osantolariaTFM0622memoria

•

Biológicas / Saúde

carmelo raphael salcedo teheran

15/3/2024

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Ingeniería en Software e Ingeniería de Requisitos

3645 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

Desarrollo de una metodología para la gestión
de incidentes de ciberseguridad en una
organización
Alumno: Mª Orosia Santolaria Mairal
Plan de Estudios: Máster universitario en ciberseguridad y privacidad
Trabajo de fin de master: Seguridad empresarial
Director del TFM: Daniel Brande Hernández
Fecha de entrega: 31 de mayo de 2022
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
Resumen
Mediante el presente trabajo de Fin de Máster se pretende cubrir la necesidad
de una metodología para gestionar los incidentes de ciberseguridad.
La metodología recogerá los procedimientos para prevenir o restaurar en el
menor tiempo posible cualquier interrupción o retraso no planificada que afecte a la
calidad del servicio y minimizar el impacto de los servicios.
La metodología está pensada para su uso en el entorno de una Administración
Pública, mediante la aplicación del ENS.
2
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
Indice
Resumen.......................................................................................................................2

1 . Introducción.............................................................................................................5
1.1 . Contexto y justificación del Trabajo...................................................................5
1.2 . Objetivos del Trabajo........................................................................................7
1.3 . Enfoque y método seguido...............................................................................8
1.4 . Planificación del Trabajo...................................................................................9
1.4.1 . Cronología.............................................................................................10
1.4.2 . Diagrama de ejecución..........................................................................10
2 . Estado del arte......................................................................................................11
2.1 . Introducción....................................................................................................11
2.1.1 . Estándares y normas internacionales ISO.............................................11
2.2 . Metodologías en la gestión de incidentes.......................................................14
2.2.1 . En el Sector Privado..............................................................................14
2.2.2 . En el Sector Público y Privado...............................................................16
2.2.3 . En el Sector Público...............................................................................17
2.2.4 . Procedimiento para el sector privado y la ciudadanía del INCIBE..........18
3 . Marco teórico........................................................................................................18
3.1 . Gestión de incidentes de ciberseguridad en el ENS para EELL......................18
3.2 . Fases en la gestión de los ciberincidentes......................................................20
3.2.1 . Prevención y preparación.......................................................................20
3.2.2 . Detección e identificación.......................................................................22
3.2.3 . Notificación............................................................................................23
3.2.4 . Contención.............................................................................................27
3.2.5 . Análisis e investigación..........................................................................27
3.2.6 . Soluciones y recuperación.....................................................................28
3.2.7 . Reflexión y mejora.................................................................................28
3.3 . Métricas e indicadores....................................................................................28
4 . Metodología de gestión de incidentes en la Entidad.............................................31
4.1 . Objetivo...........................................................................................................31
4.2 . Alcance...........................................................................................................31
4.3 . Referencia......................................................................................................31
4.3.1 . Referencia normativa.............................................................................32
4.3.2 . Guías.....................................................................................................33
4.4 . Definiciones....................................................................................................33
4.5 . Adecuación al ENS.........................................................................................34
4.6 . Organización de la seguridad.........................................................................36
5 . Manual de procedimiento......................................................................................38
5.1 . Flujo de un incidente.......................................................................................38
5.2 . Niveles de atención en la Gestión de Incidentes.............................................40
5.3 . Registro de incidentes y eventos....................................................................41
5.3.1 . Registro de eventos...............................................................................41
5.3.2 . Registro de incidentes............................................................................42
5.4 . Gestión del equipo de respuesta.....................................................................44
5.5 . Notificaciones..................................................................................................45
5.5.1 . Notificaciones al CCN-CERT.................................................................45
5.5.2 . Apertura del incidente............................................................................45
5.5.3 . Notificación a la Agencia Española de Protección de Datos..................47
5.5.4 . Comunicación de las brechas de seguridad a las personas afectadas. .47
5.6 . Contención......................................................................................................48
5.7 . Análisis e Investigación...................................................................................48
5.8 . Solución y recuperación..................................................................................49
5.9 . Aprendizaje de los incidentes.........................................................................50
3
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
6 . Gestión de cibercrisis............................................................................................50
7 . Conclusiones.........................................................................................................53
8 . Bibliografía............................................................................................................54
9 . Anexos..................................................................................................................55
ANEXO A. Principales servicios de un CERT..........................................................55
ANEXO B. Guías de actuación, respuesta a incidentes...........................................56
B1. Escenario General.......................................................................................56
B2. Casos de intrusión.......................................................................................57
B3. Casos de código malicioso..........................................................................58B4. Casos de Phishing.......................................................................................59
B5. Casos de denegación de servicio................................................................60
ANEXO C. Clasificación de los ciberincidentes........................................................62
ANEXO D. Criterios de determinación del nivel de peligrosidad..............................64
ANEXO E. Criterios de determinación del nivel de impacto.....................................64
ANEXO F. Modelo de notificación al CCN-CERT....................................................66
ANEXO G. Valoración de las brechas de seguridad................................................67
ANEXO H. Modelo de notificación al afectado.........................................................68
Índice de figuras
Figura 1: Sectores afectados por APT en 2020..............................................................6
Figura 2: ISO/IEC 27001 Ciclo de Mejora Continua.....................................................11
Figura 3: Incident Handling Life Cycle..........................................................................13
Figura 4: Ejemplo de implementación de Gestión de Incidentes de ITIL......................15
Figura 5: Enfoque DevOps vs ITIL...............................................................................15
Figura 6: Eje y funciones de un SOC...........................................................................17
Figura 7: ENS Gestión de incidentes [op.exp.7]...........................................................18
Figura 8: Tipo de documentos ENS.............................................................................19
Figura 9: Ciclo de vida de la respuesta a incidentes....................................................20
Figura 10: Clasificación y porcentaje de los incidentes notificados (SAT-INET)...........22
Figura 11: Incidente de SAT-INET...............................................................................23
Figura 12: Niveles de Peligrosidad según la victima....................................................25
Figura 13: Gestión de métricas según la categoría de seguridad del sistema..............28
Figura 14: Flujo de un incidente...................................................................................39
Figura 15: Niveles de atención.....................................................................................40
Figura 16: Recolector de eventos................................................................................41
Figura 17: Registro de un evento del sistema..............................................................42
Figura 18: Registro de un incidente de la Entidad........................................................43
Figura 19: Aplicación Redmine....................................................................................44
Figura 20: Registros de incidentes en LUCIA..............................................................46
Figura 21: Diagrama de flujo de incidente propio en LUCIA.........................................47
Figura 22: Perfil de un crisis.........................................................................................51
Figura 23: Roles del Comité de crisis...........................................................................52
Índice de tablas
Tabla 1: ENS. Principios básico, requisitos mínimos y medidas de seguridad.............12
Tabla 2: CSIRT de referencia. Guía Nacional de Notificación y Gestión de
Ciberincidentes............................................................................................................16
Tabla 3: Niveles de peligrosidad..................................................................................25
Tabla 4: Estado de los ciberincidentes notificados por los SAT...................................26
Tabla 5: Seguimiento del ciberincidente por el CCN-CERT.........................................27
Tabla 6: Tiempos de recuperación...............................................................................35
Tabla 7: Dimensiones de seguridad en la Entidad.......................................................36
4
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
1 . Introducción
1.1 . Contexto y justificación del Trabajo
El desarrollo de la Administración Electrónica implica el tratamiento de gran
cantidad de información por parte de los sistemas de tecnologías de la información y
de las comunicaciones. La información está sometida a diferentes tipos de amenazas
y de vulnerabilidades que pueden afectar a estos sistemas. El Real Decreto 311/2022,
de 3 de mayo, que sustituye al Real Decreto 3/2010 de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración
Electrónica, persigue fundamentar la confianza en el que los sistemas de información
prestan sus servicios y custodian la información de acuerdo con sus especificaciones
funcionales, sin interrupciones o modificaciones fuera de control, y sin que la
información pueda llegar a conocimiento de personas no autorizadas.
La Entidad de este trabajo pone a disposición de la ciudadanía la realización de
trámites online con el objetivo de impulsar la participación de la ciudadanía en los
asuntos públicos estableciendo, de este modo, nuevas vías de participación que
garanticen el desarrollo de la democracia participativa y la eficacia de la acción
pública. Establece igualmente vías de comunicación con la ciudadanía través de su
página web, publicando comunicados, subvenciones, becas y otra información de
interés.
Este Trabajo Final de Máster (TFM) pretende desarrollar una metodología para
la gestión de incidentes de ciberseguridad en una Entidad Local (Entidad). Al objeto
de dar cumplimiento al ENS. Conocemos los riesgos que pueden afectar a los
sistemas de información que soportan los trámites electrónicos puestos a disposición
de la ciudadanía, y teniendo en cuenta que ésta pone a su disposición su activo más
valioso “su propia Información” somos conscientes de que éstos deben ser
administrados con la suficiente diligencia, y que se deben de tomar las medidas
adecuadas para protegerlos frente a daños accidentales o deliberados que puedan
afectar a la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad de la
información tratada o de los servicios prestados.
Cuando se produce un incidente de seguridad, es crítico para una entidad
disponer de un protocolo eficaz de respuesta que ayude a minimizar la perdida o
filtración de información, evitar la propagación o la propia interrupción del servicio.
Este trabajo trata de un procedimiento integral para la gestión de incidentes y registro
de la gestión de incidentes de seguridad, que además tenga en cuenta las
obligaciones impuestas por la normativa de protección de datos.
Es evidente que todas las entidades se encuentran expuestas a sufrir un
incidente de seguridad de manera que la actividad normal se vea afecta, por lo que la
gestión de incidentes es una de las medidas organizativas más importantes a la hora
de salvaguardar la seguridad de los tratamientos.
La metodología aplicada en el trabajo se implantará en una organización con
aproximadamente 350 empleados, con 18 sedes repartidas por la provincia y con
servicio a 200 ayuntamientos para acceso a la red SARA, portales municipales y
trámites.
5
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
El análisis de las ciberamenazas nacionales e internacionales publicado por el
CCN-CERT en la edición 2021 "Ciberamenazas y tendencias", presenta los sectores
afectados con ataques del tipo APT (Amenaza Persistente Avanzada), el mayor
número se concentró en el ámbito gubernamental. Se ha demostrado con ello que las
AA.PP. son un punto de ataque para losciberdelincuentes.
Figura 1: Sectores afectados por APT en 2020
Otro informe de Sophos "El Estado de Ransomware en las Administraciones
Públicas 2021", explora el impacto que tiene el ransomware en las AA.PP. de todo el
mundo y qué capacidad tienen estas organizaciones para defenderse. El informe
revela que la Administración Local es el sector con menor capacidad para impedir que
los atacantes cifren sus datos. El 69% de las AA.PP. locales que han sido atacadas
por ransomware durante el último año vieron sus datos cifrados, en comparación con
la media intersectorial que se sitúa en el 54%. Una vez cifrados los datos en el ataque,
la Administración Local es también el sector con menor tasa de recuperación de datos
mediante el uso de copias de seguridad, solo el 42% recupera los datos mediante
backups.
Las administraciones nacionales están mejor preparadas para defenderse
contra el ransomware que las locales, pero el informe de Sophos revela que ahora se
enfrentan cada vez más a ataques de ransomware de tipo extorsivo.
Es por ello por lo que resulta necesario contar con mecanismos de respuestas
a incidentes para conocer nuestro grado de exposición, así como para prepararnos
ante un ciberincidente y responder adecuadamente.
6
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
1.2 . Objetivos del Trabajo
El objeto de este TFM intenta abordar aspectos de indudable interés para la
gestión del riesgo en ciberseguridad y la respuesta a incidentes. Los objetivos
marcados son siguientes:
� Proponer una metodología de gestión de incidentes de ciberseguridad
adecuada al ENS con el objeto de prevenir o restaurar en el menor tiempo
posible cualquier interrupción, no planificada que afecte a la calidad de los
servicios, de esa manera minimizar el impacto en beneficio último de los
ciudadanos y los intereses locales.
� Proporcionar una guía con las directrices para el cumplimiento de las
obligaciones de reporte de incidentes de ciberseguridad ocasionados en la
Entidad, con el propósito de asegurar que los incidentes de seguridad y las
debilidades asociadas en los sistemas de información se comuniquen de tal
manera que haya tiempo de tomar las adecuadas acciones correctivas y poder
evitarlos en un futuro.
� Documentar la gestión de violaciones o brechas de seguridad para la
coordinación y el intercambio de información con los organismos adecuados y
fortalecer la capacidad para responder con eficacia a los ciberincidentes.
� Disponer de los indicadores de referencia para medir el nivel de implantación y
eficacia del proceso de gestión de incidentes de cara a la evaluación de la
implantación, eficacia y eficiencia del proceso de gestión de ciberincidentes.
� Estudiar el uso del Sistemas de Alerta Temprana (SAT) para la detección en
tiempo real de las amenazas e incidentes y de una herramienta para la Gestión
de ciberincidentes adaptada a la Entidad.
� Documentar la gestión de violaciones o brechas de seguridad, que afecten a
los datos de carácter personal tratados por la Entidad, como Responsable de
Tratamiento, de conformidad con la Normativa vigente de Protección de Datos.
7
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
1.3 . Enfoque y método seguido
Al tratarse de una Entidad Local de la Administración Pública, la metodología
de trabajo está condicionada por las normativas legales. El ENS es una norma de
obligado cumplimiento para los Sistemas de Información y se encuentra asociada a la
realización del derecho de los ciudadanos a relacionarse por medios electrónicos con
las AA.PP y utilizaremos la metodología de trabajo guiada por el Centro Criptológico
Nacional (CCN). El R.D. del ENS, se desarrolla mediante Instrucciones Técnicas de
Seguridad (ITS) y Guías CCN que ayudan al mejor cumplimiento de lo establecido en
el ENS, en particular la Serie CCN-STIC-800 que establece las políticas y
procedimientos adecuados para la implementación de las medidas contempladas en el
ENS.
Para realizar una buena metodología seguiremos los pasos de adecuación al
ENS inspeccionaremos los puntos en los que hay que reforzar la seguridad pero nos
centraremos y trataremos en profundidad aquellos que nos lleven a la gestión de
incidentes de ciberseguridad. El capitulo IV del ENS "Capacidad de respuesta a
incidentes de seguridad" es donde el CCN articula la respuesta a los incidentes de
seguridad, prestando soporte y coordinación para el tratamiento de vulnerabilidades y
resolución de incidentes de seguridad a las AA.PP. EL CCN-CERT, como CERT
Gubernamental Nacional brinda apoyo técnico y operativo (ver Anexo A. Principales
servicios de un CERT).
Analizaremos la guía CCN-STIC 883 de "Implantación del ENS para EELL". La
Entidad tiene que contar con un procedimiento integral para la gestión de incidentes y
registro de la gestión de incidentes de seguridad, además de las obligaciones
impuestas por la normativa de protección de datos. También será de aplicación la
"Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad".
La ITS tiene por objeto determinar los casos en qué por el nivel de impacto es
obligatorio notificar el incidente al CCN-CERT y establecer evidencias, estadísticas e
información para la investigación de los incidentes significativos.
Seguiremos los requerimientos marcados por el CCN para la notificación de
incidentes, y haremos una evaluación de las distintas herramientas que nos permitan
dotarnos de esta capacidad.
También aplicaremos el artículo 33 del Reglamento (UE) 2016/679 del
Parlamento Europeo, relativo a la protección de las personas física en lo que respecta
al tratamiento de sus datos personales y la libre circulación de estos dados, amparada
en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los
derechos digitales, notificando cuando sea el momento de una violación de la
seguridad de los datos personales a la autoridad de control.
8
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
1.4 . Planificación del Trabajo
La distribución del trabajo está asociada a las entregas periódicas de las PEC
de evaluación. La Fase1, "Plan de trabajo", trata de leer, consultar, buscar, estudiar y
organizar toda la bibliografía disponible para el desarrollo del TFM. La Fase2,
"Gestión de incidentes" es el enfoque teórico sobre el tema: fases, clasificaciones,
métricas, etc. para ser de aplicación en la Fase 3 que será el contexto de aplicación en
la organización. En la Fase 4 revisaremos las posibles desviaciones de los objetivos
planteados y trataremos el tema de la gestión de cibercrisis. Terminaremos con las
conclusiones y la revisión final.
