Documentos de Académico
Documentos de Profesional
Documentos de Cultura
existe. Independientemente de las circunstancias organizacionales, un gerente de seguridad de la capaz de influir. Algunos problemas relacionados con la financiación que pueden necesitar ser
información persuasivo con una visión clara del rol de la seguridad de la información en la abordados por el gerente de seguridad de la información incluyen:
organización a menudo puede mejorar la postura general de seguridad con una campaña continua • La gerencia no reconoce el valor de las inversiones en seguridad
para educar a las partes interesadas en el rol y la relevancia de la seguridad de la información. • La seguridad es vista como un centro de costos de bajo valor
• La gerencia no entiende a dónde va el dinero existente
Esto puede incluir definir y buscar un acuerdo sobre los objetivos de control de riesgos de la • No se comprende la necesidad organizativa de una inversión en seguridad.
información, determinar la tolerancia al riesgo de la organización e identificar los activos de
información de misión crítica. • La necesidad de una mayor conciencia de las tendencias de la industria en
la inversión en seguridad
También es beneficioso que las actividades de seguridad de la información se alineen con
los objetivos comerciales definidos y los respalden. Esto será más eficaz si se trata de un Si no se dispone de fondos adicionales para cerrar las brechas financieras, el gerente de
esfuerzo continuo y se comunica adecuadamente a las partes interesadas. El desarrollo de KPI seguridad de la información debe aplicar estrategias que minimicen el impacto del déficit
y métricas significativos también será útil para respaldar los objetivos de seguridad de la financiero en la postura de riesgo de la información de la organización. Algunas estrategias
información. Cada gerente de seguridad de la información debe determinar la amplitud y comunes que se pueden aplicar incluyen: • Aprovechar los presupuestos de otras unidades
profundidad apropiadas de las métricas para que su propia organización brinde la información organizacionales (por ejemplo, desarrollo de productos, auditoría interna, sistemas de información)
necesaria para la gestión, pero también debe implementar algún tipo de informe consistente para implementar los componentes necesarios del programa de seguridad. • Mejorar la eficiencia
para promover la conciencia de la importancia que tiene la gestión de la seguridad de la de la seguridad de la información existente.
información en el logro de los objetivos organizacionales. objetivos
dotación de personal
Apoyo de la gerencia los niveles inadecuados de personal para cumplir con los requisitos del programa de seguridad.
La falta de apoyo de la administración es más común en las organizaciones más Los obstáculos para obtener niveles efectivos de dotación de personal
pequeñas y aquellas que no están en industrias intensivas en seguridad. Tales pueden incluir:
organizaciones a menudo no tienen un requisito obligatorio para abordar la seguridad • Poca comprensión de las actividades que harán los nuevos recursos
de la información y, por lo tanto, a menudo lo ven como un problema marginalmente • Cuestionar la necesidad o el beneficio de nuevas actividades de recursos
importante que agrega costos con poco valor. Estos puntos de vista a menudo reflejan una falta • Falta de conocimiento de los niveles o actividades existentes de utilización del personal
de comprensión de la dependencia de la organización en los sistemas de información, el • Creencia de que el personal existente está infrautilizado
entorno de amenazas y riesgos, o el impacto que enfrenta la organización o que puede estar • Deseo de examinar alternativas de subcontratación
experimentando sin saberlo. Cuando se le presenten estos problemas, el gerente de seguridad de la información
debe utilizar los procedimientos de gestión de la carga de trabajo para generar análisis de
la carga de trabajo del personal, informes de utilización y otras métricas que demuestren el
En tales circunstancias, el gerente de seguridad de la información debe utilizar recursos, nivel de esfuerzo actualmente invertido. Además, son útiles los gráficos que asocian roles
como estadísticas de la industria, análisis de dependencia e impacto organizacional, y revisiones o equipos de seguridad de la información específicos con la protección que brindan a los
de amenazas comunes a los sistemas de procesamiento de información específicos de la sistemas de información empresarial. Demostrar niveles altos o crecientes de productividad
organización. Además, la gerencia puede requerir orientación sobre lo que se espera de ellos y los también ayuda a demostrar que el programa de seguridad de la información está utilizando los
enfoques que los pares de la industria están tomando para abordar la seguridad de la información. recursos de manera efectiva y eficiente.
Incluso si la educación inicial no da como resultado un fortalecimiento inmediato del apoyo, aún se
debe realizar una educación continua para desarrollar la conciencia de las necesidades de
seguridad.
Si la organización no puede asignar recursos humanos adicionales al programa, el
gerente de seguridad de la información puede considerar implementar las siguientes
Fondos estrategias para minimizar el impacto de la falta de personal en la efectividad del programa
La financiación inadecuada de las iniciativas de seguridad de la información es quizás uno de de seguridad de la información:
los problemas más frustrantes y desafiantes que debe abordar el gerente de seguridad de la
información. Si bien este problema puede ser un síntoma de una falta subyacente de apoyo de la • Colaborar con otras unidades de negocios para determinar si pueden asumir más
administración, a menudo existen otros factores que el gerente de seguridad de la información responsabilidades de seguridad de la información; delegar tareas apropiadas con supervisión
debe considerar.
Capítulo 4:
Seguridad de información
Administracion de incidentes
Sección uno: descripción general
amenazan los sistemas de información y la infraestructura de una organización. estén involucradas en la gestión de respuesta a incidentes.
El objetivo de este dominio es garantizar que el gerente de seguridad de la el plan de recuperación ante desastres y el plan de continuidad del
Dominio 4—Gestión de incidentes de seguridad de la información CR4.4 Conocimiento de los métodos de clasificación de incidentes
Planificar, establecer y administrar la capacidad para detectar, investigar, responder CR4.5 Conocimiento de los métodos de contención de daños
y recuperarse de incidentes de seguridad de la información para minimizar el impacto CR4.6 Conocimiento de los procesos de notificación y escalamiento
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y RELACIÓN DE LA TAREA AL CONOCIMIENTO
analizan eventos de seguridad de la información
DECLARACIONES
KS4.14 Conocimiento de los recursos internos y externos disponibles para
Las declaraciones de tareas son lo que se espera que el candidato al
investigar incidentes de seguridad de la información
CISM sepa realizar. Las declaraciones de conocimiento delinean cada
una de las áreas en las que el candidato CISM debe tener una buena
comprensión para poder realizar las tareas. Las declaraciones de tareas y
conocimientos se mapean en la figura 4.1 en la medida en que es posible
hacerlo. Tenga en cuenta que aunque a menudo hay una superposición,
cada declaración de tarea generalmente se asignará a varias declaraciones
de conocimiento.
T4.1 Establecer y mantener una definición organizacional y una jerarquía KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes KS4.4
de gravedad para los incidentes de seguridad de la información Conocimiento de los métodos de clasificación de incidentes
para permitir una identificación precisa y una respuesta a los
incidentes.
T4.2 Establecer y mantener un plan de respuesta a incidentes para KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes
garantizar una respuesta eficaz y oportuna a los incidentes de KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
seguridad de la información. desastres (DRP) y su relación con el plan de respuesta a incidentes
T4.3 Desarrollar e implementar procesos para asegurar CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes
la identificación oportuna de incidentes de seguridad de la CR4.4 Conocimiento de los métodos de clasificación de incidentes
información. CR4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la
información
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la
información
T4.4 Establecer y mantener procesos para investigar y documentar KS4.1 Conocimiento de los componentes de un plan de respuesta a incidentes
incidentes de seguridad de la información para poder responder KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
adecuadamente y determinar sus causas mientras se cumplen desastres (DRP) y su relación con el plan de respuesta a incidentes
los requisitos legales, regulatorios y organizacionales. CR4.4 Conocimiento de los métodos de clasificación de incidentes
CR4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar adecuadamente a los
equipos de respuesta a incidentes
CR4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar
y presentación de pruebas (por ejemplo, admisibilidad, calidad e integridad de las pruebas, cadena de
custodia)
KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar
causas raíz y determinar acciones correctivas
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la
información
KS4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la
información
T4.5 Establecer y mantener la escalada de incidentes CR4.2 Conocimiento de los conceptos y prácticas de gestión de incidentes
y procesos de notificación para garantizar que las partes CR4.5 Conocimiento de los métodos de contención de daños
interesadas apropiadas participen en la gestión de respuesta a CR4.6 Conocimiento de los procesos de notificación y escalamiento
incidentes. KS4.7 Conocimiento de los roles y responsabilidades en la identificación y gestión de incidentes de seguridad de la
información KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y
externos
T4.6 Organizar, capacitar y equipar equipos para responder de KS4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la
manera efectiva a incidentes de seguridad de la información información KS4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar
de manera oportuna. adecuadamente a los equipos de respuesta a incidentes
T4.7 Probar y revisar el plan de respuesta a incidentes KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
periódicamente para asegurar una respuesta eficaz a los desastres (DRP) y su relación con el plan de respuesta a incidentes
incidentes de seguridad de la información y mejorar las
capacidades de respuesta.
T4.8 Establecer y mantener planes y procesos de comunicación para KS4.10 Conocimiento de los requisitos y procedimientos de informes de incidentes internos y externos
gestionar la comunicación con entidades internas y externas.
T4.9 Realizar revisiones posteriores al incidente para determinar la causa CR4.5 Conocimiento de los métodos de contención de daños
raíz de los incidentes de seguridad de la información, desarrollar KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar
acciones correctivas, reevaluar el riesgo, evaluar la eficacia de causas raíz y determinar acciones correctivas
la respuesta y tomar las medidas correctivas apropiadas. KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos comerciales
derivados de incidentes de seguridad de la información
T4.10 Establecer y mantener la integración entre el plan de respuesta a KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
incidentes, el plan de recuperación ante desastres y el plan de desastres (DRP) y su relación con el plan de respuesta a incidentes
continuidad del negocio.
La siguiente sección contiene las declaraciones de conocimiento y los conceptos subyacentes y la relevancia para el conocimiento del
gerente de seguridad de la información. Las declaraciones de conocimiento son lo que el gerente de seguridad de la información debe saber para
realizar las tareas. Se proporciona una explicación resumida de cada declaración de conocimientos, seguida de los conceptos básicos que son la
base del examen escrito. Cada concepto clave tiene referencias a la sección dos de este capítulo.
El cuerpo de conocimientos del CISM se ha dividido en cuatro dominios, y cada uno de los cuatro capítulos cubre parte del material contenido en
esos dominios. Este capítulo revisa el conjunto de conocimientos desde la perspectiva de la gestión y respuesta a incidentes.
La respuesta a incidentes es la capacidad operativa para responder adecuadamente a eventos e Identificar un incidente 4.4 Descripción general de la gestión de incidentes
incidentes relacionados con la seguridad para minimizar de manera efectiva las interrupciones en la 4.5 Procedimientos de respuesta a incidentes
organización. Hay varias capacidades esenciales para una respuesta eficaz. El primero es la 4.5.4 Conceptos
capacidad de determinar que, de hecho, ha ocurrido un incidente. El segundo es la capacidad de evaluar
Responsabilidades del equipo de 4.4 Descripción general de la gestión de incidentes
rápidamente el tipo y la naturaleza del incidente. En tercer lugar, está la capacidad de movilizar los
respuesta a incidentes 4.5 Procedimientos de respuesta a incidentes
recursos necesarios para evaluar los efectos y brindar los remedios apropiados para limitar el daño y
4.5.2 Resultados de la gestión de incidentes
mantener o restaurar los servicios afectados.
4.7.3 Personal
4.5.4 Conceptos
4.10.1 Plan de acción detallado para la gestión de incidentes
El objetivo de la gestión de incidentes es detectar y responder a incidentes relacionados con la Ciclo de vida de la gestión de 4.10.1 Plan de acción detallado para la gestión de incidentes
seguridad de la información de tal manera que las operaciones de servicio se restablezcan a la incidentes
normalidad lo más rápido posible y que se minimicen los efectos adversos generales para la
Gestión de incidentes y 4.4 Descripción general de la gestión de incidentes
empresa. Si bien muchos aspectos específicos de la gestión de incidentes dependerán de la
propósito de respuesta. 4.5 Procedimientos de respuesta a incidentes
organización individual, los objetivos generales serán los mismos. Éstos incluyen:
4.5.3 Gestión de incidentes 4.8 Objetivos
de la gestión de incidentes
• Detectar incidentes rápidamente
4.8.3 Alineación estratégica
• Diagnosticar incidentes con precisión
• Gestionar adecuadamente los incidentes Procesos de gestión de 4.4 Descripción general de la gestión de incidentes
• Implementar mejoras para prevenir la recurrencia o minimizar el impacto de futuros eventos similares
Capacidades de 4.5 Procedimientos de respuesta a incidentes
KS4.3 Conocimiento de la planificación de la continuidad del negocio (BCP) y la planificación de la recuperación ante
desastres (DRP) y su relación con el plan de respuesta a incidentes
Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
La planificación de recuperación ante desastres (DRP) y la planificación de continuidad del negocio Planificación de recuperación 4.4 Descripción general de la gestión de incidentes
(BCP) son manejadas de diferentes maneras por diferentes organizaciones. Algunas organizaciones ante desastres (DRP) 4.13 Procedimientos de Continuidad del Negocio y
tienen un departamento separado que maneja ambas funciones. Otros tienen cada función reportando Recuperación de Desastres
a una parte diferente de la organización. Algunas empresas subcontratan ambas actividades. 4.15 Ejecución de planes de respuesta y recuperación
Independientemente de dónde estén ubicadas estas funciones en la organización, es esencial que el
gerente de seguridad de la información comprenda el proceso y cómo se relaciona con la gestión y
Planificación de la 4.13 Procedimientos de Continuidad del Negocio y
respuesta a incidentes. Si un incidente tiene impactos significativos que deshabilitan partes o la totalidad
continuidad del negocio (BCP) Recuperación de Desastres
de los sistemas de información de una organización, normalmente se debe declarar un desastre y se
4.15 Ejecución de planes de respuesta y recuperación
activarían los planes de recuperación ante desastres y continuidad del negocio. El traspaso del equipo
de respuesta a incidentes a los encargados de la recuperación ante desastres debe estar integrado, bien
planificado y ejecutado sin problemas. Criterios de gravedad 4.4 Descripción general de la gestión de incidentes
El gerente de seguridad de la información también debe revisar todos los planes de recuperación
ante desastres y continuidad comercial para garantizar que cualquier riesgo para la seguridad de la
información que resulte de la ejecución de los planes se destaque y se trate de manera adecuada.
La clasificación de un incidente debe ser precisa y debe completarse lo más rápido Clasificación de incidentes 4.10.1 Plan de acción detallado para la gestión de
posible. Ambos factores ayudan a garantizar una respuesta adecuada y que el impacto se incidentes
minimice. La clasificación será en función del tipo de incidente; por ejemplo, si es accidental, un
triaje de incidentes 4.5.4 Conceptos
código malicioso o una penetración real de la red. Las posibilidades casi infinitas pueden hacer
4.10.1 Plan de acción detallado para la gestión de
que esta tarea sea un desafío y el gerente de seguridad de la información debe desarrollar una red
incidentes
de expertos a los que se pueda llamar para clasificar el tipo de incidente y asesorar sobre las
opciones correctivas. Una vez que se identifica la naturaleza y el alcance del incidente, se pueden Niveles de gravedad 4.10.1 Plan de acción detallado para la gestión de
determinar los niveles de gravedad apropiados y activar el plan de respuesta al incidente. incidentes
El objetivo de la gestión y respuesta a incidentes es minimizar el impacto derivado de los incidentes triaje de incidentes 4.4 Descripción general de la gestión de incidentes
de seguridad de la información. Para lograr este objetivo, es necesario que el administrador de 4.5.4 Conceptos
incidentes comprenda todos los aspectos del incidente y la forma más efectiva de contener y 4.10.1 Plan de acción detallado para la gestión de
minimizar la interrupción operativa y otros factores negativos, como la pérdida de datos. Esto requerirá incidentes
una comprensión profunda de la arquitectura de los sistemas y los procesos organizacionales para
Contención 4.12.2 Elementos de un análisis de impacto
aislar y contener los problemas solo en las áreas afectadas. Por ejemplo, una infección por virus
empresarial
suele abordarse de forma más eficaz determinando los sistemas infectados, aislándolos y eliminando
la infección. Gestión de problemas 4.5.4 Conceptos
Es fundamental que el gerente de seguridad de la información determine quién debe ser notificado Criterios de gravedad 4.4 Descripción general de la gestión de incidentes
y en qué circunstancias para recibir y proporcionar información crítica sobre incidentes. El personal 4.5 Procedimientos de respuesta a incidentes
operativo debe comprender qué situaciones y eventos requerirían notificación al gerente de 4.5.2 Resultados de la gestión de incidentes
seguridad de la información. El gerente de seguridad de la información debe desarrollar requisitos y 4.10.1 Plan de acción detallado para la gestión de
procesos claros para proporcionar criterios de notificación y escalamiento de eventos, riesgos u incidentes
otras circunstancias a varias partes de la organización. El desarrollo de criterios de severidad y la
Canales de comunicación 4.5.2 Resultados de la gestión de incidentes
educación del personal en su uso es un componente clave del desarrollo de requisitos de notificación
y denuncia 4.5.4 Conceptos
y escalado.
4.7.5 Habilidades
4.10.1 Plan de acción detallado para la gestión de
incidentes
4.12.7 Proceso de notificación de incidentes
eficaz de incidentes
CR4.7 Conocimiento de las funciones y responsabilidades en la identificación y gestión de incidentes de seguridad de la información
Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
Todo el personal de una organización debe tener orientación básica y conocimiento de Definiciones de eventos, 4.4 Descripción general de la gestión de incidentes
los eventos que pueden considerarse un incidente de seguridad. Esto es para garantizar la incidentes y problemas 4.5.4 Conceptos
notificación temprana de posibles incidentes para que los incidentes de seguridad reales
Capacitación y educación 4.7.6 Concientización y Educación
puedan identificarse, evaluarse y mitigarse rápidamente para minimizar los daños y las
para el reconocimiento de incidentes
interrupciones operativas. Los miembros del equipo de gestión de incidentes (IMT) y del equipo
de respuesta a incidentes (IRT) deben comprender sus responsabilidades específicas y deben Gestión de incidentes y roles 4.7.4 Funciones y responsabilidades
ser competentes para llevarlas a cabo. Esto puede requerir capacitación y pruebas especializadas y responsabilidades de 4.12.6 Organización, capacitación y equipamiento del
para garantizar que todos los miembros del equipo posean el nivel de habilidades requerido. respuesta personal de respuesta
4.13.2 Operaciones de recuperación
de personal
CR4.8 Conocimiento de los tipos y fuentes de herramientas y equipos necesarios para equipar adecuadamente a los
equipos de respuesta a incidentes
Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
Los incidentes son, por naturaleza, inesperados y varían ampliamente, desde intrusiones físicas o Requisitos de capacidad del 4.4 Descripción general de la gestión de incidentes
lógicas hasta errores de procedimiento y accidentes. Los incidentes pueden ser accidentales o equipo de respuesta a incidentes 4.6 Organización de gestión de incidentes
debidos a activaciones intencionalmente maliciosas. Como consecuencia, los equipos de respuesta 4.10.1 Plan de acción detallado para la gestión de
a incidentes efectivos deben estar equipados y preparados para una amplia variedad de posibles incidentes
eventos y estrategias de respuesta. Los tipos de herramientas, equipos y metodologías requeridas 4.11 Estado actual de la capacidad de respuesta a
dependerán de los sistemas y procesos utilizados por la empresa, así como del alcance y estatuto incidentes
de la capacidad de respuesta a incidentes. Es esencial que el gerente de seguridad de la
Herramientas de investigación 4.16.5 Aspectos legales de las pruebas forenses
información identifique claramente el tipo y la naturaleza de los incidentes y eventos que se espera
que maneje el equipo, y luego se asegure de que estén debidamente capacitados y equipados
para hacerlo. A menudo, los conjuntos de habilidades o conjuntos de herramientas que son
demasiado costosos y/o se necesitan con poca frecuencia para mantenerlos internamente de
manera justificada pueden manejarse mediante un acuerdo de servicio con una empresa que se
especializa en actividades de respuesta a incidentes. Un ejemplo son los servicios forenses digitales.
KS4.9 Conocimiento de los requisitos y capacidades forenses para recolectar, preservar y presentar evidencia (por ejemplo,
admisibilidad, calidad e integridad de la evidencia, cadena de custodia)
Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
El análisis forense es un conjunto sistemático y detallado de procedimientos y herramientas Recopilación y 4.16.2 Documentación de eventos
asociadas que se utilizan para ubicar, recopilar y manejar información almacenada en sistemas conservación de pruebas
informáticos para ayudar a determinar la causa raíz y el impacto de un incidente de seguridad
Cadena de custodia 4.16.2 Documentación de eventos
de la información. Con frecuencia, esto implica la recopilación, el manejo y la conservación de
4.16.4 Requisitos de Evidencia
pruebas de una manera que cumpla con los requisitos legales penales o civiles para su admisión
4.16.5 Aspectos legales de las pruebas forenses
como prueba en un tribunal de justicia. Hasta que se entienda el alcance completo de un incidente,
la mejor suposición es tratar las actividades de investigación y la recopilación de pruebas como si Técnicas de investigación 4.16.1 Identificación de causas y acciones correctivas
hubiera una investigación criminal. Los elementos esenciales de este enfoque incluyen los pasos
necesarios para cumplir con los requisitos legales locales para la recopilación, conservación y 4.16.2 Documentación de eventos
transporte de pruebas (cadena de custodia). También es importante evitar la contaminación de una
posible escena del crimen. El manejo inadecuado de la evidencia puede resultar en la limitación de
opciones para el enjuiciamiento y/o la determinación de las causas de un evento. El gerente de
seguridad de la información debe comprender que los objetivos del análisis forense y la gestión de
incidentes suelen estar en conflicto.
Según el sector industrial y la jurisdicción legal, ciertos tipos de eventos pueden requerir Requisitos de informes 4.4 Descripción general de la gestión de incidentes
informes a las agencias y autoridades reguladoras. El gerente de seguridad de la legales y reglamentarios 4.5.2 Resultados de la gestión de incidentes
información debe comprender los requisitos legales para informar a las autoridades externas, 4.5.4 Conceptos
así como los tipos de eventos que requieren informar a la gerencia interna y otras partes 4.6.1 Responsabilidades
interesadas. Los requisitos de presentación de informes deben estar debidamente 4.8.3 Alineación estratégica
documentados en las políticas, normas y procedimientos correspondientes. La documentación
debe detallar:
• Los tipos de eventos que deben ser reportados
• A quién (y de qué manera) deben ser informados
• Qué información se debe transmitir
• El marco de tiempo requerido para la
presentación de informes • Otras acciones asociadas que se deben tomar junto con la
presentación de informes
En la mayoría de las organizaciones, los informes requeridos por las autoridades no son
presentados directamente por el gerente de seguridad de la información, sino por el departamento
legal de la organización, que tiene la responsabilidad de garantizar el formato y el contenido
adecuados.
KS4.11 Conocimiento de las prácticas de revisión posteriores al incidente y métodos de investigación para identificar las causas
fundamentales y determinar las acciones correctivas
Los incidentes deben revisarse de manera sistemática y estandarizada para facilitar la Evaluaciones, 4.16 Actividades e investigación posteriores
comprensión de las causas raíz, las vulnerabilidades subyacentes y, posiblemente, las análisis e informes post al incidente
partes responsables del incidente. El enfoque específico utilizado por el gerente de mortem
seguridad de la información puede variar significativamente y depende de la organización,
Gestión de problemas y 4.4 Descripción general de la gestión de incidentes
las capacidades y otros factores. El objetivo principal del análisis post mórtem es documentar
análisis de causa raíz 4.5.2 Resultados de la gestión de incidentes
las "lecciones aprendidas" para evitar eventos similares o relacionados en el futuro.
4.16.1 Identificación de causas y acciones correctivas
KS4.12 Conocimiento de técnicas para cuantificar daños, costos y otros impactos comerciales derivados de incidentes de seguridad de la
información
El gerente de seguridad de la información debe tener acceso a los recursos apropiados Evaluaciones y 4.4 Descripción general de la gestión de incidentes
para realizar análisis financieros con el fin de determinar los impactos asociados con los análisis de impacto 4.5.4 Conceptos
incidentes de seguridad de la información. Los impactos financieros incluirán no solo los costos financiero 4.12.2 Evaluación del impacto comercial
directos de un incidente, sino que deben incluir todos los costos relacionados y consecuentes.
Técnicas para 4.12.2 Evaluación del impacto comercial
Estos pueden incluir interrupciones en la productividad, los costos de las medidas de mitigación
cuantificar los impactos 4.13.10 Integración de objetivos de recuperación y
posteriores, posibles daños a la reputación y sanciones regulatorias. Este análisis es necesario
financieros análisis de impacto con respuesta a
tanto para la información financiera precisa como para proporcionar una base para las estrategias
incidentes
de mitigación de riesgos inmediatas y de largo plazo.
Responsabilidad y 4.5.3 Gestión de incidentes
exposición de terceros 4.13.16 Seguro
CR4.13 Conocimiento de tecnologías y procesos que detectan, registran y analizan eventos de seguridad de la información Explicación
La gestión de riesgos efectiva incluye capacidades para detectar rápidamente eventos que tienen Seguridad de la Información y 4.5.5 Sistemas de gestión de incidentes
implicaciones de seguridad. Responder adecuadamente requiere la capacidad de analizar con Gestión de eventos 4.13.4 Abordar las amenazas
precisión la naturaleza y el alcance de estos eventos. El análisis eficaz depende, a su vez, de
Detección de intrusos 4.5.5 Sistemas de gestión de incidentes
registros completos y precisos. Hay una variedad de tecnologías disponibles para detectar,
Sistemas (IDS, IPS, HIDS, 4.13.4 Abordar las amenazas
registrar y analizar eventos de seguridad. Estos incluyen sistemas de detección y prevención de
NIDO)
incidentes (IDS, IPS), IDS basados en host (HIDS) e IDS basados en red (NIDS), firewalls, gestión
de información de seguridad (SIM) y herramientas de gestión de eventos e información de
seguridad (SIEM). Las herramientas SIEM contemporáneas tienen la capacidad de correlacionar
información de una variedad de dispositivos y sistemas para detectar eventos de seguridad,
proporcionar capacidades de notificación y luego organizar eventos durante la remediación.
KS4.14 Conocimiento de los recursos internos y externos disponibles para investigar incidentes de seguridad de la información
Explicación Conceptos clave Referencia en el Manual de revisión del CISM de 2013
El gerente de seguridad de la información efectivo debe tener experiencia general en técnicas de Evaluaciones, 4.16 Actividades e investigación posteriores
investigación, autopsias y requisitos legales en caso de una violación de la seguridad. Una razón análisis e informes post al incidente
principal es comprender las vulnerabilidades que se explotaron para mejorar la seguridad y evitar mortem 4.16.3 Establecimiento de Procedimientos
que se repitan. En muchos casos, también existen requisitos legales para la notificación si la 4.16.4 Requisitos de Evidencia
información personal o la infraestructura crítica se ven comprometidas. Anexo 4.2 Roles y responsabilidades
pasado un tiempo considerable. En un caso reciente que involucró a TJX, 18 meses después investigación. al incidente
del evento, un consultor descubrió sin darse cuenta que se habían robado 80 gigabytes de 4.16.2 Documentación de eventos
datos de tarjetas de crédito de clientes. 4.16.3 Establecimiento de procedimientos
4.16.4 Requisitos de Evidencia
Las habilidades de investigación especializadas adecuadas pueden no estar disponibles Anexo 4.2 Roles y responsabilidades
internamente, en cuyo caso es prudente tener acuerdos con proveedores externos de estas
medicina forense 4.16.4 Requisitos de Evidencia
habilidades. Muchas consultorías pueden proporcionar esta experiencia según sea necesario.
4.16.5 Aspectos legales de las pruebas forenses
Además, puede que no sea rentable para la organización adquirir un software forense
especializado como EnCase y la capacitación asociada que se necesita solo para un uso
ocasional.
Alberto, Cecilia; Audrey J. Dorofee; Georgia Killcrece; petirrojo ruefle; Mark PREGUNTAS
Zajicek; Definición de procesos de gestión de incidentes para CSIRT: un trabajo en
Las preguntas del examen CISM se desarrollan con la intención de medir y probar el
progreso, Instituto de ingeniería de software, Universidad Carnegie Mellon, EE. UU.,
conocimiento práctico en la gestión de la seguridad de la información. Todas las
2004, www.sei.cmu.edu/
preguntas son de opción múltiple y están diseñadas para una mejor respuesta. Cada
publicaciones/ documentos/ 04.reports/ 04tr015.html
pregunta CISM tiene un tallo (pregunta) y cuatro opciones (opciones de respuesta). Se
le pide al candidato que elija la respuesta correcta o la mejor de las opciones. La raíz
Burtles, Jim; Principios y práctica de la continuidad del negocio: herramientas
puede tener la forma de una pregunta o una declaración incompleta. En algunos casos,
y técnicas, Rothstein Associates Inc., EE. UU., 2007
también se puede incluir un escenario o un problema de descripción. Estas preguntas
normalmente incluyen una descripción de una situación y requieren que el candidato
Universidad Carnegie Mellon, Instituto de Ingeniería de Software, Centro de
responda dos o más preguntas basadas en la información proporcionada. Muchas
Coordinación CERT®; Creación de un equipo de respuesta a incidentes de
veces, una pregunta del examen CISM requerirá que el candidato elija la respuesta más
seguridad informática: un proceso para comenzar, febrero de 2006, www.cert.org/ csirts/
probable o mejor.
Creating-A-CSIRT.html
Grance, Tim.; Karen Scarfone; Kelly Masone; Guía de manejo de incidentes de seguridad
4-1 El objetivo PRINCIPAL de una revisión posterior al incidente es:
informática: recomendaciones del Instituto Nacional de Estándares y Tecnología,
Publicación NIST 800-61 rev. 2 de febrero de 2012, www.csrc.nist.gov/ publications/
A. reunir pruebas para acciones legales posteriores.
nistpubs/
B. identificar a las personas que no tomaron las medidas adecuadas.
800-61-rev2/ sp800-61rev2.pdf
C. preparar un informe sobre el incidente para la gerencia.
D. derivar formas de mejorar el proceso de respuesta.
Hiles, Andrés; El Manual Definitivo de Gestión de la Continuidad del
Negocio, 2ª Edición; John Wiley & Sons Inc., EE. UU., 2008
4-2 ¿Cuál de las siguientes es la cualidad MÁS apropiada que debe poseer un
manejador de incidentes?
4-4 ¿Cuál de los siguientes es MÁS importante al decidir si construir una instalación
alternativa o suscribirse a un sitio caliente operado por un tercero?
4-5 ¿Cuál de los siguientes documentos debe estar contenido en un RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACIÓN
manual del equipo de respuesta a incidentes informáticos (CIRT)?
4-1 D El objetivo de una revisión posterior al incidente es derivar formas en las que se
A. Evaluación de riesgos
puede mejorar el proceso de respuesta a incidentes.
B. Criterios de gravedad
No debe centrarse en encontrar y castigar a aquellas personas
C. Directorio telefónico de empleados
que no tomaron las medidas adecuadas o no conocieron la identidad
D. Tabla de todos los archivos de copia de seguridad
del atacante. La evidencia ya debería haberse reunido antes en el
proceso. Aunque la revisión posterior al incidente se puede utilizar
4-6 ¿Cuál de los siguientes tipos de cobertura de seguro protegería a una
para preparar un informe/presentación a la gerencia, no es el objetivo
organización contra el comportamiento deshonesto o fraudulento de sus
principal.
propios empleados?
A. Fidelidad
4-2 D Los manejadores de incidentes trabajan en entornos de alto estrés cuando se
B. Interrupción del negocio
enfrentan a incidentes. Es probable que se tomen decisiones
C. Documentos y registros valiosos
incorrectas si la persona no puede hacer frente al estrés; por lo
D. Continuidad del negocio
tanto, la principal cualidad de los enumerados es hacer frente al
estrés.
4-7 ¿Cuál de las siguientes prácticas garantizaría MEJOR la idoneidad de un plan
de recuperación ante desastres?
4-3 La clasificación se lleva a cabo principalmente porque los recursos
para el manejo de incidentes son limitados. Con la
A. Revisiones periódicas de la información del plan de
categorización, priorización y asignación de incidentes en
recuperación B. Repaso de los planes de recuperación ante desastres
función de su criticidad, los recursos se pueden asignar de manera
C. Ejercicios regulares de recuperación, utilizando personal experto
más eficiente. Otras opciones son parte de los procesos de manejo
D. Auditorías periódicas de las instalaciones de recuperación de desastres
de incidentes.
4-9 ¿Cuál de los siguientes es probable que sea el desafío MÁS importante al desarrollar
4-6 A Cobertura de fidelidad significa cobertura de seguro contra
un plan de gestión de incidentes?
pérdida por deshonestidad o fraude por parte de los empleados.
4-10 C No hay alternativa a hacer una copia bit a bit, si uno quiere evidencia
forense que sea “hermética”. Solo una copia de bits dará como
resultado la captura de todos los datos en un disco duro. Al
copiar todos los archivos y carpetas, por el contrario, se
perderán ciertos datos, como los datos entre el final de un
archivo y el final del sector del disco ("espacio de holgura").
Para tratar con eficacia los incidentes de seguridad, es importante que el gerente de
• Incumplimiento de los controles de seguridad para prevenir incidentes
seguridad de la información tenga una buena comprensión conceptual y práctica de
• Grupos legales y regulatorios que requieren el desarrollo de un
lo que se requiere para abordar adecuadamente esas responsabilidades. Además,
capacidad de gestión de incidentes
debe haber una buena comprensión de los procesos BC y DR. Esto es para garantizar
• La creciente sofisticación y capacidades de las empresas con fines de lucro
atacantes que la gestión de incidentes y los planes y actividades de respuesta se integren bien con el
BCP y el DRP generales en caso de que un incidente se convierta en un desastre.
documentar información que potencialmente incluye datos forenses que Un sistema eficaz de gestión de incidentes debería:
pueden usarse para buscar opciones legales. Los incidentes deben • Consolide y correlacione las entradas de múltiples sistemas
clasificarse para garantizar que se prioricen correctamente y se enruten a los • Identificar incidentes o incidentes potenciales •
recursos correctos. La gestión de incidentes incluye procesos de soporte inicial Priorizar incidentes en función del impacto en el negocio
que permiten que los nuevos incidentes se cotejen con errores y problemas • Haga un seguimiento de los incidentes hasta que se cierren
conocidos para que cualquier solución alternativa previamente identificada pueda • Proporcionar seguimiento de estado y notificaciones
identificarse rápidamente. • Integrarse con los principales sistemas de gestión de TI
• Implementar guías de buenas prácticas
En resumen, la gestión de incidentes proporciona una estructura mediante
la cual los incidentes pueden investigarse, diagnosticarse, resolverse y luego Hay eficiencias potenciales y ahorros de costos que se pueden realizar
cerrarse. El proceso garantiza que los incidentes sean propiedad, rastreados y utilizando sistemas automatizados de gestión de incidentes. Algunas
monitoreados a lo largo de su ciclo de vida. Puede haber ocasiones en las que consideraciones para el gerente de seguridad de la información pueden incluir:
ocurran incidentes importantes que requieran una respuesta más allá de la • Costos operativos: en ausencia de un sistema de gestión de incidentes
proporcionada por el proceso normal de incidentes y pueden requerir la activación automatizado y centralizado, es posible que se requiera que el personal de
de las capacidades de BCP/DR. seguridad de la información monitoree diferentes dispositivos de seguridad,
correlacione eventos y procese la información manualmente. Con este enfoque,
La gestión de incidentes a menudo incluye otras funciones, como la gestión existen costos adicionales para capacitar y mantener al personal a largo plazo.
de vulnerabilidades y la capacitación en concientización sobre seguridad. También hay una mayor probabilidad de error humano.
Puede incluir actividades proactivas destinadas a ayudar a prevenir • Costos de recuperación: un sistema automatizado, cuando se configura
incidentes. correctamente, puede detectar y escalar incidentes significativamente más rápido
• La respuesta a incidentes es el último paso en un proceso de manejo de que cuando se usa un proceso manual. La cantidad de daño puede controlarse y
incidentes que abarca la planificación, coordinación y ejecución de cualquier prevenirse más daños cuando las acciones de recuperación se inician más
estrategia y acción apropiada de mitigación y recuperación. temprano que tarde. En el caso de un sistema de gestión manual, un proceso de
análisis más largo puede contribuir a un mayor daño antes de que se contengan
El gerente de seguridad de la información también debe ser consciente de la los incidentes.
posibilidad de incidentes no técnicos que deben planificarse y abordarse. Estos
incidentes pueden incluir ingeniería social, cintas de respaldo o computadoras
portátiles perdidas o robadas, robo físico de materiales confidenciales, desastres
naturales, etc.
4.6 ORGANIZACIÓN DE GESTIÓN DE INCIDENTES
la ubicación o el área es susceptible. La mayoría de los países y gobiernos cuentan con 4.6.2 COMPROMISO DE LA ALTA DIRECCIÓN
agencias de defensa civil y/o de manejo de emergencias que tienen la tarea de asesorar
Como ocurre con otros aspectos de la seguridad de la información, el compromiso de
y ayudar a la población a enfrentar una amplia gama de amenazas naturales y de origen
la alta dirección es fundamental para el éxito de la gestión y respuesta a incidentes. Es
humano.
un componente de la gestión de riesgos y la misma lógica y justificación servirá.
4.6.1 RESPONSABILIDADES
4.7 RECURSOS DE GESTIÓN DE INCIDENCIAS
Por lo general, hay una serie de responsabilidades de gestión de incidentes
que el gerente de seguridad de la información debe asumir. Estos generalmente
Hay una serie de recursos disponibles en la organización típica que deben identificarse y
incluirán:
utilizarse en el desarrollo de un plan de respuesta y gestión de incidentes. Al igual que con
• Desarrollar planes de respuesta y gestión de incidentes de seguridad de la
otros aspectos de la seguridad de la información, es esencial desarrollar un alcance y
información
objetivos claros, así como una estrategia de implementación. La estrategia debe considerar
• Manejar y coordinar las actividades de respuesta a incidentes de seguridad de
los elementos necesarios para pasar del estado actual de gestión de incidentes al estado
la información de manera eficaz y eficiente. deseado. Esto aclarará qué recursos se requieren y cómo deben desplegarse.
• Validación, verificación y reporte de protección o
soluciones de contramedidas, tanto técnicas como administrativas
• Planificación, elaboración de presupuestos y desarrollo de programas para todos los asuntos
El enfoque de la respuesta a incidentes puede variar según la situación, pero los El plan de respuesta a incidentes debe estar respaldado por políticas, estándares
objetivos son constantes e incluyen: y procedimientos bien definidos. Un conjunto documentado de políticas, estándares y
• Contención de los efectos del incidente para que los daños y las pérdidas no se salgan procedimientos es importante para:
de control • Garantizar que las actividades de gestión de incidentes estén alineadas con la misión
de IMT
• Notificar a las personas apropiadas con el fin de recuperar o proporcionar la información
necesaria • Establecer expectativas correctas
• Recuperarse rápida y eficientemente de incidentes de seguridad • Minimizar el • Proporcionar orientación para las necesidades operativas
impacto del incidente de seguridad • Responder sistemáticamente y disminuir la • Mantener la consistencia y confiabilidad de los servicios
• Equilibrar los procesos operativos y de seguridad • Establecer requisitos para suplentes identificados para todas las funciones
importantes
• Tratar asuntos legales y relacionados con la aplicación de la ley
El gerente de seguridad de la información también necesita definir qué constituye La falta de políticas adecuadas y estándares de apoyo puede obstaculizar las capacidades
un incidente relacionado con la seguridad. Por lo general, los incidentes de de gestión de incidentes.
seguridad incluyen:
• Ataques de código malicioso 4.7.2 CONCEPTOS de tecnología de RESPUESTA A INCIDENTES
• Acceso no autorizado a TI o recursos de información
Los siguientes conceptos y tecnologías de seguridad deben ser familiares para
• Utilización no autorizada de servicios los IRT:
• Cambios no autorizados a sistemas, dispositivos de red o información • Principios de seguridad: comprensión general de los principios básicos de seguridad,
• De
como: – Confidencialidad – Disponibilidad – Autenticación
• Mal uso
• Vigilancia y espionaje
• engaños/ingeniería social
– Integridad –
Cabe señalar que muchos incidentes que inicialmente parecen ser maliciosos Control de acceso –
resultan, en cambio, ser el resultado de un error humano. Privacidad – No repudio
Los estudios muestran que las organizaciones experimentan casi el doble de – Cumplimiento
incidentes debido a errores humanos que a violaciones de seguridad iniciadas
externamente.
El conocimiento de los principios de seguridad es importante para comprender vectores de ataque multifacéticos; cómo se propaga el código malicioso a través de
los problemas potenciales que pueden surgir si las medidas de seguridad algunos de los métodos obvios (CD, memorias USB, correo electrónico, programas,
apropiadas no se han implementado correctamente y para comprender los impactos etc.) y cómo puede propagarse a través de otros medios, como macros, extensión de
potenciales en los sistemas de la organización: correo de Internet multipropósito (MIME), archivo punto a punto compartir o virus que
afectan los sistemas operativos que se ejecutan en plataformas PC y Macintosh
• Vulnerabilidades/debilidades de seguridad: comprensión de cómo se manifiesta un
ataque específico en una tecnología de software o hardware determinada. Los tipos más • Habilidades de programación: la gama de lenguajes de programación utilizados por
comunes de vulnerabilidades y ataques asociados involucran: los sistemas operativos de la organización, conceptos y técnicas para la programación
segura y cómo se pueden introducir vulnerabilidades en el código (p. ej., a través de
– Problemas de seguridad física – malas prácticas de programación y diseño).
Defectos en el diseño del protocolo (p. ej., ataques de intermediarios, suplantación de identidad)
– Código malicioso (p. ej., virus, gusanos, caballos de Troya)
– Defectos de implementación (p. ej., desbordamiento de búfer, ventanas de tiempo/
4.7.3 PERSONAL
condiciones de carrera)
Un IMT generalmente consta de un gerente de seguridad de la información, un comité
– Debilidades de configuración – Errores
directivo/junta asesora, miembros del equipo permanentes/dedicados y miembros del
de usuario o falta de conocimiento
equipo virtuales/temporales.
• Internet: debe haber seguridad en los protocolos y servicios subyacentes
utilizados en Internet. Una buena comprensión es importante para anticipar las
El gerente de seguridad de la información suele liderar el equipo. En organizaciones más
amenazas que podrían ocurrir en el futuro. Las siguientes tecnologías que permiten
grandes, puede ser más eficaz designar a un líder/gerente de IRT independiente que se
Internet deben abordarse en el programa de respuesta a incidentes:
centre en responder a los incidentes. Por encima del gerente de seguridad de la
información, hay un conjunto de ejecutivos de alta gerencia en un grupo, generalmente un
– Protocolos de red: protocolos de red comunes (o centrales)
grupo de dirección de seguridad (SSG), una junta asesora de seguridad o quizás un comité
como Protocolo de Internet (IP), Protocolo de control de transmisión
ejecutivo.
(TCP), Protocolo de datagramas de usuario (UDP), Control de Internet
Como sea que se llame, la función SSG es responsable de aprobar el estatuto y sirve como
Protocolo de mensajes (ICMP), Protocolo de resolución de direcciones
un punto de escalamiento para el IMT. El SSG también aprueba las desviaciones y
(ARP) y Protocolo de Resolución de Dirección Inversa (RARP); cómo se usan;
excepciones a la práctica normal.
tipos comunes de amenazas o ataques contra el protocolo; estrategias para mitigar o
eliminar tales ataques; y tecnologías de Internet
Los miembros del equipo permanentes/dedicados tienen trabajo de tiempo completo
dentro del IMT. Realizan las tareas principales en el IMT/IRT. Dado que los sistemas de
– Aplicaciones y servicios de red: como nombre de dominio
información son amplios y complejos, es ineficiente y costoso contar con todas las
(DNS), sistema de archivos de red (NFS) y shell seguro (SSH); cómo trabajan
personas que cubran todas las disciplinas en la realización de IMT/IRT. Los miembros
ellos; uso común; configuraciones seguras; y tipos comunes de amenazas o ataques
del equipo virtual/temporal se reclutan para llenar el vacío de experiencia que no está
contra la aplicación o servicio y estrategias de mitigación
presente en los miembros del equipo dedicados.
especialistas Los miembros del equipo virtual normalmente consisten en • Tamaño de la circunscripción y base tecnológica •
representantes comerciales (gerentes intermedios), personal legal, personal de Carga anticipada de incidentes • Gravedad o
comunicaciones (relaciones públicas), personal de recursos humanos (HR), otros complejidad de los informes de incidentes • Financiamiento
grupos de seguridad (seguridad física), gestión de riesgos y especialistas en TI.
La composición del personal de respuesta a incidentes varía de un equipo a otro
y depende de varios factores, tales como: • Misión y objetivos del programa de 4.7.4 FUNCIONES Y RESPONSABILIDADES
respuesta a incidentes • Naturaleza y variedad de servicios ofrecidos • Experiencia
El Anexo 4.2 proporciona las funciones y responsabilidades comunes del
del personal disponible
personal del IRT. Tenga en cuenta que cada puesto debe tener un suplente en caso
de que la persona designada esté incapacitada o no esté disponible.
1. Miembros del SSG Estructura superior de las 1. Asumir la responsabilidad de la gestión general de incidentes y el concepto de respuesta.
funciones de una organización 2. Aprobar la carta IMT
relacionadas con la seguridad de la información
3. Aprobar excepciones/desviaciones
4. Tomar decisiones finales
2. Gerente de seguridad de la información Líder IMT e interfaz principal para SSG 1. Desarrolla y mantiene la gestión de incidentes y la capacidad de respuesta.
2. Gestiona eficazmente los riesgos y los incidentes
3. Realiza medidas proactivas y reactivas para controlar el nivel de riesgo de la información
3. Gerente de respuesta a incidentes líder de IRT 1. Supervisa las tareas de respuesta a incidentes
2. Coordina los recursos para realizar con eficacia las tareas de respuesta a incidentes
3. Asume la responsabilidad de la ejecución exitosa del plan de respuesta a incidentes
4. Presenta el informe de respuesta a incidentes y las lecciones aprendidas a los miembros del SSG
4. Manejador de incidentes Miembro del equipo IMT/IRT 1. Realiza tareas de respuesta a incidentes para contener las exposiciones de un incidente
2. Documenta los pasos tomados al ejecutar el plan de respuesta a incidentes
3. Mantiene la cadena de custodia y observa los procedimientos de manejo de incidentes para fines
judiciales
4. Redacta el informe de respuesta a incidentes y las lecciones aprendidas
5. Investigador Miembro del equipo IMT/IRT 1. Realiza tareas de investigación de un incidente específico
2. Encuentra la causa raíz de un incidente
6. especialista en seguridad informatica miembro del equipo IMT/IRT; experto en 1. Realiza tareas complejas y detalladas relacionadas con la seguridad de TI como parte del incidente
la materia de seguridad informática plan de respuesta
2. Realiza una evaluación/auditoría de seguridad de TI como medida proactiva y parte de
gestión de vulnerabilidades
7. Gerentes de negocios Propietarios de funciones 1. Tomar decisiones sobre asuntos relacionados con los activos/sistemas de información cuando ocurre
comerciales; activos/sistema de información un incidente, con base en las recomendaciones de IMT/IRT
dueños 2. Proporcionar una comprensión clara del impacto comercial en el proceso BIA o en el incidente
plan de respuesta
9. Representante legal Experto en la materia en derecho 1. Brinda asistencia en la gestión/respuesta de incidentes cuando existe una necesidad debido a una
demanda legal a la parte infractora
10. RRHH Experto en la materia en RRHH 1. Brinda asistencia en la gestión/respuesta de incidentes cuando es necesario
área para investigar a un empleado sospechoso de causar un incidente
2. Integra la política de recursos humanos para respaldar la gestión/respuesta de incidentes (sanciones
a los empleados que violen el uso aceptable de la política o estén involucrados en un incidente)
11. Representante de relaciones públicas Experto en la materia en RRHH 1. Proporciona comunicación controlada a las partes interesadas internas y externas para minimizar
área cualquier impacto adverso en las actividades de respuesta a incidentes en curso y para proteger la
marca y la reputación de una organización.
2. Brinda asistencia al IMT/IRT en problemas de comunicación, lo que libera al equipo para trabajar en
problemas críticos para resolver un incidente.
12. Especialista en gestión de riesgos Experto en la materia en gestión de 1. Trabaja en estrecha colaboración con los gerentes comerciales y la alta gerencia para determinar y
riesgos administrar el riesgo
2. Proporciona información (p. ej., BIA, estrategia de gestión de riesgos) para la gestión de incidentes
13. Gerente de seguridad física/instalaciones Conocedor de la planta física 1. Responsable de planta física e instalaciones
y las capacidades de emergencia 2. Garantiza la seguridad física durante los incidentes
4.7.5 HABILIDADES uno o más miembros del equipo para actuar en un papel de liderazgo para apoyar a los
grupos más pequeños o equipos técnicos.
Para construir un equipo de respuesta a incidentes con manejadores de
– Integridad—Los miembros del equipo a menudo manejan información
incidentes capaces, las organizaciones necesitan personas con ciertos conjuntos de
que es sensible y, ocasionalmente, pueden tener acceso a información de interés
habilidades y experiencia técnica, con habilidades que les permitan responder a incidentes,
periodístico. Los miembros deben ser dignos de confianza, discretos y capaces de
realizar tareas de análisis y comunicarse de manera efectiva con el electorado y los
manejar la información de forma confidencial.
contactos externos. También deben ser competentes para resolver problemas, deben
– Autocomprensión: los miembros del equipo deben ser capaces de reconocer sus
adaptarse fácilmente al cambio y deben ser efectivos en sus actividades diarias.
limitaciones y buscar activamente el apoyo de los miembros de su equipo, otros expertos
o la gerencia.
– Cómo afrontar el estrés: es probable que el equipo de respuesta a incidentes se
El conjunto de habilidades básicas que necesitan los miembros del equipo de respuesta a
enfrente a situaciones estresantes. Deben ser capaces de reconocer cuándo se
incidentes se puede dividir en dos grandes grupos: • Habilidades personales : partes
están estresando, estar dispuestos a hacer que sus compañeros de equipo sean
principales de la actividad diaria del manejador de incidentes, que incluyen:
conscientes de la situación y tomar las medidas necesarias para controlar y mantener
la compostura.
– Comunicación: la capacidad de comunicarse de manera efectiva es un componente
– Resolución de problemas: sin buenas habilidades de resolución de problemas, los
crítico de las habilidades que necesitan los equipos de respuesta a incidentes. Deben
miembros del equipo podrían verse abrumados por los volúmenes de datos relacionados
ser comunicadores efectivos para asegurarse de obtener y proporcionar la información
con incidentes y otras tareas que deben gestionarse.
necesaria para ser útiles. Deben ser buenos oyentes, comprender lo que se dice (o no
Las habilidades para resolver problemas también incluyen la capacidad de "pensar
decir), para que puedan obtener detalles sobre un incidente que se está informando.
fuera de la caja" o mirar los problemas desde múltiples perspectivas para identificar
También mantienen el control de estas comunicaciones para determinar de manera
información o datos relevantes. Esto incluye saber a quién más contactar o acercarse
más efectiva qué está sucediendo, qué hechos son importantes y qué asistencia es
para obtener información adicional, ideas creativas o conocimientos técnicos adicionales.
necesaria. Necesitan comunicarse con:
– Gestión del tiempo: los miembros del equipo pueden enfrentarse a una multitud de tareas
• Miembros del equipo que van desde analizar, coordinar y responder a incidentes, hasta realizar tareas como
• Personal de TI • priorizar su carga de trabajo, asistir y/o prepararse para reuniones, completar hojas de
tiempo, recopilar estadísticas, realizar investigaciones. , dando sesiones informativas y
Propietarios de aplicaciones
presentaciones, viajando a conferencias, brindando soporte técnico en el sitio y
• Usuarios de los sistemas •
priorizando tareas. Los miembros del equipo deben poder equilibrar los esfuerzos entre
Expertos técnicos • Gerencia
completar las tareas y reconocer cuándo buscar ayuda u orientación.
y otro personal administrativo • Recursos humanos •
Cumplimiento de la ley • Personal de medios/relaciones
públicas • Proveedores
las auditorías se ejercen como parte de los requisitos obligatorios, las auditorías 4.8.3 ALINEACIÓN ESTRATÉGICA
externas también se imponen a menudo como parte de la colaboración empresarial.
Al igual que muchas otras funciones de soporte, la gestión de incidentes debe
estar alineada con el plan estratégico de una organización. Los siguientes
Ambos tipos de auditorías pueden ser útiles para revisar la gestión de
componentes pueden ayudar a lograr esta alineación:
incidentes y los planes y capacidades de respuesta. Las auditorías periódicas de
• Circunscripción—¿A quién proporciona servicios el IMT? Es importante saber
los procesos y procedimientos especificados en los planes pueden validar que la
quiénes son los stakeholders para esta función e identificar sus expectativas y
seguridad no se verá comprometida en caso de un incidente y que el cumplimiento
sus necesidades de información.
de la política y los requisitos legales se abordan adecuadamente. Las auditorías
Por ejemplo, la alta dirección de las instituciones financieras puede estar sujeta
también pueden proporcionar una visión objetiva de la integridad y funcionalidad
a BASILEA II u otra normativa. Por lo tanto, la gestión de incidentes es una
general de los planes de respuesta y gestión de incidentes y garantizar que no existen
función importante y se espera que el IMT cumpla con ciertos requisitos de
brechas importantes en los procesos.
rendimiento y presentación de informes.
• Misión: la misión define el propósito del equipo y los objetivos y metas principales
4.7.8 PROVEEDORES DE SEGURIDAD SUBCONTRATADOS que proporciona IMT.
La subcontratación de la capacidad de gestión de incidentes puede ser
una opción rentable para una organización. Por ejemplo, las A continuación se muestra un ejemplo de una posible declaración de misión
organizaciones que han subcontratado sus operaciones de tecnología de la de IMT: “La misión del equipo de gestión de incidentes es desarrollar, mantener
información pueden beneficiarse de una estrecha integración si la gestión de y brindar servicios y capacidades de gestión de incidentes para salvaguardar
incidentes se subcontrata al mismo proveedor. Las organizaciones aún requerirían los activos de información de la organización contra incidentes informáticos.
un plan de respuesta a incidentes supervisado por un equipo de respuesta a Nos esforzamos por brindar garantías a nuestros grupos de interés de que los
incidentes, incluso si los componentes de la gestión de incidentes se subcontratan. riesgos y los incidentes informáticos se tratan de manera eficiente y eficaz y que
evitaremos/
minimizar las pérdidas resultantes de tales incidentes”.
• Servicios: los servicios proporcionados por IMT deben estar claramente definidos
4.8 OBJETIVOS DE LA GESTIÓN DE INCIDENTES para gestionar las expectativas de las partes interesadas. Los servicios ofrecidos
en las organizaciones pueden diferir significativamente y normalmente tienen una
La gestión de incidentes existe para abordar los eventos inevitables que amenazan
correlación positiva con el tamaño de la organización y el grado de aceptación de
el funcionamiento de cualquier organización. Sirve como la penúltima red de
la alta dirección.
seguridad después de que los controles no lograron prevenir o contener un evento
• Estructura organizativa—La estructura del IMT
amenazante. Su propósito es responder y contener un incidente amenazante o
debe apoyar eficazmente la estructura de la organización. Para las
restaurar rápidamente las operaciones normales en caso de daño. De lo contrario,
empresas multinacionales, una estructura basada en la geografía puede ser la
se declarará un desastre y las operaciones de recuperación se trasladarán a un
mejor. Para organizaciones con múltiples subsidiarias, se puede desarrollar un
sitio alternativo para restaurar las operaciones de acuerdo con un BCP/DR.
