SERVICIO NACIONAL PARA LA PREVENCION Y REHABILITACION DEL CONSUMO DE DROGAS

Y ALCOHOLES

Procedimiento de Gestión de
Incidentes de Seguridad de la
Información
Sistema de Gestión de la Seguridad de la Información

Código: SSI-16-01-01
Control: A.16.01.01
A.16.01.02
A.16.01.03
A.16.01.04
A.16.01.05
A.16.01.06
A.16.01.07

Este documento es de propiedad exclusiva de SENDA y su uso debe estar ceñido a lo dispuesto en la clasificación del
mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste, sin la debida
autorización por parte del Comité de Seguridad de la Información. Su uso y distribución sólo está autorizado al interior
de SENDA y por parte del personal debidamente habilitado
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 2 de 18

Control de Versiones:

Versión Elaborado Revisado Modificaciones Aprobado Fecha

Comité de
Encargado de Jefe de
Todo el Seguridad de
1 Seguridad de Tecnología e 25-09-2017
Documento la
la Información Informática
Información
Comité de
Analista de Comité de
Seguridad de
1.1 Seguridad de Seguridad de Actualización 7-10-2019
la
la Información la Información
Información
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 3 de 18
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 4 de 18

Contenido
1. Objetivos .......................................................................................................................... 5

2. Roles y Responsabilidades ............................................................................................... 5

3. Alcance ............................................................................................................................. 5

4. Procedimiento.................................................................................................................. 6

4.1. Flujo “Procedimiento de Control de Incidentes” ..................................................... 7

4.2. Descripción del Procedimiento ................................................................................ 8

4.2.01. Informe de Debilidades de Seguridad de la Información ....................................... 8

4.2.02. Procedimientos para la Gestión de Incidentes Tecnológicos ................................ 9

4.2.03. Análisis y Evaluación sobre Incidentes de Seguridad............................................. 11

4.2.04. Gestión de Incidentes...................................................................................................... 12

4.2.05. Mejora Continua ............................................................................................................... 16

5. Registros de Operación .................................................................................................. 17

6. Difusión .......................................................................................................................... 17

7. Anexos ............................................................................................................................ 17

7.1. Tabla de Indicadores de Incidentes ....................................................................... 17

7.2. Plantilla de Incidentes de Ciberseguridad ............................................................. 18

 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 5 de 18

1. Objetivos
En el presente documento se establecen los procedimientos que debe seguir el personal
del Servicio Nacional para la Prevención y Rehabilitación de Drogas y Alcoholes (SENDA)
para reaccionar de forma correcta ante un ciberataque recibido por la institución,
reportando las vulnerabilidades que detecte de forma correcta y con el propósito de
evitar, dentro de sus conocimientos y capacidades, que se vean comprometidas la
integridad, confidencialidad y disponibilidad de la información. De la misma manera, el
procedimiento solicita a los encargados de la seguridad de la información realizar una
evaluación periódica de riesgos relacionados a la seguridad de la información y la
mitigación que estos deben tener.

2. Roles y Responsabilidades
Miembros de la Institución: Informar sobre ataques o vulnerabilidades encontradas.
Analista de Ciberseguridad: De acuerdo al Instructivo Presidencial N°8 publicado con
fecha 23 de octubre de 2018, será responsable de la seguridad informática de su servicio
y velar por las medidas de seguridad establecidas en dicho instructivo.
Unidad de Soporte y Seguridad de la Información: Debe mantener los estándares de
seguridad en lo que se refiere a la plataforma tecnológica, comprendiendo a las
unidades internas y los procedimientos y políticas creados en los que tienen
interferencia directa.

3. Alcance
Este procedimiento se regula por los controles desde el A.16.01.01 hasta el A.16.01.07
de la normativa chilena NCh-ISO 27001, bajo el cual se establecen las acciones y
responsabilidades que deben seguir los del departamento de informática con el
propósito de asegurar la seguridad de la información sobre los activos de información.
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 6 de 18

4. Procedimiento
A continuación de detalla el procedimiento que se debe seguir para gestionar los
incidentes de seguridad de la información.
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 7 de 18

4.1. Flujo “Procedimiento de Control de Incidentes”

Simbología
Simbología Descripción
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 8 de 18

Inicio

Fin

Proceso

Decisión

4.2. Descripción del Procedimiento

4.2.01. Informe de Debilidades de Seguridad de la Información

Se exigirá a todos los funcionarios y contratistas, que utilizan los servicios de
información de la organización, anotar e informar sobre cualquier debilidad
de seguridad de la información de los sistemas o servicios o ataque sobre
estos. Esta función es importante para la institución, pues en la medida que
los funcionarios están alertas a estos detalles se maximiza la vigilancia y
resguardo de los activos institucionales.
En este sentido todos los funcionarios deberán siempre estar alertas tanto a
los temas de respeto a las políticas de seguridad de la información como a
señales que parezcan extrañas o poco habituales, teniendo en consideración
que cada uno de ellos puede ser blanco u objetivo de un ataque cibernético
mediante el cual se puede acceder a información personal o institucional
relevante, entre la que destaca en primera instancia:
• Credenciales o contraseñas.
• Direcciones de correo electrónico.
• Perfiles de usuario o gustos personales de compras y/o navegación web.
• Información confidencial (documentos sensibles institucionales, tarjetas
de crédito, entre otros).
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 9 de 18

• Recursos de sistema (CPU, RAM y disco duro), para almacenar malware

o utilizar equipos institucionales sin autorización.

4.2.02. Procedimientos para la Gestión de Incidentes Tecnológicos

A continuación, se presentan los procedimientos que debe cumplir la Unidad
de TI para cumplir con el resguardo de la plataforma y datos que comparten.

4.2.02.1. Planificación y Preparación de la Respuesta Ante Incidentes

El área de ciberseguridad debe informar a la jefatura de TI acerca del
análisis de entorno de amenazas con el objetivo de planificar y preparar
respuesta de incidentes en lo que a su componente de prevención esté
al alcance. Estos informes agregados cuando la severidad de la amenaza
lo amerite, será reportado al Jefe de Servicio.
El área de ciberseguridad debe mantener actualizado un Plan de
Contingencia generado a partir de la matriz de riesgos que pueda afectar
la plataforma y la seguridad de los datos institucionales, levantada por
cada Unidad y que son categorizados y priorizados por el Comité de
Riesgos.
En relación con los riesgos informáticos, el Área de Ciberseguridad,
preparará un Plan de Monitoreo, identificación de principales contactos
involucrados en los distintos ámbitos, ya sean internos como externos,
para lo cual deberá ser apoyado por las áreas de Desarrollo de Software
y Operaciones de la Unidad Informática.
Se debe mantener una estación de monitoreo a cargo del encargado de
ciberseguridad que mantenga registro constante sobre los activos de
información digital generando estadísticas y entregando capacidad de
reacción ante incidentes al momento en que estos ocurren.
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 10 de 18

4.2.02.2. Monitoreo de Eventos e Incidentes de Seguridad

Se mantendrá un sistema de monitoreo continúo apoyado por la central
antes mencionada a fin de detectar e informar eventos en seguridad de
la información. Esto con apoyo del CSIRT de Gobierno, a través de
herramientas tecnológicas, servicios de terceros y recursos humanos.

4.2.02.3. Registro de Actividades de Administración de Incidentes

Cada evento o incidente de relevancia se consignará en el sistema de
tickets dispuesto como herramienta central de registro y gestión de
incidentes, con objetivo central de concentrador y notificador de éstos
y, en consecuencia, disponer de un registro central de incidentes. De
esta forma se podrá extraer estadísticas de gestión de incidentes.
Junto con lo anterior, todos los funcionarios de la institución y las
terceras partes deben informar, tan pronto sea posible, los incidentes de
seguridad de la información a las entidades tanto internas como aquellas
que correspondan al CSIRT Gubernamental:
• Interna:
o Correo electrónico enviado a la casilla: [email protected]
• Externa:
o Notificación al CSIRT Gubernamental: [email protected]
o Notificación telefónica al CSIRT del Gobierno: +56 2 2486 3850
o Registrar en el sistema mosp.csirt.gob.cl el “Índice de Compromiso
o IoC” que se logre extraer de los análisis, para informar a toda la
comunidad.
Finalmente, el Encargados de Ciberseguridad y los evaluadores del CSIRT
de Gobierno son responsables del ingreso de los antecedentes
detectados por estos métodos y revisarán que los antecedentes sean
consistentes y completos con el objetivo de iniciar la evaluación y
determinar su prioridad. Si faltan antecedentes, el Encargado de
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 11 de 18

