CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-5

Machine Translated by Google
Capítulo 3—Programa de seguridad de la información

Desarrollo y Gestión Sección Dos: Contenido
existe. Independientemente de las circunstancias organizacionales, un gerente de seguridad de la capaz de influir. Algunos problemas relacionados con la financiación que pueden necesitar ser
información persuasivo con una visión clara del rol de la seguridad de la información en la abordados por el gerente de seguridad de la información incluyen:
organización a menudo puede mejorar la postura general de seguridad con una campaña continua • La gerencia no reconoce el valor de las inversiones en seguridad
para educar a las partes interesadas en el rol y la relevancia de la seguridad de la información. • La seguridad es vista como un centro de costos de bajo valor
• La gerencia no entiende a dónde va el dinero existente
Esto puede incluir definir y buscar un acuerdo sobre los objetivos de control de riesgos de la • No se comprende la necesidad organizativa de una inversión en seguridad.
información, determinar la tolerancia al riesgo de la organización e identificar los activos de
información de misión crítica. • La necesidad de una mayor conciencia de las tendencias de la industria en
la inversión en seguridad
También es beneficioso que las actividades de seguridad de la información se alineen con
los objetivos comerciales definidos y los respalden. Esto será más eficaz si se trata de un Si no se dispone de fondos adicionales para cerrar las brechas financieras, el gerente de
esfuerzo continuo y se comunica adecuadamente a las partes interesadas. El desarrollo de KPI seguridad de la información debe aplicar estrategias que minimicen el impacto del déficit
y métricas significativos también será útil para respaldar los objetivos de seguridad de la financiero en la postura de riesgo de la información de la organización. Algunas estrategias
información. Cada gerente de seguridad de la información debe determinar la amplitud y comunes que se pueden aplicar incluyen: • Aprovechar los presupuestos de otras unidades
profundidad apropiadas de las métricas para que su propia organización brinde la información organizacionales (por ejemplo, desarrollo de productos, auditoría interna, sistemas de información)
necesaria para la gestión, pero también debe implementar algún tipo de informe consistente para implementar los componentes necesarios del programa de seguridad. • Mejorar la eficiencia
para promover la conciencia de la importancia que tiene la gestión de la seguridad de la de la seguridad de la información existente.
información en el logro de los objetivos organizacionales. objetivos
componentes del programa

• Trabajar con el comité directivo de seguridad de la información para
Otros problemas que el gerente de seguridad de la información puede necesitar tratar volver a priorizar las asignaciones de recursos de seguridad y proporcionar a la alta gerencia
ocurren en situaciones donde la seguridad de la información es una función relativamente un análisis de qué componentes de seguridad tendrán recursos insuficientes y las implicaciones
nueva dentro de una organización. Incluso para programas maduros de seguridad de la de riesgo asociadas.
información, los requisitos y demandas están cambiando rápidamente, impulsados por presiones
técnicas y regulatorias. Es importante que el gerente de seguridad de la información preste mucha atención a los
Los desafíos a continuación no representan una lista exhaustiva, pero ilustran métodos problemas de financiamiento y trabaje en ellos de manera continua.
para evaluar y abordar varias de las preocupaciones más comunes. El gerente de seguridad de la A menudo, es demasiado tarde para analizar las necesidades y educar a la gerencia una vez que
información debe ser consciente de los desafíos comunes para la gestión eficaz de la seguridad de comienza el proceso presupuestario real, lo que retrasa las inversiones necesarias por meses o
la información, las razones detrás de esos desafíos y las estrategias para abordarlos. años.
dotación de personal
Las causas fundamentales de los problemas de financiación se extienden al desafío de
Apoyo de la gerencia los niveles inadecuados de personal para cumplir con los requisitos del programa de seguridad.
La falta de apoyo de la administración es más común en las organizaciones más Los obstáculos para obtener niveles efectivos de dotación de personal
pequeñas y aquellas que no están en industrias intensivas en seguridad. Tales pueden incluir:
organizaciones a menudo no tienen un requisito obligatorio para abordar la seguridad • Poca comprensión de las actividades que harán los nuevos recursos
de la información y, por lo tanto, a menudo lo ven como un problema marginalmente • Cuestionar la necesidad o el beneficio de nuevas actividades de recursos
importante que agrega costos con poco valor. Estos puntos de vista a menudo reflejan una falta • Falta de conocimiento de los niveles o actividades existentes de utilización del personal
de comprensión de la dependencia de la organización en los sistemas de información, el • Creencia de que el personal existente está infrautilizado
entorno de amenazas y riesgos, o el impacto que enfrenta la organización o que puede estar • Deseo de examinar alternativas de subcontratación
experimentando sin saberlo. Cuando se le presenten estos problemas, el gerente de seguridad de la información
debe utilizar los procedimientos de gestión de la carga de trabajo para generar análisis de
la carga de trabajo del personal, informes de utilización y otras métricas que demuestren el
En tales circunstancias, el gerente de seguridad de la información debe utilizar recursos, nivel de esfuerzo actualmente invertido. Además, son útiles los gráficos que asocian roles
como estadísticas de la industria, análisis de dependencia e impacto organizacional, y revisiones o equipos de seguridad de la información específicos con la protección que brindan a los
de amenazas comunes a los sistemas de procesamiento de información específicos de la sistemas de información empresarial. Demostrar niveles altos o crecientes de productividad
organización. Además, la gerencia puede requerir orientación sobre lo que se espera de ellos y los también ayuda a demostrar que el programa de seguridad de la información está utilizando los
enfoques que los pares de la industria están tomando para abordar la seguridad de la información. recursos de manera efectiva y eficiente.
Incluso si la educación inicial no da como resultado un fortalecimiento inmediato del apoyo, aún se
debe realizar una educación continua para desarrollar la conciencia de las necesidades de
seguridad.
Si la organización no puede asignar recursos humanos adicionales al programa, el
gerente de seguridad de la información puede considerar implementar las siguientes
Fondos estrategias para minimizar el impacto de la falta de personal en la efectividad del programa
La financiación inadecuada de las iniciativas de seguridad de la información es quizás uno de de seguridad de la información:
los problemas más frustrantes y desafiantes que debe abordar el gerente de seguridad de la
información. Si bien este problema puede ser un síntoma de una falta subyacente de apoyo de la • Colaborar con otras unidades de negocios para determinar si pueden asumir más
administración, a menudo existen otros factores que el gerente de seguridad de la información responsabilidades de seguridad de la información; delegar tareas apropiadas con supervisión
debe considerar.
Manual de revisión CISM 2013 ISACA. 197

Reservados todos los derechos.
Capítulo 3—Programa de seguridad de la información
Desarrollo y Gestión Sección Dos: Contenido
• Analizar las posibilidades de subcontratación, especialmente para

actividades operativas de gran volumen; estar preparado para demostrar
cómo los recursos liberados se redistribuirían inmediatamente a actividades
de mayor valor
• Trabajar con el comité directivo de seguridad de la información para
volver a priorizar las asignaciones del personal de seguridad;
proporcionar a la alta dirección un análisis de las actividades de seguridad
que no se abordarán con el personal actual y comunicar las implicaciones de riesgo
198 Manual de revisión del CISM 2013

ISACA. Reservados todos los derechos.
Capítulo 4:
Seguridad de información
Administracion de incidentes
Sección uno: descripción general
4.1 Introducción.................................................. .................................................... .................................................... .......................... 200

Definición .......................... .................................................... .................................................... ....................................... 200
Objetivos....... .................................................... .................................................... .................................................... ........ 200
4.2 Declaraciones de tareas y conocimientos .................................. .................................................... .................................................... .. 200
Tareas................................................ .................................................... .................................................... .......................... 200
Declaraciones de conocimientos .................. ................................................ .................................................... ..........................
200 Relación de la tarea con las declaraciones de conocimientos .................. .................................................... ..........................................
201 Guía de referencia de declaración de conocimientos ..... .................................................... .................................................... .............
202 Recursos sugeridos para estudio adicional.................................. .................................................... ......................................
208 4.3 Preguntas de autoevaluación ...... .................................................... .................................................... .......................................... 208
Preguntas..... .................................................... .................................................... .................................................... ........... 208
Respuestas a las preguntas de autoevaluación ........................... ........... .................................................... .......................... 209
Sección Dos: Contenido
4.4 Descripción general de la gestión de incidentes ............................... .................................................... .......................................... 211

4.5 Procedimientos de respuesta a incidentes... .................................................... .................................................... .......................................
212 4.6 Organización de gestión de incidentes ...... .................................................... .................................................... .......................... 213
4.7 Recursos de gestión de incidentes .................. .................................................... .................................................... .................. 214 4.8
Objetivos de la gestión de incidentes........................... .................................................... .................................................... .......... 218 4.9
Métricas e Indicadores de Gestión de Incidentes .................................. ........................................ .......................................... 219 4.10
Definición de Procedimientos de Gestión de Incidentes.. .................................................... .................................................... .......... 219 4.11
Estado actual de la capacidad de respuesta a incidentes .................. .................................................... .......................................... 220 4.12
Desarrollo de un plan de respuesta a incidentes ... .................................................... .................................................... ....................... 221
4.13 Procedimientos de recuperación ante desastres y continuidad del negocio .................. .................................................... ..........................
225 4.14 Probar los planes de respuesta a incidentes y de continuidad del negocio/recuperación ante
desastres ..... .................................................... .......... 232 4.15 Ejecución de planes de respuesta y
recuperación .................................. .................................................... ...... .................................. 235 4.16 Actividades e investigación posteriores al inc
Manual de revisión del CISM 2012 199

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general
T4.4 Establecer y mantener procesos para investigar y documentar incidentes

Sección uno: descripción general
de seguridad de la información para poder responder adecuadamente
y determinar sus causas mientras se cumplen los requisitos legales,
4.1 INTRODUCCIÓN regulatorios y organizacionales.
T4.5 Establezca y mantenga procesos de escalamiento y notificación

Este capítulo revisa el conocimiento esencial necesario para establecer un
programa efectivo para responder y posteriormente gestionar incidentes que de incidentes para garantizar que las partes interesadas apropiadas
amenazan los sistemas de información y la infraestructura de una organización. estén involucradas en la gestión de respuesta a incidentes.
T4.6 Organizar, capacitar y equipar equipos para responder de manera efectiva a

incidentes de seguridad de la información de manera oportuna.
DEFINICIÓN T4.7 Probar y revisar periódicamente el plan de respuesta a incidentes para
La gestión de incidentes se define como la capacidad de gestionar de manera garantizar una respuesta eficaz a los incidentes de seguridad de la
efectiva eventos disruptivos inesperados con el objetivo de minimizar los impactos información y mejorar las capacidades de respuesta.
y mantener o restaurar las operaciones normales dentro de los límites de tiempo T4.8 Establecer y mantener planes y procesos de comunicación para
definidos. La respuesta a incidentes es la capacidad operativa de la gestión de incidentes gestionar la comunicación con entidades internas y externas.
que identifica, se prepara y responde a los incidentes para controlar y limitar los daños;
proporcionar capacidades forenses y de investigación; y mantener, recuperar y restaurar T4.9 Realizar revisiones posteriores al incidente para determinar la causa raíz de los
las operaciones normales como se define en los acuerdos de nivel de servicio (SLA). incidentes de seguridad de la información, desarrollar acciones correctivas,
reevaluar el riesgo, evaluar la eficacia de la respuesta y tomar las medidas
correctivas apropiadas.
OBJETIVOS T4.10 Establecer y mantener la integración entre el plan de respuesta a incidentes,
El objetivo de este dominio es garantizar que el gerente de seguridad de la el plan de recuperación ante desastres y el plan de continuidad del
información tenga el conocimiento y la comprensión necesarios para identificar, negocio.
analizar, administrar y responder de manera efectiva a eventos inesperados que puedan

afectar negativamente los activos de información de la organización y/o su capacidad Declaraciones de conocimiento
para operar. Esto generalmente incluirá interrupciones, fallas o uso indebido de las El candidato CISM debe tener una buena comprensión de cada una de las áreas
funciones de procesamiento de información, pero también incluirá eventos que pueden delineadas por las declaraciones de conocimientos. Estas declaraciones son la
afectar negativamente a otros activos de información de la organización. Normalmente, base para el examen.
los incidentes se producirán como resultado de accidentes, errores, actos intencionales
de malicia, robo, malversación, extorsión, fraude, espionaje o eventos ambientales como
Hay 14 declaraciones de conocimiento dentro del área de gestión de incidentes
tormentas, terremotos, incendios, etc. de seguridad de la información:
KS4.1 Conocimiento de los componentes de un plan de respuesta a
incidentes
Este dominio representa el 18 por ciento del examen CISM (aproximadamente 36 CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes
preguntas).
KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la

4.2 DECLARACIONES DE TAREAS Y CONOCIMIENTOS planificación de la recuperación ante desastres (DRP) y su relación con el
plan de respuesta a incidentes
Dominio 4—Gestión de incidentes de seguridad de la información CR4.4 Conocimiento de los métodos de clasificación de incidentes
Planificar, establecer y administrar la capacidad para detectar, investigar, responder CR4.5 Conocimiento de los métodos de contención de daños
y recuperarse de incidentes de seguridad de la información para minimizar el impacto CR4.6 Conocimiento de los procesos de notificación y escalamiento
comercial CR4.7 Conocimiento de los roles y responsabilidades en la identificación

y gestión de incidentes de seguridad de la información
CR4.8 Conocimiento de los tipos y fuentes de herramientas y equipos
Tareas
necesarios para equipar adecuadamente a los equipos de
Hay 10 tareas dentro de este dominio que un candidato CISM debe saber cómo realizar:
respuesta a incidentes
KS4.9 Conocimiento de los requisitos y capacidades forenses para recolectar,
jerarquía deEstablecer
gravedad para
y mantener
los incidentes
una definición
de seguridad
organizacional
de la información
de T4.1 ypara
unapermitir
preservar y presentar evidencia (por ejemplo, admisibilidad, calidad e
una identificación precisa y una respuesta a los incidentes.
integridad de la evidencia, cadena de custodia)
KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes

T4.2 Establecer y mantener un plan de respuesta a incidentes para
internos y externos
garantizar una respuesta eficaz y oportuna a los incidentes de seguridad
KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y
de la información.
métodos de investigación para identificar las causas fundamentales
T4.3 Desarrollar e implementar procesos para asegurar la identificación oportuna de y determinar las acciones correctivas
incidentes de seguridad de la información.
KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos
comerciales derivados de incidentes de seguridad de la información

CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y RELACIÓN DE LA TAREA AL CONOCIMIENTO
analizan eventos de seguridad de la información
DECLARACIONES
KS4.14 Conocimiento de los recursos internos y externos disponibles para
Las declaraciones de tareas son lo que se espera que el candidato al
investigar incidentes de seguridad de la información
CISM sepa realizar. Las declaraciones de conocimiento delinean cada
una de las áreas en las que el candidato CISM debe tener una buena
comprensión para poder realizar las tareas. Las declaraciones de tareas y
conocimientos se mapean en la figura 4.1 en la medida en que es posible
hacerlo. Tenga en cuenta que aunque a menudo hay una superposición,
cada declaración de tarea generalmente se asignará a varias declaraciones
de conocimiento.
Figura 4.1—Asignación de enunciados de tareas y conocimientos
Declaración de tarea Declaraciones de conocimiento
T4.1 Establecer y mantener una definición organizacional y una jerarquía KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes KS4.4
de gravedad para los incidentes de seguridad de la información Conocimiento de los métodos de clasificación de incidentes
para permitir una identificación precisa y una respuesta a los
incidentes.
T4.2 Establecer y mantener un plan de respuesta a incidentes para KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes
garantizar una respuesta eficaz y oportuna a los incidentes de KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
seguridad de la información. desastres (DRP) y su relación con el plan de respuesta a incidentes
T4.3 Desarrollar e implementar procesos para asegurar CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes
la identificación oportuna de incidentes de seguridad de la CR4.4 Conocimiento de los métodos de clasificación de incidentes
información. CR4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la
información
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la
información
T4.4 Establecer y mantener procesos para investigar y documentar KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes
incidentes de seguridad de la información para poder responder KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
adecuadamente y determinar sus causas mientras se cumplen desastres (DRP) y su relación con el plan de respuesta a incidentes
los requisitos legales, regulatorios y organizacionales. CR4.4 Conocimiento de los métodos de clasificación de incidentes
CR4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar adecuadamente a los
equipos de respuesta a incidentes
CR4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar
y presentación de pruebas (por ejemplo, admisibilidad, calidad e integridad de las pruebas, cadena de
custodia)
KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar
causas raíz y determinar acciones correctivas
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la
información
KS4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la
información
T4.5 Establecer y mantener la escalada de incidentes CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes
y procesos de notificación para garantizar que las partes CR4.5 Conocimiento de los métodos de contención de daños
interesadas apropiadas participen en la gestión de respuesta a CR4.6 Conocimiento de los procesos de notificación y escalamiento
incidentes. KS4.7 Conocimiento de los roles y responsabilidades en la identificación y gestión de incidentes de seguridad de la
información KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y
externos
T4.6 Organizar, capacitar y equipar equipos para responder de KS4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la
manera efectiva a incidentes de seguridad de la información información KS4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar
de manera oportuna. adecuadamente a los equipos de respuesta a incidentes
CR4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar

y presentación de pruebas (por ejemplo, admisibilidad, calidad e integridad de las pruebas, cadena de
custodia)
KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y externos
KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos comerciales
derivados de incidentes de seguridad de la información
KS4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la
información
Manual de revisión CISM 2013 ISACA. Reservados 201

todos los derechos.
Figura 4.1—Mapeo de enunciados de tareas y conocimientos (cont.)
Declaración de tarea Declaraciones de conocimiento
T4.7 Probar y revisar el plan de respuesta a incidentes KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
periódicamente para asegurar una respuesta eficaz a los desastres (DRP) y su relación con el plan de respuesta a incidentes
incidentes de seguridad de la información y mejorar las
capacidades de respuesta.
T4.8 Establecer y mantener planes y procesos de comunicación para KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y externos
gestionar la comunicación con entidades internas y externas.
T4.9 Realizar revisiones posteriores al incidente para determinar la causa CR4.5 Conocimiento de los métodos de contención de daños
raíz de los incidentes de seguridad de la información, desarrollar KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar
acciones correctivas, reevaluar el riesgo, evaluar la eficacia de causas raíz y determinar acciones correctivas
la respuesta y tomar las medidas correctivas apropiadas. KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos comerciales
derivados de incidentes de seguridad de la información
T4.10 Establecer y mantener la integración entre el plan de respuesta a KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
incidentes, el plan de recuperación ante desastres y el plan de desastres (DRP) y su relación con el plan de respuesta a incidentes
continuidad del negocio.
GUÍA DE REFERENCIA DE LA DECLARACIÓN DE CONOCIMIENTOS
La siguiente sección contiene las declaraciones de conocimiento y los conceptos subyacentes y la relevancia para el conocimiento del
gerente de seguridad de la información. Las declaraciones de conocimiento son lo que el gerente de seguridad de la información debe saber para
realizar las tareas. Se proporciona una explicación resumida de cada declaración de conocimientos, seguida de los conceptos básicos que son la
base del examen escrito. Cada concepto clave tiene referencias a la sección dos de este capítulo.
El cuerpo de conocimientos del CISM se ha dividido en cuatro dominios, y cada uno de los cuatro capítulos cubre parte del material contenido en
esos dominios. Este capítulo revisa el conjunto de conocimientos desde la perspectiva de la gestión y respuesta a incidentes.
KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes

Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
La respuesta a incidentes es la capacidad operativa para responder adecuadamente a eventos e Identificar un incidente 4.4 Descripción general de la gestión de incidentes
incidentes relacionados con la seguridad para minimizar de manera efectiva las interrupciones en la 4.5 Procedimientos de respuesta a incidentes
organización. Hay varias capacidades esenciales para una respuesta eficaz. El primero es la 4.5.4 Conceptos
capacidad de determinar que, de hecho, ha ocurrido un incidente. El segundo es la capacidad de evaluar
Responsabilidades del equipo de 4.4 Descripción general de la gestión de incidentes
rápidamente el tipo y la naturaleza del incidente. En tercer lugar, está la capacidad de movilizar los
respuesta a incidentes 4.5 Procedimientos de respuesta a incidentes
recursos necesarios para evaluar los efectos y brindar los remedios apropiados para limitar el daño y
4.5.2 Resultados de la gestión de incidentes
mantener o restaurar los servicios afectados.
4.7.3 Personal
4.7.4 Funciones y responsabilidades
Responsabilidades del equipo 4.4 Descripción general de la gestión de incidentes
de gestión de incidentes 4.7.3 Personal
4.7.4 Funciones y responsabilidades
triaje de incidentes 4.4 Descripción general de la gestión de incidentes
4.5 Procedimientos de respuesta a incidentes
4.5.4 Conceptos
4.10.1 Plan de acción detallado para la gestión de incidentes

CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes

El objetivo de la gestión de incidentes es detectar y responder a incidentes relacionados con la Ciclo de vida de la gestión de 4.10.1 Plan de acción detallado para la gestión de incidentes
seguridad de la información de tal manera que las operaciones de servicio se restablezcan a la incidentes
normalidad lo más rápido posible y que se minimicen los efectos adversos generales para la
Gestión de incidentes y 4.4 Descripción general de la gestión de incidentes
empresa. Si bien muchos aspectos específicos de la gestión de incidentes dependerán de la
propósito de respuesta. 4.5 Procedimientos de respuesta a incidentes
organización individual, los objetivos generales serán los mismos. Éstos incluyen:
4.5.3 Gestión de incidentes 4.8 Objetivos
de la gestión de incidentes
• Detectar incidentes rápidamente
4.8.3 Alineación estratégica
• Diagnosticar incidentes con precisión
• Gestionar adecuadamente los incidentes Procesos de gestión de 4.4 Descripción general de la gestión de incidentes
• Contener y minimizar los daños incidentes 4.5 Procedimientos de respuesta a incidentes

• Restaurar los servicios afectados 4.10.1 Plan de acción detallado para la gestión de incidentes
• Determinar las causas fundamentales
• Implementar mejoras para prevenir la recurrencia o minimizar el impacto de futuros eventos similares
Capacidades de 4.5 Procedimientos de respuesta a incidentes
respuesta a incidentes 4.10 Definición de procedimientos de gestión de

incidentes
4.11.1 Historial de incidentes
KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
desastres (DRP) y su relación con el plan de respuesta a incidentes
La planificación de recuperación ante desastres (DRP) y la planificación de continuidad del negocio Planificación de recuperación 4.4 Descripción general de la gestión de incidentes
(BCP) son manejadas de diferentes maneras por diferentes organizaciones. Algunas organizaciones ante desastres (DRP) 4.13 Procedimientos de Continuidad del Negocio y
tienen un departamento separado que maneja ambas funciones. Otros tienen cada función reportando Recuperación de Desastres
a una parte diferente de la organización. Algunas empresas subcontratan ambas actividades. 4.15 Ejecución de planes de respuesta y recuperación
Independientemente de dónde estén ubicadas estas funciones en la organización, es esencial que el
gerente de seguridad de la información comprenda el proceso y cómo se relaciona con la gestión y
Planificación de la 4.13 Procedimientos de Continuidad del Negocio y
respuesta a incidentes. Si un incidente tiene impactos significativos que deshabilitan partes o la totalidad
continuidad del negocio (BCP) Recuperación de Desastres
de los sistemas de información de una organización, normalmente se debe declarar un desastre y se
4.15 Ejecución de planes de respuesta y recuperación
activarían los planes de recuperación ante desastres y continuidad del negocio. El traspaso del equipo
de respuesta a incidentes a los encargados de la recuperación ante desastres debe estar integrado, bien
planificado y ejecutado sin problemas. Criterios de gravedad 4.4 Descripción general de la gestión de incidentes
Criterios de declaración 4.4 Descripción general de la gestión de incidentes

El personal involucrado debe tener la capacitación adecuada y la comprensión de sus propios procesos
y los de los demás. Es fundamental que una declaración de desastre se maneje de manera adecuada,
4.13.1 Planificación de recuperación y procesos de
ya que las consecuencias de declarar un desastre que podría haberse evitado pueden ser tan costosas
recuperación comercial
como no declarar uno real de manera oportuna. Los niveles de servicio aceptables deben acordarse por
adelantado y documentarse en acuerdos de niveles de servicio y operativos (OLA y SLA). Niveles de servicio aceptables 4.4 Descripción general de la gestión de incidentes
4.13.10 Integración de objetivos de recuperación y

análisis de impacto con respuesta a incidentes
El gerente de seguridad de la información también debe revisar todos los planes de recuperación
ante desastres y continuidad comercial para garantizar que cualquier riesgo para la seguridad de la
información que resulte de la ejecución de los planes se destaque y se trate de manera adecuada.
Si bien a menudo no es responsable de declarar un desastre, el gerente de seguridad de la información

generalmente coordinará la información recopilada de la fase de evaluación de daños del proceso de
respuesta a incidentes para proporcionar la información necesaria a la alta gerencia para que puedan
tomar una decisión informada sobre si declarar o no un desastre. un desastre.

todos los derechos.
CR4.4 Conocimiento de los métodos de clasificación de incidentes
La clasificación de un incidente debe ser precisa y debe completarse lo más rápido Clasificación de incidentes 4.10.1 Plan de acción detallado para la gestión de
posible. Ambos factores ayudan a garantizar una respuesta adecuada y que el impacto se incidentes
minimice. La clasificación será en función del tipo de incidente; por ejemplo, si es accidental, un
triaje de incidentes 4.5.4 Conceptos
código malicioso o una penetración real de la red. Las posibilidades casi infinitas pueden hacer
4.10.1 Plan de acción detallado para la gestión de
que esta tarea sea un desafío y el gerente de seguridad de la información debe desarrollar una red
incidentes
de expertos a los que se pueda llamar para clasificar el tipo de incidente y asesorar sobre las
opciones correctivas. Una vez que se identifica la naturaleza y el alcance del incidente, se pueden Niveles de gravedad 4.10.1 Plan de acción detallado para la gestión de
determinar los niveles de gravedad apropiados y activar el plan de respuesta al incidente. incidentes
CR4.5 Conocimiento de los métodos de contención de daños
El objetivo de la gestión y respuesta a incidentes es minimizar el impacto derivado de los incidentes triaje de incidentes 4.4 Descripción general de la gestión de incidentes
de seguridad de la información. Para lograr este objetivo, es necesario que el administrador de 4.5.4 Conceptos
incidentes comprenda todos los aspectos del incidente y la forma más efectiva de contener y 4.10.1 Plan de acción detallado para la gestión de
minimizar la interrupción operativa y otros factores negativos, como la pérdida de datos. Esto requerirá incidentes
una comprensión profunda de la arquitectura de los sistemas y los procesos organizacionales para
Contención 4.12.2 Elementos de un análisis de impacto
aislar y contener los problemas solo en las áreas afectadas. Por ejemplo, una infección por virus
empresarial
suele abordarse de forma más eficaz determinando los sistemas infectados, aislándolos y eliminando
la infección. Gestión de problemas 4.5.4 Conceptos
Capacidad de respuesta 4.10.1 Plan de acción detallado para la gestión de

Sin embargo, debe entenderse que esto puede generar un conflicto con los esfuerzos de gestión de
incidentes
problemas, que se centrarían en determinar el origen o la causa raíz de la infección. El conflicto
4.11 Estado actual de la capacidad de respuesta a
surge porque eliminar el virus y restaurar los sistemas a la producción rápidamente puede destruir la
incidentes
evidencia que necesita el equipo de gestión de problemas para determinar la fuente de la infección.
4.13.3 Estrategias de recuperación
El administrador de seguridad deberá decidir si renunciar a la posibilidad de determinar el origen del
4.13.17 Actualización de planes de recuperación
problema o incurrir en el costo de mantener los sistemas inactivos el tiempo suficiente para completar
la investigación. Como ocurre con la mayoría de las decisiones relacionadas con la seguridad, existe
un riesgo inherente a cada curso de acción.
CR4.6 Conocimiento de los procesos de notificación y escalamiento
Es fundamental que el gerente de seguridad de la información determine quién debe ser notificado Criterios de gravedad 4.4 Descripción general de la gestión de incidentes
y en qué circunstancias para recibir y proporcionar información crítica sobre incidentes. El personal 4.5 Procedimientos de respuesta a incidentes
operativo debe comprender qué situaciones y eventos requerirían notificación al gerente de 4.5.2 Resultados de la gestión de incidentes
seguridad de la información. El gerente de seguridad de la información debe desarrollar requisitos y 4.10.1 Plan de acción detallado para la gestión de
procesos claros para proporcionar criterios de notificación y escalamiento de eventos, riesgos u incidentes
otras circunstancias a varias partes de la organización. El desarrollo de criterios de severidad y la
Canales de comunicación 4.5.2 Resultados de la gestión de incidentes
educación del personal en su uso es un componente clave del desarrollo de requisitos de notificación
y denuncia 4.5.4 Conceptos
y escalado.
4.7.5 Habilidades
4.10.1 Plan de acción detallado para la gestión de
incidentes
4.12.7 Proceso de notificación de incidentes
4.12.8 Desafíos en el desarrollo de un plan de gestión de

incidentes
Procedimientos de escalamiento 4.12.3 Proceso de escalamiento para una gestión
eficaz de incidentes

CR4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la información
Todo el personal de una organización debe tener orientación básica y conocimiento de Definiciones de eventos, 4.4 Descripción general de la gestión de incidentes
los eventos que pueden considerarse un incidente de seguridad. Esto es para garantizar la incidentes y problemas 4.5.4 Conceptos
notificación temprana de posibles incidentes para que los incidentes de seguridad reales
Capacitación y educación 4.7.6 Concientización y Educación
puedan identificarse, evaluarse y mitigarse rápidamente para minimizar los daños y las
para el reconocimiento de incidentes
interrupciones operativas. Los miembros del equipo de gestión de incidentes (IMT) y del equipo
de respuesta a incidentes (IRT) deben comprender sus responsabilidades específicas y deben Gestión de incidentes y roles 4.7.4 Funciones y responsabilidades
ser competentes para llevarlas a cabo. Esto puede requerir capacitación y pruebas especializadas y responsabilidades de 4.12.6 Organización, capacitación y equipamiento del
para garantizar que todos los miembros del equipo posean el nivel de habilidades requerido. respuesta personal de respuesta
4.13.2 Operaciones de recuperación
Habilidades y requisitos 4.7.5 Habilidades
de personal
Recolección y manejo de 4.16.3 Establecimiento de Procedimientos

evidencia 4.16.4 Requisitos de Evidencia
4.16.5 Aspectos legales de las pruebas forenses
CR4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar adecuadamente a los
equipos de respuesta a incidentes
Los incidentes son, por naturaleza, inesperados y varían ampliamente, desde intrusiones físicas o Requisitos de capacidad del 4.4 Descripción general de la gestión de incidentes
lógicas hasta errores de procedimiento y accidentes. Los incidentes pueden ser accidentales o equipo de respuesta a incidentes 4.6 Organización de gestión de incidentes
debidos a activaciones intencionalmente maliciosas. Como consecuencia, los equipos de respuesta 4.10.1 Plan de acción detallado para la gestión de
a incidentes efectivos deben estar equipados y preparados para una amplia variedad de posibles incidentes
eventos y estrategias de respuesta. Los tipos de herramientas, equipos y metodologías requeridas 4.11 Estado actual de la capacidad de respuesta a
dependerán de los sistemas y procesos utilizados por la empresa, así como del alcance y estatuto incidentes
de la capacidad de respuesta a incidentes. Es esencial que el gerente de seguridad de la
Herramientas de investigación 4.16.5 Aspectos legales de las pruebas forenses
información identifique claramente el tipo y la naturaleza de los incidentes y eventos que se espera
que maneje el equipo, y luego se asegure de que estén debidamente capacitados y equipados
para hacerlo. A menudo, los conjuntos de habilidades o conjuntos de herramientas que son
demasiado costosos y/o se necesitan con poca frecuencia para mantenerlos internamente de
manera justificada pueden manejarse mediante un acuerdo de servicio con una empresa que se
especializa en actividades de respuesta a incidentes. Un ejemplo son los servicios forenses digitales.
KS4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar y presentar evidencia (por ejemplo,
admisibilidad, calidad e integridad de la evidencia, cadena de custodia)
El análisis forense es un conjunto sistemático y detallado de procedimientos y herramientas Recopilación y 4.16.2 Documentación de eventos
asociadas que se utilizan para ubicar, recopilar y manejar información almacenada en sistemas conservación de pruebas
informáticos para ayudar a determinar la causa raíz y el impacto de un incidente de seguridad
Cadena de custodia 4.16.2 Documentación de eventos
de la información. Con frecuencia, esto implica la recopilación, el manejo y la conservación de
4.16.4 Requisitos de Evidencia
pruebas de una manera que cumpla con los requisitos legales penales o civiles para su admisión
como prueba en un tribunal de justicia. Hasta que se entienda el alcance completo de un incidente,
la mejor suposición es tratar las actividades de investigación y la recopilación de pruebas como si Técnicas de investigación 4.16.1 Identificación de causas y acciones correctivas
hubiera una investigación criminal. Los elementos esenciales de este enfoque incluyen los pasos
necesarios para cumplir con los requisitos legales locales para la recopilación, conservación y 4.16.2 Documentación de eventos
transporte de pruebas (cadena de custodia). También es importante evitar la contaminación de una
posible escena del crimen. El manejo inadecuado de la evidencia puede resultar en la limitación de
opciones para el enjuiciamiento y/o la determinación de las causas de un evento. El gerente de
seguridad de la información debe comprender que los objetivos del análisis forense y la gestión de
incidentes suelen estar en conflicto.
La gestión de incidentes busca resolver problemas y restaurar las operaciones normales

lo más rápido posible, mientras que el análisis forense busca determinar las causas y la
responsabilidad y, por lo tanto, generalmente retrasa la restauración de los servicios. El gerente de
seguridad de la información debe utilizar un enfoque basado en el riesgo para gestionar la situación
de manera adecuada.

todos los derechos.
KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y externos
Según el sector industrial y la jurisdicción legal, ciertos tipos de eventos pueden requerir Requisitos de informes 4.4 Descripción general de la gestión de incidentes
informes a las agencias y autoridades reguladoras. El gerente de seguridad de la legales y reglamentarios 4.5.2 Resultados de la gestión de incidentes
información debe comprender los requisitos legales para informar a las autoridades externas, 4.5.4 Conceptos
así como los tipos de eventos que requieren informar a la gerencia interna y otras partes 4.6.1 Responsabilidades
interesadas. Los requisitos de presentación de informes deben estar debidamente 4.8.3 Alineación estratégica
documentados en las políticas, normas y procedimientos correspondientes. La documentación
debe detallar:
• Los tipos de eventos que deben ser reportados
• A quién (y de qué manera) deben ser informados
• Qué información se debe transmitir
• El marco de tiempo requerido para la
presentación de informes • Otras acciones asociadas que se deben tomar junto con la
presentación de informes
En la mayoría de las organizaciones, los informes requeridos por las autoridades no son
presentados directamente por el gerente de seguridad de la información, sino por el departamento
legal de la organización, que tiene la responsabilidad de garantizar el formato y el contenido
adecuados.
KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar las causas
fundamentales y determinar las acciones correctivas
Los incidentes deben revisarse de manera sistemática y estandarizada para facilitar la Evaluaciones, 4.16 Actividades e investigación posteriores
comprensión de las causas raíz, las vulnerabilidades subyacentes y, posiblemente, las análisis e informes post al incidente
partes responsables del incidente. El enfoque específico utilizado por el gerente de mortem
seguridad de la información puede variar significativamente y depende de la organización,
Gestión de problemas y 4.4 Descripción general de la gestión de incidentes
las capacidades y otros factores. El objetivo principal del análisis post mórtem es documentar
análisis de causa raíz 4.5.2 Resultados de la gestión de incidentes
las "lecciones aprendidas" para evitar eventos similares o relacionados en el futuro.
4.16.1 Identificación de causas y acciones correctivas
Incluso si no se emplean técnicas forenses formales, los incidentes deben investigarse de

manera sistemática para determinar si las causas son técnicas o de procedimiento y exponer Técnicas y prácticas de 4.16.2 Documentación de eventos
las fallas del proceso que dieron lugar al incidente. Esta información proporcionará la base y la investigación.
justificación para las actividades que mejoren la postura de seguridad general de la organización.
medicina forense 4.16.5 Aspectos legales de las pruebas forenses
KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos comerciales derivados de incidentes de seguridad de la
información
El gerente de seguridad de la información debe tener acceso a los recursos apropiados Evaluaciones y 4.4 Descripción general de la gestión de incidentes
para realizar análisis financieros con el fin de determinar los impactos asociados con los análisis de impacto 4.5.4 Conceptos
incidentes de seguridad de la información. Los impactos financieros incluirán no solo los costos financiero 4.12.2 Evaluación del impacto comercial
directos de un incidente, sino que deben incluir todos los costos relacionados y consecuentes.
Técnicas para 4.12.2 Evaluación del impacto comercial
Estos pueden incluir interrupciones en la productividad, los costos de las medidas de mitigación
cuantificar los impactos 4.13.10 Integración de objetivos de recuperación y
posteriores, posibles daños a la reputación y sanciones regulatorias. Este análisis es necesario
financieros análisis de impacto con respuesta a
tanto para la información financiera precisa como para proporcionar una base para las estrategias
incidentes
de mitigación de riesgos inmediatas y de largo plazo.
Responsabilidad y 4.5.3 Gestión de incidentes
exposición de terceros 4.13.16 Seguro

CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la información Explicación
Conceptos clave Referencia en el Manual de revisión del CISM de 2013
La gestión de riesgos efectiva incluye capacidades para detectar rápidamente eventos que tienen Seguridad de la Información y 4.5.5 Sistemas de gestión de incidentes
implicaciones de seguridad. Responder adecuadamente requiere la capacidad de analizar con Gestión de eventos 4.13.4 Abordar las amenazas
precisión la naturaleza y el alcance de estos eventos. El análisis eficaz depende, a su vez, de
Detección de intrusos 4.5.5 Sistemas de gestión de incidentes
registros completos y precisos. Hay una variedad de tecnologías disponibles para detectar,
Sistemas (IDS, IPS, HIDS, 4.13.4 Abordar las amenazas
registrar y analizar eventos de seguridad. Estos incluyen sistemas de detección y prevención de
NIDO)
incidentes (IDS, IPS), IDS basados en host (HIDS) e IDS basados en red (NIDS), firewalls, gestión
de información de seguridad (SIM) y herramientas de gestión de eventos e información de
seguridad (SIEM). Las herramientas SIEM contemporáneas tienen la capacidad de correlacionar
información de una variedad de dispositivos y sistemas para detectar eventos de seguridad,
proporcionar capacidades de notificación y luego organizar eventos durante la remediación.
Otra característica importante de los sistemas de gestión de incidentes es su capacidad para

rastrear un incidente durante su ciclo de vida. El seguimiento es una característica poderosa
que garantiza que los incidentes no se pasen por alto y que reciban la atención necesaria en
función de la criticidad. Permite a los usuarios proporcionar más información y recibir
actualizaciones de estado a lo largo del ciclo de vida del evento hasta que se cierra. Lo más
probable es que el sistema se ofrezca en un formato basado en la web para facilitar el acceso.
Un sistema eficaz de gestión de incidentes debería:

• Consolide y correlacione las entradas de múltiples sistemas
• Identificar incidentes o incidentes potenciales •
Priorizar incidentes en función del impacto en el negocio
• Haga un seguimiento de los incidentes hasta que se cierren
• Proporcionar seguimiento de estado y notificaciones

• Integrarse con los principales sistemas de gestión de TI
KS4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la información
El gerente de seguridad de la información efectivo debe tener experiencia general en técnicas de Evaluaciones, 4.16 Actividades e investigación posteriores
investigación, autopsias y requisitos legales en caso de una violación de la seguridad. Una razón análisis e informes post al incidente
principal es comprender las vulnerabilidades que se explotaron para mejorar la seguridad y evitar mortem 4.16.3 Establecimiento de Procedimientos
que se repitan. En muchos casos, también existen requisitos legales para la notificación si la 4.16.4 Requisitos de Evidencia
información personal o la infraestructura crítica se ven comprometidas. Anexo 4.2 Roles y responsabilidades
Gestión de problemas y 4.5.2 Resultados de la gestión de incidentes

análisis de causa raíz 4.16 Actividades e investigación posteriores
También es fundamental que el personal comprenda los requisitos para la
al incidente
conservación de pruebas y el mantenimiento de la cadena de custodia.
4.16.1 Identificación de causas y acciones correctivas
4.16.3 Establecimiento de procedimientos
Determinar las causas de un incidente generalmente requiere experiencia en
tecnologías aplicables y puede requerir competencia en análisis forense.
Los atacantes sofisticados pueden borrar la mayoría o la totalidad de sus huellas y
Anexo 4.2 Roles y responsabilidades
pueden presentar un desafío importante para determinar el origen y la naturaleza de un
compromiso. En muchos casos, el objetivo no se da cuenta de una intrusión hasta que ha Técnicas y prácticas de 4.16 Actividades e investigación posteriores
pasado un tiempo considerable. En un caso reciente que involucró a TJX, 18 meses después investigación. al incidente
del evento, un consultor descubrió sin darse cuenta que se habían robado 80 gigabytes de 4.16.2 Documentación de eventos
datos de tarjetas de crédito de clientes. 4.16.3 Establecimiento de procedimientos
Las habilidades de investigación especializadas adecuadas pueden no estar disponibles Anexo 4.2 Roles y responsabilidades
internamente, en cuyo caso es prudente tener acuerdos con proveedores externos de estas
medicina forense 4.16.4 Requisitos de Evidencia
habilidades. Muchas consultorías pueden proporcionar esta experiencia según sea necesario.
Además, puede que no sea rentable para la organización adquirir un software forense
especializado como EnCase y la capacitación asociada que se necesita solo para un uso
ocasional.

RECURSOS SUGERIDOS PARA ESTUDIO ADICIONAL 4.3 PREGUNTAS DE AUTOEVALUACIÓN
Alberto, Cecilia; Audrey J. Dorofee; Georgia Killcrece; petirrojo ruefle; Mark PREGUNTAS
Zajicek; Definición de procesos de gestión de incidentes para CSIRT: un trabajo en
Las preguntas del examen CISM se desarrollan con la intención de medir y probar el
progreso, Instituto de ingeniería de software, Universidad Carnegie Mellon, EE. UU.,
conocimiento práctico en la gestión de la seguridad de la información. Todas las
2004, www.sei.cmu.edu/
preguntas son de opción múltiple y están diseñadas para una mejor respuesta. Cada
publicaciones/ documentos/ 04.reports/ 04tr015.html
pregunta CISM tiene un tallo (pregunta) y cuatro opciones (opciones de respuesta). Se
le pide al candidato que elija la respuesta correcta o la mejor de las opciones. La raíz
Burtles, Jim; Principios y práctica de la continuidad del negocio: herramientas
puede tener la forma de una pregunta o una declaración incompleta. En algunos casos,
y técnicas, Rothstein Associates Inc., EE. UU., 2007
también se puede incluir un escenario o un problema de descripción. Estas preguntas
normalmente incluyen una descripción de una situación y requieren que el candidato
Universidad Carnegie Mellon, Instituto de Ingeniería de Software, Centro de
responda dos o más preguntas basadas en la información proporcionada. Muchas
Coordinación CERT®; Creación de un equipo de respuesta a incidentes de
veces, una pregunta del examen CISM requerirá que el candidato elija la respuesta más
seguridad informática: un proceso para comenzar, febrero de 2006, www.cert.org/ csirts/
probable o mejor.
Creating-A-CSIRT.html
Endorf, Carl; Eugenio Schultz; Jim Mellander; Detección y prevención de intrusiones,

McGraw-Hill, EE. UU., 2004
En todos los casos, se requiere que el candidato lea la pregunta cuidadosamente,
elimine las respuestas incorrectas conocidas y luego haga la mejor elección posible.
Agencia Federal para el Manejo de Emergencias, EE. UU., www.fema.org
Conocer el formato en el que se hacen las preguntas y cómo estudiar para obtener
conocimiento de lo que se puede evaluar contribuirá en gran medida a responderlas
Graham, Julia; David Kaye; Un enfoque de gestión de riesgos para la continuidad
correctamente.
del negocio, Rothstein Associates Inc., EE. UU., 2006
Grance, Tim.; Karen Scarfone; Kelly Masone; Guía de manejo de incidentes de seguridad
4-1 El objetivo PRINCIPAL de una revisión posterior al incidente es:
informática: recomendaciones del Instituto Nacional de Estándares y Tecnología,
Publicación NIST 800-61 rev. 2 de febrero de 2012, www.csrc.nist.gov/ publications/
A. reunir pruebas para acciones legales posteriores.
nistpubs/
B. identificar a las personas que no tomaron las medidas adecuadas.
800-61-rev2/ sp800-61rev2.pdf
C. preparar un informe sobre el incidente para la gerencia.
D. derivar formas de mejorar el proceso de respuesta.
Hiles, Andrés; El Manual Definitivo de Gestión de la Continuidad del
Negocio, 2ª Edición; John Wiley & Sons Inc., EE. UU., 2008
4-2 ¿Cuál de las siguientes es la cualidad MÁS apropiada que debe poseer un
manejador de incidentes?
Kabay, ME; Gestión de CSIRT, EE. UU., 2009, pág. 15,

A. Habilidades de presentación para el informe de gestión
www.mekabay.com/ infosecmgmt/ csirtm.pdf
B. Habilidad para seguir políticas y procedimientos
C. Integridad
Snedaker, Susan; Planificación de recuperación ante desastres y continuidad
D. Capacidad para hacer frente al estrés
empresarial para profesionales de TI, Syngress Publishing Inc., EE. UU., 2007
4-3 ¿Cuál es la razón PRINCIPAL para realizar el triaje?
Symantec; Administración de incidentes de seguridad en la empresa,

A. Recursos limitados en el manejo de incidentes
www.symantec.com/ avcenter/ reference/ incident.manager.pdf
B. Como parte del proceso obligatorio en el manejo de incidentes
C. Para mitigar un incidente
D. Para detectar un incidente
4-4 ¿Cuál de los siguientes es MÁS importante al decidir si construir una instalación
alternativa o suscribirse a un sitio caliente operado por un tercero?
A. Costo de reconstruir las instalaciones de procesamiento de información

B. Costo diario incremental de perder diferentes sistemas
C. Ubicación y costo de las instalaciones comerciales de recuperación
D. Expectativa de pérdida anualizada estimada (ALE) de
riesgo clave
Nota: Las publicaciones en negrita se almacenan en la librería de ISACA.

4-5 ¿Cuál de los siguientes documentos debe estar contenido en un RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIÓN
manual del equipo de respuesta a incidentes informáticos (CIRT)?
4-1 D El objetivo de una revisión posterior al incidente es derivar formas en las que se
A. Evaluación de riesgos
puede mejorar el proceso de respuesta a incidentes.
B. Criterios de gravedad
No debe centrarse en encontrar y castigar a aquellas personas
C. Directorio telefónico de empleados
que no tomaron las medidas adecuadas o no conocieron la identidad
D. Tabla de todos los archivos de copia de seguridad
del atacante. La evidencia ya debería haberse reunido antes en el
proceso. Aunque la revisión posterior al incidente se puede utilizar
4-6 ¿Cuál de los siguientes tipos de cobertura de seguro protegería a una
para preparar un informe/presentación a la gerencia, no es el objetivo
organización contra el comportamiento deshonesto o fraudulento de sus
principal.
propios empleados?
A. Fidelidad
4-2 D Los manejadores de incidentes trabajan en entornos de alto estrés cuando se
B. Interrupción del negocio
enfrentan a incidentes. Es probable que se tomen decisiones
C. Documentos y registros valiosos
incorrectas si la persona no puede hacer frente al estrés; por lo
D. Continuidad del negocio
tanto, la principal cualidad de los enumerados es hacer frente al
estrés.
4-7 ¿Cuál de las siguientes prácticas garantizaría MEJOR la idoneidad de un plan
de recuperación ante desastres?
4-3 La clasificación se lleva a cabo principalmente porque los recursos
para el manejo de incidentes son limitados. Con la
A. Revisiones periódicas de la información del plan de
categorización, priorización y asignación de incidentes en
recuperación B. Repaso de los planes de recuperación ante desastres
función de su criticidad, los recursos se pueden asignar de manera
C. Ejercicios regulares de recuperación, utilizando personal experto
más eficiente. Otras opciones son parte de los procesos de manejo
D. Auditorías periódicas de las instalaciones de recuperación de desastres
de incidentes.
4-8 ¿Cuál de los siguientes procedimientos proporcionaría la

4-4 C La decisión de construir una instalación alternativa o alquilar instalaciones
¿ MEJOR protección si un intruso o un programa malicioso ha obtenido
de hotsite de un tercero debe basarse completamente en
acceso de superusuario (p. ej., raíz) a un sistema?
decisiones comerciales de costo y si la ubicación es susceptible
al mismo riesgo ambiental que la instalación principal.
A. Evitar que los administradores del sistema accedan
el sistema hasta que se pueda demostrar que no fueron los atacantes.
4-5 B El criterio de gravedad permanecerá relativamente estático y es

B. Inspeccione el sistema y la salida de detección de intrusos para
la única de las opciones que es apropiada para el manual. Las otras
identificar todos los cambios y luego deshacerlos.
opciones cambiarán con frecuencia y no tendría sentido volver a
C. Reconstruya el sistema utilizando los medios originales.
imprimir el manual cada vez que cambien los números de teléfono o
D. Cambie todas las contraseñas y luego reanude las operaciones normales.
los archivos de copia de seguridad.
4-9 ¿Cuál de los siguientes es probable que sea el desafío MÁS importante al desarrollar
4-6 A Cobertura de fidelidad significa cobertura de seguro contra
un plan de gestión de incidentes?
pérdida por deshonestidad o fraude por parte de los empleados.
A. El plan no se alinea con los objetivos de la organización

4-7 A La falla más común de los planes de recuperación ante desastres es la falta
B. Implementación de centralización de registros, correlación y seguimiento
de mantenimiento de la información actualizada.
de eventos
Los diversos tipos de ejercicios de recuperación, incluidos los
C. Desarrollo de métricas de incidentes
recorridos, no serán suficientes para determinar la idoneidad del
D. Falta de apoyo gerencial y organizacional
plan en circunstancias reales.
consenso
Los ejercicios de recuperación que utilizan personal experto no
suelen ser realistas ya que, en desastres reales, no se sabe con
4-10 Si se necesita una copia forense de un disco duro, los datos copiados son los
certeza qué personal estaría disponible. Las auditorías pueden ser
MÁS defendibles desde un punto de vista legal si se utiliza cuál de los
útiles para descubrir algunas deficiencias del plan, pero no brindarían
siguientes?
un alto nivel de garantía de la ejecución exitosa del plan.
A. Una copia comprimida de todo el contenido del disco duro

B. Una copia que incluya todos los archivos y directorios
C. Una copia bit a bit de todos los datos
D. Una copia encriptada de todo el contenido del disco duro

4-8 C Si alguien, o un programa malicioso, obtiene privilegios de superusuario

en un sistema sin autorización, la organización nunca sabe
realmente lo que el perpetrador o el programa le han hecho al
sistema. La única forma de asegurar la integridad del sistema
es borrar el sistema (por lo general, después de hacer una
copia de seguridad completa de los datos con el fin de realizar
un análisis más detallado y también para evitar la destrucción
de datos que pueden no existir en otro lugar) y comenzar de
nuevo reinstalando el sistema operativo y las aplicaciones.
Tenga en cuenta que la opción D sería defendible si el sistema
se reconstruyera primero, pero la forma en que está redactada
esta alternativa la hace incorrecta porque omite cualquier
mención de la necesidad de reconstruir el sistema. Para ser
correcta, la opción D tendría que estar redactada como
"reconstruir el sistema y luego cambiar todas las contraseñas".
4-9 D Obtener la aceptación de la alta dirección suele ser difícil, pero es el

primer paso necesario para avanzar con cualquier plan de
gestión de incidentes. El plan de gestión de incidentes es un
subconjunto de la estrategia de seguridad, que ya se alinea
con los objetivos de la organización y, por lo tanto, no
representa un desafío importante.
También se requiere la implementación de la centralización
de registros, la correlación y el seguimiento de eventos,
así como el desarrollo de métricas de incidentes, pero no
son los desafíos más importantes.
4-10 C No hay alternativa a hacer una copia bit a bit, si uno quiere evidencia
forense que sea “hermética”. Solo una copia de bits dará como
resultado la captura de todos los datos en un disco duro. Al
copiar todos los archivos y carpetas, por el contrario, se
perderán ciertos datos, como los datos entre el final de un
archivo y el final del sector del disco ("espacio de holgura").

Capítulo 4—Gestión de incidentes de seguridad de la información Sección Dos: Contenido
• Determinar las causas raíz •

Sección Dos: Contenido Implementar mejoras para evitar la recurrencia
• Documento e informe
4.4 DESCRIPCIÓN GENERAL DE LA GESTIÓN DE INCIDENTES

Por definición, los incidentes son inesperados y, a menudo, confusos. La capacidad de
detectar y evaluar la situación, determinar las causas y llegar rápidamente a soluciones
La gestión y respuesta a incidentes puede considerarse la parte de operaciones
puede significar la diferencia entre un inconveniente y un desastre. Una consideración
de emergencia de la gestión de riesgos. Se incluyen las actividades que resulten de
importante es conocer el punto en el que un incidente se convierte en un problema y, en
ataques no anticipados, pérdidas, robos, accidentes o cualquier otro evento adverso
consecuencia, cuando la incapacidad para abordar adecuadamente un problema amerita la
inesperado que ocurra como resultado de la falla o falta de controles.
declaración de un desastre. El momento de tomar esas determinaciones no es en medio de
una crisis.
El propósito de la gestión y respuesta a incidentes es identificar y responder a eventos

disruptivos inesperados con el objetivo de controlar los impactos dentro de niveles
La planificación rigurosa y el compromiso de los recursos son necesarios para planificar
aceptables. Estos eventos pueden ser técnicos, como ataques montados en la red a través
de virus, denegación de servicio (DoS) o intrusión del sistema, o pueden ser el resultado adecuadamente tales eventos. Al igual que con otros aspectos de la seguridad, es
fundamental lograr el consenso de las partes interesadas y el apoyo de la alta dirección
de errores, accidentes o fallas del sistema o del proceso.
para una capacidad de gestión de incidentes eficaz. El apoyo se puede lograr como
resultado de los impactos de incidentes anteriores en la organización o en otros incidentes,
Las interrupciones también pueden ser causadas por una variedad de eventos físicos,
y/o del desarrollo de un caso de negocios persuasivo. La gestión y la respuesta a incidentes
como el robo de información patentada, ingeniería social, cintas de respaldo o
pueden dar como resultado costos generales de seguridad más bajos al establecer líneas de
computadoras portátiles perdidas o robadas, condiciones ambientales como inundaciones,
base para abordar eventos comunes, pero brindando protección contra ocurrencias
incendios o terremotos. Cualquier tipo de incidente que pueda afectar significativamente
relativamente raras con una capacidad de respuesta, contención y recuperación. Esto es
la capacidad de operación de la organización, o que pueda causar daños, debe ser
similar al enfoque común para la protección contra incendios mediante una combinación de
considerado por el gerente de seguridad de la información y normalmente formará parte
medios de prevención razonables, junto con la respuesta del departamento de bomberos si la
de las capacidades de gestión y respuesta de incidentes.
prevención falla y, finalmente, un seguro en el caso poco común de que las medidas de
respuesta y manejo de incidentes fallen. Si bien se podría construir una estructura totalmente
a prueba de incendios, la rentabilidad óptima utiliza una combinación de enfoques de gestión
La gestión de incidentes puede incluir actividades que sirven para minimizar la posibilidad
de riesgos.
de ocurrencias o disminuir los impactos, o ambos, aunque esta suele ser una de las funciones
de la gestión de riesgos.
Un ejemplo sería asegurar físicamente las computadoras portátiles para disminuir la
posibilidad de robo, así como encriptar los discos duros para reducir el impacto del robo o
Muchas organizaciones tienen un departamento separado responsable de BCP y
la pérdida.
recuperación de desastres (DR) y el grado de participación y autoridad de la seguridad
de la información variará ampliamente. Independientemente de cómo estén estructurados
Al igual que con otros aspectos de la gestión de riesgos, las evaluaciones de impacto
estos departamentos, es esencial que trabajen en estrecha colaboración y que los planes
comercial y de riesgos forman la base para determinar la prioridad de las actividades de
sean complementarios y estén bien integrados. Debe estar claramente definido quién
respuesta y protección de recursos.
está a cargo de qué tipo de eventos y debe haber criterios claros de severidad y
declaración. Los criterios de severidad deben ser consistentes, descritos concisamente y
La gestión y respuesta a incidentes es parte de la planificación de la continuidad del negocio
fáciles de entender para que los niveles de severidad de eventos similares se determinen
(BCP), al igual que la recuperación ante desastres. Como “primeros en responder” a eventos
uniformemente. También se deben establecer criterios de declaración para que quede claro
adversos relacionados con la seguridad de la información, el objetivo es evitar que los
quién tiene la autoridad para determinar el nivel de respuesta, activar los equipos, declarar
incidentes se conviertan en problemas y evitar que los problemas se conviertan en desastres.
un desastre y movilizar el proceso de recuperación. Los criterios de gravedad y su uso deben
ser ampliamente publicados. El personal debe estar capacitado para reconocer incidentes
potenciales y la clasificación adecuada y debe estar capacitado en los requisitos de
El alcance de la gestión de incidentes y las capacidades de respuesta deben
notificación, informe y escalado. El gerente de seguridad de la información debe ser
equilibrarse cuidadosamente con la seguridad básica, la continuidad del negocio y la
consciente de que, independientemente de qué tan bien se planeen y manejen los incidentes,
recuperación ante desastres. Por ejemplo, si la capacidad de respuesta es escasa o nula,
siempre existe la posibilidad de que los eventos se conviertan en un desastre.
puede ser prudente aumentar los niveles de seguridad básicos. El nivel de capacidad de
gestión de incidentes también debe considerarse en el contexto de BCP y la planificación de
recuperación ante desastres (DRP). Llegará un punto en el que será más rentable recurrir a
opciones de procesamiento alternativas que mantener un alto nivel de gestión de incidentes
y capacidad de respuesta.
Teniendo en cuenta la necesidad de respuesta a incidentes, la continuidad del negocio
(BC) y DR para trabajar juntos, este capítulo cubrirá los siguientes temas:
El objetivo de las actividades de gestión y respuesta a incidentes se puede resumir como:

• Procedimientos de respuesta a incidentes
• Procedimientos de recuperación ante desastres y continuidad del negocio
• Detectar incidentes rápidamente
• Pruebas de planes
• Diagnosticar incidentes con precisión
• Actividades e investigaciones posteriores a incidentes y eventos
• Gestionar adecuadamente los incidentes
• Contener y minimizar los daños
• Restaurar los servicios afectados

Estas actividades garantizarán que:

4.5 PROCEDIMIENTOS DE RESPUESTA A INCIDENTES
• Los activos de información están adecuadamente protegidos y el nivel de riesgo es
dentro de límites aceptables.
No hay garantía de que incluso los mejores controles posibles eviten que ocurran
• Los planes de respuesta a incidentes efectivos están implementados y son entendidos por
incidentes disruptivos y, a veces, incluso catastróficos. Los eventos adversos, como
las partes interesadas relevantes (p. ej., administración, departamentos de TI, usuarios
brechas de seguridad, cortes de energía, incendios y desastres naturales, pueden detener
finales, manejadores de incidentes).
las operaciones comerciales y de TI. La gestión de respuesta permite que una empresa
• Los incidentes están identificados y contenidos, y la causa raíz es
responda de manera efectiva cuando ocurre un incidente, continúe las operaciones en caso
para permitir la recuperación dentro de una ventana de interrupción aceptable (AIW).
de interrupción y sobreviva a las interrupciones o brechas de seguridad en los sistemas de
información.
• Existe un buen control de los flujos de comunicación con las diferentes partes
interesadas y partes externas, tal como se documenta en el plan de comunicación.
La siguiente sección cubre la necesidad de capacidades de respuesta a incidentes y las

• Las lecciones aprendidas se documentan y comparten con las partes interesadas para
responsabilidades típicas de un gerente de seguridad de la información. Estas
aumentar el nivel de conciencia de seguridad y servir como base para la mejora.
responsabilidades pueden variar significativamente en diferentes organizaciones y, en
algunos casos, también pueden incluir algunas actividades de DR y BC.
• Se proporciona garantía a las partes interesadas internas y externas (p. ej., clientes,
proveedores, socios comerciales) de que la organización tiene un control adecuado y está
preparada para garantizar la supervivencia del negocio a largo plazo.
4.5.1 IMPORTANCIA DE LA GESTIÓN DE INCIDENCIAS
A medida que las organizaciones confían cada vez más en los procesos y sistemas de
información, y la interrupción significativa de esas actividades da como resultado impactos
4.5.3 GESTIÓN DE INCIDENCIAS
inaceptablemente graves, la importancia de la gestión y respuesta de incidentes eficaces
Dependiendo de la organización, el grado de participación del gerente de seguridad
ha aumentado. Algunos de los factores que agravan la necesidad incluyen:
de la información en BCP/DR, BCP/DRP y la respuesta a incidentes variará
considerablemente. La situación típica es que el gerente de seguridad de la información
• La tendencia de aumento de ocurrencias y aumento de pérdidas resultantes de
tiene, como mínimo, la responsabilidad de ser el primero en responder a los incidentes
incidentes de seguridad de la información
relacionados con la seguridad de la información, independientemente de las causas.
• El aumento de vulnerabilidades en software o sistemas que afectan gran parte de la
infraestructura de una organización y afectan las operaciones
Para tratar con eficacia los incidentes de seguridad, es importante que el gerente de
• Incumplimiento de los controles de seguridad para prevenir incidentes
seguridad de la información tenga una buena comprensión conceptual y práctica de
• Grupos legales y regulatorios que requieren el desarrollo de un
lo que se requiere para abordar adecuadamente esas responsabilidades. Además,
capacidad de gestión de incidentes
debe haber una buena comprensión de los procesos BC y DR. Esto es para garantizar
• La creciente sofisticación y capacidades de las empresas con fines de lucro
atacantes que la gestión de incidentes y los planes y actividades de respuesta se integren bien con el
BCP y el DRP generales en caso de que un incidente se convierta en un desastre.
4.5.2 RESULTADOS DE LA GESTIÓN DE INCIDENTES

La gestión de incidentes es un término que incluye la respuesta a incidentes.
La gestión de incidentes abarca una variedad de actividades, incluidos los esfuerzos
4.5.4 CONCEPTOS
proactivos para limitar o prevenir incidentes, mientras que la respuesta a incidentes es el
El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon
elemento reactivo en caso de que ocurra un incidente.
(CMU) proporciona las siguientes definiciones:
• El manejo de incidentes es un servicio que involucra todos los procesos o tareas
El resultado de una buena gestión y respuesta a incidentes será una organización que
asociadas con el manejo de eventos e incidentes. Implica múltiples funciones:
pueda lidiar de manera efectiva con eventos imprevistos que podrían amenazar con
interrumpir el negocio. La organización contará con las capacidades de detección y
– Detección y notificación: la capacidad de recibir y revisar
seguimiento suficientes para garantizar que los incidentes se detecten en el momento
información de eventos, informes de incidentes y alertas
oportuno. Habrá criterios de declaración y severidad bien definidos, así como procesos
– Triage—La acción tomada para categorizar, priorizar y asignar
definidos de escalamiento y notificación. Se capacitará al personal en el reconocimiento de
eventos e incidentes
incidentes, la aplicación de criterios de gravedad y los procedimientos adecuados de
– Análisis—El intento de determinar lo que ha sucedido,
notificación y escalamiento. La organización tendrá capacidades de respuesta que respaldarán
el impacto y la amenaza, el daño resultante y los pasos de recuperación o mitigación
de manera demostrable la estrategia comercial al responder a la criticidad y sensibilidad de
que deben seguirse
los recursos protegidos. La organización servirá para gestionar proactivamente el riesgo de
– Respuesta a incidentes: la acción tomada para resolver o mitigar un incidente,
incidentes de forma adecuada y rentable y proporcionará la integración de las funciones
coordinar y difundir información e implementar estrategias de seguimiento para
organizativas relacionadas con la seguridad para maximizar la eficacia.
prevenir incidentes recurrentes.
• La gestión eficaz de incidentes asegurará que los incidentes se detecten, registren y

gestionen para limitar los impactos. Es necesario registrar los incidentes para que
La organización proporcionará monitoreo y métricas para medir el desempeño de la
ningún aspecto de un incidente se pase por alto sin darse cuenta, para que las
gestión de incidentes y las capacidades de respuesta, y probará periódicamente sus
actividades de respuesta a incidentes puedan rastrearse y para que la información
capacidades y garantizará que la información y los planes se actualicen regularmente,
pueda proporcionarse para ayudar a las actividades de planificación. También es
estén actualizados y accesibles cuando sea necesario.
necesario grabar para

documentar información que potencialmente incluye datos forenses que Un sistema eficaz de gestión de incidentes debería:
pueden usarse para buscar opciones legales. Los incidentes deben • Consolide y correlacione las entradas de múltiples sistemas
clasificarse para garantizar que se prioricen correctamente y se enruten a los • Identificar incidentes o incidentes potenciales •
recursos correctos. La gestión de incidentes incluye procesos de soporte inicial Priorizar incidentes en función del impacto en el negocio
que permiten que los nuevos incidentes se cotejen con errores y problemas • Haga un seguimiento de los incidentes hasta que se cierren
conocidos para que cualquier solución alternativa previamente identificada pueda • Proporcionar seguimiento de estado y notificaciones
identificarse rápidamente. • Integrarse con los principales sistemas de gestión de TI
• Implementar guías de buenas prácticas
En resumen, la gestión de incidentes proporciona una estructura mediante
la cual los incidentes pueden investigarse, diagnosticarse, resolverse y luego Hay eficiencias potenciales y ahorros de costos que se pueden realizar
cerrarse. El proceso garantiza que los incidentes sean propiedad, rastreados y utilizando sistemas automatizados de gestión de incidentes. Algunas
monitoreados a lo largo de su ciclo de vida. Puede haber ocasiones en las que consideraciones para el gerente de seguridad de la información pueden incluir:
ocurran incidentes importantes que requieran una respuesta más allá de la • Costos operativos: en ausencia de un sistema de gestión de incidentes
proporcionada por el proceso normal de incidentes y pueden requerir la activación automatizado y centralizado, es posible que se requiera que el personal de
de las capacidades de BCP/DR. seguridad de la información monitoree diferentes dispositivos de seguridad,
correlacione eventos y procese la información manualmente. Con este enfoque,
La gestión de incidentes a menudo incluye otras funciones, como la gestión existen costos adicionales para capacitar y mantener al personal a largo plazo.
de vulnerabilidades y la capacitación en concientización sobre seguridad. También hay una mayor probabilidad de error humano.
Puede incluir actividades proactivas destinadas a ayudar a prevenir • Costos de recuperación: un sistema automatizado, cuando se configura
incidentes. correctamente, puede detectar y escalar incidentes significativamente más rápido
• La respuesta a incidentes es el último paso en un proceso de manejo de que cuando se usa un proceso manual. La cantidad de daño puede controlarse y
incidentes que abarca la planificación, coordinación y ejecución de cualquier prevenirse más daños cuando las acciones de recuperación se inician más
estrategia y acción apropiada de mitigación y recuperación. temprano que tarde. En el caso de un sistema de gestión manual, un proceso de
análisis más largo puede contribuir a un mayor daño antes de que se contengan
El gerente de seguridad de la información también debe ser consciente de la los incidentes.
posibilidad de incidentes no técnicos que deben planificarse y abordarse. Estos
incidentes pueden incluir ingeniería social, cintas de respaldo o computadoras
portátiles perdidas o robadas, robo físico de materiales confidenciales, desastres
naturales, etc.
4.6 ORGANIZACIÓN DE GESTIÓN DE INCIDENTES
La capacidad de gestión de incidentes en una organización es, en

4.5.5 SISTEMAS DE GESTIÓN DE INCIDENCIAS sentido figurado, el cuerpo de bomberos y el servicio de ambulancias para una
La gran cantidad de información y actividades en sistemas cada vez más variedad de incidentes, incluido el procesamiento y los procesos de información.
complejos ha impulsado el desarrollo de sistemas automatizados de gestión de Está ahí para responder y gestionar incidentes con el fin de contener y minimizar
incidentes en los últimos años. Estos sistemas automatizan muchos procesos los daños. Los incidentes mal gestionados tienen la capacidad de convertirse en
manuales que brindan información filtrada que puede identificar posibles desastres si no se gestionan de forma eficaz. Un ejemplo típico sería una
incidentes técnicos y alertar al equipo de gestión de incidentes (IMT). institución financiera infectada con malware troyano. La ausencia de un plan de
respuesta a incidentes probado y la falta de una respuesta adecuada mientras el
troyano capturaba datos sin obstáculos podría poner en juego la viabilidad de toda la
Un ejemplo de un sistema de gestión de incidentes distribuido es uno que contiene organización debido a pérdidas financieras sustanciales, así como al daño a la
múltiples capacidades específicas de detección de incidentes, por ejemplo, reputación.
sistemas de detección de incidentes de red (NIDS), sistemas de detección de
intrusos de host (HIDS) y registros de servidor/dispositivo. Así como existen requisitos para abordar emergencias médicas y de incendios
utilizando personas capacitadas y equipos apropiados, el administrador de
Un ejemplo de un sistema centralizado de gestión de incidentes es un seguridad de la información prudente debe planificar para la gama inevitable de
administrador de eventos e información de seguridad (SIEM). Esta incidentes que probablemente interrumpan las operaciones comerciales de la
herramienta combina esencialmente eventos críticos y registros de muchos organización en un grado inaceptable.
sistemas diferentes y los correlaciona con información de incidentes más
significativa. A partir de ahí, se puede realizar un procesamiento adicional, por La gestión de incidentes es, nominalmente, un componente de la gestión
ejemplo, priorizar incidentes en función de sus impactos comerciales o realizar de riesgos y puede considerarse el elemento operativo y reactivo. Es decir, si la
notificaciones/escalados específicos en función de las calificaciones de impacto. gestión del riesgo fue insuficiente para evitar que una amenaza se materialice y
cause un impacto, la gestión de incidentes y las capacidades de respuesta deben
Otra característica importante de los sistemas de gestión de incidentes es su estar disponibles para reaccionar adecuadamente para limitar el daño y restaurar las
capacidad para rastrear un incidente durante su ciclo de vida. El seguimiento es una operaciones.
característica poderosa que garantiza que los incidentes no se pasen por alto y que
reciban la atención necesaria en función de la criticidad. El gerente de seguridad de la información debe comprender las diversas
El seguimiento permite a los usuarios proporcionar más información y recibir actividades involucradas en un programa de respuesta y recuperación.
actualizaciones de estado a lo largo del ciclo de vida del evento hasta que se cierra. Esto incluye reunirse con funcionarios de manejo de emergencias (federales,
El sistema se ofrece con mayor frecuencia en un formato basado en la web estatales/provinciales, municipales/locales) para comprender qué capacidades
para facilitar el acceso. gubernamentales existen. Es probable que estos funcionarios tengan
información sobre la naturaleza del riesgo al que

la ubicación o el área es susceptible. La mayoría de los países y gobiernos cuentan con 4.6.2 COMPROMISO DE LA ALTA DIRECCIÓN
agencias de defensa civil y/o de manejo de emergencias que tienen la tarea de asesorar
Como ocurre con otros aspectos de la seguridad de la información, el compromiso de
y ayudar a la población a enfrentar una amplia gama de amenazas naturales y de origen
la alta dirección es fundamental para el éxito de la gestión y respuesta a incidentes. Es
humano.
un componente de la gestión de riesgos y la misma lógica y justificación servirá.
Las actividades de gestión de emergencias normalmente se centran en las

actividades inmediatamente posteriores a un incidente. Esto puede incluir actividades
Se puede hacer un caso de negocios para que la gestión y respuesta efectiva de incidentes
durante o después de un desastre físico, incendio, falla eléctrica o incidente relacionado
sea una opción menos costosa que intentar implementar controles para todas las
con la seguridad. Estos eventos pueden requerir una acción inmediata para recuperar el
condiciones posibles. La gestión de incidentes y la respuesta pueden ser parte de la
estado operativo. Las acciones pueden requerir la restauración del hardware, software y/o
compensación que puede reducir el costo de los esfuerzos de gestión de riesgos al permitir
archivos de datos. Las actividades de gestión de emergencias también suelen incluir
niveles más altos de riesgo aceptable.
medidas para garantizar la seguridad del personal, como planes de evacuación y la creación
de un centro de mando desde el que se pueden ejecutar los procedimientos de emergencia.
La respuesta adecuada a incidentes, en combinación con una seguridad de la
También es importante que la información sobre un incidente solo se comunique cuando
información eficaz, crea una solución práctica de gestión de riesgos que puede ser más
sea necesario.
rentable a largo plazo y puede ser la decisión de gestión de recursos más prudente.
4.6.1 RESPONSABILIDADES
4.7 RECURSOS DE GESTIÓN DE INCIDENCIAS
Por lo general, hay una serie de responsabilidades de gestión de incidentes
que el gerente de seguridad de la información debe asumir. Estos generalmente
Hay una serie de recursos disponibles en la organización típica que deben identificarse y
incluirán:
utilizarse en el desarrollo de un plan de respuesta y gestión de incidentes. Al igual que con
• Desarrollar planes de respuesta y gestión de incidentes de seguridad de la
otros aspectos de la seguridad de la información, es esencial desarrollar un alcance y
información
objetivos claros, así como una estrategia de implementación. La estrategia debe considerar
• Manejar y coordinar las actividades de respuesta a incidentes de seguridad de
los elementos necesarios para pasar del estado actual de gestión de incidentes al estado
la información de manera eficaz y eficiente. deseado. Esto aclarará qué recursos se requieren y cómo deben desplegarse.
• Validación, verificación y reporte de protección o
soluciones de contramedidas, tanto técnicas como administrativas
• Planificación, elaboración de presupuestos y desarrollo de programas para todos los asuntos
relacionados con la gestión y respuesta a incidentes de seguridad de la información

4.7.1 POLÍTICAS Y ESTÁNDARES
El enfoque de la respuesta a incidentes puede variar según la situación, pero los El plan de respuesta a incidentes debe estar respaldado por políticas, estándares
objetivos son constantes e incluyen: y procedimientos bien definidos. Un conjunto documentado de políticas, estándares y
• Contención de los efectos del incidente para que los daños y las pérdidas no se salgan procedimientos es importante para:
de control • Garantizar que las actividades de gestión de incidentes estén alineadas con la misión
de IMT
• Notificar a las personas apropiadas con el fin de recuperar o proporcionar la información
necesaria • Establecer expectativas correctas
• Recuperarse rápida y eficientemente de incidentes de seguridad • Minimizar el • Proporcionar orientación para las necesidades operativas
impacto del incidente de seguridad • Responder sistemáticamente y disminuir la • Mantener la consistencia y confiabilidad de los servicios
probabilidad de • Comprender claramente los roles y las responsabilidades se entienden

reaparición
claramente
• Equilibrar los procesos operativos y de seguridad • Establecer requisitos para suplentes identificados para todas las funciones
importantes
• Tratar asuntos legales y relacionados con la aplicación de la ley
El gerente de seguridad de la información también necesita definir qué constituye La falta de políticas adecuadas y estándares de apoyo puede obstaculizar las capacidades
un incidente relacionado con la seguridad. Por lo general, los incidentes de de gestión de incidentes.
seguridad incluyen:
• Ataques de código malicioso 4.7.2 CONCEPTOS de tecnología de RESPUESTA A INCIDENTES
• Acceso no autorizado a TI o recursos de información
Los siguientes conceptos y tecnologías de seguridad deben ser familiares para
• Utilización no autorizada de servicios los IRT:
• Cambios no autorizados a sistemas, dispositivos de red o información • Principios de seguridad: comprensión general de los principios básicos de seguridad,
• De
como: – Confidencialidad – Disponibilidad – Autenticación
• Mal uso
• Vigilancia y espionaje
• engaños/ingeniería social
– Integridad –
Cabe señalar que muchos incidentes que inicialmente parecen ser maliciosos Control de acceso –
resultan, en cambio, ser el resultado de un error humano. Privacidad – No repudio
Los estudios muestran que las organizaciones experimentan casi el doble de – Cumplimiento
incidentes debido a errores humanos que a violaciones de seguridad iniciadas
externamente.

El conocimiento de los principios de seguridad es importante para comprender vectores de ataque multifacéticos; cómo se propaga el código malicioso a través de
los problemas potenciales que pueden surgir si las medidas de seguridad algunos de los métodos obvios (CD, memorias USB, correo electrónico, programas,
apropiadas no se han implementado correctamente y para comprender los impactos etc.) y cómo puede propagarse a través de otros medios, como macros, extensión de
potenciales en los sistemas de la organización: correo de Internet multipropósito (MIME), archivo punto a punto compartir o virus que
afectan los sistemas operativos que se ejecutan en plataformas PC y Macintosh
• Vulnerabilidades/debilidades de seguridad: comprensión de cómo se manifiesta un
ataque específico en una tecnología de software o hardware determinada. Los tipos más • Habilidades de programación: la gama de lenguajes de programación utilizados por
comunes de vulnerabilidades y ataques asociados involucran: los sistemas operativos de la organización, conceptos y técnicas para la programación
segura y cómo se pueden introducir vulnerabilidades en el código (p. ej., a través de
– Problemas de seguridad física – malas prácticas de programación y diseño).
Defectos en el diseño del protocolo (p. ej., ataques de intermediarios, suplantación de identidad)
– Código malicioso (p. ej., virus, gusanos, caballos de Troya)
– Defectos de implementación (p. ej., desbordamiento de búfer, ventanas de tiempo/
4.7.3 PERSONAL
condiciones de carrera)
Un IMT generalmente consta de un gerente de seguridad de la información, un comité
– Debilidades de configuración – Errores
directivo/junta asesora, miembros del equipo permanentes/dedicados y miembros del
de usuario o falta de conocimiento
equipo virtuales/temporales.
• Internet: debe haber seguridad en los protocolos y servicios subyacentes
utilizados en Internet. Una buena comprensión es importante para anticipar las
El gerente de seguridad de la información suele liderar el equipo. En organizaciones más
amenazas que podrían ocurrir en el futuro. Las siguientes tecnologías que permiten
grandes, puede ser más eficaz designar a un líder/gerente de IRT independiente que se
Internet deben abordarse en el programa de respuesta a incidentes:
centre en responder a los incidentes. Por encima del gerente de seguridad de la
información, hay un conjunto de ejecutivos de alta gerencia en un grupo, generalmente un
– Protocolos de red: protocolos de red comunes (o centrales)
grupo de dirección de seguridad (SSG), una junta asesora de seguridad o quizás un comité
como Protocolo de Internet (IP), Protocolo de control de transmisión
ejecutivo.
(TCP), Protocolo de datagramas de usuario (UDP), Control de Internet
Como sea que se llame, la función SSG es responsable de aprobar el estatuto y sirve como
Protocolo de mensajes (ICMP), Protocolo de resolución de direcciones
un punto de escalamiento para el IMT. El SSG también aprueba las desviaciones y
(ARP) y Protocolo de Resolución de Dirección Inversa (RARP); cómo se usan;
excepciones a la práctica normal.
tipos comunes de amenazas o ataques contra el protocolo; estrategias para mitigar o
eliminar tales ataques; y tecnologías de Internet
Los miembros del equipo permanentes/dedicados tienen trabajo de tiempo completo
dentro del IMT. Realizan las tareas principales en el IMT/IRT. Dado que los sistemas de
– Aplicaciones y servicios de red: como nombre de dominio
información son amplios y complejos, es ineficiente y costoso contar con todas las
(DNS), sistema de archivos de red (NFS) y shell seguro (SSH); cómo trabajan
personas que cubran todas las disciplinas en la realización de IMT/IRT. Los miembros
ellos; uso común; configuraciones seguras; y tipos comunes de amenazas o ataques
del equipo virtual/temporal se reclutan para llenar el vacío de experiencia que no está
contra la aplicación o servicio y estrategias de mitigación
presente en los miembros del equipo dedicados.
– Problemas de seguridad de la red: para reconocer puntos vulnerables en las

configuraciones de la red. La seguridad perimetral básica, los cortafuegos de
Organización del equipo de respuesta a incidentes
red (diseño, filtrado de paquetes, sistemas proxy, zona desmilitarizada [DMZ],
Los manejadores de incidentes analizan los datos del incidente, determinan el impacto
hosts bastión, etc.) y la seguridad del enrutador son relevantes para reconocer el
del incidente y actúan apropiadamente para limitar el daño a la organización y restaurar
potencial de divulgación de información de los datos que viajan a través de la red (por
los servicios normales. A menudo, el equipo dependerá de la participación y cooperación
ejemplo, monitoreo de paquetes o “sniffers”) o amenazas relacionadas con la aceptación
de grupos complementarios y de usuarios en general. Los modelos de equipos de
de información no confiable. • Sistemas operativos : es importante el conocimiento de
respuesta a incidentes que han demostrado funcionar en muchas organizaciones incluyen:
sistemas operativos como UNIX, Windows, MAC, Linux, Android o cualquier otro
sistema operativo utilizado por el equipo o la circunscripción, específicamente cómo:
• IRT central: un solo IRT maneja todos los incidentes para el
organización, por lo general una organización pequeña o una que está ubicada
centralmente.
• IRT distribuida : cada uno de varios equipos es responsable de un segmento lógico o
– Configurar (fortalecer) el sistema – Revisar
físico de la infraestructura, generalmente de una organización grande o
los archivos de configuración en busca de debilidades de seguridad –
geográficamente dispersa.
Identificar métodos de ataque comunes – Determinar si ocurrió un intento
• Coordinación de IRT: el equipo central puede brindar orientación a los IRT distribuidos,
de compromiso – Determinar si se trató de un intento de compromiso del
desarrollar políticas y estándares, brindar capacitación, realizar ejercicios y coordinar
sistema
o respaldar la respuesta a incidentes específicos. Los equipos distribuidos gestionan e
exitoso
implementan la respuesta a incidentes. • IRT subcontratado : los IRT exitosos pueden
– Revisar los archivos de registro en busca de anomalías
estar compuestos en su totalidad por empleados de la organización, o pueden estar total
– Analizar los resultados de los ataques.
o parcialmente subcontratados.
– Administrar los privilegios del sistema
– Recuperarse de un compromiso • Código
malicioso (virus, gusanos, programas de caballos de Troya)—
Puede tener diferentes tipos de cargas útiles que pueden provocar un ataque de
Los miembros permanentes del equipo pueden incluir manejadores de incidentes,
denegación de servicio o una desfiguración web, o el código puede contener cargas
investigadores y expertos forenses, y seguridad física y de TI.
útiles más "dinámicas" que pueden configurarse para generar

especialistas Los miembros del equipo virtual normalmente consisten en • Tamaño de la circunscripción y base tecnológica •
representantes comerciales (gerentes intermedios), personal legal, personal de Carga anticipada de incidentes • Gravedad o
comunicaciones (relaciones públicas), personal de recursos humanos (HR), otros complejidad de los informes de incidentes • Financiamiento
grupos de seguridad (seguridad física), gestión de riesgos y especialistas en TI.
La composición del personal de respuesta a incidentes varía de un equipo a otro
y depende de varios factores, tales como: • Misión y objetivos del programa de 4.7.4 FUNCIONES Y RESPONSABILIDADES
respuesta a incidentes • Naturaleza y variedad de servicios ofrecidos • Experiencia
El Anexo 4.2 proporciona las funciones y responsabilidades comunes del
del personal disponible
personal del IRT. Tenga en cuenta que cada puesto debe tener un suplente en caso
de que la persona designada esté incapacitada o no esté disponible.
Figura 4.2—Roles y responsabilidades
No. Posición roles Responsabilidades
1. Miembros del SSG Estructura superior de las 1. Asumir la responsabilidad de la gestión general de incidentes y el concepto de respuesta.
funciones de una organización 2. Aprobar la carta IMT
relacionadas con la seguridad de la información
3. Aprobar excepciones/desviaciones
4. Tomar decisiones finales
2. Gerente de seguridad de la información Líder IMT e interfaz principal para SSG 1. Desarrolla y mantiene la gestión de incidentes y la capacidad de respuesta.
2. Gestiona eficazmente los riesgos y los incidentes
3. Realiza medidas proactivas y reactivas para controlar el nivel de riesgo de la información
3. Gerente de respuesta a incidentes líder de IRT 1. Supervisa las tareas de respuesta a incidentes
2. Coordina los recursos para realizar con eficacia las tareas de respuesta a incidentes
3. Asume la responsabilidad de la ejecución exitosa del plan de respuesta a incidentes
4. Presenta el informe de respuesta a incidentes y las lecciones aprendidas a los miembros del SSG
4. Manejador de incidentes Miembro del equipo IMT/IRT 1. Realiza tareas de respuesta a incidentes para contener las exposiciones de un incidente
2. Documenta los pasos tomados al ejecutar el plan de respuesta a incidentes
3. Mantiene la cadena de custodia y observa los procedimientos de manejo de incidentes para fines
judiciales
4. Redacta el informe de respuesta a incidentes y las lecciones aprendidas
5. Investigador Miembro del equipo IMT/IRT 1. Realiza tareas de investigación de un incidente específico
2. Encuentra la causa raíz de un incidente
3. Redacta el informe de los resultados de la investigación.
6. especialista en seguridad informatica miembro del equipo IMT/IRT; experto en 1. Realiza tareas complejas y detalladas relacionadas con la seguridad de TI como parte del incidente
la materia de seguridad informática plan de respuesta
2. Realiza una evaluación/auditoría de seguridad de TI como medida proactiva y parte de
gestión de vulnerabilidades
7. Gerentes de negocios Propietarios de funciones 1. Tomar decisiones sobre asuntos relacionados con los activos/sistemas de información cuando ocurre
comerciales; activos/sistema de información un incidente, con base en las recomendaciones de IMT/IRT
dueños 2. Proporcionar una comprensión clara del impacto comercial en el proceso BIA o en el incidente
plan de respuesta
8. Especialistas/representantes de TI Expertos en la materia en servicios 1. Dar soporte al IMT/IRT en la resolución de incidencias

de TI 2. Mantener los sistemas de información en buenas condiciones según la política de la empresa y
mejores prácticas
9. Representante legal Experto en la materia en derecho 1. Brinda asistencia en la gestión/respuesta de incidentes cuando existe una necesidad debido a una
demanda legal a la parte infractora
10. RRHH Experto en la materia en RRHH 1. Brinda asistencia en la gestión/respuesta de incidentes cuando es necesario
área para investigar a un empleado sospechoso de causar un incidente
2. Integra la política de recursos humanos para respaldar la gestión/respuesta de incidentes (sanciones
a los empleados que violen el uso aceptable de la política o estén involucrados en un incidente)
11. Representante de relaciones públicas Experto en la materia en RRHH 1. Proporciona comunicación controlada a las partes interesadas internas y externas para minimizar
área cualquier impacto adverso en las actividades de respuesta a incidentes en curso y para proteger la
marca y la reputación de una organización.
2. Brinda asistencia al IMT/IRT en problemas de comunicación, lo que libera al equipo para trabajar en
problemas críticos para resolver un incidente.
12. Especialista en gestión de riesgos Experto en la materia en gestión de 1. Trabaja en estrecha colaboración con los gerentes comerciales y la alta gerencia para determinar y
riesgos administrar el riesgo
2. Proporciona información (p. ej., BIA, estrategia de gestión de riesgos) para la gestión de incidentes
13. Gerente de seguridad física/instalaciones Conocedor de la planta física 1. Responsable de planta física e instalaciones
y las capacidades de emergencia 2. Garantiza la seguridad física durante los incidentes

4.7.5 HABILIDADES uno o más miembros del equipo para actuar en un papel de liderazgo para apoyar a los
grupos más pequeños o equipos técnicos.
Para construir un equipo de respuesta a incidentes con manejadores de
– Integridad—Los miembros del equipo a menudo manejan información
incidentes capaces, las organizaciones necesitan personas con ciertos conjuntos de
que es sensible y, ocasionalmente, pueden tener acceso a información de interés
habilidades y experiencia técnica, con habilidades que les permitan responder a incidentes,
periodístico. Los miembros deben ser dignos de confianza, discretos y capaces de
realizar tareas de análisis y comunicarse de manera efectiva con el electorado y los
manejar la información de forma confidencial.
contactos externos. También deben ser competentes para resolver problemas, deben
– Autocomprensión: los miembros del equipo deben ser capaces de reconocer sus
adaptarse fácilmente al cambio y deben ser efectivos en sus actividades diarias.
limitaciones y buscar activamente el apoyo de los miembros de su equipo, otros expertos
o la gerencia.
– Cómo afrontar el estrés: es probable que el equipo de respuesta a incidentes se
El conjunto de habilidades básicas que necesitan los miembros del equipo de respuesta a
enfrente a situaciones estresantes. Deben ser capaces de reconocer cuándo se
incidentes se puede dividir en dos grandes grupos: • Habilidades personales : partes
están estresando, estar dispuestos a hacer que sus compañeros de equipo sean
principales de la actividad diaria del manejador de incidentes, que incluyen:
conscientes de la situación y tomar las medidas necesarias para controlar y mantener
la compostura.
– Comunicación: la capacidad de comunicarse de manera efectiva es un componente
– Resolución de problemas: sin buenas habilidades de resolución de problemas, los
crítico de las habilidades que necesitan los equipos de respuesta a incidentes. Deben
miembros del equipo podrían verse abrumados por los volúmenes de datos relacionados
ser comunicadores efectivos para asegurarse de obtener y proporcionar la información
con incidentes y otras tareas que deben gestionarse.
necesaria para ser útiles. Deben ser buenos oyentes, comprender lo que se dice (o no
Las habilidades para resolver problemas también incluyen la capacidad de "pensar
decir), para que puedan obtener detalles sobre un incidente que se está informando.
fuera de la caja" o mirar los problemas desde múltiples perspectivas para identificar
También mantienen el control de estas comunicaciones para determinar de manera
información o datos relevantes. Esto incluye saber a quién más contactar o acercarse
más efectiva qué está sucediendo, qué hechos son importantes y qué asistencia es
para obtener información adicional, ideas creativas o conocimientos técnicos adicionales.
necesaria. Necesitan comunicarse con:
– Gestión del tiempo: los miembros del equipo pueden enfrentarse a una multitud de tareas
• Miembros del equipo que van desde analizar, coordinar y responder a incidentes, hasta realizar tareas como
• Personal de TI • priorizar su carga de trabajo, asistir y/o prepararse para reuniones, completar hojas de
tiempo, recopilar estadísticas, realizar investigaciones. , dando sesiones informativas y
Propietarios de aplicaciones
presentaciones, viajando a conferencias, brindando soporte técnico en el sitio y
• Usuarios de los sistemas •
priorizando tareas. Los miembros del equipo deben poder equilibrar los esfuerzos entre
Expertos técnicos • Gerencia
completar las tareas y reconocer cuándo buscar ayuda u orientación.
y otro personal administrativo • Recursos humanos •
Cumplimiento de la ley • Personal de medios/relaciones
públicas • Proveedores
• Habilidades técnicas—Las habilidades técnicas básicas requeridas por incidente

Los miembros del equipo de gestión son de dos tipos:
– Habilidades de base técnica: requieren una comprensión básica de las tecnologías
La comunicación puede tomar muchas formas, incluyendo:
subyacentes utilizadas por la organización
• Respuestas en correo electrónico sobre incidentes •
– Habilidades de manejo de incidentes—Requiere una comprensión del
Documentación de eventos o informes de incidentes, vulnerabilidades y otra
información técnica técnicas, puntos de decisión y herramientas de apoyo (software o aplicaciones)
requeridas en las actividades diarias
• Notificaciones y/o lineamientos que se brindan al electorado • Políticas y
procedimientos de desarrollo interno • Otras comunicaciones externas al
personal, la gerencia u otras partes relevantes 4.7.6 SENSIBILIZACIÓN Y EDUCACIÓN
Si una organización no puede encontrar expertos internos o contratar/capacitar al personal

para proporcionar las habilidades especializadas necesarias, la organización puede
– Habilidades de liderazgo—Los miembros de un equipo de respuesta a menudo son desarrollar relaciones con expertos en el campo para proporcionar las habilidades
frente a dirigir y conseguir el apoyo de otros miembros de la organización y el liderazgo necesarias. Cuando surge una situación en la que el conocimiento interno no es suficiente,
es un atributo importante. se puede recurrir a estos especialistas técnicos para llenar el vacío en la experiencia.
– Habilidades de presentación: las habilidades de un equipo de respuesta a incidentes
son necesarias para una presentación técnica, sesiones informativas de gestión o
patrocinadores, un panel de discusión en una conferencia o alguna otra forma de Cuando se reportan incidentes más complejos, la organización puede necesitar complementar
compromiso de hablar en público. Las habilidades del miembro especialista pueden o expandir las habilidades básicas del personal para incluir un conocimiento más profundo
extenderse a brindar testimonio experto en procedimientos legales o de otro tipo en para que los miembros del personal puedan comprender, analizar e identificar respuestas
nombre del equipo o de los usuarios. efectivas a los incidentes reportados.
– Capacidad para seguir políticas y procedimientos—Miembros del equipo
necesitan la capacidad de seguir y apoyar las políticas y procedimientos establecidos
4.7.7 AUDITORIAS
para la gestión de respuesta a incidentes.
Se realizan auditorías internas y externas para verificar el cumplimiento de las políticas,
– Habilidades de equipo: la capacidad de trabajar en un entorno de equipo como
normas y procedimientos definidos para una organización. Las auditorías internas son
jugadores de equipo productivos y cordiales, ser conscientes de las responsabilidades,
realizadas por especialistas dentro de la organización y generalmente están destinadas a
contribuir a los objetivos del equipo y trabajar juntos para compartir información, carga
respaldar los requisitos de cumplimiento o mejorar una situación existente. Las auditorías
de trabajo y experiencias. Los miembros deben ser flexibles y estar dispuestos a
externas involucran a un tercero que realiza las tareas. Mientras que la mayoría externa
adaptarse al cambio. Puede haber una necesidad de

las auditorías se ejercen como parte de los requisitos obligatorios, las auditorías 4.8.3 ALINEACIÓN ESTRATÉGICA
externas también se imponen a menudo como parte de la colaboración empresarial.
Al igual que muchas otras funciones de soporte, la gestión de incidentes debe
estar alineada con el plan estratégico de una organización. Los siguientes
Ambos tipos de auditorías pueden ser útiles para revisar la gestión de
componentes pueden ayudar a lograr esta alineación:
incidentes y los planes y capacidades de respuesta. Las auditorías periódicas de
• Circunscripción—¿A quién proporciona servicios el IMT? Es importante saber
los procesos y procedimientos especificados en los planes pueden validar que la
quiénes son los stakeholders para esta función e identificar sus expectativas y
seguridad no se verá comprometida en caso de un incidente y que el cumplimiento
sus necesidades de información.
de la política y los requisitos legales se abordan adecuadamente. Las auditorías
Por ejemplo, la alta dirección de las instituciones financieras puede estar sujeta
también pueden proporcionar una visión objetiva de la integridad y funcionalidad
a BASILEA II u otra normativa. Por lo tanto, la gestión de incidentes es una
general de los planes de respuesta y gestión de incidentes y garantizar que no existen
función importante y se espera que el IMT cumpla con ciertos requisitos de
brechas importantes en los procesos.
rendimiento y presentación de informes.
• Misión: la misión define el propósito del equipo y los objetivos y metas principales
4.7.8 PROVEEDORES DE SEGURIDAD SUBCONTRATADOS que proporciona IMT.
La subcontratación de la capacidad de gestión de incidentes puede ser
una opción rentable para una organización. Por ejemplo, las A continuación se muestra un ejemplo de una posible declaración de misión
organizaciones que han subcontratado sus operaciones de tecnología de la de IMT: “La misión del equipo de gestión de incidentes es desarrollar, mantener
información pueden beneficiarse de una estrecha integración si la gestión de y brindar servicios y capacidades de gestión de incidentes para salvaguardar
incidentes se subcontrata al mismo proveedor. Las organizaciones aún requerirían los activos de información de la organización contra incidentes informáticos.
un plan de respuesta a incidentes supervisado por un equipo de respuesta a Nos esforzamos por brindar garantías a nuestros grupos de interés de que los
incidentes, incluso si los componentes de la gestión de incidentes se subcontratan. riesgos y los incidentes informáticos se tratan de manera eficiente y eficaz y que
evitaremos/
minimizar las pérdidas resultantes de tales incidentes”.
• Servicios: los servicios proporcionados por IMT deben estar claramente definidos
4.8 OBJETIVOS DE LA GESTIÓN DE INCIDENTES para gestionar las expectativas de las partes interesadas. Los servicios ofrecidos
en las organizaciones pueden diferir significativamente y normalmente tienen una
La gestión de incidentes existe para abordar los eventos inevitables que amenazan
correlación positiva con el tamaño de la organización y el grado de aceptación de
el funcionamiento de cualquier organización. Sirve como la penúltima red de
la alta dirección.
seguridad después de que los controles no lograron prevenir o contener un evento
• Estructura organizativa—La estructura del IMT
amenazante. Su propósito es responder y contener un incidente amenazante o
debe apoyar eficazmente la estructura de la organización. Para las
restaurar rápidamente las operaciones normales en caso de daño. De lo contrario,
empresas multinacionales, una estructura basada en la geografía puede ser la
se declarará un desastre y las operaciones de recuperación se trasladarán a un
mejor. Para organizaciones con múltiples subsidiarias, se puede desarrollar un
sitio alternativo para restaurar las operaciones de acuerdo con un BCP/DR.
IMT para cada subsidiaria principal. La mejor estructura proporcionaría a las
empresas la máxima disponibilidad de servicios IMT sobre la base más rentable.
4.8.1 DEFINICIÓN DE OBJETIVOS • Recursos—Se necesita suficiente personal para ser efectivo.
Los objetivos de la gestión de incidentes son: Debido a que la gestión de incidentes cubre una amplia gama de servicios, la
• Maneje los incidentes cuando ocurran para que la exposición pueda ser mayoría de las veces no es posible tener todos los recursos disponibles dentro
contenida o erradicada para permitir la recuperación dentro de un AIW. de un IMT. Una forma de resolver este problema es establecer miembros del
• Evite que incidentes anteriores se repitan documentando y aprendiendo de equipo virtual y/o complementar el equipo con recursos externos.
incidentes pasados.
• Implementar contramedidas proactivas para prevenir/minimizar la probabilidad • Financiamiento—El IMT por lo general consiste en personal altamente especializado
de que ocurran incidentes. miembros En el curso de la prestación de servicios, el equipo que utilizan
también puede ser especializado, lo que requiere mayores gastos de capital. En
vista de esto, se requiere financiación suficiente para garantizar la continuidad
4.8.2 EL ESTADO DESEADO
de los servicios de respuesta a incidentes críticos.
Dado que la gestión y respuesta a incidentes sirve como cuerpo de
• Aceptación de la gerencia : la aceptación de la alta gerencia es esencial para
bomberos, servicio de ambulancia y sala de emergencias para los activos
establecer y respaldar la función de gestión de incidentes. La falta de aceptación
de información de la organización, debe abordar con eficacia una amplia gama
normalmente da como resultado un rendimiento IMT subóptimo, ya que puede
de posibles eventos inesperados, tanto electrónicos como físicos. Necesitará
haber una limitación significativa en los presupuestos o la disponibilidad de
tener capacidades de monitoreo bien desarrolladas para controles clave, ya
personal adecuado.
sean de procedimiento o técnicos, para proporcionar una detección temprana
de problemas potenciales. Contará con personal capacitado en evaluación de
la situación, capaz de realizar triajes, gestionar respuestas efectivas que maximicen 4.8.4 GESTIÓN DE RIESGOS
la continuidad operativa y minimicen los impactos. Los administradores de incidentes Los resultados exitosos de la gestión de riesgos incluyen una gestión eficaz
habrán tomado medidas para capturar toda la información relevante y aplicar las de incidentes y capacidades de respuesta. Cualquier riesgo que se materialice
lecciones aprendidas previamente. Sabrán cuándo un desastre es inminente y y no sea prevenido por los controles constituirá un incidente que debe ser
tendrán criterios, experiencia, conocimiento y autoridad bien definidos para invocar gestionado y respondido con la intención de que no se convierta en un desastre.
los procesos de recuperación de desastres necesarios para mantener o recuperar
el estado operativo.

4.8.5 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO Los criterios que se utilizan como parte de las métricas de gestión de incidentes
pueden incluir:
El tipo y la naturaleza de los incidentes con los que el gerente de seguridad de la
• Número total de incidentes informados
información puede lidiar a menudo requerirán la participación de otras funciones de
• Número total de incidentes detectados
aseguramiento de la organización. Esto puede incluir seguridad física, legal, recursos
• Tiempo medio de respuesta a un incidente relativo al AIW
humanos y, tal vez, otros. Como consecuencia, es importante garantizar que los
• Tiempo medio para resolver un incidente
planes de recuperación y gestión de incidentes incorporen e integren activamente esas
• Número total de incidentes resueltos con éxito
funciones cuando sea necesario. Un resultado efectivo es un conjunto de planes que
• Medidas proactivas y preventivas adoptadas
define qué departamentos están involucrados en diversas actividades de respuesta y
• Número total de empleados que reciben capacitación en concientización sobre seguridad
gestión de incidentes, y que esos vínculos se han probado en condiciones realistas.
• Daño total de incidentes informados y detectados si no se realizó la respuesta al
incidente
• Ahorro total de daños potenciales por incidentes resueltos
• Mano de obra total respondiendo a incidentes
4.8.6 ENTREGA DE VALOR • Tiempos de detección y notificación
Las capacidades de gestión de incidentes deben estar estrechamente integradas con las
funciones comerciales y proporcionar la última línea de defensa de la gestión de riesgos
4.9.1 MEDICIÓN DEL RENDIMIENTO
rentable. La gestión de incidentes no debe considerarse solo una tecnología para prevenir
Las medidas de desempeño para la gestión y respuesta de incidentes se enfocarán
o responder a incidentes, sino un conjunto de procesos que, como componente de la
en lograr los objetivos definidos y optimizar la efectividad. Los indicadores clave de
gestión de riesgos, puede proporcionar el equilibrio óptimo entre prevención, contención
objetivos (KGI) y los KPI para la actividad deben ser definidos y acordados por las
y restauración.
partes interesadas y ratificados por la alta dirección. La gama típica de KGI abarca el
manejo exitoso de incidentes, ya sea mediante pruebas en vivo o en condiciones reales.
Las medidas clave de rendimiento se pueden identificar al cumplir los objetivos de tiempo
Para entregar valor, la gestión de incidentes debe:
de recuperación o al manejar con éxito los incidentes que amenazan las operaciones
• Integre con los procesos y estructuras comerciales de la manera más fluida
comerciales.
como sea posible
• Mejorar la capacidad de las empresas para gestionar el riesgo y proporcionar

aseguramiento a las partes interesadas
• Integrar con BCP 4.10 DEFINICIÓN DE LA GESTIÓN DE INCIDENTES

• Conviértase en parte de la estrategia y el esfuerzo general de una organización para
PROCEDIMIENTOS
proteger y asegurar las funciones y los activos comerciales críticos
• Proporcionar respaldo y optimizar los esfuerzos de gestión de riesgos
No existe un conjunto único, fijo y único de procedimientos de gestión de
incidentes para todas las organizaciones. Sin embargo, hay una serie de buenas
4.8.7 GESTIÓN DE RECURSOS
prácticas que la mayoría de las organizaciones adoptan y personalizan para satisfacer
La gestión de recursos abarca el tiempo, las personas, el presupuesto y otros sus propias necesidades específicas. Los enfoques comúnmente adoptados están
factores para lograr los objetivos de manera eficiente bajo las limitaciones de disponibles en CMU/SEI y SANS Institute, entre otros.
recursos dadas. Las actividades de gestión y respuesta a incidentes consumen recursos
que deben administrarse para lograr una eficacia óptima.
Cuando no es posible alcanzar todos los objetivos, la gestión eficaz de los recursos
garantiza que se aborden primero las prioridades más importantes.
4.10.1 PLAN DE ACCIÓN DETALLADO PARA INCIDENTE
ADMINISTRACIÓN
El plan de acción de gestión de incidentes también se conoce como plan de
respuesta a incidentes (IRP). Hay una serie de enfoques para desarrollar el IRP.
4.9 MÉTRICAS DE GESTIÓN DE INCIDENCIAS Y
INDICADORES
En el informe técnico de CMU/SEI titulado Definición de procesos de gestión
Las métricas, medidas e indicadores de gestión de incidentes son los criterios de incidentes, el enfoque es el siguiente:
utilizados para medir la eficacia y la eficiencia de la función de gestión de • Preparar/mejorar/mantener (preparar): este proceso define todo el trabajo de
incidentes. Las métricas basadas en indicadores clave de rendimiento (KPI) y los preparación que debe completarse antes de tener la capacidad de responder a los
objetivos del programa establecidos para la gestión de incidentes deben presentarse a incidentes. Contiene subprocesos para evaluar la capacidad de manejo de incidentes
la alta dirección como base para justificar el apoyo y la financiación continuos. Permite y la revisión post mortem de incidentes para mejoras. Los subprocesos en este
a la alta dirección comprender la capacidad de gestión de incidentes de su organización proceso incluyen:
y las áreas de riesgo que deben abordarse.
– Coordinar la planificación y el diseño:
– Identificar los requisitos de gestión de incidentes.
Los informes y medidas de gestión de incidentes son útiles para que el IMT se – Establecer la visión y la misión.
autoevalúe y comprenda qué se ha hecho satisfactoriamente y dónde se deben – Obtener financiación y patrocinio.
realizar mejoras. Común – Desarrollar un plan de implementación.
– Coordinar la implementación:
– Desarrollar políticas, procesos y planes.

– Establecer criterios de tratamiento de incidencias. Technology (NIST), en su Guía de manejo de incidentes de seguridad
– Implementar recursos definidos. informática (SP 800-61), utiliza:
– Evaluar la capacidad de gestión de incidentes. . De
– Llevar a cabo una revisión post mórtem. . Código malicioso

– Determinar los cambios en el proceso de gestión de incidentes. . Acceso no autorizado
– Implementar cambios en el proceso de gestión de incidentes. . uso inapropiado

• Proteger la infraestructura (proteger): el proceso de protección tiene como objetivo . Múltiples componentes
proteger y asegurar la infraestructura informática y de datos críticos y su circunscripción – Correlación: correlaciona un informe/evento con otra información relevante. Una
al responder a incidentes. También propone mejoras en un cronograma predeterminado mayor correlación de un informe/evento proporciona más información útil para
mientras se tiene en cuenta el contexto de seguridad apropiado. Los subprocesos en que el IMT decida la respuesta adecuada.
este proceso incluyen:

– Priorización: en un mundo ideal, se realiza un seguimiento de cada evento
– Implementar cambios en la infraestructura informática para mitigar incidentes en indeseable lo antes posible. Sin embargo, los recursos son limitados y puede
curso o potenciales. que no siempre sea posible. Para garantizar un impacto mínimo en la función
– Implementar mejoras de protección de infraestructura a partir de revisiones empresarial crítica o en los activos de información, los incidentes se priorizan en
post mortem u otros mecanismos de mejora de procesos. función de su impacto potencial.
Las asignaciones comienzan desde la prioridad más alta hasta la prioridad
– Evaluar la infraestructura informática mediante la realización proactiva más baja.
valoración y valoración de la seguridad. – Asignación: cuando se ha producido un incidente o posible incidente
– Proporcionar información para detectar procesos sobre incidentes/incidentes potenciales. identificado, se asigna al IMT en el siguiente proceso (responder). La asignación
• Detectar eventos (detectar): el proceso de detección identifica puede basarse en:
Actividad inusual/sospechosa que podría comprometer funciones o infraestructuras . Carga de trabajo de los miembros del IMT
comerciales críticas. Los subprocesos en este proceso incluyen: . Miembros de IMT que han manejado incidentes similares
. Categoría o prioridad del evento

– Detección proactiva: el proceso de detección se lleva a cabo . Unidad de negocio funcional relevante
regularmente antes de un incidente. El IMT monitorea diversa información de • Responder: el proceso de respuesta incluye los pasos que se toman para
escaneo de vulnerabilidades en línea/periódico, monitoreo de red, antivirus y abordar, resolver o mitigar un incidente. CMU/SEI define tres tipos de actividades de
alertas de firewall personal, servicios de alerta de vulnerabilidad comercial, respuesta:
análisis de riesgo y auditoría/evaluación de seguridad. – Respuesta técnica: adecuada para miembros técnicos de IMT, como administradores
de incidentes y representantes de TI, para analizar y resolver un incidente. Los
– Detección reactiva: el proceso de detección se lleva a cabo cuando hay informes formularios de respuesta técnica pueden incluir lo siguiente:
de usuarios del sistema u otras organizaciones.
Los usuarios pueden notar actividades inusuales o sospechosas e informarlas al • Recopilación de datos para su posterior análisis
IMT. También es posible que el IMT de otra organización proporcione avisos cuando • Analizar la información de apoyo del incidente, como los archivos de registro.
su sistema haya recibido actividad maliciosa de su organización. • Investigar las estrategias técnicas de mitigación correspondientes y la opción
de recuperación
• Asistencia técnica telefónica o por correo electrónico
Para que el IMT reciba el informe con prontitud, debe haber múltiples canales de • Asistencia in situ
comunicación entre los usuarios finales y el IMT. • Análisis de registros

Esto puede ser en forma de llamadas telefónicas, faxes, mensajes de correo • Desarrollo e implementación de parches y soluciones
electrónico, informes de formularios web y sistemas automatizados de detección de – Respuesta de la dirección: la respuesta de la dirección incluye
intrusos (IDS). actividades que requieren la intervención, notificación, interacción, escalamiento o
• Triaje de eventos (triaje): el triaje es un proceso de clasificación, aprobación de supervisión o gestión como parte de la respuesta a emprender. Esta
categorizar, correlacionar, priorizar y asignar informes/eventos entrantes. Es un respuesta normalmente la ejecutan los gerentes comerciales y la alta gerencia, y se
elemento esencial de cualquier capacidad de gestión de incidentes. Cuando llegan extiende a través de las unidades comerciales.
múltiples informes al IMT, el triaje permite priorizar los eventos de manera adecuada y,
por lo tanto, recibir una respuesta rápida. También sirve como punto único de entrada – Respuesta legal: la respuesta legal está asociada con la actividad relacionada con la
para cualquier correspondencia e información de IMT. investigación, el enjuiciamiento, la responsabilidad, las cuestiones de derechos de
autor y privacidad, las leyes, los reglamentos y los acuerdos de confidencialidad.
Debido a que esta respuesta puede requerir un conocimiento profundo de los asuntos
La clasificación proporciona una instantánea del estado actual de toda la actividad legales, generalmente se remite al equipo legal corporativo.
de incidentes notificada, una ubicación central para la notificación del estado de
incidentes y una evaluación inicial de los informes entrantes para su posterior manejo.
El triaje se puede realizar en dos niveles:
4.11 ESTADO ACTUAL DEL INCIDENTE
– Táctico—Basado en un conjunto de criterios
– Estratégico: basado en el impacto del negocio. CAPACIDAD DE RESPUESTA
Los subprocesos en este proceso incluyen: La mayoría de las organizaciones tienen algún tipo de capacidad de respuesta a incidentes,
– Categorización: utilizando criterios predeterminados, clasifique todos ya sea ad hoc o formal. El gerente de seguridad de la información debe identificar lo que ya
informes/eventos entrantes. Hay muchas formas de categorizar, por ejemplo, el existe como base para comprender el
Instituto Nacional de Ciencias y Ciencias de EE.

estado actual. Hay muchas maneras de hacer esto; varios métodos que se pueden 4.12 DESARROLLO DE UN INCIDENTE
utilizar son:
• Encuesta de la alta gerencia, los gerentes comerciales y los representantes de

PLAN DE RESPUESTA
TI: al usar una colección de la alta gerencia, los gerentes de línea comercial y los
representantes de tecnología, las encuestas y los grupos de enfoque brindan un El plan de respuesta a incidentes es el componente operativo de la gestión de
mecanismo para ayudar a determinar el desempeño anterior y la percepción del equipo incidentes. El plan detalla las acciones, el personal y las actividades que se llevan a cabo
de gestión de incidentes y sus capacidades de proceso. . en caso de que eventos adversos resulten en la pérdida de sistemas o procesos de
información.
• Autoevaluación: la autoevaluación la lleva a cabo el IMT

frente a un conjunto de criterios para desarrollar una comprensión de las capacidades Elementos de un plan de respuesta a incidentes
actuales. Este es el método más fácil ya que no requiere la participación de muchas El siguiente modelo propuesto por Schultz, Brown y Longstaff en un informe técnico de la
partes interesadas. La desventaja de este método es que incluye una visión limitada de Universidad de California “Responding to Computer Security Incidents: Guidelines for
la capacidad actual y puede no estar en consonancia con la capacidad percibida de las Incident Handling”
partes interesadas. (UCRL-ID-104689, 23 de julio de 1990), presenta el modelo de seis fases de
• Evaluación o auditoría externa : esta es la opción más completa y combina entrevistas, respuesta a incidentes que incluye preparación, identificación, contención, erradicación,
encuestas, simulación y otras técnicas de evaluación en la evaluación. Esta opción restauración y seguimiento:
normalmente se usa para una organización que ya tiene una capacidad adecuada de • Preparación: esta fase prepara a una organización para desarrollar un plan de
gestión de incidentes, pero la está mejorando o rediseñando los procesos. respuesta a incidentes antes de que ocurra un incidente. Una preparación suficiente
facilita una ejecución fluida. Las actividades en esta fase incluyen:
– Establecer un enfoque para manejar incidentes
– Establecimiento de banners de política y advertencia en la información
sistemas para disuadir a los intrusos y permitir la recopilación de información
4.11.1 HISTORIAL DE INCIDENCIAS
– Establecimiento de un plan de comunicación a las partes interesadas
Los incidentes pasados (tanto internos como externos) pueden proporcionar información
– Desarrollar criterios sobre cuándo reportar un incidente a las autoridades
valiosa sobre tendencias, tipos de eventos e impactos comerciales. Esta información se
– Desarrollar un proceso para activar el equipo de gestión de incidentes
utiliza como entrada para la evaluación de los tipos de incidentes que se deben planificar y
– Establecer una ubicación segura para ejecutar el plan de respuesta a
considerar.
incidentes
– Asegurarse de que el equipo necesario esté disponible
4.11.2 AMENAZAS • Identificación: esta fase tiene como objetivo verificar si ha ocurrido un incidente y
Las amenazas son cualquier evento que pueda causar daño a los activos, operaciones obtener más detalles sobre el incidente. Los informes sobre posibles incidentes pueden
o personal de una organización. Hay una serie de amenazas que deben ser consideradas, provenir de sistemas de información, usuarios finales u otras organizaciones. No todos
incluyendo: los informes son incidentes válidos, ya que pueden ser falsas alarmas o no calificar
• Ambiental: las amenazas ambientales cubren los desastres naturales. como incidente.
Si bien los desastres naturales varían entre ubicaciones, algunos desastres naturales Las actividades en esta fase incluyen:
pueden ocurrir entre períodos prolongados de tiempo y otros pueden ocurrir – Asignar la propiedad de un incidente o posible incidente a un
anualmente. Es difícil protegerse contra ciertos desastres naturales ya que su manejador de incidentes
naturaleza destructiva es alta. – Verificar que los informes o eventos califiquen como un incidente
• Técnicas: las amenazas técnicas incluyen incendios, fallas eléctricas, fallas de – Establecimiento de cadena de custodia durante la identificación al manipular
calefacción, ventilación y aire acondicionado (HVAC), problemas de software y evidencia potencial
sistemas de información, fallas de telecomunicaciones y fugas de gas/agua. Las – Determinar la gravedad de un incidente y escalarlo según sea necesario
amenazas técnicas normalmente se encuentran en todas las organizaciones y
son bastante comunes. Con suficiente planificación, las amenazas técnicas pueden • Contención: después de identificar y confirmar un incidente, se activa el IMT y
gestionarse adecuadamente. se comparte la información del administrador del incidente. El equipo llevará a
• Hecho por el hombre: las amenazas que surgen de las acciones hechas por el cabo una evaluación detallada y se comunicará con el propietario del sistema o el
hombre pueden incluir daños por parte de empleados descontentos, sabotaje/ gerente comercial de los sistemas/activos de información afectados para coordinar
espionaje corporativo e inestabilidad política que interrumpe las funciones acciones adicionales. La acción tomada en esta fase es limitar la exposición.
comerciales. Tales amenazas normalmente son fáciles de identificar desde la
ubicación/contexto y protegerse con una planificación adecuada. Las actividades en esta fase incluyen:
– Activar el equipo de gestión/respuesta de incidentes para contener
el incidente
4.11.3 VULNERABILIDADES – Notificar a las partes interesadas apropiadas afectadas por el incidente
Una debilidad en un sistema, tecnología, proceso, personas o control que puede – Obtener acuerdo sobre las acciones realizadas que puedan afectar
explotarse y resultar en exposición es una vulnerabilidad. Una vulnerabilidad que puede disponibilidad de un servicio o riesgos del proceso de contención
ser aprovechada por amenazas da como resultado un riesgo. Un aspecto de la gestión – Conseguir el representante de TI y el equipo virtual relevante
de riesgos es gestionar las vulnerabilidades para mantener el riesgo dentro de límites miembros involucrados para implementar procedimientos de contención
aceptables según lo determine la tolerancia al riesgo de la organización. La gestión de – Obtención y conservación de pruebas
vulnerabilidades es parte de la capacidad de gestión de incidentes; es la identificación – Documentar y realizar copias de seguridad de las acciones a partir de esta
proactiva, el seguimiento y la corrección de cualquier debilidad. fase.

– Controlar y gestionar la comunicación al público por parte del equipo de relaciones
públicas

• Erradicación—Cuando las medidas de contención han sido

4.12.2 EVALUACIÓN DEL IMPACTO EMPRESARIAL
desplegado, es hora de determinar la causa raíz del incidente y erradicarlo. La
El propósito de un BIA es crear un informe que ayude a las partes interesadas a comprender
erradicación se puede realizar de varias maneras: restaurando las copias de seguridad
qué impacto tendría un incidente en el negocio.
para lograr un estado limpio del sistema, eliminando la causa principal, mejorando las
El impacto puede ser en forma de valor cualitativo (calificación) o cuantitativo
defensas y realizando un análisis de vulnerabilidad para encontrar más daño potencial
(valor monetario).
de la misma causa principal. Las actividades en esta fase incluyen:
Para realizar esta fase con éxito, es esencial comprender la estructura y la cultura de la
– Determinación de los signos y causa de los incidentes
organización, los procesos comerciales clave, el riesgo aceptable y la tolerancia al riesgo, y
– Localización de la versión más reciente de las copias de seguridad o alternativa
los recursos físicos y de TI críticos. Un BIA exitoso requiere la participación de los propietarios
soluciones
de procesos comerciales, la alta gerencia, TI, seguridad física y usuarios finales.
– Eliminación de la causa raíz. En caso de gusano o virus
infección, se puede eliminar implementando parches apropiados y software antivirus
actualizado.
– Mejorar las defensas implementando técnicas de protección
Los BIA tienen tres objetivos principales:
– Realización de análisis de vulnerabilidades para encontrar nuevas vulnerabilidades
• Priorización de la criticidad: cada proceso crítico de la unidad de negocio
introducidas por la causa raíz
deben ser identificados y priorizados. El impacto de un incidente debe evaluarse: cuanto
• Recuperación: esta fase garantiza que los sistemas o servicios afectados se restablezcan mayor sea el impacto, mayor será la prioridad.
a una condición especificada en el RPO. La restricción de tiempo hasta esta fase está • Estimación del tiempo de inactividad: la evaluación también se usa para estimar el
documentada en el RTO. Las actividades en esta fase incluyen: tiempo de inactividad máximo tolerable (MTD) o la interrupción máxima tolerable (MTO)
que la empresa puede tolerar y seguir siendo viable. Esto también puede significar el
– Restablecimiento de las operaciones a la normalidad
período más largo de indisponibilidad de procesos/servicios/activos de información críticos
– Validar que las acciones realizadas en los sistemas restaurados fueron exitosas antes de que la empresa deje de operar.
– Conseguir la participación de los propietarios del sistema para probar el sistema
– Facilitar a los propietarios del sistema que declaren el funcionamiento normal • Requisito de recursos: los requisitos de recursos para los procesos críticos
• Lecciones aprendidas: al final del proceso de respuesta a incidentes, siempre se debe también se identifican en este momento, y los procesos más sensibles al tiempo y
desarrollar un informe para compartir lo que sucedió, las medidas que se tomaron y los de mayor impacto reciben la mayor asignación de recursos.
resultados después de que se ejecutó el plan. Parte del informe debe contener lecciones
aprendidas que brinden al IMT y otras partes interesadas valiosos puntos de aprendizaje
sobre lo que podría haberse hecho mejor. Estas lecciones deben convertirse en un plan Una evaluación incluye las siguientes actividades:
para mejorar la capacidad de gestión de incidentes y la documentación del plan de
• Recopilación de material de evaluación: el paso inicial del BIA es identificar qué
respuesta a incidentes. unidades comerciales son fundamentales para una organización.
Este paso se puede profundizar en las tareas críticas que se deben realizar para
Las actividades en esta fase incluyen: garantizar la supervivencia del negocio.
– Redacción del informe del incidente. • Análisis de la información recopilada: durante esta fase, se llevan a cabo varias
– Analizar los problemas encontrados durante los esfuerzos de respuesta a incidentes actividades, como la documentación de los procesos requeridos, la identificación
– Proponer mejoras en función de los problemas encontrados. de interdependencias y la determinación del período aceptable de interrupción. Las
– Presentar el informe a las partes interesadas relevantes tareas en esta fase incluyen:
– Identificar interdependencias entre estas funciones y departamentos.
4.12.1 ANÁLISIS DE BRECHAS: BASE PARA UN INCIDENTE

– Descubrir todas las posibles interrupciones que podrían afectar el
PLAN DE RESPUESTA mecanismo necesario para permitir que estos departamentos funcionen
El análisis de brechas proporcionará información sobre la brecha entre las capacidades juntos.
actuales de respuesta a incidentes en comparación con el nivel deseado. Al comparar los – Identificar y documentar amenazas potenciales que podrían interrumpir
dos niveles, se pueden identificar las mejoras en capacidades, habilidades y tecnología, que comunicación interdepartamental.
incluyen: – Recopilar información cuantitativa y cualitativa relativa a dichas amenazas.
• Procesos que necesitan ser mejorados para ser más eficientes y efectivos
– Proporcionar métodos alternativos para restaurar la funcionalidad y la comunicación.
• Recursos necesarios para lograr los objetivos de la capacidad de respuesta a
incidentes – Proporcione una breve declaración de la justificación de cada amenaza y la
información correspondiente.
El informe de análisis de brecha resultante se puede utilizar con fines de • Documentar el resultado y presentar recomendaciones—
planificación para determinar los pasos necesarios para resolver la brecha entre el estado El último paso de una evaluación es documentar los resultados de la evaluación
actual y el estado deseado. También puede ser útil para determinar la estrategia más efectiva de las actividades anteriores y crear un informe para las unidades de negocio y la
para lograr los objetivos y priorizar los esfuerzos. Las prioridades deben basarse en las áreas alta dirección.
de mayor impacto potencial y la mejor relación costo-beneficio.
El primer paso en el proceso de gestión de respuesta a incidentes es considerar el
impacto potencial de cada tipo de incidente que pueda ocurrir. El argumento es que
uno no puede planificar adecuadamente para un evento no deseado si hay poca idea de
los impactos probables de los diferentes escenarios posibles de incidentes en el negocio/
organización.

El análisis de incidentes potenciales y los impactos comerciales relacionados se La figura 4.3 proporciona un ejemplo de BIA.
logra mediante la realización de un BIA, una actividad sistemática diseñada para
evaluar el impacto de la interrupción, el acceso no autorizado y/o la manipulación, o
Figura 4.3—Elementos clave de la gestión de la respuesta
la pérdida total de disponibilidad del soporte de cualquier recurso de información crítico
(sistema, dispositivo de red, aplicación, personal y/o datos) a una organización. Corte Prioridad de
Duración Costo Recuperación
(horas) (EL DÓLAR AMERICANO $) Recursos de recuperación necesarios Proceso
Un BIA debe: 8 $80,000 Técnicos eléctricos 7

• Establecer la escalada de la pérdida en el tiempo
dieciséis
$160,000 Técnicos eléctricos, soporte de 8
• Identificar los recursos mínimos necesarios para la recuperación
aplicaciones
• Priorizar la recuperación de procesos y sistemas de soporte
24 $250,000 Técnicos eléctricos, soporte de 8
aplicaciones
Otra forma de ver un BIA es que es un ejercicio diseñado para identificar los recursos
que son más importantes para una organización y el impacto resultante de la 36 $1,000,000 Técnicos eléctricos, soporte de 9
interrupción, el acceso no autorizado y/o la manipulación, o la pérdida de disponibilidad. aplicaciones, soporte informático
Si se lleva a cabo correctamente, un BIA facilita la comprensión de la cantidad de

pérdida potencial (y varios otros efectos no deseados) que podrían ocurrir a partir de 48 $2,000,000 Técnicos eléctricos, soporte de 9
ciertos tipos de eventos. La pérdida potencial incluye no solo la pérdida financiera aplicaciones, soporte informático,
directa, sino también otros tipos de pérdida menos tangibles, como el daño a la consultores externos
reputación, la falta de cumplimiento normativo, etc. 72 10
$4,000,000 Técnicos electricistas,
soporte de aplicaciones, soporte
informático, consultores externos
A pesar del nivel extremadamente alto de importancia de comprender el impacto
96 $8,000,000 Técnicos electricistas, 10
comercial de los incidentes en el proceso comercial, muchas organizaciones no logran
soporte de aplicaciones, soporte
realizar esta evaluación.
informático, consultores externos
Otro problema común es la falta de actualización de BIA cuando se agregan o

Beneficios de realizar un análisis de impacto empresarial
cambian sistemas y funciones comerciales.
La realización de BIA produce varios beneficios importantes importantes, que
incluyen:
Un BIA está relacionado con la evaluación de riesgos (tanto cualitativa como
• Aumentar la comprensión de la cantidad de pérdida potencial y varios otros efectos
cuantitativa) en la medida en que el grado de exposición se correlacionará con el indeseables que podrían ocurrir a partir de ciertos tipos de incidentes
potencial de impacto. Sin embargo, un BIA no es lo mismo que una evaluación de
riesgos. Un BIA es una función más especializada que implica identificar los tipos de
• Facilitar todas las actividades de gestión de la respuesta
impactos relacionados con la interrupción, el acceso no autorizado y/o la manipulación,
• Elevar el nivel de conciencia para la gestión de la respuesta dentro de una organización
y la pérdida total de disponibilidad, e identificar el efecto en los procesos comerciales.
La evaluación de riesgos, por otro lado, examina las fuentes de amenazas, las
4.12.3 PROCESO DE ESCALADA PARA EFECTIVO
vulnerabilidades asociadas y la probabilidad de ocurrencia, lo que proporciona
estimaciones del nivel de riesgo. ADMINISTRACION DE INCIDENTES
El gerente de seguridad de la información debe implementar un proceso

Elementos de un análisis de impacto comercial de escalamiento para establecer los eventos a gestionar (es decir, en caso de un
La forma en que se llevan a cabo los BIA varía de una organización a otra. Sin corte de telecomunicaciones). Los eventos que parecen rutinarios pueden estar
embargo, los BIA tienen los siguientes elementos en común: relacionados con un compromiso de seguridad y constituir un incidente (p. ej., la
corrupción de datos puede no deberse a un problema de la aplicación, sino a una
• Describir la misión comercial de cada negocio/costo en particular infección por virus o gusano). Como parte de las políticas y procedimientos de gestión
centro de emergencias y gestión de incidentes, debe documentarse una descripción detallada
• Identificar las funciones que caracterizan cada función empresarial del proceso de escalamiento.
• Determinar dependencias tales como entradas requeridas de otros
operaciones
• Determinar otras operaciones posteriores dependientes de la función Para cada evento, se debe describir una lista de acciones en la secuencia a
• Identificar ciclos de procesamiento críticos (en términos de intervalos de tiempo) para realizar. Cada acción enumerada debe identificar a la persona responsable y un tiempo
cada función estimado para su ejecución.
• Estimar el impacto de cada tipo de incidente en el negocio
operaciones Cuando todas las acciones se han completado con éxito, el proceso debe
• Identificar los recursos y actividades necesarios para restaurar un nivel continuar en la sección dedicada a “fin de emergencia”. Si alguna acción no se
aceptable de operación puede ejecutar o si se alcanza el tiempo estimado, el proceso debe continuar en la
• Determinar las posibilidades alternativas, como manual o siguiente acción.
Operación basada en PC o cambio de carga de trabajo Cada acción fallida es una pérdida de tiempo. Si el tiempo transcurrido acumulado
• Estimar la cantidad de tiempo que la recuperación de cada tipo de alcanza un límite predeterminado, el estado de emergencia puede cambiar a una
es probable que el incidente tome condición de alerta (baja, media, alta). Una alerta

situación solicita la notificación de personas y organizaciones con responsabilidades Al definir los criterios apropiados y mejorar la concientización del personal de la mesa
ejecutivas. La notificación de alerta puede incluir a la alta gerencia, equipos de de ayuda, el gerente de seguridad de la información desarrolla otro método importante
respuesta y recuperación, recursos humanos, compañías de seguros, instalaciones de para detectar un incidente de seguridad.
respaldo, proveedores y clientes. La capacitación adecuada también ayuda a reducir el riesgo de que la mesa de
ayuda pueda ser atacada con éxito en un ataque de ingeniería social diseñado
El proceso debe continuar hasta que se resuelva la emergencia o se produzca para obtener acceso a cuentas, como un perpetrador que finge ser un usuario que
la última alerta. En este punto, el equipo de gestión de emergencias se reunirá ha sido bloqueado y requiere acceso inmediato al sistema. . Además de identificar
para evaluar los daños y las alternativas de mitigación, determinar si declarar un un posible incidente de seguridad, el personal de la mesa de ayuda debe conocer
desastre y/o lanzar el plan de respuesta y recuperación, y determinar la estrategia los procedimientos adecuados para informar y escalar un problema potencial.
adecuada. El gerente de seguridad de la información debe desarrollar un plan de
comunicación en consulta con las relaciones públicas, el asesor legal y la alta
gerencia adecuada para garantizar la idoneidad de cualquier divulgación de información. 4.12.5 GESTIÓN DE INCIDENCIAS Y
EQUIPOS DE RESPUESTA
El plan debe identificar los equipos y definir sus responsabilidades
Después del proceso de escalamiento, se deben ejecutar numerosas tareas, como asignadas en caso de incidente. Para implementar las estrategias que se han
notificar al personal, activar instalaciones de respaldo, contener amenazas de seguridad desarrollado para la recuperación del negocio, es necesario designar y capacitar
a los recursos de información, hacer arreglos de transporte y llevarlos a cabo, recuperar al personal clave de toma de decisiones, técnico y usuario final para liderar los
y descargar datos, pruebas, etc. El tiempo total transcurrido debe estar de acuerdo con equipos. Según el tamaño de la operación comercial, el equipo puede estar formado
el RTO establecido como se describe en el capítulo 2. por una sola persona. La participación de estos equipos depende del nivel de
interrupción del servicio y los tipos de activos perdidos, comprometidos, dañados o en
peligro. Se debe desarrollar una matriz que indique la correlación entre las funciones
El proceso de escalamiento incluye priorizar la información del evento y el proceso de de los diferentes equipos. Esto facilitará estimar la magnitud del esfuerzo y activar la
combinación adecuada de equipos. Ejemplos de los tipos de equipos que generalmente
decisión para determinar cuándo alertar a varios grupos, incluida la alta gerencia, el
público, los accionistas y las partes interesadas, el asesor legal, el personal de recursos se necesitan incluyen:
humanos, los proveedores y los clientes.
El gerente de seguridad de la información debe desarrollar estos procesos de • Equipo de acción de emergencia : guardianes de incendios designados y "equipos
escalamiento a través de consultas con relaciones públicas, asesores legales y la alta de cubo" cuya función es lidiar con incendios u otros escenarios de respuesta de
gerencia correspondiente. Este proceso también debe incluir proveedores y servicios emergencia
públicos. • Equipo de evaluación de daños: personas calificadas que evalúan el alcance de

los daños a los activos físicos y toman una determinación inicial con respecto a lo
Muchas organizaciones definen el nivel de eventos y definen los que es una pérdida total frente a lo que es restaurable o salvable.
procedimientos de escalamiento de manera diferente para cada nivel. Estos

niveles pueden basarse en la gravedad del evento, así como en la cantidad de • Equipo de gestión de emergencias : responsable de coordinar las actividades de
organizaciones que pueden verse afectadas por el evento y su necesidad específica todos los demás equipos de recuperación y manejar la toma de decisiones clave
de ser notificadas. El gerente de seguridad de la información también debe tener

mecanismos para comunicar información sobre crisis o eventos. • Equipo de reubicación : responsable de coordinar el proceso
Estos mecanismos pueden incluir el uso de correo electrónico si los sistemas de mudarse del sitio caliente a una nueva ubicación o a la ubicación original
informáticos y las redes están en funcionamiento, teléfonos celulares, máquinas de restaurada
fax, buscapersonas electrónicos, sitios web o un número de teléfono de emergencia • Equipo de seguridad : a menudo llamado incidente de seguridad informática
en el que se puede enviar un mensaje. Tenga en cuenta, sin embargo, que algunos equipo de respuesta, es responsable de monitorear la seguridad de los sistemas
tipos de comunicación, como los mensajes de correo electrónico, están por defecto en y enlaces de comunicación, contener cualquier amenaza de seguridad en curso,
texto no cifrado, lo que los hace sujetos a una posible intercepción. El gerente de resolver cualquier problema de seguridad que impida la recuperación expedita de
seguridad de la información también debe desarrollar métodos para cifrar los asistentes los sistemas y garantizar la instalación y el funcionamiento adecuados de cada
digitales personales (PDA) de correo electrónico y otras comunicaciones utilizadas paquete de software de seguridad. .
para comunicar información relacionada con crisis o eventos para garantizar que la
información se publique solo según lo prudente o de acuerdo con los planes. Se deben acordar varias decisiones clave durante las fases de planificación,
implementación y evaluación del plan de respuesta y recuperación. Éstos incluyen:
4.12.4 PROCESOS DE LA MESA DE AYUDA PARA IDENTIFICAR

• Metas/requisitos/productos para cada fase
INCIDENTES DE SEGURIDAD • Objetivos clave e indicadores de desempeño
El gerente de seguridad de la información debe tener procesos definidos para que el • Factores críticos de éxito y aspectos de la ruta crítica de la
personal de la mesa de ayuda distinga una solicitud típica de la mesa de ayuda de un implementación
posible incidente de seguridad. Es probable que la mesa de ayuda reciba los primeros • Instalaciones alternativas en las que se pueden realizar tareas y operaciones
informes que indiquen un problema relacionado con la seguridad.
El reconocimiento rápido de un incidente en curso y la derivación rápida a las partes • Recursos de información crítica para implementar (por ejemplo, datos y sistemas)
adecuadas es fundamental para minimizar el daño resultante de tales incidentes. • Personas responsables de la finalización
• Recursos disponibles, incluidos financieros, técnicos y de personal, para ayudar en el
despliegue • Programación de actividades con prioridades establecidas

4.12.6 ORGANIZACIÓN, ENTRENAMIENTO Y EQUIPAMIENTO DEL Es posible que la respuesta de la gerencia no se brinde como se esperaba, lo que
dificulta los esfuerzos de gestión de incidentes. Esto puede suceder cuando la alta
PERSONAL DE RESPUESTA
gerencia y otras partes interesadas o constituyentes no participan en la planificación
La capacitación de los equipos de respuesta es esencial; el gerente de seguridad de la
e implementación de la gestión de incidentes.
información debe desarrollar escenarios de eventos y probar los planes de respuesta y
recuperación para garantizar que los participantes del equipo estén familiarizados con
sus tareas y responsabilidades. A través de este proceso, los equipos también identificarán
Los desafíos también pueden ser causados por la falta de reuniones periódicas
los recursos que requieren para la respuesta y la recuperación, proporcionando la base
entre el IMT y los constituyentes. Un sentido de propiedad entre los constituyentes en
para equipar a los equipos con los recursos necesarios. Un valor añadido de la formación
la gestión de incidentes ayuda a garantizar que haya suficientes recursos y apoyo
es detectar y modificar procedimientos ambiguos para lograr claridad y determinar
disponibles para el IMT.
recursos de recuperación que pueden no ser adecuados o efectivos.
• Falta de coincidencia con los objetivos y la estructura de la organización: el
negocio opera a un ritmo acelerado y puede cambiar significativamente en un corto
período de tiempo. Es posible que la gestión de incidentes no pueda hacer frente a
Los miembros de IMT deben someterse al siguiente programa de capacitación:
la velocidad o la naturaleza de los cambios que ocurren dentro de la organización.
• Inducción al IMT: la inducción debe proporcionar la
Considere una situación en la que el negocio se expande a países emergentes. La
información esencial requerida para ser un miembro efectivo del IMT. • Tutoría de
presencia en nuevos países puede crecer a un ritmo importante; sin embargo, puede
los miembros del equipo con respecto a roles, responsabilidades
ser difícil ampliar las capacidades de gestión de incidentes. Es posible que se necesite
y procedimientos: los miembros del IMT existentes pueden proporcionar
una ronda de discusiones para identificar las funciones comerciales críticas y las
conocimientos valiosos para ayudar a los nuevos miembros después de la inducción.
partes interesadas locales, y para comprender las regulaciones locales.
Para facilitar una tutoría eficaz, se puede utilizar el sistema de compañeros,
emparejando a los miembros nuevos con miembros experimentados.
La alta gerencia generalmente está ocupada con asuntos comerciales en esta
• Capacitación en el trabajo: puede servir para comprender las políticas, estándares,
etapa y es posible que no pueda invertir tiempo en la gestión de incidentes. Es
procedimientos, herramientas y aplicaciones disponibles de la empresa, código de
responsabilidad del IMT identificar cualquier problema crítico y darlo a conocer a la
conducta aceptable, etc.
gerencia ejecutiva.
• Capacitación formal: los miembros del equipo pueden requerir capacitación formal
• Rotación de miembros del IMT : el desarrollo de un plan de gestión de incidentes
para alcanzar un nivel adecuado de competencia necesario para respaldar la
puede llevar una cantidad significativa de tiempo con una interacción frecuente con
capacidad general de gestión de incidentes.
varias partes interesadas. El campeón de la gestión de incidentes, que normalmente
es un miembro de la alta dirección o el director de seguridad de la información,
4.12.7 PROCESO DE NOTIFICACIÓN DE INCIDENTES puede dejar la empresa de forma inesperada, lo que provoca que cualquier esfuerzo
Tener un proceso de notificación de incidentes de seguridad efectivo y oportuno de planificación o desarrollo se detenga. Es probable que la falta de un campeón
es un componente crítico de cualquier programa de seguridad. El gerente de reduzca el enfoque y los recursos dedicados a implementar el plan.
seguridad de la información debe comprender cómo la obtención de información
oportuna y relevante puede ayudar a la organización a responder de manera rápida y • Falta de proceso de comunicación: los procesos de comunicación ineficaces
eficiente y, en última instancia, protegerá a la organización de posibles pérdidas y daños pueden dar lugar a una comunicación insuficiente o excesiva. En el caso de falta
que puedan ocurrir como resultado de un incidente. Existen mecanismos que permiten de comunicación, es posible que las partes interesadas relevantes no reciban la
que un sistema de detección automatizado o monitor envíe correos electrónicos o información que necesitan.
mensajes telefónicos al personal designado. Es más probable que las siguientes funciones Esto puede dar lugar a diferentes interpretaciones sobre la necesidad de
necesiten información sobre incidentes cuando ocurran: planificar la gestión de incidentes, los beneficios que se pueden obtener o su papel
en el desarrollo, implementación y mantenimiento de una capacidad de gestión de
• Gestión de riesgos incidentes. La comunicación excesiva puede poner a las partes interesadas en
• Recursos humanos (cuando un compromiso de seguridad parece involucrar a personas internas) contra de la gestión de incidentes, ya que pueden sentir que el plan es demasiado
• Legal difícil de manejar o que compite con las prioridades que han establecido.
• Relaciones públicas
• Operaciones de red • Plan complejo y amplio —El plan propuesto puede ser bueno y cubrir muchos
temas, pero es demasiado complejo y demasiado amplio.
Las actividades de notificación son efectivas solo si el personal informado Es posible que los electores no estén preparados para participar y comprometerse
comprende sus responsabilidades y las realiza de manera eficiente y oportuna. Por lo con planes que parezcan exagerados.
tanto, el gerente de seguridad de la información debe definir las responsabilidades y
comunicarlas al personal clave. También puede ser efectivo trabajar con Recursos 4.13 CONTINUIDAD DEL NEGOCIO Y DESASTRE
Humanos para determinar cómo se pueden documentar estas responsabilidades en las
descripciones de trabajo de los empleados.
PROCEDIMIENTOS DE RECUPERACIÓN
Hay una serie de consideraciones al desarrollar planes de respuesta y recuperación,

incluidos los recursos disponibles, los servicios esperados y los tipos, clases y gravedad
4.12.8 DESAFÍOS EN EL DESARROLLO DE UN INCIDENTE
de las amenazas que enfrenta la organización. También se debe conocer el estado de
PLAN DE GESTIÓN
las capacidades de monitoreo y detección, y se debe determinar el nivel de riesgo que
Al desarrollar y mantener un plan de gestión de incidentes, puede haber desafíos la organización está dispuesta a aceptar. Una estrategia eficaz para los planes de
imprevistos como resultado de: recuperación logrará el equilibrio más rentable entre los esfuerzos de gestión de
• Falta de compromiso de la gerencia y consenso organizacional— riesgos, la gestión y respuesta a incidentes y BC/DRP.
La mayoría de los desafíos resultan de la falta de aceptación y consenso de la
gerencia entre las unidades de negocios. Cuando ocurre un incidente,

4.13.1 PLANIFICACIÓN Y NEGOCIO DE RECUPERACIÓN el líder de continuidad del negocio, quien luego declarará la normalidad en consulta con el
equipo de gestión de crisis y migrará las operaciones de regreso al sitio principal.
PROCESOS DE RECUPERACIÓN
El gerente de seguridad de la información debe comprender los procesos básicos
necesarios para recuperar las operaciones de incidentes como ataques DoS, desastres
En caso de que el sitio principal se destruya por completo o se dañe severamente, la
naturales y otras interrupciones potenciales de las operaciones comerciales.
organización puede tomar una decisión estratégica para transformar el sitio de recuperación
alternativo en el sitio de operaciones principal o identificar, adquirir y establecer otro sitio donde
las operaciones finalmente se restaurarán y funcionarán. como sitio principal.
La recuperación ante desastres (DR) se ha definido tradicionalmente como la
recuperación de los sistemas de TI después de eventos disruptivos como huracanes e
Esto es especialmente cierto en los casos en que la organización se suscribe a un sitio de
inundaciones. La recuperación comercial se define como la recuperación de los procesos
recuperación ante desastres de un tercero, ya que los costos de operar desde dicho sitio
comerciales críticos necesarios para continuar o reanudar las operaciones. La recuperación
durante un período prolongado pueden resultar prohibitivamente altos.
empresarial incluye no solo la recuperación ante desastres, sino también todos los demás
aspectos operativos necesarios.
Para garantizar una planificación de contingencia eficaz y completa, las organizaciones

La planificación debe incluir los requisitos para determinar cuándo un incidente no puede ser
que establecen un plan de continuidad del negocio no solo deben abordar los procesos,
resuelto por los procesos de recuperación disponibles y debe declararse un desastre. La
funciones y responsabilidades de identificar un incidente, declarar un desastre y gestionar
declaración de un desastre de conformidad con los criterios de declaración definidos
las operaciones en modo desastre, sino que también deben definir procesos para restaurar
generalmente requerirá trasladar las operaciones al sitio de procesamiento alternativo.
operaciones en el sitio primario y anunciar el regreso a la normalidad. Se puede identificar un
sitio frío durante la fase de estrategia para actualizarlo a una instalación operativa principal en
caso de que el incidente inutilice la instalación principal.
No todos los eventos, incidentes o interrupciones críticas deben clasificarse como
incidentes de seguridad. Por ejemplo, la interrupción del servicio puede deberse a un mal
funcionamiento del sistema o a un accidente. Independientemente de la causa de la interrupción
operativa, la resolución satisfactoria requerirá una acción inmediata para mantener o recuperar
Es importante recordar que los recursos de información aún deben estar protegidos, incluso
el estado operativo.
durante el entorno potencialmente caótico de una interrupción del negocio o un desastre. El
Las acciones pueden, entre otras cosas, requerir la restauración del hardware, software
gerente de seguridad de la información debe garantizar que la seguridad de la información se
y/o archivos de datos.
incorpore en todos los planes de respuesta y recuperación. El gerente de seguridad debe
revisar cuidadosamente estos planes para asegurarse de que su ejecución no comprometa los
Cada uno de estos procesos de planificación normalmente incluye varias fases principales,
estándares y requisitos de seguridad de la información. En los casos en que tal compromiso sea
que incluyen:
inevitable, se deben explorar otras mitigaciones. Como mínimo, se debe realizar una evaluación
• Evaluación de riesgos e impacto en el negocio
de riesgos enfocada para que la gerencia sea consciente del alcance y los impactos potenciales
• Definición de la estrategia de respuesta y recuperación
del riesgo de seguridad introducido por la ejecución del plan.
• Documentación de los planes de respuesta y recuperación
• Capacitación que cubre los procedimientos de respuesta y recuperación
• Actualización de los planes de respuesta y recuperación
• Probar planes de respuesta y recuperación
• Auditoría de planes de respuesta y recuperación
En el caso probable de que la crisis no sea catastrófica y la organización haya
cambiado al modo de recuperación ante desastres solo por un tiempo limitado, es
Antes de crear un plan detallado de continuidad del negocio, es importante realizar
importante que el sitio de recuperación ante desastres se restaure a un estado aceptable
BIA para determinar el costo diario incremental de perder diferentes sistemas. Esto
de preparación después de que se restablezcan las operaciones en la instalación principal.
proporciona la base para decidir sobre los RTO apropiados. Esto, a su vez, afecta la
ubicación y el costo de las instalaciones de recuperación fuera del sitio y la composición y
misión de los equipos individuales de respuesta y recuperación.
Se deben registrar las lecciones aprendidas y las brechas identificadas en el plan al
cambiar al sitio de recuperación de desastres o al volver a la instalación principal y se deben
implementar las recomendaciones para mejorar la efectividad del plan. Un plan realista debe
4.13.2 OPERACIONES DE RECUPERACIÓN cubrir todos los aspectos del restablecimiento de las operaciones en el sitio principal, incluidas
Una vez que la organización está funcionando en modo de recuperación (que generalmente es las áreas de personas, instalaciones y tecnología.
desde un sitio de recuperación ante desastres en caso de daño o inaccesibilidad de la instalación

principal), los equipos de continuidad del negocio deben monitorear el progreso de la
restauración en el sitio principal. Esto se hace para evaluar cuándo es seguro regresar y realizar 4.13.3 ESTRATEGIAS DE RECUPERACIÓN
pruebas para evaluar si el centro de datos principal y las instalaciones son accesibles, operativos
Existen varias estrategias para recuperar recursos de información críticos. Es
y capaces de funcionar a capacidades y carga de procesamiento normales.
probable que la estrategia más apropiada sea aquella que aborde de manera demostrable
los eventos probables con tiempos de recuperación aceptables a un costo razonable.
Los equipos que fueron responsables de reubicarse en el sitio alternativo y hacerlo operativo
El costo total de una capacidad de recuperación es el costo de prepararse para posibles
realizan una operación similar para regresar al sitio principal. Tras la restauración completa de
interrupciones (es decir, comprar, mantener y probar regularmente computadoras
la instalación principal y las capacidades de procesamiento de datos, los equipos de recuperación
redundantes; mantener enrutamiento de red alternativo, costos de capacitación y personal,
actualizan
etc.) y el costo de ponerlos en

efecto en caso de incidente. Los impactos de las interrupciones pueden, hasta • Sitios cálidos : los sitios cálidos son infraestructuras completas, pero están
cierto punto, ser mitigados por varias formas de seguro de interrupción del negocio, que parcialmente configurados en términos de TI, generalmente con conexiones de
deben considerarse como una opción estratégica. red y equipos periféricos esenciales, como unidades de disco, unidades de cinta y
controladores. A veces, un sitio tibio está equipado con una unidad de
Según el tamaño y la complejidad de la organización y el estado de la planificación de procesamiento central (CPU) menos potente que el sitio principal.
la recuperación, el gerente de seguridad de la información debe comprender que es
probable que el desarrollo de un plan de respuesta y gestión de incidentes sea un proceso • Sitios fríos : los sitios fríos solo tienen el entorno básico
difícil y costoso que puede llevar un tiempo considerable. Puede requerir el desarrollo de (cableado eléctrico, aire acondicionado, pisos, etc.) para operar una instalación de
varias estrategias alternativas, que abarquen diferentes capacidades y costos, para ser procesamiento de información (IPF). El sitio frío está listo para recibir equipos, pero
presentadas a la gerencia para una decisión final. no ofrece ningún componente en el sitio antes de la necesidad. La activación del sitio
puede tardar varias semanas. Los centros portátiles pertenecen a esta categoría. •
Cada alternativa debe estar lo suficientemente desarrollada para proporcionar Sitios móviles : los sitios móviles son remolques especialmente diseñados que se
una comprensión de las ventajas y desventajas entre el alcance, las capacidades y el costo. pueden transportar rápidamente a una ubicación comercial oa un sitio alternativo para
Puede ser prudente considerar la subcontratación de algunas o todas las capacidades proporcionar un IPF listo para usar. Estos sitios móviles se pueden conectar para formar
necesarias y determinar los costos con el fin de realizar comparaciones. áreas de trabajo más grandes y se pueden preconfigurar con servidores, computadoras
Una vez que se toma la decisión sobre qué estrategia cumple mejor con de escritorio, equipos de comunicaciones e incluso enlaces de datos satelitales y de
los objetivos de la administración, proporciona la base para el desarrollo de planes microondas. Son una alternativa útil cuando no hay instalaciones de recuperación en el
detallados de administración y respuesta a incidentes. área geográfica inmediata. También son útiles en caso de un desastre generalizado y
pueden ser una alternativa rentable para los IPF duplicados para una organización con
4.13.4 ABORDANDO LAS AMENAZAS varios sitios.
En el caso de amenazas, algunas posibles estrategias a considerar pueden incluir:
• IPF duplicados : estas instalaciones son sitios de recuperación dedicados que son
• Eliminar o neutralizar una amenaza: aunque eliminar o
funcionalmente similares o idénticos al sitio principal que pueden sustituir rápidamente
neutralizar una amenaza puede parecer la mejor alternativa, hacerlo cuando la
al sitio principal. Van desde un sitio caliente en espera hasta instalaciones disponibles
amenaza es externa generalmente es un objetivo poco realista. Si la amenaza es
a través de un acuerdo recíproco con otra empresa. (Tenga en cuenta que, aunque
interna y específica, puede ser posible eliminarla. Por ejemplo, la amenaza de que una
en el pasado los acuerdos recíprocos eran comunes, ahora rara vez se usan). La
actividad en particular cree un incidente de seguridad podría abordarse cesando la
suposición es que hay menos problemas para coordinar la compatibilidad y la
actividad.
disponibilidad en el caso de IPF duplicados. Las grandes organizaciones con múltiples
• Minimizar la probabilidad de que ocurra una amenaza: la mejor alternativa suele
instalaciones de datos a menudo pueden desarrollar capacidades de conmutación por
ser minimizar la probabilidad de que ocurra una amenaza reduciendo o eliminando
error entre sus propios centros de datos dispersos geográficamente.
las vulnerabilidades. Este objetivo se puede lograr implementando el conjunto
apropiado de controles físicos, ambientales y/o de seguridad. Por ejemplo,
implementar firewalls, IDS y métodos de autenticación sólidos podría reducir
La adhesión a los siguientes principios ayuda a garantizar la viabilidad de este
sustancialmente el riesgo de un ataque exitoso. • Minimice los efectos de una
enfoque:
amenaza si ocurre un incidente: generalmente hay varias formas de minimizar el
– El sitio elegido debe ubicarse de modo que no esté sujeto al mismo evento de
impacto si ocurre un incidente, como la gestión y respuesta efectiva de incidentes,
desastre que el sitio principal. Si, por ejemplo, el sitio principal está en un área
seguros o sistemas redundantes con conmutación por error automática.
sujeta a huracanes, el sitio de recuperación no debe estar sujeto a los mismos
huracanes.
– Es necesaria la coordinación de estrategias de hardware/software.
Debe existir un grado razonable de compatibilidad de hardware y software para
Cada sistema de procesamiento de información crítica requerirá un enfoque para
que sirva como base para la copia de seguridad.
restaurar las operaciones en caso de interrupción. Hay muchas estrategias alternativas
– La disponibilidad de recursos debe estar asegurada. Las cargas de trabajo de los
que se pueden considerar tanto en términos de gestión de incidentes y capacidad de
sitios deben monitorearse para garantizar que exista suficiente disponibilidad para
respuesta como desde una perspectiva de recuperación ante desastres. Estos pueden
el uso de respaldo de emergencia.
variar desde sistemas duplicados y redundantes hasta garantizar un alto grado de
– Debe haber acuerdo sobre la prioridad de agregar aplicaciones (cargas de trabajo)
resiliencia y robustez del sistema o proceso.
hasta que se utilicen por completo todos los recursos de recuperación.
– Es necesario realizar pruebas periódicas. Ya sea que los sitios duplicados sean de
4.13.5 SITIOS DE RECUPERACIÓN propiedad común o estén bajo la misma administración, es necesario realizar pruebas
Las alternativas más adecuadas deben basarse en la probabilidad, los impactos y el periódicas de la operación de respaldo para garantizar que funcionará en caso de un
costo. Es probable que las interrupciones o desastres más prolongados y costosos que desastre.
afecten la instalación física principal requieran alternativas de respaldo fuera del sitio. • Sitios espejo: si se requiere tiempo de actividad y disponibilidad continuos, un sitio
Los tipos de instalaciones de respaldo externas que se pueden considerar incluyen: espejo puede ser la mejor opción. Por definición, un sitio espejo es muy similar o
idéntico al sitio principal. El sitio espejo está operativo en concierto con el sitio principal
• Sitios activos: los sitios activos se configuran por completo y están listos para sobre una base de carga compartida. Por lo general, las aplicaciones se inician
funcionar en varias horas. El software del equipo, la red y los sistemas debe ser mediante un programador automático que equilibra las cargas entre los sitios en función
compatible con la instalación principal que se está respaldando. Las únicas necesidades de la capacidad operativa disponible y las aplicaciones se pueden ejecutar en
adicionales son personal, programas, archivos de datos y documentación. cualquiera de ellos. Siempre que exista suficiente capacidad de reserva,

las aplicaciones se cambian sin problemas entre los sitios sin interrupción. Una Para preparar una estrategia de recuperación adecuada, el gerente de seguridad
vez más, las organizaciones con múltiples instalaciones de datos a menudo de la información debe equilibrar todos estos parámetros con las capacidades de los
pueden desarrollar esta capacidad entre sus propios centros de datos dispersos diferentes tipos de sitios de recuperación, sus costos y ubicaciones.
geográficamente.
La complejidad y costo de los planes de respuesta y recuperación, así como el
El tipo de sitio más adecuado se basará en gran medida en los requisitos operativos tipo y costo del sitio de recuperación, son proporcionalmente inversas a estos
determinados por el BIA, los costos y beneficios, y la tolerancia al riesgo de la objetivos de tiempo. Una ventana de interrupción de dos horas, por ejemplo, dicta
gestión. Se puede determinar que algunos aspectos operativos críticos se deben una solución caliente o duplicada que generalmente es muy costosa, pero es
reflejar para cumplir con los requisitos de nivel de servicio, mientras que otros se probable que el plan de recuperación correspondiente sea simple y económico.
pueden respaldar adecuadamente con capacidades de sitios calientes, templados o Por el contrario, una ventana de interrupción de una semana puede permitir el uso
fríos en las mismas instalaciones o en otras. de un sitio frío que es económico, pero es probable que el plan de recuperación
asociado sea complejo y costoso.
4.13.6 BASE PARA LA SELECCIÓN DEL SITIO DE RECUPERACIÓN

El tipo de sitio seleccionado para una estrategia de respuesta y recuperación
debe basarse en las siguientes consideraciones: 4.13.7 ACUERDOS RECÍPROCOS
• Ventana de interrupción: el tiempo total que la organización puede esperar Si la estrategia de recuperación es usar acuerdos recíprocos con una o más
desde el punto de falla hasta la restauración de los servicios/aplicaciones entidades internas o externas, es esencial que estén disponibles equipos y
críticos. Después de este tiempo, las pérdidas acumuladas causadas por la aplicaciones similares. Bajo el acuerdo típico, los participantes se comprometen a
interrupción pueden amenazar la existencia de la organización. proporcionar tiempo de cómputo y operaciones de red entre ellos cuando surja
una emergencia.
• RTO: el período de tiempo desde la interrupción hasta el momento
que el proceso debe estar funcionando a un nivel de servicio suficiente para Aunque los principios relacionados con las estrategias de recuperación
limitar los impactos financieros y operativos a un nivel aceptable. Algunas son sencillos, rara vez funcionan según lo planeado en entornos del mundo
organizaciones lo expresan como momentos parciales, es decir, desde el punto real. Los recursos de TI generalmente se usan de una manera que se
de falla hasta la recuperación técnica, o desde el punto de declaración de desastre acerca a su capacidad máxima y es posible que no puedan soportar los
hasta las operaciones completas. • RPO: hace referencia a la antigüedad de los requisitos para las operaciones de recuperación; Las organizaciones generalmente
datos que la organización necesita para poder restaurar en caso de un desastre. A no tienen suficientes recursos de reserva para satisfacer incluso los requisitos de
veces esto se expresa como el punto de los últimos buenos datos conocidos. recuperación relativamente pequeños relacionados con la CPU, el ancho de banda
Este será el punto de partida para las operaciones en el sitio de recuperación. Si de la red o la capacidad de almacenamiento. También se debe considerar la
las copias de seguridad completas son poco frecuentes, puede llevar demasiado disponibilidad de personal competente en una instalación alternativa. Es probable
tiempo recrear la cantidad de datos que se necesitan y el resultado sería que no que en el caso de un incidente grave o un desastre, la disponibilidad de recursos
se cumplirían los RTO. de personal se vea afectada negativamente. Los gastos extra, la integración de
• Objetivos de entrega de servicios (SDO): nivel de servicios que se admitirán personal externo en las operaciones y las amenazas adicionales a la seguridad
durante el modo de proceso alternativo hasta que se restablezca la situación física son algunos de los problemas difíciles e inmediatos inherentes a este tipo de
normal. Esto debe estar directamente relacionado con las necesidades del solución.
negocio.
• MTO: el tiempo máximo que la organización puede soportar el procesamiento en Además, crear un contrato que brinde la protección adecuada puede ser una tarea
el modo alternativo. Varios factores determinarán el MTO, incluido el aumento de difícil, y es probable que el costo de lidiar con los cambios a lo largo del tiempo sea
los retrasos en el procesamiento diferido. significativo. Es importante que las disposiciones contractuales para el uso de sitios
Este, a su vez, se ve afectado por el SDO si es menor que el requerido de terceros cubran cuestiones importantes como la configuración del hardware y
durante las operaciones normales. software de terceros, la velocidad de disponibilidad, la confiabilidad, la duración del
• Factores de proximidad: la distancia de los peligros potenciales, que pueden uso, la naturaleza de las comunicaciones entre sitios y el período de uso.
incluir el riesgo de inundación de las vías fluviales cercanas, la fabricación o el
almacenamiento de materiales peligrosos u otras situaciones que pueden
representar un riesgo para la operación de un sitio de recuperación. Hay varias alternativas disponibles para asegurar el hardware de respaldo
• Ubicación—Distancia suficiente necesaria para minimizar el y las instalaciones físicas, que incluyen:
probabilidad de que tanto las instalaciones primarias como las de • Proveedor o tercero : los proveedores de hardware suelen ser la mejor
recuperación estén sujetas a la misma ocurrencia de un evento ambiental. fuente de equipo de reemplazo. Sin embargo, esto a menudo puede implicar
Al planificar, se debe tener en cuenta el área de impacto típica de los tipos un período de espera que no es aceptable para operaciones críticas. Es poco
de eventos que tienen una mayor probabilidad de ocurrencia en un lugar probable que algún proveedor garantice una reacción específica ante una crisis.
determinado. Por ejemplo, en el caso de huracanes frente a tornados, el área Los arreglos de proveedores se utilizan mejor cuando una organización planea
de impacto de un huracán suele ser mucho mayor que el área de impacto de un mudarse de un sitio caliente a un sitio cálido o frío, por lo que la planificación
tornado, lo que requiere una mayor distancia entre los sitios para un lugar donde anticipada es fundamental. Otra fuente de reemplazo de equipos es el mercado
ocurren huracanes con frecuencia. de hardware usado.
Este mercado puede suministrar componentes críticos o sistemas completos
• Naturaleza de las interrupciones probables—Esto debe ser considerado en en un plazo relativamente corto, a menudo a un costo sustancialmente reducido.
términos del MTO. Por ejemplo, es probable que un gran terremoto deje Es fundamental establecer relaciones con los distribuidores mucho antes de
inoperable un sitio principal durante varios meses. cualquier emergencia real.
Claramente, el MTO en un área sujeta a esta interrupción debe ser mayor que • Listos para usar: dichos componentes a menudo están disponibles en el
la duración probable de tal evento. inventario de los proveedores con poca anticipación, pero pueden requerir

preparativos. Para hacer uso de este enfoque, se deben utilizar varias estrategias, que 4.13.9 ELEMENTOS DEL PLAN DE RECUPERACIÓN
incluyen:
La mayoría de los planes de continuidad del negocio se crean como un conjunto de
– Evitar el uso de equipos inusuales y difíciles de conseguir
procedimientos que se adaptan a las estrategias de recuperación del sistema, del usuario y de la red.
– Actualizar regularmente el equipo para mantenerse al día.
Las copias del plan deben mantenerse fuera del sitio para garantizar que esté
– Mantener la compatibilidad del software para permitir la operación de equipos más nuevos
disponible cuando sea necesario; esto incluye en la instalación de recuperación, en la
instalación de almacenamiento de medios y en los hogares del personal clave para la
toma de decisiones. Los componentes del plan deben incluir personal clave para la
Debido a que se requieren datos y software para estas estrategias, se deben
toma de decisiones, un respaldo de los suministros necesarios, la organización y la
considerar arreglos especiales para su copia de seguridad en medios extraíbles y su
asignación de responsabilidades, las redes de telecomunicaciones y las provisiones de
almacenamiento seguro fuera del sitio.
seguros.
Adicionalmente, parte de la recuperación de las instalaciones TI involucra a las

4.13.10 INTEGRAR OBJETIVOS DE RECUPERACIÓN Y
telecomunicaciones, para lo cual las estrategias usualmente consideradas incluyen
elementos de prevención de desastres en la red: ANÁLISIS DE IMPACTO CON RESPUESTA A INCIDENTES
• Enrutamiento alternativo El gerente de seguridad de la información debe ser consciente de que la gestión de
• Enrutamiento diverso incidentes también incluye BCP y DRP. DRP generalmente comprende el plan para
• Diversidad de red de larga distancia recuperar una instalación de procesamiento de TI o el plan de las unidades de negocio para
• Protección de los recursos locales recuperar una instalación operativa. El plan de recuperación debe ser coherente y respaldar
• Recuperación de voz el plan general de TI de la organización. BCP, DRP y la respuesta a incidentes no tienen
• Disponibilidad de circuitos apropiados y ancho de banda adecuado que combinarse necesariamente en un solo plan. Sin embargo, para tener una estrategia
• Disponibilidad de comunicaciones fuera de banda en caso de falla de los métodos de viable de respuesta y recuperación, cada una debe ser consistente con la otra e integrada
comunicación primarios para que la transición en la declaración de un desastre sea efectiva.
Una vez que se ha desarrollado una estrategia para la recuperación de suficientes

instalaciones de TI para respaldar los procesos comerciales críticos, es fundamental
que las estrategias funcionen durante todo el período de recuperación hasta que se La integración efectiva de la respuesta a incidentes y BCP/DR requiere que se considere
restablezcan todas las instalaciones. Las estrategias pueden incluir: cuidadosamente la relación entre RTO, RPO, SDO y MTO. Dado que la transición de la
• No hacer nada hasta que las instalaciones de recuperación estén listas respuesta a incidentes a las operaciones de recuperación ante desastres para todos los
• Uso de procedimientos manuales sitios que no sean duplicados requerirá algún tiempo, RTO y AIW se verán afectados.
• Focalizarse en los clientes, proveedores, productos, sistemas, etc. más importantes, con
los recursos que todavía están disponibles
• Usar sistemas basados en PC para capturar datos para su procesamiento posterior o Aceptación y tolerancia al riesgo
realizar un procesamiento local simple Las cuestiones generales de riesgo se han abordado en el capítulo 2.
Los riesgos específicos de las operaciones de recuperación y respuesta a incidentes
4.13.8 IMPLEMENTACIÓN DE LA ESTRATEGIA son numerosos y deben considerarse desde una base de magnitud y frecuencia, así
como desde la perspectiva del impacto potencial.
Con base en la estrategia de respuesta y recuperación seleccionada por la
gerencia, se debe desarrollar un plan detallado de respuesta y recuperación. Debe
abordar todos los problemas relacionados con la recuperación de un desastre. Se deben
considerar varios factores al desarrollar el plan, que incluyen: La tolerancia al riesgo es el grado aceptable de variación del riesgo aceptable que, en el
análisis final, debe ser determinado por la gerencia. La consideración esencial desde la
• Preparación previa al incidente perspectiva de la seguridad de la información es garantizar que un incidente o desastre no
comprometa la seguridad. Dado que la atención se centrará en la recuperación o restauración
• Procedimientos de evacuación
• Cómo declarar un desastre de los servicios, existe una posibilidad significativa de que la conveniencia y los atajos de
procedimiento planteen una mayor exposición al riesgo.
• Identificación de los procesos de negocio y recursos de TI que deben recuperarse
• Identificación de las responsabilidades en el plan

• Identificación de los responsables de cada función en
El plan Análisis de Impacto del Negocio
• Identificación de la información de contacto No importa cuán buenos sean los controles, el riesgo de un incidente no puede
• La explicación paso a paso de las opciones de recuperación eliminarse por completo. En consecuencia, el gerente de seguridad de la información debe
• Identificación de los diversos recursos necesarios para la recuperación y las operaciones supervisar el desarrollo de planes de respuesta y recuperación para garantizar que estén
continuas • Asegurar que otra logística, como la reubicación de personal y diseñados e implementados correctamente. Estos planes deben, como se describió
anteriormente, basarse en el BIA.
se consideran viviendas temporales
El plan de respuesta y recuperación debe estar documentado y escrito en un lenguaje Luego, las estrategias de respuesta y recuperación deben ser identificadas y validadas y
sencillo que sea claro y fácil de leer. También es común identificar equipos de personal que luego aprobadas por la alta gerencia. Una vez que la alta gerencia aprueba estas estrategias,
se encargan de tareas específicas en caso de incidentes o desastres. el gerente de seguridad de la información debe supervisar el desarrollo de los planes de
respuesta y recuperación. Durante este proceso, los equipos de respuesta y recuperación

se debe identificar y movilizar a los miembros del equipo. Los planes deben • Los contactos en las instalaciones de almacenamiento de medios fuera del sitio y los contactos
orientar a los equipos sobre los pasos a seguir para recuperar los procesos de dentro de la empresa que están autorizados a recuperar medios de la instalación
negocio. externa
• Agentes de compañías de seguros
Objetivos de tiempo de recuperación • Contactos en RRHH y/o servicios de personal contratado
RTO se define como la cantidad de tiempo permitido para la recuperación de una • Contactos de aplicación de la ley
función o recurso comercial a un nivel operativo predefinido después de que ocurre

un desastre. Superar este tiempo significaría que la supervivencia de la organización Tenga en cuenta que la decisión de traer a la policía durante un incidente de
se vería amenazada o que las pérdidas superarían los niveles aceptables. Los RTO este tipo recae únicamente en la alta dirección. El rol de un gerente de seguridad
se determinan como resultado de que la gerencia decida el nivel de impacto de la información no es contactar directamente a organizaciones externas,
aceptable como resultado de la falta de disponibilidad de recursos de información. excepto quizás en el contexto de un equipo de respuesta entre organizaciones que
Generalmente, el RTO óptimo es el punto donde el costo continuo de la pérdida es incluye miembros de las funciones legales y, posiblemente, de relaciones con los
igual al costo de recuperación. medios de una organización. En cambio, se espera que el gerente de seguridad de la
información brinde experiencia en seguridad de la información, así como evidencia
Objetivos del punto de recuperación cuando se le solicite que lo haga durante la comunicación respaldada por la
RPO se define como una medición del punto anterior a una interrupción en la que organización con entidades externas, como clientes, fuerzas del orden público y los
se restaurarán los datos; es decir, el último punto de buenos datos conocidos. El medios. El gerente de seguridad de la información también debe ayudar a identificar
RTO y el RPO deben estar estrechamente vinculados para facilitar una gestión y y escalar los problemas legales y de aplicación de la ley; por lo tanto, es imperativo
una respuesta eficaces a los incidentes. Esto se debe a que un RTO corto puede un proceso de escalada apropiado.
verse afectado negativamente por el RPO si hay una gran cantidad de datos que
deben restaurarse antes de lograr niveles aceptables de operación. Existen empresas que manejan comunicaciones automatizadas de respuesta a
emergencias, lo que puede ser una buena opción para algunas organizaciones. Sin
embargo, al igual que con cualquier otro servicio subcontratado, se debe prestar
Un ejemplo de una declaración de procedimiento que especifica tanto RTO como especial atención a los procesos necesarios que deben implementarse para
RPO podría ser: "En caso de que falle el disco duro del servidor web principal, la garantizar la eficacia de esta solución.
restauración a la última versión de copia de seguridad debe completarse en dos

horas". 4.13.12 SUMINISTROS
El plan debe incluir provisiones para todos los suministros necesarios para
Objetivos de prestación de servicios continuar con las actividades comerciales normales durante el esfuerzo de recuperación.
El SDO es el nivel de servicio aceptable que se debe lograr dentro del RTO. En Esto incluye procedimientos impresos detallados y actualizados que pueden
muchos casos, un nivel aceptable puede ser sustancialmente menor que las ser seguidos fácilmente por el personal y el personal contratado que no están
operaciones normales, menos costoso y más fácil de lograr. El SDO estará familiarizados con las operaciones estándar y de recuperación. Esto es para
determinado por varios factores, incluidos los requisitos comerciales, los costos y la asegurar que el plan pueda implementarse, incluso si los miembros del personal
sostenibilidad durante la duración probable de la operación en una instalación regular no están disponibles. Además, se debe asegurar un suministro de formularios
alternativa. especiales, como cheques de existencias, formularios de facturas y formularios de
pedidos, en una ubicación externa.
Interrupción máxima tolerable
MTO es el tiempo total que las operaciones pueden mantenerse en un sitio Si la función de ingreso de datos depende de ciertos dispositivos de
alternativo. Se deben considerar varios factores para llegar a este valor. Debe hardware y/o programas de software, estos programas y equipos, incluidos los
estar relacionado con los tipos probables de eventos que pueden requerir que las equipos y programas especializados de intercambio electrónico de datos (EDI),
operaciones se trasladen a un sitio alterno y su duración probable. Si es probable también deben proporcionarse en el sitio de recuperación.
que las amenazas, como un gran terremoto, provoquen daños a largo plazo, es
posible que sea necesario medir el MTO en meses, mientras que otros tipos de
4.13.13 REDES DE COMUNICACIÓN
eventos suelen ser mucho más breves.
El plan debe contener detalles de las redes de telecomunicaciones
de la organización necesarias para restaurar las operaciones comerciales.
Debido a la criticidad de estas redes, se debe dar alta prioridad a los

4.13.11 REQUISITOS DE NOTIFICACIÓN procedimientos para garantizar capacidades de telecomunicaciones continuas. Las
El plan de recuperación debe cubrir las responsabilidades y requisitos de redes de telecomunicaciones son susceptibles a los mismos desastres naturales
notificación. También debe incluir un directorio del personal clave para la toma que los centros de datos, pero también son vulnerables a eventos disruptivos
de decisiones, propietarios de sistemas de información, usuarios finales y otros exclusivos de las telecomunicaciones. Estos incluyen desastres en la central de
necesarios para iniciar y llevar a cabo los esfuerzos de respuesta. conmutación, cortes de cables, fallas y errores en el software de comunicación,
Este directorio también debe incluir múltiples métodos de comunicación brechas de seguridad por piratería (los piratas informáticos se conocen como
(teléfono, teléfono celular, mensajes de texto, correo electrónico, etc.). "phreakers") y una serie de otros errores humanos. El operador de intercambio
local generalmente no es responsable de proporcionar servicios de respaldo.
El directorio debe incluir al menos a las siguientes personas: Aunque muchos operadores normalmente respaldan los componentes principales
• Representantes de proveedores de equipos y software dentro de sus sistemas, la organización debe tomar medidas para respaldar sus
• Contactos dentro de las empresas que han sido designadas para proporcionar propias instalaciones de telecomunicaciones.
suministros y equipos o servicios
• Contactos en las instalaciones de recuperación, incluidos representantes de sitios
calientes o servicios de redirección de comunicaciones de red predefinidos

Las capacidades de telecomunicaciones a considerar incluyen circuitos telefónicos de transmitido por medios terrestres. Estas instalaciones de cables suelen estar
voz, redes de área amplia (WAN) (conexiones a centros de datos distribuidos), redes ubicadas en el suelo o en el sótano de edificios que albergan equipos informáticos.
de área local (LAN) y proveedores de intercambio de datos electrónicos de terceros. Las Las instalaciones terrestres corren un gran riesgo debido al envejecimiento de las
opciones pueden incluir enlaces satelitales y de microondas, y dependiendo de la criticidad y infraestructuras de las ciudades. Además, las instalaciones por cable suelen compartir
la ubicación, enlaces inalámbricos o incluso comunicaciones radiotelefónicas de banda lateral espacio con sistemas mecánicos y eléctricos que pueden suponer un gran riesgo debido
única. Los requisitos de capacidad crítica deben identificarse para los diversos umbrales de a errores humanos y eventos desastrosos.
interrupción, como dos horas, ocho horas o 24 horas, para cada capacidad de
telecomunicaciones. Las fuentes de alimentación ininterrumpida (UPS) deben ser suficientes • Diversidad de red de larga distancia: muchos proveedores de instalaciones de
para proporcionar respaldo a los equipos de telecomunicaciones, así como a los equipos de recuperación brindan una disponibilidad diversa de red de larga distancia, utilizando
cómputo. circuitos T1 entre los principales operadores de larga distancia.
Esto asegura el acceso a larga distancia si un solo operador experimenta
una falla en la red. Varios de los principales operadores ahora han instalado software
de reenrutamiento automático y líneas redundantes que brindan una recuperación
4.13.14 MÉTODOS PARA PROPORCIONAR CONTINUIDAD DE
instantánea si ocurre una interrupción en sus líneas. El gerente de seguridad de la
SERVICIOS DE RED
información debe confirmar que la instalación de recuperación tenga estas capacidades
Estos métodos pueden incluir:
vitales de telecomunicaciones.
• Redundancia: lograr la redundancia implica una variedad de soluciones, que incluyen:
• Protección de circuito de última milla: muchas instalaciones de recuperación brindan

– Proporcionar capacidad adicional con un plan para utilizar el excedente una combinación redundante de T1 de operador local, microondas y/o acceso de cable
capacidad en caso de que la capacidad de transmisión primaria normal no esté
coaxial al bucle de comunicaciones local.
disponible. En el caso de una LAN, se podría instalar un segundo cable a través de una
Esto permite que la instalación tenga acceso durante un desastre de comunicación
ruta alternativa para usar en caso de que el cable principal esté dañado.
del operador local. También se utiliza el enrutamiento alternativo del operador local.
– Proporcionar múltiples rutas entre enrutadores

• Recuperación de voz: dado que muchas industrias de servicios, financieras y
– Usar protocolos de enrutamiento dinámicos especiales, como Open Shortest Path
minoristas dependen de la comunicación de voz, se debe proporcionar cableado
First (OSPF) y External Gateway Routing Protocol (EGRP)
redundante y enrutamiento alternativo para las líneas de comunicación de voz y las
líneas de comunicación de datos.
– Proporcionar dispositivos de conmutación por error para evitar un punto único de fallas
en enrutadores, conmutadores, cortafuegos, etc.
4.13.15 CONSIDERACIONES DE ALTA DISPONIBILIDAD
– Guardar archivos de configuración para la recuperación de dispositivos de red, como
La pérdida o interrupción de los servidores que administran procesos comerciales
enrutadores y conmutadores, en caso de que fallen
críticos y sensibles podría tener efectos catastróficos en una organización. Los planes
• Enrutamiento alternativo : enrutamiento alternativo significa enrutamiento
deben incluir métodos operativos de conmutación por error para evitar que los servidores se
información a través de un medio alternativo como cable de cobre o fibra óptica. Esto
desconecten durante un período de tiempo prolongado.
implica el uso de diferentes redes, circuitos o puntos finales, si la red normal no está
La recuperación del servidor también debe incluirse en el plan de recuperación ante
disponible. La mayoría de los operadores locales están desplegando anillos de fibra
desastres. Algunas de las técnicas para proporcionar capacidades de conmutación por
óptica que giran en sentido contrario. Estos anillos tienen cables de fibra óptica que
error o tolerancia a fallas incluyen UPS y el uso de sistemas de conmutación por error para
transmiten información en dos direcciones diferentes y en fundas de cable separadas
evitar fallas de energía de varios niveles.
para una mayor protección. Actualmente, estos anillos se conectan a través de una oficina
de conmutación central. Sin embargo, la futura ampliación de los anillos puede incorporar
La matriz redundante de discos económicos (RAID) proporciona mejoras de
una segunda oficina central en el circuito. Algunos transportistas están ofreciendo rutas
rendimiento y capacidades tolerantes a fallas a través de soluciones de hardware o
alternativas a diferentes puntos de presencia u oficinas centrales alternativas. Otros
software, fragmentando datos y escribiéndolos en una serie de múltiples discos para mejorar
ejemplos incluyen circuitos de acceso telefónico como alternativa a los circuitos dedicados,
el rendimiento y/o guardar archivos grandes simultáneamente. Estos sistemas brindan el
un teléfono celular y comunicaciones por microondas como alternativas a los circuitos
potencial para una disponibilidad continua y rentable de datos en el sitio o fuera del sitio.
terrestres, y mensajeros como alternativa a las transmisiones electrónicas.
Una red de área de almacenamiento (SAN) es una red de propósito especial de alta
• Enrutamiento diverso: el método de enrutamiento del tráfico a través
velocidad que proporciona almacenamiento masivo mediante dispositivos remotos
instalaciones de cable dividido o instalaciones de cable duplicado. Esto se puede
interconectados, como arreglos de discos, bibliotecas de cintas o jukeboxes ópticos.
lograr con cubiertas de cable diferentes y/o duplicadas. Si se utilizan diferentes cubiertas
con servidores de datos asociados que funcionan como si estuvieran conectados localmente.
de cable, el cable puede estar en el mismo conducto y, por lo tanto, sujeto a las mismas
Las SAN suelen formar parte de la red general de recursos informáticos de las empresas
interrupciones que el cable que respalda. El suscriptor del servicio de comunicación
más grandes, pero también pueden servir como recursos remotos para el almacenamiento
puede duplicar las instalaciones al tener rutas alternas, aunque la entrada y salida de
de archivos y copias de seguridad. Las SAN suelen admitir funciones de duplicación de disco,
las instalaciones del cliente puede ser en el mismo conducto. El suscriptor puede obtener
copia de seguridad y restauración, migración de datos entre dispositivos de almacenamiento
diversos enrutamientos y enrutamientos alternativos del operador local, incluidas las
y el uso compartido de datos entre diferentes servidores en una o más redes.
instalaciones de doble entrada; sin embargo, adquirir este tipo de acceso lleva mucho
tiempo y es costoso. La mayoría de los operadores brindan instalaciones para
enrutamiento alternativo y diverso, aunque la mayoría de los servicios son
Los servidores tolerantes a fallas brindan redundancia a prueba de fallas a través de
imágenes duplicadas del servidor primario. El uso de este enfoque también puede implicar
el procesamiento distribuido de una carga de servidor, un concepto

denominado "equilibrio de carga" o "agrupación", donde todos los servidores participan

en el procesamiento. En esta disposición, hay una unidad de clúster inteligente que • Cobertura de fidelidad : por lo general toma la forma de bonos bancarios generales,
proporciona equilibrio de carga para mejorar el rendimiento. Este tipo de arquitectura de seguro de exceso de fidelidad y bonos generales comerciales, y cubre pérdidas por
servidor es transparente para los usuarios. Lo único que puede notar un usuario es la actos deshonestos o fraudulentos por parte de los empleados.
degradación del rendimiento si falla un servidor. Este tipo de cobertura prevalece en las instituciones financieras que operan
su propia IPF.
• Transporte de medios: proporciona cobertura para posibles pérdidas o daños a
4.13.16 SEGURO los medios en tránsito hacia los IPF fuera de las instalaciones. La redacción de
cobertura de tránsito en la póliza generalmente especifica que todos los documentos
El plan también debe contener información clave sobre el seguro de la organización.
deben ser filmados o copiados. Cuando la póliza no requiera específicamente que
La póliza de seguro de procesamiento de sistemas de información suele ser una
los datos se filmen antes de transportarlos y el trabajo no se filme, la gerencia debe
póliza multirriesgo diseñada para proporcionar varios tipos de cobertura de TI. Debe
obtener de la compañía de seguros una carta que describa específicamente la
construirse de forma modular para que pueda adaptarse al entorno informático
posición y la cobertura de la compañía en caso de que se destruyan los datos.
particular del asegurado.
Los tipos específicos de cobertura que están disponibles incluyen: •

Equipos e instalaciones de TI: proporciona cobertura de daños físicos a la IPF y 4.13.17 ACTUALIZACIÓN DE PLANES DE RECUPERACIÓN
al equipo propio. Una organización también debe asegurar el equipo arrendado si Dado que las organizaciones son dinámicas y están sujetas a cambios constantes, el
se obtiene cuando el arrendatario es responsable de la cobertura contra riesgos. El proceso de respuesta y recuperación debe asegurar que los planes se actualicen y
gerente de seguridad de la información debe revisar estas políticas cuidadosamente; adapten continuamente para garantizar que reflejen los objetivos y condiciones actuales
muchas pólizas están redactadas de tal manera que las aseguradoras están de la organización. También es importante obtener la aprobación de la alta dirección para
obligadas a reemplazar los equipos dañados o destruidos con “del mismo tipo y los diversos aspectos de este proceso; una estrategia de respuesta y recuperación es un
calidad”, no necesariamente de la misma marca y modelo. proceso continuo que consume recursos para lograr y mantener un nivel aceptable de
capacidad de recuperación.
• Reconstrucción de medios (software): cubre daños a
medios informáticos que sean propiedad del asegurado y por los que el
asegurado pueda ser responsable. El seguro está disponible para desastres en las
instalaciones, fuera de las instalaciones o en tránsito y cubre el costo real de 4.14 Pruebas de Respuesta a Incidentes y
reproducción de la propiedad. Las consideraciones para determinar la cantidad de
cobertura necesaria son los costos de programación para reproducir los medios Planes de Continuidad del Negocio/
dañados, los gastos de respaldo y el reemplazo físico de dispositivos de medios Recuperación ante Desastres
como cintas, cartuchos y discos.
Probar todos los aspectos de los planes de recuperación de incidentes es el factor

• Gasto adicional : diseñado para cubrir los costos adicionales de operaciones continuas
más importante para lograr el éxito en una situación de emergencia.
luego de daños o destrucción en el IPF. El monto del seguro necesario se basa en la
El objetivo principal de las pruebas es garantizar que la ejecución de los planes resulte
disponibilidad y el costo de las instalaciones y operaciones de respaldo. El gasto
en la recuperación exitosa de la infraestructura y los procesos comerciales críticos.
adicional también puede cubrir la pérdida de ganancias netas causada por daños en los
medios informáticos.
Esto proporciona el reembolso de las pérdidas monetarias resultantes de la suspensión
Las pruebas deben centrarse en:
de las operaciones debido a la pérdida física de equipos o medios, como en el caso de
• Identificar brechas
que las IPF estén en el sexto piso y los primeros cinco pisos se quemen. En este caso,
• Verificación de supuestos
las operaciones se interrumpirían a pesar de que el IPF no se vio afectado.
• Líneas de tiempo de prueba
• Eficacia de las estrategias •

• Interrupción del negocio—Cubre el lucro cesante debido a la
Desempeño del personal
interrupción de la actividad de la empresa causada por cualquiera de los cubiertos
• Precisión y vigencia de la información del plan
Mal funcionamiento de TI o evento relacionado con la seguridad en el que un
atacante o un código malicioso provoca la pérdida de disponibilidad de la informática
Las pruebas promueven la colaboración y la coordinación entre equipos y son una
recursos.
herramienta de capacitación útil. Muchas organizaciones requieren pruebas completas
• Documentos y registros valiosos: cubre el valor real en efectivo de los documentos
anualmente. Además, se deben considerar las pruebas al completar o revisar cada plan
y registros (no definidos como medios) en las instalaciones del asegurado contra
preliminar o planes complementarios y después de los cambios en el personal clave, la
divulgación no autorizada, pérdida física directa o daños.
tecnología o el entorno regulatorio/empresarial.
• Errores y omisiones—Proporciona protección de responsabilidad legal en caso de

que el practicante profesional cometa un acto, error u omisión que resulte en una
Las pruebas deben planificarse y controlarse cuidadosamente para evitar que
pérdida financiera para un cliente. Este seguro fue originalmente diseñado para
el negocio corra un mayor riesgo. Para garantizar que todos los planes se prueben
oficinas de servicios, pero ahora está disponible en varias compañías de seguros
regularmente, el gerente de seguridad de la información debe mantener un
para proteger contra acciones de analistas de sistemas, diseñadores de software,
"programa de prueba" de fechas y pruebas que se realizarán para todas las funciones
programadores, consultores y otro personal de SI. críticas.

Antes de cada prueba, el responsable de seguridad debe asegurarse de que: El gerente de seguridad de la información también debe implementar un proceso de
• El riesgo y el impacto de la interrupción de las pruebas se minimiza seguimiento para garantizar que cualquier recomendación que resulte de las pruebas se
• La empresa entiende y acepta el riesgo inherente a las pruebas implemente de manera oportuna. El personal debe encargarse de realizar los cambios
• Existen arreglos alternativos para restaurar las operaciones en cualquier punto durante la necesarios.
prueba
4.14.2 PRUEBAS PARA INFRAESTRUCTURA Y

Todas las pruebas deben estar completamente documentadas con informes de prueba previa,
APLICACIONES EMPRESARIALES CRÍTICAS
prueba y prueba posterior. La documentación de prueba debe conservarse para revisión de
El gerente de seguridad de la información debe comprender que los planes de respuesta y
auditoría y referencia. El gerente de seguridad debe asegurarse de que la seguridad de la
recuperación de pruebas deben incluir infraestructura y aplicaciones críticas. Dado que las
información también se pruebe y no se comprometa durante la prueba.
organizaciones actuales dependen en gran medida de la tecnología de la información, el gerente
de seguridad de la información no solo tiene la tarea de proteger estos sistemas durante las
4.14.1 PRUEBAS PERIÓDICAS DE LA RESPUESTA Y
operaciones normales, sino también durante los desastres.
PLANES DE RECUPERACIÓN
Como se discutió en las secciones anteriores, el alcance y la naturaleza de los equipos

de recuperación y respuesta a incidentes y sus capacidades variarán con las diferentes Con base en la evaluación de riesgos y la información del impacto comercial, el gerente de
organizaciones, al igual que las operaciones de continuidad del negocio y recuperación ante seguridad de la información puede identificar las aplicaciones críticas que requiere la organización
desastres. La relación exacta entre estas funciones debe definirse claramente y su alcance y y la infraestructura necesaria para respaldarlas. Para garantizar que estos se recuperen de
capacidades deben entenderse e integrarse. Independientemente del alcance específico de manera oportuna, el gerente de seguridad de la información debe realizar las pruebas de
cualquier organización en particular, es esencial que el gerente de seguridad de la información recuperación adecuadas.
tenga una buena comprensión de todo el proceso de continuidad del negocio, incluida la gestión
de incidentes y la recuperación ante desastres.
4.14.3 TIPOS DE PRUEBAS

• Revisión de la lista de verificación: un paso preliminar para una prueba real. Las listas de
Cualquiera que sea la estructura, es necesario garantizar que el alcance completo de las
verificación de recuperación se distribuyen a todos los miembros de un equipo de
responsabilidades de gestión de incidentes se pruebe hasta el punto de una declaración de
recuperación para revisar y garantizar que la lista de verificación esté actualizada.
desastre, incluida la escalada y la participación o el traspaso a la gestión de desastres y la
• Recorrido estructurado: los miembros del equipo implementan físicamente los planes en
operación de recuperación si esta es responsabilidad de otro grupo. La discusión en esta
papel y revisan cada paso para evaluar su eficacia, identificar mejoras, limitaciones y
sección incluye la recuperación total ante desastres, que el gerente de seguridad de la
deficiencias.
información debe comprender independientemente del alcance específico de las
• Prueba de simulación : el rol del equipo de recuperación juega un escenario de desastre
responsabilidades de respuesta y gestión de incidentes.
preparado sin activar el procesamiento en el sitio de recuperación. • Prueba paralela : el sitio
de recuperación se lleva a un estado de preparación operativa, pero las operaciones en el sitio
principal continúan normalmente. • Prueba de interrupción total : las operaciones se cierran
El gerente de seguridad de la información, con la ayuda de la organización del equipo de
en el sitio principal y se trasladan al sitio de recuperación de acuerdo con el plan de
recuperación, debe implementar pruebas periódicas de los planes de respuesta y recuperación.
recuperación; esta es la forma de prueba más rigurosa, pero es costosa y potencialmente
Las pruebas deben incluir:
disruptiva.
• Desarrollo de objetivos de prueba
• Ejecución de la prueba
• Evaluación de la prueba
• Desarrollar recomendaciones para mejorar la efectividad de los procesos de prueba, así
Las pruebas deben comenzar de manera simple y aumentar gradualmente, ampliando
como los planes de respuesta y recuperación.
los objetivos y los criterios de éxito de las pruebas anteriores para generar confianza y
• Implementar un proceso de seguimiento para garantizar que se implementen
minimizar el riesgo para el negocio. Como mínimo, las pruebas de "interrupción total" deben
las recomendaciones.
realizarse anualmente después de que los planes individuales hayan sido probados por
separado con resultados satisfactorios.
Los planes de respuesta y recuperación que no se han probado dejan a la organización con
una probabilidad inaceptable de que los planes no funcionen, aunque se tenga cuidado al
Las pruebas que son progresivamente más desafiantes pueden incluir:
desarrollar y documentar estos planes. Debido a que los planes de prueba cuestan tiempo y
• Recorrido de mesa de los planos
recursos, una organización debe planificar cuidadosamente las pruebas y desarrollar objetivos
• Recorrido de mesa con escenarios de desastre simulados
de prueba para ser metódica y ayudar a garantizar que se puedan lograr beneficios medibles.
• Probar los componentes de infraestructura y comunicación del plan de recuperación
• Testeo de la infraestructura y recuperación de las aplicaciones críticas

• Probar la infraestructura, las aplicaciones críticas y la participación
Una vez que se han definido los objetivos de la prueba, el gerente de seguridad de la
de los usuarios finales
información debe asegurarse de que un tercero independiente esté presente para monitorear y
• Pruebas completas de restauración y recuperación con personal no familiarizado
evaluar la prueba. La auditoría interna o externa u otro personal de aseguramiento a menudo
con los sistemas
pueden asumir este rol. Un resultado del paso de evaluación debe ser una lista de
• Pruebas sorpresa
recomendaciones que una organización debe completar para mejorar sus planes de respuesta
y recuperación. Es extremadamente improbable que no se obtengan recomendaciones y que
La mayoría de las pruebas de respuesta y recuperación no llegan a ser una prueba a gran
todo funcione según lo planeado. Si es así, es probable que se deba planificar una prueba más
escala de todas las partes operativas de la corporación. Esto no debería impedir la realización
desafiante.
de pruebas completas o parciales porque uno de los propósitos

de la prueba de continuidad del negocio es determinar qué tan bien funciona el plan datos de la empresa de sistemas de terceros. La limpieza posterior a la prueba
o las partes del plan que necesitan mejoras. Aunque las pruebas sorpresa son también incluye la evaluación formal del plan y la implementación de las mejoras
potencialmente ventajosas desde el punto de vista de que son similares a las situaciones indicadas.
de respuesta a incidentes de la vida real, tienen algunas desventajas potenciales graves.
Pueden ser terriblemente disruptivos para la producción y las operaciones, y pueden alejar Además, se pueden realizar los siguientes tipos de pruebas:
a las personas que de alguna manera se ven afectadas por ellos. El gerente de seguridad • Pruebas en papel : las pruebas en papel son un recorrido en papel del plan que
de la información debe considerar cuidadosamente las ramificaciones antes de decidir utilizar involucra a los principales actores en la ejecución del plan que razonan lo que podría
este enfoque. No es raro que se produjera una interrupción grave y prolongada debido a la suceder en un tipo particular de interrupción del servicio. Pueden repasar todo el plan
incapacidad de restaurar los sistemas según lo planeado. o solo una parte. La prueba en papel suele preceder a las pruebas de preparación.
• Pruebas de preparación : las pruebas de preparación suelen ser versiones localizadas

La prueba debe programarse durante un tiempo que minimice las interrupciones de las de una prueba completa, en las que los recursos reales se gastan en la simulación de
operaciones normales. Los fines de semana son generalmente un buen momento para un bloqueo del sistema. Estas pruebas se realizan regularmente en diferentes aspectos
realizar pruebas. Es importante que los miembros clave del equipo de recuperación del plan y pueden ser una forma rentable de obtener gradualmente evidencia sobre
participen en el proceso de prueba y también se les asigne el tiempo necesario para qué tan bueno es el plan. También proporcionan un medio para mejorar el plan en
dedicar todo su esfuerzo. La prueba debe abordar todos los componentes críticos y simular incrementos.
las condiciones reales de procesamiento en horario de máxima audiencia, incluso si la
prueba se lleva a cabo fuera del horario laboral. • Pruebas operativas completas : estas pruebas están a un paso de una
interrupción real del servicio. Una organización debería haber probado bien el plan en
4.14.4 RESULTADOS DE LA PRUEBA papel y localmente antes de intentar cerrar por completo las operaciones. A los efectos de
las pruebas de BCP, el escenario de prueba operativo completo es el desastre.
La prueba debe esforzarse por lograr, como mínimo, las siguientes tareas:
• Verificar la integridad y precisión del plan de respuesta y recuperación. • Evaluar

Durante cada fase de la prueba, se debe mantener una documentación detallada
el desempeño del personal involucrado en el ejercicio.
de las observaciones, problemas y resoluciones.
Cada equipo debe tener un diario con pasos específicos e información
registrada. Esta documentación sirve como información histórica importante que puede
• Evaluar el nivel demostrado de capacitación y conocimiento de las personas que no
facilitar la recuperación real durante un desastre real. La documentación también ayuda a
forman parte del equipo de recuperación/respuesta.
realizar un análisis detallado de las fortalezas y debilidades del plan.
• Evaluar la coordinación entre los miembros del equipo y
vendedores y proveedores externos.
• Medir la habilidad y la capacidad del sitio de respaldo para realizar el procesamiento
prescrito. 4.14.5 MÉTRICAS DE PRUEBA DE RECUPERACIÓN
• Evaluar la capacidad de recuperación de registros vitales. Al igual que con casi todo lo demás en seguridad de la información, se deben desarrollar y
• Evaluar el estado y la cantidad de equipos y suministros que se han trasladado al sitio utilizar métricas para medir el éxito del plan y probar los objetivos establecidos. Por lo tanto,
de recuperación. los resultados deben registrarse y evaluarse cuantitativamente, a diferencia de una evaluación
• Medir el desempeño general de las actividades de procesamiento de sistemas operativos basada solo en descripciones verbales. Las métricas resultantes deben utilizarse no solo
y de información relacionadas con el mantenimiento de la entidad comercial. para medir la eficacia del plan, sino, lo que es más importante, para mejorarlo. Aunque las
medidas específicas varían según la prueba y la organización, por lo general se aplican los
siguientes tipos generales de métricas:
Para realizar la prueba, se debe completar cada una de las siguientes fases de
prueba:
• Prueba previa: la prueba previa consiste en el conjunto de acciones necesarias • Tiempo: tiempo transcurrido para completar las tareas prescritas,
para preparar el escenario para la prueba real. Esto va desde colocar mesas en el entrega de equipos, montaje de personal y llegada a un sitio predeterminado. Esto es
área de recuperación de operaciones adecuada hasta transportar e instalar equipos esencial para refinar el tiempo de respuesta estimado para cada tarea en el proceso de
telefónicos de respaldo. Estas actividades están fuera del ámbito de las que se llevarían escalamiento.
a cabo en caso de una emergencia real, en la que generalmente no hay aviso previo del • Cantidad: la cantidad de trabajo realizado en el sitio de respaldo por parte del
evento y, por lo tanto, no hay tiempo para tomar acciones preparatorias. personal administrativo y la cantidad de operaciones de procesamiento de los
sistemas de información.
• Prueba: esta es la acción real de la prueba de continuidad del negocio. • Porcentaje y/o número: la cantidad de registros vitales que se llevaron con éxito
Las actividades operativas reales se ejecutan para probar los objetivos específicos al sitio de respaldo en comparación con la cantidad requerida, y la cantidad de
del plan. Se debe realizar el ingreso de datos, llamadas telefónicas, procesamiento suministros y equipos solicitados en comparación con los realmente recibidos. La
de sistemas de información, manejo de pedidos y movimiento de personal, equipos y cantidad de sistemas críticos recuperados con éxito se puede medir con la cantidad
proveedores. Los evaluadores deben revisar a los miembros del personal a medida que de transacciones procesadas.
realizan las tareas designadas. Esta es la prueba real de preparación para responder a
una emergencia. • Precisión: precisión de la entrada de datos en el sitio de recuperación frente a la
• Prueba posterior: la prueba posterior es la limpieza de las actividades del grupo. precisión normal (como porcentaje). La precisión de los ciclos de procesamiento
Esta fase comprende tareas tales como devolver todos los recursos a su reales se puede determinar comparando los resultados de salida con los del
lugar correcto, desconectar equipos, devolver al personal a sus ubicaciones mismo período procesado en condiciones normales.
normales y eliminar todos los

Este proceso de prueba permite que el gerente de seguridad de la información logre evento. A través de una revisión posterior al evento, el gerente de seguridad de la
éxitos iniciales y modifique el plan en función de la información obtenida de las información y el personal de recuperación clave pueden revisar las observaciones
pruebas iniciales. Es importante tener en cuenta que realizar una prueba sólida cuesta y hacer los ajustes correspondientes al plan.
recursos y requiere coordinación entre varios departamentos. Un error o percance
menor (p. ej., la falta de un conjunto de medios de copia de seguridad) podría Finalmente, dado que las organizaciones evolucionan y cambian constantemente,
imposibilitar la realización de la prueba completa. los planes de respuesta y recuperación también deben cambiar. El gerente de seguridad
de la información debe establecer un proceso en el que los planes de recuperación se
actualicen a medida que se produzcan cambios dentro de una organización. Evaluar los
En caso de que las operaciones comerciales normales se destruyan o sean inaccesibles, requisitos del plan de respuesta y recuperación durante el proceso de gestión de cambios
el gerente de seguridad de la información debe tener planes operativos alternativos dentro de una organización es una parte esencial de la gestión de respuesta eficaz.
basados en la estrategia de respuesta y recuperación.
El gerente de seguridad de la información necesita probar estas capacidades
alternativas y también debe informar la capacidad de respuesta y recuperación de la Los planes y estrategias de respuesta y recuperación deben revisarse y actualizarse de
organización a la alta dirección. acuerdo con un cronograma para reflejar el reconocimiento continuo de los requisitos
cambiantes. Los siguientes factores, así como otros, pueden afectar los requisitos y la
necesidad de actualizar el plan:
4.15 EJECUTAR RESPUESTA Y
PLANES DE RECUPERACIÓN • Una estrategia que es apropiada en un momento dado puede no serlo a medida que
cambian las necesidades de una organización.
Dado que un incidente importante suele causar una confusión considerable y una serie • Se pueden desarrollar o adquirir nuevas aplicaciones.
de condiciones inesperadas, es esencial que los planes de respuesta y gestión de • Los cambios en la estrategia comercial pueden alterar la importancia de
incidentes se hayan probado en condiciones realistas. Está virtualmente garantizado que aplicaciones críticas o resultar en aplicaciones adicionales consideradas como
los planes no probados no funcionarán. También es seguro asumir que cuanto más críticas.
grave sea el incidente, mayor será el caos potencial, la confusión y los problemas que • Los cambios en el entorno de software o hardware pueden hacer que las
enfrentan los equipos de gestión y respuesta de incidentes. Los incidentes pueden variar disposiciones actuales sean obsoletas o inapropiadas.
desde un ataque de virus que derriba los sistemas de TI hasta un terremoto que derriba • Las circunstancias físicas y ambientales cambiantes también pueden
el edificio. Para proporcionar una seguridad razonable de que la organización se necesita ser considerado.
conserva en circunstancias previsibles, se deben anticipar y preparar todos los eventos
razonablemente posibles y la planificación debe ser exhaustiva, realista y comprobada. La responsabilidad de mantener la continuidad del negocio y el plan de recuperación
ante desastres a menudo recae en un coordinador del plan de continuidad del negocio,
mientras que el gerente de seguridad de la información puede ser responsable de
mantener el plan de respuesta a incidentes. Independientemente de cómo se asignen
4.15.1 GARANTIZAR LA EJECUCIÓN SEGÚN SE REQUIERA estas responsabilidades, las actividades específicas de mantenimiento del plan incluyen:
Para garantizar que los planes de respuesta y recuperación se ejecuten según lo

• Desarrollar un cronograma para la revisión periódica y el mantenimiento del plan, e
requerido, los planes necesitan un facilitador o director para dirigir las tareas dentro de los
informar a todo el personal sobre sus funciones y la fecha límite para recibir
planes, supervisar su ejecución, comunicarse con la alta gerencia y tomar decisiones
revisiones y comentarios.
según sea necesario. El gerente de seguridad de la información puede o no ser la persona
• Solicitar revisiones fuera de horario cuando se han producido cambios significativos
adecuada para actuar como director o coordinador del plan de recuperación, pero debe
asegurarse de que el rol se asigne a alguien que pueda realizar esta función crítica.
• Revisar revisiones y comentarios, y actualizar el plan
dentro de un período razonable (por ejemplo, 30 días) después de la fecha de revisión
• Organización y coordinación de pruebas programadas y no programadas de
Desarrollar estrategias apropiadas de respuesta y recuperación, así como alternativas,
el plan para evaluar su adecuación
es un componente esencial en el proceso general de ejecución de los planes de
• Participar en las pruebas programadas del plan, las cuales deberán realizarse al menos
respuesta y recuperación. Proporcionará una seguridad razonable de que la organización
una vez al año. Para las pruebas programadas y no programadas, el coordinador debe
puede recuperar sus funciones comerciales clave en caso de una interrupción y que
escribir evaluaciones e integrar cambios para resolver los resultados de prueba fallidos
responde adecuadamente a un incidente relacionado con la seguridad.
en el plan de respuesta dentro de un período razonable (por ejemplo, 30 días).
• Desarrollar un cronograma para capacitar al personal en procedimientos de emergencia

Probar los planes es esencial para garantizar que los planes se puedan ejecutar
y recuperación, según lo establecido en el plan. Las fechas de capacitación deben
según sea necesario. Al probar los planes en un escenario diseñado para imitar las
programarse dentro de un período razonable (p. ej., 30 días) después de cada revisión
condiciones de la vida real, el personal puede familiarizarse con las tareas y sus
del plan y prueba del plan programada.
responsabilidades definidas en el plan. Esta familiaridad aumentará la probabilidad de que
• Mantener registros de las actividades de mantenimiento del plan: pruebas,
el plan se ejecute de manera efectiva durante un incidente real.
capacitación y revisiones.
• Actualizar, al menos trimestralmente, el directorio de notificaciones para
incluir todos los cambios de personal, incluidos los números de teléfono y las
El gerente de seguridad de la información también debe designar a un
responsabilidades o el estado dentro de la empresa
observador independiente para registrar el progreso y documentar cualquier
excepción que ocurra durante las pruebas y durante un proceso real.

4.16 ACTIVIDADES POSTERIORES AL INCIDENTE Y 4.16.2 DOCUMENTACIÓN DE EVENTOS

Durante y después de cualquier incidente de seguridad real o potencial,
INVESTIGACIÓN
es esencial que el gerente de seguridad de la información cuente con
procesos para desarrollar un registro claro de eventos.
Comprender el propósito y la estructura de las revisiones posteriores al incidente y
Al preservar esta información, los eventos pueden investigarse y proporcionarse
los procedimientos de seguimiento permite al gerente de seguridad de la información
a un equipo forense oa las autoridades si es necesario. Para garantizar que esto
mejorar continuamente el programa de seguridad. Se debe adoptar una metodología
ocurra, debe haber una o más personas específicamente encargadas de la
consistente dentro de la organización de seguridad de la información para que,
documentación del incidente y la preservación de la evidencia. La documentación
cuando se encuentre un problema, se desarrolle un plan de acción para reducirlo/
de cualquier evento que tenga posibles implicaciones de seguridad puede aclarar si
mitigarlo. Una vez que se diseña el plan de acción, se deben tomar medidas para
un incidente es simplemente un accidente, un error o un ataque deliberado.
implementar la solución. Al repetir estos principios básicos, el programa de seguridad
de la información puede adaptarse a los cambios en la organización y las amenazas
que enfrenta. Además, esto reduce la cantidad de tiempo que el personal necesita
Un incidente grave suele ser caótico y una buena documentación resultará
para reaccionar ante incidentes de seguridad, de modo que puedan dedicar más
invaluable en la investigación forense y posterior al incidente, así como posiblemente
tiempo a actividades proactivas.
útil en la resolución del incidente.
El proceso de seguimiento en respuesta a incidentes es potencialmente la 4.16.3 ESTABLECIMIENTO DE PROCEDIMIENTOS

parte más valiosa del esfuerzo. Las lecciones aprendidas durante el manejo de Tener un buen marco legal es importante para brindar opciones a la organización.
incidentes pueden mejorar una práctica de seguridad, así como el propio proceso El gerente de seguridad de la información debe desarrollar procedimientos de
de respuesta a incidentes. Además, el gerente de seguridad de la información debe conservación de datos con el asesoramiento y la asistencia de asesores legales,
calcular el costo del incidente una vez que se hayan realizado todos los esfuerzos los gerentes de la organización y funcionarios encargados de hacer cumplir la ley
de respuesta agregando el costo de cualquier pérdida o daño más el costo de la mano con conocimientos para garantizar que los procedimientos brinden orientación
de obra y cualquier software o hardware especial necesario para manejar el incidente. suficiente al personal de TI y de seguridad. Con la asistencia de estos recursos
El costo proporciona una métrica útil, especialmente para justificar la existencia del especializados, el gerente de seguridad de la información puede desarrollar
equipo de respuesta ante la alta gerencia, y puede usarse como evidencia en un caso procedimientos para manejar los eventos de seguridad de una manera que preserve
judicial. la evidencia, garantice una cadena de custodia legalmente suficiente y sea adecuada
para cumplir con los objetivos comerciales.
El gerente de seguridad de la información debe administrar las revisiones
posteriores al evento para aprender de cada incidente y el esfuerzo de respuesta Hay algunas acciones básicas que el personal de sistemas de información
y recuperación resultante, y usar la información para mejorar los procedimientos debe comprender. Esto incluye no hacer nada que pueda cambiar/modificar/
de respuesta y recuperación de la organización. El gerente de seguridad de la contaminar evidencia potencial o real. El personal forense capacitado puede
información puede realizar estas revisiones con la ayuda de especialistas externos si inspeccionar los sistemas informáticos que han sido atacados, pero si el personal
se necesitan habilidades forenses detalladas. de la organización contamina la información, es posible que los datos no sean
admisibles en un tribunal de justicia y/o
4.16.1 IDENTIFICACIÓN DE CAUSAS Y CORRECCIÓN o es posible que el personal forense no pueda utilizar los datos para investigar un
incidente. El análisis forense informático, la recopilación y el manejo de información y
COMPORTAMIENTO
objetos físicos relevantes para un incidente de seguridad de manera sistemática para
Los incidentes de seguridad pueden no ser siempre el resultado de ataques
que puedan usarse como evidencia en un tribunal de justicia, generalmente debe ser
iniciados externamente, o incluso ataques iniciados internamente, sino que
realizado por personal especialmente capacitado, especialistas externos, respuesta a
también pueden ser el resultado de fallas en los controles de seguridad que se
incidentes de seguridad. equipo o funcionarios encargados de hacer cumplir la ley. La
han implementado. Para una revisión sistemática de los eventos de seguridad,
respuesta inicial del administrador del sistema debe incluir: • Recuperar la información
el gerente de seguridad de la información debe designar un equipo de revisión necesaria para confirmar un incidente.
de eventos. Este equipo debe revisar cualquier evidencia y desarrollar
recomendaciones para mejorar el programa de seguridad de la información
• Identificar el alcance y el tamaño del entorno afectado (p. ej., redes, sistemas,
mediante la identificación de las causas raíz (más fundamentales) de un evento
aplicaciones)
específico y las medidas necesarias para evitar que se repitan eventos iguales o
• Determinación del grado de pérdida, modificación o daño (si lo hubiere)
similares. La causa principal de muchas intrusiones en los sistemas, por ejemplo,
• Identificar la posible ruta o medio de ataque
suele ser una evaluación de vulnerabilidades débil o inexistente y los esfuerzos de
administración de parches.
4.16.4 REQUISITOS DE PRUEBA
El análisis debe hacerse para determinar las respuestas a preguntas tales como: El gerente de seguridad de la información debe entender que cualquier
contaminación de evidencia después de una intrusión podría impedir que una
• ¿Quien esta implicado? organización procese a un perpetrador y limitar sus opciones. Además, la
• ¿Lo que ha sucedido? • modificación de los datos puede inhibir la actividad informática forense necesaria
¿De dónde se originó el ataque? • ¿Cuándo (en para identificar al perpetrador y todos los cambios y efectos resultantes de un
qué plazo)? • ¿Por qué sucedió? • ¿Cómo era ataque. También puede impedir la posibilidad de identificar cómo ocurrió el ataque
vulnerable el sistema o cómo ocurrió el ataque? y cómo se debe cambiar y mejorar el programa de seguridad para reducir el riesgo
• ¿Cuál fue el motivo del ataque? de un ataque similar en el futuro.

La recomendación habitual para una computadora que ha sido comprometida • Un registro de casos actualizado que describa:
es desconectar la energía para maximizar la preservación de la evidencia en el – Fechas en que se recibieron las solicitudes
disco duro. Este enfoque es generalmente la recomendación de la policía basada – Fechas en que se asignaron las investigaciones a los investigadores
en el riesgo de que la evidencia se vea comprometida. Esto puede ocurrir como resultado – Nombre e información de contacto del investigador y solicitante
de que los archivos de intercambio del sistema sobrescriban la evidencia o que un intruso – Número de caso identificativo
o malware borre la evidencia de compromiso. También existe el riesgo de contaminar las – Apuntes básicos sobre el caso y sus requisitos y completado
pruebas. procedimientos
– Fecha en que se completó
• Plantillas de informes de investigación que incluyen:
Este enfoque no se acepta universalmente como la mejor solución. – Nombre e información de contacto de los investigadores
Un argumento en contra de desconectar la energía es que los datos en la – Fecha de la investigación y número de identificación del caso
memoria se pierden y la pérdida repentina de energía puede resultar en la corrupción de – Detalles de cualquier entrevista o comunicación con la gerencia o el
información crítica en el disco duro. Dado que algunos programas maliciosos solo residen personal con respecto a la investigación
en la memoria, la causa de un incidente y la vía de ataque pueden ser difíciles de establecer. – Detalles de dispositivos o datos que se adquirieron (números de serie, modelos,
ubicaciones físicas o lógicas)
– Detalles de las herramientas de software o hardware utilizadas para la adquisición o
Dado que el mejor enfoque está sujeto a controversia, el gerente de seguridad de la el análisis (estas deben ser herramientas reconocidas desde el punto de vista forense)
información deberá establecer el enfoque más apropiado para su organización y capacitar – Detalles de hallazgos, incluidas muestras o copias de datos relevantes y/o
al personal en los procedimientos apropiados. referencias a su ubicación de almacenamiento
– Firmas finales del investigador a cargo
Cualquiera que sea el procedimiento que se use para asegurar un sistema comprometido, Los procedimientos para iniciar una investigación forense deben acordarse,
el personal capacitado debe usar herramientas forenses para crear una copia bit a bit de documentarse, seguirse cuidadosamente y ser entendidos por todos en la empresa. El
cualquier evidencia que pueda existir en los discos duros y otros medios para garantizar gerente de seguridad de la información debe trabajar con la gerencia y Recursos
la admisibilidad legal. Para evitar la posibilidad de alteración o destrucción de los datos Humanos (y otras partes interesadas) para establecer un proceso que asegure que todas
relacionados con el incidente, cualquier prueba o análisis de datos debe realizarse las investigaciones sean justas, imparciales y bien documentadas.
utilizando esta copia. El original debe entregarse a un custodio de pruebas designado,
quien debe almacenarlo en un lugar seguro. Los medios originales deben permanecer
sin cambios y se debe mantener un registro de quién ha tenido la custodia de los mismos Es importante tener en cuenta que los requisitos legales varían en diferentes jurisdicciones.
(la cadena de custodia) para que la custodia sea admisible en el tribunal. Como resultado, se requerirá asesoría legal informada para procesos apropiados que cumplan
con los estándares judiciales.
4.16.5 ASPECTOS LEGALES DE LA PRUEBA FORENSE

Como se señaló anteriormente, para que las pruebas sean admisibles en los
procedimientos judiciales, deben haber sido obtenidas de manera forense sólida y se
debe mantener su cadena de custodia. El gerente de seguridad de la información a cargo
de un incidente debe tener procedimientos establecidos y documentados para la
adquisición de evidencia por parte de personal debidamente capacitado.
La documentación requerida para mantener la prueba legalmente admisible debe

incluir:
• Formularios de cadena de custodia que incluyen:

– Nombre e información de contacto de los custodios
– Cuándo, por qué y por quién se adquirió un elemento de prueba o

movido
– Identificación detallada de las pruebas (números de serie, información del modelo, etc.)
– Dónde se almacena (física o lógicamente)

– Cuándo/si fue devuelto
• Listas de verificación para adquirir técnicos (incluidos detalles de prácticas forenses

legalmente aceptables)
• Plantillas detalladas de registro de actividades para adquirir técnicos
• Formularios de no divulgación/confidencialidad firmados para todos los técnicos
involucrados en la recuperación de pruebas

Página dejada en blanco intencionalmente

Información general
Descripción del examen

El Comité de Certificación CISM supervisa el desarrollo del examen y
asegura la actualidad de su contenido. El examen consta de 200 preguntas
Requisitos para la certificación Para de opción múltiple que cubren los dominios de práctica laboral del CISM. El
obtener la designación CISM, los profesionales de examen cubre cuatro dominios de gestión de seguridad de la información
seguridad de la información deben: creados a partir del análisis de prácticas laborales de CISM y refleja el trabajo
1. Aprobar con éxito el examen CISM realizado por los gerentes de seguridad de la información.
2. Adherirse al Código de Ética Profesional de ISACA La práctica laboral se desarrolló y validó con destacados líderes de la
3. Aceptar cumplir con la política de educación continua del CISM industria, expertos en la materia y profesionales de la industria.
4. Presentar evidencia verificada de cinco (5) años de trabajo
experiencia en el campo de la seguridad de la información. Tres (3) de Inscripción para el examen CISM
los cinco (5) años de experiencia laboral deben obtenerse desempeñando El examen CISM se administrará dos veces en 2013.
el rol de gerente de seguridad de la información.
Además, esta experiencia laboral debe ser amplia y adquirida en tres de los El primer examen CISM de 2013 se administrará el 8 de junio de 2013 y el
cuatro dominios de práctica laboral. Una tarifa de procesamiento de US $ segundo examen CISM de 2013 se administrará el 14 de diciembre de 2013, a
50 debe acompañar a las solicitudes de certificación CISM. menos que se especifique lo contrario en el Boletín de información del CISM.
Consulte el Boletín CISM 2013
de Información, www.isaca.org/ cismboi, para plazos de registro específicos
No se permiten las sustituciones del trabajo realizado en el rol de gerente de y formularios de registro. Las inscripciones para los exámenes también se
seguridad de la información. Sin embargo, un máximo de dos (2) años de pueden realizar en línea en www.isaca.org/ examreg.
experiencia laboral general en el campo de la seguridad de la información se
puede sustituir de la siguiente manera: La guía del candidato para el examen y la certificación CISM®
• Se pueden sustituir dos años de experiencia laboral general por tener se enviará a los candidatos una vez que se reciba el pago del examen y se
actualmente una de las siguientes certificaciones generales relacionadas registre su inscripción al examen.
con la seguridad o un título de posgrado:
– Auditor certificado de sistemas de información (CISA) con buena
Administración del examen
reputación – Profesional certificado en seguridad de sistemas
de información (CISSP) con buena reputación – Título de posgrado ISACA ha contratado a una agencia de pruebas reconocida
en seguridad de la información o un campo relacionado (por internacionalmente. Esta corporación sin fines de lucro se dedica al desarrollo
ejemplo, administración de empresas, sistemas de información, y administración de exámenes de acreditación con fines de certificación y
aseguramiento de la información) licencia. Asiste a ISACA en la construcción, administración y puntuación del
examen CISM.
O Sentado para el examen

Los candidatos deben presentarse en el sitio de prueba a la hora
• Se podrá sustituir un máximo de un (1) año de experiencia laboral por uno indicada en su boleto de admisión. NINGÚN CANDIDATO SERÁ
de los siguientes: ADMITIDO AL CENTRO DE PRUEBAS UNA VEZ QUE EL EXAMINADOR
– Un año completo de experiencia en administración de sistemas JEFE COMIENCE A LEER LAS INSTRUCCIONES ORALES.
de información – Poseer actualmente una certificación de
Los candidatos que lleguen después de que hayan comenzado las
seguridad basada en habilidades (p. ej., SANS Global Information
instrucciones orales no podrán rendir el examen y perderán su cuota de
Assurance Certification [GIAC], Microsoft Certified Systems
inscripción. Para asegurarse de que los candidatos lleguen a tiempo para el
Engineer [MCSE], CompTIA Security+, Disaster Recovery Institute examen, se recomienda que los candidatos se familiaricen con la ubicación
Certified Business Continuity Professional [CBCP] ])
exacta y la mejor ruta de viaje hacia el sitio del examen antes de la fecha del
examen. Los candidatos pueden usar sus boletos de admisión solo en el centro
de examen designado en el boleto de admisión.
La experiencia debe haberse adquirido dentro del período de 10

Para ser admitido en el sitio de prueba, los candidatos deben traer la
años anterior a la solicitud de certificación o dentro de los cinco (5) años a
copia impresa del correo electrónico O el boleto de admisión y una forma
partir de la fecha de aprobación inicial del examen.
aceptable de identificación con foto, como una licencia de conducir, pasaporte
La solicitud de certificación debe presentarse dentro de los cinco (5) años
o identificación del gobierno. Esta identificación debe ser una identificación
a partir de la fecha de aprobación del examen CISM. Toda la experiencia
actual y original emitida por el gobierno que no esté escrita a mano y que
debe ser verificada de forma independiente con los empleadores.
contenga tanto el nombre del candidato como aparece en el boleto de admisión
y la fotografía del candidato. Los candidatos que no proporcionen una forma de
Es importante tener en cuenta que un candidato CISM puede optar por
identificación aceptable no podrán rendir el examen y perderán su cuota de
realizar el examen CISM antes de cumplir con los requisitos de experiencia.
inscripción.
Se deben observar las siguientes convenciones al completar el examen:

Tenga en cuenta que las decisiones de solicitud de certificación no son
definitivas, ya que existe un proceso de apelación para las denegaciones de
• No traiga materiales de estudio (incluidos apuntes, papel, libros o guías de
solicitudes de certificación. Las consultas sobre denegaciones de certificación se
estudio) ni papel borrador o blocs de notas al lugar del examen.
pueden enviar a Certification@isaca.org.
Para obtener más detalles sobre las pertenencias personales que
pueden (y no pueden) ingresar al sitio de prueba, visite www.isaca.org/
cismbelongings.

• Los candidatos no pueden traer ningún tipo de dispositivo de comunicación (p. ej., informa puntajes en una escala común de 200 a 800. Un candidato debe recibir un
teléfono celular, PDA, Blackberry®, etc.) al centro de pruebas. Si se ve a los candidatos puntaje de 450 o más para aprobar el examen. Una puntuación de 450 representa un
con cualquier dispositivo de este tipo durante la administración del examen, sus estándar mínimo consistente de conocimiento según lo establecido por el Comité de
exámenes se anularán y se les pedirá que abandonen el examen de inmediato. Certificación CISM de ISACA.
Un candidato que reciba una calificación aprobatoria puede solicitar la
• Los candidatos que abandonen el área de prueba sin autorización o sin la compañía certificación si se cumplen todos los demás requisitos.
de un supervisor de prueba no podrán regresar a la sala de prueba y estarán sujetos
a descalificación. El examen CISM contiene algunas preguntas que se incluyen solo con fines de
• Los candidatos deben traer varios no. 2 lápices ya que no se proporcionarán lápices investigación y análisis. Estas preguntas no se identifican por separado y no se utilizan
en el lugar del examen. para calcular la puntuación final del candidato.
• Incluya su número de identificación de examen tal como aparece en su boleto de
admisión y cualquier otra información solicitada. El no hacerlo puede resultar en un
retraso o errores. Aprobar el examen no otorga la designación CISM. Para convertirse en CISM, cada
• Lea atentamente las instrucciones proporcionadas antes de intentar responder candidato debe completar todos los requisitos, incluida la presentación de una solicitud
preguntas. Omitir estas instrucciones o leerlas demasiado rápido podría resultar y la recepción de la aprobación para la certificación.
en la pérdida de información importante y posiblemente la pérdida de puntos de
crédito. Un candidato que recibe una puntuación inferior a 450 no tiene éxito y puede volver a
• Marque el área apropiada al indicar las respuestas en la hoja de respuestas. Al tomar el examen registrándose y pagando la tarifa de examen correspondiente para
corregir una pregunta respondida anteriormente, borre por completo una respuesta cualquier administración de examen futura. Para ayudar con el estudio futuro, la carta
incorrecta antes de escribir la nueva. de resultados que recibe cada candidato incluye un análisis de puntaje por área de
• Recuerde contestar todas las preguntas ya que no hay penalización por contenido. No hay límites para la cantidad de veces que un candidato puede realizar el
respuestas incorrectas. La calificación se basa únicamente en el número de examen.
preguntas respondidas correctamente. No deje ninguna pregunta en blanco.

