gestión de incidentes de seguridad de la...

IU-SOP-01-01 GESTIÓN DE INCIDENTES DE

SEGURIDAD DE LA INFORMACIÓN

Vigencia: 27-11-09

PERTENECE AL PROCESO ADMINISTRACIÓN DEL RIESGO

CREDITICIO Y OPERATIVO DEL MARCROPROCESO SOPORTE

Versión: 1 INSTRUCTIVO DE USUARIO INFORMACIÓN INTERNA

Página 1 de 16

Este documento impreso se considera copia no controlada

Gestión de Incidentes de

Seguridad de la Información



Vigencia: 27-11-09




Página 2 de 16


Tabla de contenido

CARACTERISTICAS .............................................................................................................................................. 3

1 OBJETIVO ..................................................................................................................................................... 4

2 ALCANCE ...................................................................................................................................................... 4

3 ¿QUÉ ES LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN? .......................................... 4

4 METODOLOGÍA DE GESTIÓN DE INCIDENTES ............................................................................................. 4

5 PREPARACIÓN Y PREVENCIÓN .................................................................................................................... 5

5.1 ESTABLECIMIENTO DE PROCEDIMIENTOS DE GESTIÓN .................................................................................................................... 5 5.1.1 Categorización de incidentes ................................................................................................................................... 5 5.1.2 Clasificación de incidentes ....................................................................................................................................... 6

5.2 PREVENCIÓN....................................................................................................................................................................... 6

6 DETECCIÓN Y NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ................................ 7

6.1 DETECCIÓN DE INCIDENTES ..................................................................................................................................................... 7 6.1.1 Actividades desarrolladas para facilitar la detección de incidentes .......................................................................... 7

6.2 NOTIFICACIÓN DEL INCIDENTE ................................................................................................................................................. 8

7 ANÁLISIS PRELIMINAR ............................................................................................................................... 11

8 CONTENCIÓN ERRADICACIÓN Y RECUPERO.............................................................................................. 12

9 INVESTIGACIÓN ......................................................................................................................................... 13

9.1 RECOLECCIÓN DE DATOS ...................................................................................................................................................... 13 9.2 RECOLECCIÓN DE EVIDENCIA ................................................................................................................................................. 13 9.3 ACTIVIDADES POSTERIORES .................................................................................................................................................. 14

10 INTEGRACIÓN DE LA GESTIÓN DE INCIDENTES CON EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................................................................................................................................. 15

CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS ................................................................................... 16



Vigencia: 27-11-09




Página 3 de 16


CARACTERISTICAS

OBJETO Definir la metodología de gestión de incidentes de seguridad de la información

ALCANCE Este instructivo aplica para la gestión de incidentes de seguridad de la información de Leasing

Bolívar a nivel nacional.

DUEÑO Todos los Jefes de las Áreas y Dueños de Procesos

SOFTWARE Y

HARDWARE N/A



Vigencia: 27-11-09




Página 4 de 16


GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Objetivo

La frecuencia creciente de incidentes de seguridad de la información, rapidez de propagación e impacto hacen necesaria la

definición e implantación de buenas prácticas de gestión de incidentes políticas, recursos y procedimientos de seguridad

específicos.

El objetivo de este documento es establecer la metodología y procedimientos de gestión de incidentes de

seguridad de la información para Leasing Bolívar.

Alcance

Este documento aplica a los incidentes de seguridad de la información presentados en la compañía a nivel

nacional.

1 ¿Qué es la gestión de incidentes de seguridad de la información? Consiste en la asignación oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir,

detectar y corregir incidentes que afectan la seguridad de la información.

Algunos beneficios de la gestión de incidentes son:

Responder de modo sistemático ante incidentes. Adoptar medidas de respuesta adecuadas a cada incidente

Favorecer la continuidad del negocio ante incidentes de seguridad con objeto de minimizar los impactos en la empresa.

Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes.

Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor

gestión de riesgos y futuros incidentes.

