Gestion Incidentes Seguridad

SIN CLASIFICAR
GUA DE SEGURIDAD DE LAS TIC

(CCN-STIC-817)
Criterios comunes para la Gestin de Incidentes

de Seguridad en el Esquema Nacional de
Seguridad (ENS)
(BORRADOR)
Agosto de 2012
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS
Edita:
Editor y Centro Criptolgico Nacional, 2012
Tirada: 1000 ejemplares

Fecha de Edicin: agosto de 2012
Esta gua ha sido desarrollada de forma conjunta por CCN y TBSecurity.
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las
sanciones establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del
mismo mediante alquiler o prstamo pblicos.
Centro Criptolgico Nacional 2

SIN CLASIFICAR
SIN CLASIFICAR
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos de la
sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez que
confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico Nacional
en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las TIC,
orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de la
informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija los
principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los sistemas de la
Administracin, y promueve la elaboracin y difusin de guas de seguridad de las tecnologas de la
informacin y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que
el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar seguridad
a los sistemas de las TIC bajo su responsabilidad.
Agosto de 2012
Flix Sanz Roldn

Secretario de Estado
Director del Centro Criptolgico Nacional

SIN CLASIFICAR
SIN CLASIFICAR
NDICE
1. INTRODUCCIN ...................................................................................................................... 5
2. OBJETIVO DE LA GUA ......................................................................................................... 6
3. DEFINICIONES ......................................................................................................................... 7
4. CATEGORIZACIN DE INCIDENTES .................................................................................. 8
5. CRITERIOS PARA LA DETERMINACIN DE LA CRITICIDAD .................................... 10
6. CRITERIOS PARA LA NOTIFICACIN, SEGUIMIENTO Y CIERRE DE
INCIDENTES ................................................................................................................................. 14
7. MTRICAS E INDICADORES DEL PROCESO DE GESTIN INCIDENTES .................. 19
ANEXO A. GLOSARIO DE TRMINOS Y ABREVIATURAS .............................................. 26
ANEXO B. REFERENCIAS ....................................................................................................... 27
TABLAS
Tabla 1 Categorizacin de incidentes ................................................................................................... 9

Tabla 2 Niveles de Criticidad ............................................................................................................. 10
30. Tabla 3 Matriz de determinacin del nivel de Criticidad ms habitual segn categora del
sistema afectado ............................................................................................................................ 12
Tabla 4 Matriz de determinacin del nivel de Criticidad ms habitual segn tipologa de incidente 13
Tabla 5 Tiempos objetivos para registro segn nivel de Criticidad ................................................... 14
Tabla 6 Tiempos objetivos para la notificacin al CSIRT de coordinacin segn nivel de Criticidad
....................................................................................................................................................... 15
Tabla 7 Tipo de seguimiento a realizar con CCN-CERT segn nivel de Criticidad .......................... 17
Tabla 8 Tiempos objetivos para contencin y erradicacin segn nivel de Criticidad ...................... 18

