Función: Responder (RS)
RS.MA Gestión de incidentes
Se gestionan las respuestas a los incidentes de ciberseguridad detectados.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
RS.MA-01. Se ejecuta el plan de respuesta a incidentes en coordinación con los terceros pertinentes una vez que se declara un incidente. | GI.1-1: Se encuentran identificados los puntos de contacto inicial para la recepción de eventos de seguridad. | GI.1-2: Se identifican los potenciales actores internos y externos ante un incidente y se registran sus datos de contacto. GI.1-3: Se cuenta con herramientas que apoyan la gestión de los incidentes. GI.5-4: Se han definido pautas establecidas para garantizar la cadena de custodia. | GI.1-4: Se ha definido un procedimiento general que cubre las distintas fases de gestión de incidentes (detección, registro, análisis, contención, erradicación y cierre). GI.1-5: Se encuentra definida formalmente la política de gestión de incidentes de seguridad de la información. GI.1-6: La política de gestión de incidentes es difundida a todas las partes interesadas. GI.5-10: Se cuenta con pautas o políticas documentadas para llevar adelante las revisiones de las estrategias de respuesta. GI.5-11: Se revisan periódicamente las estrategias de respuesta de los procesos de la organización que afecten los servicios críticos. | GI.1-7: Se realizan auditorías internas para verificar el cumplimiento con la política y procedimientos relacionados. GI.1-8: El resultado de estas actividades se informa al RSI y se toman acciones correctivas frente a desvíos y para la mejora continua. GI.5-15: Se realizan auditorías internas para verificar el cumplimiento del plan y/o procedimiento de respuesta. GI.5-16: Las mejoras identificadas en las revisiones de estrategia son utilizadas para su ajuste. GI.5-17: Se generan indicadores para seguimiento y control. |
RS.MA-02. Se clasifican y validan los informes de incidentes. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. | GI.2-9: Se cuenta con herramientas automatizadas para el registro de incidentes alineadas con el plan y/o procedimiento de respuesta definido. | GI.2-11: La categorización de incidentes se revisa periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. |
RS.MA-03. Se clasifican y priorizan los incidentes. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. GI.2-4: Está definido cuando una serie de eventos o una notificación conforman un delito conforme la normativa vigente. | GI.2-7: Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. GI.2-8: El procedimiento de gestión de incidentes define el criterio para escalar un incidente considerando: activos afectados, criticidad y severidad. | GI.2-11: La categorización de incidentes se revisa periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. |
RS.MA-04. Se escalan o elevan los incidentes según sea necesario. | GI.3-1: Los incidentes de seguridad informática se reportan al CERTuy y/o al equipo de respuesta que corresponda de acuerdo a los criterios establecidos por éste. | GI.3-4: Se lleva un registro de las comunicaciones realizadas ante incidentes, incluyendo hora, contenido y destinatarios. | GI.3-5: Se ha documentado un procedimiento formal de comunicación de incidentes. GI.5-12: Los incidentes de severidad alta son reportados mediante informe a la Dirección u otras partes interesadas. | GI.3-6: El procedimiento de comunicación de incidentes se revisa regularmente y se ajusta ante cambios regulatorios, lecciones aprendidas o recomendaciones del CERTuy. |
RS.MA-05. Se aplican los criterios para iniciar la recuperación de incidentes. | CO.4-3: Existen respaldos de información de los sistemas que dan soporte a los servicios críticos. | CO.4-5: Se ha identificado el orden de prelación para la recuperación en base a la dependencia de los servicios. | CO.4-6: Se cuenta con un Análisis de Impacto al Negocio (BIA) que identifica los procesos críticos. CO.4-7: Se ejecutan pruebas puntuales o parciales de los planes. | CO.4-10: Se registran los resultados de las pruebas. CO.4-11: El resultado de las pruebas retroalimenta las lecciones aprendidas y sirven para la mejora continua de los planes y procedimientos. |
RS.AN. Análisis de incidentes
Se llevan a cabo investigaciones con el fin de garantizar una respuesta eficaz y apoyar las actividades forenses y de recuperación.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
RS.AN-03. Se realizan análisis para determinar lo que ocurrió durante un incidente y la causa raíz del mismo. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. GI.2-2: Se han definido lineamientos para la categorización de los incidentes según su tipo y criticidad. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. GI.2-4: Está definido cuando una serie de eventos o una notificación conforman un delito conforme la normativa vigente. GI.2-5: Los incidentes identificados se clasifican utilizando una escala formal de severidad y criticidad. GI.2-6: Están definidas las acciones y tiempos de respuesta asociados a cada categoría según severidad. GI.5-3: Ante un incidente de seguridad de la información en la organización, se realiza un análisis forense. | GI.2-7: Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. GI.2-8: El procedimiento de gestión de incidentes define el criterio para escalar un incidente considerando: activos afectados, criticidad y severidad. GI.2-9: Se cuenta con herramientas automatizadas para el registro de incidentes alineadas con el plan y/o procedimiento de respuesta definido. GI.2-10: Las acciones asociadas a cada categoría están alineadas al plan de respuesta. GI.5-8: Todos los procedimientos vinculados al análisis forense se encuentran documentados. | GI.2-11: La categorización de incidentes se revisa periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. GI.2-12: Se realizan estadísticas utilizando las categorizaciones. GI.2-13: Los resultados son utilizados para mejorar o incrementar los controles existentes.
|
RS.AN-06. Se registran las acciones realizadas durante una investigación y se preservan la integridad y la procedencia de los registros. | GI.4-1: Los incidentes de seguridad se reportan internamente de acuerdo a lineamientos preestablecidos. GI.4-2: El personal ha sido instruido sobre los mecanismos y canales habilitados para reportar incidentes. GI.4-3: Los incidentes son registrados. | GI.4-4: Los registros de incidentes permiten trazabilidad completa de su evolución, desde la detección hasta el cierre. | GI.4-5: Existe un procedimiento de registro que incluye campos como: fecha/hora, tipo de incidente, activos afectados, estado, entre otros campos relevantes. GI.4-6: El reporte de incidentes se apoya en herramientas automatizadas. | GI.4-7: Se realizan actividades de control interno de cumplimiento con el procedimiento de reporte de incidentes. GI.4-8: El resultado de las actividades se utiliza para mejorar el procedimiento de reporte. |
RS.AN-07. Se recopilan los datos y metadatos del incidente y se preservan su integridad y su procedencia. | GI.1-1: Se encuentran identificados los puntos de contacto inicial para la recepción de eventos de seguridad. | GI.1-2: Se identifican los potenciales actores internos y externos ante un incidente y se registran sus datos de contacto. GI.1-3: Se cuenta con herramientas que apoyan la gestión de los incidentes. GI.5-4: Se han definido pautas establecidas para garantizar la cadena de custodia. | GI.1-4: Se ha definido un procedimiento general que cubre las distintas fases de gestión de incidentes (detección, registro, análisis, contención, erradicación y cierre). GI.1-5: Se encuentra definida formalmente la política de gestión de incidentes de seguridad de la información. GI.1-6: La política de gestión de incidentes es difundida a todas las partes interesadas. | GI.1-7: Se realizan auditorías internas para verificar el cumplimiento con la política y procedimientos relacionados. GI.1-8: El resultado de estas actividades se informa al RSI y se toman acciones correctivas frente a desvíos y para la mejora continua. |
RS.AN-08. Se estima y valida la magnitud de un incidente. | GI.2-2: Se han definido lineamientos para la categorización de los incidentes según su tipo y criticidad. | GI.2-5: Los incidentes identificados se clasifican utilizando una escala formal de severidad y criticidad. GI.2-6: Están definidas las acciones y tiempos de respuesta asociados a cada categoría según severidad. | GI.2-8: Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. GI.2-9: El procedimiento de gestión de incidentes define el criterio para escalar un incidente considerando: activos afectados, criticidad y severidad. | GI.2-13: Los resultados son utilizados para mejorar o incrementar los controles existentes. |
RS.CO. Notificación y comunicación de la respuesta al incidente
Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según lo exijan las leyes, las normativas o las políticas.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
RS.CO-02. Se notifican los incidentes a las partes interesadas internas y externas. | GI.3-1: Los incidentes de seguridad informática se reportan al CERTuy y/o al equipo de respuesta que corresponda de acuerdo a los criterios establecidos por éste. GI.3-2: Los incidentes de seguridad que involucre datos personales son reportados a la Unidad Reguladora y de Control de Datos Personales (URCDP), conforme a los plazos y requisitos establecidos por la normativa vigente. GI.3-3: Los incidentes de seguridad que pueda corresponder a un delito son denunciados ante la Unidad de cibercrimen. | GI.3-4: Se lleva un registro de las comunicaciones realizadas ante incidentes, incluyendo hora, contenido y destinatarios. PD.5-4: Se mantiene un registro de incidentes de seguridad que involucren datos personales, incluyendo la fecha y tipo de evento.