2 Metodología de Gestión de Incidentes La gestión de incidentes de seguridad de la información en Leasing Bolívar, se desarrolla a través de una serie de

etapas, que tienen como fin último generar información útil para la toma de decisiones basadas en hechos

históricos, que ayuden a mejorar la estrategia de seguridad de la información:

Figura 1 Metodología de gestión de incidentes de seguridad de la información



Vigencia: 27-11-09




Página 5 de 16


3 Preparación y prevención

En esta etapa del proceso ocurre el establecimiento de la capacidad de respuesta a incidentes, es decir se disponen los

elementos necesarios para registrar y clasificar correctamente los incidentes de seguridad, de forma que en un futuro esta

información sea el insumo para desarrollar estrategias de prevención de nuevos incidentes.

3.1 Establecimiento de procedimientos de gestión

3.1.1 Categorización de incidentes

En Leasing Bolívar, existe un registro de eventos de riesgo operativo: en la categorización de estos eventos se

encuentran contemplados, adicionalmente, los posibles incidentes o eventos de seguridad de la información,

marcados en amarillo a continuación:

Fraude Interno

Actividades no autorizadas

Uso indebido de facultades y poderes

Divulgación de información privilegiada

Otras operaciones no autorizadas

Hurto y Fraude

Falsificación de documentos

Vulneración de sistemas de identificación y de seguridad

Desfalco y malversación

Uso y/o divulgación de información privilegiada

Espionaje industrial

Extorsión y soborno

Otros fraudes internos

Fraude Externo

Uso fraudulento de productos y servicios

Uso indebido por terceros

Mala utilización por el titular

Hurto y Fraude

Robos y atracos perpetrados contra la entidad

Uso fraudulento de títulos valores

Falsificación de documentos

Suplantación de personas

Estafas

Uso y/o divulgación de información privilegiada

Espionaje industrial

Extorsión y soborno

Secuestros y rescates

Contrabando

Seguridad Informática Utilización inadecuada de claves de acceso y/o niveles de autorización

Fraude a través de ordenador

Relaciones Laborales

Gestión de los recursos humanos

Deficiencias en la contratación

Huelgas

Despidos improcedentes

Admisión forzosa de personal externo



Vigencia: 27-11-09




Página 6 de 16


Retribución y beneficios sociales

Incumplimiento de la seguridad laboral

Multas y sanciones

Discriminación y acoso Difamación e invasión de la intimidad

Discriminación

Clientes

Actividades de asesoría Pérdidas por indemnización, sanciones

Defectos de los productos

Pérdidas por indemnización, sanciones

Prácticas comerciales impropias

Pérdidas por sanciones y reclamaciones

Incumplimiento de la normativa de la competencia

Discriminación

Dumping

Sobreprecios

Sobornos y comisiones ocultas

Blanqueo de Capitales

Venta engañosa y ocultación de riesgos

Tabla 1 Categorización de Eventos de Riesgo Operativo

Los incidentes se pueden originar y materializar de maneras muy distintas. Con la categorización de incidentes se busca

desarrollar procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto

previsible en la empresa

Con el objeto de permitir un análisis más sencillo de los incidentes presentados en la empresa se clasificaron las

posibles causas o factores de riesgo que pueden generar incidentes en las siguientes categorías:

Recurso Humano

Procesos

Tecnología

Infraestructura

Fraude externo

3.1.2 Clasificación de incidentes

Para hacer la clasificación de incidentes hay que tener en cuenta los recursos afectados y la criticidad de los

mismos y los efectos negativos generados por el incidente. La clasificación se realiza de acuerdo a la criticidad de

los activos de información afectados y a las consecuencias o pérdidas que genere el incidente así:

Generan pérdida y afecta el estado de pérdidas y ganancias

Generan pérdida y no afectan el estado de pérdidas y ganancias

No generan pérdida

3.2 Prevención



Vigencia: 27-11-09




Página 7 de 16


Leasing Bolívar para la gestión de incidentes de seguridad de la información prevee la disponibilidad de:

Personal (equipo, personas individuales) para la gestión de incidentes: gestores (Área de Riesgo operativo), técnicos (Área

de Sistemas)

Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración.

Informes de actividad considerada normal (“baseline”) de redes y sistemas que permitan detectar actividades anómalas.

