Atención de Incidentes y Respuesta de Emergencia SPEI

Recertificación SPEI 2025

Atención de Incidentes y Respuesta de Emergencia SPEI

Empezar

Atención de Incidentes y Respuesta de Emergencia SPEI

Objetivo del módulo

¿Qué voy a lograr hoy?

Identifica el procedimiento de manejo de incidentes de seguridad de información para la Infraestructura Tecnológica, Medios y Canales Electrónicos para la operación del SPEI en Crediclub.

¿Estás listo?

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Tema 1

Política de gestión de incidentes de seguridad

Quién participa y qué lineamientos se siguen

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Aplicabilidad

Política de gestión de incidentes de seguridad

¿A quién aplica esta política?

La política aplica para colaborades, terceros y/o visitantes que por alguna razón de negocio tengan acceso a:

• Instalaciones de Crediclub

• Activos de información

• Activos de procesamiento de información

• Infraestructura tecnológica

• Canales y medios tecnológicos

Si estás viendo este contenido, es porque tu papel es clave en SPEI y esta política también aplica a ti.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Responsabilidades

Haz clic en cada rol para conocer su papel en nuestra Política de gestión.

Roles clave de nuestra Política

Coordinador de Ciberseguridad

Oficial de Seguridad de la Información

Centro de Operación de Seguridad (SOC)

Departamento de Tecnología e Información

Supervisa el cumplimiento de la política y formaliza la gestión de incidentes

Ejecuta las acciones definidas en la política y el procedimiento SPEI.

Da atención a incidentes y garantiza la comunicación con las autoridades

Provee el soporte para la investigación de incidentes.

Leer más

Leer más

Leer más

Leer más

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Reporte de Incidentes

Reportar a tiempo

Nuestra primera línea de defensa

Los reportes de incidentes, anomalías o amenazas en la Infraestructura Tecnológica o sus Canales Electrónicos deben ser notificados a Banco de México por medio del FCCB-SI-02 Formato de Incidente.

Todas las notificaciones que los participantes envíen al Banco de México deberán ser firmadas electrónicamente por el Oficial de Seguridad de Información.

Los incidentes no terminan cuando ocurren; comienzan a gestionarse cuando se reportan. Notificar de forma adecuada garantiza que las autoridades y el equipo interno actúen con rapidez y eficacia

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Estrategia

Conoce la Política de gestión de incidentes

Preparación

Lecciones aprendidas

El departamento de Seguridad de Información debe establecer, documentar, distribuir y mantener procedimientos de escalación y de Respuesta de Incidentes para garantizar un manejo efectivo y oportuno de estas situaciones.

Identificar cualquier debilidad que pueda haber contribuido al incidente y a la definición de nuevos controles a implantar.

Erradicación

Identificación

Para concluir el incidente de manera exitosa se debe realizar una investigación para identificar la causa raíz.

La identificación de los incidentes puede venir de diferentes áreas de la organización.

Contención del incidente

Recuperación

Tan pronto como se detecte la existencia de un incidente, se debe tomar la acción para controlar y/o reducir el impacto del evento.

Tomar los pasos adecuados para llegar a la continuidad de procesos de negocio de la mejor manera.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Atención de alertas

Atención de Alertas de Autoridades

La señal que NO podemos ignorar

Se deben atender las alertas emitidas tanto por la Comisión Nacional Bancaria y de Valores y Banco de México en caso de ser aplicable.

En caso de incidentes que afecten la operación del SPEI, dependiendo el nivel de alerta que se emita, se deberá informar al Banco de México el estatus de dicho incidente en los tiempos establecidos en el Anexo “A” del Apéndice M del Manual de Operación del SPEI del Banco de México.

La respuesta oportuna a estas alertas protege a Crediclub

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes | Documentos

Registros y documentos de referencia

Documentos que nos dan evidencia y respaldo

Conoce los registros que respaldan la gestión de incidentes:

• FCCB-SI-02 Formato de Incidente: Sirve para registrar el incidente e informar a las autoridades de manera formal la atención del mismo.

• PCCB-SI-41 Procedimiento de respuesta a incidentes SPEI: Sirve para ayudarnos a llevar una correcta gestión de los incidentes de Seguridad Informática.

Ambos garantizan que cada incidente quede registrado y que su atención se gestione de manera correcta y ordenada

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Política de gestión de incidentes

Recuerda que...

La política de gestión de los incidentes SPEI es un documento oficial institucional que nos rige en cuanto a los lineamientos que debemos seguir para dar cumplimiento con la normatividad mexicana aplicable, la cual debe ser tomada en cuenta para los procesos que debamos seguir para la correcta gestión de los incidentes.

Tema 2

Procedimiento de respuesta a incidentes spei

Pasos y responsabilidades para reaccionar

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Responsabilidades

¿Quién actúa cuando ocurre un incidente?

El personal de Crediclub es el encargado de dar seguimiento a los incidentes operativos y de seguridad de información.

Centro de Operación de Seguridad (SOC)

Coordinador de Ciberseguridad

• Preparar todo lo necesario para identificar y responder a futuros incidentes
• Ser el primer nivel de soporte para atención del incidente en la infraestructura SPEI

• Ser Líder del equipo de respuesta de incidentes
• Capacitar al Equipo de Respuesta de Incidentes
• Instalar y configurar las herramientas de detección y respuesta a incidente

Oficial de Seguridad de la Información

Director de Operaciones y Mantenimiento TI

• Supervisar la correcta ejecución del procedimiento de gestión de incidentes SPEI
• Notificar los incidentes de seguridad a la Dirección General, Banco de México y/o Comisión Nacional Bancaria de Valores

• Realizar el diagnóstico
• Aplicar la solución correspondiente al incidente como segundo nivel de soporte.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Fases del procedimiento de respuesta a incidencias

La gestión de los incidentes de seguridad contempla acciones a realizar antes, durante y posterior a un incidente de seguridad en la infraestructura tecnológica SPEI:

Antes

Durante

Después

Documentación

Restauración y recuperación

Diagnóstico y atención

Identificación

Preparación

Establecer recursos, protocolos y medidas para anticiparse a incidentes

Confirmar el incidente, definir severidad y notificar

Analizar causas y contener el problema para evitar propagación

Restablecer la operación normal y asegurar estabilidad

Registrar acciones como evidencia para aprendizaje y mejora continua

Cada paso cuenta en la respuesta a incidentes. Descubre cómo funciona cada uno

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Antes de un Incidente

Preparación

Los responsables de realizar los preparativos para atender posibles incidentes son:

Los incidentes de la infraestructura tecnológica SPEI se registran en la aplicación web Splunk>, por otro lado, se lleva un registro ejecutivo de los incidentes en FCCB-SI-07 Bitácora de Incidentes

¿Conoces las herramientas de registro de incidentes?

Coordinador de Ciberseguridad

• Realiza la correcta instalación y configuración de las herramientas de detección y respuesta a incidentes.
• Lista los miembros del Equipo de Respuesta Incidentes.
• Capacita a los colaboradores involucrados, realizando ejercicios y pruebas de respuesta a incidentes.

Centro de Operación de Seguridad (SOC)

• Debe tener los recursos necesarios y protocolos para responder ante los incidentes presentados.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Durante de un Incidente

Identificación

Cuando se presenta un incidente los responsables son:

Coordinador de Ciberseguridad

• Registra el incidente en el formato FCCB-SI-07 Bitácora de Incidentes
• Informa al Oficial de Seguridad de Información para que éste a su vez de aviso a la Dirección General, Banco de México, y/o Comisión Nacional Bancaria de Valores.

Severidad

Tipo

Descripción

Tiempo de notificación

Interrupción completa

Interrumpe en su totalidad los procesos de envío y recepción, e impiden la apertura de conectividad en línea.

15-30 min

Afectación Parcial

Permite operar la aplicación, pero no de manera natural. Se ven afectados los procesos de envío y recepción.

30 min

Fallo de tolerancia

Falla de una función que no es crítica para la operación. Cuenta con una alternativa para su solución.

1-4 horas

Nivel de Severidad

Al hacer el registro del incidente se debe categorizar su tipo según la tabla de Nivel de Severidad:

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Durante de un Incidente

Identificación

Escala de alertas del Banxico

El Banco de México será el encargado de categorizar las alertas en: verde, amarilla, naranja y/o roja, según sea su consideración de acuerdo al reporte enviado.

