Gua: Gestin de Incidentes de

Seguridad de la Informacin

Gua Tcnica

HISTORIA

FECHA
1.0.0

12/31/2014

CAMBIOS INTRODUCIDOS
del documento

TABLA DE CONTENIDO
PG.

DERECHOS DE AUTOR .................................................................................................................. 5

AUDIENCIA ........................................................................................................................................... 6
INTRODUCCIN ................................................................................................................................ 7
GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN ....................... 8
OBJETIVO ............................................................................................................................................. 8
CARACTERSTICAS DE UN MODELO DE GESTIN DE INCIDENTES ................... 9
DEFINICIN FORMAL DE LA GUA PROPUESTA PARA LA GESTIN DE
INCIDENTES ..................................................................................................................................... 11
PREPARACIN ............................................................................................................................... 11
Recursos de Comunicacin ................................................................................................. 12
Hardware y Software .............................................................................................................. 13
Recursos para el Anlisis de Incidentes ......................................................................... 13
Recursos para la Mitigacin ................................................................................................ 13
DETECCIN Y ANLISIS ............................................................................................................ 14
Deteccin .................................................................................................................................... 14
Anlisis 14
Declaracin y Notificacin de Incidentes ........................................................................ 15
CONTENCIN ERRADICACIN Y RECUPERACIN .................................................... 16

ACTIVIDADES POST-INCIDENTE........................................................................................... 19
Lecciones Aprendidas: .......................................................................................................... 19
ROLES Y PERFILES NECESARIOS PARA LA ATENCIN DE INCIDENTES ..... 21

DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Informacin
con derechos reservados por parte del Ministerio de Tecnologas de la Informacin
y las Comunicaciones.
Para el desarrollo de esta gua, se recogieron aspectos importantes de mejores
prcticas y documentos de uso libre por parte del NIST (National Institute of
Standards and Technology (Computer Security Incident Handling Guide), tomando
como base los lineamientos recomendados en Norma la ISO IEC 27001 2013
Numeral 16 de la misma, para la gestin de incidentes.

AUDIENCIA

Entidades pblicas de orden nacional y entidades pblicas del orden territorial, as

como proveedores de servicios de Gobierno en Lnea, y terceros que deseen
adoptar el Modelo de Seguridad y Privacidad de TI en el marco de la Estrategia de
Gobierno en Lnea.

INTRODUCCIN

Este anexo entrega los lineamientos bsicos para poner en marcha un Sistema de
Gestin de Incidentes de Seguridad de la informacin, a travs de un modelo
propuesto, el cual est concebido para que se puedan integrar los incidentes de
seguridad sobre los activos de informacin, independiente del medio en el que se
encuentren.

GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

OBJETIVO
El objetivo principal del Modelo de Gestin de Incidentes de seguridad de la
informacin es tener un enfoque estructurado y bien planificado que permita
manejar adecuadamente los incidentes de seguridad de la informacin.
Los objetivos son garantizar que:

Los eventos de seguridad de la informacin se pueden detectar y tratar con

eficiencia, en particular identificar si es necesario o no clasificarlos como
incidentes de seguridad de la informacin.
Los incidentes de seguridad de la informacin identificados se evalan y
responden de la manera ms eficiente y adecuada.
Los impactos adversos de estos incidentes en la organizacin y sus
operaciones de negocios se pueden minimizar mediante las salvaguardas
adecuadas como parte de la respuesta a tal incidente.
Las lecciones que dejan los incidentes de seguridad de la informacin y su
gestin se puedan aprender rpidamente. Esto tiene como objeto
incrementar las oportunidades de prevenir la ocurrencia de futuros
incidentes, mejorar la implementacin y el uso de las salvaguardas y mejorar
el esquema global de la gestin de incidentes de seguridad de la informacin.
Definir los mecanismos que permitan cuantificar y monitorear los tipos,
volmenes y costos de los incidentes de seguridad de la informacin, a travs
de una base de conocimiento y registro de incidentes y a travs de los
indicadores del sistema.
Definir los procedimientos formales de reporte y escalada de los incidentes
de seguridad.

