CÓDIGO: GSI-PC-05

PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES DE VERSIÓN: 2

SEGURIDAD DE LA INFORMACIÓN VIGENCIA: AGOSTO DE 2022
º

PÁGINA: 1 de 5
Escuela Tecnológica
Instituto Técnico Central
DOCUMENTO CONTROLADO

1. OBJETIVO
Definir acciones para identificar, analizar, clasificar, valorar y dar respuestas pertinentes en busca de la solución de los incidentes de Seguridad de la
Información que se presenten.

2. ALCANCE
Inicia desde la detección de un incidente de Seguridad de la Información hasta que se da cierre en la herramienta de gestión de servicios de TI (Aplicativo
Mesa de Ayuda).

3. RESPONSABILIDADES
Profesional de Gestión Informática y Comunicaciones: encargado de gestionar los servicios de TI.
Gestor de Mesa de Ayuda: responsable de administrar la aplicación de la mesa de ayuda.
Equipo Técnico de Soporte: responsable de dar el soporte a los incidentes reportados en el primer nivel según lo escale la mesa de ayuda.
Profesional de Seguridad de la Información: responsable de dar respuesta a los incidentes de Seguridad de la Información según lo escale la mesa
de ayuda.

4. DEFINICIÓN DE TÉRMINOS
Activo de Información: son todos los datos, sistemas o servicios que generan valor a la ETITC.
Ataque Informático: es un procedimiento técnico que tiene como objetivo tener acceso a un sistema de información de forma no autorizada o ejecutar
malware en el mismo.
Amenaza cibernética: aparición de una situación potencial o actual donde un agente tiene la capacidad de generar una agresión cibernética contra la
población, el territorio y la organización política del Estado. (CONPES 3854, pág. 87).
Ataque cibernético: acción organizada o premeditada de una o más agentes para causar daño o problemas a un sistema a través del Ciberespacio.
(CONPES 3854, pág. 87).
Base de Datos: es un conjunto de datos almacenados sistemáticamente y que son consultados mediante un sistema de información.
CERT (Computer Emergency Response Team): equipo de respuesta a emergencias cibernéticas.
CCOC: el comando conjunto cibernético se desempeña como unidad élite en aspectos relacionados con la ciberseguridad y ciberdefensa, incluida la
protección de las Infraestructuras Críticas Cibernéticas Nacionales, desarrollando operaciones militares en el ciberespacio para defender la soberanía,
la independencia, la integridad territorial y el orden constitucional, contribuyendo a generar un ambiente de paz, seguridad y defensa nacional.
Ciberataque: es cualquier tipo de actividad ofensiva realizada por personal malintencionado que comprometen los sistemas de información como la
infraestructura, redes de datos y bases de datos que están alojadas en servidores institucionales. Generalmente estas actividades maliciosas son
originadas desde fuentes anónimas y direcciones que no pueden ser rastreadas.
Cibercrímen (delito cibernético): conjunto de actividades ilegales asociadas con el uso de las Tecnologías de la Información y las Comunicaciones,
como fin o como medio. (CONPES 3854, pág. 87).
Ciberespacio: red independiente de infraestructuras de tecnología de información que incluye Internet, redes de telecomunicaciones, sistemas
informáticos, procesadores y controladores integrados en industrias. (Decreto 338 de 2022, pág. 5).

CLASIF. DE CONFIDENCIALIDAD IPB CLASIF. DE INTEGRIDAD A CLASIF. DE DISPONIBILIDAD 1

 CÓDIGO: GSI-PC-05
PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES DE VERSIÓN: 2
SEGURIDAD DE LA INFORMACIÓN VIGENCIA: AGOSTO DE 2022
º

PÁGINA: 2 de 5
Escuela Tecnológica
Instituto Técnico Central
DOCUMENTO CONTROLADO

Ciberseguridad: es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión del riesgo,
acciones, investigación y desarrollo, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad,
autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la organización en el Ciberespacio. (CONPES 3854,
pág. 87).
Código malicioso: es un script o código que fue escrito para generar vulnerabilidades en un sistema de información.
ColCERT (Computer Emergency Response Team): grupo de respuesta a emergencias cibernéticas de Colombia.
CSIRT Ponal: equipo de respuesta a incidentes de seguridad informática de la Policía Nacional CSIRT-PONAL.
CSIRT Defensa: equipo de respuesta a incidentes de seguridad digital – Sector Defensa.
CSIRT Educación - equipo de respuesta ante incidentes de seguridad informática y ciberseguridad – Sector Educación
Datos Personales: son los datos o información que se relacionan con las personas y que los hace identificables.
Denegación del Servicio: es una técnica que tiene como objetivo detener la operación de algún sistema de información.
Entorno Digital: ambiente, tanto físico como virtual sobre el cual se soporta la economía digital. Siendo esta última la economía basada en tecnologías,
cuyo desarrollo y despliegue se produce en un ecosistema caracterizado por la creciente y acelerada convergencia entre diversas tecnologías, que se
concreta en redes de comunicación, equipos de hardware, servicios de procesamiento y tecnologías web. (CONPES 3854, pág. 87).
Entorno digital abierto: entorno digital en el que no se restringe el flujo de tecnologías, de comunicaciones o de información, y en el que se asegura la
provisión de los servicios esenciales para los ciudadanos y para operar la infraestructura crítica. (CONPES 3854, pág. 87).
Incidente digital: evento intencionado o no intencionado que puede cambiar el curso esperado de una actividad en el entorno digital y que genera
impactos sobre los objetivos. (CONPES 3854, pág. 87).
Incidente: interrupción no planificada de un servicio de TI o reducción de la calidad de un servicio de TI (ITIL v3).
Incidente de Seguridad de la Información: cualquier evento que se presente y que afecte la confidencialidad, integridad o disponibilidad de los activos
de información de la ETITC. (accesos a los sistemas de información, intrusiones, uso no autorizado, divulgación no autorizada, falsificación o destrucción
no autorizada de la información).
Malware: software malicioso que tiene como objetivo infiltrarse en algún sistema de información sin autorización y de esta forma dañar o perjudicar al
propietario de la misma.
Mesa de Ayuda: aplicación institucional en donde se registran todos los incidentes y servicios.
Resiliencia: es la capacidad de un material, mecanismo o sistema para recuperar su estado inicial cuando ha cesado la perturbación a la que había
estado sometido. (CONPES 3854, pág. 87).
Riesgo de Seguridad Digital: es la combinación de amenazas y/o vulnerabilidades que se pueden materializar en el curso de cualquier actividad en el
entorno digital y que pueden afectar el logro de los objetivos económicos o sociales al alterar la confidencialidad, integridad y disponibilidad.
Seguridad de la Información: Preservación de la autenticidad, confidencialidad, integridad y disponibilidad de la información, en cualquier medio de
almacenamiento: impreso o digital, y la aplicación de procesos de resiliencia operativa.
Vulnerabilidad: es una debilidad, atributo o falta de control que permitiría o facilitaría la actuación de una amenaza contra información clasificada, los
servicios y recursos que la soportan. (CONPES 3854, pág. 87).

CLASIF. DE CONFIDENCIALIDAD IPB CLASIF. DE INTEGRIDAD A CLASIF. DE DISPONIBILIDAD 1

 CÓDIGO: GSI-PC-05
PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES DE VERSIÓN: 2
SEGURIDAD DE LA INFORMACIÓN VIGENCIA: AGOSTO DE 2022
º

PÁGINA: 3 de 5
Escuela Tecnológica
Instituto Técnico Central
DOCUMENTO CONTROLADO

5. DESCRIPCIÓN DEL PROCEDIMIENTO

No. DIAGRAMA ACTIVIDAD- DESCRIPCIÓN RESPONSABLE REGISTRO

REGISTRO DEL INCIDENTE DE SEGURIDAD DE LA
INICIO INFORMACIÓN Usuario (propietario y/o
El usuario (propietario y/o custodio de la información) custodio de la Solicitud de
reporta el incidente de seguridad que identifique o información) ticket/caso en
1 REGISTRO DEL reconozca a la mesa de ayuda de acuerdo al manual de aplicativo mesa
INCIDENTE políticas de SGSI de la ETITC, numeral 19.1 “Política de Gestor de Mesa de de ayuda
Gestión de Incidentes y Mejoras en la Seguridad de la Ayuda
Información”.
IDENTIFICACION Y CATEGORIZACIÓN DEL INCIDENTE
IDENTIFICACIÓN Y El gestor de la mesa de ayuda se encarga de analizar e Ticket/caso en
Gestor de Mesa de
2 CATEGORIZACIÓN identificar el incidente con el fin de priorizar, categorizar aplicativo mesa
Ayuda
DEL INCIDENTE como seguridad de la información de la información y de ayuda
asignarlo al Profesional de Seguridad de la Información
INFORMAR AL USUARIO
Se informa al propietario y/o custodio de la información
INFORMAR AL Profesional de Seguridad Correo
3 USUARIO asociado al incidente para que no sea manipulado el
de la Información electrónico.
activo de información relacionado por él o por más
personas de su área y otras recomendaciones.
ANÁLISIS DEL INCIDENTE DE SEGURIDAD
NO
¿se requiere
Ejecutar las actividades de análisis pertinentes en busca
contacto con de la solución del incidente de seguridad. Histórico en el
6 Profesional de Seguridad
4 las aplicativo mesa
autoridades?
En caso que el análisis determine que requiere contacto de la Información de ayuda
con las autoridades se continua con el paso 5, de lo
SÌ contrario continúe con el paso 6.

CLASIF. DE CONFIDENCIALIDAD IPB CLASIF. DE INTEGRIDAD A CLASIF. DE DISPONIBILIDAD 1

 CÓDIGO: GSI-PC-05
PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES DE VERSIÓN: 2
SEGURIDAD DE LA INFORMACIÓN VIGENCIA: AGOSTO DE 2022
º

PÁGINA: 4 de 5
Escuela Tecnológica
Instituto Técnico Central
DOCUMENTO CONTROLADO

CONTACTO CON LAS AUTORIDADES

Profesional de Gestión
CONTACTO CON Contactar a las entidades externas oficiales que dan
informática y
LAS AUTORIDADES soporte a incidentes de seguridad de la información tales Correo
5 Comunicaciones
como la COLCERT, CSIRT de Gobierno, Fiscalía y DIJIN electrónico
Profesional de Seguridad
de acuerdo al procedimiento GIC-PC-13 Contacto con las
1 de la Información
autoridades.
1
No. DIAGRAMA ACTIVIDAD- DESCRIPCIÓN RESPONSABLE REGISTRO
1 RECOLECCIÓN DE EVIDENCIAS Profesional de Gestión
Evidencia física
1 Se identifica, recolecta y documenta todas las evidencias informática y
o digital
6 asociadas al incidente de seguridad según el Comunicaciones
RECOLECCIÓN identificada y
DE EVIDENCIAS procedimiento: GSI-PC-01 Identificación, Recolección, Profesional de Seguridad
recolectada
Adquisición y Preservación de Evidencias de la Información
Equipo Técnico de
TRATAMIENTO DEL INCIDENTE
Soporte
El profesional de seguridad de la información en conjunto
TRATAMIENTO Profesional de Gestión Histórico en el
con el área de informática y comunicaciones,
DEL INCIDENTE informática y aplicativo mesa
7 desarrollaran las actividades necesarias para dar
Comunicaciones de ayuda
tratamiento al incidente de seguridad, documentando en
Profesional de Seguridad
la mesa de ayuda las actividades realizadas.
de la Información
Equipo Técnico de
Histórico en el
APRENDIZAJE ASOCIADO AL INCIDENTE Soporte
APRENDIZAJE aplicativo mesa
Se documenta todo el conocimiento adquirido asociado a Profesional de Gestión
ASOCIADO AL de ayuda por
8 la identificación, análisis y respuesta del incidente de informática y
INCIDENTE parte del
seguridad con el fin de reducir la posibilidad y el impacto Comunicaciones
responsable a
en futuros incidentes. Profesional de Seguridad
dar gestión
de la Información

CLASIF. DE CONFIDENCIALIDAD IPB CLASIF. DE INTEGRIDAD A CLASIF. DE DISPONIBILIDAD 1

 CÓDIGO: GSI-PC-05
PROCEDIMIENTO PARA LA GESTIÓN DE INCIDENTES DE VERSIÓN: 2
SEGURIDAD DE LA INFORMACIÓN VIGENCIA: AGOSTO DE 2022
º

PÁGINA: 5 de 5
Escuela Tecnológica
Instituto Técnico Central
DOCUMENTO CONTROLADO

NO Histórico en el
¿El
CERRAR INCIDENTE
incidente aplicativo mesa
4 se Si el incidente se solucionó finaliza el procedimiento y se
solucionó? Gestor de Mesa de de ayuda por
9 procede a cerrarlo de acuerdo al procedimiento
Ayuda parte del
GIC-PC-08 Gestión de Servicios TI. Si el incidente no se
responsable a
solucionó se devuelve a la actividad 4.
SI dar gestión

FIN

6. ANEXOS
GIC-PC-13 PROCEDIMIENTO CONTACTO CON LAS AUTORIDADES
GSI-PC-01 PROCEDIMIENTO PARA LA IDENTIFICACIÓN, RECOLECCIÓN, ADQUISICIÓN Y PRESERVACIÓN DE EVIDENCIAS DIGITALES
GIC-PC-08 GESTIÓN DE SERVICIOS DE TI

7. CONTROL DE CAMBIOS

FECHA VERSION CAMBIOS

16/10/2019 1 Adopción del procedimiento
Redacción del documento
Actualización de la sección términos y definiciones.
Inclusión de grupos CSIRT bajo el decreto 338 del 08 de marzo de 2022, el Gobierno Nacional dictó los lineamientos generales
01/08/2022 2 para fortalecer la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios
esenciales, la gestión de riesgos y la respuesta a incidentes de seguridad digital.
Inclusión de términos CERT, CSIRT Ponal, CSIRT Defensa, CSIRT Educación.
Ajustes correspondientes al manual de políticas de SGSI de la ETITC, numeral 19.1 “Política de Gestión de Incidentes y Mejoras
en la Seguridad de la Información”.

ELABORÓ REVISÓ APROBÓ

Ing. SANDRA J. GUERRERO G. LENNY NAYIBE LEÓN VARGAS DORA AMANDA MESA C.
Líder de Gestión de Seguridad de la Información Administrador de la Documentación Representante de la Dirección

CLASIF. DE CONFIDENCIALIDAD IPB CLASIF. DE INTEGRIDAD A CLASIF. DE DISPONIBILIDAD 1