Fase 1. Plan de trabajo (16/02/2022 - 01/01/2022)
Contexto y justificación del trabajo
Objetivos del Trabajo
Enfoque y método seguido
Listado de tareas a realizar
Planificación del Trabajo
Estado del arte
Fase 2. Marco teórico. (02/03/2022 - 29/03/2022)
La gestión de los incidentes de ciberseguridad
Fases en la gestión de los ciberincidentes
Preparación y prevención
Detección e identificación
Sistema de alerta temprana (SAT-INET)
Análisis (investigación)
Contención, mitigación y recuperación
Notificación
Herramientas de notificación
Actividad post-ciberincidente
La clasificación de los ciberincidentes
La peligrosidad de los ciberincidentes
Nivel de impacto del ciberincidente en la organización
Métrica e indicadores
Fase 3. Marco aplicado a la organización (30/03/2022 - 26/04/2022)
Contexto de aplicación
Recogida de incidentes, catalogación y registro
Gestión del equipo de respuesta
Análisis
Gestión de conocimiento
Servicio de notificaciones
Respuesta a incidentes
Fase 4. Métrica e indicadores (27/04/2022 - 31/05/2022)
Revisión de objetivos
Gestión de cibercrisis
Conclusiones
Revisión yredacción final
9
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
1.4.1 . Cronología
1.4.2 . Diagrama de ejecución
10
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
2 . Estado del arte
2.1 . Introducción
Un incidente es un evento que causa una interrupción del servicio o una
reducción en la calidad del mismo, y que requiere una respuesta de emergencia, por
ello, la gestión de los mismos debe ser un conjunto ordenado de acciones enfocadas a
prevenir, en la medida de lo posible, la ocurrencia de ciberincidentes y, en caso de que
ocurran, restaurar los niveles de operación lo antes posible.
La ciberseguridad o seguridad de la tecnología de la información es el área de
la informática que se encarga de proteger la integridad de la infraestructura
computacional y la información que se almacena en ella. Las amenazas de seguridad
van cobrando una mayor relevancia, provocando, entre otras cosas que la
ciberseguridad cobre un papel cada vez más relevante en las organizaciones. De esta
forma, surge la necesidad de establecer procesos claros y consistentes para la gestión
de incidentes de seguridad que en la mayoría de los casos está integrada en el área
de las Tecnologías de la Información (TI). Es importante la capacidad de
monitorización de sistemas para detectar incidentes y la de respuesta a los mismos.
2.1.1 . Estándares y normas internacionales ISO
En la actualidad y considerando el ámbito nacional, existen dos estándares
como herramientas básicas para la prevención y defensa en ciberseguridad, el
estándar internacional ISO/IEC 27001 de Sistemas de Gestión de la Seguridad de la
Información y el actual Real Decreto Español 311/2022 por el que se regula el
Esquema Nacional de Seguridad (ENS).
� ISO/IEC 27001: Orientado a los procesos y objetivos del negocio es el medio
más eficaz para minimizar los riesgos, al asegurar que se identifican y valoran los
procesos de negocio o servicios de TI, los activos, sus riesgos y considerar el
impacto en la organización. Además, se implantan los controles y procedimientos
más eficaces y coherentes en consonancia con la estrategia de negocio. Esta
gestión eficaz de la ciberseguridad permite garantizar: la confidencialidad, la
integridad y la disponibilidad de los datos, además, facilita el cumplimiento legal
relacionado con la protección de datos personales o la propiedad intelectual.
Figura 2: ISO/IEC 27001 Ciclo de Mejora Continua
Fuente: https://revista.aenor.com/
11
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
� Esquema Nacional de Seguridad o ENS es una normativa que tiene como
objetivo establecer los principios que regulan y aseguran el acceso, integridad,
disponibilidad y veracidad de la información empleada en medios electrónicos en o
relacionados con las AA.PP (estatales, autonómicas y locales). Actualmente
recogido en el Real Decreto 311/2022, el ENS se crea con la necesidad de
establecer aspectos y metodologías comunes relativas a la seguridad en la
implantación y utilización de los medios electrónicos por las AA.PP, con el fin de
crear las condiciones de confianza necesarias para que los ciudadanos usen estos
medios en el cumplimiento y ejercicio de sus deberes y derechos. El ENS surgió
como el resultado del trabajo coordinado por el Ministerio de la Presidencia y
posteriormente por el Ministerio de Política Territorial y Administración Pública,
contando con el apoyo del Centro Criptológico Nacional (CNN) y la participación
de todas las AA.PP, incluidas universidades públicas y los órganos colegiados con
competencias en materia de administración electrónica.
Para lograr los objetivos el Esquema ENS se basa en una serie de Principios
Básicos de Seguridad y los Requisitos Mínimos que permitan una protección
adecuada de la información tratada y los servicios prestados. Se crean así las
condiciones necesarias de confianza en el uso de los medios electrónicos, a
través de medidas de seguridad para garantizar la seguridad de los sistemas,
datos, comunicaciones y servicios electrónicos. Lo dispuesto en el ENS afecta a
los sistemas de información utilizados para la prestación de los servicios públicos,
ya sea desde la propia Administración o externalizados en terceros. Se manejan
dimensiones de seguridad con objeto de asegurar el acceso, la confidencialidad, la
integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los
datos, la información y los servicios utilizados por medios electrónicos que
gestionen en el ejercicio de sus competencias. El ENS se basa en:
Principios básicos (7)
son los fundamentos que
deben regir toda acción
orientada a asegurar la
información y los servicios.
Para garantizar que se pueden cumplir sus objetivos, desarrollar
sus funciones y ejercer sus competencias
1. La seguridad como un proceso integral.
2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.
Requisitos mínimos (15)
son las exigencias mínimas
necesarias para asegurar
la información tratada y los
servicios prestados
Permitirán una protección adecuada de la información
1. Organización e implantación del sistema de seguridad
2. Análisis y gestión de riesgos
3. Gestión del personal
4. Profesionalidad
5. Autorización y control de accesos
6. Protección de las instalaciones
7. Adquisición de productos de seguridad y contratación
de servicios de seguridad
8. Mínimo privilegio
9. Integridad y actualización del sistema
10. Protección de la información almacenada en tránsito
11. Prevención ante otros SI interconectados
12. Registro de la actividad y detección de código dañino
13. Incidentes de seguridad
14. Continuidad de la actividad
15. Mejora continua del proceso de seguridad
Medidas de seguridad (73)
Para lograr el cumplimiento de los principios básicos y requisitos
mínimos establecidos, se aplican las medidas de seguridad
recogidas en el Anexo II del ENS, que se dividen en tres grupos.
- Marco organizativo
- Marco operacional
- Medidas de protección
Tabla 1: ENS. Principios básico, requisitos mínimos y medidas de seguridad
12
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
El ENS es un esquema inspirado en la familia de estándares ISO 27000 y más
concretamente en la Norma ISO/IEC 27001.
En ambos casos se consideran tres aspectos claves:
� El análisis, gestión y mitigación de los ciberriesgos en las Tecnologías de la
Información y las Comunicaciones (TIC) de las organizaciones.
� Los principales controles/medidas para una protección adecuada de la
información, los servicios y los sistemas de la organización
� El ciclo de mejora continua (PDCA-Plan, Do, Check, Act).
En ciberseguridad destacan dos entidades, la europea ENISA y la
norteamericana NIST, ambas definen planes de acción para llevar a cabo actividades
que permitan que los incidentes sucedidos no vuelvan a repetirse (o al menos se
minimice la posibilidad), se establecen las distintas etapas, teniendo como actividad
post-incidente aquella asociada a la identificación de lecciones aprendidas.
� NIST (National Institute of Standards and Technology). El Instituto Nacional de
Estándares y Tecnología norteamericano a raíz de la creciente cantidad de
ataques informáticos a sistemas de infraestructuras críticas desarrolló un marco de
trabajo para la reducción de riesgos asociados con este tipo de entornos, con el
soporte del Gobierno, la industria y los usuarios. NIST proporciona una serie de
guías que cada organización puede usar como referencia para desarrollarsu
programa de respuesta a incidentes. En particular la guía 800-61 Revisión 2 "Guía
de manejo de incidentes de seguridad informática" aporta las recomendaciones
para administrar un posible incidente de la manera más efectiva posible.
Según el NIST, un plan de respuesta debe incluir cuatro fases principales:
preparación, detección y análisis, contención, erradicación y recuperación y por
último, actividad post-incidente.
Figura 3: Incident Handling Life Cycle
� ENISA (Agencia Europea para la ciberseguridad). La ENISA trabaja con la
Unión Europea (UE), los Estados miembros, la Comisión Europea y otras agencias
para ayudar a prevenir o responder de manera efectiva a los incidentes y crisis de
seguridad cibernética. Es el punto de referencia, el timón del plan europeo de
seguridad de la red y la información.
Se encarga de analizar los riesgos informáticos y proponer soluciones al
respecto a los países miembros de la UE. El organismo intenta aumentar la
concienciación sobre la importancia de la ciberseguridad y trabaja en conjunto con
el sector TIC para mejorar los niveles de protección. Ayuda a establecer
prioridades para la inversión en investigación y desarrollo y a crear un sistema de
certificados de seguridad para productos y servicios TIC en la UE.