4 Detección y notificación de Incidentes de Seguridad de la Información

4.1 Detección de incidentes La detección de incidentes de seguridad se puede hacer mediante advertencias (señal que indica la posible

ocurrencia de un incidente) e indicadores (señal de que un incidente ocurrió o está ocurriendo).

Algunas fuentes de advertencias e indicadores que Leasing Bolívar considera en su gestión de incidentes son:

Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de

monitorización de servicios.

Logs de sistemas operativos, dispositivos de red y aplicaciones.

Información pública: nuevas vulnerabilidades y “exploits”, sitios web y listas de correo de profesionales

donde se comparten experiencias de incidentes en distintas organizaciones.

Personal: Es responsabilidad de los funcionarios informar al Jefe cualquier evento de riesgo materializado o

posible incidente, una vez sea detectado durante el desarrollo de sus funciones.

4.1.1 Actividades desarrolladas para facilitar la detección de incidentes

Conocer el perfil y actividad de las redes y sistemas

Establecer las características de la actividad normal de las redes y sistemas de la empresa.

De este modo, se pueden detectar cambios que puedan ser indicadores o advertencias de incidentes.

Centralizar, correlacionar y conservar información de logs.

Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los

ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y

sistemas de detección o prevención de intrusiones. Correlacionar la información de logs.



Vigencia: 27-11-09




Página 8 de 16


4.2 Notificación del incidente

Figura 2 Proceso de Notificación de Incidentes de Seguridad de la Información

Es responsabilidad de todos los funcionarios de Leasing Bolívar reportar al área de Riesgo Operativo los

incidentes de seguridad de la Información que detecten en sus áreas de responsabilidad. Este reporte se

efectuará a través del siguiente formato:



Vigencia: 27-11-09




Página 9 de 16


Figura 3 Formato de Registro de Eventos de Riesgo Operativo

Fecha de reporte: Fecha en la que se realiza el reporte, debe ser el mismo día en que se descubre el evento. Este

campo es obligatorio.

Sucursal: Sucursal a la que pertenece el funcionario que está realizando el reporte. Este campo es obligatorio.



Vigencia: 27-11-09




Página 10 de 16


Canal o servicio de atención: Canal o medio de a través del cual se presta el servicio o se llega al cliente. Este

campo es obligatorio.

Consecutivo: Número asignado por la unidad de Riesgo Operativo, cada vez que reciba un reporte de evento de

riesgo. Este campo no debe diligenciarse por el funcionario.

Nombre del funcionario: Nombre de la persona que realiza el reporte. Este campo es obligatorio

Departamento: Departamento al cual pertenece el funcionario que hace el reporte. Este campo es obligatorio.

Cargo: Cargo del funcionario que realiza el reporte. Este campo es obligatorio.

Producto/Servicio afectado: Es el macroproceso afectado. Este campo no es obligatorio.

Proceso: Proceso al que pertenece el riesgo y el que se van a registrar. Este campo no es obligatorio.

Riesgo: Clasificación general de los riesgos detectados en cada proceso. Este campo no es obligatorio.

Descripción detallada del evento: Registro de la descripción detallada del evento o suceso de riesgo materializado.

Este campo es obligatorio.

Fecha inicio evento: Fecha en la que se inició el evento. Este campo es obligatorio

Descripcion fecha de inicio de evento: Descripción de la fecha en la que considera que se inicio el evento de

riesgo. Este campo es obligatorio

Fecha de finalización del evento: Fecha en la que finalizó el evento. Este campo es obligatorio.

Descripción de la fecha de finalización del evento: Descripción de la fecha en la que considera que finalizó el

evento de riesgo. Este campo es obligatorio

Fecha de descubrimiento del evento: Fecha en la que el funcionario registra que descubrió el evento. Este campo

es obligatorio

Descripción de la fecha de descubrimiento del evento: Descripción de la fecha en la que descubrió el evento de

riesgo. Este campo es obligatorio

Fecha de contabilización: Fecha en la que se contabiliza en las cuentas respectivas PUC la cuantía por perdida. Este

campo no es obligatorio

Cuentas PUC afectadas: Cuentas en las que se registran las pérdidas. Este campo no es obligatorio

Cuantía: Monto al que haciende la pérdida. Este campo no es obligatorio.



