Gestión de Respuesta a Incidentes
Establecer un programa para desarrollar y mantener una capacidad de respuesta a incidentes (por ejemplo, políticas, planes, procedimientos, roles definidos, capacitación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque.
Plantillas de Políticas Relacionadas
Salvaguardas (9)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 17.1 | Designar Personal para Gestionar el Manejo de Incidentes | Responder |
IG1
IG2
IG3
|
7 | 5 |
| 17.2 | Establecer y Mantener Información de Contacto para Reportar Incidentes de Seguridad | Responder |
IG1
IG2
IG3
|
7 | 5 |
| 17.3 | Establecer y Mantener un Proceso Empresarial para Reportar Incidentes | Responder |
IG1
IG2
IG3
|
7 | 5 |
| 17.4 | Establecer y Mantener un Proceso de Respuesta a Incidentes | Responder |
IG2
IG3
|
7 | 5 |
| 17.5 | Asignar Roles y Responsabilidades Clave | Responder |
IG2
IG3
|
7 | 5 |
| 17.6 | Definir Mecanismos de Comunicación Durante la Respuesta a Incidentes | Responder |
IG2
IG3
|
7 | 5 |
| 17.7 | Realizar Ejercicios Rutinarios de Respuesta a Incidentes | Recuperar |
IG2
IG3
|
7 | 5 |
| 17.8 | Realizar Revisiones Post-Incidente | Recuperar |
IG2
IG3
|
7 | 5 |
| 17.9 | Establecer y Mantener Umbrales de Incidentes de Seguridad | Recuperar |
IG3
|
7 | 5 |
Detalles de Verificación de Auditoría
Designar una persona clave, y al menos un respaldo, que gestionará el proceso de manejo de incidentes de la empresa. El personal de gestión es responsable de la coordinación y documentación de los esfuerzos de respuesta y recuperación de incidentes y puede consistir en empleados internos de la empresa, proveedores externos o un enfoque híbrido. Si se usa un proveedor externo, designar al menos una persona interna de la empresa para supervisar cualquier trabajo de terceros. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener información de contacto para las partes que necesitan ser informadas de incidentes de seguridad. Los contactos pueden incluir personal interno, proveedores externos, fuerzas del orden, proveedores de seguro cibernético, agencias gubernamentales relevantes, socios del Centro de Análisis y Compartición de Información (ISAC) u otros interesados. Verificar los contactos anualmente para asegurar que la información esté actualizada.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un proceso empresarial para que la fuerza laboral reporte incidentes de seguridad. El proceso incluye el plazo de reporte, personal al que reportar, mecanismo de reporte y la información mínima a reportar. Asegurar que el proceso esté disponible públicamente para toda la fuerza laboral. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un proceso de respuesta a incidentes que aborde roles y responsabilidades, requisitos de cumplimiento y un plan de comunicación. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asignar roles y responsabilidades clave para la respuesta a incidentes, incluyendo personal legal, de TI, seguridad de la información, instalaciones, relaciones públicas, recursos humanos, respondedores de incidentes y analistas, según aplique. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Determinar qué mecanismos primarios y secundarios se usarán para comunicar y reportar durante un incidente de seguridad. Los mecanismos pueden incluir llamadas telefónicas, correos electrónicos o cartas. Tener en cuenta que ciertos mecanismos, como los correos electrónicos, pueden verse afectados durante un incidente de seguridad. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Planificar y realizar ejercicios rutinarios de respuesta a incidentes y escenarios para el personal clave involucrado en el proceso de respuesta a incidentes para prepararse para responder a incidentes del mundo real. Los ejercicios deben probar canales de comunicación, toma de decisiones y flujos de trabajo. Realizar pruebas de forma anual, como mínimo.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los objetivos de recuperación (RTO/RPO) están definidos y documentados.
Plan de recuperación con valores de RTO/RPO declarados
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de recuperación han sido probados y los resultados cumplen con los objetivos establecidos.
Informes de pruebas de recuperación que muestren RTO/RPO real vs. objetivo
Los procedimientos de recuperación se actualizan según los resultados de las pruebas y las lecciones aprendidas.
Procedimientos actualizados con historial de revisiones
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del plan de recuperación | Revisado anualmente |
| Registro | Resultados de pruebas de recuperación y lecciones aprendidas | Probado trimestralmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Realizar revisiones post-incidente. Las revisiones post-incidente ayudan a prevenir la recurrencia de incidentes mediante la identificación de lecciones aprendidas y acciones de seguimiento.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los objetivos de recuperación (RTO/RPO) están definidos y documentados.
Plan de recuperación con valores de RTO/RPO declarados
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de recuperación han sido probados y los resultados cumplen con los objetivos establecidos.
Informes de pruebas de recuperación que muestren RTO/RPO real vs. objetivo
Los procedimientos de recuperación se actualizan según los resultados de las pruebas y las lecciones aprendidas.
Procedimientos actualizados con historial de revisiones
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del plan de recuperación | Revisado anualmente |
| Registro | Resultados de pruebas de recuperación y lecciones aprendidas | Probado trimestralmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener umbrales de incidentes de seguridad, incluyendo, como mínimo, la diferenciación entre un incidente y un evento. Los ejemplos pueden incluir: actividad anormal, vulnerabilidad de seguridad, debilidad de seguridad, brecha de datos, incidente de privacidad, etc. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los objetivos de recuperación (RTO/RPO) están definidos y documentados.
Plan de recuperación con valores de RTO/RPO declarados
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los procedimientos de recuperación han sido probados y los resultados cumplen con los objetivos establecidos.
Informes de pruebas de recuperación que muestren RTO/RPO real vs. objetivo
Los procedimientos de recuperación se actualizan según los resultados de las pruebas y las lecciones aprendidas.
Procedimientos actualizados con historial de revisiones
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del plan de recuperación | Revisado anualmente |
| Registro | Resultados de pruebas de recuperación y lecciones aprendidas | Probado trimestralmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |