Iso 27002 - 2013 - Final

UNIVERSIDAD NACIONAL DEL CALLAO
FACULTAD DE INGENIERA INDUSTRIAL Y DE SISTEMAS
ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS
ISO/IEC 27002:2013- Gestin de Incidentes.
SISTEMAS DE INFORMACION GERENCIAL
PROFESOR : Dr.Ing.. ARADIEL CASTAEDA, HILARIO
GRUPO N :3
Carasas Curay Walter Rubn Junior 1315210015
Chepuline Medrano Junior Milton 1315210069
Zumaeta Collantes Linder 1315210211
TRABAJO DE EXPOSICION: N1
CICLO : 2017-B
FECHA : 09/10/17
INDICE
INTRODUCCIN ............................................................................................... 4
ISO IEC/27012:2013 ...................................................................................... 6
Gestin de incidentes de seguridad de la informacin ............................. 6
CASOS DE ESTUDIO .................................................................................. 16
CRONOGRAMA .............................................................................................. 29
PLATAFORMA TECNOLGICA ....................................................................... 8
ANLISIS DE LOS COMPONENTES TECNOLGICOS ................................. 9
INCIDENTES DE SEGURIDAD DE LA INFORMACIN ................................. 34
RIESGOS DE SEGURIDAD DE LA INFORMACIN ...................................... 35
METODOLOGAS GESTIN RIESGOS E INCIDENTES DE SEGURIDAD.... 11
METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIN ................................................................................................ 38
MODELO ISO 27035:2011 ........................................................................... 38
DEFINICIN E IMPLEMENTACIN DE LA METODOLOGA ........................ 39
Identificacin y Clasificacin de Eventos de Seguridad............................. 40
Evaluacin de los Incidentes ........................................................................ 41
Priorizacin del Incidente .............................................................................. 41
3.2.2 ............................................. Fase 4: Respuesta Respuestas Inmediatas
......................................................................................................................... 45
Erradicacin y recuperacin ......................................................................... 46

Mtricas para la evaluacin del cumplimiento y desempeo del CSIRT. .. 65
BIBLIOGRAFIA ............................................................................................... 74
INTRODUCCIN
El crecimiento en la implementacin de herramientas de seguridad informtica
en los ltimos aos se ha acelerado, a raz de la evolucin de los diferentes
mtodos (vectores) de ataque informtico. Este crecimiento tambin ha sido
promovido por aquellas organizaciones que se encargan de definir
requerimientos, estndares generales en algn tipo de industria, con el fin de
buscar la proteccin de la informacin contra cualquier intento de sustraer,
alterar o eliminar la informacin; un ejemplo de estos estndares son: PCI-DSS
(Requerimientos de Seguridad para Informacin de Tarjetas de Crdito), Cloud
Security Alliance (Requerimientos de Seguridad para la Informacin
almacenada o procesada en Cloud Computing), entre otros. Sin embargo, el
tener instalada y configurada las mejores herramientas de seguridad
informtica, aquellas que se encuentran en el cuadrante mgico de Gartner; no
asegura que se est un 100% protegido. Toda herramienta, necesita ser
respaldada por un conjunto de lineamientos los cuales den peso al porqu de
su implementacin. Lineamientos que estn homologados con los objetivos
estratgicos de cada organizacin y que expresen en un lenguaje de alto nivel
cmo las tecnologas, en este caso en el contexto de seguridad, se convierten
en un gran aliado para el desarrollo continuo, con un costo eficiente de la
organizacin.
Las posibilidades de dao y prdida de informacin por causa de inseguridad
informtica, se hacen cada vez ms comunes, debido a que el explotar
vulnerabilidades que se pueda tener en el manejo de informacin sensible, es

una prctica que ha venido tomando cada vez ms fuerza y contundencia en el
terreno informtico, por lo que preocuparse por este tema toma gran relevancia
hoy en da y hace parte del mismo control que se debe hacer al desarrollo de la
tecnologa y el uso que se le da. En la actualidad la informacin de la institucin
se ha reconocido como un activo valioso y a medida que los sistemas de
informacin apoyan cada vez ms los procesos de misin crtica se requiere
contar con estrategias de alto nivel que permitan el control y administracin
efectiva de los datos, los servicios web y red de informacin enfrentan
amenazas de seguridad que incluye entre muchas cosas el fraude por
computadora, espionaje, sabotaje, vandalismo y desastres naturales, la
posibilidad de dao y perdida de informacin por causa de cdigos maliciosos,
mal uso o ataques de denegacin de servicio se hacen cada vez ms
comunes.
ISO IEC/27012:2013
Gestin de incidentes de seguridad de la informacin
1.1.1. Gestin de incidentes de seguridad de la informacin y
mejoras
1.1.1.1. Responsabilidades y procedimientos
Control
Se deberan establecer las responsabilidades y procedimientos de gestin para
garantizar una respuesta rpida, efectiva y adecuada a los incidentes de
seguridad de la informacin.
Gua de implantacin
Deberan tenerse en cuenta las siguientes directrices en los procedimientos de
gestin de los incidentes de seguridad de la informacin:
a) deberan establecerse responsabilidades a nivel de gestin para
asegurar que los siguientes procedimientos se desarrollan y comunican
adecuadamente dentro de la organizacin:
1) procedimientos para la planificacin y preparacin de la respuesta a
incidentes,
2) procedimientos para monitorizar, detectar, analizar y comunicar eventos
e incidentes de seguridad de la informacin,
3) procedimientos para registrar las actividades de gestin de incidentes,

4) procedimientos para el manejo de pruebas forenses,
5) procedimientos para evaluar y tomar decisiones sobre eventos de
seguridad y evaluar puntos dbiles de la seguridad de la informacin,
6) procedimientos de respuesta incluyendo aquellos relativos al escalado,
recuperacin controlada a partir de un incidente, y comunicacin a personas
internas y externas o a terceras organizaciones,
b) se deberan establecer procedimientos que aseguren que:
1) personal competente maneja los asuntos relacionados con los incidentes
de seguridad de la informacin dentro de la organizacin,
2) se implante un punto de contacto para la deteccin y comunicacin de
incidentes de seguridad,
3) se mantienen contactos apropiados con las autoridades, grupos de
inters externos o foros que tratan asuntos relacionados con los incidentes de
seguridad de la informacin,
c) los procedimientos de comunicacin deberan incluir:
1) la preparacin de formularios de comunicacin de eventos de seguridad
de la informacin para apoyar la accin de comunicacin y para ayudar a la
persona que los comunique a recordar todas las acciones necesarias en caso
de un evento de seguridad de la informacin,
2) el comportamiento adecuado que debera tomarse en caso de un evento
de seguridad de la informacin; por ejemplo, anotar inmediatamente todos los
detalles importantes (como el tipo de incumplimiento, fallo de funcionamiento,

mensajes en la pantalla...), informar inmediatamente al punto de contacto, y
adoptar slo acciones coordinadas,
3) la referencia a un proceso disciplinario formal establecido para tratar a
los trabajadores, contratistas o terceros que hayan cometido el
quebrantamiento de la seguridad,
4) procesos de retroalimentacin adecuados para garantizar que aquellas
personas que comuniquen eventos de seguridad de la informacin son
informadas de los resultados despus de que se haya tratado y cerrado el
problema.
Los objetivos de la gestin de incidentes de seguridad de la informacin
deberan ser acordados con la Direccin, y debera garantizarse que los
responsables de la gestin de incidentes de seguridad de la informacin
comprenden las prioridades de la organizacin en cuanto al tratamiento de los
incidentes de seguridad de la informacin.
Informacin adicional
Los incidentes de seguridad de la informacin pueden trascender los lmites de
la organizacin o del pas. Para reaccionar ante dichos incidentes, resulta cada
vez ms necesario coordinar la respuesta y compartir la informacin acerca de
estos incidentes con organizaciones externas, cuando esto sea apropiado.
Una gua detallada sobre la gestin de incidentes de seguridad de la
informacin est disponible en la Norma ISO/IEC 27035 [20].

1.1.2. Notificacin de los eventos de seguridad de la
informacin
Control
Los eventos de seguridad de la informacin se deberan notificar por los
canales de gestin adecuados lo antes posible. Gua de implantacin
Todos los trabajadores, contratistas y terceros deberan conocer su
responsabilidad de comunicar cualquier evento de seguridad de la informacin
lo antes posible. Tambin deberan conocer el procedimiento de comunicacin
de eventos de seguridad de la informacin y el punto de contacto.
Se considerarn como situaciones para comunicar eventos de seguridad de la
informacin las siguientes:
a) control ineficaz de la seguridad;
b) quebrantamiento de las expectativas de integridad, confidencialidad y
disponibilidad de la informacin;
c) errores humanos;
d) incumplimientos de polticas o directrices;
e) quebrantamientos de las directrices de seguridad fsica;
f) cambios incontrolados del sistema;
g) disfunciones del software o hardware;
h) violaciones de acceso.
Disfunciones u otros comportamientos anmalos del sistema pueden ser un
indicador de un ataque de seguridad o una brecha de seguridad y deberan ser
comunicados siempre como un evento de seguridad de la informacin.
1.1.3. Notificacin de puntos dbiles de la seguridad
Control
Todos los empleados, contratistas, terceras partes usuarias de los sistemas y
servicios de informacin deberan ser obligados a anotar y notificar cualquier
punto dbil que observen o que sospechen que exista, en los sistemas o
servicios.
Gua de implantacin
Todos los trabajadores y contratistas deberan comunicar estos incidentes a su
punto de contacto lo antes posible para evitar incidentes de seguridad de la
informacin. El mecanismo de comunicacin debera ser todo lo fcil, accesible
y disponible que sea posible.
Todos los empleados y contratistas deberan estar informados de que en
ningn caso deberan intentar comprobar un punto dbil que sospechen que
exista. Si lo hacen, esto podra interpretarse como un posible uso indebido del
sistema y podra asimismo provocar daos en el sistema o servicio de

informacin, lo que podra derivar en responsabilidades legales para la persona
que haya realizado la comprobacin.
1.1.4. Evaluacin y decisin sobre los eventos de seguridad de
informacin
Control
Los eventos de seguridad de la informacin deberan ser evaluados y debera
decidirse si se clasifican como incidentes de seguridad de la informacin.
Gua de implantacin
El punto de contacto debera evaluar cada evento de seguridad de la
informacin recurriendo a la escala de clasificacin de eventos e incidentes de
seguridad establecida y decidir si el evento debera clasificarse como incidente
de seguridad de la informacin. La clasificacin y priorizacin de incidentes
puede ayudar a identificar el impacto y extensin de un incidente.
En casos donde la organizacin tiene un equipo de respuesta a incidentes de
seguridad de la informacin (Information Security Incident Response Team,
ISIRT), la evaluacin y decisin puede redirigirse al equipo para su
confirmacin o reevaluacin.
Los resultados de la evaluacin y decisin deberan registrarse con todo detalle
a efectos de futuras referencias y verificacin.

1.1.5. Respuesta a incidentes de seguridad de la informac in
Control
Los incidentes de seguridad de la informacin deberan ser respondidos de
acuerdo con los procedimientos documentados.
Gua de implantacin
Los incidentes de seguridad de la informacin deberan ser comunicados para
su respuesta a un punto de contacto preestablecido as como a otras personas
relevantes de la organizacin o terceras partes (vase 2.1.1).
La respuesta debera incluir los siguientes procedimientos:
a) recogida de evidencias tan pronto como sea posible tras la ocurrencia
del incidente;
b) realizacin de un anlisis forense de la seguridad de la informacin
segn se requiera (vase 2.1.7);
c) escalado del incidente, si as se requiere;
d) aseguramiento de que todos los implicados en las actividades de
respuesta a incidentes son adecuadamente incorporados para realizar el
correspondiente anlisis posterior;
e) comunicacin de la existencia del incidente de seguridad de la
informacin o cualquier otro detalle relevante tanto para personas internas o
externas o terceras entidades que se requiera deban tener conocimiento del
mismo;
f) tratamiento de la debilidad o debilidades de seguridad de la informacin
encontradas y que pudieran causar o contribuir al incidente;
g) una vez que el incidente ha sido satisfactoriamente tratado, el cierre y
registro formales del mismo.
Tras el anlisis del incidente debera tener lugar, en caso necesario, la
identificacin del origen del incidente. Informacin adicional
El principal objetivo de la respuesta a un incidente es restaurar el nivel normal
de seguridad y, entonces, iniciar la necesaria recuperacin.
2.1.6. Aprendizaje de los incidentes de seguridad de la
informacin
Control
El conocimiento obtenido a partir del anlisis y la resolucin de incidentes de
seguridad de informacin debera utilizarse para reducir la probabilidad o el
impacto de los incidentes en el futuro.
Gua de implantacin
Deberan existir mecanismos que permitan cuantificar y supervisar los tipos,
volmenes y costes de los incidentes de seguridad de la informacin a
cuantificar y monitorizar. La informacin obtenida a partir de la evaluacin de
los incidentes de seguridad de la informacin debera utilizarse para identificar
incidentes recurrentes o con un elevado alcance.

La evaluacin de los incidentes de seguridad de la informacin puede sugerir la
necesidad de mejorar o aadir controles para limitar la frecuencia, el dao y el
coste de futuras apariciones, o para tenerlos en cuenta en el proceso de
revisin (vase 5.1.2).
Prestando la debida atencin a los aspectos de confidencialidad, los incidentes
de seguridad de la informacin pueden utilizarse en los cursos de
concienciacin del usuario (vase 7.2.2) como ejemplos de lo que podra
ocurrir, de cmo reaccionar ante esos incidentes y de cmo evitarlos en el
futuro.
2.1.7. Recopilacin de evidencias
Control
La organizacin debera definir y aplicar procedimientos para la identificacin
recogida, adquisicin y preservacin de informacin que puede servir de
evidencia.
Gua de implantacin
Deberan desarrollarse procedimientos internos para seguirse a la hora de
recopilar y presentar pruebas con el fin de ejercer una accin disciplinaria y
legal.
Por lo general, estos procedimientos de recogida de evidencias deberan
proporcionar procesos de identificacin, recogida, adquisicin y preservacin
de las evidencias de acuerdo con los diferentes tipos de medios, dispositivos y

condiciones de los mismos (por ejemplo, si estn encendidos o apagados). Los
procedimientos deberan tener en cuenta:
a) la cadena de custodia;
b) la integridad de la evidencia;
c) la proteccin de las personas;
d) las funciones o responsabilidades del personal implicado;
e) la competencia del personal;
f) la documentacin;
g) el resumen.
Cuando est disponible, se debera proporcionar una certificacin u otros
medios relevantes que acrediten la cualificacin del personal y los instrumentos
utilizados, de modo que refuercen el valor de la evidencia preservada.
Las evidencias forenses pueden trascender los lmites de la organizacin o la
jurisdiccin. En estos casos, debera garantizarse que la organizacin est
autorizada a recopilar la informacin requerida como prueba. Tambin deberan
tenerse en cuenta los requisitos de otras jurisdicciones con el fin de maximizar
las oportunidades de admisin en todas las jurisdicciones competentes.
La identificacin es el proceso relacionado con la bsqueda, el reconocimiento
y la documentacin de una posible evidencia. La recogida es el proceso de
obtencin de los items fsicos que puede contener una posible evidencia. La
adquisicin es el proceso de creacin de una copia de los datos en un
determinado soporte. La preservacin es el proceso de mantenimiento y
custodia de la integridad y condicin originales de la posible evidencia.
Cuando se detecta por primera vez un evento de seguridad de la informacin,
puede que no resulte evidente si dicho evento tendr como consecuencia una
accin legal. Por este motivo, existe el peligro de que se destruyan de forma
intencional o accidental las evidencias necesarias antes de tomar conciencia de
la gravedad del incidente. Es recomendable hacer uso de los servicios de un
abogado o de la polica en las primeras fases de cualquier accin legal que se
est considerando, as como el asesorarse sobre las evidencias necesarias.
La Norma ISO/IEC 27037[24] proporciona directrices para la identificacin,
recogida, adquisicin y preservacin de las evidencias digitales.
2. CASOS DE ESTUDIO
2.1. ENTIDAD FINANCIERA
En nuestros tiempos la informacin se ha convertido en uno de los
recursos ms importantes tanto a nivel empresarial como a nivel
personal, por ello se han implementado normas las cuales definan los
requisitos bsicos que debe comprometerse a cumplir cualquier
organizacin para salva guardar la informacin crtica para su negocio.
La informacin que fluye a travs de la infraestructura tecnolgica de las
entidades financieras no es ajena a estas normas, es ms, las normas

inicialmente fueron diseadas para este tipo de organizaciones. Por esta
principal razn, es necesario desarrollar y ejecutar buenas prcticas
para la gestin de eventos de seguridad que impacten de forma negativa
(incidentes) el flujo de la informacin, principalmente en 3 mbitos:
confidencialidad, integridad y disponibilidad. Una de las plataformas que
en los ltimos aos ha emergido y ha tenido un desarrollo rpido son las
plataformas SIEM Gestin de eventos e Informacin de Seguridad, por
sus siglas en Ingls, y hoy en da constituyen un punto cntrico de
gobernabilidad y administracin en la gestin de eventos de seguridad
sobre los componentes tecnolgicos de una organizacin. Sin embargo
esa administracin debe estar enmarcada y respaldada por las buenas
prcticas que han sido definidas en temas de seguridad de la
informacin por la industria. Dentro de estas buenas prcticas se han
definido varias normas, entre ellas se encuentran la ISO 27002:2013,
que especifica los lineamientos para una efectiva gestin de incidentes
de seguridad de informacin.
Objetivo General.
Definir e implementar la metodologa de gestin de incidentes de
seguridad y gestin de riesgos asociados a los incidentes identificados
por la plataforma SIEM de la Entidad Financiera, teniendo como
referencia las normas ISO/IEC 27002:2013
Objetivos Especficos
Identificar y analizar los componentes tecnolgicos que
actualmente se encuentran configurados en la plataforma SIEM
de la entidad financiera.
Identificar los eventos de seguridad que son posible detectar con
la plataforma SIEM.
Clasificar los diferentes tipos de incidentes de seguridad
asociados a los eventos detectados con la plataforma SIEM.
Definir la metodologa, poltica y procesos de gestin de
incidentes de seguridad teniendo como base la ISO/IEC 27035
para la plataforma SIEM.
Definir la metodologa, poltica y procesos de gestin riesgos
teniendo como base la ISO/IEC 27035 para los incidentes de
seguridad identificados en la plataforma SIEM.
Realizar y presentar un anlisis de la implementacin de la
metodologa propuesta basado en la deteccin de incidentes de
seguridad por la plataforma SIEM y la gestin de riesgos de los
mismos.
SIEM: Inicialmente las plataformas SIEM fueron desarrolladas para la
gestin de amenazas externas por decirlo as ruidosas, especficamente
para contrarrestar al malware denominado: gusano. Se orientaron este
tipo de plataformas a las redes de datos, para analizar en tiempo real los
eventos que sucedan sobre estas y apoyar el trabajo del grupo de
respuesta a incidentes de seguridad. Posterior algunos vendedores
adicionaban caractersticas a estas herramientas cmo el anlisis

histrico y la tendencia del comportamiento de estos eventos, con el fin
de servir de insumo a las actividades forense. Es donde nace el trmino
de Gestin de Eventos de Seguridad (SEM Security Event
Management), de esta forma se tena un sistema que monitoreaba y
analizaba los eventos de seguridad. Sin embargo, era necesario auditar
todos estos eventos, no solo identificarlos, esto significa que los eventos
identificados necesitaban ser validados y confrontarlos con las diferentes
leyes, normas y estndares que iban surgiendo en el mercado. Es as
como surge la Gestin de la Seguridad de la Informacin (SIM - Security
Information Management), el cual permita monitorizar, gestionar, auditar
y procesar los eventos de seguridad identificados. A pesar de que en el
mercado por un tiempo se presentaron sistemas SIM y SEM, en el 2005,
se define un trmino el cual combinara las dos funcionalidades en solo
una plataforma, impulsada por la convergencia de los productos desde
el 2004, globalizando el trmino de SIEM, propuesto inicialmente por
Mark Nicolett. (Williams, 2007). ISIRT (Information Security Incident
Response Team): Equipo conformado por miembros confiables de la
Entidad, que cuentan con las habilidades y 17 competencias para tratar
los incidentes de seguridad de la informacin, durante el ciclo de vida de
estos. ISO/IEC 27035: El 12 de Octubre de 2004 la Organizacin
Internacional de Estandarizacin (ISO International Organization for
Standardization) public el reporte tcnico ISO/IEC TR 18044:2004, con
el objetivo de presentar una gua del manejo de incidentes de seguridad
de la informacin para los administradores de sistemas y de seguridad,
para los administradores de sistemas de informacin y los

administradores de seguridad de cualquier organizacin (Bryant, 2008).
La administracin de incidentes consiste de 4 procesos:
Planear y preparar: Para la gestin de incidentes de seguridad se
requiere realizar una adecuada planeacin y preparacin para la
respuesta a la materializacin de estos incidentes.
Uso: Esta es la implementacin del plan de gestin de incidentes
de seguridad. Se detecta, reporta, analiza, clasifica y se
comunican los resultados de la investigacin del incidente.
Revisar: Se valida de nuevo el incidente, en caso de ser
necesario, se definen las lecciones aprendidas, y se implementan
mecanismos de mejora segn las vulnerabilidades detectadas.
Mejorar: El proceso de gestin de incidentes es un proceso
iterativo, esto significa que est en constante mejora, tanto en sus
normas como en su implementacin. En el 2011 la ISO cambia la
naturaleza del documento, de reporte tcnico a noma
internacional, y que hace parte de la familia de normas de la ISO
27000. Esta norma queda definida como la ISO/EIC 27035: 2011
Gestin de incidentes de seguridad de la informacin, que define
un enfoque estructurado y planificado para:
Detectar, informar y evaluar los incidentes de seguridad de
informacin.
Responder a incidentes y gestionar incidentes de seguridad de la
informacin 18
Detectar, evaluar y gestionar las vulnerabilidades de seguridad
de la informacin.
Mejorar continuamente la seguridad de la informacin y la gestin
de incidentes, como resultado de la gestin de incidentes de
seguridad de la informacin y las vulnerabilidades.
Evento: Un evento corresponde a una ocurrencia identificada en el
estado de un sistema, servicio o red, indicando una posible violacin de
la seguridad de la informacin, poltica o falla de los controles, o una
situacin previamente desconocida que puede ser relevante para la
seguridad (Garcia, 2013). 19 Incidente: Uno o ms eventos de seguridad
de la informacin no deseados o no esperados que tienen una
probabilidad significativa de comprometer las operaciones del negocio y
amenazan la seguridad de la informacin (Garcia, 2013).
La gestin de incidentes se encuentra dividida en 5 fases
Planear y Preparar: En esta fase de planea y se define la poltica
de gestin de incidentes de seguridad, alineada a la poltica de
seguridad de la informacin y de anlisis de riesgos, adems de
concientizar a la gerencia. Se debe definir un equipo de respuesta
a incidentes de seguridad de la informacin
Deteccin y Reporte: Es la deteccin y el registro o reporte del
incidente, donde se realiza la recoleccin asociada al incidente.
Es la primera fase del proceso operacional de la gestin.
Evaluacin y Decisin: Es la evaluacin de la informacin
recolectada y un anlisis para validar si el evento reportado es un
incidente de seguridad.
Respuesta: Respuesta al incidente de seguridad, con el anlisis
forense si fue necesario realizarlo, dependiendo de la decisin
tomada en la fase de Evaluacin y Decisin, y la respectiva
entrega del reporte a las personas involucradas.
Lecciones Aprendidas: Se identifican las lecciones aprendidas del
incidente de seguridad y la mejora del proceso o del SGSI. De ser
necesario validar el proceso de gestin de incidentes para
implementar mejoras, debido a la leccin aprendida del resultado
del incidente de seguridad.
Ilustracin 1 Estructura ISO 27035:2011 / 27002:2013

Fuente: Yessid Alberto Tiaquira.
METODOLOGIA PHVA (PLAN, HACER,VERIFICAR, ACTUAR)
PHVA ISO/IEC 27002:2013 ISO 27035:2011
PLANEAR Politica de gestion de incidentes
Polticas de seguridad de la informacin y gestin
de riesgos actualizadas a nivel corporativo,
sistemas, servicio y red.
Establecimiento del ISIRT/CERT/O CSIRT
(Equipo de respuesta a incidentes del Seguridad
de la Informacin).
Concientizacin sobre gestin de incidentes de
Esquema de pruebas de la gestin de incidentes

de seguridad de la informacin.
HACER Deteccin y Reporte del Evento de seguridad de
la informacin
Evaluacin de eventos de seguridad de la
informacin y decisin sobre si es un incidente de
VERIFICAR Respuesta del incidente de seguridad segn
decisin de la evaluacin de los eventos
ACTUAR Identificacin de lecciones aprendidas.
Identificacin y mejora de seguridad de la
informacin.
Identificacin y mejora de la evaluacin de riesgos
de seguridad de la informacin y resultados de la
revisin de la direccin.
Identificacin y mejora del esquema de gestin de
incidentes de seguridad de la informacin.
Tabla 1 PHVA de Gestin de Incidencias.
Recursos Tecnolgicos.
Para el desarrollo del proyecto se utilizar un equipo cmputo de propiedad del
autor del proyecto:
Porttil Toshiba de 15.
Disco Duro de 1 TB
Memoria RAM de 8GB
Puertos USB 2.0 y 3.0 26
Unidad de DVD R/RW.
Sistema Operativo y aplicaciones utilitarias.
Paquete de ofimtica para realizar las respectivas tareas de
consolidacin de informacin y diseo de los procedimientos y polticas
necesarias.
Cabe adicionar que la plataforma SIEM que la Entidad Financiera tiene
implementada en sus sistemas tecnolgicos tambin se cuenta como un
recurso tecnolgico. El SIEM es Nitrosecurity de la empresa McAfee.
Recursos Financieros. El presupuesto inicial que tiene la
compaa para el desarrollo del proyecto es de $ 30.000.000
(Treinta millones de pesos) equivalente a 33425.64 Nuevos soles,
teniendo en cuenta que el proyecto se desarrollar en un tiempo
que oscila entre los 3 a 4 meses. El stakeholder del proyecto por

parte de la Entidad, inicialmente valid el perfil de la persona que
contratada por estos 4 meses, que mnimo requera que tuviera
una certificacin en temas de seguridad como CISSP (Certified
Information Systems Security Professional) de (ISC)4 , CISM
(Certified Information Security Manager) o CRISC (Certified in
Risk and Information Systems Control) de ISACA 5 . El
profesional con este perfil indicaba que cobraba de 7 a 8 millones
de pesos(7799.32 a 8913.50 Nuevos soles) mensuales para la
implementacin del proyecto en mencin, lo que mximo en 4
meses, tendra un costo total entre $28.000.000 a $32.000.000
(veintiocho a treinta y dos millones de pesos) en Nuevos soles
(31197.26 a 35654.01), valores cercanos al presupuesto inicial
destinado por la Entidad para el desarrollo del proyecto. Como se
puede visualizar en la siguiente tabla, la suma total de los costos
necesarios para este proyecto en total, es casi el 30% del
presupuesto inicial definido, lo que brindara una relacin costo
beneficio, relativamente eficiente y efectiva.

Proyectado Proyectado Proyectado Proyectado
tem Descripcin Cantidad Unitario Total
Mes 1 Mes 2 Mes 3 Mes 4
Ingresos 0 $ 30.000.000 $ - $ - $ - $ - $ 30.000.000
Valor del Valor del
$ 30.000.000
proyecto proyecto
Gastos de
$ 1.500.000 $1.500.000 $1.500.000 $1.500.000 $ 6.000.000
Personal
Ingeniero con
estudios en
Sueldo 1 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 6.000.000
especializacin -
Medio tiempo
Gastos
$ 860.000 $ 860.000 $ 860.000 $ 860.000 $ 3.440.000
Generales
Transporte Transporte $ 100.000 $ 100.000 $ 100.000 $ 100.000 $ 400.000
Servicios
$ 500.000 $ 500.000 $ 500.000 $ 500.000 $ 2.000.000
Tcnicos
Materiales y Papelera,
$ 200.000 $ 200.000 $ 200.000 $ 200.000 $ 800.000
suministros fotocopias, etc.
Servicios Luz, telfono e $ $ $
$ 60.000 $ 240.000
pblicos internet 60.000 60.000 60.000
Inversin $ 1.800.000 $ - $ - $ - $ 1.800.000

Equipo Estacin de
1 $ 1.800.000 $ 1.800.000 $ - $ - $ - $ 1.800.000
Porttil trabajo
GRAN TOTAL $ 11.240.000
Tabla 2- Presupuesto
28
CRONOGRAMA
CRONOGRAMA
2da 1ra 2da
1ra 1ra 2da 1ra 2da
Quincena Quincena Quincena
Actividades Quincena Quincena Quincena Quincena Quincena
Enero Febrero Febrero
Enero 2015 Marzo 2015 Marzo 2015 Abril 2015 Abril 2015
2015 2015 2015
1. Planear
1.1 Levantamiento de
informacin proceso
actual de gestin de X
incidents
1.2 Anlisis de la
X X
informacin recolectada
1.3 Validar el proceso
actual de Anlisis de
Riesgos VS Incidentes de X X
Seguridad
2. Hacer
2.1 Disear la poltica se
gestin de incidentes
segn necesidades de la X
entidad
2.2 Disear el o los
procedimientos que
respalden la operacin de X
la poltica
2.3 Empalmar la poltica y
los procedimientos con la
gestin de riesgos X
tecnolgicos
29
2.4 Ajuste de los
procedimientos segn
implementacin de la X
gestin de riesgos
tecnolgicos.
3. Verificar
3.1 Divulgacin de la
poltica y los
procedimientos al rea de X
seguridad de la
informacin
3.2 Anlisis de la
implementacin de los
procedimientos en un X
rea de la entidad.
4. Actuar
4.1 Divulgacin oficial de
la poltica y los
procedimientos que X
respalden la gestin de
incidentes de seguridad.
4.2 Mejora continua del
proceso con auditoras X
peridicas del mismo
Tabla 3-Cronograma
30
SITUACIN ACTUAL
PLATAFORMA TECNOLGICA
La Entidad Financiera ha definido la plataforma tecnolgica que est cubierta por la

implementacin del SIEM. La siguiente figura permite visualizar de una forma
general la red fsica y lgica de la plataforma.
Router
Switch Cisco
Ilustracin 2 Diagrama de Red Actual

Fuente: Yessid Alberto Tiaquira.
31
ANLISIS DE LOS COMPONENTES TECNOLGICOS
La identificacin de la plataforma tecnolgica que hace parte del alcance de la

implementacin del SIEM, se realiz con base en definicin previa de los sistemas
crticos de la entidad (incluyendo procesos) y posteriormente seleccionando los
recursos tecnolgicos que soportaban estos sistemas. En segunda medida, se tuvo
en cuenta los aspectos legales que seran apalancados por la herramienta.
2.2.1 Dispositivos. Los dispositivos configurados en el SIEM soportan sistemas

como, el Directorio Activo, el Firewall configurado para el Centro de Datos, los
servidores y las consolas para la administracin del Antivirus, Integrador de
Productor McAfee (ePO) y el correlacionador de eventos, el servidor de archivos en
red (NFS), el switch core del Centro de Datos, el controlador de redes inalmbricas,
y, el aplicativo Guardium. En la siguiente tabla es posible identificar los dispositivos
asociados a cada uno de estos sistemas:
Nombre del
Descripcin Fabricante
Dispositivo
SRVBOGAD01 Directorio Activo de la Compaa Windows
SRVBOGAD02 Directorio Activo de la Compaa Windows
SRVBOGALO Aplicacin Aurolog Windows
Aplicacin para la integracin de los productos
SRVBOGEPO McAfee
de McAfee
SRVBOGNFS File Server de la compaa Windows
COMBOGFW Firewall DMZ de la compaa Fortinet
SRVBOGGUA Aplicativo Guardium IBM
SRVBOGREG Aplicaciones para las Regionales Windows
SRVBOGTRA Aplicacin de Transferencia de Archivos (NFS) Windows
COMBOGWLC Controlador de la Red Inalmbrica Cisco
Tabla 4 Dispositivos.
32
INCIDENTES DE SEGURIDAD DE LA INFORMACIN
La Direccin de Seguridad de la Informacin es el rea encargada de la recoleccin

y posterior anlisis de los eventos, segn previa configuracin realizada por el
proveedor de la herramienta, ajustada a las necesidades de la entidad. Actualmente
la recoleccin de los eventos se realiza inmediatamente en el momento que sucede
en los dispositivos configurados, y el anlisis de los mismos, se ejecuta teniendo
como insumo el reporte mensual configurado para su envo automtico al rea y/o
cuando se dispara una de las alarmas previamente definidas en la configuracin de
la herramienta. Para la definicin de la metodologa se tuvieron en cuenta 3
modelos, los cuales establecan las etapas que se deben implementar para la
gestin de in incidente de seguridad.
Ilustracin 3- Metodologa de Incidentes de Seguridad.

Fuente: Metodologa e Implantacin de Gestin de Incidentes.
34
Se menciona a ITIL (Information Technology Infrastructure Library - Biblioteca de
Infraestructura de Tecnologas de Informacin) debido a que es un modelo de facto
ampliamente implementado en la gestin de Incidentes, y es posible adaptarlo al
contexto de seguridad.
RIESGOS DE SEGURIDAD DE LA INFORMACIN
En el caso de la gestin de riesgos derivados de los incidentes de seguridad, la Direccin

de Seguridad de la Informacin an no ha definido un flujo o un proceso especfico para
su alineacin. Sin embargo los riesgos tecnolgicos son registrados dentro de la
herramienta SIEM de McAfee Enterprise Security Manager and Event Receiver, la cual
se encarga de la recopilacin y valoracin de los riesgos segn los criterios definidos en
la misma bajo la ISO 27001:2005. Se contemplaron varias metodologas de gestin de
riesgos, como se puede evidenciar en la Figura 6, sin embargo debido a que la Entidad
ha venido definiendo su modelo de seguridad de la informacin bajo la norma ISO
27001:2005, se necesitaba una norma la cual tuviera fcil adaptacin a esta norma y
que adems fuera un soporte estable para todo el modo, por lo tanto se defini servirse
de gua la norma ISO 27005:2008.
Actualmente los dos procesos, Gestin de Incidentes de Seguridad y Gestin de

Riesgos, derivados de la herramienta implementada para la correlacin de Eventos
(SIEM por sus siglas) se encuentra, segn el modelo de capacidad de procesos de
COBIT 5 (ISACA, 2012), como un proceso ejecutado, el cual est implementado y
est cumpliendo su propsito.
35
METODOLOGAS GESTIN RIESGOS E INCIDENTES DE SEGURIDAD
Se indica la relacin que tienen de forma global las metodologas de gestin de

riesgos e incidentes de seguridad de la informacin. Es vlido aclarar que cuando
se presenta un incidente (Fase 2: Deteccin y reporte), ste automticamente se
convierte en un riesgo materializado, por lo tanto se convierte en una entrada de la
Fase 2, de la metodologa de gestin de riesgos (Identificacin del Riesgo). Durante
la valoracin del riesgo, se evala el riesgo segn la metodologa, adems de
realizar la evaluacin del incidente, segn los criterios que se definan para cada
actividad. As se trabaje en paralelo estas actividades, la definicin de un plan de
tratamiento del riesgo es un insumo para la decisin de la accin que se debe
ejecutar segn los resultados de la evaluacin. Por ltimo, en el proceso de gestin
de incidentes, se da una respuesta al mismo, y se validan las lecciones aprendidas;
por otro lado, se toma una decisin frente al riesgo ocasionado por el incidente, se
comunica y se realiza un monitoreo sobre el mismo, segn los criterios definidos
para la gestin de riesgos.
35
Figura 7. Interaccin de los procesos. Riesgos e Incidentes
Ilustracin 4- Interaccin de los procesos.Riesgos e Incidentes.
36
METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIN
MODELO ISO 27035:2011
Dentro de los objetivos que debe tener toda rea de Seguridad de la Informacin es
el definir controles y procedimientos para el manejo de los incidentes de seguridad
de la informacin en la organizacin. Estas acciones desde el enfoque corporativo,
promueven el cumplimiento de un objetivo principal: ayudar a contener y/o
administrar el impacto de los incidentes para reducir costos directos o indirectos
causados por los mismos.
La norma ISO 27035:2011 ha definido dentro del proceso de gestin de incidentes
de seguridad de la informacin 5 fases para cumplir con ese objetivo principal
(ICONTEC, 2011):
Ilustracin 5-Fases de la Gestin de Incidentes
38
En general, la primera se especifica todo los que se necesita para que el proceso
se ejecute de manera xitos, las otras cuatro fases son la ejecucin del proceso.
DEFINICIN E IMPLEMENTACIN DE LA METODOLOGA
Fase 1: Planificacin y preparacin. Generalmente esta es la fase en que se especifica

la mayor parte de la documentacin del modelo. Para la entidad, especficamente para
los incidentes seguridad derivados del SIEM, el modelo propuesto dentro de esta fase
define:
Poltica de Gestin de Incidentes de Seguridad de la Informacin (Ver

Anexo A).
Procedimiento y esquema del proceso de Gestin de Incidentes de
Seguridad de la Informacin.
Establecimiento del ISIRT (Information Security Incident Response Team
Equipo de respuesta a Incidentes de Seguridad de la Informacin)
Fase 2: Deteccin y reporte. El personal definido por la Direccin de Seguridad de la

Informacin para la administracin de la herramienta SIEM, es el responsable de detectar
y reportar de manera inmediata a travs de los canales o medios definidos al Gestor de
Incidentes de Seguridad de la Informacin y al administrador o dueo del sistema o
sistemas afectados, cualquier incidente de seguridad derivado de los eventos
identificados en la herramienta que puedan impactar de forma negativa la integridad,
confidencialidad y disponibilidad de los activos que se encuentran configurados en la
misma. Adems entre otras funciones tales como:
Monitorear todos los eventos que puedan ser causales de incidentes de

39
Recolectar la informacin necesaria sobre los eventos que produzcan
incidentes de Seguridad de la Informacin.
Gestionar (Detectar, reportar y tratar) las vulnerabilidades que se
identifiquen sobre la infraestructura tecnolgica del SIEM.
Diligenciar el Formato de Deteccin del Incidente (Ver Anexo C)
Fase 3: Evaluacin y decisin. Segn la informacin contenida en el formato de reporte

de Incidentes de Seguridad, el Gestor de incidentes, junto con el ISIRT, deben validar si
el incidente reportado es un incidente de seguridad.
Identificacin y Clasificacin de Eventos de Seguridad
La entidad para este proceso ha definido una categorizacin de incidentes de

seguridad que pueden ser identificados teniendo como fuente principal la
herramienta SIEM y las alarmas que fueron configuradas en la misma. Esta
categorizacin no es definitiva, pero s son un primer paso para la definicin de una
base de conocimiento:
Categora Descripcin Ejemplo
Incendio, agua,
La prdida de seguridad de la electrosttica, destruccin de
Incidente de dao informacin es causada por equipos, destruccin de
fsico acciones fsicas accidentales o medios, tobo de equipos,
deliberadas prdida de equipos,
alteracin de equipos, etc.
La prdida de seguridad de la
Fallas en la alimentacin
informacin es causada por fallas
Incidente de fallas elctrica, en las redes, en el
en los sistemas y servicios bsicos
de infraestructura aire acondicionado, en el
que apoyan el funcionamiento de
suministro de agua, etc.
los sistemas de informacin
La prdida de seguridad de la
Falla del hardware, mal
informacin es causada por fallas
funcionamiento del software,
Incidente de falla en los sistemas de informacin o
sobrecarga (saturacin de la
tcnica en instalaciones no tcnicas
capacidad de los sistemas de
relacionadas, al igual que
informacin), etc.
problemas humanos no
intencionales que dan como
resultado la no disponibilidad o
40
destruccin de los sistemas de
Informacin
Incidente de La prdida de seguridad de la

Virus informticos, gusanos
Malware informacin es causada por
de red, troyanos, botnet,
programas maliciosos creados y
ataques combinados,
divulgados en forma deliberada.
pginas web con cdigos
Un programa malicioso se inserta
maliciosos, APT (Advanced
en los sistemas de informacin
Persistence Threat
para afectar la confidencialidad, la
Amenazas Persistentes
integridad o disponibilidad de los
Avanzadas)
datos, las aplicaciones o sistemas
operativos, y/o afectar la
operacin normal de los
sistemas.
Incidente de Ataque La prdida de seguridad de la
Escaneo de redes,
Tcnico informacin es causada por el
aprovechamiento de
ataque a sistemas de informacin,
vulnerabilidades,
a travs de redes u otros medios
aprovechamiento de puertas
tcnicos, ya sea mediante el
traseras (backdoors), intento
aprovechamiento de las
de ingreso, interferencia,
vulnerabilidades de los sistemas
denegacin de servicio, etc.
de informacin en cuanto a
configuraciones, protocolos o
programas, o por la fuerza, lo que
da como resultado un estado
anormal de los sistemas de
informacin, o dao potencial a
las operaciones presentes en el
sistema.
Incidente de puesta La prdida de seguridad de la
Interceptacin, espionaje,
en riesgo de la informacin es causada al poner
divulgacin,
informacin en riesgo en forma accidental o
enmascaramiento, ingeniera
deliberada la seguridad de la
social, phishing de redes,
informacin, por ejemplo, en
robo y/o prdida de datos,
cuanto a confidencialidad,
alteracin de datos, etc.
integridad y disponibilidad.
No clasificados en algunas de
N/A
Otros Incidentes las anteriores categoras.
Tabla 5- Categorizacin de Incidentes.
41
40
Evaluacin de los Incidentes
El Gestor del Incidente de Seguridad de la Informacin evala la informacin

asociada a los eventos reportados como incidentes, la analiza y define el alcance
del incidente (Sistema de informacin, infraestructura tecnolgica, infraestructura
fsica) o la informacin misma procesada en estos sistemas. Durante la evaluacin
es necesario solicitar informacin como:
En qu consiste el incidente de seguridad de la informacin, segn los
eventos identificados
Identificacin de los activos afectados (Sistemas de Informacin,
Informacin, Procesos)
Cmo fue causado, y qu o quin lo caus
Fecha y hora de ocurrencia. Frecuencia de la ocurrencia.
Impacto real del incidente sobre el negocio.
Tratamiento temporal del incidente.
Es recomendable que esta informacin el Administrador de la Herramienta SIEM, la

suministra a modo de relato o segn los criterios que se hayan definido en el formato
del reporte de Incidentes de Seguridad de la Informacin.
Posterior al anlisis de la informacin, el Gestor del Incidente determina si es un
incidente dentro del contexto de Seguridad de la Informacin, escalndolo
posteriormente al ISIRT.
Priorizacin del Incidente
Esta etapa busca clasificar el incidente tomando en cuenta el impacto sobre los
servicios y sistemas afectados y acordando la asignacin de prioridad para todos
los recursos necesarios para su contencin y recuperacin, incluyendo el personal
adecuado para el tratamiento del incidente dentro del ISIRT.
41
Previo al tratamiento del incidente, es indispensable priorizar el incidente teniendo
en cuenta los siguientes factores:
Impacto al negocio: Incidentes contra los sistemas de TI que soportan las

principales funcionalidades del core del negocio. El impacto no slo debe ser
tenido en cuenta en el instante actual, sino tambin en la probabilidad futura
de la concurrencia del incidente.
Impacto en la Informacin: El grado de afectacin de la confidencialidad,

integridad y disponibilidad de la informacin de la Entidad. La informacin
que se procesa en los sistemas del alcance de este procedimiento, es
sensible y confidencial para la Entidad, por lo cual cualquier incidente que
afecte los criterios anteriormente nombrados es valorado como Crtico.
Recuperacin del incidente: El tamao del incidente y los sistemas afectados

