Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Listados oficiales de contactos, configuraciones del sistema de tickets, capturas de formularios de reporte o actas de comunicación interna que evidencien quiénes son los puntos de contacto habilitados para la recepción de eventos de seguridad.  

Planillas de contacto de actores clave, directorios de emergencias, bases de datos internas, anexos al plan de gestión de incidentes o extractos de herramientas de respuesta que permitan verificar que están identificadas y registradas las personas y entidades relevantes ante un incidente.  

Capturas de sistemas de tickets, plataformas de monitoreo, consolas de SIEM, herramientas de análisis forense o documentación técnica de las soluciones utilizadas que permitan constatar que se cuenta con herramientas tecnológicas para apoyar la gestión de incidentes. 

Procedimiento aprobado, diagramas de flujo, fichas por etapa o manuales operativos que detallen las fases de detección, registro, análisis, contención, erradicación y cierre, y que permitan verificar que hay una guía estructurada para abordar incidentes. 

Documento de política vigente y aprobado que establezca los lineamientos institucionales para la gestión de incidentes de seguridad, incluyendo su alcance, objetivos, roles y principios rectores. 

Registros de capacitación, correos institucionales, logs de accesos a intranet, actas de talleres o evidencias de envío que permitan confirmar que la política de gestión de incidentes fue comunicada a las partes interesadas.  

Informes de auditoría, cronogramas ejecutados, hallazgos documentados o registros de actividades de verificación que evidencien que se realizan auditorías internas sobre cumplimiento de la política y procedimientos de gestión de incidentes. 

Actas de comunicación al RSI, informes de seguimiento, planes de acción o tickets de remediación que permitan verificar que se informan los resultados de auditoría y se actúa sobre los desvíos detectados. 

Tickets de escalamiento, registros de correo, actas de reunión, protocolos de notificación o logs del sistema de gestión que evidencien que los eventos anómalos son informados a personas con capacidad de articular respuestas.   

Lineamientos aprobados, anexos a políticas o procedimientos, tablas de categorización, instructivos operativos o formatos utilizados que permitan verificar que existe una forma definida para clasificar los incidentes por tipo y criticidad. 

Procedimiento documentado, criterios en el sistema de tickets, manuales de respuesta o actas de capacitación que permitan constatar que existe una lógica definida para identificar cuándo múltiples eventos conforman un incidente.  

Procedimientos internos, criterios legales incorporados en el plan de respuesta, ejemplos documentados, referencias a la Ley 20.327 o actas de consulta con asesores jurídicos que evidencien que la organización ha definido cómo identificar cuándo un evento de seguridad debe ser clasificado como posible delito y canalizado conforme a la normativa aplicable. 

Matrices de severidad, registros de clasificación, ejemplos documentados, formularios de incidentes o configuraciones de herramientas que evidencien el uso de una escala estructurada para clasificar los incidentes. 

Procedimientos operativos, tablas de respuesta, instructivos por nivel de severidad o configuraciones de SLA en sistemas que permitan verificar que existen tiempos y acciones predefinidas para cada categoría de incidente. 

Documento de procedimiento vigente, plantillas de análisis de impacto, registros de aplicación en incidentes anteriores o reportes forenses que evidencien que el análisis de impacto forma parte integral de la gestión de incidentes. 

Secciones del procedimiento donde se detallen criterios de escalamiento, matrices de decisión, diagramas de flujo o registros de escalamiento que permitan verificar la existencia de reglas claras basadas en activos, criticidad y severidad. 

Capturas de consolas de SIEM, sistemas de tickets, logs de ingreso de incidentes o documentación de herramientas utilizadas que evidencien que se cuenta con soporte automatizado coherente con el procedimiento definido. 

Matriz de categorías vs. acciones, procedimientos técnicos, playbooks operativos o configuraciones del sistema de respuesta que permitan constatar que las acciones definidas están alineadas al plan de respuesta institucional. 

Actas de revisión, versiones históricas de las escalas, análisis de cambios, informes de adecuación o reportes de tendencias que evidencien que se revisan periódicamente las categorías considerando cambios en amenazas o en el negocio. 

Reportes estadísticos, tableros o dashboards, gráficos mensuales, entregables del área de seguridad o registros de reuniones que permitan verificar el uso de datos históricos categorizados. 

Planes de mejora, registros de revisión de controles, análisis posterior al incidente, evidencia de implementación de medidas preventivas o comparativas de control que evidencien que las estadísticas se usan para fortalecer la postura de seguridad. 

Registros de notificación, correos enviados, tickets de coordinación, extractos del procedimiento o actas de respuesta que evidencien que los reportes se realizan conforme a los criterios del equipo de respuesta correspondiente (CERTuy, otro externo o interno).  

Registros de notificación a la URCDP, correos institucionales, tickets cerrados, copias de formularios enviados o actas internas que permitan constatar que se informa conforme a la normativa vigente en casos que involucran datos personales. 

Registros de denuncias realizadas, correos institucionales con documentación adjunta, actas de decisión o comunicaciones formales con asesoría legal que evidencien que la organización canaliza ante la Unidad de Cibercrimen del Ministerio del Interior aquellos incidentes que pueden constituir un delito según la normativa vigente. 

Planillas de registro, entradas en el sistema de gestión de incidentes, capturas de logs de notificación o historiales de mensajes que evidencien las comunicaciones efectuadas, con detalle de hora, contenido y destinatario.  

Documento vigente aprobado que defina cómo, cuándo y a quién se comunica un incidente, incluyendo flujos, responsabilidades y medios de contacto habilitados. 

Actas de revisión, versiones anteriores del procedimiento, informes de cambios normativos o recomendaciones del CERTuy que permitan verificar que el procedimiento es actualizado regularmente. 

Cronogramas de simulacros, informes de ejecución, registros de tiempos de respuesta, capturas del sistema o reportes de evaluación que evidencien que se realizaron pruebas para validar la eficacia del canal de reporte. 

Informes de auditoría interna o externa, hallazgos documentados, recomendaciones implementadas o cronogramas ejecutados que permitan constatar que se auditan los mecanismos de notificación de incidentes. 

Tickets de incidentes, formularios de notificación, registros de aplicación del procedimiento, capturas del sistema o reportes de eventos que permitan verificar que los incidentes se reportan conforme a pautas definidas por la organización.  

Registros de asistencia, materiales de formación, encuestas de comprensión, logs de acceso a manuales o actas de sesiones informativas que evidencien que el personal fue instruido en cómo reportar incidentes de seguridad. 

Entradas en el sistema de gestión de incidentes, planillas de registro, historiales de incidentes o capturas de herramientas que permitan constatar que todos los incidentes son registrados. 

Historias de incidente, auditorías del ciclo de vida del incidente, gráficos de línea de tiempo o reportes exportados desde la herramienta de gestión que evidencien la trazabilidad desde la detección hasta el cierre. 

Procedimiento aprobado, plantilla de registro o campos en la herramienta utilizados para documentar fecha, tipo de incidente, activos afectados, estado y demás información relevante. 

Capturas de sistemas como SIEM, consolas de monitoreo, plataformas de tickets o logs de automatización que permitan verificar que el reporte y registro se realiza mediante herramientas automatizadas. 

Informes de verificación interna, listas de verificación de cumplimiento, reportes de auditoría cruzada o matrices de control que permitan constatar que se revisa el cumplimiento del procedimiento de reporte. 

Versiones actualizadas del procedimiento, actas de revisión, acciones correctivas documentadas o tickets de mejora que evidencien que los resultados de las actividades de control se utilizan para ajustar el procedimiento. 

Diagramas de flujo de respuesta, protocolos operativos, instructivos técnicos o anexos del procedimiento que evidencien los mecanismos definidos para responder ante incidentes.  

Registros de incidentes atendidos, tickets de contención, reportes posteriores al incidente o bitácoras de acciones ejecutadas que permitan verificar que se actúa para mitigar consecuencias. 

Informes forenses, actas de solicitud de análisis, capturas de herramientas especializadas o bitácoras de intervención que evidencien la realización de análisis forense ante incidentes relevantes. 

Procedimiento de preservación de evidencias, instructivos de cadena de custodia, formularios utilizados o anexos forenses que permitan constatar que se define cómo garantizar la integridad de la evidencia.  

