PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

Transcripción

1 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/ /10/2014 VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 1 de 10

2 1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC. FECHA MODIFIC. MODIFICACIONES 2 5/11/ /07/2013 -Actualizar el objeto y alcance del procedimiento. - Actualizar los nombres, cargos y extensiones de las personas a las cuales se pueden realizar los reportes de seguridad de la información. -Actualizar el formato -F01 - Actualizar la descripción general de actividades. - Actualización del alcance del procedimiento - Actualización de los incidentes críticos - Actualización del correo para reporte de eventos de seguridad. - Actualización de los eventos y/o debilidades a reportar. 4 30/10/ Actualizar logo del documento. - Actualizar cargo y responsables de la persona encargada de aprobar el documento - Eliminar las firmas digitales de la portada. - Incluir la gestión desarrollada a través del software service desk - Incluir los registros del software de service desk. - Actulziar la versión del dopcuemnto. - VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 2 de 10

3 2. OBJETO Asegurar que las debilidades y los incidentes de seguridad en la información se identifican y se toman los correctivos necesarios para prevenir que no vuelvan a ocurrir. Asegurar que se da cumplimiento a los lineamientos de la política general de seguridad de la información y a la política específica SGSI-PL 25 de gestión de incidentes de seguridad. 3. ALCANCE Este procedimiento inicia con el reporte de debilidades o incidente de seguridad que afecten de forma critica los activos de información de la organización, continua con la investigación y análisis de los eventos reportados y finaliza con la toma de acciones de mejora para prevenir la ocurrencia de nuevos incidentes. Aplica para todos los colaboradores de la organización. 4. DOCUMENTOS PARA CONSULTA NTC-ISO/IEC 27001:2013 Tecnología de Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad en la Información (SGSI) Requisitos. NTC-ISO-IEC 17799:2006 Tecnologías de Información. Técnicas de Seguridad. Código de Practica para la Gestión de la Seguridad de la Información. NTC-ISO-IEC 5254:2006 Administración del Riesgo. GTC 169 Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información. 27/02/2008 SGSI-PL25 Política de gestión de incidentes de seguridad de la Información. 5. TÉRMINOS Y DEFINICIONES ANÁLISIS DE RIESGO: Proceso que permite determinar cuán frecuentemente puede ocurrir eventos específicos y la magnitud de sus consecuencias. EVENTO DE : Presencia identificada de una condición de un sistema, servicio o red, que indica que una posible violación de la política de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. INCIDENTE DE : Un evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la información. Como algunos ejemplos de incidentes críticos de seguridad podemos citar: VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 3 de 10

4 Robo de información sensible de proyectos. Denegación de servicio masiva sobre equipos de la red, afectando la operación de la Compañía. Denegación de servicio masivo por el ingreso y propagación de virus que explotan vulnerabilidades. Daño de servidores Incumplimientos de las políticas o las directrices que comprometan los activos de la organización. Cambios no controlados en el sistema. MONITOREO: comprobar, supervisar, observar críticamente, o registrar el proceso de una actividad, acción o sistema en forma sistemática, para identificar cambios. RESTRICCIONES: Por lo general las restricciones son establecidas o reconocidas por la dirección de la organización y están influidas por el entorno en el cual opera ésta. SALVAGUARDAR: son prácticas, procedimientos o mecanismos que pueden proteger contra una amenaza, reducir una vulnerabilidad. SOLICITUD DEL SERVICIO: Una solicitud de servicio es una petición de un usuario de información o asesoramiento, o de un cambio estándar, o para el acceso a un servicio de TI. VULNERABILIDAD: muestra la fragilidad de un sistema (físico, Técnico, organizacional, cultural, etc.) que puede ser afectado adversamente, causando daños o perjuicios. 6. DESCRIPCIÓN GENERAL DE ACTIVIDADES 6.1. REPORTE SOBRE LOS EVENTOS Y LAS DEBILIDADES DE LA SEGURIDAD DE LA Todos los colaboradores que identifiquen o se percaten de un evento y/o debilidad de seguridad de la información deberán notificar inmediatamente a la gerencia de ITS. Reporte telefónico: ext.: 1109,1188, 1310 Correo electrónico: service.desk@redcom.com.co NOMBRE CARGO CORREO Jairo Martinez Gerente de ITS jairo.martinez@redcom.com.co John Quinche Coordinador de Sistemas john.quinche@redcom.com.co REPORTE SOBRE LOS EVENTOS Y DEBILIDADES DE VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 4 de 10