SIN CLASIFICAR
SIN CLASIFICAR
1. INTRODUCCIN
1. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Seguridad en el mbito de la Administracin Electrnica, regula el citado Esquema
Nacional de Seguridad (en adelante ENS 1) previsto en el artculo 42 de la Ley 11/2007,
de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. Su
objeto es establecer la poltica de seguridad en la utilizacin de medios electrnicos y
est constituido por principios bsicos y requisitos mnimos que permitan una proteccin
adecuada de la informacin.
2. El ENS establece en su Captulo III (Requisitos mnimos de Seguridad) que uno de los
principios bsicos que debe desarrollar la poltica de seguridad de las Administraciones
Pblicas es la gestin de incidentes de seguridad que permita a la organizacin:
Establecer un sistema de deteccin y reaccin frente a cdigo daino.
Garantizar que los incidentes de seguridad que se produzcan se registren, as como
las acciones de tratamiento que se apliquen para su resolucin con el fin de poder
ser analizados con posterioridad para la mejora continua de la seguridad del
sistema.
3. Por otra parte, el citado real decreto otorga al Centro Criptolgico Nacional (en adelante
CCN) un papel activo en la articulacin y soporte para la respuesta a los incidentes de
seguridad a travs del CCN-CERT (Capacidad de Respuesta a Incidentes de Seguridad
del CCN y CERT gubernamental espaol).
4. En el artculo 29 del ENS (Guas de seguridad) se contempla que el CCN, en el ejercicio
de sus competencias, elaborar y difundir las correspondientes guas de seguridad de las
tecnologas de la informacin y las comunicaciones.
5. Tambin se establece en este RD, en su artculo 37 (Prestacin de servicios de respuesta
a incidentes de seguridad a las Administraciones Pblicas) que el CCN ofrecer la
informacin, formacin, recomendaciones y herramientas necesarias para que las
Administraciones Pblicas (en adelante AAPP) puedan desarrollar sus propias
capacidades de respuesta a incidentes de seguridad, y le otorga el papel de coordinador a
nivel pblico estatal.
6. Es, por tanto, en el marco anteriormente citado, que desde el CCN-CERT se ha creado
la presente gua para establecer los criterios comunes para la gestin de incidentes de
seguridad.
7. Esta gua establece unas pautas de carcter general comunes que son aplicables a
entidades de distinta naturaleza, dimensin y sensibilidad sin entrar en casusticas
particulares. Se espera que cada organizacin las particularice para adaptarlas a su
entorno singular siempre manteniendo como referencia los parmetros y criterios
establecidos en esta gua.
1
Ver referencia [ENS]
SIN CLASIFICAR
SIN CLASIFICAR
2. OBJETIVO DE LA GUA
8. Esta gua proporcionar a las AAPP orientacin para el cumplimiento de los siguientes
aspectos exigidos en el RD de desarrollo del ENS:
Principio bsico Prevencin, reaccin y recuperacin.
Requisito mnimo Incidentes de seguridad.
Medidas de proteccin del anexo II del ENS:
i. op.exp.07 Gestin de incidencias.
ii. op.exp.09 Registro de gestin de incidencias.
9. Con el fin de comunicar y compartir informacin con claridad sobre incidentes es
necesario adoptar una terminologa comn que describa todos aquellos que son posible
que se materialicen. Slo partiendo de las mismas premisas y siguiendo las mismas
definiciones se puede coordinar una respuesta rpida y eficaz.
10. A continuacin se presentan un conjunto de conceptos y descripciones de alto nivel que
permiten mejorar las comunicaciones entre los distintos responsables de seguridad de las
AAPP. Las distintas taxonomas expuestas en este documento no pretenden sustituir a
otras que se pudieran emplear internamente, sino que buscan proporcionar una
plataforma comn que facilite la labor de coordinacin del CCN-CERT y los distintos
organismos de la Administracin.
11. La gua dotar a las AAPP de:
Una tipologa comn de tipos de incidentes
Un criterio comn y homogneo para establecer la criticidad de los incidentes,
Unos principios bsicos sobre cundo informar a CCN-CERT, en virtud del
incidente, as como el modo y tiempo en que debe realizarse en funcin de la
criticidad del incidente.
12. Esta gua viene a complementar a la gua CCN-STIC 403 Gestin de incidentes de
seguridad 2, y amplia esta en su nueva revisin, incorporando:
Una relacin actualizada de las mejores acciones (procedimientos) a realizar
segn la tipologa del incidente, para cada uno de los tipos definidos en la
presente gua, y teniendo en consideracin su criticidad por defecto.
2
Ver referencia [STIC403]
SIN CLASIFICAR
SIN CLASIFICAR
3. DEFINICIONES
13. Evento 3
Se entiende por evento a un cambio en el estado que tiene un significado para la
gestin de un elemento de configuracin o servicio TIC.
Tambin es usado para describir una alerta o notificacin creada por un elemento
de configuracin, servicio o herramienta de monitorizacin TIC. Los eventos
tpicamente requieren que el personal de operaciones TIC tome acciones, que
habitualmente conlleva el registro de los incidentes ocurridos.
14. Evento de seguridad
Se entiende por evento de seguridad la ocurrencia detectada de un estado de un
sistema, servicio o red que indica una posible violacin de la poltica de seguridad
de la informacin, un fallo de las salvaguardas, o una situacin desconocida hasta
el momento y que puede ser relevante para la seguridad 3.
Estos eventos pueden ser por ejemplo una conexin IP realizada o rechazada que
es registrada en un cortafuegos; intentos de accesos con o sin xito a un sistema a
travs de algn servicio como SSH, telnet o SMB; peticiones a un servidor web,
escaneo de un correo electrnico por un software anti-virus y/o anti-spam, etc.
Se entiende por evento de seguridad adverso aquellos que tienen por
consecuencia un impacto negativo en la seguridad de la informacin del sistema
afectado 3.
Por ejemplo, el sistema cae; el ancho de banda de una conexin se satura y por
tanto se agota impidiendo accesos legtimos; un usuario accede remotamente sin
autorizacin a un sistema de informacin; un equipo resulta afectado por un
cdigo daino, etc.
15. Incidente 3
Cualquier evento que no sea parte de la operacin estndar de un servicio que
ocasione, o pueda ocasionar, una interrupcin o una reduccin de la calidad de ese
servicio.
16. Incidente de seguridad
Un incidente de seguridad es un nico evento o una serie de eventos de
seguridad de la informacin, inesperados o no deseados, que tienen una
probabilidad significativa de comprometer las operaciones de la organizacin y de
amenazar la seguridad de la informacin 3.
Un evento de seguridad que implica una violacin de seguridad. En otras palabras,
un evento de seguridad en el cual la poltica de seguridad del sistema es
desobedecida o violada4.
3
Ver referencia [STIC401]
4
Ver referencia [RFC4949]
SIN CLASIFICAR
SIN CLASIFICAR
4. CATEGORIZACIN DE INCIDENTES
17. Para su correcta gestin, todos los incidentes debern estar clasificados. La clasificacin
de incidentes de seguridad depender de varios factores, como:
La naturaleza del incidente,
La criticidad del/los sistema/s afectado/s,
El nmero de sistemas afectados,
El impacto que el incidente puede tener en la organizacin desde un punto de vista
legal, de imagen pblica, y de prestacin de servicio,
Los requerimientos legales y regulatorios.
18. Un incidente que contenga mltiples clases o tipologas debe ser clasificado por el
evento de seguridad original o detectado inicialmente.
19. En la siguiente tabla se ofrece el modelo de referencia para la categorizacin de
incidentes, donde se clasifican los incidentes. Hay que destacar que estas
categorizaciones son generales; es necesario tener en consideracin los otros factores
anteriormente indicados. Si hay dudas, se recomienda contactar con el CCN-CERT para
mayor informacin, clarificacin y asistencia:

SIN CLASIFICAR
SIN CLASIFICAR
Clase de Incidente Tipo de Incidente Descripcin

Ataques Ataque dirigido Se considera un ataque dirigido a aquel donde los individuos o la organizacin vctima estn
intencionadamente elegidos. Este tipo de ataques pueden incluir otras clases y tipos de
ataques (spam con cdigo daino, Defacements, DoS, etc), pero dada su criticidad, deben
considerarse como un tipo independiente si en la fase de clasificacin se tienen indicios
claros de que son dirigidos.
Modificacin de sitios Vulnerabilidades explotadas con xito en los sistemas de alojamiento (servidor web) o en las
web (Defacement) aplicaciones que permiten a un atacante modificar contenidos y pginas web. Estos ataques
pueden involucrar la insercin de enlaces a sitios maliciosos y/o aadir contenidos que
contienen el mensaje de atacante (polticos, difamatorios, etc).
Cdigo daino Infeccin extendida Un virus, gusano, caballo de troya, rootkit, script, etc. que infecta exitosamente a un conjunto
amplio de sistemas y en donde han fallado las medidas de deteccin y/o contencin
establecidas.
Infeccin nica Un cdigo daino que solo afecta a un dispositivo, usuario o sistema.
Denegacin de Exitosa El intento exitoso de un ataque DoS/DDoS (Denegacin de Servicio Distribuida) para afectar
servicio (DoS) un servicio o sistema. Se puede conseguir a travs del uso de vulnerabilidades presentes en la
infraestructura o, ms comnmente, mediante el envo masivo de grandes cantidades de
trfico y/o peticiones. El resultado es que el sistema no es capaz de responder a las peticiones
de servicio de los usuarios legtimos.
No exitosa El intento no exitoso de un ataque DoS/DDoS. El ataque ha sido eliminado o mitigado por los
controles establecidos, y no se ha producido prdida significativa de servicio.
Acceso no Acceso no autorizado Se produce cuando un atacante obtiene acceso lgico o fsico a un equipo, sistema,
autorizado, robo o aplicacin, dato o cualquier recurso tcnico. El origen del ataque puede ser tanto externo
prdida de datos como interno.
Robo o prdida de Robo o prdida de equipamiento TIC, como pueden ser equipos porttiles, cintas de copias de
equipos seguridad, equipamiento de redes, etc.
Prdida de datos Prdida o copia de datos que comprometan a seguridad e integridad de los sistemas de la
organizacin, y que pueden ser consecuencia de la prdida o robo de equipos que contengan
datos como listas de usuarios, contraseas, certificados digitales, credenciales, diagramas de
red, documentacin tcnica de sistemas, etc.
Pruebas y Pruebas no autorizadas Esta categora incluye cualquier actividad que busca acceder o identificar sistemas, puertos
reconocimientos abiertos, aplicaciones, servicios, cuentas de usuarios, datos, o una combinacin de estos, para
un uso ilcito posterior.
Alarmas de sistemas de En esta categora se consideran aquellos eventos de seguridad (cortafuegos, sistemas de
monitorizacin deteccin de intrusos, filtrado web, etc.) que puedan ser significativos pero que no permitan
clasificar al incidente en alguna de las categoras establecidas.
Daos fsicos Daos o cambios fsicos Este tipo de incidentes se produce cuando un individuo sin autorizacin (interno o externo)
no autorizados a los consigue ganar acceso fsico a los equipos y realiza cambios o daos no autorizados.
sistemas
Abuso de Abuso de privilegios o Un individuo que realiza una violacin del uso adecuado de los sistemas y redes de la
privilegios y usos de polticas de seguridad organizacin.
inadecuados de la informacin
Infracciones de derechos La copia o el uso indebido o no autorizado de material publicado, patentado o en general
de autor o piratera protegido por derechos de propiedad intelectual.
Uso indebido de la Uso de elementos identificativos de la elementos de la marca corporativa (logos, imgenes,
marca etc.) en cualquier intento fraudulento para adquirir informacin sensible, como usuarios,
contraseas o cualquier otra informacin personal que permitan al atacante hacerse pasar por
la organizacin legtima vctima del incidente. Entraran en esta categora ataques de Phisihng
en que la organizacin es la vctima en tanto que es su imagen la que se est siendo empleada
para engaar a los usuarios. No se corresponderan a esta categora ataques en que el usuario
recibe mensajes de phising de otras organizaciones (por ejemplo bancos o redes sociales)..
Tabla 1 Categorizacin de incidentes

SIN CLASIFICAR
SIN CLASIFICAR
5. CRITERIOS PARA LA DETERMINACIN DE LA CRITICIDAD
20. Para poder dar el correcto seguimiento, determinar las prioridades y asignar recursos, es
esencial que para cada incidente se determine qu nivel de criticidad se le asigna.
21. Se emplearn una escala de criticidad con 5 niveles:
Nivel Nombre
1 BAJO/NULO
2 MEDIO
3 ALTO
4 MUY ALTO
5 CRTICO
Tabla 2 Niveles de Criticidad
22. Conviene destacar que estos niveles de criticidad son generales; la existencia de
prdidas en los servicios TIC, el nmero de usuarios afectados, el impacto econmico, o
la habilidad del equipo de seguridad del organismo pueden afectar a la hora de
determinar la criticidad del incidente. En caso de duda, se recomienda ponerse en
contacto con el CCN-CERT para mayor informacin y asistencia.
23. El nivel de criticidad de un determinado incidente podr ser modificado (tanto para
elevarlo como rebajarlo) si en el transcurso del proceso de su gestin cambiasen las
circunstancias o conocimiento que se tiene del mismo. De este modo, si el CCN-CERT
tuviese conocimiento de alguna circunstancia desconocida para el organismo afectado,
podr reclasificar el incidente al nivel que estime oportuno.
24. Nivel de criticidad BAJO

Se clasifican con este nivel de criticidad los casos de incidentes en que se tiene
constancia de la existencia de una amenaza que ha afectado o est afectando a
sistemas TIC de la organizacin pero que los controles de seguridad desplegados
estn funcionando y contrarrestan adecuadamente la misma y por tanto su
impacto es nulo o insignificante para la organizacin.
La organizacin ya debera estar capacitada para gestionar estos incidentes, y
tener desplegados controles que eliminen o limiten sus riesgos.
No es necesario reportar incidentes de impacto muy limitado o aquellos que
afecten a pocos usuarios no crticos. Estos incidentes deben ser gestionados por el
equipo local de respuesta a incidentes de seguridad o la organizacin de soporte
TIC.

SIN CLASIFICAR
SIN CLASIFICAR
25. Nivel de criticidad MEDIO

sistemas TIC de la organizacin Y se sabe que ha tenido un impacto limitado en
informacin considerada no crtica para la misin de la organizacin y/o
sistemas TIC no crticos en la arquitectura de los sistemas TIC de la
organizacin (p.e. equipos de usuario).
La organizacin ya debera estar capacitada para gestionar estos incidentes, y
tener desplegados controles que eliminen o limiten sus riesgos.
No es necesario reportar incidentes de este nivel de criticidad. Sin embargo, es de
gran utilidad que estos incidentes sean reportados al menos peridicamente, para
aumentar la comprensin de los riesgos que afectan a las AA.PP., mediante su
comparticin de forma agregada entre la comunidad y el CCN-CERT.
26. Nivel de criticidad ALTO

sistemas TIC de la organizacin Y se sabe que ha tenido un impacto
considerable (afectacin a la confidencialidad, disponibilidad o integridad)
en informacin considerada no crtica para la misin de la organizacin. y/o
sistemas TIC no crticos en la arquitectura de los sistemas TIC de la
organizacin (p.e. equipos de usuario).
27. Nivel de criticidad MUY ALTO

sistemas TIC de la organizacin Y se sabe que ha tenido un impacto
considerable (afectacin a la confidencialidad, disponibilidad o integridad)
en informacin considerada crtica para la misin de la organizacin y/o
sistemas TIC crticos en la arquitectura de los sistemas TIC de la
organizacin (p.e. elementos de seguridad perimetral de red, sistemas de
autenticacin centralizada, etc.).
Estos incidentes pueden afectar a la integridad o la confidencialidad de los datos,
lo cual puede resultar en la prdida directa de la organizacin y/o su reputacin.
Un incidente que representa una amenaza para un nmero limitado de sistemas,
puede poner en peligro los sistemas no crticos o no sensibles, y suponer un
esfuerzo de gestin considerable en los responsables de los sistemas.

SIN CLASIFICAR
SIN CLASIFICAR
28. Nivel de criticidad CRTICO

sistemas TIC de la organizacin Y se sabe que ha tenido un impacto muy
considerable (afectacin total de la confidencialidad, disponibilidad o
integridad) en informacin considerada crtica para la misin de la
organizacin y/o sistemas TIC crticos en la arquitectura de los sistemas TIC
de la organizacin (p.e. elementos de seguridad perimetral de red, sistemas de
autenticacin centralizada, etc.).
Estos incidentes suelen causar la degradacin de los servicios vitales para un gran
nmero de usuarios, implican una grave violacin de seguridad de la red, afectan
a los equipos vitales o servicios, o pueden daar la confianza pblica en la
administracin pblica, o incluso podran afectar la seguridad fsica de las
personas, causar una prdida irreversible de recursos de la organizacin, resultar
en cargos criminales, multas reglamentarias, o resultar en mala publicidad
indebida de la organizacin..
29. Se ofrece a continuacin una tabla resumen, y orientativa, de las diferentes clases y
tipos de incidentes y su criticidad ms habitual segn la categora (tal y como se define
en el ENS BAJO, MEDIO y ALTO) del sistema afectado, y teniendo en cuenta las
consideraciones antes citadas:
Criticidad segn categora del sistema de informacin

Clase de
Tipo de Incidente afectado definida por el ENS5
Incidente
BAJO MEDIO ALTO
Ataque dirigido MEDIO MUY ALTO CRTICO
Ataques
Modificacin de sitios web (Defacement) MEDIO ALTO MUY ALTO
Infeccin extendida MEDIO MUY ALTO CRITICO
Cdigo daino
Infeccin nica BAJO ALTO MUY ALTO
Denegacin de Exitosa BAJO ALTO* MUY ALTO*
servicio (DoS) No exitosa BAJO BAJO BAJO
Acceso no Acceso no autorizado MEDIO MUY ALTO CRTICO
autorizado, robo o Robo o prdida de equipos MEDIO MUY ALTO CRTICO
prdida de datos Prdida de datos MEDIO MUY ALTO CRTICO
Pruebas y Pruebas no autorizadas BAJO MEDIO ALTO
reconocimientos Alarmas de sistemas de monitorizacin BAJO MEDIO ALTO
Daos o cambios fsicos no autorizados a los
Daos fsicos
sistemas BAJO ALTO MUY ALTO
Abuso de Abuso de privilegios o de polticas de seguridad
de la informacin MEDIO ALTO MUY ALTO
privilegios y usos
inadecuados Infracciones de derechos de autor o piratera BAJO MEDIO ALTO
Uso indebido de la marca MEDIO ALTO MUY ALTO
30. Tabla 3 Matriz de determinacin del nivel de Criticidad ms habitual segn categora
del sistema afectado
5
Categora segn lo definido en el art. 43 y ANEXO I del ENS.
SIN CLASIFICAR
SIN CLASIFICAR
LA SIGUIENTE TABLA se mantiene por el momento en la versin de trabajo de este

documento y como referencia de otras opciones que se haban planteado. En la versin
definitiva a publicar se deber eliminar si es que no se ha decidido incluir en la versin a
publicar.
Clase de Criticidad segn alcance 6

Tipo de Incidente
Incidente Usuario Servidor Infraestructura
Ataque dirigido ALTO* MUY ALTO* CRTICO
Ataques
Modificacin de sitios web (Defacement) N/A ALTO* N/A
Infeccin extendida MEDIO MUY ALTO MUY ALTO
Cdigo daino
Infeccin nica BAJO MEDIO* MEDIO*
Denegacin de Exitosa N/A ALTO* MUY ALTO*
servicio (DoS) No exitosa N/A BAJO BAJO
Acceso no Acceso no autorizado MEDIO* MUY ALTO* CRTICO
autorizado, robo o Robo o prdida de equipos MEDIO* MUY ALTO* CRTICO
prdida de datos Prdida de datos MEDIO* MUY ALTO* CRTICO
Pruebas y Pruebas no autorizadas BAJO MEDIO ALTO
reconocimientos Alarmas de sistemas de monitorizacin BAJO* MEDIO* ALTO*
Daos o cambios fsicos no autorizados a los
Daos fsicos
sistemas BAJO* ALTO* MUY ALTO*
Abuso de Abuso de privilegios o de polticas de seguridad
de la informacin MEDIO ALTO N/A
privilegios y usos
inadecuados Infracciones de derechos de autor o piratera BAJO MEDIO N/A
Uso indebido de la marca MEDIO* MUY ALTO* N/A
Tabla 4 Matriz de determinacin del nivel de Criticidad ms habitual segn tipologa de incidente
*: o un nivel superior si el elemento afectado maneja informacin especialmente crtica o implementa algn
servicio especialmente crtico para la organizacin o de cara al pblico.
N/A: no aplicable
6
Ver consideraciones previas en puntos anteriores.
SIN CLASIFICAR
SIN CLASIFICAR
6. CRITERIOS PARA LA NOTIFICACIN, SEGUIMIENTO Y

CIERRE DE INCIDENTES
31. Con el fin de que la labor coordinadora del CCN-CERT sea realmente efectiva, se
establecen los siguientes criterios para la notificacin y seguimiento de los incidentes.
Los tiempos que se muestran dependern del Nivel de Criticidad.
6.1. REGISTRO Y NOTIFICACIN

32. Desde el momento en que se detecta que un evento de seguridad es un incidente, es
importante reaccionar dentro de un marco temporal adecuado a la criticidad del mismo.
Por lo tanto, las organizaciones debern registrar y comenzar a gestionar el mismo segn
lo establecido en la siguiente tabla que marca los plazos para registrar un incidente segn
su criticidad:
Nivel de criticidad Tiempo para registro interno
BAJO Lo antes posible, pero no ms de 1 mes desde la deteccin.

MEDIO Lo antes posible, pero no ms de 1 semana desde la deteccin.
ALTO En las 48h siguientes a la deteccin
MUY ALTO En las 12h siguientes a la deteccin
CRTICO En la 1h siguiente a la deteccin
Tabla 5 Tiempos objetivos para registro segn nivel de Criticidad
33. Para facilitar la coordinacin general de las Administraciones Pblicas en la resolucin

de incidentes, es importante que exista un intercambio de informacin sobre los
incidentes que estn producindose. Por tanto, los organismos de las AAPP debern
notificar a otros CSIRT constituidos en Espaa, ampliamente reconocidos7 y que den
servicio a la comunidad a la que el organismo pertenece, por ejemplo CSIRT de mbito
autonmico o CSIRT que dan soporte a distintas comunidades acadmicas. En caso que
un organismo de las AAPP estime que no existe un CSIRT que le d servicio
especficamente, ser el CCN-CERT quien realizar este papel de coordinador y de
apoyo a la resolucin.
Asimismo, el CCN-CERT deber ser notificado por los otros CSIRT coordinadores en
caso de incidentes de criticidad MUY ALTA o CRITICA.
En este sentido, se aplicarn los siguientes plazos para notificar al CSIRT coordinador
que le sea de aplicacin. Los plazos son dependientes de la criticidad del incidente y
tambin de si el organismo dispone o no de una unidad interna dedicada a la gestin de la
seguridad TIC.
7
CSIRT adherido a FIRST () y/o TERENA Trusted Introducer (http://www.trusted-introducer.org)
SIN CLASIFICAR
SIN CLASIFICAR
Nivel de Tiempo de respuesta para notificar al CSIRT Tiempo de respuesta para

criticidad coordinador notificar al CCN-CERT
(CCN-CERT u otro como CSITRTs autonmicos o (aplicables slo a los CSIRT
acadmcicos) coordinadores)
No existe capacidad Existe capacidad
interna de respuesta interna de respuesta
a incidentes a incidentes
BAJO Es recomendable No es necesaria la Anualmente
notificarlo en las 4 notificacin
das siguientes a la
deteccin
MEDIO Es recomendable No es necesaria la Anualmente
notificarlo en las 72h notificacin
siguientes a la
deteccin
ALTO Es obligatorio Es obligatorio Anualmente
notificarlo en las 48h notificarlo en las 48h
siguientes a la siguientes a la
deteccin contencin, o con
anterioridad si es
necesario la
colaboracin del
CSIRT coordinador8
MUY ALTO Es obligatorio Es obligatorio Es obligatorio notificarlo en las
notificarlo en las 12h notificarlo en las 12h 24h siguientes a la recepcin de
siguientes a la siguientes a la la notificacin hecha por el
deteccin contencin, o con afectado
anterioridad si es
necesario la
colaboracin del
CSIRT coordinador9
CRTICO Es obligatorio Es obligatorio Es obligatorio notificarlo en las
notificarlo en la notificarlo en la 12h siguientes a la recepcin de
primera hora siguiente primera hora siguiente la notificacin hecha por el
a la deteccin a la contencin, o con afectado
anterioridad si es
necesario la
colaboracin del
CSIRT coordinador 10
Tabla 6 Tiempos objetivos para la notificacin al CSIRT de coordinacin segn nivel de Criticidad
8
Una entidad local de respuesta a incidentes puede necesitar la colaboracin del CSRIT coordinador para tareas
de coordinacin y/o anlisis de la informacin del incidente para determinar las mejores estrategias de
contencin o erradicacin.
9
dem anterior nota
10
dem anterior nota
SIN CLASIFICAR
SIN CLASIFICAR
34. Con la finalidad de facilitar la labor de coordinacin y para preservar la

confidencialidad de la informacin relacionada con el incidente, el CCN-CERT y los
otros CSIRT coordinadores pondr a la disposicin de los organismos de la
Administracin Pblica los medios necesarios para poder realizar la notificacin de modo
seguro. En el caso del CCN-CERT, estos medios sern comunicados a travs de su
pgina web11.
35. La informacin relativa a incidentes clasificados con nivel de criticidad ALTO, MUY
ALTO o CRTICO siempre deber ser transmitidos por medios que garanticen su
confidencialidad y la autenticidad de la fuente.
36. De igual forma, con la finalidad de ofrecer un mejor servicio a la comunidad, se

requiere de los organismos de las AAPP y a los CSIRT coordinadores que les dieran
soporte, el reporte peridico anual al CCN-CERT de las estadsticas agregadas de los
incidentes que han sido gestionados.
El informe anual del ao en curso deber ser presentado a CCN-CERT antes del 15 de
Enero del ao siguiente. El CCN-CERT pondr a la disposicin de los organismos de la
Administracin Pblica los medios necesarios para poder realizar esta notificacin
agregada anual en forma y de modo seguro. Estos medios sern comunicados a travs de
la pgina web del CCN-CERT 12.
La informacin proporcionada debe contener datos de los incidentes registrados en el ao
organizado del siguiente modo:
Totales mensuales desglosado:
o Por criticidad
o Por categora de sistema (segn ENS)
o Por tipo de incidentes (segundo nivel de categorizacin de la Tabla 1
Categorizacin de incidentes)
o Coste de la gestin del incidente
! Horas / hombre
! Costes de adquisicin de nuevo hardware, software o servicios
profesionales de terceros directamente imputables a los incidentes.
Totales anuales desglosado:
o Por categora de sistema (segn ENS) y criticidad
o Por categora de incidentes (primer nivel de categorizacin de la Tabla 1
Categorizacin de incidentes) y nivel de criticidad
o Por categora de sistema (segn ENS) y categora de incidentes (primer
nivel de categorizacin de la Tabla 1 Categorizacin de incidentes)
11
A fecha de publicacin de esta gua: https://www.ccn-cert.cni.es
12
A fecha de publicacin de esta gua: https://www.ccn-cert.cni.es
SIN CLASIFICAR
SIN CLASIFICAR
6.2. SEGUIMIENTO AL CCN-CERT

37. Dentro de su labor de soporte y coordinacin para la resolucin de incidentes que sufra
la Administracin General, Autonmica o Local, el CCN-CERT requerir de respuestas
por parte del organismo afectado, en un tiempo determinado, siempre en funcin de la
criticidad de los incidentes:
Nivel de criticidad Seguimiento

BAJO El CCN-CERT no realizar seguimiento de incidentes de este nivel de
criticidad.
MEDIO El CCN-CERT no realizar seguimiento de incidentes de este nivel de
criticidad.
ALTO El CCN-CERT realizar el seguimiento de estos incidentes y espera que el
organismo afectado facilite respuesta a las consultas o propuestas de estrategia de
contencin o erradicacin en el plazo de 10 das naturales. Pasado este periodo
se realizar de nuevo la notificacin.
Si no se recibe respuesta pasados 20 das de esta segunda notificacin se cerrar
el incidente como sin respuesta por parte de la entidad.
MUY ALTO El CCN-CERT realizar el seguimiento de estos incidentes y espera que el
contencin o erradicacin en el plazo de 3 das naturales. Pasado este periodo se
realizar de nuevo la notificacin.
Si no se recibe respuesta pasados 4 das, se enviar de nuevo la notificacin. Si
en el plazo de 3 semanas desde esta tercera notificacin no se recibiera
contestacin (tercera) se cerrar el incidente como sin respuesta por parte de la
entidad.
CRTICO El CCN-CERT realizar el seguimiento de estos incidentes y espera que el
contencin o erradicacin en el plazo de 1 da natural. Pasado este periodo se
realizar de nuevo la notificacin.
Si no se recibe respuesta pasados 2 das, se enviar de nuevo la notificacin. Si en
el plazo de 4 das desde esta tercera notificacin no se recibiera contestacin
(tercera) se volver a enviar la notificacin y se repetir semanalmente hasta que
se cumpla 1 mes desde la notificacin del incidente, momento en que se cerrar el
incidente como sin respuesta por parte de la entidad.
Tabla 7 Tipo de seguimiento a realizar con CCN-CERT segn nivel de Criticidad
38. Al finalizar la gestin de un incidente coordinado por el CCN-CERT, los organismos de

las AAPP afectados, ya sea directamente o bien a travs del CSIRT coordinador que les
hubiera dado soporte, debern reportar por cada caso la siguiente informacin en el cierre
del incidente:
Criticidad del incidente: la valoracin final que se le hubiera dado.
Resumen de las acciones realizadas para:
o Contencin del incidente
o Erradicacin y resolucin del incidente
Impacto del incidente: medido en:
SIN CLASIFICAR
SIN CLASIFICAR
o Nmero de equipos afectados

o Valoracin del impacto en la imagen pblica del Organismo
o Dimensin/es (Confidencialidad, Integridad, Disponibilidad,
Autenticacin, Trazabilidad, Legalidad) de la seguridad afectada/s
o Porcentaje de degradacin sufrido en los servicios ofrecidos a los
ciudadanos
o Porcentaje de degradacin sufrido en los servicios internos del Organismo
o Valoracin del coste del incidente directamente imputable al incidente:
! en horas de trabajo
! Coste de compra de equipamiento o software necesario para la
gestin del incidente
! Coste de contratacin de servicios profesionales para la gestin del
incidente.
6.3. TIEMPO MXIMO OBJETIVO PARA CONTENCIN Y ERRADICACIN

39. La casustica propia de cada incidente hace que sea impredecible el momento en que
puede darse por contenido y erradicado. A continuacin se ofrece una tabla de tiempos
mximos objetivo para dar un incidente por contenido y, en su caso, por erradicado.
40. Los tiempos que se dan a continuacin deben ser los tiempos establecidos para el cierre
de un incidente y slo deberan ser superados en circunstancias especiales y, por
supuesto, justificables.
.
Nivel de criticidad Contencin Erradicacin
BAJO 3 meses 3 meses
MEDIO 1 mes 1 mes
ALTO 4 das naturales 14 das naturales
MUY ALTO 48 horas 72 horas
CRTICO 8 horas 24 horas
Tabla 8 Tiempos objetivos para contencin y erradicacin segn nivel de Criticidad
41. Los tiempos deben ser interpretados desde el momento de la deteccin.

SIN CLASIFICAR
SIN CLASIFICAR
7. MTRICAS E INDICADORES DEL PROCESO DE GESTIN

INCIDENTES
42. Con el fin de facilitar el intercambio de informacin entre distintas AA.PP. y establecer
parmetros comunes de comparacin de la eficacia y eficiencia de los procesos de gestin
de incidentes, es necesario disponer de un conjunto mnimo de indicadores que reflejen el
estado de funcionamiento del proceso. En este apartado se dar un conjunto mnimo y no
es bice para que las distintas AA.PP. implementen mtricas e indicadores adicionales.
43. Con el fin de permitir el clculo de mtricas, es necesario que se recoja un conjunto
mnimo de informacin adicional sobre un incidente. Por lo tanto, adems de los datos de
tipo y criticidad comentados en los apartados anteriores, de cada incidente registrado se
deber disponer de la siguiente informacin:
Fecha y Hora de deteccin del incidente (con el fin de realizar un anlisis post-
incidente, es interesante disponer de la informacin correspondiente a la fecha y
hora de inicio real del incidente para poder compararla con la fecha y hora de la
deteccin del mismo. Sin embargo, de cara al clculo de mtricas e indicadores no
se emplear este dato puesto que no siempre se podr determinar y en cambio s
que se dispondr siempre de la informacin del instante en que se detect)
Fecha y hora de contencin: Instante en que se inici la implementacin de la
estrategia de contencin (medidas de respuesta al incidente con el objeto de
controlar la situacin de riesgo y evitar que su alcance y daos causados se
amplen).
Fecha y hora de resolucin: Instante en que se puede dar por cerrado el incidente
al haber recuperado completamente el sistema y/o servicio (o sistemas/servicios
afectados) y erradicar la causa fundamental de ocurrencia del incidente
Categora del sistema de informacin afectado (si son varios ser el de mayor
nivel)
Dimensin de la seguridad afectada a saber: Confidencialidad, Disponibilidad e
Integridad (si las dimensiones trazabilidad y autenticidad se ven afectadas se
considerar como un caso en que se encuentra afectada la integridad de la
informacin)
44. Mtrica: en el contexto de esta gua se interpreta el concepto mtrica como un

aspecto medible que refleja el funcionamiento del proceso de gestin de incidentes. En
este sentido se definen las siguientes mtricas:
Proceso de contencin:
Porcentaje de incidentes, en que se ha visto afectada la disponibilidad de la
informacin, cuyo tiempo de contencin es menor o igual que 2h
Porcentaje de incidentes, en que se ha visto afectada la confidencialidad o
integridad de la informacin, cuyo tiempo de contencin es menor o igual que
2h

SIN CLASIFICAR
SIN CLASIFICAR
Porcentaje de incidentes , en que se ha visto afectada la disponibilidad de la

Porcentaje de incidentes , en que se ha visto afectada la confidencialidad o
12h
24h
informacin, cuyo tiempo de contencin es menor o igual que 4das
4das
informacin, cuyo tiempo de contencin es superior a 4 das
integridad de la informacin, cuyo tiempo de contencin es superior a 4 das
Proceso de Resolucin (Recuperacin y Erradicacin)
informacin, cuyo tiempo de resolucin es menor o igual que 4h
integridad de la informacin, cuyo tiempo de resolucin es menor o igual que
4h
24h
48h
informacin, cuyo tiempo de contencin es menor o igual que 1 semana
1 semana

SIN CLASIFICAR
SIN CLASIFICAR

informacin, cuyo tiempo de contencin es superior a 1 semana
integridad de la informacin, cuyo tiempo de contencin es superior a 1
semana
Documentacin y revisin de los incidentes
Porcentaje de incidentes de los que se ha registrado las acciones de
contencin, recuperacin y erradicacin
Porcentaje de incidentes del que se ha realizado un informe post-incidente
revisado por los responsables de la Informacin afectados por el incidente
45. Indicadores: en el contexto de esta gua se interpreta el concepto indicador como el

valor objetivo que ha de tomar una mtrica para considerarse que el proceso que se est
midiendo se est ejecutando de un modo eficaz.
46. El valor objetivo de los indicadores depender de la categora, tal y como se refleja en el
ENS, del sistema de informacin que sufre un incidente.
47. El indicador podr tomar 3 estados:
Estado del indicador Descripcin
CORRECTO El indicador en este estado refleja que los aspectos del proceso de
gestin de incidentes controlados por este indicador se estn ejecutando
correctamente
EN ALERTA El indicador en este estado refleja problemas en la eficacia de los

aspectos del proceso de gestin de incidentes controlados por este
indicador y sera recomendable una revisin de los procesos,
procedimientos y medios tecnolgicos que lo soportan para identificar
las causas de esta desviacin.
INCORRECTO El indicador en este estado refleja problemas graves en la eficacia de
los aspectos del proceso de gestin de incidentes controlados por este
indicador y sera necesaria una revisin de los procesos,
procedimientos y medios tecnolgicos que lo soportan para identificar
las causas de esta desviacin.

SIN CLASIFICAR
SIN CLASIFICAR
48. Se definen los siguientes indicadores para el proceso de gestin de incidentes:

Indicador
Umbral segn categora del sistema de informacin afectado
Mtrica BAJO MEDIO ALTO
Proceso de contencin:
Porcentaje de incidentes, en que se ha visto afectada
la disponibilidad de la informacin, cuyo tiempo de 0% - - 0% - - > 80% = 80% < 80%
contencin es menor o igual que 2h
Porcentaje de incidentes, en que se ha visto afectada
la confidencialidad o integridad de la informacin, 0% - - 0% - - > 90% = 90% < 90%
cuyo tiempo de contencin es menor o igual que 2h
Porcentaje de incidentes , en que se ha visto afectada
la disponibilidad de la informacin, cuyo tiempo de 0% - - > 33% = 33% < 33% > 90% = 90% < 90%
la confidencialidad o integridad de la informacin,
0% - - > 50% = 50% < 50% > 95% = 95% < 95%
cuyo tiempo de contencin es menor o igual que
12h
la disponibilidad de la informacin, cuyo tiempo de > 30% = 30% < 30% > 50% = 50% < 50% > 99% = 99% < 99%
> 50% = 50% < 50% > 90% = 90% < 90% = 100% - < 100%
24h

SIN CLASIFICAR
SIN CLASIFICAR
Indicador

la disponibilidad de la informacin, cuyo tiempo de > 66% = 66% < 66% > 90% = 90% < 90% = 100% - < 100%
contencin es menor o igual que 4das
= 100% - < 100% = 100% - < 100% =0% - >0%
4das
la disponibilidad de la informacin, cuyo tiempo de < 37% = 37% 37% =0% - >0% =0% - >0%
contencin es superior a 4 das
la confidencialidad o integridad de la informacin, =0% - >0% =0% - >0% =0% - >0%
cuyo tiempo de contencin es superior a 4 das
Proceso de Resolucin (Recuperacin y Erradicacin)

la disponibilidad de la informacin, cuyo tiempo de 0% - - 0% - - > 80% = 80% < 80%
resolucin es menor o igual que 4h
la confidencialidad o integridad de la informacin, 0% - - 0% - - > 90% = 90% < 90%
cuyo tiempo de resolucin es menor o igual que 4h
la disponibilidad de la informacin, cuyo tiempo de 0% - - > 33% = 33% < 33% > 90% = 90% < 90%

SIN CLASIFICAR
SIN CLASIFICAR
Indicador

0% - - > 50% = 50% < 50% > 95% = 95% < 95%
24h
la disponibilidad de la informacin, cuyo tiempo de > 30% = 30% < 30% > 50% = 50% < 50% > 99% = 99% < 99%
> 50% = 50% < 50% > 90% = 90% < 90% = 100% - < 100%
48h
la disponibilidad de la informacin, cuyo tiempo de > 66% = 66% < 66% > 90% = 90% < 90% = 100% - < 100%
contencin es menor o igual que 1 semana
= 100% - < 100% = 100% - < 100% =0% - >0%
cuyo tiempo de contencin es menor o igual que 1
semana
la disponibilidad de la informacin, cuyo tiempo de < 37% = 37% 37% =0% - >0% =0% - >0%
contencin es superior a 1 semana
la confidencialidad o integridad de la informacin, =0% - >0% =0% - >0% =0% - >0%
cuyo tiempo de contencin es superior a 1 semana

