TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA L A SEGURIDAD DE LA INFORMACIÓN SGSI-P01
RESPONSABILIDAD Y AUTORIDAD
FECHA
REVISADO POR: POR: Claudia Paez 30/10/2014 Coordinadora del Sistema de Gestión
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC.
2
FECHA MODIFIC.
5/11/2010
MODIFICACIONES -Actualizar el objeto y alcance del procedimiento. - Actualizar los nombres, cargos y extensiones de las personas a las cuales se pueden realizar los reportes de seguridad de la información. -Actualizar el formato SGSI-P01-F01 - Actualizar la descripción general de actividades. -
3
09/07/2013
-
Actualización Actualización Actualización seguridad. Actualización
del alcance del procedimiento de los incidentes críticos del correo para reporte de eventos de de los eventos y/o debilidades a reportar.
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
2. OBJETO Asegurar que las debilidades y los incidentes de seguridad en la información se identifican y se toman los correctivos necesarios para prevenir que no vuelvan a ocurrir. Asegurar que se da cumplimiento a los lineamientos de la política general de seguridad de la información y a la política específica SGSI-PL 25 de gestión de incidentes de seguridad. 3. ALCANCE Este procedimiento inicia con el reporte de debilidades o incidente de seguridad que afecten de forma critica los activos de información de la organización, continua con la investigación y análisis de los eventos reportados y finaliza con la toma de acciones de mejora para prevenir la ocurrencia de nuevos incidentes. Aplica para todos los colaboradores de la organización. 4. DOCUMENTOS PARA CONSULTA NTC-ISO/IEC 27001:2013 Tecnología de Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad en la Información (SGSI) Requisitos. NTC-ISO-IEC 17799:2006 Tecnologías de Información. Técnicas de Seguridad. Código de Practica para la Gestión de la Seguridad de la Información. NTC-ISO-IEC 5254:2006 Administración del Riesgo. GTC 169 Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información. 27/02/2008
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
Robo de información sensible de proyectos. Denegación de servicio masiva sobre equipos de la red, afectando la operación de la Compañía. Denegación de servicio masivo por el ingreso y propagación de virus que explotan vulnerabilidades. Daño de servidores Incumplimientos de las políticas o las directrices que comprometan los activos de la organización. Cambios no controlados en el sistema.
MONITOREO: comprobar, supervisar, observar críticamente, o registrar el proceso de una actividad, acción o sistema en forma sistemática, para identificar cambios. RESTRICCIONES: Por lo general las restricciones son establecidas o reconocidas por la dirección de la organización y están influidas por el entorno en el cual opera ésta. SALVAGUARDAR: son prácticas, procedimientos o mecanismos que pueden proteger contra una amenaza, reducir una vulnerabilidad. SOLICITUD DEL SERVICIO: Una solicitud de servicio es una petición de un usuario de información o asesoramiento, o de un cambio estándar, o para el acceso a un servicio de TI. VULNERABILIDAD: muestra la fragilidad de un sistema (físico, Técnico, organizacional, cultural, etc.) que puede ser afectado adversamente, causando daños o perjuicios.
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
Luego de recibir el reporte del evento y/o debilidad de seguridad de la información la Gerencia de ITS procederá a determinar en primera instancia si el reporte es un incidente, con base en un análisis de la información recibida, si luego de analizada la información se determina que es un incidente se procede a recolectar toda la información pertinente para la investigación y análisis del evento (incidente), esta información quedara registrada en el formato SGSI-P01-F01. De otra parte a través del software ManageEngine – Service Desk se registran todos los incidentes reportados por los usuarios, de tal manera que se garantice la trazabilidad y control de los eventos reportados. 6.1.2. EVENTOS Y/O DEBILIDADES A REPORTAR Los eventos y/o debilidades que se pueden reportar para su respectiva investigación, análisis y gestión pueden ser: -
Accesos no autorizados a los sistemas de información y uso indebido de los recursos informáticos de la compañía. Suministrar la información a quien no tiene derecho a conocerla. Fraude Usar la información con el fin de obtener beneficio propio o de terceros. Hacer pública la información sin la debida autorización. Realizar copias no autorizadas de software. Intentar modificar, reubicar o sustraer equipos de cómputo, software, información o
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
Para asegurar una respuesta rápida, eficaz y ordenada se debe tener en cuenta que al presentarse un fallo o incidente de seguridad de la información, el usuario debe reportarlo a la Gerencia de ITS en el menor tiempo posible. Luego de recibir la información se realizara una investigación del incidente, para determinar de qué tipo es; a que activo de información está afectando y cual es tratamiento para minimizar el impacto que pueda tener (si lo llegase a tener). La información recolectada durante esta actividad queda registrada en el formato SGSI-P01F01 que contiene un registro detallado del incidente donde se muestra el proceso desde el momento en que se detecta el evento hasta su minimización. Dentro del registro se deberá diligenciar los siguientes datos:
Datos de la persona informante: Puede ser la cualquier persona que identifique el incidente; ya sean empleados, contratistas o terceros. Datos del incidente: Es en donde se registra que tipo de incidente es; virus informático, pérdida de la información, incumplimiento a las normas, daño en el medio de transporte, daño en el software, daño en el hardware, etc. Grado de criticidad/severidad: Hace referencia a la importancia del incidente sobre la organización (critico, moderado o insignificante).
