| Objetivo | Lograr que la organización identifique y capitalice las lecciones aprendidas luego de ocurrido un incidente retroalimentando la gestión de riesgos y los controles implementados. |
| Controles | Nivel 1 - GI.6-1: se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en el centro de procesamiento de datos.
Nivel 2 - GI.6-2: se cuenta con un mecanismo para identificar, registrar y analizar lecciones aprendidas de los incidentes de seguridad de la información en toda la organización.
Nivel 3 - GI.6-3: las lecciones aprendidas son puestas a disposición y comunicadas a todas las partes interesadas.
- GI.6-4: se cuenta con herramientas que dan soporte al registro y gestión de las lecciones aprendidas.
- GI.6-5: las lecciones aprendidas se contemplan para mejorar los planes de respuesta a incidentes.
- GI.6-6: las lecciones aprendidas son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento.
Nivel 4 - GI.6-7: las lecciones aprendidas son utilizadas para la mejora de los procesos de la organización.
- GI.6-8: se generan indicadores para seguimiento y control.
- GI.6-9: se definen indicadores para poder medir la efectividad de los controles.
|
| Guía de implementación | - La organización debe ser capaz de lograr una adecuada evaluación de daños (imagen, económicos, operativos, legales, etc.) conjuntamente con una evaluación de costo y esfuerzo para la recuperación.
- En caso de que corresponda, se debe ejecutar el plan de recuperación y contingencia.
- Se debe realizar un análisis post-incidente que le permita a la organización conocer las causas y rescatar lecciones aprendidas que permitan mejorar los controles existentes. Dicho análisis debe retroalimentar la gestión de riesgos.
- Es deseable contar con un repositorio de lecciones aprendidas que pueda ser consultado por los actores claves de la organización.
- Una vez entendida la causa raíz del incidente y analizada sus lecciones aprendidas se deberán implementar las acciones de remediación que se entiendan pertinentes.
- En particular, se debe priorizar recuperarse de los incidentes de seguridad informática que afecten activos de información críticos del Estado.
|
| Instituciones de salud | Estos mecanismos deben incluir los procesos y procedimientos para recomponer la normal operativa de la institución; incluyendo entre otros, sistemas necesarios para la normal operación con HCEN y todo aquel sistema, proceso, etc. requerido para la normal operativa de la institución. |
| Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
| Guía de evidencia para auditoría | - Informe de evaluación de daños.
- Informe de lecciones aprendidas.
- Repositorio de lecciones aprendidas.
- Evidencia de comunicación interna de lecciones aprendidas.
- Evidencia de que los planes fueron ajustados con base en lo aprendido de incidentes anteriores.
- Indicadores definidos para medir efectividad de controles.
- Documentación de uso de una herramienta o sistema para el registro y gestión de lecciones aprendidas.
|
| Normativa asociada | No aplica |
