LINEAMIENTOS DEL EQUIPO DE RESPUESTA A INCIDENTES DE ... · o Ingeniería de Sistemas y/o con estudios en el área de sistemas o a fines. 8.3. Analista de Evento Informático Suboficiales

LINEAMIENTOS DEL EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

BOGOTÁ D.C., SEPTIEMBRE DE 2019

CLASIFICADA

1

LINEAMIENTOS DEL EQUIPO DE RESPUESTA A

INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Proceso asociado

Código

Versión

Gestión de seguridad, apoyo, logístico, comunicación y prensa

L-SA-01

03

Contenido 1. OBJETIVO .................................................................................................................................................... 3

1.1. Objetivos específicos.......................................................................................................................... 3

2. ALCANCE .................................................................................................................................................... 3

3. TERMINOS Y DEFINICIONES ........................................................................................................................ 4

4. DEFINICIÓN................................................................................................................................................. 5

5. MISIÓN ....................................................................................................................................................... 5

6. MARCO CONCEPTUAL ................................................................................................................................. 5

7. ESTRUCTURA JERÁRQUICA Y ORGÁNICA ..................................................................................................... 6

8. PERFIL DE LOS RESPONSABLES DE ACTIVIDADES DEL EQUIPO DE RESPUESTAS A INCIDENTES DE SEGURIDAD DE LA INFORMACION. .......................................................................................................................................... 6

8.1. Responsable del Equipo de Respuestas a Incidentes de Seguridad de la Información. .............................. 6

8.2. Analista de Incidente de seguridad de la información. .............................................................................. 7

8.3. Analista de Evento Informático................................................................................................................. 7

8.4. Analista Seguridad de la Información ....................................................................................................... 7

8.5 Administrador Seguridad de la Información. ............................................................................................. 7

9. CANTIDAD IDEAL DE PERSONAS PARA LA CONFORMACIÓN DEL EQUIPO: ................................................... 7

10. HERRAMIENTAS TECNOLÓGICAS DE ANÁLISIS ........................................................................................ 8

11. FUNCIONES DEL EQUIPO DE RESPUESTAS A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ............. 9

12. SERVICIOS QUE PRESTA EL EQUIPO DE RESPUESTAS A INCIDENTES DE INFORMACIÓN. ......................... 9

12.1. Sistema de gestión de seguridad de la información: ............................................................................... 9

12.2. Prevención: .......................................................................................................................................... 10

12.3. Gestión de Incidentes de Seguridad de la Información: ........................................................................ 10

12.4. Gestión de Eventos de Seguridad de la Información: ............................................................................ 11

12.5. Gestión de Vulnerabilidades: ................................................................................................................ 11

12.6. Gestión de Código Malicioso: ............................................................................................................... 12

13. DESCRIPCIÓN DE ACTIVIDADES ............................................................................................................. 12

13.1. Responsable del Equipo de Respuesta a Incidentes de Seguridad de la Información. ........................... 12

13.2. Analista de Evento Informático ........................................................................................................... 14

13.3. Analista de Incidente de Seguridad de la Información. ........................................................................ 16

13.4. Analista Seguridad de la Información .................................................................................................. 18

13.5. Administrador Seguridad de la Información. ....................................................................................... 20

14. TRIAGE DE EVENTO DE SEGURIDAD DE LA INFORMACIÓN .................................................................... 21

15. INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y TRIAGE ................................................................ 21

CLASIFICADA

2



Proceso asociado

Código

Versión


L-SA-01

03

16. LISTA DE CHEQUEO PARA REVISION DE FUNCIONALIDAD DE LOS SITIOS Y APLICACIONES DE LA PRESIDENCIA DE LA REPÚBLICA. ........................................................................................................................ 23

17. METODOLOGÍA PARA LA IDENTIFICACIÓN, RECOLECCIÓN, Y PRESERVACIÓN FRENTE A LA EVIDENCIA DIGITAL. ............................................................................................................................................................ 25

17.1. Identificación de la Evidencia Digital ..................................................................................................... 26

17.2. Aseguramiento de la Evidencia Digital .................................................................................................. 27

17.3. Recolección de EMP y/o EF relacionados con la Evidencia Digital ......................................................... 28

17.4. Resultado o Producto del Análisis ......................................................................................................... 28

18. MARCO LEGAL ...................................................................................................................................... 29

19. REQUISITOS TÉCNICOS ......................................................................................................................... 29

20. DOCUMENTOS ASOCIADOS .................................................................................................................. 29

21. RESPONSABLE DEL DOCUMENTO ......................................................................................................... 29

CLASIFICADA

3



Proceso asociado

Código

Versión


L-SA-01

03

1. OBJETIVO

Establecer al Equipo de Respuesta a Incidentes de Seguridad de la Información, como eje central de análisis de alertas tempranas, que sean identificadas a través de la verificación de la aplicación de los controles de seguridad de la información y de las herramientas tecnológicas de análisis puestas a disposición, acatando permanentemente las normas o leyes vigentes en esta materia y dando cumplimiento a la Resolución No. 093 de 11 de febrero de 2019.

1.1. Objetivos específicos

Detectar, documentar y difundir en forma oportuna los eventos e incidentes de seguridad de la información, detectados mediante la verificación de la aplicación de los controles de seguridad de la información y el análisis de los registros informáticos (logs) de los activos, que son recolectadas por las herramientas tecnológicas.

De acuerdo a la estadística de eventos de seguridad de la información y su ocurrencia repetitiva, sugerir al jefe del Área de Tecnologías y Sistemas de Información, quien se desempeña como secretario técnico del comité de seguridad de la información, las respectivas recomendaciones a desplegarse entre los funcionarios de la entidad, referente a las buenas practicas sobre el manejo de la información generada, almacenada, procesada y transmitida físicamente y a través de la plataforma tecnológica, sin vulnerar los derechos constitucionales y legales.

Propiciar un ambiente adecuado de análisis de registros informáticos, recepción de requerimientos del Área de Tecnologías y Sistemas de Información, verificación y acompañamiento, que permita tener claro en todo momento las medidas de seguridad de la información implementadas en la entidad y si cumplen o no con los objetivos por ellos propuestos.

2. ALCANCE Estos lineamientos aplican a los funcionarios del Equipo de Respuesta a Incidentes de Seguridad de la información de la Presidencia de la República, para la atención de eventos e incidentes de seguridad de la información de la Entidad.

CLASIFICADA

4



Proceso asociado

Código

Versión


L-SA-01

03

3. TERMINOS Y DEFINICIONES

Ciberdelito: Delito que se comete usando una computadora, red o hardware. La computadora o dispositivo electrónico puede ser el agente, el facilitador o el objeto del delito. El delito puede ocurrir en la computadora o en otros lugares. Ciberdelincuente: Una persona que a través de medios tecnológicos comete delitos por medio de internet. Correlación: Proceso de analizar los datos de eventos de seguridad informática para identificar patrones, causas comunes y causas iniciales. Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word “listado de personal.docx”. Evento de seguridad de la información: Según [NTC-ISO/IEC 27001]: presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de las políticas de seguridad de la información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad. Herramientas tecnológicas de análisis: Son todas aquellas aplicaciones o programas (software) utilizados en diversas funciones, por ejemplo, para correlacionar y analizar registros informáticos. Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. Ingeniería Social: En el campo de la seguridad informática, es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos ganando su confianza muchas veces. Es una técnica que pueden utilizar investigadores privados, criminales, delincuentes computacionales (conocidos como cracker) para obtener información, acceso o privilegios en sistemas de información que les permiten realizar algún acto que perjudique o exponga a la persona o entidad a riesgos o abusos. Log de seguridad: Es aquel registro oficial de aquellos eventos ocurridos durante un periodo de tiempo en particular; es usado para registrar datos o información sobre quién, que, cuando, dónde y el porqué de un evento ocurrido en un dispositivo en particular o aplicación. Plataforma tecnológica: Es el conjunto de componentes tanto de hardware como de software, que permiten el despliegue de servicios informáticos al interior y exterior de la entidad.

CLASIFICADA

5



Proceso asociado

Código

Versión


L-SA-01

03

Registro informático: Es el conjunto de datos o logs de seguridad producidos o almacenados de manera automática por un sistema informático, los cuales contienen, por ejemplo, información sobre accesos y/o funcionamiento del mismo. Vectores de ataque informático: Es el método que utiliza una amenaza para atacar un sistema informático. Información: La información constituye un importante activo, esencial para las actividades de una organización y, en consecuencia, necesita una protección adecuada. La información puede existir de muchas maneras, (impresa o escrita en papel), puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se puede mostrar en videos, o exponer oralmente en conversaciones.

4. DEFINICIÓN

El Equipo de Respuesta a Incidentes de Seguridad de la Información (CISRT) de la Presidencia de la República, hace parte del Comité de Seguridad de la Información como órgano consultivo; de igual manera, atiende las necesidades de prevención, atención e investigación de eventos e incidentes de seguridad de la información de la Presidencia de la República, con el fin de proteger su infraestructura tecnológica, los activos de información y mitigar el impacto ocasionado por la materialización de los riesgos asociados con el uso de las tecnologías de la información.

5. MISIÓN

Garantizar las condiciones necesarias para el aseguramiento de la plataforma tecnológica de la Presidencia de la República, como apoyo al Área de Tecnologías y Sistemas de Información.

6. MARCO CONCEPTUAL

El Equipo de Respuesta a Incidentes de Seguridad de la información (CSIRT) de la Presidencia de la República está conformado por funcionarios pertenecientes a la Policía Nacional y destinados en comisión permanente del servicio en la Función Pública del Departamento Administrativo de la Presidencia (DAPRE), con los conocimientos adecuados y medios logísticos necesarios.

Dentro de la Presidencia de la República el CISRT, depende directamente de la Jefatura para la Protección Presidencial y su fin primordial es identificar, informar, apoyar, acompañar y asesorar al Comité de Seguridad de la Información, a través del Secretario Técnico, ante la ocurrencia de los eventos e incidentes de seguridad de la información que se puedan presentar y que constituyan una evidente infracción a las políticas de seguridad de la información establecidas en la Presidencia de la República.

CLASIFICADA

6



Proceso asociado

Código

Versión


L-SA-01

03

La plataforma tecnológica del DAPRE es administrada y controlada por el Área de Tecnologías y Sistemas de Información y el CSIRT de la Presidencia de la República no tiene la administración de ningún activo de información; es así como la aplicación de políticas de seguridad, restricciones y controles están a cargo de la Alta Dirección y el Área de Tecnologías y Sistemas de Información.

Las actividades desarrolladas por el CSIRT, son autorizadas por el Comité de Seguridad de la Información y coordinadas con el Área de Tecnologías y Sistemas de Información; así mismo están enmarcadas dentro de la GTC-ISO 27035.

7. ESTRUCTURA JERÁRQUICA Y ORGÁNICA

Funcionalmente el CSIRT, pertenece a la Jefatura para la Protección Presidencial, siendo el Departamento Administrativo de la Presidencia de la República, por intermedio del Área de Tecnologías y Sistemas de Información, el encargado de la capacitación del personal y de suministrar los recursos técnicos de software y hardware que soportan su funcionamiento, así como la autorización de las actividades a realizar con las dependencias de la Presidencia de la República.

8. PERFIL DE LOS RESPONSABLES DE ACTIVIDADES DEL EQUIPO DE RESPUESTAS A INCIDENTES DE SEGURIDAD DE LA INFORMACION.

8.1. Responsable del Equipo de Respuestas a Incidentes de Seguridad de la Información.

Oficial, Suboficial o Mando del Nivel Ejecutivo de la Policía Nacional, con experiencia como analista de eventos y/o incidentes de seguridad de la información, con pregrado en Ingeniería de sistemas, o Ingeniería de telecomunicaciones, o Ingeniería electrónica y/o con estudios en el área de sistemas o a fines.

CLASIFICADA

7



Proceso asociado

Código

Versión


L-SA-01

03

8.2. Analista de Incidente de seguridad de la información.

Suboficiales o miembros del Nivel Ejecutivo de la Policía Nacional, con experiencia como analista de eventos y/o incidentes de seguridad de la información, con técnica, Tecnología o Ingeniería de Sistemas y/o con estudios en el área de sistemas o a fines.

8.3. Analista de Evento Informático


8.4. Analista Seguridad de la Información

Suboficiales o miembros del Nivel Ejecutivo de la Policía Nacional, con estudios relacionados a la seguridad de la información, al área del derecho, y/o a fines.

8.5 Administrador Seguridad de la Información.


9. CANTIDAD IDEAL DE PERSONAS PARA LA CONFORMACIÓN DEL EQUIPO:

Analistas Seguridad de la Información

Administradores de Seguridad de la Información

2

2

Responsable del Equipo de Respuesta a Incidentes de Seguridad de la Información

Analistas de Evento Informático

Analistas de Incidentes de seguridad de la Información

1

3

3

CLASIFICADA

8



Proceso asociado

Código

Versión


L-SA-01

03

10. HERRAMIENTAS TECNOLÓGICAS DE ANÁLISIS

Dentro del conjunto de herramientas tecnológicas de análisis, se encuentra las que permiten identificar eventos y/o incidentes de seguridad informática. El CSIRT actualmente cuenta con las siguientes herramientas tecnológicas de análisis, asignadas por el Área de Tecnologías y Sistemas de Información, con el perfil de monitoreo:

Radware: Sistema de mitigación de ataques informáticos en tiempo real, que permite la protección de la plataforma tecnológica.

SIEM Arcsinght: Es un gestor/correlacionador de eventos de seguridad de la información, el cual realiza de manera automática el monitoreo en tiempo real, correlación de eventos y almacenamiento de logs de seguridad para análisis y presentación del comportamiento de la plataforma Tecnológica. ForcePoint: Herramienta que registra la consulta de páginas Web de los usuarios finales del sistema, categorizándolas según el tipo y riesgo que cada una representa. Contiene un módulo que registra logs de seguridad sobre los archivos extraídos de los equipos de cómputo a medios de almacenamiento externo y/o Nube. Firewall Paloalto: Registra los accesos tanto internos como externos realizados desde y hacia la plataforma tecnológica de la entidad, permitiendo identificar tanto el bloqueo de accesos no autorizados como las comunicaciones autorizadas en el canal principal. FireEye: Herramienta que permite identificar y bloquear Amenazas Avanzadas Persistentes (APT) que puedan ser desplegadas al interior de la plataforma tecnológica, mediante la descarga de código malicioso que puede realizarse por cualquier funcionario que consulte páginas Web previamente comprometidas por ciberdelincuentes. Trend Micro OfficeScan: Consola de antivirus de la entidad, que registra las acciones tomadas ante la presencia de malware en los sistemas computacionales. Office Scan Vulnerability Protection: proporciona una protección temprana de los puntos de conexión más sólida al complementar la seguridad antimalware y de amenazas de escritorio con la aplicación proactiva de parches virtuales. Un motor de alto rendimiento que supervisa el tráfico en busca de nuevas vulnerabilidades con filtros de prevención de intrusiones (IPS) basados en host y supervisión de ataques de día cero. Vulnerability Protection impide que estas vulnerabilidades puedan ser explotadas gracias a la aplicación de filtros fáciles y rápidos de implementar que ofrecen una protección completa antes que se puedan implantar parches o incluso de que estén disponibles.