Vigencia: 27-11-09




Página 11 de 16


Descripción de la cuantía pérdida: Descripción detallada del monto de la pérdida. Este campo no es obligatorio.

Divisa: Moneda extranjera en la que se presenta la presenta el monto de perdida. Este campo es obligatorio.

Tipo de pérdida: Tipo de pérdida provocada por el evento de riesgo. Este campo es obligatorio y siempre debe

registrarse “Generan pérdida y afectan el P&G”.

Cuantía total recuperada: Monto total recuperado. Este campo no es obligatorio.

Fecha de recuperación: Fecha en la que se logra recuperar algo del monto perdido por el evento. Este campo no es

obligatorio.

Cuantía recuperada por seguros: Monto total recuperado por concepto de seguros. Este campo no es obligatorio.

Fecha de recuperación: Fecha en la que se logra recuperar total o parcialmente el monto asociado a la

materialización del evento de riesgo. Este campo no es obligatorio.

Línea de negocio: Línea operativa o de negocios a la cual pertenece el proceso afectado. Este campo no es

obligatorio.

Tipo de riesgo: Clase de evento al que pertenece el riesgo presentado. Este campo no es obligatorio.

Observaciones: Observaciones adicionales que desee realizar el funcionario después de haber enviado el reporte a

la unidad de riesgo. Este campo no es obligatorio.

Una vez un incidente ha sido detectado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las

personas adecuadas dentro y fuera de la empresa

5 Análisis preliminar

Cuando se reporta un evento de riesgo operativo que constituye un incidente de seguridad de la información el área de

Riesgo Operativo, con apoyo del Área de Sistemas o del Área de Recursos Humanos y Administrativos (Cuando aplique)

debe recolectar la siguiente información:

Alcance del incidente: Qué activos de información afecta (redes, sistemas, documentos y aplicaciones entre otros)

Qué originó el incidente

Cómo ocurrió (o está ocurriendo) el incidente – métodos, herramientas utilizadas, vulnerabilidades explotadas,

entre otras.

El impacto potencial en las actividades del organismo



Vigencia: 27-11-09




Página 12 de 16


Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de

gestión.

Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible

para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno

simultáneamente.

6 Contención Erradicación y Recupero

Figura 4 Tratamiento de Incidentes de Seguridad de la Información

Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa.

Puede ser necesario tomar decisiones como deshabilitar servicios, apagar sistemas ó desconectar equipos de la red antes

de que el impacto pueda extenderse a la empresa.

La empresa a través del análisis de riesgos determina los impactos previsibles para cada tipo de incidente y debe definir

estrategias de contención en función del nivel de riesgo considerado como aceptable. En esta etapa es muy recomendable

recolectar evidencia del incidente.

Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes

asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa. En las actividades de

erradicación se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren

adecuadas para resolver el incidente o prevenir futuras ocurrencias. Actividades habituales de erradicación pueden ser la

instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red.

Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups,



Vigencia: 27-11-09




Página 13 de 16


reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas

o reforzar el perímetro de la red revisando configuraciones de cortafuegos.

7 Investigación

Una vez el incidente haya sido tratado, el comité de seguridad de la información debe investigar de forma detallada y

rápida los eventos de riesgo que se detecten para realizar el seguimiento de las causas e implicaciones de dichos sucesos. El

comité debe obrar de forma imparcial y responsable durante la investigación que realice para identificar las causas y

registrar las consecuencias asociadas a los eventos de riesgo o incidentes detectados.

7.1 Recolección de datos Algunas fuentes de recolección de datos de incidentes son las siguientes:

INFORMACIÓN BASADA EN HOST

Live Data Collection

Ej.: Fecha y hora del sistema, aplicaciones corriendo en el sistema, conexiones de red establecidas, puertos abiertos,

aplicaciones escuchando en dichos puertos, estado de la placa de red

Forensic duplication

Ej.: Backups, archivos copiados recientemente, etc.

INFORMACIÓN BASADA EN LA RED

Ej.: Logs de IDSs, logs de monitoreo,

información recolectada mediante sniffers, logs

de routers, logs de firewalls, información de

servidores de autenticación

OTRA INFORMACIÓN

Ej.: Testimonio de personal

7.2 Recolección de evidencia

Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser

requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos,

equipos) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales.

Hay que tener en cuenta los siguientes aspectos en el momento de recolectar evidencia:

AUTENTICIDAD

Quien haya recolectado la evidencia debe poder probar que es auténtica

CADENA DE CUSTODIA

Debe existir un registro detallado del tratamiento de la evidencia, incluyendo quienes, cómo y cuando la transportaron,

almacenaron y analizaron, a fin de evitar alteraciones o modificaciones que comprometan la misma.



Vigencia: 27-11-09




Página 14 de 16


VALIDACION

Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.

7.3 Actividades posteriores Organizar reuniones de autoevaluación: Se realiza un estudio de recapitulación analizando las características de

los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación.

Mantener la documentación: Se actualiza la documentación de procesos, instructivos de usuario, entre otros de

acuerdo a los hallazgos del incidente.

Crear bases de conocimiento: los nuevos conocimientos adquiridos a través del tratamiento del incidente se

registran en la base de conocimiento de la compañía.

Integrar la gestión de incidentes al análisis de riesgos: El registro histórico de eventos o incidentes de seguridad

de la información sirve como fuente de información para la gestión de riesgos de seguridad de la información.

Identificando el riesgo que se materializó en cada uno de los eventos y el impacto ocasionado, se puede ajustar el

modelo de riesgo de forma que se acerque más a la realidad de la empresa.

Proponer mejoras y estrategias que permitan:

o Detectar nuevos riesgos

o Implantar controles que mitiguen los riesgos asociados

o Implantar controles que prevengan riesgos asociados

o Implantar controles que detecten riesgos asociados

Para lo anterior se recoge y analizan métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones

legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones

correctivas o preventivas.

A continuación se presenta un resumen de los aspectos relevantes de la medición de incidentes:

¿Qué puede ocurrir? Consecuencias ¿Por qué? – ¿Cómo?

Tipos de eventos de riesgo

relacionados con:

Procesos

Infraestructura

Fraude Interno

Fraude Externo

Relaciones laborales

Clientes

Fallas tecnológicas

Ejecución y administración

de procesos

Perdida de imagen

Costos operativos

Costos no operativos

Sanciones

Ineficiencia de controles y

políticas

Omisión de controles y

políticas

Falta de capacitación y fallas

en reclutamiento

Inadecuado manejo de la

información

Reprocesos

Acciones no alineadas con los

objetivos de la Compañía

Figura 5 Aspectos relevantes en la Medición de Incidentes



Vigencia: 27-11-09




Página 15 de 16


8 Integración de La Gestión de Incidentes con el Sistema de Gestión de Seguridad de La

Información

Figura 6 Integración de la Gestión de Incidentes con el SGSI

Como se ve en la Figura 6 la gestión de incidentes de seguridad de la información está íntimamente ligada con el Sistema de

Gestión de seguridad de la Información de una compañía, a partir de la gestión de incidentes el Sistema de Gestión de la

Seguridad de la Información puede mejorarse identificando las acciones preventivas y correctivas que deben hacerse sobre

este:

Los signos de un incidente pueden ser de dos tipos:

Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; ejemplo: alerta de un sensor

avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un

servidor, accesos lentos y generalizados a servicios o sistemas, etc.

Signos precursores: signos de que un incidente puede ocurrir en el futuro; Ejemplo: barrido de puertos, anuncio de

“exploits” que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa

anunciadas por hackers entre otros.

Los indicadores deberían poner en marcha acciones correctivas previstas por la empresa.

Los precursores deberían ser tratados con acciones preventivas.



Vigencia: 27-11-09




Página 16 de 16


CONTROL DEL DOCUMENTO E HISTORIA DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS ELABORADO POR APROBADO POR

01 27/11/09 Versión inicial Nathalia Prada

Analista de Procesos

Carlos Rubio

Jefe Riesgo Operativo

gestión de incidentes de seguridad de la...

Documents