• Identificar palabras o frases clave en la pregunta (La mayoría, Mejor, Primero …) Aproximadamente ocho semanas después de la fecha del examen, los resultados
antes de seleccionar y registrar la respuesta. oficiales del examen se envían por correo a los candidatos. Además, con el consentimiento
del candidato en el formulario de registro, se enviará a los candidatos pagados un
Tiempo de presupuestación mensaje de correo electrónico con el estado de aprobado/reprobado y la puntuación del
candidato.
Los siguientes son consejos de administración del tiempo para el examen:
• Se recomienda que los candidatos se familiaricen con el
Esta notificación por correo electrónico solo se envía a la dirección que figura en el
ubicación exacta y la mejor ruta de viaje al lugar del examen antes de la fecha del
perfil del candidato en el momento de la publicación inicial de los resultados.
examen.
Para garantizar la confidencialidad de las calificaciones, los resultados de los
• Los candidatos deben llegar al sitio de prueba del examen a la hora indicada en
exámenes no se informan por teléfono ni por fax. Para evitar que la notificación por
su boleto de admisión. Esto dará tiempo para que los candidatos se sienten y
correo electrónico se envíe a una carpeta de spam, el candidato debe agregar exam@
se aclimaten.
isaca.org a su libreta de direcciones, lista blanca o lista de remitentes seguros.
• El examen se administra durante un período de cuatro horas. Esto permite un poco
más de un minuto por pregunta. Por lo tanto, es recomendable que los candidatos se
Para obtener la certificación CISM, los candidatos deben aprobar el examen CISM y
controlen a sí mismos para completar todo el examen.
deben completar y enviar una solicitud de certificación (y deben recibir confirmación de
Para hacerlo, los candidatos deben completar un promedio de 50 preguntas por
ISACA de que la solicitud fue aprobada). La solicitud está disponible en el sitio web de
hora.
ISACA en www.isaca.org/ cismapp. Una vez aprobada la solicitud, se enviará al
• Se insta a los candidatos a registrar sus respuestas en su hoja de respuestas. No
solicitante la confirmación de la aprobación. El candidato no está certificado por CISM y
se permitirá tiempo adicional después de que haya transcurrido el tiempo del
no puede usar la designación CISM hasta que se apruebe su solicitud. Una tarifa de
examen para transferir o registrar las respuestas si los candidatos marcan sus
procesamiento de US $ 50 debe acompañar a las solicitudes de certificación CISM.
respuestas en el cuadernillo de preguntas.
Reglas y procedimientos
• Se solicita a los candidatos que firmen la hoja de respuestas para proteger la Para aquellos candidatos que no aprueben el examen, el informe de puntuación contiene
seguridad del examen y mantener la validez de los puntajes. una subpuntuación para cada dominio de trabajo. Los subpuntajes pueden ser útiles para
• A discreción del Comité de Certificación CISM, cualquier candidato que sea identificar aquellas áreas en las que el candidato puede necesitar más estudio antes de
descubierto incurriendo en cualquier tipo de mala conducta, como dar o recibir volver a tomar el examen. Los candidatos que no aprobaron deben tener en cuenta que
ayuda, puede ser descalificado; utilizando notas, papeles u otras ayudas; intentar al tomar un promedio simple o ponderado de las subpuntuaciones no se obtiene la
tomar el examen por otra persona; o sacar materiales de prueba o notas de la sala puntuación total escalada. Los candidatos que reciban una calificación reprobatoria en el
de pruebas. La agencia examinadora proporcionará al Comité de Certificación CISM examen pueden solicitar que se vuelva a calificar su hoja de respuestas. Este
los registros relacionados con dichas irregularidades. El comité revisará los procedimiento asegura que ninguna marca perdida, múltiples respuestas u otras
incidentes informados y todas las decisiones del comité son definitivas. condiciones interfirieron con la puntuación de la computadora. Los candidatos deben
comprender, sin embargo, que todos los puntajes están sujetos a varios controles de
calidad antes de informarlos; por lo tanto, lo más probable es que las nuevas puntuaciones
• Los candidatos no pueden tomar el cuadernillo de preguntas del examen no resulten en un cambio de puntuación. Las solicitudes de calificación manual deben
después de completar el examen. hacerse por escrito al departamento de certificación dentro de los 90 días posteriores a
la publicación de los resultados del examen. No se procesarán las solicitudes de puntaje
manual después de la fecha límite. Todas las solicitudes deben incluir el nombre del
Calificación del examen CISM y recepción de resultados
candidato, el número de identificación del examen y la dirección postal. Una tarifa de US
El examen consta de 200 ítems. Las puntuaciones de los candidatos se informan
$ 75 debe acompañar esta solicitud.
como una puntuación escalada. Una puntuación escalada es una conversión de la
puntuación bruta de un candidato en un examen a una escala común. ISACA utiliza y

Glosario
Glosario
A Proceso alternativo
Proceso automático o manual diseñado y establecido para continuar los
Ventana de interrupción aceptable procesos comerciales críticos desde el punto de falla hasta el regreso a la
El período máximo de tiempo que un sistema puede no estar disponible antes normalidad
de comprometer el logro de los objetivos comerciales de la organización.
Expectativa de pérdida anual (ALE)
La pérdida esperada total dividida por la cantidad de años en el período de
Política de uso aceptable pronóstico que arroja la pérdida anual promedio
Una política que establece un acuerdo entre los usuarios y la organización y
define para todas las partes los rangos de uso que se aprueban antes de acceder Detección de anomalías
a una red o Internet. Detección en función de si la actividad del sistema coincide con la definida como
anormal
Controles de acceso
Los procesos, reglas y mecanismos de implementación que controlan el acceso a Protocolo de transferencia de archivos anónimos (AFTP)
los sistemas de información, los recursos y el acceso físico a las instalaciones. Un método para descargar archivos públicos mediante el Protocolo de
transferencia de archivos (FTP). AFTP no requiere que los usuarios se
Ruta de acceso identifiquen antes de acceder a los archivos de un servidor en particular. En
La ruta lógica que toma un usuario final para acceder a la información general, los usuarios ingresan la palabra "anónimo" cuando el host solicita un nombre
computarizada. Por lo general, incluye una ruta a través del sistema operativo, de usuario. Se puede ingresar cualquier cosa para la contraseña, como la dirección
el software de telecomunicaciones, el software de aplicación seleccionado y el de correo electrónico del usuario o simplemente la palabra "invitado".
sistema de control de acceso. En muchos casos, un sitio AFTP no solicitará al usuario un nombre y una
contraseña.
Derechos de acceso
El permiso o privilegios otorgados a usuarios, programas o estaciones de Software antivirus
trabajo para crear, cambiar, eliminar o ver datos y archivos dentro de un Un software de aplicación implementado en múltiples puntos en una
sistema, según lo definido por las reglas establecidas por los propietarios de los arquitectura de TI. Está diseñado para detectar y potencialmente eliminar el
datos y la política de seguridad de la información. código de virus antes de que se produzcan daños, y reparar o poner en cuarentena
los archivos que ya han sido infectados.
Responsabilidad
La capacidad de asignar una actividad o evento determinado a la Controles de aplicaciones
parte responsable Las políticas, procedimientos y actividades diseñadas para proporcionar
una seguridad razonable de que se logran los objetivos relevantes para una solución
Protocolo de resolución de direcciones (ARP) (aplicación) automatizada determinada.
Define los intercambios entre las interfaces de red conectadas a un segmento de
medios Ethernet para asignar una dirección IP a una dirección de capa de enlace Capa de aplicación
bajo demanda En el modelo de comunicaciones de interconexión de sistemas abiertos (OSI),
la capa de aplicación proporciona servicios para un programa de aplicación para
Control administrativo garantizar que sea posible una comunicación eficaz con otro programa de
Las reglas, procedimientos y prácticas que se ocupan de la eficacia operativa, aplicación en una red. La capa de aplicación no es la aplicación que realiza la
la eficiencia y el cumplimiento de las normas y políticas de gestión. comunicación; es una capa de servicio que proporciona estos servicios.
Estándar de cifrado avanzado (AES) Interfaz de programación de aplicaciones (API)

El estándar de cifrado internacional que reemplazó a 3DES Un conjunto de rutinas, protocolos y herramientas denominados "bloques de
construcción" utilizados en el desarrollo de software de aplicaciones comerciales.
Situación de alerta Una buena API facilita el desarrollo de un programa al proporcionar todos los
El momento en un procedimiento de emergencia cuando el tiempo transcurrido componentes básicos relacionados con las características funcionales de un
supera un umbral y la interrupción no se resuelve. La organización que entra sistema operativo que las aplicaciones deben especificar, por ejemplo, cuando
en una situación de alerta inicia una serie de pasos de escalada. interactúan con el sistema operativo (p. ej., proporcionado por Microsoft Windows,
diferentes versiones de UNIX). Un programador utiliza estas API para desarrollar
aplicaciones que pueden operar de manera efectiva y eficiente en la plataforma
Algoritmo elegida.
Un conjunto finito de instrucciones paso a paso para un procedimiento de cálculo
o resolución de problemas, especialmente uno que puede ser implementado por Proveedor de servicios de aplicaciones (ASP)
una computadora. También conocido como proveedor de servicios administrados (MSP), implementa,
aloja y administra el acceso a una aplicación empaquetada para varias partes desde
Instalaciones alternativas una instalación administrada de forma centralizada. Las aplicaciones se entregan a
Lugares e infraestructuras desde donde se ejecutan procesos de emergencia o través de redes mediante suscripción.
de respaldo, cuando el local principal no esté disponible o esté destruido. Esto
incluye otros edificios, oficinas o centros de procesamiento de datos.

Glosario
Arquitectura Imagen de flujo de bits

Descripción del diseño subyacente fundamental de los componentes del sistema Las copias de seguridad de flujo de bits, también conocidas como copias de seguridad de imagen
de negocios, o de un elemento del sistema de negocios (p. ej., tecnología), las espejo, implican la copia de seguridad de todas las áreas del disco duro de una computadora u otro
relaciones entre ellos y la manera en que respaldan los objetivos de la organización tipo de medio de almacenamiento. Tales copias de seguridad replican exactamente todos los sectores
en un dispositivo de almacenamiento determinado, incluidos todos los archivos y las áreas de
almacenamiento de datos ambientales.
Clave asimétrica red de bots
Una técnica de cifrado en la que se utilizan diferentes claves criptográficas para cifrar y Una gran cantidad de computadoras comprometidas que se utilizan para crear y enviar spam
descifrar un mensaje. o virus o inundar una red con mensajes como un ataque de denegación de servicio.
Firma de ataque
Una secuencia específica de eventos que indica un intento de acceso no autorizado. Ataque de fuerza bruta
Por lo general, un patrón de bytes característico utilizado en código malicioso o un Intentar repetidamente todas las combinaciones posibles de contraseñas o claves de
indicador, o un conjunto de indicadores, que permite la identificación de actividades de red cifrado hasta encontrar la correcta
maliciosas.
Caso de negocio
Pista de auditoría Documentación de la justificación para realizar una inversión comercial, utilizada tanto para
Un rastro visible de evidencia que permite rastrear la información contenida en respaldar una decisión comercial sobre si continuar con la inversión como una herramienta
declaraciones o informes hasta la entrada original. operativa para respaldar la gestión de la inversión a lo largo de su ciclo de vida económico
fuente completo.
Autenticación Plan de continuidad del negocio (BCP)

El acto de verificar la identidad (es decir, usuario, sistema) Un plan utilizado por una organización para responder a la interrupción de los
procesos comerciales críticos. Depende del plan de contingencia para restauración de
Autorización sistemas críticos
Privilegios de acceso otorgados a un usuario, programa o proceso o el acto de otorgar esos
privilegios Evaluación de la dependencia empresarial
Un proceso de identificación de recursos críticos para la operación de un proceso de
Disponibilidad negocio.
Información a la que se puede acceder cuando lo requiera el proceso comercial ahora
y en el futuro Impacto de negocios
El efecto neto, positivo o negativo, sobre el logro de los objetivos comerciales.
B
centro de respaldo Análisis/evaluación de impacto empresarial (BIA)
Una instalación alternativa para continuar con las operaciones de TI/SI cuando el Evaluar la criticidad y sensibilidad de los activos de información. Un ejercicio que determina el
centro principal de procesamiento de datos (DP) no está disponible impacto de perder el soporte de cualquier recurso para una organización, establece la
escalada de esa pérdida a lo largo del tiempo, identifica los recursos mínimos necesarios para
Seguridad de referencia recuperarse y prioriza la recuperación de los procesos y el sistema de soporte.
Los controles de seguridad mínimos necesarios para salvaguardar un sistema de TI en
función de sus necesidades identificadas de protección de la confidencialidad, la integridad Este proceso también incluye abordar: pérdida de ingresos, gastos inesperados, problemas
y/o la disponibilidad. legales (cumplimiento normativo o contractual), procesos interdependientes y pérdida de
reputación pública o confianza pública.
evaluación comparativa
Un enfoque sistemático para comparar el desempeño de una organización
con el de sus pares y competidores en un esfuerzo por aprender las mejores Modelo de negocio para la seguridad de la información (BMIS)
formas de hacer negocios. Los ejemplos incluyen la evaluación comparativa de la Un modelo holístico y orientado a los negocios que respalda el gobierno empresarial y la
calidad, la eficiencia logística y varias otras métricas. gestión de la seguridad de la información y proporciona un lenguaje común para los
profesionales de la seguridad de la información y la gestión empresarial.
Un poco
La unidad más pequeña de almacenamiento de información; una contracción del término "dígito
binario"; uno de los dos símbolos "0" (cero) y "1" (uno) que se utilizan para representar números
C
binarios Modelo de madurez de la capacidad (CMM)
Contiene los elementos esenciales de procesos efectivos para una o más disciplinas.
copia de bits También describe un camino de mejora evolutiva desde procesos ad hoc e inmaduros hasta
Proporciona una imagen exacta del original y es un requisito para el análisis forense procesos disciplinados y maduros, con calidad y eficacia mejoradas.
legalmente justificable.

Glosario
Autoridad de certificación (certificación) (CA) Suma de verificación
Un tercero de confianza que sirve infraestructuras de autenticación o empresas y Un valor matemático que se asigna a un archivo y se usa para "probar" el archivo
registra entidades y les emite certificados en una fecha posterior para verificar que los datos contenidos en el archivo no hayan
sido modificados de manera malintencionada.
Lista de revocación de certificados (CRL)
Un instrumento para comprobar la continuidad de la validez de los Una suma de verificación criptográfica se crea mediante la realización
certificados de los que es responsable la autoridad de certificación (CA). de una serie complicada de operaciones matemáticas (conocidas como
La CRL detalla los certificados digitales que ya no son válidos. El lapso de algoritmo criptográfico) que traduce los datos del archivo en una cadena fija
tiempo entre dos actualizaciones es muy crítico y también es un riesgo en la de dígitos llamada valor hash, que luego se utiliza como suma de verificación.
verificación de certificados digitales. Sin saber qué algoritmo criptográfico se usó para crear el valor hash, es muy
poco probable que una persona no autorizada pueda cambiar los datos sin cambiar
Declaración de prácticas de certificación inadvertidamente la suma de verificación correspondiente.
Un conjunto detallado de reglas que rigen las operaciones de la autoridad
de certificación. Proporciona una comprensión del valor y la confiabilidad de Las sumas de comprobación criptográficas se utilizan en la transmisión y el almacenamiento
los certificados emitidos por una autoridad de certificación (CA) dada. de datos. Las sumas de verificación criptográficas también se conocen como códigos de
autenticación de mensajes, valores de verificación de integridad, códigos de detección de
modificación o códigos de integridad de mensajes.
Expresado en términos de los controles que observa una organización, el método
que utiliza para validar la autenticidad de los solicitantes de certificados y las Director de información (CIO)
expectativas de la CA sobre cómo se pueden utilizar sus certificados El funcionario de mayor rango de la empresa que es responsable de la promoción
de TI, la alineación de las estrategias comerciales y de TI, y la planificación, el
Cadena de custodia suministro de recursos y la gestión de la entrega de servicios de TI, la información y
Un principio legal relativo a la validez e integridad de la prueba. el despliegue de los recursos humanos asociados. En algunos casos, el rol del CIO
Requiere responsabilidad por todo lo que se utilizará como prueba en un se ha ampliado para convertirse en el director de conocimiento (CKO) que se ocupa
procedimiento legal para garantizar que se pueda dar cuenta desde el momento en del conocimiento, no solo de la información. Véase también director de tecnología.
que se recopiló hasta el momento en que se presentó ante un tribunal de justicia. Esto
incluye documentación sobre quién tuvo acceso a la evidencia y cuándo, así como la
capacidad de identificar evidencia como el elemento exacto que se recuperó o analizó. Director de seguridad de la información (CISO)
La falta de control sobre la evidencia puede conducir a su desacreditación. La cadena Responsable de administrar el riesgo de la información, el programa de
de custodia depende de la capacidad de verificar que la evidencia no pudo haber sido seguridad de la información y garantizar la confidencialidad, integridad y
alterada. Esto se logra sellando la evidencia, para que no pueda ser cambiada, y disponibilidad adecuadas de los activos de información.
proporcionando un registro documental de custodia para demostrar que la evidencia
estuvo, en todo momento, bajo estricto control y no sujeta a manipulación. Director de seguridad (CSO)
Normalmente responsable de la seguridad física en la organización, aunque
cada vez más los roles de CISO y CSO se fusionan
Cadena de evidencia Director de tecnología (CTO)

Un proceso y registro que muestra quién obtuvo la evidencia, dónde y cuándo El individuo que se enfoca en cuestiones técnicas en una organización.
se obtuvo la evidencia, quién aseguró la evidencia y quién tenía el control o la
posesión de la evidencia. Computación en la nube
La “secuencia” de la cadena de evidencia sigue este orden: recolección e Un enfoque que utiliza servicios externos para operaciones de TI bajo demanda
identificación, análisis, almacenamiento, preservación, presentación ante el convenientes utilizando un grupo compartido de capacidad informática configurable.
tribunal, devolución al propietario. Las capacidades típicas incluyen infraestructura como servicio (IaaS), plataforma
como servicio (PaaS) y software como servicio (SaaS), por ejemplo, redes,
Token de desafío/respuesta servidores, almacenamiento, aplicaciones y servicios, que pueden aprovisionarse y
Un método de autenticación de usuario que se lleva a cabo mediante el uso del liberarse rápidamente con un esfuerzo de administración mínimo. o interacción con el
Protocolo de autenticación por desafío mutuo (CHAP). proveedor de servicios. Este modelo de nube se compone de cinco características
Cuando un usuario intenta iniciar sesión en el servidor mediante CHAP, el servidor esenciales (autoservicio bajo demanda, acceso a la red ubicuo, agrupación de
envía al usuario un "desafío", que es un valor aleatorio. El usuario ingresa una recursos independiente de la ubicación, elasticidad rápida y servicio medido). Permite
contraseña, que se utiliza como clave de cifrado para cifrar el "desafío" y devolverlo a los usuarios acceder a servicios basados en tecnología desde la red en la nube sin
al servidor. El servidor conoce la contraseña. Por lo tanto, encripta el valor del conocimiento, experiencia o control sobre la infraestructura tecnológica que los
"desafío" y lo compara con el valor recibido del usuario. Si los valores coinciden, el respalda y ofrece cuatro modelos de acceso empresarial (nube privada, nube
usuario se autentica. La actividad de desafío/respuesta continúa a lo largo de la comunitaria, nube pública y nube híbrida). ).
sesión y esto protege la sesión de ataques de detección de contraseñas. Además,
CHAP no es vulnerable a los ataques de intermediarios porque el valor de desafío
es un valor aleatorio que cambia en cada intento de acceso.
Gestión del cambio

Un enfoque holístico y proactivo para gestionar la transición de un estado organizacional
actual a uno deseado

Glosario
COBIT 5 Filtrado de contenido

Anteriormente conocido como Objetivos de control para la información y Controlar el acceso a una red mediante el análisis del contenido de los paquetes
tecnología relacionada (COBIT); ahora se usa solo como el acrónimo en su quinta entrantes y salientes y dejarlos pasar o negarlos según una lista de reglas. Se
iteración. Un marco completo aceptado internacionalmente para gobernar y administrar diferencia del filtrado de paquetes en que son los datos del paquete los que se
la información y la tecnología (TI) de la empresa que apoya a los ejecutivos y la analizan en lugar de los atributos del paquete en sí (p. ej., dirección IP de origen/
gerencia de la empresa en su definición y logro de objetivos comerciales y objetivos destino, indicadores del protocolo de control de transmisión [TCP])
de TI relacionados.
COBIT describe cinco principios y siete habilitadores que apoyan a las empresas
en el desarrollo, implementación y mejora continua y monitoreo de buenas prácticas Plan de contingencia
de gestión y gobierno relacionadas con TI. Un plan utilizado por una organización o unidad de negocio para responder a una
falla o interrupción específica de los sistemas.
Las versiones anteriores de COBIT se centraron en los objetivos de control Monitoreo continuo
relacionados con los procesos de TI, la gestión y el control de los procesos de TI y El proceso implementado para mantener un estado de seguridad actual para
los aspectos de gobierno de TI. La adopción y el uso del marco COBIT están uno o más sistemas de información o para todo el conjunto de sistemas de
respaldados por la orientación de una creciente familia de productos de apoyo. información de los que depende la misión operativa de la empresa. El proceso
(Consulte www.isaca.org/ cobit para obtener más información). incluye: 1) el desarrollo de una estrategia para evaluar periódicamente los controles/
métricas de SI seleccionados, 2) el registro y la evaluación de eventos relevantes
COBIT 4.1 y anteriores para SI y la eficacia de la empresa al tratar con esos eventos, 3) el registro de
Anteriormente conocido como Objetivos de control para la información y cambios en los controles de SI, o cambios que afectan los riesgos de SI, y 4)
tecnología relacionada (COBIT). Un marco de procesos para TI completo y publicar el estado de seguridad actual para permitir decisiones de intercambio de
aceptado internacionalmente que apoya a los ejecutivos y gerentes de negocios y información que involucren a la empresa.
de TI en su definición y logro de objetivos comerciales y objetivos de TI relacionados
al proporcionar un modelo integral de gobierno, gestión, control y garantía de TI.
Centro de control
COBIT describe los procesos de TI y los objetivos de control Organiza las reuniones de recuperación donde se gestionan las operaciones de
asociados, las pautas de gestión (actividades, rendición de cuentas, recuperación ante desastres
responsabilidades y métricas de desempeño) y los modelos de madurez.
COBIT apoya la gestión empresarial en el desarrollo, implementación, mejora Política de controles
continua y seguimiento de buenas prácticas relacionadas con TI. Una política que define los modos operativos y de falla del control, por ejemplo,
falla segura, falla abierta, permitida a menos que se niegue específicamente, denegada
a menos que se permita específicamente
Vulnerabilidades y exposiciones comunes (CVE)
Un sistema que proporciona un método de referencia para vulnerabilidades y Gobierno corporativo
exposiciones de seguridad de la información conocidas públicamente. MITRE El sistema por el cual las empresas son dirigidas y controladas.
Corporation mantiene el sistema, con fondos de la División Nacional de Seguridad La junta directiva es responsable del gobierno de su empresa. Consiste en
Cibernética del Departamento de Seguridad Nacional de los Estados Unidos. el liderazgo y las estructuras y procesos organizacionales que aseguran que la
empresa mantenga y amplíe sus estrategias y objetivos.
Compensación de control
Un control interno que reduce el riesgo de que una debilidad de control existente o COSO
potencial resulte en errores y omisiones. Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Su
informe de 1992 "Control interno: marco integrado" es un estándar
Informática forense internacionalmente aceptado para el gobierno corporativo. Véase www.coso.org.
La aplicación del método científico a los medios digitales para establecer
información fáctica para revisión judicial. Este proceso a menudo implica
investigar los sistemas informáticos para determinar si se utilizan o se han Análisis coste-beneficio
utilizado para actividades ilegales o no autorizadas. Como disciplina, combina Un proceso sistemático para calcular y comparar los beneficios y costos de un
elementos del derecho y la informática para recopilar y analizar datos de los proyecto, control o decisión.
sistemas de información (p. ej., computadoras personales, redes, comunicación
inalámbrica y dispositivos de almacenamiento digital) de manera que sea contramedidas
admisible como prueba en un tribunal de justicia. Cualquier proceso que reduce directamente una amenaza o vulnerabilidad
Criticidad
Confidencialidad Una medida del impacto que tendrá en la organización el hecho de que un sistema
La protección de la información confidencial o privada frente a la no funcione según lo requerido.
divulgación no autorizada
Análisis de criticidad
Gestión de la configuración Un análisis para evaluar recursos o funciones comerciales para identificar su
El control de cambios a un conjunto de elementos de configuración durante un importancia para la organización y el impacto si una función no se puede completar
ciclo de vida del sistema o un recurso no está disponible

Glosario
Algoritmo criptográfico Propietario de los datos
Un procedimiento computacional bien definido que toma entradas variables, La(s) persona(s), normalmente un gerente o director, que tiene la responsabilidad
incluida una clave criptográfica, y produce una salida. de la integridad, la información precisa y el uso de datos computarizados
Fuerza criptográfica
Una medida del número esperado de operaciones requeridas para derrotar un Almacén de datos
mecanismo criptográfico. Un término genérico para un sistema que almacena, recupera y administra grandes
volúmenes de datos. El software de almacenamiento de datos a menudo incluye
Criptografía técnicas sofisticadas de comparación y hash para búsquedas rápidas, así como
El arte de diseñar, analizar y atacar esquemas criptográficos filtrado avanzado.
Descentralización
Comprobación de redundancia cíclica (CRC) El proceso de distribuir el procesamiento informático a diferentes ubicaciones
Un método para garantizar que los datos no hayan sido alterados después de ser dentro de una organización.
enviados a través de un canal de comunicación.
Clave de descifrado
D Una pieza de información digital utilizada para recuperar texto sin formato del texto
cifrado correspondiente mediante descifrado
Evaluación de daños
La determinación del alcance del daño que es necesario para proporcionar una Defensa en profundidad
estimación del marco de tiempo de recuperación y la pérdida potencial para la La práctica de superponer defensas para brindar protección adicional.
organización. La defensa en profundidad aumenta la seguridad al aumentar el esfuerzo necesario
en un ataque. Esta estrategia coloca múltiples barreras entre un atacante y la
Clasificación de datos informática y la información de una organización.
La asignación de un nivel de sensibilidad a los datos (o información) que resulta en recursos.
la especificación de controles para cada nivel de clasificación. Los niveles de
sensibilidad de los datos se asignan de acuerdo con categorías predefinidas a medida Desimanar
que se crean, modifican, mejoran, almacenan o transmiten los datos. El nivel de La aplicación de niveles variables de corriente alterna con el fin de desmagnetizar
clasificación es una indicación del valor o la importancia de los datos para la organización. medios de grabación magnéticos. El proceso consiste en aumentar gradualmente el
campo de corriente alterna desde cero hasta un valor máximo y volver a cero, dejando
un residuo muy bajo de inducción magnética en el medio. Desmagnetizar vagamente
custodio de datos significa: borrar.
La(s) persona(s) y/o departamento(s) responsable(s) del almacenamiento y salvaguarda
de los datos computarizados
Zona Desmilitarizada (DMZ)
Estándar de cifrado de datos (DES) Un segmento de red apantallado (cortafuegos) que actúa como una zona de
Un algoritmo para codificar datos binarios. Es un criptosistema de clave amortiguamiento entre una red confiable y no confiable. Una DMZ se usa
secreta publicado por la Oficina Nacional de Estándares (NBS), el predecesor del típicamente para albergar sistemas como servidores web que deben ser accesibles
Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST). DES y sus variantes desde redes internas e Internet.
han sido reemplazados por el Estándar de cifrado avanzado (AES).
Ataque de denegación de servicio (DoS)
Un asalto a un servicio de una sola fuente que lo inunda con tantas solicitudes que se
Integridad de los datos ve abrumado y se detiene por completo o funciona a un ritmo significativamente reducido
La propiedad de que los datos cumplen con una expectativa prioritaria de calidad y que
se puede confiar en los datos
Certificado digital
Fuga de datos Un proceso para autenticar (o certificar) la firma digital de una parte; realizados por
Desviar o filtrar información tirando archivos de computadora o robando informes y terceros de confianza
cintas de computadora
Firma de código digital
Protección contra fugas de datos (DLP) El proceso de firma digital del código informático para garantizar su integridad.
Un conjunto de tecnologías y procesos asociados que ubican, monitorean y
protegen la información confidencial de la divulgación no autorizada
Declaración de desastre
La comunicación a las partes internas y externas apropiadas de que el plan de

Procesamiento de datos recuperación ante desastres se está poniendo en marcha.
Una técnica utilizada para analizar la información existente, generalmente con la intención
de buscar nuevas vías para hacer negocios. Tarifa de notificación de desastre
La tarifa que cobra el proveedor del sitio de recuperación cuando el cliente le

Normalización de datos notifica que se ha producido un desastre y se requiere el sitio de recuperación. La
Un proceso estructurado para organizar datos en tablas de tal manera que preserva las tarifa se implementa para desalentar las notificaciones falsas de desastres.
relaciones entre los datos.

Glosario
Plan de recuperación ante desastres (DRP)

Conjunto de recursos humanos, físicos, técnicos y procedimentales para recuperar, en
Y
un tiempo y costo definido, una actividad interrumpida por una emergencia o desastre. Intercambio electrónico de datos (EDI)
La transmisión electrónica de transacciones (información) entre dos empresas.
EDI promueve un entorno sin papel más eficiente. Las transmisiones EDI pueden reemplazar
Comprobación de escritorio del plan de recuperación el uso de documentos estándar, incluidas facturas u órdenes de compra.
ante desastres Por lo general, una lectura completa de un plan de recuperación ante
desastres sin que se lleve a cabo ninguna acción real. Por lo general, implica una lectura del
plan, la discusión de los elementos de acción y la definición de cualquier brecha que pueda Transferencia electrónica de fondos (EFT)
identificarse. El intercambio de dinero a través de las telecomunicaciones. EFT se refiere a cualquier
transacción financiera que se origina en una terminal y transfiere una suma de dinero de una
Recorrido del plan de recuperación ante desastres cuenta a otra.
En general, una prueba sólida del plan de recuperación que requiere que se lleven a
cabo y se prueben algunas actividades de recuperación. A menudo se presenta un Cifrado
escenario de desastre y los equipos de recuperación explican los pasos que deberían El proceso de tomar un mensaje no cifrado (texto sin formato), aplicarle una
seguir para recuperarse. Se deben probar tantos aspectos del plan como sea posible. función matemática (algoritmo de cifrado con una clave) y producir un mensaje cifrado (texto
cifrado)
Control de acceso discrecional (DAC) Gobernanza empresarial

Un medio para restringir el acceso a los objetos en función de la identidad de los sujetos y/ Un conjunto de responsabilidades y prácticas ejercidas por el directorio y la gerencia
o grupos a los que pertenecen. Los controles son discrecionales en el sentido de que un ejecutiva con el objetivo de proporcionar una dirección estratégica, asegurar que se
sujeto con cierto permiso de acceso es capaz de pasar ese permiso (quizás indirectamente) logren los objetivos, verificar que los riesgos se manejen adecuadamente y verificar que
a cualquier otro sujeto. los recursos de la empresa se utilicen de manera responsable.
Duplicación de disco Exposición

La práctica de duplicar datos en volúmenes separados en dos discos duros para que el La pérdida potencial de un área debido a la ocurrencia de un evento adverso
almacenamiento sea más tolerante a fallas. La duplicación brinda protección de datos en
caso de falla del disco porque los datos se actualizan constantemente en ambos discos.
Almacenamiento externo
La ubicación que contiene las copias de seguridad que se utilizarán en caso de que se
Ataque de denegación de servicio distribuido (DDoS) requiera una recuperación o restauración en caso de un desastre.
Un ataque de denegación de servicio (DoS) de múltiples fuentes
F
Sistema de nombres de dominio (DNS)
conmutación por error
Una base de datos jerárquica que se distribuye a través de Internet que permite que los
nombres se resuelvan en direcciones IP (y viceversa) para ubicar servicios como servidores La transferencia de servicio de un componente primario incapacitado a su componente de
web y de correo electrónico. respaldo
A prueba de fallos
Control dual
Un procedimiento que utiliza dos o más entidades (generalmente personas) que Describe las propiedades de diseño de un sistema informático que le permiten resistir los
operan en conjunto para proteger un recurso del sistema de modo que ninguna entidad que intentos activos de atacarlo o eludirlo.
actúe sola pueda acceder a ese recurso.

Lógica de caída
dos queridos Un código optimizado basado en una predicción de ramificación que predice en qué
El nivel de atención que se espera de una persona razonable de competencia similar en dirección se ramificará un programa cuando se presente una aplicación
condiciones similares
cortafuegos
Debida diligencia
La realización de aquellas actuaciones que en general se consideren prudentes, Un sistema o combinación de sistemas que impone un límite entre dos o más redes
responsables y necesarias para realizar una investigación, revisión y/o análisis exhaustivo que normalmente forman una barrera entre un entorno seguro y uno abierto, como
y objetivo. Internet.
Protocolo de configuración dinámica de host (DHCP) Inundación
Un protocolo utilizado por las computadoras en red (clientes) para obtener direcciones Un ataque que intenta causar una falla en un sistema al proporcionar más información de la
IP y otros parámetros, como la puerta de enlace predeterminada, la máscara de subred que el sistema puede procesar correctamente.
y las direcciones IP de los servidores del sistema de nombres de dominio (DNS) de un

servidor DHCP. El servidor DHCP garantiza que todas las direcciones IP sean únicas (por copia forense
ejemplo, no se asigna ninguna dirección IP a un segundo cliente mientras la asignación del Una reproducción precisa bit a bit de la información contenida en un dispositivo electrónico
primer cliente es válida [su concesión no ha vencido]). Por lo tanto, la administración del o medio asociado, cuya validez e integridad se ha verificado utilizando un algoritmo aceptado
conjunto de direcciones IP la realiza el servidor y no un administrador de red humano.


CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-5

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CISM - Gu A para La Certificaci N - 2013 - Docto de Apoyo-5

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Capítulo 3—Programa de seguridad de la información

componentes del programa

Las causas fundamentales de los problemas de financiación se extienden al desafío de

Manual de revisión CISM 2013 ISACA. 197

• Analizar las posibilidades de subcontratación, especialmente para

198 Manual de revisión del CISM 2013

4.1 Introducción.................................................. .................................................... .................................................... .......................... 200

Sección Dos: Contenido

4.4 Descripción general de la gestión de incidentes ............................... .................................................... .......................................... 211

Manual de revisión del CISM 2012 199

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

T4.4 Establecer y mantener procesos para investigar y documentar incidentes

T4.5 Establezca y mantenga procesos de escalamiento y notificación

T4.6 Organizar, capacitar y equipar equipos para responder de manera efectiva a

información tenga el conocimiento y la comprensión necesarios para identificar, negocio.

analizar, administrar y responder de manera efectiva a eventos inesperados que puedan

KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la

comercial CR4.7 Conocimiento de los roles y responsabilidades en la identificación

KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes

200 Manual de revisión del CISM 2013

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

Figura 4.1—Asignación de enunciados de tareas y conocimientos

Declaración de tarea Declaraciones de conocimiento

CR4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar

Manual de revisión CISM 2013 ISACA. Reservados 201

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

Figura 4.1—Mapeo de enunciados de tareas y conocimientos (cont.)

Declaración de tarea Declaraciones de conocimiento

GUÍA DE REFERENCIA DE LA DECLARACIÓN DE CONOCIMIENTOS

KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes

4.7.4 Funciones y responsabilidades

Responsabilidades del equipo 4.4 Descripción general de la gestión de incidentes

de gestión de incidentes 4.7.3 Personal

4.7.4 Funciones y responsabilidades

triaje de incidentes 4.4 Descripción general de la gestión de incidentes

4.5 Procedimientos de respuesta a incidentes

202 Manual de revisión del CISM 2013

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes

• Contener y minimizar los daños incidentes 4.5 Procedimientos de respuesta a incidentes

respuesta a incidentes 4.10 Definición de procedimientos de gestión de

4.11.1 Historial de incidentes

4.5.2 Resultados de la gestión de incidentes

Criterios de declaración 4.4 Descripción general de la gestión de incidentes

4.13.10 Integración de objetivos de recuperación y

Si bien a menudo no es responsable de declarar un desastre, el gerente de seguridad de la información

Manual de revisión CISM 2013 ISACA. Reservados 203

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

CR4.4 Conocimiento de los métodos de clasificación de incidentes

Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013

CR4.5 Conocimiento de los métodos de contención de daños

Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013

Capacidad de respuesta 4.10.1 Plan de acción detallado para la gestión de

CR4.6 Conocimiento de los procesos de notificación y escalamiento

Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013

4.12.8 Desafíos en el desarrollo de un plan de gestión de

Procedimientos de escalamiento 4.12.3 Proceso de escalamiento para una gestión

204 Manual de revisión del CISM 2013

Capítulo 4—Gestión de incidentes de seguridad de la información Sección uno: descripción general

Habilidades y requisitos 4.7.5 Habilidades

Recolección y manejo de 4.16.3 Establecimiento de Procedimientos

La gestión de incidentes busca resolver problemas y restaurar las operaciones normales