CLASIFICADA

9



Proceso asociado

Código

Versión


L-SA-01

03

Firewall Check point: Registra los accesos tanto internos como externos realizados desde y hacia la plataforma tecnológica de la entidad, permitiendo identificar tanto el bloqueo de accesos no autorizados como las comunicaciones autorizadas en el canal alterno.

Monitoreo de canal de datos: Permite verificar el estado del consumo de los canales de datos de la entidad, tanto de peticiones salientes como entrantes, mediante diferentes opciones de visualización en horas, días, semanas y meses.

11. FUNCIONES DEL EQUIPO DE RESPUESTAS A INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

El Director del Departamento Administrativo de la Presidencia de la República mediante la Resolución No 0093 del 11 de febrero de 2019, en el capítulo tercero, articulo 77, estipula las funciones del Equipo de Respuestas a Incidentes de Seguridad de la Información, así:

Emitir concepto sobre los aspectos necesarios para garantizar la seguridad de la Información.

Proponer los temas, la información y los indicadores que el Comité de Seguridad de la Información determine que habrán de considerarse de interés de la Entidad.

Asesorar y proponer acciones para orientar y mejorar la Seguridad de la Información de la Presidencia de la República.

Coordinar con el Área de Tecnologías y Sistemas de Información, la definición de proyectos y medidas de seguridad de la Información.

Realizar el registro detallado e informar oportunamente la ocurrencia de eventos e incidentes de seguridad de la información, con el fin que el Área de Tecnologías y Sistemas de información tome las acciones correspondientes.

Establecer contacto con diferentes organismos especializados en materia de seguridad de la información, de acuerdo al marco de cooperación nacional definido en el CONPES 3854 de 2016.

12. SERVICIOS QUE PRESTA EL EQUIPO DE RESPUESTAS A INCIDENTES DE INFORMACIÓN.

12.1. Sistema de gestión de seguridad de la información:

Sensibilización en seguridad de la información: se realizan charlas y conferencias, entre otras actividades, para generar conciencia en los usuarios sobre los riesgos que a diario puedan vulnerar la seguridad de la información de la entidad.

CLASIFICADA

10



Proceso asociado

Código

Versión


L-SA-01

03

12.2. Prevención:

Alertas tempranas: se difunde información sobre vulnerabilidades, técnicas de ataques o virus informáticos, entre otros, que no son detectadas por las firmas de antivirus o por software especializado, con el fin de alertar a otras entidades de gobierno. Observatorio y monitoreo de la red de la entidad y los portales web del dominio presidencia: se realiza un monitoreo a la infraestructura tecnológica de la Presidencia de la República y sitios web del dominio, identificando alertas sobre ataques que se generen en tiempo real, para tomar las acciones conjuntas necesarias para contrarrestarlos. Difusión de información consignada con seguridad de la información: mediante correo electrónico se envían recomendaciones o información útil para mejorar la seguridad de la información en la entidad. Vigilancia Tecnológica: se realiza seguimiento a través de análisis de la información recolectada por diferentes actividades, como lecturas de correos sobre seguridad, páginas web de seguridad informática, blogs, noticias, artículos, intercambio de información con otras entidades, identificación de nuevas tendencias de ataques para mitigar los factores de ocurrencia. Monitoreo de disponibilidad y posibles puntos de falla de la red: con la ayuda de diferentes aplicaciones, se realiza un monitoreo sobre los equipos activos de la plataforma tecnológica, para verificar su estado de disponibilidad e identificar las posibles fallas que se están presentado.

12.3. Gestión de Incidentes de Seguridad de la Información:

Análisis de incidentes de seguridad de la información: identifica los daños ocasionados por los incidentes de seguridad y genera recomendaciones para su restauración y recuperación. Tratamiento de incidentes de seguridad de la información: documenta los incidentes y las estrategias de respuesta a los mismos, con base en metodologías y el procedimiento P-SA-03, con el fin de tener una trazabilidad de lo sucedido y generar una base de datos de conocimiento. Apoyo a la respuesta a incidentes de seguridad de la información: asesoría u orientación al Área de Tecnologías y Sistemas de Información, con el fin de ayudar a que se recuperen los servicios ante ataques que se puedan presentar como, por ejemplo: defacement, denegación de servicio, entre otras.

CLASIFICADA

11



Proceso asociado

Código

Versión


L-SA-01

03

Investigación del incidente de seguridad de la información: si los incidentes que se presentan son acompañados de conductas delictivas, se coordina con las entidades de policía judicial con el fin de realizar la recolección de evidencias que puedan esclarecer los hechos o para investigaciones que se puedan generar.

12.4. Gestión de Eventos de Seguridad de la Información:

Análisis del evento de seguridad de la información: Ejecuta el análisis de la información recolectada del evento y de las alertas generadas por los registros de las herramientas tecnológicas o las que se presente por el inadecuado manejo de la información por parte de los funcionarios, recolección que debe ser aprobada por el Comité de Seguridad de la Información.

Tratamiento del evento de seguridad de la información: documenta el evento y, se realiza tratamiento del evento, perfilando el tipo (dependiendo el activo de Información) y debe tener presente el procedimiento P-SA-02 y diligenciar el Formato Análisis de datos y eventos de seguridad de la Información F-SA-15. Apoyo a la respuesta al evento de seguridad de la información: asesoría u orientación al Área de Tecnologías y Sistemas de Información, informando los resultados del evento de seguridad de la Información para que se tomen las acciones correspondientes, con base en las recomendaciones y/o sugerencias dadas, a fin de mitigar y/o corregir los efectos del evento. Investigación del evento de seguridad de la información: El Área de Tecnologías y Sistemas de Información, reporta al Comité de Seguridad de la Información el evento de seguridad informática ocurrido y las acciones tomadas para mitigar y/o corregir sus implicaciones, y este a su vez toma las decisiones respectivas sobre otras implicaciones del evento de seguridad de la Información y en caso de requerirse se inicia las actividades de coordinación para realizar las acciones correspondientes, como por ejemplo, verificar si la acción tiene implicaciones disciplinarias y/o penales.

12.5. Gestión de Vulnerabilidades:

Análisis de vulnerabilidades: se realiza acompañamiento a las pruebas de penetración, que son contratados por la Presidencia de la República, para identificar posibles falencias de seguridad que pueden tener los portales web, sistemas operativos o sistemas de información. Pruebas de calidad al software: Antes de ser puestos en producción, se realiza una verificación a los sistemas de información para detectar y corregir las fallas.

CLASIFICADA

12



Proceso asociado

Código

Versión


L-SA-01

03

Reportes y recomendaciones para minimizar las vulnerabilidades existentes: una vez realizado el test de vulnerabilidades se procede a realizar los análisis que permitan descartar los posibles falsos positivos y de esta manera emitir comunicados con recomendaciones para la adecuada configuración, empleo y buenas prácticas que permitan neutralizar los hallazgos que se pueden convertir en un riesgo.

12.6. Gestión de Código Malicioso:

Análisis de herramientas, archivos, programas o códigos que pueden ser utilizados por atacantes para vulnerar los sistemas de información: se verifica los diferentes programas o archivos de dudosa procedencia con el fin de detectar y bloquear códigos maliciosos que pueden afectar la plataforma tecnológica. Asesoría: los profesionales del CISRT a través de la atención oportuna, ofrecen asesoría necesaria garantizando la eficacia y confiabilidad de los requerimientos que surjan.

13. DESCRIPCIÓN DE ACTIVIDADES

13.1. Responsable del Equipo de Respuesta a Incidentes de Seguridad de la Información.

Es el Oficial, Suboficial o Mando del Nivel Ejecutivo, encargado de liderar las actividades del personal y organizar las tareas que a diario se desarrollan dentro del equipo, el cual cumplirá las siguientes actividades:

Aprobar los análisis emitidos por los integrantes del Equipo de Respuesta a Incidentes de Seguridad de la Información.

Llevar un registro detallado de los eventos de seguridad de la Información que según el TRIAGE lo amerite y de los incidentes ocurridos al interior de la entidad, e informar oportunamente de los mismos al Coordinador de Protección Antipativa Presidencial (perteneciente a la Jefatura para la Protección Presidencial) y al Área de Tecnologías y Sistemas de Información, mediante el respectivo informe.

Mantener bajo su custodia la información de carácter pública reservada y/o pública clasificada, que sea de conocimiento del CSIRT.

Acompañar al Coordinador de Protección Anticipativa Presidencial, si así lo requiere, a las reuniones convocadas de manera ordinaria y extraordinaria por el Comité de Seguridad de la Información, debiendo presentarle con antelación un informe ejecutivo de los resultados que a la fecha se hubieren presentado, en materia de eventos e incidentes de seguridad de la Información.

CLASIFICADA

13



Proceso asociado

Código

Versión


L-SA-01

03

Acompañar las correspondientes pruebas de vulnerabilidad y “pentest” realizadas a los diferentes recursos de red, teniendo en cuenta la programación indicada por el Área de Tecnologías y Sistemas de Información, con el fin de verificar que las herramientas tecnológicas de análisis recolecten los eventos y se realicen los correctivos correspondientes. Así mismo, se debe informar de tales actuaciones al Coordinador de Protección Anticipativa Presidencial quien lo trasmitirá ante el Jefe para la Protección Presidencial.

Apoyar al Área de Tecnologías y Sistemas de Información y al Grupo de Gestión Documental, en el control y/o minimización de la afectación presentada en la Plataforma Tecnológica del DAPRE y su información, realizando la respectiva documentación y preservación de evidencia sobre lo ocurrido.

Hacer parte del grupo interdisciplinario, integrado por el Área de Tecnologías y Sistemas de Información, cuya función es analizar los datos registrados en la herramienta de calificación de la información de DAPRE por cada dependencia y validar las justificaciones para la calificación asignada, detectando las posibles inconsistencias y notificando al responsable de la información. De igual manera, realizar la verificación de la aplicación de los controles para la protección de la información. (Guía para la calificación de la información de acuerdo con sus niveles de seguridad Cod. G-GD-02).

Proponer acciones para orientar y mejorar la Seguridad de la Información de la Presidencial de la República.

Coadyuvar en la verificación y supervisión del cumplimiento de las Políticas de Seguridad de información, según el Manual de Políticas de seguridad de la información (M-TI-01).

Acompañar las campañas de capacitación y sensibilización realizadas por el Área de Tecnologías y Sistemas de la información del DAPRE y el Grupo de Gestión Documental, relacionadas con el fomento de la cultura en seguridad de la información.

Tener actualizado los contactos de los diferentes organismos especializados en materia de seguridad informática, de acuerdo al marco de cooperación nacional definido en el CONPES 3854 de 2016 “Generar mecanismos permanentes y estratégicos para impulsar la cooperación, colaboración y asistencia en seguridad digital, a nivel nacional e internacional”.

Promover y gestionar con la Coordinación de Protección Anticipativa Presidencial, las actividades de actualización y capacitación del personal que integra el CSIRT, con el propósito de estar a la vanguardia en las nuevas tendencias de malware y vectores de ataque informático.

CLASIFICADA

14



Proceso asociado

Código

Versión


L-SA-01

03

Responder por el mantenimiento de la disciplina al interior del CSIRT.

13.2. Analista de Evento Informático

Es el Suboficial o miembro del Nivel, encargado de realizar el análisis a los registros informáticos generados por los activos de información y que son recolectados por las herramientas tecnológicas de análisis, presentando informes sobre los eventos de seguridad informática que según el resultado del TRIAGE lo ameriten; sus actividades están enmarcadas dentro de la GTC-ISO 27035, además cumplirá las siguientes:

• Realizar el análisis de los eventos de seguridad de la información de acuerdo al

procedimiento establecido en el aplicativo SIGEPRE P-SA-02 Análisis de Evento de Seguridad de la Información, los cuales son recolectados por las herramientas tecnológicas de análisis, con el fin de determinar el comportamiento de los mismos. Las actividades realizadas se documentan en el formato F-SA-15 Análisis de Datos y Eventos de Seguridad de la Información.

• Realizar un registro detallado e informar oportunamente al Responsable del CSIRT, la ocurrencia de un evento de seguridad informática que así lo amerite según el nivel del TRIAGE (3 y/o 4), el cual ha sido identificado mediante los registros informáticos recolectados por las herramientas tecnológicas de análisis o previo requerimiento del Área de Tecnologías y Sistemas de Información.

• Documentar las sugerencias o recomendaciones sobre las acciones de tratamiento que se deberían seguir para el evento de seguridad informática, a fin de mitigar y corregir los efectos que pueda causar.

• Verificar la estadística de eventos de seguridad de la información similares para evitar su ocurrencia repetitiva en el futuro, de tal forma que desde el Área de Tecnologías y Sistemas de Información puedan mitigarse las causas, cuando el origen inicia en las malas prácticas del usuario final.

• Servir de apoyo y realizar acompañamiento al Área de Tecnologías y Sistemas de Información en la ejecución de pruebas de vulnerabilidad y “pentest” aprobados por el Comité se Seguridad de la Información.

• Verificar que las herramientas tecnológicas de análisis recolecten los eventos de las pruebas de vulnerabilidad, autorizadas y realizadas por el Área de Tecnologías y Sistemas de Información, a los diferentes recursos de red.

• Verificar que las herramientas de seguridad que se encuentran en monitoreo por el CSIRT estén configuradas adecuadamente y brinden información oportuna según su

CLASIFICADA

15



Proceso asociado

Código

Versión


L-SA-01

03

misionalidad, con el fin de obtener la mayor funcionalidad y mejorar la protección de la infraestructura tecnológica de la Presidencia de la Republica.

• Estar informado sobre los nuevos vectores de ataque informático realizados por los ciberdelincuentes y que pueden poner en riesgo la seguridad informática de la entidad, lo anterior con el fin de sugerir al Área de Tecnologías y Sistemas de Información la implementación de mecanismos que permitan mitigarlos.

• Actualizar sus conocimientos de forma constante y proponer nuevas herramientas o programas que contribuyan a un mejor desarrollo de sus tareas.

• Mantener la reserva en el manejo de la información y garantizar la imagen institucional.

• Crear, alimentar y consultar una base de datos de conocimiento que permita registrar las lecciones aprendidas de estos sucesos, con el objetivo de que no se repitan y si esto sucede, se pueda contar con un antecedente de la solución o soluciones posibles.

• Realizar búsquedas en sitios web sobre las vulnerabilidades identificadas en diferentes productos, plataformas, aplicaciones, etc., que permitan emitir alertas tempranas al Área de Tecnologías y Sistemas de Información.

• Por medio de herramientas especializadas en análisis de vulnerabilidades, realizar un estudio a los sitios o dispositivos que sean solicitadas por el Área de Tecnologías y Sistemas de Información, con el fin de evitar que sean llevados a producción con vulnerabilidades que podrían ocasionar riesgos a la plataforma tecnológica de la entidad.

• Tener actualizado los contactos de los diferentes organismos especializados en materia de seguridad informática, de acuerdo al marco de cooperación nacional definido en el CONPES 3854 de 2016 “Generar mecanismos permanentes y estratégicos para impulsar la cooperación, colaboración y asistencia en seguridad digital, a nivel nacional e internacional”.

• Realizar el acompañamiento a las campañas realizadas por el Área de Tecnologías y Sistemas de la información del DAPRE, relacionadas con el fomento de la cultura en seguridad de la información.

• Cumplir con los horarios dispuestos por la Jefatura para la Protección Presidencial, Coordinador de Protección Anticipativa Presidencial y demás órdenes respecto del mantenimiento de la disciplina al interior del equipo.

CLASIFICADA

16



Proceso asociado

Código

Versión


L-SA-01

03

• Cumplir con diligencia las órdenes que sean emitidas por el Coordinador de Protección Anticipativa Presidencial u otras que en desarrollo de la actividad policial puedan generarse por parte del Jefe para la Protección Presidencial.

13.3. Analista de Incidente de Seguridad de la Información.

Es el Suboficial o miembro del Nivel Ejecutivo, dispuesto a atender y realizar acompañamiento al Área de Tecnologías y Sistemas de Información en la mitigación de los incidentes de la información, verificando que los eventos reportados como incidentes no constituyan falsas alarmas antes de ser escalados; sus actividades están enmarcadas dentro de la GTC-ISO 27035, además cumplirá las siguientes actividades:

• Realizar el análisis de los incidentes de seguridad de la información de acuerdo al

procedimiento P-SA-03 Atención de incidentes de seguridad de la información, establecido en el aplicativo SIGEPRE, los cuales son recolectados por las herramientas tecnológicas de análisis o los informados por el Área de Tecnologías y Sistemas de Información, con el fin de determinar el comportamiento de los mismos y documentar en el formato F-SA-18 Atención de Incidente de Seguridad de la Información.

• Realizar un registro detallado de la identificación del incidente y la información recolectada del mismo e informar oportunamente al Responsable del CSIRT, sobre la ocurrencia del mismo, el cual fue detectado por las herramientas tecnológicas de análisis, o en el manejo de la información física y electrónica.

• Documentar las sugerencias o recomendaciones sobre las acciones que se deberían implementar para el tratamiento del incidente de seguridad de la información, a fin de mitigar y corregir los efectos que pueda causar.

• En los casos específicos que se requiera el apoyo de expertos externos para la recolección y análisis de la evidencia, se realizará el respectivo acompañamiento durante dicha actividad, previo requerimiento del Área de Tecnologías y Sistemas de Información.

• Apoyar y realizar acompañamiento al Área de Tecnologías y Sistemas de Información sobre las actividades de primera atención para una recuperación rápida y eficiente de los servicios que se hayan visto afectados en la materialización de un incidente de seguridad de la Información, de manera que la Plataforma Tecnológica de la Presidencia de la República pueda operar con normalidad en el menor tiempo posible y con el menor impacto tolerable.

• Estar informado sobre los nuevos vectores de ataque informático realizados por los ciberdelincuentes y que pueden poner en riesgo la seguridad de la información

CLASIFICADA

17



Proceso asociado

Código

Versión


L-SA-01

03

de la entidad, lo anterior con el fin de sugerir al Área de Tecnologías y Sistemas de Información la implementación de mecanismos que permitan mitigarlos.

• Servir de apoyo y realizar acompañamiento al Área de Tecnologías y Sistemas de Información en la ejecución de pruebas de vulnerabilidad y “pentest” aprobados por el Comité se Seguridad de la Información.

• Actualizar sus conocimientos en forma constante y proponer nuevas herramientas o programas que contribuyan a un mejor desarrollo de sus tareas.

• Mantener la reserva en el manejo de la información y garantizar la imagen institucional.

• Crear, alimentar y consultar una base de datos de conocimiento que permita registrar las lecciones aprendidas de estos sucesos, con el objetivo de que no se repitan y si esto sucede, se pueda contar con un antecedente de la solución o soluciones posibles.

• Tener actualizado los contactos de los diferentes organismos especializados en materia de seguridad informática, de acuerdo al marco de cooperación nacional definido en el CONPES 3854 de 2016 “Generar mecanismos permanentes y estratégicos para impulsar la cooperación, colaboración y asistencia en seguridad digital, a nivel nacional e internacional”.

• Realiza búsquedas en sitios web sobre las vulnerabilidades identificadas en diferentes productos, plataformas, aplicaciones, etc., que permitan emitir alertas tempranas al Área de Tecnologías y Sistemas de Información.

• Por medio de herramientas especializadas en análisis de vulnerabilidades, realizar un estudio a los sitios o dispositivos que sean solicitadas por el Área de Tecnologías y Sistemas de Información, con el fin de evitar que sean llevados a producción con vulnerabilidades que podrían ocasionar riesgos a la plataforma tecnológica de la entidad.

• Realizar acompañamiento a las campañas realizadas por el Área de Tecnologías y Sistemas de la información del DAPRE, relacionadas con el fomento de la cultura en seguridad de la información.


CLASIFICADA

18



Proceso asociado

Código

Versión


L-SA-01

03


13.4. Analista Seguridad de la Información

Coadyuvar con la orientación, supervisión y control en el cumplimiento de los protocolos del Sistema de Gestión de Seguridad de la Información de la Presidencia de la República.

Orientar y supervisar el cumplimiento de los controles de seguridad de la información, establecer recomendaciones en el uso de las tecnologías y dar sugerencias de nuevos controles de seguridad que ayuden a mitigar los riesgos a los que se pueden exponer los activos de información física.

Hacer parte del grupo interdisciplinario, integrado por el Área de Tecnologías y Sistema de Información, cuya función es analizar los datos registrados en la herramienta de calificación de la información de DAPRE por cada dependencia y validar las justificaciones para la calificación asignada, detectando las inconsistencias y notificando al responsable de la información; igualmente realizar la verificación de la aplicación de los controles para la protección de la información, teniendo en cuenta la Guía para la calificación de la información G-GD-02 y el procedimiento para la Calificación de la Información P-GD-12.

Acompañamiento al DAPRE en las auditorías realizadas por el personal externo a la entidad, al Sistema de Seguridad de la Información, en la verificación y cumplimiento de objetivos, controles, políticas y procedimientos de seguridad de la información, según el Manual de Políticas de seguridad de la información (M-TI-01).

Coadyuvar en la verificación y supervisión del cumplimiento de las Políticas de Seguridad de información según el Manual de Políticas de seguridad de la información (M-TI-01).

Orientar la ejecución y cumplimiento de políticas, estrategias, procedimientos y estándares de seguridad de la información de la Presidencia de la República, con el fin de adoptar las medidas para la disminución de los riesgos que pueden afectar la información.

Realizar actividades para la implementación, mantenimiento y actualización del sistema de gestión de seguridad de la información, a fin de salvaguardar los activos de la información.

Realizar actividades que permitan identificar los riesgos que puedan afectar los activos de información, a través de la metodología de gestión del riesgo que tiene

CLASIFICADA

19



Proceso asociado

Código

Versión


L-SA-01

03

estipulado la Presidencia de la República, con el fin de aplicar los controles técnicos o administrativos para mitigar el mismo.

Implementar y mantener el Sistema de Gestión de Seguridad de la Información en la jefatura para la protección presidencial promoviendo la mejora continua.

Orientar, supervisar el cumplimiento de los controles de seguridad de la información, además establecer recomendaciones en el uso de las tecnologías, dar sugerencias de nuevos controles de seguridad que ayuden a mitigar los riesgos a los que exponen los activos de información física.

Garantizar a través del acompañamiento y la revisión, la aplicación de las buenas prácticas en seguridad de la información y brindar asesoría en la toma de decisiones orientadas al cumplimiento de las Políticas de Seguridad de la Información.

Dar un tratamiento efectivo a los incidentes de seguridad, con el fin de identificar sus causas, efectos y realizar las acciones correctivas.

