La pregunta no es si tu organización sufrirá un incidente de seguridad, sino cuándo. Estar preparado para responder de manera efectiva es fundamental para minimizar el impacto, proteger tus activos y mantener la confianza de tus clientes.
Desde los procedimientos paso a paso hasta los roles y responsabilidades claramente definidos, entender esta estructura documental es el primer paso para transformar tu respuesta a incidentes de un caos potencial a un proceso orquestado y eficiente.
Más que un simple documento, la Política de Tratamiento de Incidentes es la piedra angular de tu estrategia de ciberseguridad reactiva. A continuación te mostramos los elementos esenciales que debe contener una política efectiva y, lo que es aún más importante, el árbol de documentos vitales que la sustentan.
1. Política de Gestión de Incidentes de Seguridad de la Información:
Define principios, objetivos, alcances, roles de alto nivel, compromiso de la
dirección, obligaciones legales/regulatorios.
2. Procedimientos
- Procedimiento de Gestión de Incidentes de Seguridad de la Información
- Ciclo de vida del incidente (detección, registro, análisis, contención, erradicación, recuperación, lecciones aprendidas)
- Roles y responsabilidades (incluyendo Comité de Crisis, si aplica)
- Priorización y clasificación de incidentes
- Escalamiento interno y externo (por niveles de severidad y tipo de incidente)
- Procedimiento de comunicación de Incidentes
- Comunicación interna (a partes interesadas, equipo de respuesta, dirección)
- Comunicación externa (clientes, proveedores, entes reguladores, prensa)
- Plantilla de comunicación
- Plan de medios y control de rumores (si aplica)
- Procedimiento de Notificación a Autoridades / Organismos Reguladores
- Cuando, cómo y a quién notificar en función del tipo de incidente y la normativa aplicable (por ejemplo: LPDP, BCRA, etc.)
3.Documentos de soporte
- Matriz de clasificación de incidentes
- Criterios de impacto y probabilidad para determinar la prioridad
- Matriz RACI de gestión de incidentes
- Quién es responsable, aprobador, consultado, informado en cada etapa.
- Glosario de términos y tipos de incidentes
- Para asegurar lenguaje común
- Registro de incidentes de Seguridad
- Estructura para documentar cada incidente.
4. Playbooks por tipo de incidente
- Playbook – Malware / Ransomware
- Playbook – Phishing / Ingeniería Social
- Playbook – Data Leak / Filtración de Información
- Playbook – Compromiso de Cuentas / Acceso No Autorizado
- Playbook – Denegación de Servicio (DoS / DDoS)
- Playbook – Vulnerabilidad Exploited (Zero-Day / CVE conocido)
Cada uno de los documentos debería tener:
- Disparadores (cómo se detecta)
- Pasas de contención / análisis / erradicación
- Roles involucrados
- Métricas / KPIs asociados (si aplica)
5. Runbooks operativos Tareas técnicas puntuales
- Runbook – Apagado Seguro de Servidores Críticos
- Runbook – Restauración desde Backup (por tipo de sistema)
- Runbook – Rotación de Credenciales
- Runbook – Desconexión de usuario / endpoint comprometido
- Runbook – Actualización urgente de parches
- Runbook – Bloqueo de IPs / reglas en Firewall / WAF
- Runbook – Recolección de evidencia forense básica
- Runbook – Escaneo de malware / herramientas EDR específicas
6. Otros documentos complementarios u opcionales
- Plan de concientización y capacitación en gestión de incidentes
- Plan de pruebas de gestión de incidentes
- Informe de lecciones aprendidas post-incidente
- Informe de evaluación y mejora continua de procesos
Por Bernardita Götte
Compliance Consultant en Segu-Info