Para lograr estos objetivos, la gestin de incidentes de seguridad de la informacin

involucra los siguientes procesos de manera cclica:

Planificacin y preparacin para la gestin del Incidente

Deteccin y anlisis.
Contencin, erradicacin y recuperacin.
Actividades Post-Incidente.

Esta gua le permitir a las entidades estar preparadas para afrontar cada una de
las etapas anteriores, y adicionalmente definiendo responsabilidades y
procedimientos para asegurar una respuesta rpida, eficaz y ordenada a los
incidentes de seguridad de la informacin.

CARACTERSTICAS DE UN MODELO DE GESTIN DE INCIDENTES

Esta gua de gestin de incidentes de seguridad de la informacin plantea una serie
de actividades para dar cumplimiento con el ciclo de vida de respuesta a un
incidente de seguridad.

Figura 1 Ciclo de vida para la respuesta a Incidentes de seguridad de la informacin,

NIST.

Para definir las actividades de esta gua se incorporaron componentes definidos por
el NIST alineados con los requerimientos normativos de la NTCISOIEC 270012013 para la estrategia de Gobierno en Lnea.
Es recomendable que las entidades creen un equipo de atencin de incidentes de
seguridad en cmputo CSIRT , quienes se encargaran de definir los procedimientos
a la atencin de incidentes, realizar la atencin, manejar las relaciones con entes
internos y externos, definir la clasificacin de incidentes, y adems de esto se
encargaran de:

Deteccin de Incidentes de Seguridad: Monitorear y verificar los

elementos de control con el fin de detectar un posible incidente de seguridad
de la informacin.
Atencin de Incidentes de Seguridad: Recibe y resuelve los incidentes de
seguridad de acuerdo con los procedimientos establecidos.
Recoleccin y Anlisis de Evidencia Digital: Toma, preservacin,
documentacin y anlisis de evidencia electrnica cuando sea requerida.
Anuncios de Seguridad: Deben mantener informados a los funcionarios,
contratistas o terceros sobre las nuevas vulnerabilidades, actualizaciones a

las plataformas y recomendaciones de seguridad informtica a travs de

algn medio de comunicacin (Web, Intranet, Correo).
Auditorias de Seguridad Informtica: El equipo debe realizar
verificaciones peridicas del estado de la plataforma para analizar nuevas
vulnerabilidades y brechas de seguridad.
Certificacin de productos: El equipo verifica la implementacin de las
nuevas aplicaciones en produccin para que se ajusten a los requerimientos
de seguridad informtica definidos por el equipo.
Configuracin y Administracin de Dispositivos de Seguridad
Informtica: Se encargaran de la administracin adecuada de los elementos
de seguridad informtica.
Investigacin y Desarrollo: Deben realizar la bsqueda constante de
nuevos productos en el mercado o desarrollo de nuevas herramientas de
proteccin para combatir brechas de seguridad, y la proposicin de nuevos
proyectos de seguridad de la informacin.

Este grupo est enfocado principalmente en atender los incidentes de seguridad de

la informacin que se presentan sobre los activos soportados por la plataforma
tecnolgica de la entidad.

DEFINICIN FORMAL DE LA GUA PROPUESTA PARA LA GESTIN DE

INCIDENTES
PREPARACIN
Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse
pensando no slo en crear un modelo que permita a la entidad estar en capacidad
de responder ante estos, sino tambin en la forma como pueden prevenirse,
asegurando que los sistemas, redes, y aplicaciones son lo suficientemente seguros.
Aunque el equipo de respuesta a incidentes no es normalmente responsable de la
prevencin de incidentes, es muy importante que se considere como un
componente fundamental de los programas de respuesta. El equipo de respuesta a
incidentes debe actuar como una herramienta de experiencia en el establecimiento
de recomendaciones para el aseguramiento de los sistemas de informacin y la
plataforma que los soporta.
En esta etapa el grupo de gestin de incidentes o quien se designe para esta labor
debe velar por la disposicin de los recursos de atencin de incidentes y las
herramientas necesarias para cubrir las dems etapas del ciclo de vida del mismo,
creando (si no existen) y validando (si existen) los procedimientos necesarios y
programas de capacitacin.
La etapa de preparacin debe ser apoyada por la direccin de tecnologas de la
informacin o quien haga sus veces, incluyendo las mejores prcticas para el
aseguramiento de redes, sistemas, y aplicaciones por ejemplo:

Gestin de Parches de Seguridad: las entidades dependiendo de si

estratificacin deben contar con un programa de gestin de vulnerabilidades
(Sistemas Operativos, Bases de Datos, Aplicaciones, Otro Software
Instalado), este programa ayudara a los administradores en la identificacin,
adquisicin, prueba e instalacin de los parches.
Aseguramiento de plataforma: las entidades dependiendo de si
estratificacin deben ser aseguradas correctamente. Se debe configurar la
menor cantidad de servicios (principio de menor privilegio) con el fin de
proveer nicamente aquellos servicios necesarios tanto a usuarios como a
otros equipos. Se deben revisar configuraciones por default (usuarios,
contraseas y archivos compartidos). Cada recurso que pueda ser accedido
por externos e incluso por usuarios internos debe desplegar alguna
advertencia. Los servidores deben tener habilitados sus sistemas de

auditora para permitir el login de eventos (ver gua aseguramiento

servidores).
Seguridad en redes: Debe existir una gestin constante sobre los elementos
de seguridad. Las reglas configuradas en equipos de seguridad como
firewalls deben ser revisadas continuamente. Las firmas y actualizaciones de
dispositivos como IDS o IPS deben encontrarse al da. Todos los elementos
de seguridad y de red deben encontrarse sincronizados y sus logs deben ser
enviados a un equipo centralizado de recoleccin de logs para su respectivo
anlisis.
Prevencin de cdigo malicioso: Todos los equipos de la infraestructura
(servidores como equipos de usuario) deben tener activo su antivirus,
antimalware con las firmas de actualizacin al da.
Sensibilizacin y entrenamiento de usuarios: Usuarios en la entidad
incluidos los administradores de TI deben ser sensibilizados de acuerdo a las
polticas y procedimientos existentes relacionados con el uso apropiado de
redes, sistemas y aplicaciones en concordancia con los estndares de
seguridad de la entidad.

Las actividades descritas anteriormente buscan prevenir la ocurrencia de incidentes

de seguridad de la informacin que esta soportada por TI, y adicionalmente es
necesario realizar una evaluacin mensual.
Recursos de Comunicacin
En este numeral se pretende enunciar los elementos necesarios para la
comunicacin del equipo de atencin de incidentes dentro de la entidad.
Informacin de Contacto: Se debe tener una lista de informacin de contacto de
cada una de las personas que conforman el grupo de gestin de incidentes o
quienes realicen sus funciones.
Informacin de Escalamiento: Se debe contar con informacin de contacto para
el escalamiento de incidentes segn la estructura de la entidad.

Informacin de los administradores de la plataforma tecnolgica (Servicios,

Servidores)
Contacto con el rea de recursos humanos o quien realice sus funciones (por
si se realizan acciones disciplinarias).
Contacto con reas interesadas o grupos de inters (Polica Nacional,
Fiscala, entre otras)

Poltica de Comunicacin: La entidad debe tener una poltica de comunicacin de

los incidentes de seguridad para definir que incidente puede ser comunicado a los
medios y cual no.
Hardware y Software
Para una correcta y eficiente gestin de incidentes la entidad debera tener en
cuenta los siguientes elementos:

Porttiles Forenses:
Analizadores de protocolos.
Software de adquisicin.
Software para recoleccin de evidencia.
Kit de respuesta a incidentes.
Software de anlisis forense.
Medios de almacenamiento

Recursos para el Anlisis de Incidentes

Tener un listado de los puertos conocidos y de los puertos utilizados para

realizar un ataque.
Tener un diagrama de red para tener la ubicacin rpida de los recursos
existentes
Una Lnea Base de Informacin de: Servidores (Nombre, IP, Aplicaciones,
Parches, Usuarios Configurados, responsable de cambios). Esta informacin
siempre debe estar actualizada para poder conocer el funcionamiento normal
del mismo y realizar una identificacin ms acertada de un incidente.
Se debe tener un anlisis del comportamiento de red estndar en este es
recomendable incluir: puertos utilizados por los protocolos de red, horarios
de utilizacin, direcciones IP con que generan un mayor trfico, direcciones
IP que reciben mayor nmero de peticiones.

Recursos para la Mitigacin

En este punto se consideran los elementos bsicos para la contencin de un posible
incidente, Backup de Informacin, imgenes de servidores, y cualquier informacin
base que pueda recuperar el funcionamiento normal del sistema.

DETECCIN Y ANLISIS

Deteccin
Identificacin y Gestin de Elementos Indicadores de un Incidente
Los indicadores son los eventos que nos sealan que posiblemente un incidente ha
ocurrido generalmente algunos de estos elementos son:

Alertas en sistemas de seguridad

Cadas de servidores
Reportes de usuarios
Software antivirus dando informes
Otros funcionamientos fuera de lo normal del sistema

La identificacin y gestin de elementos que alertan sobre un incidente nos proveen

informacin que puede alertarnos sobre la futura ocurrencia del mismo y preparar
procedimientos para minimizar su impacto. Algunos de estos elementos pueden ser:

Logs de servidores
Logs de aplicaciones
Logs de herramientas de seguridad
Cualquier otra herramienta que permita la identificacin de un incidente de
seguridad

En la entidad debe existir un listado de fuentes generadoras de eventos que

permitan la identificacin de un incidente de seguridad de la informacin.

Anlisis
Las actividades de anlisis del incidente involucran otra serie de componentes, es
recomendable tener en cuenta los siguientes:

Tener conocimientos de las caractersticas normales a nivel de red y de los

sistemas.

Los administradores de TI deben tener conocimiento total sobre los

comportamientos de la Infraestructura que estn Administrando.
Toda informacin que permita realizar anlisis al incidente debe estar
centralizada (Logs de servidores, redes, aplicaciones).
Es importante efectuar correlacin de eventos, ya que por medio de este
proceso se pueden descubrir patrones de comportamiento anormal y poder
identificar de manera ms fcil la causa del incidente.
Para un correcto anlisis de un incidente debe existir una nica fuente de
tiempo (Sincronizacin de Relojes) ya que esto facilita la correlacin de
eventos y el anlisis de informacin.
Se debe mantener y usar una base de conocimiento con informacin
relacionada sobre nuevas vulnerabilidades, informacin de los servicios
habilitados, y experiencias con incidentes anteriores.
Crear matrices de diagnstico e informacin para los administradores menos
experimentados.

Declaracin y Notificacin de Incidentes

Un incidente de seguridad de la informacin se define como un acceso, intento de
acceso, uso, divulgacin, modificacin o destruccin no autorizada de informacin;
un impedimento en la operacin normal de las redes, sistemas o recursos
informticos; o una violacin a una Poltica de Seguridad de la Informacin de la
entidad.
La notificacin de los incidentes permite responder a los mismos en forma
sistemtica, minimizar su ocurrencia, facilitar una recuperacin rpida y eficiente de
las actividades minimizando la prdida de informacin y la interrupcin de los
servicios, y el proceso de tratamiento de incidentes, y manejar correctamente los
aspectos legales que pudieran surgir durante este proceso.
A continuacin se describe un proceso de notificacin de incidentes de seguridad
que podra ser adoptado por la entidad:
Un usuario, tercero o contratista que sospeche sobre la materializacin de un
incidente de seguridad deber notificarlo al primer punto de contacto definido por la
entidad (Ej: Soporte de primer nivel). El incidente puede ser notificado a travs de
cualquier canal de comunicacin (Telefnico, Correo, Aplicativo) es importante
resaltar que debe existir un formato el cual el usuario que reporta el incidente debe

