
• Amenaza: Persona, cosa o situación que explota una vulnerabilidad causando la
materialización de un riesgo.
• Equipo de operación de eventos e incidentes de Ciberseguridad: Personas
encargadas de Administrar controles de Ciberseguridad y de realizar la atención de un
incidente.
• Incidente de Seguridad de la Información: Un Incidente de Seguridad de la
Información es la violación o amenaza inminente a la violación implícita o explícita de
una política de seguridad de la información. También es un incidente de seguridad un
evento que compromete la seguridad de un sistema (confidencialidad, integridad y
disponibilidad). Un incidente puede ser denunciado por los involucrados, o indicado
por un único o una serie de eventos de seguridad informática. [NIST800-61, ISO 18044].
Como ejemplos de incidentes de seguridad podemos enumerar:

o Acceso no autorizado.
o Robo de contraseñas.
o Robo de información.
o Denegación de servicio.

• Incidente de Ciberseguridad: Es indicado por un único o una serie de eventos

indeseados o inesperados de ciberseguridad que tienen una probabilidad significativa
de comprometer la operación de la infraestructura.
• Informática forense: Práctica de reunir, conservar y analizar los datos relacionados
con la informática para fines de investigación de tal manera que se mantenga la
integridad de los datos.
• Líder de respuesta a eventos e incidentes: Persona que dirige el equipo de respuesta
a incidentes durante la atención de un incidente, responsable de los procedimientos
de respuesta y herramientas del proceso.
• MINTIC: Ministerio de Tecnologías de la Información y Comunicaciones.
• NIST: por sus siglas en ingles National Institute of Standards and Technology, Instituto
Nacional de Estándares y Tecnología, por ejemplo: SP 80062-2.

5
• ISO: por sus siglas en ingles Organization for Standardization, La Organización
Internacional de Normalización es una organización para la creación de estándares
internacionales compuesta por diversas organizaciones nacionales de normalización.
Fundada el 23 de febrero de 1947, la organización promueve el uso de estándares
privativos, industriales y comerciales a nivel mundial. International.
• Ciberincidente: Cualquier incidente de seguridad que involucre sistemas de
información y que resulte en un acceso no autorizado, uso, divulgación, alteración o
destrucción de información.
• Evento de Seguridad: Identificación de una ocurrencia en un sistema, servicio o red
que indica una posible violación de la política de seguridad o un fallo de controles, o
una situación previamente desconocida que puede ser relevante para la seguridad.
• Respuesta a Incidentes: Acciones organizadas y planificadas que se llevan a cabo
para abordar y gestionar las consecuencias inmediatas de un incidente de seguridad
de la información, minimizando su impacto.
• Contención: Proceso de limitar el alcance de un incidente de seguridad de la
información para evitar que se propague y cause más daño.
• Erradicación: Proceso de eliminar completamente la causa raíz de un incidente de
seguridad de la información para asegurarse de que no se repita.
• Recuperación: Proceso de restaurar y validar los sistemas y servicios afectados para
devolverlos a su estado operativo normal.
• Evaluación post-Incidente: Revisión detallada realizada después de la resolución de
un incidente para identificar lecciones aprendidas y mejorar los procedimientos y
controles de seguridad.
• Equipo de Respuesta a Incidentes de Seguridad (CSIRT): Grupo de personas
responsables de recibir, analizar y responder a notificaciones y actividades
relacionadas con incidentes de seguridad de la información.
• Plan de Respuesta a Incidentes: Documento que define los roles, responsabilidades,
procesos y procedimientos que deben seguirse para gestionar y mitigar los impactos
de un incidente de seguridad de la información.
• Notificación de Incidentes: Proceso de informar a las partes relevantes, tanto
internas como externas, sobre la ocurrencia y el estado de un incidente de seguridad
de la información.
• Amenaza: Potencial causa de un incidente no deseado, que puede resultar en daño a
un sistema o la organización.
• Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por
una o más amenazas.
• Impacto: Consecuencia potencial o real de un incidente de seguridad de la
información, medido en términos de pérdida financiera, daño a la reputación,
interrupción de operaciones, etc.
• Escalación de Incidentes: Proceso de elevar la atención y recursos disponibles para
manejar un incidente de seguridad de la información según su gravedad y complejidad.
• Registro de Incidentes: Documento o base de datos que contiene todos los detalles
relevantes de los incidentes de seguridad de la información, incluidas las acciones
tomadas y las lecciones aprendidas.

6
 • Severidad del Incidente: Nivel de impacto o gravedad de un incidente de seguridad de
la información en términos de confidencialidad, integridad y disponibilidad de la
información.