(su infraestructura, redes y sistemas), determinar la cantidad de tiempo y
recursos que deben ser destinados para la recuperacin de ese incidente.
Para aquellos casos donde no es posible la recuperacin de un incidente, se
pone a consideracin del ISIRT, destinar recursos para la gestin prolongada
del incidente, teniendo en cuenta que generalmente en estos tipos de
incidentes, se asignan recursos para trabajar en asegurar y evitar la
materializacin de los incidentes en un futuro.
El Equipo de Respuesta a Incidentes debe considerar el esfuerzo necesario

para recuperar realmente del incidente y valorarlo contra el valor del esfuerzo
de recuperacin que se generar y los requerimientos asociados al manejo
del incidente.
42
La combinacin resultante del impacto funcional y del impacto de la informacin,
determina el impacto del incidente.
La recuperacin del incidente define las posibles respuestas que el ISIRT puede
tomar en la gestin. Sin embargo la estimacin de recursos y esfuerzos necesarios,
no deja de ser un criterio a tener en cuenta para la priorizacin del incidente, junto
con el impacto del incidente.
Para asignar una calificacin de severidad para un incidente es necesario

determinar por cada incidente, el impacto funcional actual y futuro del incidente si
no es contenido inmediatamente (NIST - National Institute of Standards and
Technology , 2012).
Valor Escala Definicin
Efecto insignificante en sistemas o infraestructura critica de la

Compaa.
0.25 Bajo
La organizacin puede proporcionar servicios crticos a los
usuarios.
Mnimos efectos sobre Sistemas o infraestructura crtica y/o
usuarios.
0.50 Medio
La Compaa puede Proporcionar servicios crticos a los
usuarios, pero ha perdido eficiencia.
Efecto significativo e inmediato sobre los sistemas o
infraestructura crtica y usuarios.
0.75 Alto
La Compaa ha perdido la capacidad de proporcionar un
servicio crtico o un grupo de usuarios del sistema.
Graves efectos sobre un gran nmero de sistemas, usuarios o
infraestructura crtica para la Compaa.
1.00 Crtico
La Compaa no puede prestar u ofrecer algunos servicios
considerados crticos, a los usuarios.
Tabla 6- Definiciones clasificaciones de Impacto.
Posterior a la identificacin del impacto, se debe asignar una criticidad de los

sistemas o recursos involucrados en el incidente, de acuerdo a la siguiente tabla:
43
Valor Escala Definicin
0.25 Bajo Pequeo nmero de recursos tecnolgicos
Sistema o sistemas, servicios o infraestructura considerados
0.50 Medio
no crticos.
0.75 Alto Sistemas, servicios o infraestructura critica para la Compaa.
Sistema o Sistemas que son de misin crtica para los
1.00 Crtico
procesos de Negocio.
Tabla 7- Definiciones de Criticidad.
Para determinar el resultado total de la severidad para un incidente, la persona

definida por el ISIRT para la priorizacin del incidente debe utilizar la siguiente
frmula:
Severidad general / Score del Efecto = Entero ((Valuacin Actual del efecto *
2.5) + (
Valuacin proyectada efecto * 2.5) + (Valuacin criticidad del sistema * 5)).
Con el resultado se indica la valoracin del incidente de la siguiente manera:
Rango Escala Tiempo de Respuesta

0.00 2.49 Mnimo 48 Horas
2.50 3.74 Bajo 24 Horas
3.75 4.99 Medio 8 Horas
5.00 7.49 Alto 3 Horas
7.50 10.00 Crtico Inmediato
Tabla 8- Escala Impacto del Incidente.
44
En este caso la Entidad ha definido que:
45
Cualquier incidente de seguridad de la informacin que se detecte en los
sistemas configurados en la herramienta SIEM, tiene como valoracin de su
impacto: Alto
Cualquier incidente de seguridad de la informacin que se detecte en los
sistemas configurados en la herramienta SIEM, tiene como valoracin de su
Criticidad: Alto
Como resultado de las anteriores definiciones, se indica que cualquier
incidente de seguridad de la informacin sobre los sistemas configurados en
la herramienta SIEM, tienen finalmente un impacto Crtico, lo que indica que
las acciones de recuperacin frente a estos incidentes no deben tardar ms
de 3 horas.
3.2.2 Fase 4: Respuesta
Respuestas Inmediatas
Posterior a la evaluacin y las decisiones tomadas por el ISIRT como resultado de
la fase anterior, en esta fase y dependiendo de la valoracin del incidente, el ISIRT
debe definir un conjunto de actividades de forma casi inmediata a la deteccin del
incidente, como:
Identificar las acciones de respuesta inmediata para el tratamiento del
incidente.
Definir y documentar controles de emergencia segn los resultados de la
evaluacin del incidente.
Notificar los interesados (stakeholders) sobre los resultados de la evaluacin
del incidente y las acciones sugeridas para una pronta recuperacin
(controles de emergencia).
Dependiendo del grado de afectacin del incidente sobre los activos de
informacin de la compaa, se tomara la decisin de la conformacin de
45
una sala de crisis, para darle prioridad al tratamiento del incidente, sin dejar
de implementar las acciones d respuesta inmediata.
Durante la ejecucin de las respuestas inmediatas, se debe tener en cuenta que en

paralelo, es posible actualizar los resultados de la evaluacin del incidente, producto
de una continua realimentacin segn la investigacin que se est llevando a cabo,
incluyendo la divulgacin de estas actualizaciones al lder del ISIRT y a cada uno
de los stakeholders. Esta actualizacin tambin debe incluir un estado del incidente,
donde se indique si el incidente es recurrente, si se est tratando, si se encuentra
bajo control o si definitivamente se ha solucionado.
En cada informe de la actualizacin del estado del incidente, el ISIRT y los

stakeholders deben definir las estrategias necesarias para la contencin del
incidente segn los resultados de cada evaluacin. Este es un proceso cclico hasta
que el incidente se encuentre solucionado y/o bajo control, y posteriormente se
definan las respuestas adicionales, si se considera necesario, y se identifiquen las
lecciones aprendidas del incidente.
Erradicacin y recuperacin
Tan pronto las respuestas inmediatas han sido implementadas, se debe determinar
la causa o las causas del incidente y su posterior erradicacin.
La erradicacin puede ser producto de la ausencia de instalacin de un parche de

seguridad sobre los sistemas afectados, algn desarrollo mal implementado sobre
los sistemas, la deteccin de un ataque de denegacin de servicio por la
identificacin de mltiples eventos ejecutados desde direcciones IP que se
encuentran en la Watchlist de la herramienta SIEM.
Algunas actividades en esta fase incluyen:
46
Determinar los signos y causa de incidentes
Localizar la versin ms reciente de copias de seguridad de los sistemas
afectados.
Removiendo la causa raz. En el evento de infeccin de gusanos o virus,
puede ser eliminado en el despliegue de parches de seguridad y software
antivirus actualizado.
Mejora de las defensas mediante la implementacin de tcnicas de
proteccin.
Realizacin de anlisis de vulnerabilidad para encontrar nuevas
vulnerabilidades introducidas por la causa raz.
Se recomienda realizar las actividades de erradicacin y recuperacin por fases y

por priorizacin, con el fin de ir evaluando y minimizando la causa raz del incidente.
Es necesario hacer nfasis que todos los involucrados en la gestin (ISIRT y los
administradores o dueos de cada sistema impactado) deben registrar cuidadosa y
detalladamente todas las actividades realizadas para un anlisis post-mortem del
incidente. Toda esta informacin recopilada debe tener una cadena de custodia, ya
que se considera confidencial para la Entidad, adems de que la misma pueda ser
comprobable y tenga su copia de respaldo.
Las medidas implementadas para el control del incidente deben ser monitoreadas,
con el fin de validar su efectividad y servir de base de conocimiento para futuros
incidentes.
3.2.3 Fase 5: Lecciones aprendidas. La ltima fase del proceso operativo de

gestin de incidentes de seguridad se lleva a cabo cuando se tiene la certeza que
el incidente ha sido solucionado o cerrado. Se tiene conocimiento del estado del
incidente con la elaboracin por parte del ISIRT de un reporte, donde se
47
identifique la causa o causas del incidente, las actividades realizadas, las medidas
que fueron adoptadas y los resultados de la implementacin de esas medidas.
El ISIRT completar cualquier documentacin que no se hizo durante el incidente,

adems de aquella informacin que sea beneficiosa para el tratamiento de futuros
incidentes.
Dentro de las actividades que se deben realizar son:
Ejecucin de un anlisis forense (si as lo considera el ISIRT) sobre los

sistemas impactados por el incidente.
Identificacin de las lecciones aprendidas y de las nuevas vulnerabilidades
identificadas durante la evaluacin y plan de respuestas del incidente.
Validacin de mejoras en la implementacin de controles de seguridad de la
informacin en los sistemas afectados.
Identificar y valoracin de los riesgos identificados segn los resultados de la
evaluacin de los incidentes.
Identificar mejoras en el proceso de gestin de incidentes de seguridad de la
informacin
Actualizacin de los incidentes de seguridad de la informacin gestionados
para posteriores informes o insumos para otros procesos de la Direccin de
Seguridad de la Informacin o el rea que bajo justificacin y demanda lo
requiera.
Comunicacin de los resultados a los stakeholders de los sistemas afectados
por el incidente, teniendo en cuenta que la clasificacin de la informacin
compartida es confidencial. Dentro de esta comunicacin, el informe de los
resultados debe responder preguntas como:
o Exactamente, Qu pas, y cuantas veces?
48
o Qu tan bien realizaron su trabajo el Personal y la
Direccin de Seguridad de Seguridad de la Informacin en
relacin con el incidente?
o Estn documentadas las actividades ejecutadas para la
erradicacin y recuperacin de los sistemas ante el
incidente?
Fueron las actividades adecuadas?
o Eran las medidas o acciones tomadas que podran haber
inhibido la recuperacin?
o Qu hara diferente el Personal y la Direccin la prxima
vez que ocurra un incidente similar?
o Qu acciones correctivas pueden prevenir incidentes
similares en el futuro?
o Qu precursores o indicadores deben ser observados
para en el futuro para detectar incidentes similares?
o Qu herramientas adicionales o recursos son necesarios
para detectar, analizar y mitigar futuros incidentes?
49
ANALISIS DE IMPLEMENTACIN DE LAS METODOLOGAS
PROPUESTAS
La definicin de las metodologas y de las herramientas que las apoyan
en la ejecucin de cada uno de sus procesos; segn lo planteado
basado en las normas ISO 27035 , 27002:2013 (Gestin de Incidentes
de Seguridad de la Informacin) e ISO 27005 (Gestin de riesgos en la
Seguridad de la Informacin), es la parte fundamental para llevar a cabo
la ejecucin de un proyecto, en el cual se implementen las 2
metodologas presentadas y se haga uso de las herramientas definidas
con el fin de realizar una validacin y evaluacin de la propuesta
metodolgica, para la gestin de incidentes de seguridad de la
informacin y de los riesgos consecuentes de la materializacin de estos
incidentes.
Actualmente la Entidad Financiera, se encuentra solventando un
inconveniente por temas SOx24, el cual radica en el cierre de un
Material Weakness (hallazgo), que fue reportado a la SEC (Securities
Exchange Commision), entidad que es un veedor para aquellas
empresas que cotizan en la Bolsa de Valores de New York. Este
hallazgo se encentra relacionado con el Monitoreo de Eventos y Logs,
en la plataforma tecnolgica que soporta las aplicaciones de alcance
SOx, la cual se encuentra identificada en este documento en el apartado
2.1 (Plataforma Tecnolgica).
La Entidad Financiera se encuentra realizando reingeniera sobre el 50
SIEM, herramienta que apoya el cumplimiento del control que provoc el

hallazgo, y debido a la situacin crtica por el incumplimiento, no
permitieron la implementacin de las metodologas, slo hasta que
cierren el hallazgo y que la Auditoria Externa (quin reporta a la SEC) lo
apruebe, valide y de la satisfaccin de lo mismo.
CASO DE ESTUDIO 2: ESPE (ESCUELA POLITECNICA DEL
EJERCITO DE ECUADOR)
Se enfoca en el diseo y dimensionamiento de un equipo de respuesta
ante incidentes informticos (CSIRT) para la Escuela Politcnica del
Ejrcito. En este contexto se ha realizado una recopilacin de
informacin del estndar ISO/IEC 27035, la gua NIST SP 800-61, el
modelo de gestin ITILv3 y las directrices del CERT/CC, relacionado con
grupos de incidentes de seguridad informticos para ser aplicados a la
implementacin del CSIRT acadmico. Para que el CSIRT apoye a los
objetivos estratgicos de la ESPE se determin los factores crticos de
xito (CSF) de la Institucin y se analiz el esquema de seguridad
informtica existente en la ESPE comparados con los controles definidos
en la norma ISO/IEC 27002; esta observacin se efectu realizando el
anlisis de riesgo conforme la gua NIST 800-30 y la herramienta de
evaluacin de seguridad CSET 4.0 del US-CERT. La factibilidad
financiera se determin en base al anlisis de costo beneficio,
considerando el presupuesto referencial para la implementacin del
CSIRT y el valor de la resolucin de incidentes, aplicando el Proyecto de
Modelacin y Anlisis de Costo de Incidentes - ICAMP-II. La validacin

51
de la eficiencia y operatividad de los procesos de manejo de incidentes
de seguridad informtica de la ESPE, se efectu mediante simulaciones
de varios escenarios utilizando la herramienta SIMPROCESS.
El crecimiento en la penetracin de Internet en Ecuador al 31.4 % al ao
2011, segn los datos del INEC (2011) est relacionado con el
desarrollo de los servicios electrnicos asociados con la actividad social,
comercial, financiera, educativa, salud, entre otras de la sociedad,
conforme lo indica el Foro Mundial Econmico en su reporte Global de
Tecnologa de Informacin del 2012 (Foro Mundial Econmico, 2012).
Sin embargo ha existido tambin un aumento en las amenazas
informticas que tienen como finalidad robar informacin personal,
realizar ataques de denegacin de servicio, realizar fraudes con tarjetas
de crdito o afectar a la imagen de una institucin, como lo demuestran
en sus reportes anuales de ataques informticos varias organizaciones
relacionadas con temas de seguridad como es el caso de SYMANTEC
(2012) Esto ha obligado a las organizaciones a realizar un anlisis ms
profundo acerca de la seguridad de la informacin y comprender que la
implementacin de mecanismos de seguridad como firewalls,
herramientas antivirus y anti-spam, es solo parte de una arquitectura de
seguridad, que debe integrar polticas, estndares, normas, modelos de
gestin de tecnologa y operaciones de seguridad, para minimizar el
impacto ante un ataque a la actividades de la organizacin (Gonzles R.
, 2005). Las organizaciones han entendido que si los mecanismos de
proteccin implementados fallan, es necesario contar con procesos
estructurados y personal especializado que maneje los incidentes de

52
seguridad de informacin y restablezca los sistemas en el menor tiempo
posible (Georgia, 2003). De esta manera lo comprendi el Gobierno de
Estados Unidos cuando en el ao de 1998 un gusano de internet Morris
afecto al 10% de las mquinas en Internet de esa poca, incluyendo a
las de la NASA y provocando prdidas estimadas en los 96 millones de
dlares (Rajnovic, 2011), que llevo a la creacin del primer grupo de
respuesta ante incidentes computacionales (CERT/CC). El objetivo de
establecer grupo de respuesta ante incidentes informticos
denominados CERT, CSIRT o CIRT, es contar con un punto nico de
contacto en las organizaciones para la recepcin de notificaciones de
seguridad, manejo de incidentes y anlisis de vulnerabilidades en los
recursos y servicios que soportan a la informacin (Haller, 2011).
Muchos pases a nivel mundial han considerado la implementacin de
estos grupos como punto de contacto a nivel nacional ante eventos de
seguridad informtica (Killcrece, 2004) Varias universidades han
cumplido un rol principal en la implementacin de los CSIRT nacionales,
es as el caso de la Universidad de Carnegie Mellon en la que se
estableci el primer grupo de respuesta ante incidentes y las
universidades Autnoma de Mxico, de Chile, Nacional de Asuncin de
Paraguay que son parte de los CERT de sus respectivos pases
(Universidad Carnegie Mellon, 2004) A nivel latinoamericano la
implementacin de CSIRTs acadmicos ha tomado fuerza en los
ltimos aos y existe al menos un grupo de respuesta a incidentes de
este tipo en cada pas de la regin exceptuando actualmente a Bolivia y
Per (Ministerio de Comunicaciones-Repblica de Colombia, 2008). En

53
el caso particular de Ecuador la Universidad Tcnica Particular de Loja
UTPL, cuenta con un CSIRT acadmico implementado en el 2008 como
parte del proyecto AMPARO y del trabajo de tesis de REBECA PILCO
Creacin de un equipo de respuesta para la Universidad Tcnica
Particular de Loja - UTPL (Pilco, 2008) y la Red Nacional de
Investigacin y Educacin del Ecuador CEDIA implemento en el ao
2012 un CSIRT con la finalidad de ser un punto de contacto de las
universidades ecuatorianas. La Escuela Politcnica del Ejrcito ha tenido
en cuenta que no est exenta de riesgos que afecten a la seguridad de
su informacin y la importancia de mantener la disponibilidad de los
servicios tecnolgicos para el cumplimiento en sus actividades diarias,
por lo que se ha enfocado en el mejoramiento de los controles de
seguridad informtica como se presenta en el trabajo propuesto por
Patricio Moscoso y Ricardo Guangalango (2011), Evaluacin tcnica de
la seguridad informtica del data center de la Politcnica del Ejrcito y
el manejo de requerimientos de tecnologa por parte de la comunidad
acadmica de la Institucin que se presenta en el trabajo de Alejandra
Cuadros y Gabriela Velsquez (2011), Anlisis, rediseo e implantacin
de los procesos basados en ITIL, para el rea de gestin y soporte
tcnico de la Unidad de Tecnologa de Informacin y Comunicacin de la
Escuela Politcnica del Ejrcito En funcin a la misin de la ESPE en la
formacin profesional, la investigacin y la vinculacin con la comunidad,
la implementacin de un CSIRT acadmico a ms de la proteccin a la
informacin y servicios de la Institucin, aportar a la creacin de
nuevos grupos especializados en el pas y al foment de una cultura de

54
seguridad informtica en la sociedad (West-Brown, 1998). En este
contexto este artculo se enfoca en el proceso de diseo y
dimensionamiento del equipo ante respuesta de incidentes para la
Escuela Politcnica del Ejrcito, aplicando las directrices definidas en la
norma ISO/IEC 27035 (International Organization for Standardization,
2011), la NIST 800-61, ITIL v3 y publicaciones del CERT/CC para la
implementacin del CSIRT acadmico, considerando la realidad de las
universidades pblicas del pas, especficamente la ESPE en base a sus
recursos tecnolgicos, humanos y financieros disponibles y a su misin
institucional.
En base a la informacin recopilada se observ que el proceso de
implementacin del CSIRT, se conforma de cinco etapas con objetivos y
actividades especficas (ver Figura 1). Etapa 1.Alistamiento y definicin
de procedimientos. Etapa 2.Capacitacin y entrenamiento. Etapa
3.Gestin de alertas e investigacin. Etapa 4. Respuesta a incidentes y
apoyo a la comunidad. Etapa 5. Operacin, revisin y mejoramiento
continuo.
55
Ilustracin 5-Etapas y actividades para la implementacin de un CSIRT
b. Procesos de gestin de incidentes de la CSIRTESPE. El proceso de
gestin de incidentes aplicado al CSIRT de la ESPE, se conforma de
tres subprocesos (Alber, 2004): deteccin y anlisis, manejo de incidente
y cierre del incidente .En la etapa de deteccin y anlisis se recepta la
informacin de incidentes va email, requerimientos al help desk, o logs
de los recursos tecnolgicos; est informacin se registra en formularios
en los que se detalla adicionalmente datos como: nombre del
informante, correo electrnico, nmero telefnico, sistema o servicio
afectado, fecha del incidente y si existen otros usuarios afectados. La
informacin recopilada es analizada en un proceso denominado triage,
en el cual se clasifica el incidente y se prioriza los recursos humanos y

56
tecnolgicos de acuerdo al nivel de impacto, para proceder a su
resolucin y posterior proceso de cierre del requerimiento recibido. c.

Evaluacin de la factibilidad financiera CSIRT de la ESPE Basndose en
los datos obtenidos del diagnstico de la estructura organizacional,
tecnolgica y de seguridad de la ESPE, se dimension los componentes
y rubros relacionados con el hardware, software, personal y capacitacin
para la futura implementacin del mismo en la Institucin (Rajnovic,
2011). Posteriormente se procedi a la evaluacin del costo beneficio de
la implementacin del CSIRT, tomando como referencia el valor de la
resolucin de incidentes de seguridad informtica propuesta en el
proyecto de modelado y anlisis de costo de incidentes ICAMP-II
(USENIX, 2011), para el incidente de virus KIDO presentado en la ESPE
en el ao 2012 y el presupuesto referencial de implementacin del
CSIRT.
57
Ilustracin 6-Proceso de manejo de incidente de seguridad informtica del CSIRT
58
d. Simulacin de los procesos de gestin de incidentes CSIRT-ESPE
Para evaluar las mejoras en los tiempos de resolucin, la distribucin de
carga de requerimientos y el nmero de incidentes de informticos de
seguridad resueltos exitosamente, por parte del personal de la UTIC de
la ESPE, al contar con procesos estructurados y capacitacin en
seguridad informtica, se realizaron simulaciones de diferentes
escenarios de manejo de incidentes de seguridad informtica utilizando
la herramienta SIMPROCESS (2012).
III. EVALUACIN DE LOS RESULTADOS Y DISCUSIN El anlisis de
factibilidad tcnica y financiera permiti contribuir con la presentacin de
la propuesta para la implementacin del CSIRT de la ESPE, evaluando
componentes de hardware, software, personal y capacitacin
necesarios, as como su rubro asociado. Considerando que la ESPE es
una institucin acadmica estatal sin fines de lucro que no est exenta
de ataques de seguridad que afecten negativamente a la Institucin; se
realiz la evaluacin del costo del cdigo malicioso (KIDO), el cul
afecto a un total de 40 mquinas por un perodo de 4 das a la ESPE en
el 2012. La estimacin se realiz aplicando la propuesta del proyecto
ICAMP-II, obtenindose como resultado un valor de $16.742 con una
desviacin de $2.500. Del anlisis del costo beneficio de contar con un
CSIRT, se determin que en caso de presentarse un ataque similar
existir una rentabilidad igual al valor del obtenido si el ataque fuera
exitoso ($16.742), adems de la contribucin al fortalecimiento de una
cultura de seguridad informtica en la sociedad. Un factor a tomar en

59
cuenta en el CSIRT acadmico es el recurso humano existente
(estudiantes, profesores e investigadores) en la ejecucin de
investigaciones futuras relacionadas Aunque del presupuesto referencial
obtenido para la implementacin puede ser alto para una institucin
acadmica ,este se compensa con el recurso humano disponible para
investigacin. El CSIRT puede operar inicialmente utilizando la
infraestructura tecnolgica existente en la Institucin y mediante el uso
de herramientas de cdigo abierto. El contar con procesos estructurados
genera rentabilidad econmica al no tener costos indirectos relacionados
con el tiempo destinado por personal de la UTIC a resolver incidentes de
seguridad informtica.
Presupuesto Referencial
Rubro Unidad
Plataforma tecnolgica $22.385,00
Gastos operativos $280.980,00
Equipos de oficina $51.555,00
Arriendo servicios bsicos $5.400,00
Especializacin $16.600,00
TOTAL $376.920,00
Tabla 9 Presupuesto Referencial
En base al anlisis de seguridad realizado con la herramienta CSET4.0 se
determin las mejoras a realizarse en los controles de seguridad existentes en
la ESPE.
60
Ilustracin 7-Mejoras a los controles de seguridad de la ESPE
Evaluando la estructura organizacional de la ESPE se determin los factores
de xito crtico de la Institucin (ver Tabla 2), en base a lo cual se defini los
servicios a ofertar por el CSIRT, as como su misin, visin, polticas,
relaciones de confianza, priorizacin y mtricas de evaluacin (Dorofee &
Kilcrece, 2007).
61
Factores de xito Servicios CSIRT
crtico
1.Manejo y resolucin de incidentes 2.Configuracin y
mantenimiento de herramientas de seguridad,
Gestin de
aplicaciones e Infraestructura
cumplimientos 3. Auditoras de seguridad y alertas
de acuerdos
1. Configuracin y mantenimiento de herramientas de

seguridad, aplicaciones e Infraestructura
Planes de 2. Planeamiento de recuperacin ante desastres y
seguridad continuidad del negocio
informtica 3. Planeamiento de polticas de seguridad.
Programas de 1.Entrenamiento y educacin

capacitacin
y
entrenamiento
Tabla 10-Mejoras a los controles de Seguridad de la ESPE
a. Misin CSIRT de la ESPE
La misin determinada para el CSIRT de la ESPE en base al anlisis
organizacional de la Institucin es la siguiente: Brindar el servicio de manejo
de incidentes informticos a la comunidad acadmica de la ESPE, a travs de
auditoras y planes de seguridad informtica, que permitan garantizar la
disponibilidad de los servicios tecnolgicos de la Institucin.
b. Visin CSIRT de la ESPE
La visin definida para el CSIRT de la ESPE en base al anlisis organizacional
de la Institucin se defini como: Consolidarse dentro de la Institucin como un
organismo de apoyo y asesora para la comunidad acadmica para el
mejoramiento de la seguridad informtica en los diferentes recursos
tecnolgicos de la ESPE y fomentar la participacin de la comunidad
acadmica en temas relacionados con la seguridad de la informacin.

62
c. Polticas del CSIRT de la ESPE
De acuerdo al anlisis a los controles de seguridad de la norma ISO/IEC 27002
(International Organization for Standardization, 2007) evaluados para la ESPE,
para el funcionamiento eficiente del CSIRT se debe implementar las siguientes
polticas:
Poltica de seguridad de la informacin
Poltica de usuarios
Poltica de transmisin de informacin
Poltica de notificacin de incidentes
Poltica de tratamiento de incidentes
d. Establecimiento de relaciones de confianza para el CSIRT de la
ESPE
El establecimiento de relaciones de confianza permite mejorar los procesos de
manejo de incidentes, a travs del intercambio de informacin entre grupos
similares. A nivel local se estable acuerdos con:
CSIRT-CEDIA
CSIRT-SUPERTEL
CSIRT-FFAA
63
Mientras que a nivel internacional las relaciones de confianza se establecen
con:
FIRST
OAS
ITU-D
IMPACT
AP-CERT
e. Priorizacin manejo de incidentes
La priorizacin del manejo de incidentes de la ESPE se determina en base al
anlisis de riesgo realizado y los tiempos de resolucin son establecidos en
concordancia con el modelo de gestin ITIL v3 utilizado en la UTIC
Priorizacin Impacto
manejo de
incidentes Servic Vector de amenaza
io
1. Sistema de
1.Actividad de cdigo
Gestin
malicioso
ALTA Administrativa
2.Vulnerabilidad de
2. Sistema
Financiero Parches
3. Sistemas de
Gestin
acadmica
1.Portal de 1.Actividad de
servicios reconocimiento
MEDIANA
Institucionales 2.Deformacin WEB
2.Correo 3.Spam
electrnico
Institucional
1.Servicios de 1. Denegacin de
BAJA Internet servicio.
2.Repositorios de 2.Uso no autorizado
FTP
3.Telefona
Tabla 11-Priorizacin de manejo de incidentes
64
Tabla 12-Tiempo de INCIDENTES
Mtricas para la evaluacin del cumplimiento y desempeo del CSIRT.

La eficiencia de los procesos de manejo de incidentes de seguridad
informtica requiere de su monitoreo continuo por lo cual se establecieron
mtricas de evaluacin.
Descripcin Mtrica
Nmero de incidentes de severidad Alta.
Nmero de incidentes severidad Mediana
y Baja. Nmero de otros incidentes.
Nmero de incidentes incorrectamente
categorizados. Nmero de incidentes
Mantenimiento de la
incorrectamente escalado.
Calidad del Servicio
Nmero de incidentes que no pasaron por
el Help Desk.
Nmero de incidentes que no fueron
cerrados o resueltos sobre las horas.
Nmero de incidentes resueltos antes
de que el usuario notifique.
Nmero de incidentes abiertos nuevamente.
Nmero de usuarios/clientes encuestas
Mantenimiento de enviadas. Nmero de encuestas
satisfaccin al cliente respondidas.
Promedio de puntaje encuesta a usuario
(total o por categora de pregunta).
Promedio de tiempo de espera antes de la
respuesta al incidente.
Nmero de incidentes registrados.
Nmero de incidentes resueltos por Help
Resolucin de incidentes en Desk. Nmero de incidentes intensificados por
los tiempos establecidos Help Desk. Tiempo promedio para restablecer
el servicio desde la primera llamada.
Tiempo promedio para restaurar la
severidad del incidente.
Tiempo promedio para restaurar la
urgencia del incidente.
Tabla 13- Mtricas de evaluacin de los procesos de manejo de incidentes.
65
g. Simulacin de procesos de gestin de incidentes
Los resultados obtenidos al contar con procesos de gestin de incidentes de
seguridad informticos como parte del CSIRT de la ESPE, se determinaron en
base a simulaciones realizadas con la herramienta SIMPROCESS (vase
Figura 4).
En la simulacin se consideraron varios parmetros como: ponderacin
de los incidentes, personal del CSIRT, tiempos de resolucin entre otros.
Los tiempos para la ejecucin de los diferentes procesos del manejo de
incidentes, se establecieron de acuerdo a recomendaciones definidas en
el modelo de gestin ITILv3, y los niveles de escalamiento de acuerdo al
proceso establecido actualmente en la UTIC (ver Tabla 6).
Para las diferentes simulaciones se utiliz un valor promedio de 100
requerimientos diarios realizados al Help Desk de la ESPE, de acuerdo a
los reportes obtenidos de la herramienta de administracin de tickets
Service Desk,4 horas.No, al menos que sea requerido BAJO Siguiente
da laboral NO utilizada por la UTIC para la gestin de incidencias
informticas y requerimientos de TI solicitados por la comunidad
acadmica de la ESPE.
66
Ilustracin 8- Proceso de manejo de incidentes simulado en SIMPROCESS.
Tiempo
Nomen- clatura
Niveles de soporte de Niveles de escalamiento
resolucin
Soporte primer nivel 30 min Help Desk GT1
Soporte segundo nivel 60 min Redes y comunicaciones GT2
Soporte tercer nivel 4 horas Sistemas de informacin GT3
Proveedores 24 horas Proveedores/CSIRTs GT4
Tabla 14- Tiempos de resolucin y niveles de escalamiento UTIC
La simulacin se realiz analizando cuatro escenarios diferentes que se
describen a continuacin:
67
Escenario 1: Proceso de manejo de incidentes en el que se cuenta con un
experto en seguridad y documentacin organizada bajo el modelo de gestin
ITILv3. Los incidentes de seguridad informtica son resueltos por el personal
del CSIRT, Help Desk y soporte de segundo y tercer nivel de la UTIC.
Escenario 2: Proceso de manejo de incidentes en el que no se cuenta con un
experto en seguridad y documentacin organizada bajo el modelo de gestin
del Help Desk y soporte de segundo y tercer nivel de la UTIC.
Escenario 3: Proceso de manejo de incidentes en el que no se cuenta con un
experto en seguridad ni documentacin organizada bajo el modelo de gestin
del Help Desk y soporte de segundo y tercer nivel de la UTIC.
Escenario 4: Proceso de manejo de incidentes en el que se cuenta con dos
expertos en seguridad y documentacin organizada bajo el modelo de gestin
del CSIRT, Help Desk y soporte de segundo y tercer nivel de la UTIC.
Para la simulacin se establecieron los siguientes parmetros en la
herramienta SIMPROCESS.
68
Categora de incidentes: Se defini tres entidades que hacen referencia a los
niveles de ponderacin de incidentes de seguridad informticos: Alta, Mediana
y Baja .Estos valores son iguales para los 4 escenarios de anlisis.
Ilustracin 9- Ponderacin de incidentes definidos en SIMPROCESS.
Recursos: Para el proceso de simulacin se tom en cuenta el

nmero de personal de la UTIC en Help Desk, y en soporte de segundo
(GT2) y tercer nivel (GT3) de la UTIC, que est asignado en el manejo de
incidentes informticos. Adicionalmente se consider la contratacin de un
experto certificado en incidentes de seguridad (Incident Handler) para
personal del CSIRT.
En la herramienta SIMPROCESS, las reas de Help Desk, GT2 y

GT3 definen en el campo resources, y la cantidad de personal para cada
rea se define en el campo Global Attribute Definitions (ver Figuras 6 y 7).
Ilustracin 10- Definicin de las reas de TI en la herramienta SIMPROCESS.
Ilustracin 11- Definicin del nmero de personal en cada rea de la UTIC
69
Registro: Se consider para la etapa de registro de incidentes, que la
notificacin pueden venir de diferentes fuentes hacia el personal del
Help Desk y del CSIRT (Incident Handler). Se estima el tiempo de 1
minuto para que el personal notificado registre la incidencia.
Triage: Para este proceso se consideraron las siguientes variantes en
los escenarios de anlisis; primero se consider que la evaluacin del
incidente (categorizacin y priorizacin) debe realizarse por parte de un
experto certificado en seguridad con un tiempo estimado de 10 minutos.
En el segundo y tercer escenario se considera que no
se cuenta con un experto en seguridad certificado y la evaluacin la
realiza el personal de Help Desk con un tiempo de resolucin de 30
minutos (ver Figura 8).
Anlisis: Para esta parte del proceso se consideraron para las
simulaciones dos variantes de escenarios. En el primer escenario las
incidencias categorizadas como altas son analizadas por personal del
CSIRT, de Help Desk y de soporte de segundo y tercer nivel de la UTIC.
Para el segundo escenario no se cuenta con personal de CSIRT y el
proceso de anlisis es efecta por personal de Help Desk y de soporte
de segundo y tercer nivel de la UTIC
Obtencin de registros (Registration): En esta etapa del proceso se simul
el contar con registros de incidentes ocurridos anteriormente. La simulacin en 70
esta etapa del proceso comprende dos variantes de escenarios. En el primero

que se cuenta con documentacin estructurada de incidencias anteriores o
procedimientos de manejo de incidentes en un valor de 80%; Para el segundo
escenario se consider el caso contario con una existencia limitada
documentacin de un valor del 20%.
Ilustracin 12- Definicin de procesos de anlisis de incidencias
Nota: Evl Inc Alta incluye a personal del CSIRT, HELP DESK y Soporte de segundo y tercer nivel.
Evl Inc Media incluye a personal del HELP DESK y Soporte de segundo y tercer nivel.
Evl Inc Baja incluye a personal del HELP DESK.
Las simulaciones realizadas permitieron determinar los siguientes resultados:
Nmero de incidencias resueltas: En los escenarios en los que no se
contaba con personal experto en seguridad informtica (Incident Handler), se
present valores menores de incidencias resueltas; en el escenario 4, donde se
consider un experto de seguridad adicional el nmero de incidencias resueltas 71

prcticamente se duplic, especialmente en la categorizadas con ponderacin
Alta (ver Figura 10).
Porcentaje de ocupacin del personal: En los escenarios en los que no se
contaba con personal experto en seguridad informtica (Incident Handler), se
present mayor porcentaje de ocupacin del personal del Help Desk, debido a
que estos se encontraban recibiendo requerimientos y atendiendo incidencias.
Adicionalmente el tiempo que el personal de Help Desk requiere para analizar
una incidencia y ofrecer el tratamiento es mayor debido a que no cuenta con
una especializacin en seguridad informtica.
En el escenario 3, donde no se contaba con documentacin organizada se
present un incremento en el grado de ocupacin del personal de soporte de
segundo nivel (GT2), debido a que a que se gener mayor escalamiento de
incidencias por parte del Help Desk, al no tener procesos definidos para el
manejo de incidentes.
En el escenario 4 se present un incremento en la ocupacin del personal de
las diferentes reas, debido a que se resolvi un mayor nmero de incidencias
en el mismo perodo de tiempo.
Costos: En los escenarios en los que se contaba con personal experto en
seguridad informtica (Incident Handler), se present un mayor costo del valor 72
a pagar al personal por la resolucin de incidentes, esto es debido a que el

valor salario- hora del personal certificado es mayor. Si se analizan el nmero
de incidencias de ponderacin Alta resueltas y el costo de incidente que podra
generarse debido al impacto de estas incidencias, se tiene una buena relacin
costo beneficio de contar con personal especializado.
Ilustracin 13- Simulacin de porcentaje de ocupacin del personal y nmero de incidencias

resueltas.
Un aporte adicional de las simulaciones realizadas, es la verificacin de la
importancia de contar con procesos de documentacin de las incidencias
presentadas y la capacitacin del personal de tecnologa en gestin de
incidentes de seguridad, a fin de mejorar los tiempos de resolucin y la
reduccin de escalamientos incorrectos a personal de mayor nivel de
especializacin.
73
BIBLIOGRAFIA
74

Iso 27002 - 2013 - Final

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Iso 27002 - 2013 - Final

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

ISO/IEC 27002:2013- Gestin de Incidentes.

SISTEMAS DE INFORMACION GERENCIAL

PROFESOR : Dr.Ing.. ARADIEL CASTAEDA, HILARIO

Carasas Curay Walter Rubn Junior 1315210015

Chepuline Medrano Junior Milton 1315210069

Zumaeta Collantes Linder 1315210211

ISO IEC/27012:2013 ...................................................................................... 6

Gestin de incidentes de seguridad de la informacin ............................. 6

CASOS DE ESTUDIO .................................................................................. 16

PLATAFORMA TECNOLGICA ....................................................................... 8

ANLISIS DE LOS COMPONENTES TECNOLGICOS ................................. 9

INCIDENTES DE SEGURIDAD DE LA INFORMACIN ................................. 34

RIESGOS DE SEGURIDAD DE LA INFORMACIN ...................................... 35

METODOLOGAS GESTIN RIESGOS E INCIDENTES DE SEGURIDAD.... 11

METODOLOGA DE GESTIN DE INCIDENTES DE SEGURIDAD DE LA

MODELO ISO 27035:2011 ........................................................................... 38

DEFINICIN E IMPLEMENTACIN DE LA METODOLOGA ........................ 39

Identificacin y Clasificacin de Eventos de Seguridad............................. 40

Evaluacin de los Incidentes ........................................................................ 41

Priorizacin del Incidente .............................................................................. 41

3.2.2 ............................................. Fase 4: Respuesta Respuestas Inmediatas

Erradicacin y recuperacin ......................................................................... 46

en los ltimos aos se ha acelerado, a raz de la evolucin de los diferentes

mtodos (vectores) de ataque informtico. Este crecimiento tambin ha sido

promovido por aquellas organizaciones que se encargan de definir

requerimientos, estndares generales en algn tipo de industria, con el fin de

buscar la proteccin de la informacin contra cualquier intento de sustraer,

alterar o eliminar la informacin; un ejemplo de estos estndares son: PCI-DSS

(Requerimientos de Seguridad para Informacin de Tarjetas de Crdito), Cloud

Security Alliance (Requerimientos de Seguridad para la Informacin

almacenada o procesada en Cloud Computing), entre otros. Sin embargo, el

tener instalada y configurada las mejores herramientas de seguridad

informtica, aquellas que se encuentran en el cuadrante mgico de Gartner; no

asegura que se est un 100% protegido. Toda herramienta, necesita ser

respaldada por un conjunto de lineamientos los cuales den peso al porqu de

su implementacin. Lineamientos que estn homologados con los objetivos

estratgicos de cada organizacin y que expresen en un lenguaje de alto nivel

cmo las tecnologas, en este caso en el contexto de seguridad, se convierten

en un gran aliado para el desarrollo continuo, con un costo eficiente de la

Las posibilidades de dao y prdida de informacin por causa de inseguridad

informtica, se hacen cada vez ms comunes, debido a que el explotar

vulnerabilidades que se pueda tener en el manejo de informacin sensible, es

tecnologa y el uso que se le da. En la actualidad la informacin de la institucin

se ha reconocido como un activo valioso y a medida que los sistemas de

informacin apoyan cada vez ms los procesos de misin crtica se requiere

contar con estrategias de alto nivel que permitan el control y administracin

efectiva de los datos, los servicios web y red de informacin enfrentan

amenazas de seguridad que incluye entre muchas cosas el fraude por

computadora, espionaje, sabotaje, vandalismo y desastres naturales, la

posibilidad de dao y perdida de informacin por causa de cdigos maliciosos,

mal uso o ataques de denegacin de servicio se hacen cada vez ms

Gestin de incidentes de seguridad de la informacin

1.1.1. Gestin de incidentes de seguridad de la informacin y

1.1.1.1. Responsabilidades y procedimientos

Se deberan establecer las responsabilidades y procedimientos de gestin para

garantizar una respuesta rpida, efectiva y adecuada a los incidentes de

Deberan tenerse en cuenta las siguientes directrices en los procedimientos de

gestin de los incidentes de seguridad de la informacin:

a) deberan establecerse responsabilidades a nivel de gestin para

asegurar que los siguientes procedimientos se desarrollan y comunican