A través de actividades de sensibilización crear una cultura de Seguridad de la Información al interior de la dependencia, con el objeto de generar mejores prácticas que permitan evitar la materialización de riesgos asociados al Sistema de Seguridad de la Información.

Identificar mediante una adecuada evaluación del riesgo, el valor de la información, así como las vulnerabilidades y las amenazas a las que está expuestas.

Evaluar e informar las conductas contrarias que afectan la política de Seguridad de la Información de la entidad.

Realizar el inventario de los activos de información de la Jefatura para la Protección Presidencial.

Documentar los eventos e incidentes presentados con los activos de información (documentos físicos), teniendo en cuenta los procedimientos P-SA-03 Atención de incidentes de seguridad de la información el cual tiene asociado el formato F-SA-18 y el procedimiento P-SA-02 Análisis de Evento de Seguridad de la Información el cual tiene asociado el formato F-SA-15.

• Realizar acompañamiento a las campañas realizadas por el Área de Tecnologías y Sistemas de la información del DAPRE, relacionadas con el fomento de la cultura en seguridad de la información.

CLASIFICADA

20



Proceso asociado

Código

Versión


L-SA-01

03



13.5. Administrador Seguridad de la Información.

Este cargo será desempeñado por dos funcionarios que estarán asignados al Esquema de Seguridad del Señor Presidente de la República, disponible 24 horas (un funcionario en cada turno) para el cumplimiento de las siguientes funciones:

Asesorar, gestionar y brindar recomendaciones de implementación de medios tecnológicos para mantener un nivel de seguridad apropiado en los computadores y/o equipos electrónicos, usados para realizar conexión web, almacenamiento y transferencia de información por parte del señor Presidente de la República y su Familia.

Revisión, mantenimiento y mejora de la seguridad de la información mediante el correcto funcionamiento y configuración de las soluciones de seguridad informática implementadas para el señor Presidente de la República y su Familia.

Aplicar mecanismos que permitan evidenciar incidentes humanos que afecten la seguridad de la información, por parte del señor Presidente de la República o su Familia, y tratarlos como eventos de seguridad de la información, para realizar su respectivo tratamiento, a fin de evitar la pérdida de disponibilidad, integridad y confidencialidad de la información.

Gestionar, emplear y operar los medios tecnológicos existentes para aportar a la seguridad e integridad del señor Presidente de la República, en los diferentes eventos.

• Realizar sensibilización y brindar recomendaciones relacionadas con el fomento

de la cultura de la seguridad de la información del señor Presidente de la República y su familia, en aras de mantener la reserva en el manejo de la información y garantizar la imagen institucional.

Asesorar y proponer acciones para orientar y mejorar la Seguridad de la Información del señor Presidente de la República y su familia, teniendo en cuenta las nuevas y constantes amenazas cibernéticas.

CLASIFICADA

21



Proceso asociado

Código

Versión


L-SA-01

03

• Estar informado sobre los nuevos vectores de ataque informático realizados por los ciberdelincuentes y que pueden poner en riesgo la seguridad e imagen del señor Presidente y su familia, lo anterior con el fin de sugerir y asesorar en la implementación de mecanismos que permitan mitigarlos.

• Actualizar sus conocimientos en forma constante y proponer nuevas

herramientas o programas que contribuyan a un mejor desarrollo de sus tareas. • Documentar los eventos e incidentes de seguridad de la información,

presentados con el Señor Presidente de la República y su Familia, teniendo en cuenta los procedimientos P-SA-03 Atención de incidentes de seguridad de la información el cual tiene asociado el formato F-SA-18 y el procedimiento P-SA-02 Análisis de Eventos de Seguridad de la Información el cual tiene asociado el formato F-SA-15, los cuales deberán ser enviados al correo electrónico [email protected], para realizar el trámite correspondiente.

14. TRIAGE DE EVENTO DE SEGURIDAD DE LA INFORMACIÓN

Con el presente triage se busca evaluar el impacto que pueda tener en la entidad un evento de seguridad de la información, de acuerdo al análisis de la información recolectada del evento, de las alertas generadas por los registros de las herramientas tecnológicas o las que se presente por el manejo de la información física por parte de los funcionarios; los cuales se deben documentar si aplican según los ítems que a continuación se mencionan.

Aquel evento que tiene categoría de Ingeniería Social aplicada a los activos de información o a los usuarios del sistema, con el fin de obtener información. Este tipo de eventos se documentan e informan al Área de información y Sistemas con recomendaciones con el fin de evitar afectación en la seguridad de la información.

Aquel evento que constituye una posible violación a las políticas de seguridad de la información, las cuales deben ser documentadas e informadas al Jefe para la Protección Presidencial, al Área de Tecnologías y Sistemas de Información y éste último a su vez debe ponerla en conocimiento del Comité de Seguridad de la Información.

15. INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y TRIAGE

Según GTC-ISO 27035: Los incidentes de seguridad pueden ser deliberados o accidentales (por ejemplo, causados por error o por acción de la naturaleza), y pueden ser causados por medios técnicos o físicos. Sus consecuencias pueden incluir la divulgación, la modificación, la destrucción o no disponibilidad de información de manera no autorizada, daño o robo de activos de información de la entidad. Si se determina que los eventos de seguridad de la

CLASIFICADA

22



Proceso asociado

Código

Versión


L-SA-01

03

información no reportados son incidentes, resulta difícil investigar los incidentes y tomar el control para impedir su recurrencia. En todo caso el CISRT, debe tener constantemente presente el “Lineamiento para la gestión de incidentes y vulnerabilidades de Seguridad de la Información”, código L-TI-26, formulado por el Área de Tecnologías y Sistemas de Información, para los incidentes que son reportados directamente a la Mesa de Servicios, quien sirve como único punto de contacto, atención de llamadas y soporte de primer nivel y tiene bajo su responsabilidad la comunicación constante del estado del incidente al usuario; igualmente es dueño del proceso independiente de qué equipo de trabajo requiera tratar el incidente o la solicitud del servicio. De igual manera en este lineamiento se expresa: “El único canal acreditado para reportar incidentes de seguridad ante las autoridades y el pronunciamiento oficial ante entidades externas de la Presidencia de la República es el Director del Departamento o el funcionario que sea delegado.” Protocolo interno del Equipo de Respuestas a Incidentes de Seguridad de la Información para la atención de incidentes: PREPARE

• Procesos y capacidades de administración de incidentes • Entrenamiento a los funcionarios • Concienciación de la seguridad de la información • Formatos y procedimientos para reportar incidentes • Directorios y listas de personas y organismos a notificar • Una base de datos de conocimientos • Herramientas para el manejo de incidentes • Sistema de seguimiento de incidentes • Medios originales y copias de seguridad • Procedimientos y políticas de respuestas

DETECTE • Reportes recurrentes • Calificación de la información • Monitoreo de redes y detección de intrusión

TRIAGE • Categorice y correlacione • Priorice • Asigne

CLASIFICADA

23



Proceso asociado

Código

Versión


L-SA-01

03

TRIAGE DE INCIDENTES DE SEGURIDAD INFORMÁTICA

Nivel 1 Identificación de divulgación, modificación o acceso a la información de manera no autorizada

Nivel 2 Identificación de la no disponibilidad de información o presencia de código malicioso implantado en los sistemas informáticos de la entidad

Nivel 3 Identificación de daño o robo de activos de la organización

RESPONDA • Verifique y documente • Preserve y notifique • Analice e investigue • Realice acompañamiento para erradicar y mitigar • Realice acompañamiento para recuperar • Realice seguimiento

PROTEJA • Recomiende la actualización de la DEFENSA INTERNA Y EXTERNA basada en las amenazas

recurrentes • Sugiera el cambio, actualización y configuración de los sistemas de administración • Acompañe la evaluación de la infraestructura • Solicite la realización de análisis de riesgos • Solicite escaneo de vulnerabilidades • Haga análisis forense adicional si se requiere