13
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
Entre sus funciones destaca la coordinación de una red de equipos de
respuesta ante emergencias informáticas (EU CERT) repartidos por todas las capitales
y con el que ha redactado una guía de recomendaciones para mejorar la
ciberseguridad de las organizaciones. La ENISA dispone de más de 70 informes para
mejorar las funciones de respuesta a incidentes, la preparación del equipo en su
conjunto, así como la cooperación en el intercambio de información.
2.2 . Metodologías en la gestión de incidentes
La gestión de incidentes de ciberseguridad es el proceso que utilizan los
equipos de TI para responder a eventos no planificados o interrupciones del servicio, a
fin de recuperar el estado operativo.
Estudiando la bibliografía consultada sobre la forma de gestionar los incidentes
se observa una evolución en la forma de estructurar y organizar los equipos de
seguridad para que proporcionen las capacidades y servicios para mantener un nivel
de seguridad. Así como empresas u organizaciones de tipos distintos tienden a utilizar
diferentes tipos de procesos de gestión de incidentes, no existe un proceso universal,
cada una utiliza un enfoque diferente. Muchos utilizan un proceso de gestión más
tradicional, basado en TI, como los descritos en ITIL (Biblioteca de Infraestructura de
Tecnologías de Información). Otros prefieren un proceso de gestión basado en
DevOps o en la ingeniería de fiabilidad de sitios (SRE). Sin embargo, a grandes rasgos
y de forma general el marco de trabajo viene a detallar conceptos más o menos
parecidos con un jerga ligeramente distinta. La clave para la gestión de incidentes es
tener un proceso que sea bueno y ceñirse a él.
Para encarar este apartado, se hace necesario separar las metodologías en
dos ámbitos el Sector Público y el Sector Privado.
2.2.1 . En el Sector Privado
2.2.1.1 . Proceso de gestión de incidentes de ITIL
ITIL da descripciones detalladas de un extenso conjunto de procedimientos de
gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Su proceso de gestión de incidentes se centra únicamente en el
manejo y la escalada de los incidentes a medida que se producen para restaurar los
niveles de servicio definidos. No considera el análisis de la causa raíz ni la resolución
de problemas más profundos. En su lugar, se centra en la resolución de procesos y
problemas.
ITIL propone categorías para determinar el orden para tratar los incidentes y
asignada una prioridad a los mismos que depende de la combinación del impacto que
afecta al negocio del cliente y el tiempo que se puede postergar la resolución del
problema. Teniendo lo anterior en cuenta, un incidente de alto impacto y urgencia
máxima debe ser tratado con prioridad absoluta. El proceso de gestión de incidentes
se puede resumir en las siguientes fases:
� Identificar un incidente y registrarlo
� Categorizar el incidente
� Jerarquizar el incidente por orden de prioridad
14
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
� Respuesta (diagnostico inicial, escalación del incidente, investigación y
diagnostico, resolución y recuperación)
� Cierre
Figura 4: Ejemplo de implementación de Gestión de Incidentes de ITIL
Fuente: https://geniusitt.com/blog/incidentes-y-su-relacion-con-itil/
2.2.1.2 . Proceso de gestión basado en DevOps
A diferencia de marcos como ITIL, no hay ningún documento “oficial” de
prácticas recomendadas para los equipos que utilizan DevOps. DevOps consiste
esencialmente en ofrecer valor empresarial a una organización al eliminar los grupos
aislados, aumentar la transparencia y fomentar la comunicación abierta los equipos de
operaciones de TI. El enfoque de gestión de incidentes de DevOps ayuda a los
equipos que desean ponerse a trabajar de inmediato a unirse y a materializar
beneficios con más agilidad.
El proceso de gestión de incidentes de DevOps no se diferencia demasiado de
los pasos tradicionales (detección, respuesta, resolución, análisis y preparación), pero
incluye un énfasis explicito en implicar a todos los equipos desde el principio y asignar
el trabajo en función de la experiencia.
15
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
2.2.1.3 . Centros de Operaciones de Seguridad (SOC)
Los Centros de Operaciones de Seguridad se encargan de realizar un
seguimiento y analizar la actividad en redes, servidores, puntos finales, bases de
datos, aplicaciones, sitios web y otros sistemas, buscando actividades anómalas que
puedan ser indicativas de un incidente o compromiso de seguridad.
Un SOC es responsable de garantizar que los posibles incidentes de seguridad
se identifiquen, analicen, defiendan, investiguen e informen correctamente.
Sus objetivos son:
� Incrementar la capacidad de vigilancia y detección de amenazas en las
actividades diarias de los sistemas de información y comunicaciones de una
empresa.
� Analizar los ataques o posibles amenazas.
� Recuperar información perdida o dañada que una empresa haya podido tener
por consecuencia de dichos ataques.
� Mejorar la capacidad de respuesta ante cualquier ataque.
A diferencia de un departamento de TI tradicional, el personal de un SOC
incluye principalmente un equipo de analistas y técnicos de ciberseguridad altamente
experimentados y especializados.
2.2.2 . En el Sector Público y Privado
2.2.2.1 . Guía Nacional de notificación y gestión de ciberincidentes
Aprobada por el Consejo Nacional de Ciberseguridad el día 21 de febrero de
2020, está alineada con la normativa española, transposiciones europeas y
documentos emanados de organismos supranacionales. Se define como la referencia
estatal respecto a la notificación y gestión de ciberincidentes, así como en lo relativo a
la capacidad de respuesta y se consolida como una referencia de mínimos en la cual
toda entidad encuentre un esquema y orientación acerca de quién y como se debe
gestionar y reportar un incidente de seguridad.
Los criterios que se recogen en la guía atienden a buenas practicas en la
gestión de incidentes que pueden servir de referencia en el diseño e implementación
de este servicio en cualquier ámbito. Proporciona a los Responsables de Seguridad de
la Información (RSI) las directrices para el cumplimiento de las obligación de reporte
de incidentes en el seno de las Administraciones Públicas y entidadescomprendidas
en el Real Decreto Ley 12/2019 y el esquema acerca de autoridades competentes y
CSIRT de referencia.
Equipo de respuesta a incidentes de seguridad informática
Tipo de operador Características Organismocompetente
Operador de servicios
esenciales
Sector Público (entidades incluidas en el ámbito
subjetivo de aplicación de la Ley 40/2015) CCN-CERT
Sector Privado (entidades no incluidas en el
ámbito subjetivo de aplicación de la Ley 40/2015) INCIBE-CERT
Proveedor de
Servicios Digitales
Sector Público (entidades incluidas en el ámbito
subjetivo de aplicación de la Ley 40/2015) CCN-CERT
Sector Privado (entidades no incluidas en el
ámbito subjetivo de aplicación de la Ley 40/2015) INCIBE-CERT
Tabla 2: CSIRT de referencia. Guía Nacional de Notificación y Gestión de Ciberincidentes.
16
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
2.2.3 . En el Sector Público
2.2.3.1 . Centro Criptológico Nacional (CCN)
Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones
desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de
ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas
con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el
CCN-CERT. Las más importantes para la gestión de incidentes son:
� Guía CCN-STIC-403 Guías generales, Gestión de incidentes de seguridad
informática, para la implantación de una capacidad de respuesta ante
incidentes informáticos, definiendo procedimientos de actuación e identificando
responsabilidades, y recursos humanos y materiales para resolver en el menor
tiempo posible y del modo más efectivo un incidente.
� Guía CCN-STIC-817 Esquema Nacional de Seguridad, Gestión de
ciberincidentes, con el propósito de ayudar al Sector Público al establecimiento
de las capacidades de respuesta a ciberincidentes y su adecuado tratamiento,
eficaz y eficiente, dirigido especialmente a Equipos de Respuesta y
Responsables de Seguridad de la información.
2.2.3.2 . Red Nacional de SOC
Para disponer en tiempo real de un panorama de amenazas, medios para
reaccionar y capacidades de detección, la Comisión Europea, a través de la
"Estrategia de Ciberseguridad para la Década Digital de la UE", propone crear una red
de centros de operaciones de seguridad, coordinados con la red de CERT/CSIRT.
El CCN-CERT considera necesario el desarrollo de servicios horizontales de
seguridad gestionados a través de SOC en diferentes ámbitos: Administración General
del Estado (AGE), Comunidades Autónomas, Entidades Locales y Sectoriales, que
además de coordinar el intercambio de información entre los SOC nacionales, actuará
como nexo entre los diferentes SOC europeos.
Todos los SOC se integraran con el CCN-CERT mediante las herramientas
LUCIA1 y REYES2 que constituirán la base la Plataforma Nacional de Notificación y
Seguimiento de Ciberincidentes.
Figura 6: Eje y funciones de un SOC
Fuente: CCN-Aproximación-SOC-Nacionales
1 LUCIA, (Listado Unificado de Coordinación de Incidentes y Amenazas) es una herramienta desarrollada por el
CCN-CERT para la Gestión de Ciberincidentes.
2 REYES, es una solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciberincidentes y
compartir información de ciberamenazas.
17
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
2.2.4 . Procedimiento para el sector privado y la ciudadanía del INCIBE
En España el Instituto Nacional de Ciberseguridad (INCIBE) es la entidad de
referencia para el desarrollo de la ciberseguridad y el INCIBE-CERT es su equipo de
respuesta, encargado de la prevención mitigación y respuesta ante incidentes
cibernéticos en el ámbito de los ciudadanos, red académica y de investigación,
profesionales, empresas, sectores estratégicos y proveedores de servicios digitales en
el ámbito privado. Elaboran guías alienadas con la "Guía nacional de notificación y
gestión de ciberincidentes" que sirven de apoyo en las tareas de gestión de
ciberincidentes así como recoger los mecanismos, referencias y canales para su
notificación al Centro de Respuesta. Estás guías atienden a buenas prácticas
reconocidas en la gestión de incidentes y como tales, pueden servir de referencia en el
diseño e implementación de este tipo de servicios en cualquier ámbito.
El proceso de gestión de incidentes consta de las fases de Preparación,
Identificación, Contención, Mitigación, Recuperación y Post-incidente y aunque todas
son necesarias, algunas pueden estar incluidas como parte de otras o tratarse de
manera simultánea.
3 . Marco teórico
3.1 . Gestión de incidentes de ciberseguridad en el ENS para EELL
El ENS a lo largo de sus artículos y anexos refleja la necesidad u
obligatoriedad de una gestión de incidentes. La gestión de los incidentes, forma parte
de los requisitos mínimos de la Política de Seguridad3, está integrada en la seguridad
de los sistemas atendidos por el personal, es necesario un procedimiento de gestión
de incidentes de seguridad y de debilidades en los elementos del sistema y forma
parte de los servicios de respuesta a incidentes con el CCN. En el anexo II del ENS y
acorde a la categoría del sistema es necesario disponer de un registro y gestión de
incidentes, de un proceso integral para hacer frente a los mismos y es indispensable
para el sistema de métricas.
En el nuevo ENS publicado recientemente la Gestión de incidentes se ha visto
incrementada en todas sus categorías. En el apartado 4.3.7 "Gestión de incidentes"
del Anexo II, Medidas de seguridad, 3 Marco operación [op], se incluyen los requisitos
necesarios del proceso integral para hacer frente a los incidentes.
Figura 7: ENS Gestión de incidentes [op.exp.7]
En el Real Decreto 311/2022, del nuevo ENS en todas las categorías se debe
disponer de un proceso integral para hacer frente a los incidentes que puedan tener un
impacto en la seguridad del sistema, que incluya detalle de los criterios de clasificación
y el escalado de la notificación. En la gestión de incidentes que afecten a datos
personales se aplicará lo dispuesto en el Reglamento General de Protección de Datos,
la Ley Orgánica 3/2018, de 5 de diciembre.
En las categorías Media y Alta que se incrementa un Refuerzo R1, se
dispondrá de soluciones de ventanilla única para la notificación de incidentes al CCN-
3 Documento de la Entidad que define todo lo aplicable y relacionado en términos de seguridad.
18
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
CERT, que permita la distribución de notificaciones a las diferentes entidades de
manera federada, utilizando para ello dependencias administrativas jerárquicas.
Si el sistema es de categoría Alta además habrá que disponer del refuerzo R2-
Detección y Respuesta y R3, que deberá incluir:
� La implantación de medidas urgentes, incluyendo la detención de servicios, el
aislamiento del sistema afectado, la recogida de evidencias y protección de los
registros.
� Asignar recursos para investigar las causas, analizar las consecuencias y
resolver el incidente.
� Informar del incidente a los responsables de la información y servicios
afectados y de las actuaciones llevadas a cabo para su resolución.
� Medidas para:
◦ Prevenir que se repita el incidente.
◦ Incluir en los procedimientos de usuario la identificación y forma de tratar el
incidente.
◦ Actualizar, extender, mejorar u optimizar los procedimientos de resolución.
Dentro del Refuerzo R3-Reconfiguración dinámica, el ENS obliga a:
� Detener, desviar o limitar ataques, acotando los daños, incluyendo, por
ejemplo, cambios en las reglas de los enrutadores (routers), listas de control de
acceso, parámetros del sistema de detección / prevención deintrusiones y
reglas en los cortafuegos y puertas de enlace, aislamiento de elementos
críticos y aislamiento de las copias de seguridad.
� Se adaptarán los procedimientos de reconfiguración dinámica recibidos del
CCN-CERT relativos a ciberamenazas sofisticadas y campañas de ataques.
La gestión de incidentes de seguridad en los sistemas engloba el ciclo de vida
completo del incidente en sus diferentes áreas: inicio, gestión y resolución. La
Capacidad de Respuesta (CIRC) es el conjunto de medios humanos, materiales y
procedimientos encargados de identificar y gestionar los incidentes de seguridad y
dentro de esta capacidad destaca especialmente el papel de los Equipos de
Respuesta (ERI, CERT, CSIRT o ERC), un conjunto de expertos en redes, sistemas y
seguridad en las TIC cuyo principal objetivo es dar respuesta a los incidentes de
seguridad. En el Anexo A, "Principales servicios de un CERT" hay una descripción
más detallada de los principales servicios.
Al igual que intervienen diferentes grupos de respuesta, existen diferentes tipos
de documentos que nos sirven de guía para llegar a implantar una metodología. Los
tipos de documentos vienen reflejados en la Figura siguiente.
Figura 8: Tipo de documentos ENS
Fuente: Guía CCN-STIC 883
19
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
3.2 . Fases en la gestión de los ciberincidentes
Un incidente de seguridad pasa por diversas etapas desde su notificación e
identificación hasta su respuesta y solución. Es importante seguir el flujo establecido y
adaptándolo a nuestro caso de actuación. Las fases son las siguientes:
◦ Prevención y preparación
◦ Detección e identificación
◦ Notificación
◦ Contención
◦ Análisis e investigación
◦ Solución y recuperación
◦ Reflexión y mejora.
Es importante no saltarse ningún paso, pero puede que todas no sean
necesarias y alguna puede estar incluida como parte de otras o tratarse de manera
simultánea.
Figura 9: Ciclo de vida de la respuesta a incidentes.
Fuente: https://www.ccn-cert.cni.es
Las diferentes fases se puede dividir en tres áreas de trabajo:
◦ Inicial, donde se recibe la información del incidente.
◦ Gestión, se analiza el incidente y se realizan acciones de investigación,
contención y notificación.
◦ Resolución, se aplican las medidas correctoras necesarias.
Para facilitar el proceso existe la posibilidad de hacer uso de una lista resumen
con los pasos a realizar desde la fase de Identificación hasta la de Reflexión y Mejora.
Ver Anexo B, "Guías de actuación, respuesta a incidentes".
3.2.1 . Prevención y preparación
La fase inicial contempla la creación y formación del Equipo de Respuesta a
Ciberincidentes (ERC), y la utilización de las herramientas y recursos necesarios.
Durante esta fase la Entidad, atendiendo a lo dispuesto en los Anexos I y II del ENS
habrá identificado y desplegado un determinado conjunto de medidas de seguridad,
20
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
por ejemplo la adhesión a los servicios de Sistema de Alerta Temprana (SAT) del
CCN-CERT, tanto en la red SARA (SAT-SARA) como en internet (SAT-INET) o en los
Sistemas de Control Industrial (SAT-ICS).
Esta etapa dentro del ciclo de vida de respuesta a incidentes suele hacerse
pensando no sólo en crear un modelo que permita a la entidad estar en capacidad de
responder ante estos, sino también en la forma como pueden ser detectados,
evaluados y gestionar las vulnerabilidades para prevenirse, asegurando que los
sistemas, redes, y aplicaciones son lo suficientemente seguros .
En esta etapa el ERC debe velar por la disposición de los recursos de atención
de incidentes y las herramientas necesarias para cubrir las demás etapas del ciclo de
vida del mismo, creando (si no existen) y validando (si existen) los procedimientos
necesarios y programas de capacitación. Incluyendo las mejores prácticas para el
aseguramiento de redes, sistemas, y aplicaciones.
Algunos puntos más relevantes en esta fase son:
◦ Revisar los planes de copia de seguridad y realizar test de recuperación de
servicios completos.
◦ Actualizar todos los sistemas y equipos con los últimos parches de
seguridad
◦ Monitorizar de forma proactiva y continua la seguridad de las
infraestructuras
◦ Activar las auditorias de los sistemas de acceso perimetral.
◦ Disponer de información actualizada de contacto, tanto de personal interno
como externo implicado en las fases de gestión del ciberincidentes, así
como las vías de contacto en cada caso.
◦ Mantener las políticas y procedimientos actualizados. Especialmente todos
los relativos a la gestión de incidentes, recogida de evidencias, análisis
forense o recuperación de sistemas.
◦ Herramientas a utilizar, en todas las fases de gestión del ciberincidente
◦ Formación del equipo humano para mejorar las capacidades técnicas y
operativas
La prevención es vital para intentar minimizar el número o impacto de los
incidentes que llegan al ERC. Esta tarea esta relacionada con el seguimiento de las
amenazas y vulnerabilidades fuera de la organización y su identificación en la misma.
3.2.1.1 . Sistemas de alerta temprana
El Equipo de Respuesta ante Incidentes de Seguridad de la Información del
CCN-CERT poner a disposición de AA.PP dos tipos de Sistemas de Alerta Temprana.
Primero comenzó con la monitorización de la Red de Intercomunicación de todos los
organismos de la AA.PP (SARA) y posteriormente se extendió a los accesos de
Internet de las distintas AA.PP (SAT de Internet).
El SAT de Internet (SAT-INET) se implanta para la detección en tiempo real de
las amenazas e incidentes existentes en el tráfico que fluye entre la red interna del
Organismo adscrito e Internet. Su misión es detectar patrones de distintos tipos de
ataque y amenazas mediante el análisis del tráfico y sus flujos. Consiste en la
implantación de una sonda en la red pública de la AP que recolecta la información de
seguridad y después de filtrar el tráfico, envía los eventos de seguridad a un sistema
central. El Organismo adscrito recibe los avisos y alertas sobre los incidentes
detectados.
21
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
La sonda se gestiona completamente desde el CCN-CERT y no es necesaria la
realización de tareas de administración por parte del personal del Organismo.
El Sistema de Alerta Temprana de Internet tiene como principal función la
protección proactiva (detectar amenazas) y protección reactiva (fortalecer la defensa).
Es capaz de detectar todo tipo de ataques y dar una respuesta rápida y eficaz a
cualquier incidente. La información que envían las sondas es posteriormente
normalizada en el sistema central, donde se analiza de forma unificada, dando lugar a
una correlación avanzada y una mayor fiabilidad en la detección.
Figura 10: Clasificación y porcentaje de los incidentes notificados (SAT-INET)
3.2.2 . Detección e identificación
No es fácil en todos los casos determinar con precisión si se ha producido o no
un ciberincidente y, si es así, identificar su tipo y evaluar a priori su peligrosidad. Es
más probable que los indicios de que nos encontremos ante un ciberincidente puedan
provenir de dos tipos de fuentes: los precursores y los indicadores. Un precursor es un
indicio de que puede ocurrir un incidente en el futuro y un indicador es un indicio de
que un incidente puede haber ocurrido o puede estar ocurriendo ahora.
Algunos ejemplos de precursores son:
◦ Las entradas de log del servidor Web, con los resultados de un escáner de
vulnerabilidades.
◦ El anuncio de un nuevo exploit, dirigido a una atacar una vulnerabilidad que
podría estar presente en los sistemas de la organización.
◦ Amenazas explícitas provenientes de grupos oentidades concretos,
anunciado ataques a organizaciones objetivo.
Los indicadores son muy comunes, tales como:
◦ El sensor de intrusión de una red emitiendo una alerta cuando ha habido un
intento de desbordamiento de buffer contra de un servidor de base de
datos.
◦ Las alertas generadas por software antivirus.
◦ La presencia de un nombre de archivo con caracteres inusuales.
◦ Un registro de log sobre un cambio no previsto en la configuración de un
host.
◦ Los logs de una aplicación, advirtiendo de reiterados intentos fallidos de
login desde un sistema externo desconocido.
◦ La detección de un número importante de correos electrónicos rebotados
con contenido sospechoso.
◦ Desviación inusual del tráfico de la red interna.
22
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
Figura 11: Incidente de SAT-INET
En otros casos puede comenzar con las notificaciones recibidas por los
miembros de la organización que alertan de la existencia de un posible incidente, para
ello es necesario disponer de un mecanismo de interfaz ERI (Equipo de Respuesta
Inmediata) que permita describir en un formato establecido toda la información
necesaria.
La adecuada implantación de las medidas impuestas por el ENS ayudan a
detectar las posibles brechas de seguridad de los sistemas de Información y su
análisis. La detección de la amenaza, una vez penetrado en el organismo, puede ser
realizada por el propio organismo y/o por las sondas desplegadas por el CCN-CERT.
Una correcta identificación o detección se basa en los siguientes principios:
◦ Registrar y monitorizar los eventos de las redes, sistemas y aplicaciones
◦ Recolectar información situacional que permita detectar anomalías
◦ Disponer de capacidades para descubrir ciberincidentes y comunicarlos a
los contactos apropiados
◦ Recopilar y almacenar de forma segura todas las evidencias.
Conviene registrar y documentar el ciberincidente con el apoyo de una
herramienta de gestión de incidentes o ticketing, incluyendo la información obtenida
durante la fase de identificación así como los valores de clasificación, peligrosidad e
impacto inicial (Ver Anexo C. Clasificación de los ciberincidentes y Anexo D. Criterios
de determinación del nivel de peligrosidad). También es el momento de considerar la
necesidad de comunicar la existencia de un incidente de seguridad a un nivel superior
en la estructura organizativa de la entidad (responsables de departamentos, comité de
crisis, equipo de recuperación…) en función de cómo se haya definido en los
procedimientos.
3.2.3 . Notificación
La Instrucción Técnica de Seguridad de Notificación de incidentes de
Seguridad señala la obligatoriedad de notificar cualquier incidente de seguridad con
23
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
niveles Alto, Muy Alto y Crítico en función de la información manejada o los servicios
prestados. Señala que una vez detectado un incidente, la entidad deberá clasificarlo y
recopilar evidencias del mismos, documentarlas y custodiarlas con garantía, tal y como
se indica en la Guía CCN-STIC 817 del CCN.
Con el propósito de facilitar los mecanismos necesarios de notificación,
comunicación e intercambio de información sobre incidentes de seguridad, el CCN ha
desarrollado la herramienta conocida como LUCIA (Listado Unificado de Coordinación
de Incidentes y Amenazas), la cual se mantendrá permanentemente actualizada.
Los criterios de determinación del Nivel del impacto están contemplados en la
Guía Nacional de Notificación en función del tipo de sistemas a los que afecta el
ataque, así como al número de equipos afectados (Anexo D, Criterios de
determinación del nivel de Impacto).
3.2.3.1 . Clasificación de los ciberincidentes
No todos los ciberincidentes poseen las mismas características ni la misma
peligrosidad por ello es necesario disponer de una taxonomía de los ciberincidentes
que ayude a su análisis, contención y erradicación.
Los factores a la hora de establecer criterios de clasificación son, entre otros:
◦ Tipo de amenaza: código dañino, intrusiones, fraude, etc.
◦ Origen de la amenaza: Interna o externa.
◦ Categoría de seguridad de los sistemas afectados (atendiendo a los
criterios señalados en el Anexo I del ENS para categorizar los Sistemas de
Información)
◦ Perfil de los usuarios afectados, su posición en la estructura organizativa de
la entidad y, en su consecuencia, sus privilegios de acceso a información
sensible o confidencial.
◦ Número y tipología de los sistemas afectados.
◦ Impacto que el incidente puede tener en la organización, desde los puntos
de vista de la protección de la información, la prestación de los servicios, la
conformidad legal y/o la imagen pública.
◦ Los requerimientos legales y regulatorios.
La combinación de uno o varios de estos factores es determinante a la hora de
tomar la decisión de crear un ciberincidente o determinar su peligrosidad y prioridad de
actuación.
La clasificación recoge nueve tipos de ciberincidentes distintos y 36
subcategorías, entre las que se incluyen algunos de los ataques y vulnerabilidades
más detectados como Troyanos, Spyware, Cross-Site Scripting (XSS), Inyección SQL,
DDoS, Exfiltración de Información, Phishing o Ransomware. Ver Anexo C.
Clasificación de los ciberincidentes.
Además, y en función de distintos parámetros (como la amenaza subyacente,
el vector de ataque o las características potenciales del ciberincidente), se recoge una
tabla para determinar la peligrosidad potencial (Anexo D. Criterios de determinación
del nivel de peligrosidad) y de esta forma, poder asignar prioridades y recursos.