diligenciar con la mayor cantidad posible de informacin relacionada con el

incidente.
El primer punto de contacto identificar el tipo de incidente (de acuerdo a la tabla de
clasificacin de incidentes que realiza la entidad). Analizar si el incidente reportado
corresponde a un incidente de seguridad de la informacin o est relacionado con
requerimientos propios de la infraestructura de TI. En caso de ser catalogado como
un incidente de seguridad se notificarn a la persona encargada de la atencin de
incidentes o a quien haga sus veces para que tome las decisiones correspondientes.
El primer punto de contacto ser el encargado de realizar el seguimiento del
Incidente hasta su cierre definitivo.
Si el incidente de seguridad es identificado por otra lnea diferente a un usuario de
la entidad, a travs de los elementos de deteccin o administradores de TI, este es
notificado directamente a la persona encargada de atencin de incidentes quien
tomar las acciones necesarias de atencin. Se notificar al primer punto de
contacto sobre la presentacin de un incidente de seguridad para que realice la
documentacin respectiva y est atento al seguimiento y desarrollo del mismo.
El punto de contacto clave dentro de la gestin de incidentes es la persona
encargada de la atencin de los mismos, el cual se encarga de coordinar y asignar
las actividades con las partes interesadas. Estos ltimos se encargan de solicitar el
apoyo a las personas involucradas con el proceso con el fin de la correcta ejecucin
de actividades que den solucin al incidente.
La persona encargada de la atencin de incidentes tendr la potestad para decidir
sobre las acciones que se deban ejecutar ante la presencia de un incidente de
seguridad y es la persona que notificar a las altas directivas de la entidad.

CONTENCIN ERRADICACIN Y RECUPERACIN

Es importante para la entidad implementar una estrategia que permita tomar
decisiones oportunamente para evitar la propagacin del incidente y as disminuir
los daos a los recursos de TI y la prdida de la confidencialidad, integridad y
disponibilidad de la informacin.
Esta fase se descompone claramente en tres componentes
Contencin: esta actividad busca la deteccin del incidente con el fin de que no se
propague y pueda generar ms daos a la informacin o a la arquitectura de TI,

para facilitar esta tarea la entidad debe poseer una estrategia de contencin
previamente definida para poder tomar decisiones por ejemplo: apagar sistema,
desconectar red, deshabilitar servicios.

Ejemplos de estrategias de contencin a incidentes

Incidente

Ejemplo

Estrategia de contencin

Acceso no autorizado

Sucesivos intentos fallidos de

login

Bloqueo de cuenta

Cdigo Malicioso

Infeccin con virus

Desconexin de la red del equipo

afectado

Acceso no autorizado

Compromiso del Root

Apagado del sistema

Reconocimiento

Scanning de puertos

Incorporacin de reglas de filtrado

en el firewall

La estrategia de contencin vara segn el tipo de incidente y los criterios deben

estar bien documentados para facilitar la rpida y eficaz toma de decisiones.
Algunos criterios que pueden ser tomados como base son:

Criterios Forenses
Dao potencial y hurto de activos
Necesidades para la preservacin de evidencia
Disponibilidad del servicio
Tiempo y recursos para implementar la estrategia
Efectividad de la estrategia para contener el incidente (parcial o total)
Duracin de la solucin

Erradicacin y Recuperacin: Despus de que el incidente ha sido contenido se

debe realizar una erradicacin y eliminacin de cualquier rastro dejado por el
incidente como cdigo malicioso y posteriormente se procede a la recuperacin a

travs de la restauracin de los sistemas y/o servicios afectados para lo cual el

administrador de TI o quien haga sus veces deben restablecer la funcionalidad de
los sistemas afectados, y realizar un endurecimiento del sistema que permita
prevenir incidentes similares en el futuro.
Ejemplos de estrategias de erradicacin de incidentes
Incidente

Ejemplo

Estrategia de erradicacin

DoS (denegacin de
servicio)

