Guía de implementación | Plan y/o procedimiento de respuesta Se debe definir un plan y/o procedimiento de respuesta ante incidentes de seguridad de la información basados en la política de gestión de incidentes de seguridad de la información. Se debe informar al personal periódicamente sobre cómo proceder ante incidentes de seguridad de la información. El plan y/o procedimiento de respuesta debe estar alineado al plan de contingencia y recuperación. Este debe contemplar al menos: - Metodología para recolectar la evidencia de forma tan rápida como sea posible luego de ocurrido el incidente.
- Responsables de la respuesta a incidentes de seguridad de la información.
- Registro de las actividades de respuesta.
- Informes a las Gerencias involucradas.
- Actividades de análisis forense de seguridad de la información (si corresponden) y recopilación de evidencia
- Se deben evaluar los casos en los que corresponda escalar, teniendo en cuenta activos afectados, criticidad y severidad.
- Participación del CERTuy o equipo de respuesta que corresponda.
- Sistematizar lecciones aprendidas para reducir la probabilidad y/o el impacto ante incidentes similares en el futuro. Se debe determinar las responsabilidades por la sistematización de las lecciones aprendidas de forma tal que sean sustentables en el tiempo para la organización. Las lecciones aprendidas sobre incidentes pueden ser utilizadas en las actividades de concientización y capacitación en seguridad de la información, considerando los aspectos de confidencialidad que sean necesarios.
- La actualización de los planes de respuesta basada en lecciones aprendidas.
- Determinar las acciones para contener los incidentes como, por ejemplo, la realización de un análisis para definir si es conveniente la desconexión de los sistemas en peligro o continuar funcionando con la posibilidad de sufrir daños adicionales.
- Determinar las pruebas al plan y/o procedimiento de respuesta, su periodicidad y registrarlas.
Registro de las actividades de respuesta Se debe contar con un registro de todas las actividades de respuesta. El registro puede ser manual, por ejemplo, mediante la utilización de plantillas de documentos o planillas de cálculo o bien contar con una herramienta automatizada para este fin. El registro es necesario para determinar, por ejemplo, incidentes recurrentes y aquellos que generan más impacto, de forma tal que soporte la toma de decisiones. Informe de incidentes Los informes de incidentes deberán tener como mínimo un resumen objetivo de los acontecimientos, indicando la severidad y taxonomía del incidente. Se deberá evaluar en cada caso la pertinencia de hacer la reserva de dicho informe, bajo las pautas establecidas de la ley 18.381 de acceso a la información pública. |