Ciberseguridad o el Evaluador de CSIRT deberá solicitarlos al usuario

afectado por el incidente, quien tendrá un plazo de un día hábil para
entregar la información faltante.
Una vez que el Encargado de Ciberseguridad o el Evaluador de CSIRT
posea los antecedentes necesarios, registrará el incidente de seguridad
en el Sistema de Gestión de Incidentes.

4.2.02.4. Administración de Evidencia Forense

En general los aspectos forenses estarán acotados a la relevancia del
incidente y a facultades administrativas pertinentes para el caso en
estudio, y resguardando los principios de la política general.
La institución contará con registros logs de las principales aplicaciones
y/o dispositivos de control de manera que sin acceder en primera
instancia a los activos de información de los usuarios se podrá tener
señales indirectas de actividades anómalas.
Cuando el incidente tenga características de delito y se haya judicializado
su investigación, se deberán dar las facilidades respectivas al organismo
policial competente para que acceda y rescate toda la evidencia
necesaria, acorde a las facultades legales que un juez y/o fiscal haya
entregado e instruido.
En la medida que la necesidad de profundización de los procesos
forenses sean claves para el resguardo de los activos de la información
institucional los procedimientos deberán ajustarse, en lo posible, a la
normativa internacional ISO 27037 u otra que la reemplazare.

4.2.03. Análisis y Evaluación sobre Incidentes de Seguridad

La institución establecerá a través de su organización interna, la debida
priorización de los activos de información vitales de manera que las
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 12 de 18

instancias técnicas tengan las directrices necesarias para establecer un

análisis de riesgo acorde a las amenazas y el riesgo potencial.
Las evaluaciones de los incidentes deben contar con insumos como las
definiciones estratégicas de la institución, la prioridad de procesos y un
análisis de riesgos como por ejemplo el que se obtiene con la metodología
PMG-SSI, para el caso de SENDA, que se decide implementar basado en
algunas normas internacionales.
La evaluación de las debilidades en la seguridad de la información es un
proceso reflexivo que se llevará adelante utilizando herramientas
tecnológicas de análisis de especialistas, tendientes a producir informes que
permitan apoyar la decisión.

4.2.04. Gestión de Incidentes

Una vez se registre la existencia de un incidente o la posibilidad de que esto
ocurra se debe proceder a las siguientes acciones:

4.2.04.1. Análisis y Evaluación de un Incidente de Seguridad

Encargado de Ciberseguridad debe identificar la solución a aplicar y, en
caso de que esta implique costos, debe cuantificarlos para las gestiones
de su aprobación.
Asimismo, deberá registrarse en el Sistema de Gestión de Incidentes de
Seguridad, la información recopilada, descripción, responsables, análisis
de la ocurrencia del incidente, tiempo de respuesta y solución al
incidente, finalmente cuantificar y monitorear el tipo, volumen y costo
del incidente. En caso de que haya implicancias legales o de otro tipo,
deberá poner antecedentes en conocimiento de la División Jurídica y jefe
de servicio para acordar curso a seguir. Toda respuesta a eventos y/o
incidentes significativos deberá al menos incluir los siguientes aspectos
para un mejor desempeño y atención del incidente:
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 13 de 18

• Recopilar la evidencia lo más pronto posible después de la

verificación.
• Calificar el incidente de acuerdo a su tipo de taxonomía.
• Clasificar la severidad del incidente de acuerdo a la siguiente tabla:
Nivel Descripción
Impacto Bajo sobre Activos Cibernéticos Vitales
Bajo
(Daño de la amenaza no tiene consecuencia relevante para los Activos)
Impacto Medio sobre Activos Cibernéticos Vitales
Medio
(Daño de la amenaza tiene consecuencias importantes para los Activos)
Impacto Alto sobre Activos Cibernéticos Vitales
Alto
(Daño de la amenaza tiene consecuencias graves para los Activos)
Impacto Muy Alto sobre Activos Cibernéticos Vitales
Muy Alto
(Daño de la amenaza tiene consecuencias catastróficas para los Activos)
• Efectuar un Escalamiento a Nivel 2, según la pertinencia y relevancia
del incidente.
• Asegurarse de que todas las actividades de respuesta se registren
correctamente para el posterior análisis.
• Comunicación de la existencia del incidente de seguridad de la
información o cualquier detalle pertinente a otras personas u
organizaciones internas o externas que deban ser informadas o
advertidas sobre estos incidentes.
• Manejar las debilidades de la seguridad de la información que
causan o contribuyen al incidente.

