PRO-010. Procedimiento de Gestión de Incidentes
PRO-010. Procedimiento de Gestión de Incidentes
PRO-010. Procedimiento de Gestión de Incidentes
IMPORTANTE
La información que se presenta en este documento corresponde a un caso
simulado para el desarrollo del curso de Auditor Líder ISO 27.001.
Sólo se ha empleado información de contexto dentro de la estructura
organizacional de la Universidad, así como de las funciones que cumple la
Dirección de Desarrollo Estratégico.
Toda la información que contiene este documento es ficticia y ha sido
generada para efectos académicos.
PROCEDIMIENTO DE GESTIÓN DE
INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
CONTROL DE VERSIONES
I. OBJETIVO ..................................................................................................................................... 4
II. ALCANCE ...................................................................................................................................... 4
III. GLOSARIO ................................................................................................................................ 4
IV. CLAUSULAS NORMATIVAS....................................................................................................... 4
V. DESCRIPCIÓN GENERAL ............................................................................................................... 5
VI. DESCRIPCIÓN DEL PROCESO A ALTO NIVEL............................................................................. 5
VII. DESCRIPCIÓN DEL PROCESO DETALLADO ............................................................................... 6
1. PLANIFICAR Y PREPARAR ......................................................................................................... 6
2. DETECCIÓN Y REPORTE ........................................................................................................... 7
3. EVALUACIÓN Y DECISIÓN ........................................................................................................ 8
4. RESPUESTA .............................................................................................................................. 9
5. ACTIVIDAD POST INCIDENTE ................................................................................................. 10
6. LECCIONES APRENDIDAS ....................................................................................................... 11
VIII. ANEXOS DE INFORMACIÓN ................................................................................................... 12
1.-DEFINICIONES ESPECIFICAS DEL PLAN ...................................................................................... 12
2.- CLASIFICACIÓN DE INCIDENTES ............................................................................................... 13
3.- MECANISMOS DE ESCALADO ................................................................................................... 13
4.- CLASIFICACIÓN DEL IMPACTO.................................................................................................. 13
5.- PARTES INTERESADAS .............................................................................................................. 13
IX. REGISTROS NECESARIOS ....................................................................................................... 14
X. RECURSOS NECESARIOS ............................................................................................................ 14
I. OBJETIVO
Establecer una metodología para la detección de eventos y debilidades del SGSI que posibilite
la planificación, preparación, detección, reporte, evaluación, decisión, respuesta, post
implementación y aprendizaje de lecciones aprendidas frente a cualquier evento e incidente de
seguridad de la información y/o ciberseguridad.
II. ALCANCE
▪ Toda tipo de evento e incidentes acontecido dentro del alcance del SGSI.
III. GLOSARIO
Todos los términos y definiciones que pudieran desprenderse del presente documento se
encuentran en el registro centralizado “SGSI-REG-0004 Glosario de Términos”, ubicado en el
sistema de gestión documental de la organización.
▪ Clausula A.16.1
V. DESCRIPCIÓN GENERAL
El proceso de Gestión de Incidentes contempla:
1. Planificación y preparación
2. Detección y Reporte
3. Evaluación y Decisión
4. Respuesta
5. Actividad Post Incidente
6. Lecciones Aprendidas
El proceso es iniciado para crear un documentos y cualquier registro asociado al SGSI que se
establezca dentro del alcance de este procedimiento.
1. PLANIFICAR Y PREPARAR
3 Aprobación del ▪ En caso de aprobar el plan se informará a todas las partes Comité de
Plan interesadas con un mail simple sobre la aprobación del plan, Seguridad de
quedando registro de esto en la acta del Comité. la Información
4 Rechazo del ▪ En caso de ser rechazado el Plan, se deberán realizar las Comité de
Plan correcciones necesarias para presentarlo en una sesión Seguridad de
extraordinaria del Comité a desarrollarse en un periodo de no la Información
más de 72 horas. Dicho comité extraordinario es la instancia
sancionadora final.
2. DETECCIÓN Y REPORTE
3. EVALUACIÓN Y DECISIÓN
4. RESPUESTA
6. LECCIONES APRENDIDAS
De acuerdo con las definiciones establecidas en la ISO 27.035-2 el plan para la gestión de
incidentes deberá considerar a lo menos.
a) El enfoque estandarizado de categorización y clasificación de eventos e/o incidentes de
seguridad de la información.
b) Todas las fuentes de información establecidas para la recopilación, identificación, gestión,
operación y reporte de eventos e/o incidentes de seguridad de la información.
c) La definición del procedimiento de escalado requerida en el proceso y de acuerdo con las
capacidades actuales de la unidad.
d) Definir las características y procedimientos relativos para la gestión de evidencia.
e) Definir capacidades técnicas en materias de prevención y detección de intrusos, monitoreo
de recursos de red, control de acceso, controles de software, controles en la nube, controles
de proveedores, entre otros, los cuales deben ser debidamente analizados y
correlacionados con las herramientas establecidas.
f) Establecer las necesidades de capacitación y concientización del periodo conforme al
análisis del contexto de riesgos interno y externo.
g) La estructura organizacional de la gestión de incidentes de seguridad de la información
h) Estandarización de reportes provistos a terceras partes y cumplimiento regulatorio.
i) Establecer los mecanismos de información y reporte de los eventos e/o incidentes de
seguridad de la información, tanto del personal como para áreas técnicas, estableciendo a
lo menos mesa de ayuda, correo electrónico y teléfono de contacto.
j) Establecer los criterios mínimos para la aceptación del reporte de un evento e/o incidentes
de seguridad de la información, considerando los ciclos necesarios y oportunos para tener
información completa para la toma de decisiones.
k) Establecer los mecanismos de evaluación de un evento y los criterios que determinaran si
este se transformará en un incidente de seguridad de la información.
l) Establecer los mecanismos que posibiliten una oportuna gestión de incidentes, priorizando
los de mayor criticidad, daño o severidad.
m) Establecer los mecanismos para garantizar el debido almacenamiento de toda la
información relevante
n) Establecer los mecanismos para la identificación, recolección, adquisición y preservación de
la evidencia electrónica.
o) Establecer los mecanismos de comunicación en todo el proceso
p) Identificación de las lecciones aprendidas y la actualización de riesgos y controles en caso
de ser necesario, al igual que políticas, procedimiento e instructivos.
X. RECURSOS NECESARIOS