SIN CLASIFICAR
SIN CLASIFICAR
Indicador
Documentacin y revisin de los incidentes
Porcentaje de incidentes de los que se ha registrado

las acciones de contencin, recuperacin y 20% < 20% < 5% 40% < 40% < 10% 60% < 60% < 20%
erradicacin
Porcentaje de incidentes del que se ha realizado un
informe post-incidente revisado por los
No aplica No aplica No aplica 30% < 30% < 10% 50% < 50% < 20%
responsables de la Informacin afectados por el
incidente

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO A. GLOSARIO DE TRMINOS Y ABREVIATURAS

Trmino o
Definicin
abreviatura
CCN Centro Criptolgico Nacional
Centro Criptolgico Nacional-Computer Emergency Reaction Team (Equipo de
CCN-CERT
Respuesta a Emergencias en Sistemas informticos)
Fragmento de informacin que se almacena en el disco duro del visitante de una pgina
Cookies web cuando realiza una peticin al servidor. Esta informacin puede ser luego
recuperada por el servidor en posteriores visitas.
CVE Vulnerabilidades y amenaza comn (en ingls Common Vulnerabilities and Exposures).
Cyberstalking Ciberacoso (en ingls cyberstalking o ciberbullying).
C&C (Servidor) de Comando y Control (en ingls Command and Control).
ENS Esquema Nacional de Seguridad
Nuevo tipo de problema relativo a la seguridad de los menores en Internet, consistente

Grooming en acciones deliberadas por parte de un/a adulto/a de cara a establecer lazos de amistad
con un nio o nia en Internet con objetivos ilcitos.
Protocolo Ligero de Acceso a Directorios (en ingls Lightweight Directory Access

LDAP
Protocol).
PHP PHP Hypertext Pre-processor (inicialmente PHP Tools, o, Personal Home Page Tools).
Server Message Block protocolo de red (acta en la capa de aplicacin) para el acceso
SMB
a recursos compartidos como ficheros, impresoras, puertos serie, etc.
SQL Lenguaje de consulta estructurado (en ingls structured query language)
Secure SHell protocolo para el intercambio de informacin a travs de un canal

SSH seguro (la informacin es cifrada en la capa de aplicacin). Es usado habitualmente para
el acceso remoto a sistemas de los administradores de sistemas.
Protocolo de red (acta en la capa de aplicacin) que establece un canal bidireccional en

telnet
modo texto que facilita al cliente un terminal remoto virtual en el sistema accedido.
URL Localizador uniforme de recursos (en ingls de uniform resource locator).
Monitorizacin de lneas telefnicas o de Internet con el fin de interceptar (escuchar) su

Wiretapping
trfico.

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO B. REFERENCIAS
Rerefencia Referencia
[STIC403] Gua CCN-STIC 403: GESTIN DE INCIDENTES DE SEGURIDAD INFORMTICOS
[STIC401] Gua CCN-STIC 401: GUA DE SEGURIDAD DE LAS TIC: GLOSARIO Y ABREVIATURAS
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-
Glosario_y_abreviaturas/401/index.html
[ENS] Esquema nacional de Seguridad (Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica).
https://www.ccn-cert.cni.es/publico/ens/ens/index.html
[RFC4949] RFC 4949: Internet Security Glossary, Version 2.

http://tools.ietf.org/html/rfc4949

SIN CLASIFICAR

Gestion Incidentes Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestion Incidentes Seguridad

Uploaded by

Copyright:

Available Formats

SIN CLASIFICAR

GUA DE SEGURIDAD DE LAS TIC

Criterios comunes para la Gestin de Incidentes

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Editor y Centro Criptolgico Nacional, 2012

Tirada: 1000 ejemplares

Centro Criptolgico Nacional 2

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Flix Sanz Roldn

Centro Criptolgico Nacional 3

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Tabla 1 Categorizacin de incidentes ................................................................................................... 9

Centro Criptolgico Nacional 4

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

1. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Centro Criptolgico Nacional 8

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Clase de Incidente Tipo de Incidente Descripcin

Centro Criptolgico Nacional 9

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

5. CRITERIOS PARA LA DETERMINACIN DE LA CRITICIDAD

24. Nivel de criticidad BAJO

Centro Criptolgico Nacional 10

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

25. Nivel de criticidad MEDIO

26. Nivel de criticidad ALTO

27. Nivel de criticidad MUY ALTO

Centro Criptolgico Nacional 11

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

28. Nivel de criticidad CRTICO

Criticidad segn categora del sistema de informacin

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

LA SIGUIENTE TABLA se mantiene por el momento en la versin de trabajo de este

Clase de Criticidad segn alcance 6

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

6. CRITERIOS PARA LA NOTIFICACIN, SEGUIMIENTO Y

6.1. REGISTRO Y NOTIFICACIN

BAJO Lo antes posible, pero no ms de 1 mes desde la deteccin.

33. Para facilitar la coordinacin general de las Administraciones Pblicas en la resolucin

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Nivel de Tiempo de respuesta para notificar al CSIRT Tiempo de respuesta para

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

34. Con la finalidad de facilitar la labor de coordinacin y para preservar la

36. De igual forma, con la finalidad de ofrecer un mejor servicio a la comunidad, se

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

6.2. SEGUIMIENTO AL CCN-CERT

Nivel de criticidad Seguimiento

38. Al finalizar la gestin de un incidente coordinado por el CCN-CERT, los organismos de

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

o Nmero de equipos afectados

6.3. TIEMPO MXIMO OBJETIVO PARA CONTENCIN Y ERRADICACIN

41. Los tiempos deben ser interpretados desde el momento de la deteccin.

Centro Criptolgico Nacional 18

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

7. MTRICAS E INDICADORES DEL PROCESO DE GESTIN

44. Mtrica: en el contexto de esta gua se interpreta el concepto mtrica como un

Centro Criptolgico Nacional 19

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS

Porcentaje de incidentes , en que se ha visto afectada la disponibilidad de la

Centro Criptolgico Nacional 20

CCN-STIC-817 v1.0 Criterios comunes para la Gestin de Incidentes de Seguridad en el ENS