3.2.3.2 . Herramienta de notificación
La herramienta desarrollada por el CCN-CERT para gestionar los
ciberincidentes es LUCIA de obligado cumplimiento en el ENS. Ofrece un lenguaje
24
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
común de clasificación y peligrosidad de los incidentes manteniendo la trazabilidad y
seguimiento del mismo.
Lucia permite integrarse con otros sistemas ya implantados en la organización
y se pueden gestionar tres tipos de ciberincidentes:
� Los incidentes propios del Organismo
� Los provenientes del Sistema de Alerta Temprana de Red SARA (SAT-SARA)
� Los provenientes del Sistema de Alerta Temprana de Internet (SAT-INET)
3.2.3.3 . Peligrosidad de los ciberincidentes
Además de tipificar los ciberincidentes dentro de un determinado grupo o tipo,
para la gestión de los mismos, asignación de prioridades y recursos, etc. se exige
determinar la peligrosidad potencial que el ciberincidente posee. Para ello, es
necesario fijar ciertos Criterios de Determinación de la Peligrosidad con los que
comparar las evidencias que se disponen del ciberincidente, en sus estadios iniciales.
A la peligrosidad de un ciberincidente se le asigna un valor de una escala de cinco
valores, de menor a mayor peligrosidad.
Nivel Peligrosidad
1 BAJO
2 MEDIO
3 ALTO
4 MUY ALTO
5 CRITICO
Tabla 3: Niveles de peligrosidad
En la Tabla 3 y el Anexo D se muestra el Nivel de Peligrosidad de los
Ciberincidentes, atendiendo a la repercusión de que la amenaza se materialice y el
impacto que podría tener en los sistemas de información de las entidades del ámbito
de aplicación del ENS. Este criterio es el utilizado en las comunicaciones del CCN-
CERT y las entidades afectadas, adheridas a los Sistemas de Alerta Temprana. En la
imagen siguiente se muestra el nivel de peligrosidad de los ciberincidentes, atendiendo
según la victima.
Figura 12: Niveles de Peligrosidad según la victima
25
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
3.2.3.4 . Nivel de impacto del ciberincidente
El ENS señala que el impacto de unciberincidente en un organismo público se
determina evaluando las consecuencias que dicho ciberincidente tiene en las
funciones de la organización, en sus activos o en los individuos afectados.
La tabla del Anexo E. Criterios de determinación del Nivel de impacto de los
ciberincidentes, muestra cómo se debe determinar en la Entidad el Nivel de Impacto
Potencial en el organismo afectado por los Ciberincidentes.
El impacto producido por el ciberincidente es un valor con carácter dinámico y
puede variar a lo largo del ciclo de vida del incidente ya que, lo que inicialmente puede
parecer un problema simple relacionado con un correo electrónico podría resultar
finalmente una crisis con robo de propiedad intelectual y daño de reputación.
3.2.3.5 . Seguimiento por parte del CCN-CERT
La herramienta LUCIA, a disposición de los organismos de ámbito de
aplicación del ENS, utiliza un sistema de seguimiento de tickets que puede usarse
para documentar el desarrollo del ciberincidente y las acciones que se han llevado a
cabo en cada momento, correspondientes a las fases de detección, contención,
erradicación y recuperación.
Una vez notificado el incidente al organismo afectado por parte del Sistema de
Alerta Temprana de Internet (SAT-INET), realizará un seguimiento del mismo,
asignándole un determinado Estado.
La tabla siguiente muestra los diferentes estados que puede tener un
ciberincidente, en un instante dado.
Estado Descripción
Cerrado (Resuelto y sin
respuesta)
No hay respuesta por parte del organismo afectado en un periodo
determinado. No obstante, el incidente parece estar resuelto.
Cerrado (Resuelto y
con respuesta)
El organismo afectado ha solventado la amenaza y notifica a su
CSIRT de referencia el cierre del ciberincidente.
Cerrado (Sin impacto) La detección ha resultado positiva pero el organismo no es vulnerable o no se ve afectado por el ciberincidente.
Cerrado (Falso positivo) La detección ha sido errónea.
Cerrado (Sin resolución
y sin respuesta)
Si el ciberincidente no ha sido resuelto por el organismo afectado y
este no ha comunicado con el CSIRT de referencia, es cerrado con
este estado.
Cerrado (Sin resolución
y con respuesta)
No se ha alcanzado una solución al problema o el afectado indica
que no sabe solventarlo incluso con las indicaciones proporcionadas
por el CSIRT.
Abierto
Estado que va desde que el organismo afectado notifica la amenaza
al CSIRT de referencia, o bien este último lo comunica al afectado,
hasta que se produce el cierre del mismo por alguna de las causas
anteriormente descritas.
Tabla 4: Estado de los ciberincidentes notificados por los SAT
El seguimiento se hace en función del nivel de peligrosidad o impacto del
ciberincidente, en la tabla siguiente se muestra los días tras lo que se cerrara un
ciberincidente sin respuesta.
26
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
Nivel de
peligrosidad
o impacto
Obligación
de notificar
al CCN-
CERT
Cierre del
ciberincidente
(días
naturales)
Precisiones
CRÍTICO Sí 120 Se cierran automáticamente por los Sistemas
de Alerta Temprana trascurrido el número de
días especificado en la columna anterior desde
la última actualización del incidente en LUCIA.
El Sistema de Alerta Temprana envía
recordatorios del aviso al organismo.
MUY ALTO Sí 90
ALTO Sí 45
MEDIO No 30
BAJO No 21
Tabla 5: Seguimiento del ciberincidente por el CCN-CERT
3.2.4 . Contención
Es necesario contener la propagación del código dañino por la red para evitar
que un atacante remoto con acceso a los sistemas pueda continuar con su actividad.
Dependiendo del volumen de equipos afectados en la red y su naturaleza, se
procederá a bloquear las conectividades de forma física (desconectando el cable de
red) o lógica (bloqueando a nivel de Firewall).
La velocidad con la que se actúa para frenar la infección y evitar un impacto
más severo es clave en la resolución del incidente. De la misma forma, la implicación a
todos los niveles dentro de la organización.
En esta fase el CSIRT decide un método para detener la propagación de las
amenazas detectadas. La estrategia de contención elegida debe considerar la
posibilidad de daños adicionales, la conservación de la evidencia y la duración del
tiempo de contención. Por lo general, esto significa aislar los sistemas comprometidos,
segmentar partes de la red o colocar las máquinas afectadas en un entorno limitado.
Un entorno limitado tiene el beneficio de permitir un mayor monitoreo de la amenaza,
así como también de recolectar más evidencias.
Una correcta clasificación de los ciberincidentes permite a los equipos de
respuesta asignar la prioridad adecuada a cada problema, asegurando que se tratan
en primer lugar o que se asignan más recursos a aquellos casos más graves.
Una vez que se han tomado las medidas iniciales para contener el problema,
es momento de comenzar con los procedimientos de toma y preservación de
evidencias. Este paso resulta importante, tanto por si finalmente es necesario
judicializar el incidente, como para poder analizar correctamente el origen y determinar
el impacto real del problema. Los datos volátiles almacenados en la memoria del
equipo pueden resultar muy importantes para el proceso de análisis en casos de
programas maliciosos o de intrusiones y éstos se perderían si se apagara el equipo,
por lo que en caso de considerarlo relevante se han de aplicar técnicas para su
adquisición antes del apagado de los equipos.
3.2.5 . Análisis e investigación
En esta etapa, el ERC aporta su conocimiento, experiencia y pensamiento
lógico para abordar toda la información que les presentan las herramientas y los
registros de monitoreo y comprender exactamente qué está sucediendo en la red y
qué se puede hacer.
27
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
La tarea consiste en correlacionar eventos para recrear secuencias de eventos
que conducen al incidente. Es especialmente crucial poder identificar la causa
principal, para avanzar a los pasos de contención lo más rápido posible.
3.2.6 . Soluciones y recuperación
Una vez contenido, deben restablecerse los sistemas comprometidos. Las
vulnerabilidades deben parchearse, los sistemas y archivos deben restaurarse a partir
de copias de seguridad limpias, las contraseñas deben cambiarse, las reglas del
Firewall deben ajustarse, etc.
Un retorno completo a las operaciones normales puede llevar meses
dependiendo del incidente. A corto plazo, se debe establecer un sistema más seguro y
refinado de ingreso de credenciales y monitoreo para que los administradores de IT
puedan evitar que vuelva a ocurrir el mismo incidente. A largo plazo, es posible que se
produzcan más cambios en la infraestructura para ayudar a transformar la red en una
más segura.
