Kudo

ADR-4 - Atención de Eventos y/o Incidentes de Ciberseguridad

Control de respuesta y gestión de incidentes de seguridad

Definición de Control

Es necesario definir un proceso estructurado de respuesta a incidentes que cubra su detección, clasificación, contención, erradicación, recuperación y cierre, con tiempos de respuesta acordes a su severidad, y conformar un equipo de respuesta con roles definidos y disponibilidad para atender los incidentes más críticos. Es necesario mantener playbooks actualizados para los escenarios más frecuentes, incluyendo planes de mitigación masiva ante el compromiso generalizado de credenciales, y establecer canales claros para que el personal reporte eventos sospechosos. Es necesario preservar la evidencia de los incidentes garantizando la cadena de custodia, mantenerse conectado con comunidades especializadas del sector, y realizar análisis post-mortem que generen lecciones aprendidas para fortalecer los controles y actualizar los playbooks.

Requisitos

Requisito 1

Definimos un proceso estructurado de respuesta a incidentes con etapas formales: detección, análisis, clasificación, contención, erradicación, recuperación y cierre.

Requisito 2

Clasificamos los incidentes por severidad (P1 crítico, P2 alto, P3 medio, P4 bajo) con tiempos máximos de respuesta inicial y resolución definidos.

Requisito 3

Conformamos un equipo de respuesta a incidentes (IRT/CSIRT) con roles y responsabilidades asignadas.

Requisito 4

Garantizamos disponibilidad 24/7 del equipo de respuesta para incidentes de severidad P1 y P2.

Requisito 5

Mantenemos playbooks de respuesta documentados y actualizados para los tipos de incidentes más frecuentes: ransomware, phishing dirigido, acceso no autorizado, fuga de datos y compromiso de cuentas privilegiadas.

Requisito 6

Definimos en cada playbook los pasos específicos de contención, erradicación y recuperación.

Requisito 7

Establecemos los umbrales de escalamiento y los criterios de notificación a reguladores dentro de los plazos legales aplicables.

Requisito 8

Establecemos y mantenemos conexiones activas con grupos especializados, foros y asociaciones profesionales del ámbito de la seguridad de la información.

Requisito 9

Proporcionamos un canal claro y accesible para que el personal reporte de forma oportuna cualquier evento de seguridad observado o sospechoso.

Requisito 10

Establecemos procedimientos para identificar, recoger, adquirir y preservar evidencias relacionadas con eventos e incidentes de seguridad de la información.

Requisito 11

Aplicamos los procedimientos de gestión de evidencias en todos los eventos e incidentes de seguridad garantizando la integridad de la cadena de custodia.

Requisito 12

Definimos y mantenemos planes iniciales de mitigación masiva en protección de identidad que permitan ejecutar acciones a escala ante un compromiso generalizado de credenciales, incluyendo reset forzado masivo de contraseñas, habilitación de MFA de forma masiva y bloqueo de cuentas comprometidas.

Requisito 13

Realizamos análisis post-mortem obligatorio para todos los incidentes de severidad P1 y P2.

Requisito 14

Actualizamos los playbooks tras cada incidente significativo incorporando las lecciones aprendidas.

Requisito 15

Identificamos y registramos lecciones aprendidas para todos los incidentes de severidad P1 y P2.

Requisito 16

Aprovechamos las lecciones aprendidas de los incidentes de seguridad para fortalecer y mejorar los controles de seguridad existentes más allá de la actualización de playbooks.

On this page