GUÍA TÉCNICA GTC-ISO/IEC

COLOMBIANA 27035

2012-12-12

TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. GESTIÓN DE
INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

INFORMATION SECURITY INCIDENT MANAGEMENT.

CORRESPONDENCIA: esta guía es una adopción idéntica

(IDT) de la norma ISO/IEC 27035:
2011.

DESCRIPTORES: tecnología de la información; técnicas

de seguridad; información; seguridad
de la información; incidente; gestión
de incidentes.

I.C.S.: 35.040

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Editada 2012-12-21

 PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.

La guía GTC-ISO/IEC 27035 fue ratificada por el Consejo Directivo de 2012-12-12.

Esta guía está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta guía a través
de su participación en el Comité Técnico 181 Gestión de T.I..

ARCHIVO GENERAL DE LA NACIÓN MAREIGUA

AVIANCA MINISTERIO DE TECNOLOGÍAS DE LA
BANCO AGRARIO DE COLOMBIA S.A. INFORMACIÓN Y LAS COMUNICACIONES
BANCO DE LA REPUBLICA NEWNET S.A.
CÁMARA COLOMBIANA DE INFORMÁTICA OUTSOURCING S.A.
Y TELECOMUNICACIONES -CCIT- PROJECT ADVANCED MANAGEMENT
CAMARA DE COMERCIO DE MEDELLÍN SELTIKA
CENET S.A. SERVIENTREGA S.A.
CROSS BORDER TECHNOLOGY S.A.S. SOANSES LTDA.
FIDUCIARIA POPULAR SUN GEMINI S.A.
INSTITUTO COLOMBIANO DE BIENESTAR TELMEX S.A.
FAMILIAR -ICBF- TOP FACTORY S.A.
IQ INFORMATION QUALITY UNIVERSIDAD AUTÓNOMA OCCIDENTE
LIGHT SKY LTDA.

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:

A TODA HORA S.A ATH BANCO COMERCIAL AV VILLAS

ACH COLOMBIA S.A. BANCO DAVIVIENDA S.A.
ACTUALIZACIONES DE SISTEMAS LTDA. BANCO DE BOGOTÁ
AEROVÍAS DEL CONTINENTE BRANCH OF MICROSOFT COLOMBIA INC
AMERICANO S.A. -AVIANCA S.A.- CAJA COLOMBIANA DE SUBSIDIO
AGENDA DE CONECTIVIDAD FAMILIAR COLSUBSIDIO
ALFA COMPRESIÓN CENTRO DE INVESTIGACIÓN Y
ALIANZA SINERTIC DESARROLLO EN TECNOLOGÍAS DE LA
BANCO CAJA SOCIAL INFORMACIÓN Y LAS COMUNICACIONES
CENTRO POLICLÍNICO DEL OLAYA KEXTAS LTDA.
C.P.O. S.A. LOGIN LEE LTDA.
CHOUCAIR TESTING S.A. MAKRO SUPERMAYORISTA S.A.
CIBERCALL S.A. MAREIGUA LTDA.
COLOMBIA TELECOMUNICACIONES S.A. MEGABANCO
E.S.P. MICROCOM COMUNICACIÓN Y
COMERCIO ELECTRÓNICO EN SEGURIDAD LTDA.
INTERNET CENET S.A. NEGOTEC NEGOCIOS Y TECNOLOGÍA LTDA.
COMPUREDES S.A. NEXIA
CONTRALORÍA DE CUNDINAMARCA NEXOS SOFTWARE S.A.S.
COOPERATIVA DE PROFESIONALES DE PARQUES Y FUNERARIAS S.A.
LA SALUD -PROSALCO I.P.S.- JARDINES DEL RECUERDO
CREDIBANCO PIRAMIDE ADMINISTRACIÓN DE
DAKYA LTDA. INFORMACIÓN LTDA.
ECOPETROL S.A. POLITÉCNICO MAYOR AGENCIA
ENLACE OPERATIVO S.A. CRISTIANA DE SERVICIO Y EDUCACIÓN LTDA.
ETB S.A. E.S.P. PONTIFICIA UNIVERSIDAD JAVERIANA
FLUIDSIGNAL GROUP S.A. QUALITY SYSTEMS LTDA.
FONDO DE EMPLEADOS DEL SENA
DEPARTAMENTO DE ANTIOQUIA SISTEMAS Y FORMACIÓN S.A.S.
FUNDACIÓN PARQUE TECNOLÓGICO SOCIEDAD COLOMBIANA DE
DEL SOFTWARE DE CALI -PARQUESOFT- ARCHIVISTAS
FUNDACIÓN UNIVERSITARIA INPAHU SYNAPSIS COLOMBIA LTDA.
GESTIÓN & ESTRATEGIA S.A.S. TEAM FOODS COLOMBIA S.A.
GETRONICS COLOMBIA LTDA. TECNOLOGÍAS DE INFORMACIÓN Y
GIT LTDA. COMUNICACIONES DE COLOMBIA LTDA.
HERRAMIENTAS PARA EL TELMEX COLOMBIA S.A.
MEJORAMIENTO DEL TRABAJO LTDA. TIQAL S.A.S.
HOSPITAL SAN VICENTE ESE DE TOMÁS MORENO CRUZ Y CÍA. LTDA.
MONTENEGRO TRANSFIRIENDO S.A.
INFOCOMUNICACIONES S.A.S. TRANSPORTADORA DE VALORES
INFOTRACK S.A. ATLAS LTDA.
INSTITUTO DE ORTOPEDIA INFANTIL TUS COMPETENCIAS LTDA.
ROOSEVELT UNIVERSIDAD DISTRITAL FRANCISCO
IPX LTDA. JOSÉ DE CALDAS
IQ CONSULTORES UNIVERSIDAD JAVERIANA
IT SERVICE LTDA. UNIVERSIDAD NACIONAL ABIERTA Y A
JAIME TORRES C. Y CÍA. S.A. DISTANCIA
JIMMY EXENOVER ESPINOSA LÓPEZ UNIVERSIDAD NACIONAL DE COLOMBIA
UNIVERSIDAD SANTIAGO DE CALI

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

PRÓLOGO

ISO (la Organización Internacional para la Normalización) e IEC (Comisión Electrotécnica

Internacional) forman el sistema especializado de normalización mundial. Los organismos
nacionales que son miembros de ISO o de IEC participan en el desarrollo de normas
internacionales a través de los comités establecidos por la respectiva organización para tratar
los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran
en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en unión con ISO e IEC, también toman parte en el trabajo. En el campo de
la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el
comité ISO/IEC JTC 1.

Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2
de las directivas de ISO/IEC.

La principal labor del comité técnico conjunto es preparar normas internacionales. Las
versiones preliminares de las normas internacionales adoptadas por el comité técnico conjunto
se dan a conocer a todos los organismos nacionales para su votación. La publicación como
una Norma Internacional requiere la aprobación de mínimo el 75 % de los organismos miembro
que votan.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO e IEC no asumen responsabilidad por la
identificación de cualquiera o todos los derechos de patente.

La norma ISO/IEC 27035 fue elaborada por el comité técnico conjunto ISO/IEC JTC 1,
Tecnología de la información, subcomité SC 27, Técnicas de seguridad de IT.

Esta primera edición reemplaza a la GTC 169 (ISO/IEC TR 18044:2004), la cual se ha

sometido a revisión técnica.
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

CONTENIDO

Página

INTRODUCCIÓN ........................................................................................................................... 1

1. OBJETO Y CAMPO DE APLICACIÓN ........................................................................2

2. REFERENCIAS NORMATIVAS ...................................................................................2

3. TÉRMINOS Y DEFINICIONES ....................................................................................2

4. VISIÓN GENERAL .......................................................................................................3

4.1 CONCEPTOS BÁSICOS ..............................................................................................3

4.2 OBJETIVOS..................................................................................................................4

4.3 BENEFICIOS DE UN ENFOQUE ESTRUCTURADO .................................................5

4.4 ADAPTABILIDAD.........................................................................................................7

4.5 FASES ..........................................................................................................................8

4.6 EJEMPLOS DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ...................9

5. FASE DE PLANIFICACIÓN Y PREPARACIÓN ........................................................10

5.1 VISIÓN GENERAL DE LAS ACTIVIDADES CLAVE .................................................10

5.2 POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD

DE LA INFORMACIÓN ..............................................................................................13

5.3 INTEGRACIÓN DE LA GESTIÓN DE INCIDENTES

DE SEGURIDAD DE LA INFORMACIÓN EN OTRAS POLÍTICAS .........................16

5.4 ESQUEMA DE GESTIÓN DE INCIDENTES DE SEGURIDAD

DE LA INFORMACIÓN...............................................................................................17

5.5 ESTABLECIMIENTO DEL ISIRT ..............................................................................24

GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

Página

5.6 SOPORTE TÉCNICO Y OTRO (INCLUIDO EL SOPORTE OPERATIVO) ...............25

5.7 TOMA DE CONCIENCIA Y FORMACIÓN .................................................................27

5.8 PRUEBA DEL ESQUEMA DE ATENCIÓN DE INCIDENTES ...................................29

6. FASE DE DETECCIÓN Y REPORTE ........................................................................29

6.1 VISIÓN GENERAL SOBRE LAS ACTIVIDADES CLAVE ........................................29

6.2 DETECCIÓN DE EVENTOS .......................................................................................32

6.3 REPORTE DE EVENTOS ..........................................................................................33

7. FASE DE EVALUACIÓN Y DECISIÓN .....................................................................35

7.1 VISIÓN GENERAL DE LAS ACTIVIDADES CLAVE ................................................35

7.2 EVALUACIÓN Y DECISIÓN INICIAL POR EL PoC (PUNTO DE CONTACTO) ......36

7.3 EVALUACIÓN Y CONFIRMACIÓN DEL INCIDENTE POR EL ISIRT ......................39

8. FASE DE RESPUESTAS ..........................................................................................41

8.1 VISIÓN GENERAL DE LAS ACTIVIDADES CLAVE ................................................41

8.2 RESPUESTAS ............................................................................................................43

9. FASE DE LECCIONES APRENDIDAS .....................................................................52

9.1 VISIÓN GENERAL DE LAS ACTIVIDADES CLAVE ................................................52

9.2 ANÁLISIS FORENSE DE SEGURIDAD DE LA INFORMACIÓN

ADICIONALES ..........................................................................................................53

9.3 IDENTIFICACIÓN DE LAS LECCIONES APRENDIDAS ..........................................53

9.4 IDENTIFICACIÓN Y MEJORAS EN LA IMPLEMENTACIÓN

DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN ....................................55
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

Página

9.5 IDENTIFICACIÓN Y MEJORAS A LOS RESULTADOS DE LA REVISIÓN

POR LA DIRECCIÓN Y DE LA EVALUACIÓN DE RIESGOS DE SEGURIDAD
DE LA INFORMACIÓN...............................................................................................55

9.6 IDENTIFICACIÓN Y MEJORAS EN EL ESQUEMA DE GESTIÓN

DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN .....................................55

9.7 OTRAS MEJORAS ....................................................................................................56

BIBLIOGRAFÍA ......................................................................................................................94

DOCUMENTO DE REFERENCIA ..........................................................................................96

ANEXO A (Informativo)
TABLA DE REFERENCIAS CRUZADAS ENTRE LA NTC-ISO/IEC 27001
Y LA GTC-ISO/IEC 27035......................................................................................................57

ANEXO B (Informativo)
EJEMPLOS DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Y SUS CAUSAS .....................................................................................................................60

ANEXO C (Informativo)
EJEMPLO DE ENFOQUES PARA LA CATEGORIZACIÓN Y CLASIFICACIÓN
DE EVENTOS E INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ...........................64

ANEXO D (Informativo)
REPORTES Y FORMULARIOS DE EVENTOS, INCIDENTES Y
VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN ........................................78

ANEXO E (Informativo)
ASPECTOS LEGALES Y REGLAMENTARIOS ...................................................................91

FIGURAS

Figura 1. Relación entre los objetos en una cadena de incidentes de seguridad

de la información ....................................................................................................................4

Figura 2. Fases de la gestión de incidentes de seguridad de la información ..................9

Figura 3. Diagrama de flujo de eventos e incidentes de seguridad

de la información ..................................................................................................................30
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD.
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN

En general, las políticas o controles de seguridad de la información por sí solas no garantizan

la protección total de la información, de los sistemas de información, o de los servicios o redes.
Después de que los controles se han implementado, es posible que queden vulnerabilidades
residuales que pueden hacer ineficaz la seguridad de la información y, en consecuencia, hacer
posibles incidentes de seguridad de la información. Potencialmente, esto puede tener impactos
adversos directos e indirectos sobre las operaciones de los negocios de una organización, que
pueden conducir inevitablemente a que ocurran nuevos casos de amenazas no identificadas
previamente. Una preparación insuficiente de una organización para abordar este tipo de
incidentes hará que cualquier respuesta sea menos eficaz, y que se incremente el grado de
impacto adverso potencial en el negocio. Por tanto, es esencial que cualquier organización con
interés auténtico en la seguridad de la información, tenga un enfoque estructurado y planificado
para:

- detectar, reportar y evaluar incidentes de seguridad de la información;

- responder a incidentes de seguridad de la información, incluida la activación de

controles adecuados para la prevención y la reducción de impactos, y la recuperación
de ellos (por ejemplo, en el soporte para las área de gestión de crisis);

- reportar las vulnerabilidades de seguridad de la información que aún no han sido

aprovechadas para causar eventos de seguridad de la información y posiblemente
incidentes de seguridad de la información, evaluarlas y tratarlas adecuadamente;

- aprender de los incidentes y vulnerabilidades de seguridad de la información,

implementar controles preventivos y hacer mejoras al enfoque global para la gestión de
incidentes de seguridad de la información.

La presente guía brinda orientación sobre la gestión de incidentes de seguridad de la

información, del numeral 4 al 9. Estos numerales constan de varios subnumerales que incluyen
una descripción detallada de cada fase.

La expresión "gestión de incidentes de seguridad de la información” se usa en la presente guía

para abarcar no sólo la gestión de incidentes de seguridad de la información, sino también las
vulnerabilidades de la seguridad de la información.

1 de 96
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

1. OBJETO Y CAMPO DE APLICACIÓN

La presente guía brinda un enfoque estructurado y planificado para:

a) detectar, reportar y evaluar incidentes de seguridad de la información;

b) responder a incidentes de seguridad de la información y hacer su gestión;

c) detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información, y

d) mejorar continuamente la seguridad de la información y la gestión de incidentes como

resultado de la gestión de los incidentes y vulnerabilidades de seguridad de la
información.

La presente guía brinda orientación sobre la gestión de incidentes de seguridad de la

información para empresas grandes y medianas. Las organizaciones más pequeñas pueden
usar un conjunto básico de documentos, procesos y rutinas descritos en la presente guía, de
acuerdo con su tamaño y tipo de negocio, en relación con la situación de riesgo de seguridad
de la información. También brinda orientación para organizaciones externas que prestan
servicios de gestión de incidentes de seguridad de la información.

2. REFERENCIAS NORMATIVAS

El siguiente documento referenciado es indispensable para la aplicación de este documento.

Para referencias fechadas sólo se aplica la edición citada. Para referencias no fechadas se
aplica la última edición del documento referenciado (incluida cualquier enmienda).

ISO/IEC 27000, Information Technology. Security Techniques. Information Security

Management Systems. Overview and Vocabulary.

3. TÉRMINOS Y DEFINICIONES

Para los propósitos de esta guía se aplican los términos y definiciones presentados en la
ISO/IEC 27000 y los siguientes:

3.1 Investigación forense de seguridad de la información (Information Security

Forensics). Aplicación de técnicas de investigación y análisis para recolectar, registrar y
analizar información de incidentes de seguridad de la información.

3.2 Equipo de respuesta a incidentes de seguridad de la información, ISIRT (por sus

siglas en inglés Information Security Incident Response Team). Equipo conformado por
miembros confiables de la organización, que cuentan con las habilidades y competencias para
tratar los incidentes de seguridad de la información, durante el ciclo de vida de éstos.

NOTA como se describe en esta guía el ISIRT, es una función organizacional que abarca el proceso para
atender incidentes de seguridad de la información y se enfoca principalmente en incidentes relacionados con TI.
Otras funciones comunes (con abreviaturas similares) dentro del manejo de incidentes pueden tener un alcance y
propósito ligeramente diferentes. Las siguientes siglas de uso común tienen un significado similar al del ISIRT,
aunque no exactamente igual.

CERT (por sus siglas en inglés Computer Emergency Response Team), Equipo de respuesta ante emergencias de
tecnología de información; se enfoca principalmente en incidentes de tecnología de información y comunicaciones.
Puede haber otras definiciones nacionales específicas para el CERT.

