SERVICIO NACIONAL PARA LA PREVENCIN Y REHABILITACIN DEL CONSUMO DE DROGAS

Y ALCOHOL

Procedimiento de Gestin de
Incidentes de Seguridad de la
Informacin
Sistema de Gestin de la Seguridad de la Informacin

Cdigo:
SSI-13-01
Control:
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2.2
A.13.2.3

Este documento es de propiedad exclusiva de SENDA y su uso debe estar ceido a lo dispuesto en la clasificacin del mismo, quedando prohibida la
divulgacin y/o reproduccin total o parcial del contenido de ste, sin la debida autorizacin por parte del Comit de Seguridad de la Informacin. Su
uso y distribucin slo est autorizado al interior de SENDA y por parte del personal debidamente habilitado.

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 2 de 6

Control de versiones:
VERSIN

ELABORADO

REVISADO

APROBADO

FECHA

Encargado de
Seguridad de la
Informacin

Jefe de
Tecnologa e
Informtica

Comit de
Seguridad de
Informacin

22-10-2013

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 3 de 6

Contenido
1.

Introduccin.......................................................................................................................... 4

2.

Objetivo ................................................................................................................................ 4

3.

Roles/Responsabilidades ................................................................................................... 4

4.

Alcance ................................................................................................................................. 4

5.

Requerimientos.................................................................................................................... 4

6.

Referencias .......................................................................................................................... 4

7.

Tareas .................................................................................................................................. 5

8.

7.1.

Reporte Incidente......................................................................................................... 5

7.2.

Reporte de Incidente por parte de un Funcionario o Unidad de SENDA ............... 5

7.3.

Deteccin de Incidente por parte del rea de Tecnologas e Informtica .............. 5

7.4.

Comunicar Incidente.................................................................................................... 6

7.5.

Registrar Incidente....................................................................................................... 6

7.6.

Informar Estado............................................................................................................ 6

7.7.

Informar a Mesa de Ayuda .......................................................................................... 6

7.8.

Informe a Usuarios ...................................................................................................... 7

7.9.

Analizar informacin del incidente.............................................................................. 7

7.10.

Contener ................................................................................................................... 7

7.11.

Documentar Base de Conocimiento....................................................................... 7

7.12.

Cerrar ........................................................................................................................ 7

Flujo ...................................................................................................................................... 8
10.1.

Gua para la clasificacin de incidentes................................................................. 9

10.2.

Gua de evaluacin de la criticidad de un incidente.............................................. 9

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 4 de 6

1. Introduccin
El siguiente procedimiento se define para asegurar la gestin efectiva y eficiente
de los incidentes de seguridad; minimizando los impactos adversos y asegurando
los niveles de servicio y disponibilidad de la mejor forma posible.

2. Objetivo
Regular la forma en que SENDA administra la respuesta ante incidentes de
seguridad de la informacin y definir los procedimientos que se requieren al efecto.

3. Roles/Responsabilidades
Mesa de Ayuda: Recibe reporte, investiga, clasifica, contiene e informa del
incidente.

rea de Tecnologa e Informtica: Monitorean infraestructura, revisan logs y

contiene incidentes de Seguridad; Estar conformado por los responsables de
monitoreo y operacin de sistemas.

Encargado de Seguridad: Debe ser informado de todo Incidente de

Seguridad en SENDA.

Funcionario/a: Informar a Mesa de Ayuda con copia al Encargado de

Seguridad y a su superior jerrquico cada vez que sospeche o tenga certeza
de un incidente de Seguridad de la Informacin.

4. Alcance
Este procedimiento se aplica a todo reporte de incidente de seguridad.
Se aplica a todos los usuarios de activos de la informacin en la SENDA.
5. Requerimientos
Reporte de incidente a travs de la Mesa de Ayuda, quienes actan como Punto
nico de Contacto
6. Referencias
No hay referencias

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 5 de 6

7. Tareas
7.1. Reporte Incidente
La existencia de un Incidente de Seguridad se determinar bsicamente a
travs de dos fuentes:
o
o

Reporte de Incidente por parte de un Funcionario o Unidad de SENDA

Deteccin del Incidente por parte del rea de Tecnologa e Informtica.

7.2. Reporte de Incidente por parte de un Funcionario o Unidad de SENDA

Siempre que se sospeche o se tenga certeza de un Incidente de Seguridad, los
Funcionarios de SENDA deben reportarlo inmediatamente a la Mesa de Ayuda,
con copia al Encargado de Seguridad de la Informacin y su Superior
Jerrquico, para que personal capacitado pueda tomar las acciones
correspondientes.

El Funcionario enviar un correo electrnico a la Mesa de Ayuda, con copia al

Encargado de Seguridad de la Informacin y su Superior Jerrquico con la
informacin necesaria para poder identificar el Incidente de Seguridad que est
reportando:
o Acceso no autorizado a aplicaciones o informacin.
o Exposicin de informacin sensible a usuarios no autorizados
o Exposicin de equipamiento sensible a riesgos innecesarios
o Otros

7.3. Deteccin de Incidente por parte del rea de Tecnologas e Informtica

El Equipo de Informtica monitorea activamente los eventos de seguridad para
detectar posibles incidentes de seguridad

Para ello se revisan y reportan al Encargado de Seguridad los eventos de:

o Modificaciones de polticas en los sistemas de seguridad
o Creacin de usuarios no autorizados
o Intentos sistemticos de acceso.
o Cambios no autorizados en las configuraciones del equipamiento
o Alertas del software de antivirus y antispyware

La revisin podr ser realizada en forma manual o a travs del uso de

herramientas automatizadas para la gestin de infraestructura.

De la misma forma, los reportes pueden ser generados en forma manual, o en

forma automtica a travs de la emisin de alarmas cuando las herramientas
detecten actividades fuera de lo normal.

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 6 de 6

7.4. Comunicar Incidente

Una vez que el Encargado de Seguridad recibe el Reporte de Incidente por
parte de un Funcionario de SENDA, debe derivarlo a la Mesa de Ayuda para su
investigacin y seguimiento

Identificar Incidente
o Una vez recibida una notificacin de Incidente de Seguridad, el equipo
determina si existe otro incidente reportado de la misma caracterstica.

Si existe, se le informa el estado de la investigacin y se registra la notificacin.

El Encargado de Tecnologa e Informtica determina el tipo de incidente (para

ello se presenta un listado de ejemplo en los anexos de este documento con el
ttulo: Gua para la clasificacin de incidentes) y establece su criticidad
dependiendo del tipo de incidente, naturaleza del activo afectado, cantidad de
activos, sistemas o unidades afectadas, impacto en la organizacin y de la
urgencia en la solucin (ver ejemplo en la Gua de evaluacin de la criticidad
de un incidente en los anexos).

Luego se comunica el incidente al Encargado de Seguridad y al equipo de

Manejo de Incidentes.

7.5. Registrar Incidente

Si no existe, se registra la notificacin y se relevan los datos bsicos (fecha y hora
de la notificacin, propietario de activo, informacin de contacto, descripcin del
incidente, sistemas y unidades afectadas)
7.6. Informar Estado
Si el Incidente Reportado ya se encuentra registrado y en tratamiento, se informa
al Funcionario que lo report, con copia al Encargado de Seguridad, indicando el
conocimiento del mismo y el estado de la investigacin.
7.7. Informar a Mesa de Ayuda
Si el incidente afecta a varios usuarios, el Encargado del Incidente de
Seguridad, informa a la Mesa de Ayuda, indicando:
o Caractersticas del Incidente
o Como se ven afectadas las actividades de los Usuarios
o El estado del incidente
o Las acciones que se estn llevando a cabo
o Los tiempos estimados de solucin.

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 7 de 6

7.8. Informe a Usuarios

La Mesa de Ayuda realizar las comunicaciones pertinentes para informar a
todos los afectados, indicando:
o Caractersticas del Incidente.
o Como se ven afectadas las actividades de los Usuarios.
o El estado del incidente.
o Las acciones que se estn llevando a cabo.
o Los tiempos estimados de solucin.
7.9. Analizar informacin del incidente
El Profesional o Equipo asignado a la atencin del Incidente por parte del rea
de Tecnologas e Informtica accede a los logs y registros de informacin
disponible para construir una lnea de tiempo y determinar la traza de las
acciones sucedidas.

Dependiendo del tipo de incidente se revisan:

o Logs de acceso de routers y firewalls
o Logs de intento de login de usuarios
o Logs de acceso y error de webservers y correo
o Logs de antivirus
o Reportes de uso de equipamiento de red

7.10.
Contener
El primer paso en el tratamiento del incidente es contenerlo y evitar que se
propague.

Inmediatamente se determina si el Profesional o Equipo asignado al incidente

cuenta con el personal y la experiencia para solucionar el problema en forma
definitiva o temporal (workarround) y en los tiempos apropiados.

Si se determina que por alguna causa no lo puede solucionar definitivamente, o

si el equipo de incidentes determina que la gravedad del incidente lo amerita,
se realiza el escalamiento al proveedor correspondiente.

7.11.
Documentar Base de Conocimiento
Previo al cierre del incidente, Informtica deber documentar en la base de
conocimiento la forma de resolucin del incidente.
Cerrar
Si el incidente fue escalado, el equipo monitorea el estado del incidente hasta su
solucin. Finalmente se contacta con las reas o personas afectadas para
confirmar la solucin.

7.12.

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 8 de 6

8. Flujo

Funcionario

Encargado de
Seguridad

rea de Tecnologas e
Infomtica

Mesa deAyuda

Superior Jerrquico

Inicio
1. Reporte
Incidente (aviso)
2. Comunica
incidente

Copia reporte
incidente
Inicio
1. Reporte incidente
(monitoreo)
3. Identificar
Incidente
Registrado?

NO
SI
4. Registrar
Incidente

5. Informar Estado

NO

Afecta a grupo
de Usuarios?

SI
6. Informa a Mesa
de Ayuda

7. Informe a
Usuarios

8. Analizar
informacin

9. Contener
Resuelto?

NO

SI

Escalar
10. Documentar
Base de
Conocimiento

Informe
Cierre

12. Informe a
Usuarios

11.Cerrar

Fin

Copia reporte
incidente

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

Cdigo SSI-13-01
Pgina 9 de 6

9. Sugerencias
N/A
10. Anexos
10.1.
Gua para la clasificacin de incidentes
Las siguientes categoras podran utilizarse para la clasificacin del incidente

NOMBRE

EJEMPLO

Exposicin de datos personales

Se han revelado
confidenciales

datos

personales

Denegacin de servicio

Actividad maliciosa tendiente a dificultar el

acceso a un servicio

Actividad de software malicioso

Virus, worms, keylogger, phishing

Violacin de polticas de seguridad

Uso inapropiado de recursos

Servicios no autorizados

Servicio ftp no autorizado

Acceso no autorizado lgico / fsico

Abuso de privilegios / Acceso no

autorizado a reas definidas como crticas

Gua de evaluacin de la criticidad de un incidente

10.2.

SEVERIDAD
Alto

DESCRIPCIN
Afecta gran parte de SENDA
Impacta activos crticos de SENDA
Afecta informacin confidencial de las personas
Amenaza la vida de las personas
Robo o alteracin de informacin crtica.
Destruccin de propiedad de SENDA
Aprovechamiento de brechas de seguridad detectadas y no
informadas.

Servicio Nacional para la Prevencin y Rehabilitacin del Consumo de Drogas y Alcohol

Procedimiento de Gestin de un Incidente de Seguridad de

la Informacin

SEVERIDAD
Medio

Cdigo SSI-13-01
Pgina 10 de 6

DESCRIPCIN
Impacta un nmero moderado de sistemas o personas
Impacta activos importantes pero no crticos
Puede propagarse a otros activos
Acceso lgico o fsico a sitios no autorizados.
No informar acerca de brechas en la seguridad detectadas.

Bajo

Impacta un nmero pequeo de sistemas o personas

Afecta un segmento de red
Baja probabilidad de propagacin
Instalacin y/o descarga de software no autorizado.
Visitas a pginas de Internet no autorizadas.