3.2.7 . Reflexión y mejora
Mantener un proceso de "lecciones aprendidas" después de un incidente
grave, y periódicamente después de los incidentes menores, es sumamente útil en
la mejora de las medidas de seguridad y el proceso de gestión de incidentes. La
finalidad es aprender de lo sucedido y que se puedan tomar las medidas adecuadas
para evitar que una situación similar se pueda volver a repetir.
Esto ayudará a conocer lo que exactamente sucedió en qué momento y cómo
el personal gestionó el incidente, también a evaluar los procedimientos de actuación,
la cadena de mando, las políticas de seguridad y entrenará a los implicados para
futuras situaciones de crisis.
Cada miembro del equipo implicado en la gestión del ciberincidente debe
aportar sus anotaciones y todas deben ser recogidas en un informe general que puede
ser revisado en una reunión.
3.3 . Métricas e indicadores
El ENS al igual que establece la necesidad evaluar elgrado de implantación de
la seguridad del sistema, establece la medición de la gestión de incidentes en su
Anexo II, 2 Selección de medidas de seguridad, dentro del marco operacional
[op.mon.2] Motorización del sistema, Sistema de métricas.
Por categoría o
dimensión Categoría de seguridad del sistema
BÁSICA MEDIA ALTA
Categoría aplica + R1 + R2 + R1 + R2
Figura 13: Gestión de métricas según la categoría de seguridad del sistema
Se emplean los colores verde, amarillo y rojo de la siguiente forma: el color
verde para indicar que una cierta medida se aplica en sistemas de categoría Básica o
28
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
superior; el amarillo para indicar qué medidas y refuerzos empiezan a aplicar en
categoría Media o superior; y el rojo para indicar qué medidas o refuerzos son solo de
aplicación en categoría Alta o requieren un esfuerzo en seguridad superior al de
categoría Media.
Dependiendo de la categoría del sistema, se recopilaran los datos necesarios
para proveer el informe anual requerido en el artículo 32 del ENS. Con R1- Efectividad
del sistema de gestión de incidentes, se recopilarán los datos que posibiliten evaluar el
comportamiento de acuerdo a la ITS de Notificación de Incidentes de Seguridad y la
correspondiente guía del CCN-STC. Con la necesidad de un refuerzo R2- Eficiencia
del sistema de gestión de la seguridad, se recopilaran datos en relación con los
recursos consumidos, en términos de horas y presupuesto.
Los organismos del ámbito de aplicación del ENS pueden evaluar la
implantación, eficacia y eficiencia del proceso de Gestión de Ciberincidentes a través
de seis métricas.
� Métricas de implantación
M1 Indicador Alcance del sistema de gestión de ciberincidentes
Objetivo Saber si todos los sistemas de información están adscritos al servicio
Método Se cuentan cuántos servicios están bajo control. (Si se conociera cuántos
servicios hay en total, se podría calcular un porcentaje).
· #servicios de categoría ALTA (ENS Anexo I)
· #servicios de categoría MEDIA (ENS Anexo I)
Caracterización Objetivo 100%
Umbral amarillo ALTA: 4/5 (80%)
MEDIA: 2/3 (67%)
Umbral rojo ALTA: 2/3 (67%)
MEDIA: ½ (50%)
Frecuencia medición trimestral
Frecuencia reporte anual
� Métricas de resolución de incidentes
M2 Indicador Resolución de ciberincidentes de nivel de impacto ALTO
(ENS Anexo I – afectando a sistemas de categoría ALTA)
Objetivo Ser capaces de resolver prontamente incidentes de alto impacto
Método Se mide el tiempo que se tarda en resolver un incidente con un impacto en
sistemas de categoría ALTA: desde que se notifica hasta que se resuelve
· T(50) tiempo que se tarda en cerrar el 50% de los incidentes
· T(90) tiempo que se tarda en cerrar el 90% de los incidentes
Caracterización Objetivo T(50) = 0 && T(90) = 0
Umbral amarillo T(50) > 5d || T(90) > 10d
Umbral rojo T(50) > 10d || T(90) > 20d
Frecuencia medición anual
Frecuencia reporte anual
29
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
M3 Indicador Resolución de ciberincidentes de nivel de impacto MEDIO
(ENS Anexo I – afectando a sistemas de categoría MEDIA)
Objetivo Ser capaces de resolver prontamente incidentes de impacto medio
Método Se mide el tiempo que se tarda en resolver un incidente con un impacto en
sistemas de categoría MEDIA: desde que se notifica hasta que se resuelve:
· T(50) tiempo que se tarda en cerrar el 50% de los incidentes
· T(90) tiempo que se tarda en cerrar el 90% de los incidentes
Caracterización Objetivo T(50) = 0 && T(90) = 0
Umbral amarillo T(50) > 10d || T(90) > 30d
Umbral rojo T(50) > 15d || T(90) > 45d
Frecuencia medición anual
Frecuencia reporte anual
� Métricas de recursos
M4 Indicador Recursos consumidos
Objetivo Conocer si es necesario aumentar la fuerza de trabajo
Método Estimación del número de horas-hombre dedicadas a resolver incidentes de
seguridad.
Fórmula: #horas dedicadas a incidentes / #horas formalmente contratadas para
seguridad TIC
Caracterización Objetivo < 20%
Umbral amarillo 20%
Umbral rojo 50%
Frecuencia medición trimestral
Frecuencia reporte anual
� Métricas de gestión de incidentes
M5 Indicador Estado de cierre los incidentes
Objetivo Ser capaces de gestionar incidentes de seguridad
Método Se mide el número de incidentes que han sido cerrados sin respuesta.
Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de
incidentes notificados
Caracterización Objetivo
Umbral amarillo
Umbral rojo
Frecuencia medición
Frecuencia reporte anual
M6 Indicador Estado de cierre los incidentes de peligrosidad MUY ALTA/CRÍTICA
Objetivo Ser capaces de gestionar incidentes de seguridad de alta peligrosidad
Método Se mide el número de incidentes que han sido cerrados sin respuesta.
Fórmula: # incidentes de seguridad cerrados sin respuesta / # total de
incidentes notificados
Caracterización Objetivo 0%
Umbral amarillo 5%
Umbral rojo 20%
Frecuencia medición Trimestral
Frecuencia reporte anual
30
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
4 . Metodología de gestión de incidentes en la Entidad
4.1 . Objetivo
El objeto de este procedimiento es definir la sistemática establecida en la
Entidad para llevar a cabo la notificación y gestión de incidentes y/o vulnerabilidades
de seguridad con el propósito de asegurar que los incidentes de seguridad y las
debilidades asociadas con los sistemas de información se comunican de tal manera
que haya tiempo de tomar las adecuadas acciones correctivas y poder evitarlos en un
futuro, así como para:
◦ Restaurar el servicio tan pronto como sea posible o responder a solicitudes
del servicio
◦ Restablecer la operación normal del servicio lo más rápido posible
◦ Minimizar el impacto adverso en las operaciones
◦ Asegurar que los niveles de calidad y disponibilidad de los servicios se
mantengan en lo establecido.
Además este procedimiento tiene por objeto documentar la gestión de
violaciones o brechas de seguridad, que afecten a los datos de carácter personal
tratados por la Entidad, como Responsable de Tratamiento, de conformidad con la
Normativa vigente de Protección de Datos.
En esta sección se detallan los pasos para diseñar un proceso en la gestión de
incidentes. Al tratarse de una Entidad en fase de ser auditada para la certificación de
su sistema en el ENS, se disponen de procedimientos y medidas de seguridad
implantadas para dicho propósito.
4.2 . Alcance
Todos los sistemas de información y personal que se encuentre afectado
dentro del alcance del Esquema Nacional de Seguridad (ENS). En la Entidad tratada el
alcance está reflejado en la Política de Seguridad y se aplicará a los siguientes
sistemas:
1. Los sistemas de información del Portal
2. Los portales de los ayuntamientos, entidad local o comarca que estén alojados
en sus sistemas.
Ambos están relacionados con el ejercicio de derechos por medios
electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso
a la información o al procedimiento administrativo.
4.3 . Referencia
Para la realización del presente procedimiento se tienen en cuenta las
referencias incluidas en la normativa de aplicación así como las Guías de las
Autoridades y Organismos de Control.
31
DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD EN UNA ORGANIZACIÓN
4.3.1 . Referencia normativa
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica establece en su
Capítulo III (Política de seguridad y requisitos mínimos de Seguridad) uno de los
principios básicos que debe desarrollar la Política de Seguridad de las
Administraciones Públicas