Política de Respuesta a Incidentes
1. Propósito
Establecer la capacidad de [ORGANIZATION] para prepararse, detectar, contener, erradicar y recuperarse de incidentes de ciberseguridad de manera estructurada y efectiva.
2. Alcance
Esta política se aplica a todos los incidentes de ciberseguridad que afecten los sistemas de información, datos y operaciones de [ORGANIZATION], independientemente de si se originan interna o externamente.
3. Política
3.1 Equipo de Respuesta a Incidentes
[ORGANIZACION] deberá establecer y mantener un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) con roles y responsabilidades definidos incluyendo: Comandante de Incidentes (coordinación general), Líder Técnico (análisis técnico y remediación), Líder de Comunicaciones (comunicaciones internas y externas), Enlace Legal (coordinación regulatoria y legal) y Patrocinador Ejecutivo (autoridad de decisión para incidentes mayores).
Los miembros del CSIRT deberán recibir capacitación en respuesta a incidentes al menos [PERSONALIZAR: anualmente] y participar en ejercicios de mesa al menos [PERSONALIZAR: semestral/anualmente].
La información de contacto de respuesta a incidentes 24/7 deberá mantenerse y comunicarse a todo el personal.
3.2 Clasificación de Incidentes
Los incidentes de seguridad deberán clasificarse por severidad:
| Severidad | Descripción | Tiempo de Respuesta | Escalamiento |
|---|---|---|---|
| Crítico (P1) | Violación de datos activa, ransomware, compromiso de sistema crítico, ataque en curso | [PERSONALIZAR: 15 minutos] | Notificación ejecutiva inmediata |
| Alto (P2) | Malware confirmado, acceso no autorizado a datos sensibles, explotación significativa de vulnerabilidad | [PERSONALIZAR: 1 hora] | Notificación al CISO dentro de 2 horas |
| Medio (P3) | Actividad sospechosa, violaciones de políticas, malware contenido | [PERSONALIZAR: 4 horas] | Notificación al Gerente de Seguridad |
| Bajo (P4) | Consultas de seguridad, violaciones menores de políticas, triaje de falsos positivos | [PERSONALIZAR: 1 día hábil] | Flujo de trabajo estándar |
3.3 Proceso de Respuesta a Incidentes
El proceso de respuesta a incidentes de [ORGANIZACION] deberá seguir estas fases: Preparación (mantenimiento de preparación y herramientas), Detección y Análisis (identificación y validación de incidentes), Contención (limitación del alcance e impacto), Erradicación (eliminación de la amenaza), Recuperación (restauración de operaciones normales) y Actividad Post-Incidente (lecciones aprendidas y mejora de procesos).
Todos los incidentes deberán documentarse en el sistema de seguimiento de incidentes de [ORGANIZACION] desde la detección hasta el cierre.
La evidencia deberá recopilarse y preservarse siguiendo procedimientos forenses sólidos para todos los incidentes P1 y P2.
Las revisiones post-incidente deberán realizarse dentro de [PERSONALIZAR: 5/10] días hábiles del cierre del incidente para todos los incidentes P1 y P2.
3.4 Obligaciones de Reporte
Todo el personal deberá reportar los incidentes de seguridad sospechosos a [PERSONALIZAR: Seguridad de TI/SOC/Mesa de Ayuda] inmediatamente al descubrirlos.
Las notificaciones de violación regulatoria deberán coordinarse por [PERSONALIZAR: Legal/Oficial de Privacidad] dentro de los plazos requeridos por la ley aplicable (por ejemplo, GDPR 72 horas, leyes estatales de notificación de violaciones).
Las personas afectadas deberán notificarse según lo requiera la ley, con el contenido de la notificación revisado por el área Legal.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos