Gestin y Respuesta de

incidentes
Plan de respuesta a incidentes
ndice
Introduccin..................................................................................................................................................................................................3
Qu es un plan de respuesta a incidentes?...............................................................................................................................3
Elementos de un plan de respuesta a incidentes.........................................................................................................................3
Fase de preparacin..............................................................................................................................................................................3
Fase de identificacin........................................................................................................................................................................... 4
Fase de contencin................................................................................................................................................................................4
Fase de erradicacin............................................................................................................................................................................. 4
Fase de recuperacin............................................................................................................................................................................4
Fase de lecciones aprendidas............................................................................................................................................................5
Gestin y Respuesta de incidentes Plan de respuesta 3
a incidentes

Introduccin
Para llevar a cabo una gestin eficaz de incidentes es necesario considerar ciertos aspectos. En primera
instancia, hay que tener en cuenta el desarrollo de un plan de respuesta a incidentes para atacar un
suceso adverso de la mejor forma posible. A partir de esto, ser factible desarrollar un plan de
recuperacin que permita definir las actividades y responsabilidades, a fin de que la organizacin
normalice su estado y regularice su operatividad.

Qu es un plan de respuesta a incidentes?

El plan de respuesta a incidentes es un componente de la gestin de incidentes. En este plan, se
detallan todas las acciones junto a toda la informacin requerida, como el personal y las actividades,
para poder realizarlas en caso de que ocurra un evento adverso.
A lo largo de este mdulo, se especificarn los distintos elementos necesarios para poder desarrollar un
plan de respuestas a incidentes basndose en un modelo especfico.

Elementos de un plan de respuesta a incidentes

Desarrollar un plan de respuesta a incidentes permite adquirir un componente activo en lo que respecta
a la gestin de incidentes. Existen diferentes elementos que permiten armar un plan de respuesta que
contemple todos los aspectos necesarios. Uno de los modelos ms comunes (Schultz, Brown y Longstaff)
consta de seis fases:

Preparacin

Identificacin

Contencin

Erradicacin

Recuperacin

Lecciones aprendidas

A continuacin se detallarn los objetivos de cada una de las etapas junto a las responsabilidades y el
alcance en las mismas.

Fase de preparacin
Esta fase consiste en la preparacin por parte de la organizacin para desarrollar un plan adecuado
antes de la ocurrencia de algn incidente. En este sentido, existen algunas actividades que deben ser
contempladas. En primera instancia se deben establecer enfoques, polticas, planes de comunicacin y
advertencias en los diferentes sistemas de informacin, con la finalidad de disuadir intrusos y permitir
la recopilacin de informacin. La estandarizacin de canales de comunicacin permite definir con
claridad los mensajes aumentando la eficiencia y disminuyendo los posibles errores o malentendidos. Es
importante la definicin de criterios para poder reportar un incidente a las autoridades competentes.
Esto debe establecerse previamente, ya que permite estandarizar y definir especficamente la
ocurrencia de un evento adverso. Adems, es necesario definir un proceso para activar al equipo de
gestin de incidentes. Al igual que los criterios, los procedimientos permiten estandarizar la forma de
operacin en caso de un evento adverso.
Finalmente, se debe contar con una ubicacin segura para poder llevar a cabo el proceso de
recuperacin, como tambin sucede a la hora de asegurar la disponibilidad de los recursos necesarios
para la ejecucin de esta tarea. En muchos casos, como frente a un desastre natural, es indispensable
disponer de recursos en un punto geogrfico diferente para poder responder al incidente.
Fase de identificacin
Es muy importante fijar como propsito la identificacin de la ocurrencia de un incidente y determinar
los detalles de este. Esta etapa permite el reconocimiento de un suceso adverso para luego tomar las
acciones necesarias.
Las actividades que comprenden esta fase son:

Asignar la propiedad de un incidente posible o incluso real a un administrador de incidentes.

Verificar reportes y cerciorar que realmente se trata de un incidente.

Asignar una cadena de custodia sobre las potenciales evidencias.

Determinar y escalar la gravedad del incidente.

Fase de contencin
Una vez que se ha identificado y confirmado el incidente, se debe compartir toda la informacin con el
administrador de incidentes. El equipo especializado debe llevar a cabo una evaluacin completa de la
situacin. Adems, se debe contactar a los encargados de los sistemas que se vieron afectados por el
incidente, con el fin de coordinar las acciones que se llevarn a cabo. Esta fase tiene como propsito la
limitacin de la exposicin que puede sufrir la organizacin como resultado del incidente.
Algunas de las actividades que se ejecutan es esta etapa son:

Activar el equipo de gestin y respuesta de incidentes a fin de contener el incidente ocurrido.

Notificar a las partes que hayan sido afectadas por el incidente.

Involucrar al sector de IT para implementar mtodos y medidas de contencin.

Obtener y mantener la evidencia.

Documentar y generar respaldos de las acciones tomadas.

Fase de erradicacin
El objetivo de esta fase es eliminar la causa del incidente. La erradicacin se puede llevar a cabo de
varias formas: el restablecimiento del sistema a un estado seguro en el pasado, la eliminacin de la
causa raz, el anlisis de la vulnerabilidad para evitar futuros incidentes que puedan ocurrir de la misma
causa raz, entre otras alternativas.
Las actividades de esta fase incluyen:

Determinar las causas del incidente.

Estimar la versin ms reciente de los respaldos con los que se cuenta.

Eliminar la causa raz.

Realizar un anlisis para detectar nuevas vulnerabilidades que puedan haber surgido a partir del
incidente.

Fase de recuperacin
Esta fase es la que garantiza que los sistemas o servicios afectados se restablezcan adecuadamente y
queden totalmente funcionales. Esta etapa, posiblemente, es la que ms impacta en la organizacin,
ya que es la que le permite volver a la operatoria normal.
Algunas de las actividades que se realizan son:

Restablecer las operaciones a su estado normal.

Validar las acciones que fueron tomadas.

 Informar a las personas que operan los sistemas afectados del restablecimiento de la
operatoria normal. Asimismo, dicho personal debe ser incluido en las pruebas a fin de tener
conocimiento de los detalles.
Fase de lecciones aprendidas
En esta ltima fase se debe elaborar un reporte en donde se documente todo lo sucedido. Este
documento debe especificar cules fueron las medidas que se tomaron, as como tambin los
resultados obtenidos luego de haber aplicado el plan de respuesta. Posteriormente, todo lo
documentado debe utilizarse para desarrollar mejoras en la capacidad de gestin de incidentes.
Las actividades que comprenden esta fase son:

Redactar un reporte detallando todos los aspectos importantes del incidente.

Analizar los problemas encontrados y proponer mejoras.

Presentar el reporte a quienes corresponda.

Copyright 2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en
este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC
y ESET, spol. s.r.o.

ESET, 2012

Acerca de ESET

Con 25 aos de trayectoria en la industria de la seguridad de la informacin, ESET es una compaa

global de soluciones de software de seguridad, creadora del legendario ESET NOD32 Antivirus y
orientada a proveer proteccin de ltima generacin contra amenazas informticas. Actualmente
cuenta con oficinas centrales en Bratislava (Eslovaquia) y de Coordinacin en San Diego (Estados
Unidos) Buenos Aires (Argentina) y Singapur. Adems, posee otras sedes en Londres (Reino Unido),
Praga (Repblica Checa), Cracovia (Polonia), Jena (Alemania) San Pablo (Brasil) y Mxico DF (Mxico).

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone
de un equipo de profesionales capacitados para responder a las demandas del mercado en forma
concisa e inmediata y un Laboratorio de Investigacin focalizado en el descubrimiento proactivo de
variadas amenazas informticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de

amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la
concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas
educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre
propio.

Para ms informacin, visite www.esetla.com