16. LISTA DE CHEQUEO PARA REVISION DE FUNCIONALIDAD DE LOS SITIOS Y APLICACIONES DE LA PRESIDENCIA DE LA REPÚBLICA.

CRITERIOS DE ANÁLISIS PRUEBAS DE FUNCIONALIDAD

N°

Actividad Cumplimiento

Observaciones SI NO N/A

1. Validación de entradas

1.1 Validar tipos de datos no esperados (letras, números)

1.2 Validar tamaño máximo del campo

1.3 No permitir en lo posible caracteres peligrosos como: <>” ’ % ( ) & + \ / \’ \”.

1.4 Revisión de ortografía de los mensajes y campos presentados.

1.5 Verificación de los campos de opción "radio button" que no se permita marcar dos opciones al mismo tiempo.

1.7 Los campos a diligenciar tienen la salida o resultado esperado

CLASIFICADA

24



Proceso asociado

Código

Versión


L-SA-01

03

1.8 Cada link lleva al enlace esperado

1.9 Los campos ya predeterminados cumplen con la especificación esperada.

1.10 Los mensajes que genera el sistema o aplicación están acordes a lo esperado

1.11 Las búsquedas en el sistema o aplicación arrojan los resultados esperados

2. Administración de autenticación y contraseñas

2.1 Los controles de autenticación deben ser efectuados en un sistema en el cual se confíe.

2.2

Las respuestas a los fallos en la autenticación no deben indicar cual parte de la autenticación fue incorrecta. A modo de ejemplo, en lugar de “usuario invalido” o “contraseña invalida”, utilizar “usuario y/o contraseña inválidos” en ambos casos.

2.3

Se exigen los requerimientos de complejidad para la contraseña. Ejm: obligar el uso de combinaciones de caracteres numéricos/alfanuméricos y/o caracteres especiales.

2.4 No se debe desplegar en la pantalla la contraseña ingresada. A modo de ejemplo, en formularios web, utilizar el tipo de entrada “password” (input type “password”).

2.5

Se deshabilitan las cuentas luego de un número establecido de intentos inválidos de ingreso al sistema. Con el fin de evitar ataque por fuerza bruta, pero no tan alto como para permitir un ataque de negación de servicio.

3. Administración de sesiones

3.1

Se establece un tiempo de vida de la sesión lo más corto posible, balanceando los riesgos con los requerimientos del negocio. En la mayoría de los casos, nunca debería ser superior a varias horas.

3.2 No se permiten logueos concurrentes con el mismo usuario.

4. Manejo de errores

4.1 No se difunde información sensible en respuestas de error, incluyendo detalles del sistema, identificadores de sesión o información de la cuenta.

4.2 Existe algún link que redireccione a un sitio no permitido, fuera de servicio, en mantenimiento o información no relacionada

4.3 El sitio web o página cuenta con permisos establecidos de acuerdo al perfil o presenta algún bloqueo el cual debe ser habilitado.

4.4 El sitio web presenta inconsistencias en la información allí suministrada o leguaje o caracteres no claros.

4.5 El sitio web o página contiene los logos institucionales actuales establecidos

4.6

Otro: _____________________________________ _____________________________________

CLASIFICADA

25



Proceso asociado

Código

Versión


L-SA-01

03

17. METODOLOGÍA PARA LA IDENTIFICACIÓN, RECOLECCIÓN, Y PRESERVACIÓN FRENTE A LA EVIDENCIA DIGITAL.

La informática forense como disciplina desde el ámbito técnico-científico, sirve como apoyo a la administración de justicia y el derecho, la cual tiene desarrollo en virtud de la comisión de una conducta punible o criminal.

En este sentido radica la importancia que tiene la creación una guía para la identificación, recolección, adquisición y preservación de la evidencia digital, que permita fortalecer toda la actividad de atención a incidentes de seguridad informática; los cuales puedan llegar a afectar la integridad, disponibilidad y/o confidencialidad de los activos de información del Departamento Administrativo de Presidencia de la República, originando un paso a paso para recolectar, preservar y dar un tratamiento adecuado a la información electrónicamente almacenada. La presente aproximación permite enfocar los esfuerzos para unificar conceptos que permiten orientar un resultado para garantizar los principios de confidencialidad, integridad y disponibilidad.

Existen actualmente parámetros que permiten abordar el procedimiento para la recolección de dispositivos de almacenamiento y/o electrónico estandarizadas bajo la orientación del Instituto Nacional de Estándares de Tecnología (Sus siglas en inglés NIST); actualmente el Departamento de Justicia de los Estados Unidos permite evaluar de manera continua los procedimientos unificados hacia el correcto aseguramiento, adquisición, examinación, análisis, documentación y entrega del reporte, estas actividades sobre el manejo de la evidencia digital o electrónica. Sin embargo los conocimientos aislados y la ausencia de un procedimiento esencial para la recolección, identificación, análisis y preservación de evidencia digital, representa uno de los factores que más inconvenientes genera en el ejercicio de la función de quien tiene la responsabilidad de tratar este tipo de evidencia; actualmente en Colombia no se han generado protocolos, guías o manuales estándar, que sirvan como esquema orientativo en la aplicación de cada una de las actividades que cumplen los funcionarios con este rol en la atención de cualquier incidente informático, razón por la que se debe tener en cuenta aspectos de importancia que actualmente existen en algunos países, esto es, protocolos acordes con la recolección y tratamiento de evidencia digital, manuales, y guías que sirvan de apoyo y como referencia de las buenas practicas a aplicar en este tipo de actividades. La norma ISO/IEC 27037:2012, “INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR IDENTIFICATION, COLLECTION, ACQUISITION AND PRESERVATION OF DIGITAL EVIDENCE”, actualiza las directrices RFC 3227 estando asociadas a dispositivos actuales y están acorde con el estado de la técnica actual. Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en la fase de Análisis de la evidencia.

CLASIFICADA

26



Proceso asociado

Código

Versión


L-SA-01

03

Los criterios que debe contener dichas guías o manuales servirán para profesionalizar las actuaciones de los analistas en el tratamiento de la evidencia digital del CSIRT del Departamento Administrativo de Presidencia de la Republica, y a su vez, para servirles de guía en la sustentación o acreditación de su actuación técnica ante un estrado judicial si es el caso. De tal modo que la presente guía permitirá el desarrollo de diferentes etapas y el uso de elementos de apoyo para realizar las actividades y su aplicabilidad de acuerdo al caso y la elaboración de documentación pertinente que permitan demostrar cada uno los aspectos de procedimientos realizados, dentro de los cuales se debe soportar el análisis para garantizar la confidencialidad, integridad y disponibilidad de los activos de información a su cargo y así lograr: • Desarrollar y modelar las etapas de identificación, recolección, adquisición y preservación

frente a la evidencia digital. • Definir la actuación del analista, mediante la validación una guía para la identificación,

recolección, adquisición y preservación frente a la evidencia digital. Posterior a la revisión de los modelos internacionales referidos, en los escenarios de atención a incidentes informáticos donde se establece el análisis de elementos materiales probatorios y evidencia física de naturaleza electrónica, conocido en el ámbito investigativo como evidencia digital, se propone la siguiente guía para la realización de la identificación, recolección, adquisición y preservación frente a la evidencia digital para el CSIRT del DAPRE. El presente documento genera un paso a paso creado en tres fases no excluyentes que permiten una consecución de acciones que le concede a los analistas disponer de una hoja de ruta al momento de iniciar el tratamiento de la evidencia digital, el cual establece tareas y puntos de control al momento de intervenir dispositivos electrónicos de almacenamiento digital, o de información electrónica almacenada.