Centro de Operación de Seguridad (SOC)

• Para poder comenzar a mitigar la incidencia, el SOC deberá describir todos los detalles ocurridos:

• ¿Dónde ocurrió el incidente?
• ¿Quién reportó o descubrió el incidente?
• ¿Cómo fue descubierto?
• ¿El incidente, comprometió diferentes áreas o clientes?, ¿a quiénes?

• ¿Quién lo descubrió?
• ¿Cuál es el alcance del impacto?
• ¿Cuál fue el impacto al negocio?

• ¿Han sido localizada(s) la(s) fuente(s) del incidente? ¿Cuáles son estas (Humana, Procesos, Tecnología, Externos, Seguridad Informática)?

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Durante de un Incidente

Contención: Diagnóstico y Atención

Da clic en los botones rosas para conocer los pasos para garantizar una atención adecuada al incidente:

Paso 7

Paso 5

Paso 3

Paso 1

Paso 8

Paso 6

Paso 4

Paso 2

Nota: La atención se realiza dependiendo el tipo y severidad del incidente (Niveles de Escalamiento). El Equipo de Respuesta a Incidentes realiza el reporte del incidente SPEI por medio del FCCB-SI-02 Formato de Incidente

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Durante de un Incidente

Restauración y Recuperación

El camino de regreso a la normalidad

En la fase de Restauración y Recuperación el objetivo principal es garantizar que los sistemas afectados regresen a su operación normal de manera segura, controlada y confiable.

Se debe de definir y planear el momento adecuado para restaurar los sistemas afectados de nuevo a producción.

Se deberán definir también las herramientas que se usarán para probar, monitorear y verificar que los sistemas restablecidos a producción funcionen adecuadamente y sin riesgos.

Una vez que los servicios son restaurados y validados, el incidente se considera cerrado. Este cierre se da únicamente cuando existe certeza de que el SPEI opera de forma estable y continua.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Metodología

Después de un Incidente

Documentación: Recolección de Evidencia

Registrar y resguardar la evidencia de cada acción que se tomo para atacar a la incidencia asegura transparencia, cumplimiento y aprendizajes para futuros incidentes

¿Toda la documentación del incidente ha sido escrita?

Si

No

Documenta lo más pronto posible en el FCCB-SI-02 Formato de Incidente para evitar dejar detalles fuera

Genera reporte de respuesta a incidentes para la reunión de lecciones aprendidas

Asumiendo que el reporte de respuesta a incidentes ha sido completado, la información escrita debe responder a las preguntas de cada fase del proceso de respuesta:

¿Quién? ¿Qué? ¿Por qué? ¿Dónde? ¿Cómo?

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Documentos

Registros y documentos de referencia

Documentos que nos dan evidencia y respaldo

Conoce los registros que respaldan el Procedimiento de Respuesta a Incidentes SPEI:

• FCCB-SI-02 Formato de Incidente: sirve para registrar la causa del incidente y documentar las remediaciones para evitar su replica.

• FCCB-SI-07 Bitácora de Incidentes: Para contar con un registro de todos los incidentes de seguridad que acontecieron en crediclub.

Ambos registros son la evidencia de que actuamos con transparencia y con el objetivo de mejorar.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Equipo de Respuesta a Incidentes

¿Quién responde cuando ocurre un incidente?

El éxito de la atención a incidentes depende de un equipo preparado y claramente definido. Cada integrante tiene un rol y responsabilidades específicas para asegurar una respuesta rápida y coordinada. ¡Conócelos! Da clic a la tabla para conocer al equipo, sus roles y medios de contacto

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta | Niveles de Escalamiento

Los niveles que marcan el ritmo de la respuesta

¿Recuerdas la tabla de categozarización de eventos disrruptivos que vimos en el módulo de Plan de Continuidad? Esa misma herramienta se aplica aquí para presentar los comunicados de los incidentes de seguridad SPEI, esta tabla define los tiempos de activación y los responsables en cada tipo de categoría. Teniendo esta herramienta a la mano aseguramos consistencia en todo el proceso de respuesta.

Responsable

Categoría

Duración del evento

Responsable

Coordinador de ciberseguridad

<30 minutos

Vía correo y/o teléfono

Incidente

Oficial de Seguridad de la Información

>30 minutos

Vía correo y/o teléfono

Emergencia

>2 horas

Crisis

Gerente SPEI (Líder BCP)

Vía correo y/o teléfono

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Procedimiento de respuesta

Recuerda que...

Es muy importante tener identificado el procedimiento de respuestas a incidentes SPEI, ya que en él se dictan los procesos a seguir ante la presencia de un incidente, además de presentar a cada uno de los encargados de dar atención en los diferentes niveles de soporte los cuales te podrán ayudar a darle seguimiento al caso específico que se requiera solucionar.

Resumen

Ahora estás más preparado para actuar

En este módulo aprendiste a:

• Conocer la Política de gestión de incidentes SPEI , sus responsabilidades y la forma de alertar oportunamente a las autoridades.
• Comprender el procedimiento de respuesta a incidentes , sus fases metodológicas y la relevancia de ejecutarlas de manera ordenada.
• Identificar los roles y responsabilidades de cada área en la atención de incidentes, así como el uso de registros y evidencia.
• Aplicar los tiempos de respuesta como herramienta clave para responder con oportunidad y minimizar el impacto de los incidentes.

Con estos aprendizajes ahora cuentas con los fundamentos necesarios para actuar de manera efectiva ante incidentes, garantizar la continuidad del SPEI y proteger la operación y confianza de nuestros clientes.

Este documento es de carácter CONFIDENCIAL. Toda la INFORMACIÓN textual y gráfica contenida en el presente documento, es y continuará siendo propiedad exclusiva de CREDICLUB, S.A., S.F.P. Su divulgación, retención y copia para uso personal o para uso de cualquier tercero, sea persona física o moral está prohibido por la ley, quedando CREDICLUB, S.A., S.F.P., facultado para ejercitar las acciones judiciales pertinentes

Has concluido este módulo, ¡felicidades!

Este módulo forma parte de la ruta de recertificación SPEI. Para algunos puestos puede ser el último que deban cursar; para otros, es la continuidad de su aprendizaje. Mantente al pendiente de los próximos módulos que se liberarán

Recuerda validar tu ruta de formación y avanzar según lo que te corresponda

El siguiente paso te acerca más a tu meta, ¡continúa!

Soporte Técnico Especializado (Fabricante), realiza diagnóstico del incidente con base a la información recabada por los dos niveles previos de soporte, contando con un SLA máximo de 10 horas.

Identificación

Estos incidentes pueden incluir, pero no se limitan a:

• Pérdida de confidencialidad en la información
• Que la integridad de la información haya sido comprometida
• Robo o daño de activos físicos de Sistemas incluyendo computadoras, dispositivos de almacenamiento, impresoras, etc.
• Ataque de Denegación de Servicio
• Mal uso de los servicios, información, o activos incluyendo el fraude
• Infección de los sistemas por malware o software no autorizado
• Intentos de acceso no autorizado
• Cambios no autorizados al hardware, software o a configuraciones de los sistemas
• Reportes de comportamiento inusual de los sistemas

• Violaciones potenciales a las leyes que involucre los activos tecnológicos
• Brecha de seguridad u intento no autorizado a los activos tecnológicos de información de Crediclub
• Conductas que pudiera infringir de manera total o en parte las Políticas de Seguridad de la Información
• Fallas en los sistemas críticos y que afectan la operación de negocio de Crediclub
• Acciones o intentos de utilizar, alterar o degradar algún sistema de tecnología de Información de Crediclub u operado
• Ataques a instituciones financieras
• Servicio afectado de la Infraestructura tecnológica
• Fallas en Aplicativo SPEI

Coordinador de Ciberseguridad

• Atender los incidentes de seguridad de la información en la Infraestructura Tecnológica, Medios y Canales Electrónicos.
• Recolectar la evidencia sobre el incidente y notificar al Oficial de Seguridad de Información para la notificación a la Dirección General, Banco de México y/o Comisión Nacional Bancaria y de Valores.

Recuperación

En esta etapa se debe garantizar que los sistemas sean regresados a su estado original. Se pueden ejecutar acciones como las siguientes:

• Recuperar Información desde un Respaldo
• Corregir información que haya perdido integridad o está dañada.
• Reiniciar un sistema
• Reemplazar un equipo.