NIVEL DE SEVERIDAD DELINCIDENTE
IMAPACTO
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
Alcance: Es en donde se registra la cadena de eventos producidos por los efectos del incidente. Acciones: Es en donde se registran los actos realizados para controlar o minimizar los efectos producidos por el incidente de acuerdo al nivel de severidad del incidente Conclusión/Lecciones Aprendidas.: Es en donde se registra las medidas y/o acciones de mejoramiento aplicables para que no se vuelva a repetir el incidente.
6.2.2. APRENDIZAJE DEBIDO A LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Una vez identificados los incidentes de seguridad, éstos se valorarán según el impacto que tienen en la compañía y se tomarán acciones de mejoramiento para mitigar estos incidentes. La información obtenida de la investigación y análisis de los eventos de seguridad de la información se debe informar los colaboradores o áreas a afectadas para prevenir recurrencia de los incidentes o nuevos incidentes. Estas comunicaciones se podrán realizar utilizando los siguientes medios:
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
proceder con cautela para no modificar pista alguna. Para recopilar estas evidencias se aplicaran las buenas prácticas de computación forense según el tipo de evidencia.
Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en sí, salvaguardando su integridad.
Se debe ser muy precavido a la hora de recolectar la evidencia; pues la idea es no modificarla. Para ello podemos utilizar los siguientes elementos:
Bolsas antiestáticas, que permitan la correcta manipulación de medios de almacenamiento. Bolsas de seguridad, para guardar los elementos físicos, que permitan garantizar que una vez guardados se tenga la certeza que la bolsa no ha sido abierta. Embalaje, para guardar los Discos Duros y evitar que una eventual caída o maltrato al elemento ocasione una pérdida de información, que en este caso sería perdida de la evidencia. Etiquetas o Rótulos, para marcar los elementos físicos, con el fin de identificarlos. Esta etiqueta debe tener la información necesaria que identifique al elemento. Por ejemplo si hablamos de un Disco Duro, se debería incluir por lo menos la siguiente información:
TITULO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
CÓDIGO
SGSI-P01
ingresos indebidos de cualquier carácter, daño de activos, etc, aplicando las técnicas adecuadas de recolección y conservación de la evidencia.
TITULO
CÓDIGO
PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN
SGSI-P01
7. CONTROL DE REGISTROS Nº
IDENTIFICACIÓN
RPSABLE DEL ARCHIVO
UBICACIÓN
ORDENACION (numérico, alfabético o cronológico)
DISPONI BILIDAD DE ACCESO
SOPORT E
TIEMPO DE RETENCIÓN A-G
1
Reporte e Investigación de Incidentes de Seguridad de la Información
CSIG
CSIG
CRONOLÓGICO
CSI, IS , SGG
Papel
1 año
NA
Eliminación
2
Registros de Incidentes de Service desk
Coordinador de ITS
192.168.11.252
CRONOLÓGICO
Gerencia de ITS
Digital
NA
NA
NA
TIEMPO DE RETENCIÓN DISPOSICIÓ N FINAL A-C
CSIG: Coordinador del Sistema Integral de Gestión
VERSIÓN No. 5
VIGENTE DESDE EL 30 DE OCTUBRE DE 2014
Página 10 de 10