Guía de Implementación del Marco de Ciberseguridad 5.0

GI.5 Lograr acciones de respuestas coordinadas, rápidas y efectivas ante los incidentes de seguridad de la información

Requisito GI.5Lograr acciones de respuestas coordinadas, rápidas y efectivas ante los incidentes de seguridad de la información. Asegurar que puede reanudar el nivel de seguridad normal para posteriormente dar comienzo a la recuperación
ObjetivoLograr acciones de respuestas coordinadas, rápidas y efectivas ante los incidentes de seguridad de la información. Asegurar que puede reanudar el nivel de seguridad normal para posteriormente dar comienzo a la recuperación.
Controles

Nivel 1

  • GI.5-1: se han definido los mecanismos de respuesta a incidentes.
  • GI.5-2: los incidentes son atendidos y se aplican medidas para mitigar sus consecuencias.

Nivel 2

  • GI.5.3: ante un incidente de seguridad de la información en la organización, se realiza un análisis forense.
  • GI.5-4: se han definido pautas establecidas para garantizar la cadena de custodia.
  • GI.5-5: se han definido pautas para contener el daño y minimizar el riesgo en el entorno operativo.
  • GI.5-6: se cuenta con planes de remediación de los incidentes.

Nivel 3

  • GI.5-7: está definido un plan y/o procedimiento de respuesta ante incidentes.
  • GI.5-8: todos los procedimientos vinculados al análisis forense se encuentran documentados.
  • GI.5-9: se define el responsable de la respuesta a incidentes.
  • GI.5-10: se cuenta con pautas o políticas documentadas para llevar adelante las revisiones de las estrategias de respuesta.
  • GI.5-11: se revisan periódicamente las estrategias de respuesta de los procesos de la organización que afecten los servicios críticos.
  • GI.5-12: los incidentes de severidad alta son reportados mediante informe a la Dirección u otras partes interesadas.

Nivel 4

  • GI.5-13: el plan de respuesta a incidentes es probado anualmente.
  • GI.5-14: la Dirección, el RSI y el CSI reciben información periódica sobre incidentes de seguridad de la información.
  • GI.5-15: se realizan auditorías internas para verificar el cumplimiento del plan y/o procedimiento de respuesta.
  • GI.5-16: las mejoras identificadas en las revisiones de estrategia son utilizadas para su ajuste.
  • GI.5-17: se generan indicadores para seguimiento y control.
Guía de implementación

Plan y/o procedimiento de respuesta
Se debe definir un plan y/o procedimiento de respuesta ante incidentes de seguridad de la información basados en la política de gestión de incidentes de seguridad de la información. Se debe informar al personal periódicamente sobre cómo proceder ante incidentes de seguridad de la información.

El plan y/o procedimiento de respuesta debe estar alineado al plan de contingencia y recuperación. Este debe contemplar al menos:

  • Metodología para recolectar la evidencia de forma tan rápida como sea posible luego de ocurrido el incidente.
  • Responsables de la respuesta a incidentes de seguridad de la información.
  • Registro de las actividades de respuesta.
  • Informes a las Gerencias involucradas.
  • Actividades de análisis forense de seguridad de la información (si corresponden) y recopilación de evidencia
  • Se deben evaluar los casos en los que corresponda escalar, teniendo en cuenta activos afectados, criticidad y severidad.
  • Participación del CERTuy o equipo de respuesta que corresponda.
  • Sistematizar lecciones aprendidas para reducir la probabilidad y/o el impacto ante incidentes similares en el futuro. Se debe determinar las responsabilidades por la sistematización de las lecciones aprendidas de forma tal que sean sustentables en el tiempo para la organización. Las lecciones aprendidas sobre incidentes pueden ser utilizadas en las actividades de concientización y capacitación en seguridad de la información, considerando los aspectos de confidencialidad que sean necesarios.
  • La actualización de los planes de respuesta basada en lecciones aprendidas.
  • Determinar las acciones para contener los incidentes como, por ejemplo, la realización de un análisis para definir si es conveniente la desconexión de los sistemas en peligro o continuar funcionando con la posibilidad de sufrir daños adicionales.
  • Determinar las pruebas al plan y/o procedimiento de respuesta, su periodicidad y registrarlas.

Registro de las actividades de respuesta
Se debe contar con un registro de todas las actividades de respuesta. El registro puede ser manual, por ejemplo, mediante la utilización de plantillas de documentos o planillas de cálculo o bien contar con una herramienta automatizada para este fin. El registro es necesario para determinar, por ejemplo, incidentes recurrentes y aquellos que generan más impacto, de forma tal que soporte la toma de decisiones.

Informe de incidentes
Los informes de incidentes deberán tener como mínimo un resumen objetivo de los acontecimientos, indicando la severidad y taxonomía del incidente. Se deberá evaluar en cada caso la pertinencia de hacer la reserva de dicho informe, bajo las pautas establecidas de la ley 18.381 de acceso a la información pública.

Instituciones de saludEl plan de gestión de incidentes debe contemplar el equipamiento médico.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Política de gestión de incidentes de seguridad de la información.
  • Plan de respuesta a incidentes de seguridad de la información.
  • Procedimiento de respuesta a incidentes de seguridad de la información.
  • Registro y seguimiento de los incidentes de seguridad de la información para el período auditado.
  • Evidencia de la comunicación al CERTuy o equipo de respuesta correspondiente.
  • Evidencia de la respuesta del CERTuy o equipo de respuesta correspondiente.
Normativa asociadaLey N° 18.381 acceso a la información pública

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay