• No results found

Chapter 1. Middle management roles and skills

1.4 Transitions between organisational types and changes to middle management

DESCRIPCIÓN DE PROCEDIMIENTOS

No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE DESCRIPCIÓN

1 Detecta y reporta el incidente

Gerencia área usuaria

Gerencia de Seguridad de la Información

Gerente Gerente

Cualquier funcionario detecta el incidente de seguridad y lo reporta a la Gerencia de Seguridad de la Información.

47 Categoriza el

incidente de seguridad

Si se confirma que el reporte se trata de un incidente válido: clasifica el incidente en la categoría correspondiente, estableciendo el tipo más adecuado entre los siguientes:

a) Ataques por Virus

b) Incidentes de Acceso Físico c) Incidentes de Red

d) Incidentes de Comunicaciones e) Incidentes de Base de Datos f) Incidentes de Aplicativo

g) Ataques a la Red de Datos y Recursos Tecnológicos h) Incidentes Humanos

3 Documenta el incidente

Gerencia de Seguridad de la Información Oficial de Seguridad de la Información

• Si el reporte no corresponde a un incidente de seguridad:

a) Documenta en el formato las razones por las cuales no se considera un incidente de seguridad. b) Notifica a quien corresponda “Mesa de Ayuda” o Help Desk para que realice las acciones

necesarias de acuerdo con el problema real para resolverlo.

• Documenta en la Bitácora de Incidentes de Seguridad de la Información, archiva el formato correspondiente y cierra el incidente.

4 Analiza y define las acciones de

protección

Vicepresidencia de Tecnología

Gerencia de Seguridad de la Información

Vicepresidente / Gerente de Calidad y Soporte TI Gerente / Oficial de Seguridad de la Información

• La Gerencia de Seguridad de la Información, determina si el incidente afecta a la Entidad y su impacto, teniendo en cuenta lo siguiente:

a) BAJO: Si el incidente es aislado y solo afecta una estación de trabajo interna o asociado. Este tipo de incidente es definido también como problema de usuario final, es un evento que podría ser una amenaza menor ó es el resultado de una actividad no autorizada, pero que no

48

b) MEDIO: Si el incidente afecta las estaciones de un grupo de trabajo interno o los servicios internos operativos de la Entidad, es un evento que puede ser una amenaza futura, pero que no se identifica como una amenaza seria y/o inmediata.

c) ALTO: Es un evento muy crítico, en el cual representa una seria amenaza y afecta de forma inmediata a uno o más recursos críticos o pone en peligro información sensitiva o

confidencial, el incidente involucra uno o más usuarios externos de los servicios de la Entidad. • Junto con la Gerencia de Tecnología, analizan las condiciones del incidente con el fin de

identificar la amenaza y/o debilidad y posteriormente determinar los mecanismos y/o acciones de protección que deben ser aplicados.

• Si el incidente es catalogado con ALTO o MEDIO, conforma el equipo para la atención del incidente incluyendo los especialistas identificados en la fase de detección, teniendo en cuenta el tipo de recursos informáticos afectados y el nivel de especialización requerido.

• Monitorea las herramientas actuales de software y hardware, y los registros de actividad del sistema para determinar las causas del incidente.

• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al impacto definido.

• El Coordinador de Calidad identifica los clientes afectados y les informa del incidente.

• Si el impacto del incidente es BAJO, entre las Gerencias de Tecnología y de Seguridad de la Información determinan las acciones a seguir y diligencian el Formato de Reporte de

Incidentes.

• El Oficial de Seguridad de la Información determina en primera instancia si el reporte se trata de un incidente de Seguridad válido, mediante:

a) Revisión detallada de la información recibida

b) Verificación adicional de las fuentes de información asociadas.

c) Solicitud de información adicional a los Administradores de los Recursos Informáticos. d) Documentación de incidentes anteriores.

49

• Verifica si se han presentado situaciones similares y han sido documentadas acciones específicas en respuesta a los incidentes, para ser usadas en el tratamiento del incidente, mediante la revisión de fuentes como:

a) Informes de auditorías previas b) Bitácora de Incidentes

c) Reportes de vulnerabilidades conocidas de los sistemas d) Reporte generador por el monitoreo de herramientas

• Define el plan de trabajo para la implantación de la protección requerida, incluyendo: a) Actividades a realizar b) Responsables asignados c) Plan de pruebas d) Escalamiento de Incidentes 5 Ejecuta el plan de acción Vicepresidencia de Tecnología

Gerencia de Seguridad de la Información

Vicepresidente / Gerente de Plataforma Tecnológica

50

• Notifica a los implicados las acciones a tomar.

• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al impacto definido.

• Determina el grado de daño causado a los recursos informáticos o información de la Entidad, mediante la revisión detallada de los sistemas afectados y lo identificado en la documentando los hallazgos así como los daños detectados durante su revisión.

• Confirma los recursos informáticos afectados, servicios y entidades afectadas directa o indirectamente por el incidente, incluyendo la identificación preliminar de los especialistas (internos / externos) que de acuerdo con su especialidad podrían responder al incidente.

• Define el plan de trabajo la implantación de las acciones correctivas requeridas, de acuerdo con los daños evidenciados en la actividad anterior y durante todo el proceso de tratamiento del incidente ejecutando el procedimiento de control de cambios.

• Notifica a las personas afectadas, usuarios o clientes, acerca de la disponibilidad de los sistemas, informando acerca de cualquier limitación o condición especial, previo a ser puesto nuevamente en operación.

• Define y documenta el esquema requerido para el monitoreo en producción de la correcta realización y efectividad de las acciones ejecutadas sobre los recursos informáticos, asignando los responsables correspondientes para su ejecución.

• Si se detecta un problema operativo, proceder a reportarlo al Help Desk, para ser atendido según los procedimientos de operación existentes.

• Documenta el incidente en el formato de Reporte de Incidentes, incluyendo la mayor cantidad de detalles posibles, anexos o referencias a documentación, con el fin de completar el reporte del incidente y contar con la información para futura referencia.

6 Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información / Arquitecto de Seguridad de la Información

51 Realiza el

seguimiento y evaluación a los incidentes y plan

• Almacena la información disponible del incidente en la “Bitácora de Incidentes en Seguridad de la Información” para poder continuar con la ejecución del procedimiento de “Tratamiento de Incidentes de Seguridad” Elabora el plan de acción con el fin de prevenir la ocurrencia de eventos similares.

• Realiza el monitoreo y establece las acciones preventivas y correctivas para eliminar la causa. • Realiza el seguimiento quincenal de los incidentes reportados y generar estadísticas para tomar

acciones preventivas y/o correctivas que apoyen la calidad del servicio.