Atención de Incidentes de Seguridad

PA-0058 Procedimiento para Atención de Incidentes de Seguridad

Elaborado por: J. Omar Saif Aprobador: Christian Morris
Fecha de elaboración: 26/09/2018 Fecha de aprobación: 22/05/2019
Actualizado por: Silvia Rejas Fecha de actualización: 22/05/2019
Versión #: 2.1 Aplicado para: N1, N2, N3
Categoría: Incidente Estado: Activo
Frecuencia: A demanda Revisado por Blanca Castillo

1. OBJETIVO:

Este documento es un procedimiento de las acciones que se tienen que realizar cuando se presenta
un incidente de seguridad en la red administrativa.

2. ALCANCE:

Aplica cuando se detectan únicamente incidentes de seguridad para todas las sedes de EEP.

3. CONSIDERACIONES:

Para ejecutar el procedimiento de Dump de memoria se tiene que habilitar temporalmente el acceso
a USB del usuario en caso no lo tenga.

4. PROCEDIMIENTO:

4.1 MATRIZ DE RESPONSABILIDADES

N1: Nivel 1 de Mesa de Ayuda /N2: Nivel 2 de Mesa de Ayuda /N3: Nivel 3 Infraestructura

GSOC: Área perteneciente al grupo Engie

CISO: Oficial de Seguridad de la Información

ICS: Responsable del Sistema de control Industrial

 Atención de Incidentes de Seguridad

Actividad N1 N2 N3 GSOC SIO

1. Detección del Incidente de Seguridad

¿Lo tiene considerado HD?:
X X X
Si: Seguir paso 2
No: Seguir paso 4
2. Informar a GSOC
X

3. GSOC de acuerdo a la hora que se notifica se debe

escalar y determinará el impacto.
¿En horario de oficina Hora Paris?
SI: Informar a SOC
NO: Informar a COP X
¿Es critico?
SI: Alerta Critica (en este caso call SOC/COP)
NO: Severidad estándar

4. Generación y derivación de ticket

¿Hay Onsite en sede?:
SI: Seguir paso 9 X
NO: Seguir paso 5

5. Ejecutar procedimiento de Dump de memoria

X

6. Deshabilitar el puerto de red del equipo.

X

7. Ejecución de descarte inicial en la consola KV X

8. Escalamiento con proveedores

¿Es Firewall administrable?
X
Si: Escalar a TN y seguir paso 11
No: Informar al responsable ICS/Responsable de seguridad IT.
9. Realizar la limpieza y obtener evidencia en sitio X

10. Enviar a GSOC la evidencia de la revisión realizada de

X X
acuerdo a sus sugerencias.
11. GSOC confirma cerrando el caso SIRP X
12. Cierra ticket aranda. X

4.2 DESCRIPCIÓN

1. Detección del Incidente de Seguridad

GSOC podrá detectar/generar tickets de incidentes de Seguridad y enviará la alerta a través de lista
de distribución “DL-EEP-Alertas ICSS alertasicss.eep@engie.com”, en base a los logs gestionados
por GSOC.
Alcance GSOC: Consola Antivirus, Firewalls de Perímetro, Firewalls de frontera IT/OT, entre otros
 Atención de Incidentes de Seguridad

equipos monitoreados.
El CISO, ICS Manager, Responsable ICS o personal de Infraestructura IT podrán detectar/generar
tickets de incidentes de Seguridad y enviarán el detalle del incidente por correo a HD.
En el ticket GSOC, CISO, ICS Manager, Responsable ICS o personal de infraestructura IT deberá
clarificar si es un equipo Administrativo o Industrial.
¿Lo tiene considerado HD?: En caso HD tenga reporte de algún incidente de seguridad debe
reportarlo al grupo siguiendo los escalamientos establecidos, según criticidad.
Si: Seguir paso 2
No: Seguir paso 3

Ejemplo de incidente de seguridad enviada por SOC

Ejemplo de incidente de seguridad enviada por SIO

2. Informar a GSOC:
HD(N1) debe informar al grupo que se ha detectado un incidente de seguridad, por cualquiera
de los medios recibidos del punto 1.

3. GSOC de acuerdo con la hora que se notifica se debe escalar y determinará el impacto.

El incidente reportado por HD al GSOC determinará mediante su análisis en interno, el impacto

y lo revisará de acuerdo con el horario reportado (realiza su escalamiento interno).
¿En horario de oficina Hora Paris?
 Atención de Incidentes de Seguridad

SI: Informar a SOC

NO: Informar a COP
¿Es critico?
SI: Alerta Critica (en este caso call SOC/COP)
NO: Severidad estándar

CONTACTOS
GSOC +33149188559 email: soc@engie.com
Javier Gonzalez +33670108397 email: Javier.gonzalez1@engie.com
Nicolas Viellard +33760314725 email: nicolas.viellard@engie.com

COP email: cop@engie.com

0800340970(France)
+33170990970 (international)
+33149188838 (backup number)

Por ejemplo, Si se detecta infección en un file server se considera crítico y debe ser reportado
de inmediato. HD debe continuar con el procedimiento establecido de notificación.

4. Generación y derivación de ticket

N1 generará ticket por el incidente de seguridad, ejecutará las actividades y coordinaciones

con N2 y N3 según corresponda.
¿Hay onsite en sede?
Si: Seguir paso 5.
No: Seguir paso 6.

5. Ejecutar procedimiento de Dump de memoria

N3 ejecuta el procedimiento de Dump de memoria solo si GSOC y/o el Oficial de Seguridad lo
solicitan. Dicho proceso debe ser aplicado en ambas redes IT/OT, este proceso se debe hacer
antes de la remediación (formateo, etc.)
Detalles del procedimiento:
 Desconectar el equipo de la red: Aislar el equipo y realizar la revisión, pueden generar
un booteable del antivirus KV (realizar una actualización previa en otro equipo).
 No se debe apagar el equipo para mantener el rastro del virus (por donde ingresó, a
que se conectó, etc.). Esto es para tener un informe completo luego del Dump de
memoria.
Ver MO-0136 Recolección de memoria.

6. Deshabilitar el puerto de red del equipo:

 Atención de Incidentes de Seguridad

Para el caso de Yuncan y Quitaracsa se debe coordinar con N3 para

deshabilitar el puerto de red como primera acción y posteriormente revisar el equipo cuando
se tenga onsite en sede. En el caso sea necesario se llevará un equipo en su reemplazo del
infectado, previa coordinación y revisión de stock de equipos informáticos. Asimismo, se debe
realizar el mismo procedimiento del punto 5.
7. Ejecución de descarte inicial a nivel de la consola de Kaspersky

N3 ejecutará descartes básicos y tomará acción de acuerdo a las indicaciones previamente

informadas por GSOC y/o el Oficial de Seguridad (a nivel de KV).
8. Escalamiento con proveedores:
¿Es red administrativa?
SI: N3 debe escalar con proveedor Think Network
No: Se debe informar con el proveedor Supra
Firewalls:

Firewalls IT: Con el proveedor Think Network (Palo Alto Ilo, Lima administrado por N3).
Firewall FORTINET(OT): Con el proveedor SUPRA (uso de red industrial).

9. Realizar la limpieza y obtener evidencia en sitio:

Realizar la revisión del equipo y obtener las evidencias necesarias de lo encontrado y la
limpieza realizada.

 Desconectar el equipo de la red: Aislar el equipo y realizar la revisión, pueden generar

un booteable del antivirus KV (realizar una actualización previa en otro equipo).
 No se debe apagar el equipo para mantener el rastro del virus (por donde ingresó, a
que se conectó, etc.). Esto es para tener un informe completo luego del Dump de
memoria.

10. Enviar a GSOC la evidencia de la revisión realizada de acuerdo a sus sugerencias:

La información extraída del equipo alertado (dump memory) debe ser enviada al grupo una
vez terminada la limpieza mediante el One Drive con el consultor.

11. GSOC/ CISO confirma cerrando el caso SIRP

GSOC/ CISO una vez que recibe la información levantará el ticket incidente registrados por
ellos en el SIRP, en todo correo debe estar en copia Christian Morris y Alvaro Monjaras.
12. Cierra ticket aranda:
HD una vez que reciba la confirmación del grupo cerrará el caso.
 Atención de Incidentes de Seguridad

5. DIAGRAMA DEL FLUJO:

INCIDENTE DE SEGURIDAD
WINDOWS

Las notificaciones son enviadas a través de la DL-EEP-Alertas Horario de oficina SI Call GSOC
INICIO ICSS <alertasicss.eep@engie.com> por GSOC/ SIO Es critico? EMAIL
GSOC

El CISO, ICS Manager, Responsable ICS o personal de En que horario fue

Infraestructura IT podrán detectar/generar tickets de enviado la notificación?
1.- Detecta Incidente de No
incidentes de Seguridad y enviarán el detalle del incidente por
Seguridad y envía correo para la
correo a HD.
revisión
SIRP
En el ticket GSOC, CISO, ICS Manager, Responsable ICS o Es severidad ACCESS 11.- GSOC confirma
Create SIRP
24 H Estándar? cerrando el caso SIRP
personal de infraestructura IT deberá clarificar si es un equipo Todo correo debe ser con
Es critico?
GSOC/SIO

Administrativo o Industrial. No copia a Christian M. y Alvaro

GSOC manejará / Monjaras
No SIRP coordinará el incidente de
ACCESS seguridad
Send and
3.- GSOC de acuerdo a la hora email
To GSOC
que se notifica se debe escalar y
determinará el impacto. Póngase en contacto con el
personal de respuesta a
Call COP incidentes / GSOC / SERT / Otros
¿Lo detecta HD? SI EMAIL COP actores.
No

Si

12.- Cierra ticket aranda.

4.- Generación y
derivación de ticket
2.-Informar a GSOC
N1

¿Hay Onsite en 10.- Enviar a GSOC la

evidencia de la revisión. FIN
Si sede?

No

8.- Escalamiento
con proveedores
5.- Ejecutar 6.- Deshabilitar el
procedimiento de puerto de red del
Dump de memoria equipo.
Informar al responsable
¿Es red
No del ICS/ Responsable de
administrativa?
seguridad IT
N3

SI

7.- Ejecución de
descarte inicial en
la consola KV Escalar con proveedor
Think Network

9.- Realizar la limpieza y

obtener evidencia en sitio
N2

No se debe apagar el
Sacar el equipo
equipo, realizar la limpieza
de la red
y tomar las evidencias
 Atención de Incidentes de Seguridad

6. CONTROL DE CAMBIOS

Autor Descripción Versión Fecha Aprobador:

J. Omar Saif Creación del documento 1.0
Actualización del
Silvia Rejas 2.0 16/05/2019
documento
Actualización del
Alvaro Monjaras 2.1 22/05/2019 Christian Morris
documento, punto 4.2