Generalidades

Las amenazas cibernéticas evolucionan continuamente, volviéndose cada vez más diversas y
sofisticadas, con los atacantes centrándose en actividades de cibercriminalidad y
ciberterrorismo. Aunque las actividades preventivas basadas en evaluaciones de riesgo
pueden reducir el número de incidentes, no todos pueden ser prevenidos. Por ello, en el marco
de una estrategia de seguridad y ciberseguridad actualizada, es crucial contar con una
capacidad de respuesta a incidentes adecuada. Esto permite la detección rápida de
incidentes, minimizando su impacto en el negocio, mitigando vulnerabilidades, cerrando
brechas de ciberseguridad y planificando la restauración rápida de los servicios afectados por
el ataque.

Dado lo anterior, es imperativo establecer un procedimiento de respuesta a incidentes de

seguridad de la información y ciberseguridad, basado en las mejores prácticas y directrices
establecidas en la guía para la gestión y clasificación de incidentes de seguridad de la
información del MINTIC ([Link]
5482_G21_Gestion_Incidentes.pdf), así como en las normas ISO 27035 y NIST SP 800-61 rev 2.

El procedimiento de respuesta a incidentes comprende varias fases

1. Detección y reporte del incidente.

2. Clasificación y priorización.
3. Notificación y escalamiento.
4. Contención.
5. Erradicación.
6. Recuperación.
7. Comunicación y notificación.
8. Revisión Post-Incidente.
9. Mejora Continua.

7
Procedimiento de manejo de incidentes de seguridad

Diagrama del Procedimiento de manejo de incidentes de seguridad.

(Elaboración propia)

8
1. Detección y reporte del incidente

• Actividad: Identificación de posibles incidentes a través de herramientas de monitoreo

y recibir reportes de usuarios indicando amenazas.
• Responsable: Todo el personal (para reportes), equipo de soporte de Ciberseguridad,
Técnico de Soporte de Ciberseguridad.

2. Clasificación y priorización

• Actividad: Evaluar la naturaleza y el impacto del incidente para clasificarlo según su

criticidad (ver matriz de clasificación de incidentes Cooperativa Financiera
Incidentgest).
• Responsable: Analista de Ciberseguridad de Primer Nivel (Matriz de roles Cooperativa
Financiera Incidentgest).
• Criterios: Impacto, urgencia, alcance (ver matriz de clasificación de incidentes
Cooperativa Financiera Incidentgest).

3. Notificación y escalamiento

• Actividad: Informar a las partes interesadas pertinentes y escalar el incidente según la

criticidad.
• Responsable: Analista de Ciberseguridad de Primer Nivel, Gerente de Ciberseguridad.
• Destinatarios: Gerente de Ciberseguridad, CISO, alta dirección (para incidentes
críticos).

4. Contención

• Actividad: Implementar medidas para limitar la propagación y el impacto del

incidente.
• Responsable: Equipo de Respuesta a Incidentes de Ciberseguridad.
• Medidas: Aislamiento de sistemas afectados, cambios de contraseñas, bloqueo de
accesos.

5. Erradicación

• Actividad: Identificar y eliminar la causa raíz del incidente.

• Responsable: Equipo de Respuesta a Incidentes de Ciberseguridad.
• Acciones: Eliminación de malware, parches de vulnerabilidades, eliminación de
cuentas comprometidas.

9
6. Recuperación

• Actividad: Restaurar y validar los sistemas afectados para volver a la normalidad.

• Responsable: Equipo de Respuesta a Incidentes de Ciberseguridad.
• Tareas: Restauración de datos, pruebas de funcionalidad, monitoreo post-incidente.

7. Comunicación y notificación

• Actividad: Informar a las partes interesadas internas y externas sobre el incidente y

las medidas tomadas.
• Responsable: CISO, Equipo de Relaciones Públicas.
• Destinatarios: Clientes afectados, autoridades regulatorias, socios comerciales.

8. Revisión Post-Incidente

• Actividad: Evaluar la respuesta al incidente y documentar lecciones aprendidas.

• Responsable: CISO, con el equipo de ciberseguridad.
• Acciones: Reunión de revisión, informe post-incidente, actualización de políticas.

9. Mejora Continua

• Actividad: Implementar mejoras en los procedimientos y herramientas de seguridad

basadas en las lecciones aprendidas.
• Responsable: CISO, Gerente de Ciberseguridad.
• Medidas: Actualización de políticas de seguridad, capacitación del personal, mejoras
en herramientas de detección.

10
Diagrama de flujo

11
Referencias

• [Link]
• [Link]
•

• CCN-Cert (2020). CCN-STIC-817 Gestión de Ciberincidentes. [Link]

[Link]/series-ccnstic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-
[Link]

• ENISA (2006). CSIRT Setting up Guide in English.

[Link]

• FIRST [Link]

• Incident Response. Playbook [Link]

12