NORMA FIRST RFC 2350 – EQUIPO DE RESPUESTA A INCIDENTES DE CIBERSEGURIDAD TEUNO
Versión 01 · Código NOR-SOC-14 · Aprobación 13/03/20261. Objetivo
El RFC 2350 tiene como objetivo brindar un estándar que describe las buenas prácticas y manejo de los incidentes, donde además se describe información relevante para la comunidad objetivo y público general que esté interesado en los servicios de dicho equipo.
2. Alcance
Este documento tiene como alcance los siguientes puntos:
- Indicar la descripción del servicio para los procesos de respuesta a incidentes de ciberseguridad dentro de la comunidad objetivo de TEUNO.
- Fortalecer los estándares de ciberseguridad para los procesos de TEUNO.
3. Definiciones
- CSIRT: equipo de respuesta a incidentes de ciberseguridad responsable de recibir, revisar y responder a informes y actividades sobre incidentes de ciberseguridad.
- RFC 2350: Estándar de buenas prácticas y manejo de incidentes de ciberseguridad.
4. Responsabilidades
N/A
5. Desarrollo
5.1. Información del documento
Este documento contiene la descripción de CSIRT – TEUNO de acuerdo con RFC 2350. Provee información básica sobre CSIRT – TEUNO como roles, responsabilidades y canales de comunicación.
5.1.1. Día de la última actualización
Versión 01 – 13 de marzo del 2026.
5.1.2. Lista de distribución para notificaciones
Los cambios a este documento no se distribuyen por una lista de correo. Los cambios son anunciados en el sitio web: https://www.teuno.com/csirt/RFC 2350.
5.1.3. Ubicación donde el documento puede ser localizado
La versión actual de este documento puede ser encontrada en: https://www.teuno.com/csirt/RFC 2350 (español e inglés).
5.1.4. Autenticando este documento
Este documento ha sido firmado por la autoridad de CSIRT – TEUNO.
5.2. Información de contacto
5.2.1. Nombre del equipo
5.2.2. Dirección
CSIRT – TEUNO
José María Ayora N39-162 y Vicente Cárdenas, Ed. Teuno, Planta Baja.
Distrito Metropolitano de Quito. 170507
5.2.3. Zona horaria
GMT / UTC – 5 horas.
5.2.4. Número de teléfono
+593 96 307 2998
5.2.5. Punto de contacto
Para notificaciones, reporte de incidentes y temas operativos de ciberseguridad, por favor contáctanos a: csirt@teuno.com
En caso de emergencia, póngase en contacto con nosotros por teléfono: +593 96 307 2998.
Nuestros días/horarios de atención son 365 días del año en un horario de 24/7.
5.2.6. Otras telecomunicaciones
5.2.7. Llaves públicas y cifrado de información
PGP para intercambios funcionales (notificaciones, informes de incidentes, etc.) con nuestros pares, socios y mandates.
5.2.8. Miembros del equipo
Gerente de operaciones y tecnología de TEUNO es la autoridad de CSIRT – TEUNO.
Gerente de SOC de TEUNO es el director adjunto del CSIRT – TEUNO.
El equipo incluye alrededor de 40 miembros del staff.
La lista completa de los miembros del equipo CSIRT – TEUNO no está disponible públicamente.
Los miembros del equipo se identificarán ante la parte informante con su nombre completo en una comunicación oficial sobre un incidente.
5.2.9. Información adicional
CSIRT – TEUNO es miembro de:
- ECUCERT – Red de confianza.
5.2.10. Constitución
5.2.10.1. Misión
El CSIRT – TEUNO tiene como misión prevenir, detectar, analizar, coordinar y responder a incidentes de ciberseguridad que afecten o puedan afectar a la comunidad objetivo, minimizando el impacto operativo, reputacional, financiero y contribuyendo a la mejora continua de la postura de ciberseguridad.
La operación se basa en los siguientes valores:
- Alto grado en el servicio y disponibilidad dentro de la operación.
- Respuesta eficaz ante ciberataques.
- Intercambio de información entre nuestros pares.
- Integridad y ética en el equipo de trabajo dentro de CSIRT – TEUNO.
- Ofrecer información sobre alertas de manera oportuna, accionable y fiable.
5.2.10.2. Comunidad objetivo
De conformidad con los lineamientos de FIRST, la comunidad objetivo del CSIRT – TEUNO se define como el propio TEUNO y el conjunto de clientes de TEUNO que reciben servicios de ciberseguridad.
5.2.10.3. Patrocinio y/o afiliación
CSIRT – TEUNO es propiedad, operado y financiado por GRUPO BRAVCO S.A. – TEUNO.
5.2.10.4. Autoridad
CSIRT – TEUNO opera bajo la autoridad de la Gerencia de operaciones y tecnología de TEUNO.