Nota: El nivel del incidente se puede obtener según la Tabla de Indicadores de Incidentes
disponible en el Anexo.

4.2.04.2. Análisis y Evaluación de un Incidente de Seguridad Nivel 2

En el caso que el evaluador de Nivel 2 considere que el incidente de
seguridad sea relevante (que afecte a plataforma tecnológica
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 14 de 18

institucional y a la Red de Conectividad del Estado), este deberá realizar

las siguientes actividades:
• Analizar toda la información relevante recopilada.
• Validar o reclasificar la severidad del incidente de acuerdo con la
siguiente tabla:
Nivel Descripción
Impacto Bajo sobre Activos Cibernéticos Vitales
Bajo
(Daño de la amenaza no tiene consecuencia relevante para los Activos)
Impacto Medio sobre Activos Cibernéticos Vitales
Medio
(Daño de la amenaza tiene consecuencias importantes para los Activos)
Impacto Alto sobre Activos Cibernéticos Vitales
Alto
(Daño de la amenaza tiene consecuencias graves para los Activos)
Impacto Muy Alto sobre Activos Cibernéticos Vitales
Muy Alto
(Daño de la amenaza tiene consecuencias catastróficas para los Activos)
• Gatillar respuesta inmediata.
• Realizar análisis forense de seguridad de la información, según sea
necesario.
• Ejecutar Plan de Comunicaciones Interna.
• Una vez que sea manejado el incidente correctamente, se deberá
cerrar y registrar formalmente.
Todos los incidentes de seguridad, incluyendo los falsos positivos, que
hayan sido evaluados por el nivel 2 de CSIRT deberán ser revisados
mediante análisis post-incidente, para identificar el origen de este, sus
posibles implicancias, impacto en la organización, estudio de tendencias
de incidentes analizados, así como también con el propósito de realizar
una mejora continua sobre las acciones de control realizadas por esta
unidad.
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 15 de 18

4.2.04.3. Respuesta Inmediata

El objetivo es poder aplicar un protocolo de pasos operativos y
comunicacionales que permitan enfrentar a la institución frente a
incidentes de ciberseguridad.
Cabe destacar que en ausencia de los roles de CSIRT Gubernamental se
incluirán aspectos de respuesta a incidentes que sean catalogados como
de alta connotación social, asumiendo la labor de comunicar los
aspectos globales y esenciales del ciber incidente en coordinación con
los actores pertinentes o afectados.
En esta etapa se llevan a cabo diferentes subprocesos:
• Escaneo de Sitios Web.
• Información proveniente del Servicio SOC (mails).
• Información proveniente de la Red CSIRT AMERICAS.
• Fuentes cerradas internas (sensores o reportes internos).
• Fuentes de investigadores externos (academia, empresas o
independientes).
• Fuentes abiertas como por ejemplo Redes Sociales.
• Se debe en lo posible intentar extraer el respectivo IoC, teniendo
presente que según la criticidad que se observe debe proceder a
notificarse.
• Se debe verificar para evitar los falsos positivos.