Listados de acciones de contención por tipo de incidente, plantillas de respuesta inmediata, registros de activación de contención o instructivos de mitigación que evidencien cómo se reduce el impacto en el entorno operativo. 

Planes de remediación documentados, reportes de tareas posteriores al incidente, evidencias de aplicación de medidas correctivas o matrices de acciones que permitan verificar la existencia de planes específicos de remediación. 

Documento formal y vigente que describa fases, roles, actividades y responsabilidades de la respuesta ante incidentes de seguridad de la información. 

Manuales, procedimientos o guías técnicas específicas que regulen la ejecución de análisis forense digital en la organización. 

Designación formal, descripción de roles, organigrama, acta de asignación o referencias explícitas en el plan que permitan identificar claramente al responsable designado. 

Política de gestión de incidentes que incluya la revisión de la estrategia de respuesta, instructivo para actualización periódica, plantillas de evaluación de efectividad o criterios documentados que permitan verificar que existe una línea base de revisión estratégica de gestión de incidentes. 

Actas de revisión, cronogramas ejecutados, listas de procesos evaluados o informes de adecuación que evidencien que se revisan regularmente los procesos que afectan servicios críticos. 

Informes de incidentes enviados a la dirección, correos electrónicos institucionales con adjuntos o registros de envío, actas de reunión donde se haya discutido el incidente, tickets o registros de escalamiento con destinatarios identificados, o registros del sistema de gestión de incidentes que indiquen su derivación a niveles directivos. 

Cronograma de pruebas, informes de simulacros, resultados de ejercicios de respuesta o registros de participación que permitan verificar que el plan se prueba al menos una vez al año. 

Informes de incidentes entregados, actas de comité, registros de comunicaciones que evidencien que los principales responsables reciben información periódica sobre incidentes. 

Informes de auditoría interna, listas de chequeo, hallazgos registrados o planes de mejora derivados que evidencien que se audita el cumplimiento del plan o procedimiento de respuesta. 

Versiones revisadas del plan, matrices de cambios, actas de revisión o evidencia de incorporación de lecciones aprendidas que permitan constatar que las mejoras detectadas se integran en la estrategia. 

Tableros o dashboards, reportes de KPIs, métricas operativas o entregables de gestión que permitan verificar que se generan y utilizan indicadores para el control de la respuesta a incidentes. 

Registros posteriores al incidente, actas de reuniones técnicas, formularios de análisis retrospectivo o matrices de causas raíz que evidencien que se identifican, registran y analizan lecciones aprendidas específicamente de incidentes vinculados al centro de procesamiento de datos. 

Reportes consolidados, análisis centralizados de incidentes, actas del comité de seguridad, planillas compartidas o herramientas de gestión que permitan constatar que se capturan y analizan lecciones aprendidas de incidentes en toda la organización.  

Correos de difusión, informes ejecutivos, presentaciones institucionales, minutas de reuniones interáreas o publicaciones internas que evidencien que las lecciones aprendidas son compartidas con los actores relevantes.  

Capturas de sistemas de gestión, funcionalidades específicas en plataformas de tickets, bases de datos internas o formularios digitales que permitan verificar que se utilizan herramientas específicas para registrar y dar seguimiento a las lecciones aprendidas.  

Versiones actualizadas de planes de respuesta, anexos de mejoras, evidencias de revisión periódica o decisiones justificadas con base en aprendizajes previos que demuestren que se ajustan los planes ante hallazgos posteriores a los incidentes. 

Cambios implementados en diagramas de comunicación, ajustes en matrices de escalamiento, actas de decisiones técnicas o comparativas antes/después de procesos modificados que permitan verificar que las lecciones impactan en la mejora operativa.  

Planes de mejora institucionales, evidencia de rediseño de procesos, solicitudes de cambio aprobadas o reportes de reingeniería que evidencien que las lecciones se utilizan más allá del área de seguridad, mejorando procesos de la organización. 

Tableros o dashboards de seguimiento, reportes de cumplimiento, métricas sobre cierre de hallazgos o visualizaciones internas que permitan constatar que se generan indicadores sobre el tratamiento de lecciones aprendidas. 

KPIs asociados a controles modificados, análisis de recurrencia de incidentes, reportes de mejora continua o evidencia de indicadores diseñados para evaluar la efectividad de las acciones correctivas implementadas.