Procedimiento para la

Gestión de Incidentes
Nº edición: 01 Revisión: 01

Logo
“LA INSTITUCIÓN
MEXICANA
FINANCIERA”

Cuadro de Control de Documento

Título: Procedimiento para la Gestión de Incidentes
Tipo de documento: Procedimiento
Nombre del Fichero: PGI – Procedimiento para la Gestión de Incidentes
Clasificación: Uso privado
Autor: “LA INSTITUCION MEXICANA FINANCIERA”
Índice
1. Objetivo
2. Alcance
3. Disposiciones generales
4. Definiciones
5. Procedimiento para la Gestión de Incidentes
6. Control de cambios
 1. Objetivo

Detectar, reportar, controlar, monitorear y responder de manera oportuna y apropiada ante la

ocurrencia de un evento y/o incidente de seguridad de la información presentados en la
Institución Mexicana Financiera.

2. Alcance

Aplica al personal interno, proveedores y terceros con acceso autorizado a los recursos
tecnológicos y activos de información de la Institución Mexicana Financiera. La gestión de
incidentes de seguridad de la información está compuesta por etapas, iniciando con la
preparación ante un incidente de seguridad, seguido de las etapas de detección, contención,
erradicación, recuperación del incidente de seguridad de la información, y finaliza con las
lecciones aprendidas.

3. Disposiciones generales

Nivel del Incidente: Considerando la criticidad de la información y la protección de los activos

que la soportan, la respuesta a incidentes de seguridad se consolida como una herramienta
estratégica que permite a la Institución Financiera Mexicana, no solo estar en la capacidad de
dar respuesta oportuna a incidentes de seguridad, sino también detectar, evaluar y gestionar
las vulnerabilidades de la plataforma tecnológica que soporta la operación informática, de los
sistemas de información misional, de gestión administrativa y de apoyo, y principalmente de los
medios que alojan los activos de información de la Institución.

La severidad del incidente puede ser:

● Alto Impacto: El incidente de seguridad afecta a activos de información considerados

de impacto catastrófico y mayor que influyen directamente a los objetivos misionales de

la Institución. Se incluyen en esta categoría aquellos incidentes que afecten la
reputación y el buen nombre o involucren aspectos legales. Estos incidentes deben
tener respuesta inmediata.

● Medio Impacto: El incidente de seguridad afecta a activos de información considerados

de impacto moderado que influyen directamente a los objetivos de un proceso

determinado.
 ● Bajo Impacto: El incidente de seguridad afecta a activos de información considerados

de impacto menor e insignificante, que no influyen en ningún objetivo. Estos incidentes

deben ser monitoreados con el fin de evitar un cambio en el impacto.

La clasificación del Incidente está sujeta a la infraestructura, riesgos y criticidad de los activos:

● Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código

malicioso o que obtiene acceso lógico o físico sin autorización adecuada del dueño a un
sistema, aplicación, información o un activo de información.

● Modificación de recursos no autorizado: Un incidente que involucra a una persona,

sistema o código malicioso que afecta la integridad de la información o de un sistema de

procesamiento.

● Uso inapropiado de recursos: Un incidente que involucra a una persona que viola

alguna política de uso de recursos.

● No disponibilidad de los recursos: Un incidente que involucra a una persona, sistema o

código malicioso que impide el uso autorizado de un activo de información.

● Multicomponente: Un incidente que involucra más de una categoría anteriormente

mencionada.

● Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores.

Este tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear
nuevas categorías.

En los casos que se sospechen de Fuga de Información por parte de personal interno,
proveedores y terceros con acceso autorizado a los recursos tecnológicos y activos de
información de la Institución Mexicana Financiera se debe realizar las siguientes acciones:

● Detectar el Incidente de seguridad

● Confirmar el Incidente de Seguridad (Realizar investigación del incidente que involucra

a la persona)

● El usuario es Inactivado inmediatamente, restringiendo el acceso a los servicios.

 ● Una vez se determine si se presentó el incidente de seguridad se inhabilita el usuario,

de lo contrario se reactiva el Usuario.

Se considera como incidente de Seguridad de Información, cualquier situación que atenta

contra la confidencialidad, integridad y disponibilidad de la información, algunos casos pueden
ser:

o Daño o pérdida de información.

o Modificación no autorizada de la información.
o Suplantación de identidad.
o Acceso no autorizado.
o Pérdida o alteración de registros de base de datos.
o Pérdida de un activo de información.
o Presencia de código malicioso “malware, Ransomware”.
o Incumplimiento de las políticas de seguridad de la información * Violación a Políticas de
Seguridad de la Información.
o Denegación al Servicio.
o Fallas de Infraestructura Tecnológica que afecte los principios fundamentales de
seguridad.

4. Definiciones

Activo de información: Es todo aquello que representa valor para la Entidad desde software,
hardware, información, servicios y personas.

Amenaza: Posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un
daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad
Informática.

Seguridad de la información: Se refiere a la protección de la confidencialidad, integridad y

disponibilidad de la información, mediante la definición de estrategias, políticas y lineamientos.
Confidencialidad: Propiedad de la información que la hace no disponible, es decir, divulgada a
individuos, entidades o procesos no autorizados.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera un

individuo, entidad o procesos autorizados.

Evento de seguridad de la información: Se refiere a algo que pueda afectar los niveles de
riesgo, sin afectar de forma necesaria al negocio o a la información.

Incidentes Seguridad de la información: Es un evento adverso que atenta contra los principios
fundamentales de la seguridad como son: la disponibilidad, confidencialidad e integridad, así
mismo es alguna violación o inminente amenaza de violación de una política de seguridad de la
información.

Integridad: Propiedad de la información relativa a su exactitud y completitud.

Mesa de Servicios: Es un conjunto de servicios que ofrece la posibilidad de gestionar y

solucionar todas las posibles incidencias de manera integral, junto con la atención de
requerimientos relacionados con las TIC’s (Tecnologías de Información y Comunicaciones).

Riesgo de seguridad de informática: Es un proceso que comprende la identificación de activos

informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como su
probabilidad de ocurrencia y el impacto de estas, a fin de determinar los controles adecuados
para aceptar, disminuir, transferir o eliminar.

Vulnerabilidad: Debilidad de los sistemas, ya sean equipos de cómputo, servidores, tanto

hardware como software, sistema operativo, sistemas de información, aplicaciones, redes, base
de datos, etc., que puede ser utilizados o aprovechados por delincuentes informáticos, con el
fin de ocasionar daño o extraer información confidencial y datos personales.

5. Procedimiento para la Gestión de Incidentes

No. Descripcion General Responsable Tiempo Registro

1 Reportar posible incidente de seguridad. Promotores/ Cuando se Herramienta

Clientes/ presente un Mesa de
 Usuarios incidente de Servicios –
Se debe reportar el posible incidente de seguridad de la información a la seguridad. Ticket.
herramienta mesa de servicios, cualquier situación que atenta contra la
confidencialidad, integridad y disponibilidad de la información.

Nota: En algunos casos la identificación de un Incidente se obtiene a través

de herramientas de auditoria para infraestructura tecnológica, que de igual
manera se reportará en la herramienta mesa de servicios.

2 Evaluar incidente de seguridad Analista Nivel Una vez se Herramienta

1 / Analista evalúe el Mesa de
Evaluación interna que permita determinar si el caso corresponde a un Nivel 2. incidente de Servicios –
incidente de seguridad de la Información de acuerdo con la siguiente lista seguridad. Ticket.
no exhaustiva, para posteriormente realizar el correspondiente
escalamiento:

● Daño o pérdida de información.

● Modificación no autorizada de la información.

● Suplantación de identidad.

● Acceso no autorizado.

● Pérdida o alteración de registros de base de datos.

● Pérdida de un activo de información.

● Presencia de código malicioso “Malware, Ransomware”

● Incumplimiento de las políticas de seguridad de la información.

● Denegación al Servicio.

● Fallas de Infraestructura Tecnológica que afecte los principios

fundamentales de seguridad.

i¿El caso es un incidente de seguridad de información?

Si: Continua con la actividad 3
No: Iniciar procedimiento Gestión de Incidentes

Nota 1: En el evento de presentarse alguna falla, circunstancia o hecho que

pueda afectar la operación de los sistemas de información o infraestructura
Tecnológica dispuesta para el manejo y automatización de la información
de las convocatorias, se debe informar de manera inmediata de tal situación
a la Oficina de Seguridad de la Información, para que en articulación con el
área técnica que corresponda se determine las acciones a seguir.

Nota 2: En algunos casos la evaluación del incidente de seguridad lo puede

realizar el analista de nivel 2.

3 Escalar incidente para su análisis y clasificación Analista Nivel Una vez se Herramienta
1. identifique Mesa de
como Servicios –
 Realizar el escalamiento del incidente de seguridad al Profesional de la incidente de Ticket.
Oficina de Tecnologías y Sistemas de Información que apoya la gestión de seguridad
incidentes de seguridad de la información, para su análisis y clasificación. de
información.

4 Analizar e identificar el incidente de seguridad de la información. Analista Nivel Una vez Informe de
2. cuando es Incidente de
Se realiza el análisis y clasificación del incidente, con el fin de identificar la escalado el Seguridad.
causa o causas que dieron origen al incidente de seguridad, dependiendo incidente.
de la información afectada y la ubicación de los activos involucrados.

i¿Es realmente un incidente de seguridad de la Información?

Si: Pasa a la actividad 5.
No: Se devuelve a la mesa de servicio para su reasignación, activando el
procedimiento Gestión de Incidentes y finaliza el procedimiento.

5 Contener incidente de seguridad. Analista Nivel Depende de Informe de

2 la severidad Incidente de
Se realizará todas aquellas tareas necesarias con el fin de contener el /Responsables del Seguridad.
incidente de seguridad y así minimizar su impacto. del incidente. incidente.

i¿Se logró contener el incidente de seguridad?

Si: Continua a la actividad 6.
No: Devuelve a la actividad 4.

6 Erradicar el incidente de seguridad de la información. Analista Nivel Depende de Informe de

2 la severidad Incidente de
Se realizarán todas aquellas tareas necesarias con el fin de erradicar la /Responsables del Seguridad.
causa raíz detectada. del incidente. incidente.

i¿Se logró erradicar el incidente de seguridad?

Si: Continua a la actividad 7.
No: Devuelve a la actividad 4.

7 Solucionar el incidente de seguridad. Analista Nivel Depende de Informe de

2 la severidad Incidente de
Se realizará todas aquellas tareas necesarias con el fin de solucionarlo. /Responsables del Seguridad.
del incidente. incidente.
i¿Se logró solucionar el incidente de seguridad?
Si: Continua a la actividad 8.
No: Iniciar procedimiento de Gestión de problemas.

8 Identificar las evidencias del incidente de seguridad. Analista Nivel Una vez Informe de
2 solucionado Incidente de
Recopilar y organizar las evidencias producto de la investigación del /Responsables el incidente. Seguridad.
incidente de seguridad. Una vez se recolectan las evidencias, se inicia el del incidente.
análisis de estas, para determinar el origen y responsables del incidente.

Nota: Proteger las evidencias.

9 Documentar Lecciones Aprendidas del incidente de seguridad. Analista Nivel Una vez Informe de
2. solucionado Incidente de
Se documentan las lecciones aprendidas del incidente, con el fin de reflejar el incidente. Seguridad.
las nuevas amenazas, la mejora de la tecnología y las lecciones aprendidas
 después de un incidente.

Nota: Con base en la evidencia y documentación generada, se evalúa si la

situación presentada se debe informar a entes de control o autoridades
competentes.

10 Revisar y aprobar respuesta a incidentes de seguridad. Analista Nivel Una vez Informe de
2. solucionado Incidente de
El Informe de Incidente de Seguridad, es revisado y aprobado por los el incidente. Seguridad.
responsables que interactuaron durante la atención del incidente.

i¿Se aprueba el informe de incidente de seguridad?

Si: Fin del procedimiento.
No: Devuelve a la actividad 9.

Nota1: Los responsables del incidente varían dependiendo del incidente

presentado.

Nota2: La aprobación del informe se realiza por parte de cada uno de los
responsables que interactuaron en el incidente.

6. Control de Cambios

Versió Fecha Numerales Descripción de la modificación

n
01 18/11/2023 Todos Creación del documento.