2
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

CSIRT (por sus siglas en inglés Computer Security Incident Response Team), Equipo de respuesta a incidentes de
seguridad de tecnología de la información; es una organización de servicio responsable de recibir, examinar y
responder a reportes y actividades de incidentes de seguridad de tecnología de la información. Estos servicios se
llevan a cabo usualmente para un grupo definido, que puede ser una entidad matriz tal como una corporación,
organización gubernamental u organización educativa, una región o país, una red de investigación, o un cliente que
paga por estos servicios.

3.3 Evento de seguridad de la información. Presencia identificada de una condición de un

sistema, servicio o red, que indica una posible violación de la política de seguridad de la
información o la falla de las salvaguardas, o una situación desconocida previamente que puede
ser pertinente a la seguridad.

[ISO/IEC 27000:2009]

3.4 Incidente de seguridad de la información. Evento o serie de eventos de seguridad de la

información no deseados o inesperados, que tienen probabilidad significativa comprometer las
operaciones del negocio y amenazar la seguridad de la información.

[ISO/IEC 27000:2009]

3
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

BIBLIOGRAFÍA

ISO/IEC 18043, Information Technology. Security Techniques. Selection, Deployment and

Operations of Intrusion Detection Systems.

ISO/IEC 20000 (All Parts), Information Technology. Service Management.

ISO/PAS 22399, Societal Security. Guidelines for Incident Preparedness and Operational
Continuity Management.

ISO/IEC 27001, Information Technology. Security Techniques. Information Security

Management Systems. Requirements.

ISO/IEC 27002, Information Technology. Security Techniques. Code of Practice for Information
Security Management.

ISO/IEC 27003, Information Technology. Security Techniques. Information Security

Management System Implementation Guidance.

ISO/IEC 27004, Information Technology. Security Techniques. Information Security

Management. Measurement.

ISO/IEC 27005, Information Technology. Security Techniques. Information Security Risk

Management.

ISO/IEC 27031, Information Technology. Security Techniques. Guidelines for Information and
Communication Technology Readiness for Business Continuity.

ISO/IEC 27033-1, Information Technology. Security Techniques. Network Security. Part 1:

Overview and Concepts

ISO/IEC 27033-2, Information Technology. Security Techniques. Network Security. Part 2:

Guidelines for the Design and Implementation of Network Security.

ISO/IEC 27033-3, Information Technology. Security Techniques. Network Security. Part 3:

Reference Networking Scenarios. Threats, Design Techniques and Control Issues.

Internet Engineering Task Force (IETF) Site Security Handbook,

http://www.ietf.org/rfc/rfc2196.txt?number=2196

Internet Engineering Task Force (IETF) RFC 2350, Expectations for Computer Security Incident
Response, http://www.ietf.org/rfc/rfc2350.txt?number=2350

NIST Special Publication 800-61, Computer Security Incident Handling Guide (2004),
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

TERENA's Incident Object Description Exchange Format Data Model and XML Implementation
(IODEF) (Produced by IETF), RFC 5070

Internet Engineering Task Force (IETF) RFC 3227, Guidelines for Evidence Collection and
Archiving

4
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

CESG GOVCERTUK, Incident Response Guidelines (2008),

http://www.govcertuk.gov.uk/pdfs/incident_response_guidelines.pdf

ISO/IEC 27035:2011(E) © ISO/IEC 2011. All Rights Reserved 77

5
GUÍA TÉCNICA COLOMBIANA GTC-ISO/IEC 27035 RESUMEN

IMPORTANTE

Este resumen no contiene toda la información necesaria para la aplicación del documento normativo original al que se
refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar
su consulta. Este resumen es de libre distribución y su uso es de total responsabilidad del usuario final.

El documento completo al que se refiere este resumen puede consultarse en los centros de información de ICONTEC en
Bogotá, Medellín, Barranquilla, Cali o Bucaramanga, también puede adquirirse a través de nuestra página web o en
nuestra red de oficinas (véase www.icontec.org).

El logo de ICONTEC y el documento normativo al que hace referencia este resumen están cubiertos por las leyes de
derechos reservados de autor.

Información de servicios aplicables al documento aquí referenciado la encuentra en: www.icontec.org o por medio del
contacto cliente@icontec.org.

ICONTEC INTERNACIONAL