SYN Flood

Restitucin del servicio cado

Virus

Gusano en la red

Correccin de efectos
producidos. Restauracin de
backups

Vandalismo

Defacement a un sitio web

Reparar el sitio web

Intrusin

Instalacin de un rootkit

Reinstalacin del equipo y

recuperacin de datos

Ejemplos de estrategias de recuperacin de incidentes

Incidente

Ejemplo

Estrategia de recuperacin

DoS (denegacin de
servicio)

SYN Flood

Restitucin del servicio cado

Virus

Gusano en la red

Correccin de efectos
producidos. Restauracin de
Backups

Vandalismo

Defacement a un sitio web

Reparar el sitio web

Intrusin

Instalacin de un Rootkit

Reinstalacin del equipo y

recuperacin de datos

En algunas ocasiones durante el proceso de Atencin de Incidentes de Seguridad

Informtica especficamente en la fase de Contencin, Erradicacin y
Recuperacin se puede hacer necesario activar el BCP (Plan de Continuidad del
Negocio) o el DRP (Plan de Recuperacin de Desastres) en el caso que un incidente
afecte gravemente a un determinado sistema.

Integracin del Proceso de Atencin de Incidentes de Seguridad con el Proceso de Contingencia y

Disaster Recovery.

ACTIVIDADES POST-INCIDENTE
Las actividades Post-Incidente bsicamente se componen del reporte apropiado del
Incidente, de la generacin de lecciones aprendidas, del establecimiento de
medidas tecnolgicas, disciplinarias y penales de ser necesarias as como el
registro en la base de conocimiento para alimentar los indicadores.
Lecciones Aprendidas:
Una de las partes ms importantes de un plan de respuesta a incidentes de TI es la
de aprender y mejorar. Cada equipo de respuesta a incidentes debe evolucionar
para reflejar las nuevas amenazas, la mejora de la tecnologa, y las lecciones
aprendidas. Mantener un proceso de "lecciones aprendidas" despus de un

incidente grave, y peridicamente despus de los incidentes menores, es

sumamente til en la mejora de las medidas de seguridad y el proceso de gestin
de incidentes
Mantener un adecuado registro de lecciones aprendidas permite conocer:
Exactamente lo que sucedi, en qu momento y cmo el personal gestion
el incidente.
Los procedimientos documentados.
Si se tomaron las medidas o acciones que podran haber impedido la
recuperacin.
Cul sera la gestin de personal y que debera hacerse la prxima vez que
ocurra un incidente similar.
Acciones correctivas pueden prevenir incidentes similares en el futuro.
Cuales herramientas o recursos adicionales son necesarios para detectar,
analizar y mitigar los incidentes en el futuro.
El proceso de lecciones aprendidas puede poner de manifiesto la falta de un paso
o una inexactitud en un procedimiento y son un punto de partida para el cambio, y
es precisamente debido a la naturaleza cambiante de la tecnologa de la informacin
y los cambios en el personal, que el equipo de respuesta a incidentes debe revisar
toda la documentacin y los procedimientos para el manejo de incidentes en
determinados intervalos.

ROLES Y PERFILES NECESARIOS PARA LA ATENCIN DE INCIDENTES

A continuacin presentaremos una descripcin de los actores que intervienen y
conforman el proceso de atencin de Incidentes, para cada actor se presentar una
breve descripcin sobre su perfil y la funcin dentro del proceso de respuesta a
Incidentes de Seguridad de la informacin.
Usuario Sensibilizado: Es un empleado, empleados de firmas contratista o
terceros con acceso a la infraestructura de la entidad, quien debe estar educado y
concientizado sobre las guas implementadas sobre la seguridad de la informacin
y en particular la gua de atencin de incidentes, estos usuarios sern muchas veces
quienes reporten los problemas y debern tener en cuenta lo siguiente:
Agente Primer Punto de Contacto: Es el encargado de recibir las solicitudes por
parte de los usuarios sobre posibles incidentes tambin debe registrarlos en la base
de conocimiento y debe ser el encargado de escalarlos a la persona encargada de
la atencin de incidentes. Este Agente debe contar adicionalmente con capacitacin
en Seguridad de la Informacin (con un componente tecnolgico fuerte) y debe
conocer perfectamente la clasificacin de Incidentes y los procesos de escalamiento
de Incidentes. Adicionalmente debe contar con una capacitacin bsica en tcnicas
forenses, especficamente en recoleccin y manejo de evidencia, lo cual involucra
fundamentalmente dos aspectos.

Admisibilidad de la evidencia: si la evidencia se puede utilizar o no en una

corte

Peso de la evidencia: la calidad y cabalidad de la evidencia.

Este no es un actor que realiza la centralizacin de los incidentes reportados por los
usuarios, da un tratamiento inicial y escala el incidente para que sea tratado.
Administrador del Sistema: se define como la persona encargada para configurar y
mantener un activo informtico. Tambin debe ser notificado por el agente de primer
punto de contacto sobre un incidente de seguridad con el fin de analizar, identificar,
contener y erradicar un incidente de seguridad. Este debe documentar y notificar al
agente de primer punto de contacto sobre el incidente la solucin del mismo. Se
recomienda que los administradores cuenten con capacitacin en Seguridad de la
Informacin (con un componente tecnolgico fuerte no solo en su plataforma si no
en Redes y erradicacin de vulnerabilidades) y debe conocer perfectamente la
clasificacin de Incidentes y los procesos de escalamiento de Incidentes.
Adicionalmente debe contar con una capacitacin en tcnicas forenses,
especficamente en recoleccin y manejo de evidencia.
Administrador de los sistemas de Seguridad: Personas encargadas de configurar y
mantener un activo informtico relacionado con la seguridad de la plataforma ej.

Firewall, Sistemas de Prevencin de Intrusos, Routers, Sistemas de Gestin y

Monitoreo. Tambin debe ser notificado por el agente de primero contacto sobre un
incidente de seguridad con el fin de analizar, identificar, contener y erradicar un
incidente de seguridad. Este debe documentar y notificar al agente de primer
contacto sobre el incidente y la solucin del mismo. Se recomienda que los
administradores de esta tecnologa sean expertos en Seguridad de la Informacin
(con un componente tecnolgico fuerte en Redes y erradicacin de
vulnerabilidades, Ethical Hacking y tcnicas forenses) y debe conocer
perfectamente la clasificacin de Incidentes de la entidad.
Analista Forense: Es un experto en el tema forense, quien debe estar disponible en
caso de que un incidente de impacto alto (o uno que amerite acciones disciplinarias
o legales o investigacin profunda) requiera una investigacin completa para
solucionarlo y determinar los siguientes tems
Que sucedi.
Donde sucedi.
Cuando Sucedi.
Quien fue el Responsable.
Como sucedi.
Este actor debe ser un apoyo para los dems actores en caso de dudas sobre los
procedimientos y debe ejercer un liderazgo tcnico en el proceso de atencin de
Incidentes de seguridad de la informacin.
Lder del Grupo de Atencin de Incidentes: Responde a las consultas sobre los
incidentes de seguridad que impacten de forma inmediata, y es el encargado de
revisar y evaluar los indicadores de gestin correspondientes a la atencin de
incidentes de seguridad para poder ser presentados a los directivos. El Lder Grupo
de Atencin de Incidentes estar en la capacidad de convocar la participacin de
otros funcionarios de la organizacin cuando el incidente lo amerita (Prensa y
Comunicaciones, Gestin de Talento Humano, Gestin Jurdica, Tecnologa,
Representante de las Directivas para el SGSI).
Tambin debe estar al tanto del cumplimiento de los perfiles mencionados y de
revisar el cumplimiento de los procedimientos y mejores prcticas, as como tambin
de los indicadores de gestin, y en capacidad de disparar si lo amerita planes de
contingencia y/o continuidad.
Finalmente el Lder del Grupo de Atencin de Incidentes ser el responsable del
modelo de Gestin de incidentes y debe estar en la capacidad de revisar todos los
incidentes de seguridad y los aspectos contractuales que manejan el outsourcing
del servicio help desk.