5.2.11. Políticas
5.2.11.1. Tipo de incidentes y nivel de soporte
Los incidentes de ciberseguridad, de acuerdo con su impacto al negocio, tendrán la clasificación de priorización: crítico (P1), alto (P2), medio (P3) y bajo (P4) de la siguiente manera:
| Prioridad | Impacto | Descripción | Urgencia |
|---|---|---|---|
| P1 | Muy alto impacto de negocio | Error de componente o de sistema importante. Error de funcionamiento con impacto crítico en la habilidad del cliente para realizar procesos de negocio completos. Ninguna solución alternativa o proceso manual disponible. Ninguna copia de seguridad activa o disponible. | Requiere que la resolución se ejecute hasta dentro de 4 horas |
| P2 | Alto impacto de negocio | Error de funcionamiento de componente o de sistema que causa un impacto en la habilidad del cliente para realizar procesos de negocio importantes. Ninguna solución alternativa o proceso manual disponible. Ninguna copia de seguridad activa o disponible. | Requiere que la resolución se ejecute hasta dentro de 8 horas |
| P3 | Moderado impacto de negocio | Error de funcionamiento de componente que no causa un impacto significativo en la habilidad del cliente para realizar procesos de negocio importantes. La solución alternativa o los procesos manuales se encuentran disponibles. Copia de seguridad disponible y activa. | Requiere que la resolución se ejecute hasta dentro de 16 horas |
| P4 | Bajo impacto de negocio | Error de funcionamiento de componente que no causa prácticamente ningún impacto en la habilidad del cliente para realizar procesos de negocio. La solución alternativa o los procesos manuales se encuentran disponibles. | Requiere que la resolución se ejecute hasta dentro de 32 horas |
5.2.11.2. Cooperación, interacción y divulgación de información
El CSIRT – TEUNO valora la cooperación operativa y el intercambio de información con otros CSIRT, la información relacionada a incidentes de ciberseguridad no se comparte sin la aprobación y autorización de las partes involucradas.
CSIRT – TEUNO opera bajo los limites impuesto en la legislación ecuatoriana.
CSIRT – TEUNO maneja de manera confidencial la información. La información suministrada a CSIRT – TEUNO será utilizada para ayudar a resolver incidentes de ciberseguridad. El CSIRT – TEUNO utiliza el TLP para el intercambio de información.
CSIRT – TEUNO responderá a un reporte de incidente entrante de los CSIRT pares en un plazo de dos días laborables.
5.2.11.3. Comunicación y autenticación
El CSIRT – TEUNO mantiene la comunicación mediante: buzón de correo electrónico utilizando el cifrado PGP publicado en la página web para tener una comunicación segura de acuerdo con el punto 5.2.7 de este documento.
5.2.12. Servicios
5.2.12.1. Detección y contención
- Monitoreo y triaje 24/7 de alertas.
- Contención automatizada de ataques.
5.2.12.2. Respuesta a incidentes
- Manejo de incidentes de ciberseguridad.
- Coordinación de respuesta a incidentes.
5.2.12.3. Actividades proactivas
- Modelamiento de actores de amenazas.
- Ejercicio de simulacro para manejo de respuesta a incidentes.
- Cacería de amenazas.
5.2.13. Forma de notificación de incidentes
Los incidentes de ciberseguridad deben ser reportados por correo electrónico a csirt@teuno.com
Cuando se reporte un incidente de ciberseguridad debe proporcionar la información de acuerdo con el estándar:
| Campo | Descripción |
|---|---|
| Fecha / Hora | La fecha y hora en que el incidente ocurrió o fue detectado. |
| Tipo de Incidente | Seleccionar el tipo de incidente de una lista (Phishing, Malware, Acceso No Autorizado, etc.) |
| Descripción del Incidente | Breve descripción del incidente o lo que ocurrió. |
| Activo afectado | Especificar si el incidente ocurrió en la computadora, teléfono o algún otro dispositivo. |
| Acciones realizadas | Indicar todas las actividades ejecutadas por el usuario como medida de atención previa al incidente. |
| Adjuntos (Si aplica) | Incluir archivos o capturas de pantalla relacionadas al incidente. |
| Prioridad | Indicar la severidad del incidente de acuerdo con: crítico, alto medio y bajo. De acuerdo con la clasificación del evento (P1 – P4). |
| Persona que Reporta | Nombre del usuario que reporta el incidente. |
| Organización | Nombre de la empresa a la que pertenece. |
| Correo Electrónico | Información del correo electrónico del usuario para seguimiento. |
| Teléfono de Contacto | Información del teléfono del contacto del usuario para seguimiento. |
| TLP | Etiquetado de información de acuerdo con el protocolo TLP |
6. Descargo de responsabilidad
El Equipo de Respuesta a Incidentes de Ciberseguridad CSIRT – TEUNO no se responsabiliza del mal uso que pueda darse de la información aquí contenida.
7. Referencias a otros documentos
N/A
8. Anexos
N/A