5 Luego de recibir el reporte del evento y/o debilidad de seguridad de la información la Gerencia de ITS procederá a determinar en primera instancia si el reporte es un incidente, con base en un análisis de la información recibida, si luego de analizada la información se determina que es un incidente se procede a recolectar toda la información pertinente para la investigación y análisis del evento (incidente), esta información quedara registrada en el formato -F01. De otra parte a través del software ManageEngine Service Desk se registran todos los incidentes reportados por los usuarios, de tal manera que se garantice la trazabilidad y control de los eventos reportados EVENTOS Y/O DEBILIDADES A REPORTAR Los eventos y/o debilidades que se pueden reportar para su respectiva investigación, análisis y gestión pueden ser: - Accesos no autorizados a los sistemas de información y uso indebido de los recursos informáticos de la compañía. - Suministrar la información a quien no tiene derecho a conocerla. - Fraude - Usar la información con el fin de obtener beneficio propio o de terceros. - Hacer pública la información sin la debida autorización. - Realizar copias no autorizadas de software. - Intentar modificar, reubicar o sustraer equipos de cómputo, software, información o periféricos sin la debida autorización. - Transgredir o burlar los mecanismos de autenticación u otros sistemas de seguridad. - Enviar cualquier comunicación electrónica fraudulenta. - Violación cualquier Ley o Regulación nacional respecto al uso de sistemas de información. - Robo de información sensible. - Denegación de servicio masivo sobre equipos de la red, afectando la operación diaria de la Compañía. - Denegación de servicio masivo por el ingreso y propagación de virus que explotan vulnerabilidades. - Otros eventos y/o debilidades relacionadas con seguridad de la información que afecten de forma critica los activos de información de la organización GESTIÓN DE LOS INCIDENTES Y LAS MEJORAS EN LA RESPONSABILIDADES Y PROCEDIMIENTOS VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 5 de 10

6 Para asegurar una respuesta rápida, eficaz y ordenada se debe tener en cuenta que al presentarse un fallo o incidente de seguridad de la información, el usuario debe reportarlo a la Gerencia de ITS en el menor tiempo posible. Luego de recibir la información se realizara una investigación del incidente, para determinar de qué tipo es; a que activo de información está afectando y cual es tratamiento para minimizar el impacto que pueda tener (si lo llegase a tener). La información recolectada durante esta actividad queda registrada en el formato - F01 que contiene un registro detallado del incidente donde se muestra el proceso desde el momento en que se detecta el evento hasta su minimización. Dentro del registro se deberá diligenciar los siguientes datos: Datos de la persona informante: Puede ser la cualquier persona que identifique el incidente; ya sean empleados, contratistas o terceros. Datos del incidente: Es en donde se registra que tipo de incidente es; virus informático, pérdida de la información, incumplimiento a las normas, daño en el medio de transporte, daño en el software, daño en el hardware, etc. Grado de criticidad/severidad: Hace referencia a la importancia del incidente sobre la organización (critico, moderado o insignificante). NIVEL DE SEVERIDAD DELINCIDENTE CRITICO /ALTO MODERADO / MEDIO INSIGNIFICANTE /BAJO IMAPACTO Es un evento muy crítico, en el cual representa una seria amenaza para la organización y afecta de forma inmediata a uno ó más recursos críticos ó Pone en peligro información sensitiva ó confidencial. Es un evento que puede ser una amenaza potencial, pero que no se identifica como una amenaza seria y/o inmediata. Es un evento que podría ser una amenaza menor ó es el resultado de una actividad no autorizada, pero que no compromete recursos críticos ó información sensitiva Descripción detalla del Incidente: En este punto hacemos un registro de cuál fue el incidente, a que persona o área inmediata afectó, según lo relatado por la persona que reporta el evento. Efectos Producidos: Es en donde se registra la forma en que se manifiesta el tipo de incidente (virus, Bloqueo de equipos, reinicio de equipos, daño de sistemas operativos, etc.). Origen del incidente: Es en donde se registra cual es la procedencia del incidente; si es por virus, daño de sistema operativo, errores del usuario, daño en la red, etc. Se analizan las causas que originaron el evento. VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 6 de 10

7 Alcance: Es en donde se registra la cadena de eventos producidos por los efectos del incidente. Acciones: Es en donde se registran los actos realizados para controlar o minimizar los efectos producidos por el incidente de acuerdo al nivel de severidad del incidente Conclusión/Lecciones Aprendidas.: Es en donde se registra las medidas y/o acciones de mejoramiento aplicables para que no se vuelva a repetir el incidente APRENDIZAJE DEBIDO A Una vez identificados los incidentes de seguridad, éstos se valorarán según el impacto que tienen en la compañía y se tomarán acciones de mejoramiento para mitigar estos incidentes. La información obtenida de la investigación y análisis de los eventos de seguridad de la información se debe informar los colaboradores o áreas a afectadas para prevenir recurrencia de los incidentes o nuevos incidentes. Estas comunicaciones se podrán realizar utilizando los siguientes medios: - De forma verbal con los colaboradores o áreas afectadas. - Mediante correos electrónicos. - Capacitaciones - Lecciones aprendidas 6.3 RECOLECCIÓN Y CONSERVACIÓN DE EVIDENCIAS En caso que las acciones de seguimiento que impliquen acciones legales (civiles o penales) estas solo serán determinadas por la Gerencia General de la compañía. Para la recolección y retención de las evidencias que puedan ser presentadas ante las autoridades competentes, se deberán seguir los lineamientos de las buenas prácticas de la custodia de evidencias digitales, tomando como margo general la legislación colombiana, en tal sentido se deberán desarrollar las siguientes actividades como parte de la recolección y conservación de evidencias: El primer paso comprende la captura de la evidencia, que será realizada por el responsable de seguridad de la información junto con el apoyo del administrador de la red y las personas a cargo del proceso. La evidencia será la prueba del delito, la que delatará al intruso. A la hora de capturar la evidencia, se debe VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 7 de 10

8 proceder con cautela para no modificar pista alguna. Para recopilar estas evidencias se aplicaran las buenas prácticas de computación forense según el tipo de evidencia. Se debe proceder a realizar la captura de la evidencia con herramientas que no modifiquen ni el entorno ni la prueba en sí, salvaguardando su integridad. Se debe ser muy precavido a la hora de recolectar la evidencia; pues la idea es no modificarla. Para ello podemos utilizar los siguientes elementos: Bolsas antiestáticas, que permitan la correcta manipulación de medios de almacenamiento. Bolsas de seguridad, para guardar los elementos físicos, que permitan garantizar que una vez guardados se tenga la certeza que la bolsa no ha sido abierta. Embalaje, para guardar los Discos Duros y evitar que una eventual caída o maltrato al elemento ocasione una pérdida de información, que en este caso sería perdida de la evidencia. Etiquetas o Rótulos, para marcar los elementos físicos, con el fin de identificarlos. Esta etiqueta debe tener la información necesaria que identifique al elemento. Por ejemplo si hablamos de un Disco Duro, se debería incluir por lo menos la siguiente información: Un consecutivo Número del incidente Descripción del elemento (Marca, Modelo, Serial, Capacidad, tipo de conector (IDE, SCSI, ATA), configuración física, particiones, Sistema Operativo) Fecha y Hora Lugar Nombre y firma de quien recolecta el elemento. Si es posible nombre y firma de un testigo. Dependiendo del tipo de incidente de seguridad y la criticidad del mismo, se determinaran las actividades a seguir para la recolección y conservación de la evidencia, siguiendo los lineamientos de la cadena de custodia para cada caso específico. NOTA La organización., cuenta con un circuito cerrado que se activa por movimiento, el cual tiene un monitoreo de 24 horas en cada una de las áreas de la compañía. Este monitoreo queda registrado y también puede ser utilizado como evidencia en incidentes donde esté involucrado el robo de elementos, manipulación de información, VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 8 de 10

9 ingresos indebidos de cualquier carácter, daño de activos, etc, aplicando las técnicas adecuadas de recolección y conservación de la evidencia. VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 9 de 10

10 LA 7. CONTROL DE REGISTROS Nº IDENTIFICACIÓN 1 Reporte e Investigación de Incidentes de Seguridad de la Información RPSABLE DEL ARCHIVO UBICACIÓN ORDENACION (numérico, alfabético o cronológico) CSIG CSIG CRONOLÓGICO DISPONI BILIDAD DE ACCESO CSI, IS, SGG SOPORT E TIEMPO DE RETENCIÓN A-G TIEMPO DE RETENCIÓN A-C DISPOSICIÓ N FINAL Papel 1 año NA Eliminación 2 Registros de Incidentes de Service desk Coordinador de ITS CRONOLÓGICO Gerencia de ITS Digital NA NA NA CSIG: Coordinador del Sistema Integral de Gestión VERSIÓN No. 5 VIGENTE DESDE EL 30 DE OCTUBRE DE 2014 Página 10 de 10