Gestión y Respuesta de 
incidentes 
Plan de respuesta a incidentes

          
Índice 
 
Introducción .................................................................................................................................................................................................. 3 
¿Qué es un plan de respuesta a incidentes? ............................................................................................................................................. 3 
Elementos de un plan de respuesta a incidentes .......................................................................................................................................... 3 
Fase de preparación .................................................................................................................................................................................. 3 
Fase de identificación ................................................................................................................................................................................ 4 
Fase de contención .................................................................................................................................................................................... 4 
Fase de erradicación .................................................................................................................................................................................. 4 
Fase de recuperación ................................................................................................................................................................................. 4 
Fase de lecciones aprendidas .................................................................................................................................................................... 5 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
   

          
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes   3 
 
 

 
Introducción 
 
Para llevar a cabo una gestión eficaz de incidentes es necesario considerar ciertos aspectos. En primera instancia, hay que tener 
en cuenta el desarrollo de un plan de respuesta a incidentes para atacar un suceso adverso de la mejor forma posible.  A partir de 
esto, será factible desarrollar un plan de recuperación que permita definir las actividades y responsabilidades, a fin de que la 
organización normalice su estado y regularice su operatividad.  

¿Qué es un plan de respuesta a incidentes? 
 
El plan de respuesta a incidentes es un componente de la gestión de incidentes. En este plan, se detallan todas las acciones junto 
a toda la información requerida, como el personal y las actividades, para poder realizarlas en caso de que ocurra un evento 
adverso. 
A lo largo de este módulo, se especificarán los distintos elementos necesarios para poder desarrollar un plan de respuestas a 
incidentes basándose en un modelo específico. 

 
Elementos de un plan de respuesta a incidentes 
 
Desarrollar un plan de respuesta a incidentes permite adquirir un componente activo en lo que respecta a la gestión de 
incidentes. Existen diferentes elementos que permiten armar un plan de respuesta que contemple todos los aspectos necesarios. 
Uno de los modelos más comunes (Schultz, Brown y Longstaff) consta de seis fases: 
 
 Preparación 

 Identificación 

 Contención 

 Erradicación 

 Recuperación 

 Lecciones aprendidas 

A continuación se detallarán los objetivos de cada una de las etapas junto a las responsabilidades y el alcance en las mismas. 

Fase de preparación 
 
Esta fase consiste en la preparación por parte de la organización para desarrollar un plan adecuado antes de la ocurrencia de 
algún incidente. En este sentido, existen algunas actividades que deben ser contempladas. En primera instancia se deben 
establecer enfoques, políticas, planes de comunicación y advertencias en los diferentes sistemas de información, con la finalidad 
de disuadir intrusos y permitir la recopilación de información.  La estandarización de canales de comunicación permite definir con 
claridad los mensajes aumentando la eficiencia y disminuyendo los posibles errores o malentendidos. Es importante la definición 
de criterios para poder reportar un incidente a las autoridades competentes. Esto debe establecerse previamente, ya que 
permite estandarizar y definir específicamente la ocurrencia de un evento adverso. Además, es necesario definir un proceso para 
activar al equipo de gestión de incidentes. Al igual que los criterios, los procedimientos permiten estandarizar la forma de 
operación en caso de un evento adverso. 
Finalmente, se debe contar con una ubicación segura para poder llevar a cabo el proceso de recuperación, como también  sucede 
a la hora de asegurar la disponibilidad de los recursos necesarios para la ejecución de esta tarea. En muchos casos, como frente a 
un desastre natural, es indispensable disponer de recursos en un punto geográfico diferente para poder responder al incidente. 
 
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes   4 
 
 

Fase de identificación 
 
Es muy importante fijar como propósito la identificación de la ocurrencia de un incidente y determinar los detalles de este. Esta 
etapa permite el reconocimiento de un suceso adverso para luego tomar las acciones necesarias. 
Las actividades que comprenden esta fase son: 
 
 Asignar la propiedad de un incidente posible o incluso real a un administrador de incidentes. 

 Verificar reportes y cerciorar que realmente se trata de un incidente. 

 Asignar una cadena de custodia sobre las potenciales evidencias. 

 Determinar y escalar la gravedad del incidente. 

Fase de contención 
 
Una vez que se ha identificado y confirmado el incidente, se debe compartir toda la información con el administrador de 
incidentes. El equipo especializado debe llevar a cabo una evaluación completa de la situación. Además, se debe contactar a los 
encargados de los sistemas que se vieron afectados por el incidente, con el fin de coordinar las acciones que se llevarán a cabo. 
Esta fase tiene como propósito la limitación de la exposición que puede sufrir la organización como resultado del incidente. 
Algunas de las actividades que se ejecutan es esta etapa son: 
 
 Activar el equipo de gestión y respuesta de incidentes a fin de contener el incidente ocurrido. 

 Notificar a las partes que hayan sido afectadas por el incidente. 

 Involucrar al sector de IT para implementar métodos y medidas de contención. 

 Obtener y mantener la evidencia. 

 Documentar y generar respaldos de las acciones tomadas.

Fase de erradicación 
 
El objetivo de esta fase es eliminar la causa del incidente. La erradicación se puede llevar a cabo de varias formas: el 
restablecimiento del sistema a un estado seguro en el pasado, la eliminación de la causa raíz, el análisis de la vulnerabilidad para 
evitar futuros incidentes que puedan ocurrir de la misma causa raíz, entre otras alternativas. 
Las actividades de esta fase incluyen: 
 
 Determinar las causas del incidente. 

 Estimar la versión más reciente de los respaldos con los que se cuenta. 

 Eliminar la causa raíz. 

 Realizar un análisis para detectar nuevas vulnerabilidades que puedan haber surgido a partir del incidente.  

Fase de recuperación 
 
Esta fase es la que garantiza que los sistemas o servicios afectados se restablezcan adecuadamente y queden totalmente 
funcionales. Esta etapa, posiblemente, es la que más impacta en la organización, ya que es la que le permite volver a la 
operatoria normal. 
Algunas de las actividades que se realizan son: 
 
 Restablecer las operaciones a su estado normal. 

 Validar las acciones que fueron tomadas. 

 Informar a las personas que operan los sistemas afectados del restablecimiento de la operatoria normal. Asimismo, 
dicho personal debe ser incluido en las pruebas a fin de tener conocimiento de los detalles. 
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes   5 
 
 

Fase de lecciones aprendidas 
 
En esta última fase se debe elaborar un reporte en donde se documente todo lo sucedido. Este documento debe especificar 
cuáles fueron las medidas que se tomaron, así como también los resultados obtenidos luego de haber aplicado el plan de 
respuesta. Posteriormente, todo lo documentado debe utilizarse para desarrollar mejoras en la capacidad de gestión de 
incidentes.  
Las actividades que comprenden esta fase son: 
 
 Redactar un reporte detallando todos los aspectos importantes del incidente. 

 Analizar los problemas encontrados y proponer mejoras. 

 Presentar el reporte a quienes corresponda. 

 
   
Gestión y Respuesta de incidentes – Plan de respuesta a incidentes   6 
 
 

Copyright © 2013 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. 
 
Las  marcas  registradas,  logos  y  servicios  distintos  de  ESET,  LLC  y  ESET,  spol.  s.r.o.,  mencionados  en  este  curso,  son  marcas 
registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET, spol. s.r.o. 
 
 
© ESET, 2012 
 
Acerca de ESET 
 
Con  25  años  de  trayectoria  en  la  industria  de  la  seguridad  de  la  información,  ESET  es  una  compañía  global  de  soluciones  de 
software  de  seguridad,  creadora  del  legendario  ESET  NOD32  Antivirus  y  orientada  a  proveer  protección  de  última  generación 
contra  amenazas  informáticas.  Actualmente  cuenta  con  oficinas  centrales  en  Bratislava  (Eslovaquia)  y  de  Coordinación  en  San 
Diego  (Estados  Unidos)  Buenos  Aires  (Argentina)  y  Singapur.  Además,  posee  otras  sedes  en  Londres  (Reino  Unido),  Praga 
(República Checa), Cracovia (Polonia), Jena (Alemania) San Pablo (Brasil) y México DF (México). 
 
Desde  el  2004,  ESET  opera  para  la  región  de  América  Latina  en  Buenos  Aires,  Argentina,  donde  dispone  de  un  equipo  de 
profesionales  capacitados  para  responder  a  las  demandas  del  mercado  en  forma  concisa  e  inmediata  y  un  Laboratorio  de 
Investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas. 
 
La  importancia  de  complementar  la  protección  brindada  por  tecnología  líder  en  detección  proactiva  de  amenazas  con  una 
navegación  y  uso  responsable  del  equipo,  junto  con  el  interés  de  fomentar  la  concientización  de  los  usuarios  en  materia  de 
seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya 
ha adquirido renombre propio. 
 
Para más información, visite www.eset‐la.com