| GI.3-5: Se ha documentado un procedimiento formal de comunicación de incidentes. GI.5-12: Los incidentes de severidad alta son reportados mediante informe a la Dirección u otras partes interesadas. PD.5-6: Existen procedimientos para notificar incidentes de seguridad a la URCDP dentro del plazo legal establecido, incluyendo la evaluación del impacto y acciones tomadas. PD.5-7: Está definido un procedimiento formal para comunicar a los titulares de datos las vulneraciones de seguridad. | GI.3-6: El procedimiento de comunicación de incidentes se revisa regularmente y se ajusta ante cambios regulatorios, lecciones aprendidas o recomendaciones del CERTuy. GI.3-7: Se realizan simulacros de reporte de incidentes para validar la efectividad del canal de comunicación y los tiempos de reacción. GI.3-8: Se auditan periódicamente los canales, mecanismos y procedimientos de notificación establecidos para incidentes de seguridad.
|
RS.CO-03. La información se comparte con las partes interesadas internas y externas designadas. | GI.3-1: Los incidentes de seguridad informática se reportan al CERTuy y/o al equipo de respuesta que corresponda de acuerdo a los criterios establecidos por éste. GI.3-2: Los incidentes de seguridad que involucre datos personales son reportados a la Unidad Reguladora y de Control de Datos Personales (URCDP), conforme a los plazos y requisitos establecidos por la normativa vigente. GI.3-3: Los incidentes de seguridad que pueda corresponder a un delito son denunciados ante la Unidad de cibercrimen. | GI.3-4: Se lleva un registro de las comunicaciones realizadas ante incidentes, incluyendo hora, contenido y destinatarios.
| GI.3-5: Se ha documentado un procedimiento formal de comunicación de incidentes. PD.5-6: Existen procedimientos para notificar incidentes de seguridad a la URCDP dentro del plazo legal establecido, incluyendo la evaluación del impacto y acciones tomadas. PD.5-7: Está definido un procedimiento formal para comunicar a los titulares de datos las vulneraciones de seguridad.
| GI.3-6: El procedimiento de comunicación de incidentes se revisa regularmente y se ajusta ante cambios regulatorios, lecciones aprendidas o recomendaciones del CERTuy. GI.3-7: Se realizan simulacros de reporte de incidentes para validar la efectividad del canal de comunicación y los tiempos de reacción. GI.3-8: Se auditan periódicamente los canales, mecanismos y procedimientos de notificación establecidos para incidentes de seguridad.
|
RS.MI. Mitigación de incidentes
Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
RS.MI-01. Se contienen los incidentes. | GI.5-1: Se han definido los mecanismos de respuesta a incidentes. GI.5-2: Los incidentes son atendidos y se aplican medidas para mitigar sus consecuencias. | GI.5-5: Se han definido pautas para contener el daño y minimizar el riesgo en el entorno operativo. | GI.5-7: Está definido un plan y/o procedimiento de respuesta ante incidentes. | GI.5-13: El plan de respuesta a incidentes es probado anualmente. |
RS.MI-02. Se erradican los incidentes. | GI.5-1: Se han definido los mecanismos de respuesta a incidentes. GI.5-2: Los incidentes son atendidos y se aplican medidas para mitigar sus consecuencias. | GI.5-6: Se cuenta con planes de remediación de los incidentes.
| GI.5-7: Está definido un plan y/o procedimiento de respuesta ante incidentes. | GI.5-13: El plan de respuesta a incidentes es probado anualmente. |