4.2.04.4. Plan de Comunicación

En esta etapa se proceden a comunicar, según su nivel de severidad,
todos los incidentes de severidad marcados como amarillos o rojos en
las tablas mencionadas deben ser informados al Coordinador SOC, quien
a su vez informará a los Directores Operativo y General, los incidentes
Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 16 de 18

cuyo nivel de seguridad sea rojo. El plan de comunicación podrá

considerar las siguientes instancias:
• Coordinador SOC
• Director Operativo CSIRT
• Director General CSIRT
• Consejo Nacional de Ciberseguridad (CNC)
• Subsecretario del Interior
• Ministro del Interior y Seguridad Pública
• Presidente de la República

4.2.04.5. Cierre de un Incidente de Seguridad

Una vez el incidente se encuentre bajo control el Encargado de
Ciberseguridad debe registrar el cierre del incidente en la Plantilla de
Incidentes de Seguridad (Anexo 6.2. Plantilla de Incidentes de
Ciberseguridad) y enviar respuesta a el(los) afectado(s) notificando el
cierre del incidente.
Además de lo anterior se debe generar un informe que establezca el
incidente ocurrido, quien lo reportó, la vulnerabilidad que se vio
afectada o se encontró gracias al ataque, la criticidad del ataque, la
solución ejecutada y la fecha en la que el incidente quedó bajo control.
Este informe debe ser enviado a CSIRT y, en caso de ser amarillo o rojo
al Director Nacional del servicio.

4.2.05. Mejora Continua

El Encargado de Ciberseguridad debe concentrar el conocimiento obtenido
gracias al análisis y la respectiva solución y/o mitigación de los incidentes de
seguridad y, junto con el Encargado de la Seguridad de la Información
generar un informe que sea entregado al Comité de Seguridad de la
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 17 de 18

Información con el propósito que este aprendizaje sea entregado a los

miembros de sus departamentos y ayude a reducir la probabilidad o impacto
de los incidentes futuros. En caso de que este incidente tenga origen en una
victima de phishing o ingeniería social se debe entregar con urgencia este
informe a todos los miembros de la organización.

5. Registros de Operación
Se utilizará como registro de control las alertas recibidas por el miembro del personal y
los informes generados luego por el Analista de Ciberseguridad y el SCIRT y los correos
existentes con ambas partes.
Se debe revisar y actualizar una vez al año.

6. Difusión
El Encargado de la Seguridad de la información en coordinación con las jefaturas de área
del SENDA realizarán a la difusión de esta política por medio del correo electrónico
institucional y la página de intranet.

7. Anexos

7.1. Tabla de Indicadores de Incidentes

Tabla de Indicadores de Incidentes

N° Clase de Incidente Tipo de Incidente Criticidad
Pornografía Infantil - Sexual - Violencia Alto
1 Contenido Abusivo
Spam Alto
2 Código Malicioso Malwere y Virus Alto
Scanning Medio
Recopilación de
3 Sniffing Medio
Información
Ingeniería Social Bajo
Intentos de Intentos de Acceso Medio
4
Intrusión Explotación de Vulnerabilidades Conocidas Alto
 Servicio Nacional Para la Prevención y Rehabilitación de Drogas y Alcoholes
Procedimiento de Gestión de Incidentes de Seguridad Código SSI-16-01-01
de la Información Página 18 de 18

Nueva Firma de Ataque Medio

Compromiso de Cuenta Privilegiada Muy Alto
5 Intrusión Compromiso de Cuenta sin Privilegios Alto
Compromiso de Aplicación Alto
Ataque de Denegación de Servicio (DoS/DDoS) Muy Alto
6 Disponibilidad Sabotaje Medio
Intercepción de Información Medio
Información de Acceso no Autorizado a la Información Alto
7 Seguridad de
Contenidos Modificación no Autorizada de la Información Muy Alto
Phishing / Spear Phishing Alto
Derechos de Autor Bajo
8 Fraude Uso no Autorizado de Recursos Medio
Falsificación de Registros Medio
Generación y/o Utilización de Certificados Médicos Alto
9 Vulnerable Sistemas y/o Softwares Desactualizados Alto
Uso no Autorizado de Administrador de Sistemas Medio
Explotación de Fallas de Software Alto
Reportes de Ataque Fuerza Bruta Alto
10
Seguridad Hombre del Medio/Secuestro de Sesión Muy Alto
Inyección de Red Muy Alto
Errores de Configuración Medio
11 Solicitud Solicitud de Información Bajo
Fuga de Información Alto
12 Otros Manipulación de Información Alto
Cross-site Scripting Bajo

7.2. Plantilla de Incidentes de Ciberseguridad

Fecha y Hora Fecha y Hora Tipo de
Vulnerabilidad Criticidad Solución
Inicio Control Ataque