Antes de la reanudación de operaciones, se debe realizar una revisión para confirmar que el sistema se encuentra de manera segura y protegida contra fallas y amenazas.

En caso de solucionar el incidente,se da aviso al Oficial de Seguridad de Información para continuar con la fase de Restauración y Recuperación.

Preparación

El procedimiento debe:

• Definir de manera clara el proceso de comunicación y estrategias para contactar a los involucrados en caso de que ocurra un incidente.
• Contar con un Equipo de Respuesta de Incidentes, quienes deberán manejar los incidentes y reducir el impacto hacia la operación.
• Contar con un plan de respuesta de incidentes que deber ser sometido a pruebas de manera anual.
• Capacitar al Equipo de Respuesta de Incidentes y otros que pudieran estar involucrados durante el proceso de respuesta de Incidentes, por lo menos una vez al año.

Lecciones aprendidas

Este último paso es clave porque asegura que el esfuerzo invertido en atender un incidente no se pierda. Analizar qué ocurrió, por qué sucedió y cómo se respondió permite fortalecer la seguridad, cerrar brechas y prevenir que el mismo problema se repita. En otras palabras, convierte una experiencia negativa en un motor de mejora continua para la organización

Oficial de Seguridad de la Información

• Revisar el cumplimiento de la política.
• Verificar la documentación y formalización del Centro de Operación de Seguridad (SOC).
• Notificar los incidentes relacionados a seguridad a la Dirección General, Banco de México, y/o Comisión Nacional Bancaria de Valores.

En caso de no contar con los recursos para poder resolverlo, se escala al segundo nivel de soporte (técnico).

El Director de Operaciones y Mantenimiento TI, realiza el diagnóstico y aplica la solución correspondiente al incidente, contando con un SLA de 2 horas

Contención

El procedimiento debe:

• Contar con escenarios específicos a incidentes comunes tales como, más no se limita a: detección de dispositivos no autorizados, intrusión en red, actividad fraudulenta, secuestro de información (ransomware), denegación de servicio, robo de datos, etc
• Establecer mecanismos para preservar las evidencias que permitan diagnosticar el origen del incidente para mantener el último estado del sistema y realizar una investigación detallada después de que se resuelva el incidente.
• Si el incidente ha puesto en peligro algún sistema, el sistema se debe aislar de la red.
• Si el sistema en riesgo es un sistema crítico y al aislarlo impacta de manera negativa al negocio o a la operación, el Equipo de Respuesta de Incidentes debe decir sobre el riesgo de continuar operando de manera continua o aislar el sistema.

En caso de requerir escalar el tema, se da aviso al tercer nivel de soporte (especializado)

Centro de Operación de Seguridad (SOC)

• Apegarse a los lineamientos establecidos en la Política de Gestión de Incidentes.
• Seguir y cumplir con los pasos definidos en el PCCB-SI-41 Procedimiento de Respuesta a Incidentes SPEI

Departamento de Tecnología e Información

• Proveer los mecanismos tecnológicos para investigaciones o análisis a realizar en el Procedimiento de Incidentes sobre los activos de Crediclub.

Notificar al Centro de Operación de Seguridad (SOC) en los tiempos establecidos dependiendo del tipo de incidente.

Solucionado el incidente,se da aviso al Oficial de Seguridad de Información para continuar con la fase de Restauración y Recuperación.

El incidente es analizado por el primer nivel de soporte (SOC), contando con un SLA de 1 hora.

Erradicación

En esta etapa se debe responder las siguientes preguntas para listar todos los detalles ocurridos:

• ¿Qué ocurrió y cuál fue el impacto?
• ¿Por qué pasó y cómo?
• ¿Qué se necesita realizar a lo largo para prevenir un incidente de naturaleza similar en el futuro?
• Identificar si alguna persona es culpable y si se requiere de una acción disciplinaria
• ¿Qué evidencia se requiere tener antes de implementar alguna actividad de recuperación de negocio?

Una vez que el incidente haya sido concluido se debe llenar el FCCB-SI-02 Formato de Incidente. Y este debe ser resguardado.