Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Requisito GI.5

Lograr acciones de respuestas coordinadas, rápidas y efectivas ante los incidentes de seguridad de la información. Asegurar que puede reanudar el nivel de seguridad normal para posteriormente dar comienzo a la recuperación.

Plan y/o procedimiento de respuesta

Se debe definir un plan y/o procedimiento de respuesta ante incidentes de seguridad de la información basados en la política de gestión de incidentes de seguridad de la información. Se debe informar al personal periódicamente sobre cómo proceder ante incidentes de seguridad de la información.

El plan y/o procedimiento de respuesta debe estar alineado al plan de contingencia y recuperación. Este debe contemplar al menos:

• Metodología para recolectar la evidencia de forma tan rápida como sea posible luego de ocurrido el incidente.
• Responsables de la respuesta a incidentes de seguridad de la información.
• Registro de las actividades de respuesta.
• Informes a las Gerencias involucradas.
• Actividades de análisis forense de seguridad de la información (si corresponden) y recopilación de evidencia
• Se deben evaluar los casos en los que corresponda escalar, teniendo en cuenta activos afectados, criticidad y severidad. 
• Participación del CERTuy o equipo de respuesta que corresponda.
• Sistematizar lecciones aprendidas para reducir la probabilidad y/o el impacto ante incidentes similares en el futuro. Se deberían determinar las responsabilidades por la sistematización de las lecciones aprendidas de forma tal que sean sustentables en el tiempo para la organización. Las lecciones aprendidas sobre incidentes pueden ser utilizadas en las actividades de concientización y capacitación en seguridad de la información, considerando los aspectos de confidencialidad que sean necesarios.
• La actualización de los planes de respuesta basada en lecciones aprendidas. 
• Determinar las acciones para contener los incidentes como, por ejemplo, la realización de un análisis para definir si es conveniente la desconexión de los sistemas en peligro o continuar funcionando con la posibilidad de sufrir daños adicionales. 
• Determinar las pruebas al plan y/o procedimiento de respuesta, su periodicidad y registrarlas.

Registro de las actividades de respuesta

Se debe contar con un registro de todas las actividades de respuesta. El registro puede ser manual, por ejemplo, mediante la utilización de plantillas de documentos o planillas de cálculo o bien contar con una herramienta automatizada para este fin. El registro es necesario para determinar, por ejemplo, incidentes recurrentes y aquellos que generan más impacto, de forma tal que soporte la toma de decisiones.

• Política de gestión de incidentes de seguridad de la información.
• Plan de respuesta a incidentes de seguridad de la información.
• Procedimiento de respuesta a incidentes de seguridad de la información.
• Registro y seguimiento de los incidentes de seguridad de la información para el período auditado.
• Evidencia de la comunicación al CERTuy o equipo de respuesta correspondiente.
• Evidencia de la respuesta del CERTuy o equipo de respuesta correspondiente.