17.1. Identificación de la Evidencia Digital

Como un primer paso en la adopción de metodologías para adquirir evidencia es determinar si los dispositivos electrónicos son susceptibles de recolección y posterior análisis y que cuentan con un sistema operativo (no son solamente de almacenamiento), en caso de estar encendidos, dependerá el orden de prioridad y volatilidad primaria, así:

• CPU (Unidad Central de Procesamiento), memoria cache. • Tabla de enrutamiento, caché ARP, tabla de procesos, las estadísticas del kernel y

memoria RAM. • Sistema de archivos temporales / espacio de intercambio SWAP, hiberfil.sys y

Pagefile.sys. • Los datos contenidos en el disco duro. • Datos remotos que estén registrados o visualizados en los dispositivos electrónicos.

CLASIFICADA

27



Proceso asociado

Código

Versión


L-SA-01

03

• Los datos contenidos en los medios de archivo o unidades externas. • Información contenida en equipos terminales móviles.

17.2. Aseguramiento de la Evidencia Digital

Una vez identificados los dispositivos electrónicos susceptibles de recolección y posterior análisis, sobre estos se incorporan los estándares técnicos científicos y la tendencia de no realizar procedimientos invasivos sobre el dispositivo objeto de estudio y si es así documentar y justificar su actuación, por tanto, es muy importante para el analista tener en cuenta los siguientes aspectos:

Por medio de fijación fotográfica, descriptiva o narrativa documentar el lugar de los hechos.

Antes de tener contacto con el lugar utilizar pulsera antiestática y/o guantes de látex.

Si el dispositivo electrónico está apagado no lo encienda.

Si el dispositivo electrónico está encendido fije fotográficamente la pantalla o display.

Recopile datos en vivo (recolección de datos volátiles: Tarea que consiste en realizar una copia total o parcial de la información contenida en la memoria RAM de un equipo de cómputo, dispositivo electrónico con sistema operativo o equipo terminal móvil, con el fin de realizar un trabajo posterior en el laboratorio y determinar que eventos, aplicaciones y tareas se estaban ejecutando en el dispositivo en un momento determinado mientras se encontraba encendido, datos estos los cuales se consideran de gran relevancia para correlacionar información durante el análisis posterior en el laboratorio) - imagen de RAM -, respuesta en vivo de forma local o remota, y luego recoja otros datos en vivo (a través de instrucciones o línea de comando dependiendo el sistema operativo), tales como el estado de conexión de red, usuarios conectados, ejecución de procesos actual, etc.

Si se detecta cifrado de disco duro o unidad de almacenamiento, realizar imagen lógica del disco utilizando herramientas forenses de hardware y software, o aplicaciones como dd.exe, Helix, Raptor, Paladín (distribuciones de Linux modificadas con fines forenses), de forma local o remota, y tener en cuenta la memoria RAM recolectada.

Después de realizar la evaluación del escenario del incidente, determinar si hay lugar a la preservación mediante la adquisición de imagen forense a los dispositivos de almacenamiento de datos y llevar a cabo la actividad.

Desconecte el cable de alimentación de la parte posterior de la torre (para equipos de cómputo), si el equipo es un portátil retire el cable y la batería en los casos que sea posible la extracción.

Etiquete todos los cables.

Desconecte todos los cables, dispositivos externos y periféricos de entrada y salida.

Documente todos los números de modelo de dispositivo y números de serie.

CLASIFICADA

28



Proceso asociado

Código

Versión


L-SA-01

03

Recolecte los componentes susceptibles de aprensión o incautación (usando bolsas de evidencias y anti- estáticas y/o de Faraday de acuerdo a la naturaleza de almacenamiento del dispositivo electrónico).

Mantenga los medios de comunicación que contienen imanes como transmisores de radio y otros, fuera del perímetro donde se encuentren los componentes electrónicos motivo de recolección y/o incautación.

Tener en cuenta en la recolección anotaciones, documentación, notas, etc. (no olvidar la evidencia convencional).

Documente todos los pasos utilizados en la recolección de datos volátiles y aseguramiento de los dispositivos de almacenamiento.

17.3. Recolección de EMP y/o EF relacionados con la Evidencia Digital

Consiste en el proceso de identificación de los elementos tecnológicos que se encuentren en el lugar de los hechos, dichos elementos pueden ser de dos tipos:

Físicos: Corresponde al hardware de un elemento, es decir que se embala y rotula el dispositivo tecnológico, por ejemplo (memorias, computadores portátiles, equipos terminales móviles, entre otros).

Lógicos: Cuando se hace la recolección de información volátil, es decir, archivos almacenados lógicamente (base de datos, logs, archivos .pdf, texto, entre otros).

17.4. Resultado o Producto del Análisis

REPORTE O INFORME DE ANÁLISIS DE DATOS Y EVENTOS DE SEGURIDAD DE LA INFORMACION: En el cual se deben consignar todos los detalles del trabajo forense elaborado, desde la solicitud misma, hasta el alcance de cada una de las actividades desarrolladas por parte del analista de incidente. Así mismo, esta información debe ser documentada en los formatos establecidos por DAPRE, cumpliendo con las siguientes características mínimas: Preciso Oportuno Exhaustivo Imparcial Claro Relevante Completo

Entre otros detalles deben consignar la identificación y ubicación del experto que realizó la actividad, en forma mínima, así: Debe iniciar con la fecha y hora del procedimiento.

CLASIFICADA

29



Proceso asociado

Código

Versión


L-SA-01

03

Identificación clara y precisa del analista encargado. Número de identificación del evento y/o incidente. Herramienta tecnológica de análisis. Discriminar los activos afectados de la entidad. De acuerdo al triage, identificar el nivel del evento y/o incidente. Identificar y discriminar el tipo de evento y/o incidente. Plasmar los antecedentes documentados del evento y/o incidente. Parametrización, se detalla el paso a paso de la actividad de análisis desarrollada por

el analista. Documentación bibliográfica, discriminar los componentes tecnológicos y

documentales consultados Se realiza la conclusión del análisis adelantado por el funcionario. Se describen las recomendaciones por parte del CSIRT de acuerdo al evento y/o

incidente atendido Se relaciona el nombre del analista que adelanto las actividades. Se relaciona el nombre del funcionario que avala la actividad Se relaciona la fecha, nombre del funcionario y medio por el cual se divulga la

información relacionada con el evento y/o incidente.

18. MARCO LEGAL

Constitución Política de Colombia. Ley 87 de 1993 “Control Interno” Ley 599 del 2000 “Código Penal Colombiano” Ley 734 de 2002 “Por la cual se expide el Código Disciplinario Único” Ley 836 de 2003 “Régimen Disciplinario Fuerzas Militares” Ley 1015 de 2006 “Régimen Disciplinario para la Policía Nacional” Ley 1273 de 2009 “De la Protección de la información y de los datos” Documento CONPES 3854 de 2016 Resolución 093 de febrero 2019

19. REQUISITOS TÉCNICOS

GTC-ISO-IEC 27035:2012 NTC-ISO-IEC 27001:2013 GTC-ISO-IEC 27002:2015

20. DOCUMENTOS ASOCIADOS

M-TI-01 Manual de Políticas Seguridad de la Información. L-TI-26 Lineamiento para Gestión de Incidentes y Vulnerabilidades de Seguridad de la

Información. P-SA-02 Análisis de Eventos de Seguridad de la Información. P-SA-03 Atención de incidentes de seguridad.

21. RESPONSABLE DEL DOCUMENTO

Jefe para la Protección Presidencial

Documents

LINEAMIENTOS DEL EQUIPO DE RESPUESTA A INCIDENTES DE ... · o Ingeniería de Sistemas y/o con estudios en el área de sistemas o a fines. 8.3. Analista de Evento Informático Suboficiales