IMT para cada subsidiaria principal. La mejor estructura proporcionaría a las
empresas la máxima disponibilidad de servicios IMT sobre la base más rentable.
4.8.1 DEFINICIÓN DE OBJETIVOS • Recursos—Se necesita suficiente personal para ser efectivo.
Los objetivos de la gestión de incidentes son: Debido a que la gestión de incidentes cubre una amplia gama de servicios, la
• Maneje los incidentes cuando ocurran para que la exposición pueda ser mayoría de las veces no es posible tener todos los recursos disponibles dentro
contenida o erradicada para permitir la recuperación dentro de un AIW. de un IMT. Una forma de resolver este problema es establecer miembros del
• Evite que incidentes anteriores se repitan documentando y aprendiendo de equipo virtual y/o complementar el equipo con recursos externos.
incidentes pasados.
• Implementar contramedidas proactivas para prevenir/minimizar la probabilidad • Financiamiento—El IMT por lo general consiste en personal altamente especializado
de que ocurran incidentes. miembros En el curso de la prestación de servicios, el equipo que utilizan
también puede ser especializado, lo que requiere mayores gastos de capital. En
vista de esto, se requiere financiación suficiente para garantizar la continuidad
4.8.2 EL ESTADO DESEADO
de los servicios de respuesta a incidentes críticos.
Dado que la gestión y respuesta a incidentes sirve como cuerpo de
• Aceptación de la gerencia : la aceptación de la alta gerencia es esencial para
bomberos, servicio de ambulancia y sala de emergencias para los activos
establecer y respaldar la función de gestión de incidentes. La falta de aceptación
de información de la organización, debe abordar con eficacia una amplia gama
normalmente da como resultado un rendimiento IMT subóptimo, ya que puede
de posibles eventos inesperados, tanto electrónicos como físicos. Necesitará
haber una limitación significativa en los presupuestos o la disponibilidad de
tener capacidades de monitoreo bien desarrolladas para controles clave, ya
personal adecuado.
sean de procedimiento o técnicos, para proporcionar una detección temprana
de problemas potenciales. Contará con personal capacitado en evaluación de
la situación, capaz de realizar triajes, gestionar respuestas efectivas que maximicen 4.8.4 GESTIÓN DE RIESGOS
la continuidad operativa y minimicen los impactos. Los administradores de incidentes Los resultados exitosos de la gestión de riesgos incluyen una gestión eficaz
habrán tomado medidas para capturar toda la información relevante y aplicar las de incidentes y capacidades de respuesta. Cualquier riesgo que se materialice
lecciones aprendidas previamente. Sabrán cuándo un desastre es inminente y y no sea prevenido por los controles constituirá un incidente que debe ser
tendrán criterios, experiencia, conocimiento y autoridad bien definidos para invocar gestionado y respondido con la intención de que no se convierta en un desastre.
los procesos de recuperación de desastres necesarios para mantener o recuperar
el estado operativo.
4.8.5 INTEGRACIÓN DEL PROCESO DE ASEGURAMIENTO Los criterios que se utilizan como parte de las métricas de gestión de incidentes
pueden incluir:
El tipo y la naturaleza de los incidentes con los que el gerente de seguridad de la
• Número total de incidentes informados
información puede lidiar a menudo requerirán la participación de otras funciones de
• Número total de incidentes detectados
aseguramiento de la organización. Esto puede incluir seguridad física, legal, recursos
• Tiempo medio de respuesta a un incidente relativo al AIW
humanos y, tal vez, otros. Como consecuencia, es importante garantizar que los
• Tiempo medio para resolver un incidente
planes de recuperación y gestión de incidentes incorporen e integren activamente esas
• Número total de incidentes resueltos con éxito
funciones cuando sea necesario. Un resultado efectivo es un conjunto de planes que
• Medidas proactivas y preventivas adoptadas
define qué departamentos están involucrados en diversas actividades de respuesta y
• Número total de empleados que reciben capacitación en concientización sobre seguridad
gestión de incidentes, y que esos vínculos se han probado en condiciones realistas.
• Daño total de incidentes informados y detectados si no se realizó la respuesta al
incidente
• Ahorro total de daños potenciales por incidentes resueltos
• Mano de obra total respondiendo a incidentes
4.8.6 ENTREGA DE VALOR • Tiempos de detección y notificación
Las capacidades de gestión de incidentes deben estar estrechamente integradas con las
funciones comerciales y proporcionar la última línea de defensa de la gestión de riesgos
4.9.1 MEDICIÓN DEL RENDIMIENTO
rentable. La gestión de incidentes no debe considerarse solo una tecnología para prevenir
Las medidas de desempeño para la gestión y respuesta de incidentes se enfocarán
o responder a incidentes, sino un conjunto de procesos que, como componente de la
en lograr los objetivos definidos y optimizar la efectividad. Los indicadores clave de
gestión de riesgos, puede proporcionar el equilibrio óptimo entre prevención, contención
objetivos (KGI) y los KPI para la actividad deben ser definidos y acordados por las
y restauración.
partes interesadas y ratificados por la alta dirección. La gama típica de KGI abarca el
manejo exitoso de incidentes, ya sea mediante pruebas en vivo o en condiciones reales.
Las medidas clave de rendimiento se pueden identificar al cumplir los objetivos de tiempo
Para entregar valor, la gestión de incidentes debe:
de recuperación o al manejar con éxito los incidentes que amenazan las operaciones
• Integre con los procesos y estructuras comerciales de la manera más fluida
comerciales.
como sea posible
– Establecer criterios de tratamiento de incidencias. Technology (NIST), en su Guía de manejo de incidentes de seguridad
– Implementar recursos definidos. informática (SP 800-61), utiliza:
– Evaluar la capacidad de gestión de incidentes. . De
comerciales críticas. Los subprocesos en este proceso incluyen: . Miembros de IMT que han manejado incidentes similares
Los subprocesos en este proceso incluyen: La mayoría de las organizaciones tienen algún tipo de capacidad de respuesta a incidentes,
– Categorización: utilizando criterios predeterminados, clasifique todos ya sea ad hoc o formal. El gerente de seguridad de la información debe identificar lo que ya
informes/eventos entrantes. Hay muchas formas de categorizar, por ejemplo, el existe como base para comprender el
Instituto Nacional de Ciencias y Ciencias de EE.
estado actual. Hay muchas maneras de hacer esto; varios métodos que se pueden 4.12 DESARROLLO DE UN INCIDENTE
utilizar son:
mecanismo para ayudar a determinar el desempeño anterior y la percepción del equipo incidentes. El plan detalla las acciones, el personal y las actividades que se llevan a cabo
de gestión de incidentes y sus capacidades de proceso. . en caso de que eventos adversos resulten en la pérdida de sistemas o procesos de
información.
partes interesadas. La desventaja de este método es que incluye una visión limitada de Universidad de California “Responding to Computer Security Incidents: Guidelines for
la capacidad actual y puede no estar en consonancia con la capacidad percibida de las Incident Handling”
• Evaluación o auditoría externa : esta es la opción más completa y combina entrevistas, respuesta a incidentes que incluye preparación, identificación, contención, erradicación,
encuestas, simulación y otras técnicas de evaluación en la evaluación. Esta opción restauración y seguimiento:
normalmente se usa para una organización que ya tiene una capacidad adecuada de • Preparación: esta fase prepara a una organización para desarrollar un plan de
gestión de incidentes, pero la está mejorando o rediseñando los procesos. respuesta a incidentes antes de que ocurra un incidente. Una preparación suficiente
facilita una ejecución fluida. Las actividades en esta fase incluyen:
– Establecer un enfoque para manejar incidentes
– Establecimiento de banners de política y advertencia en la información
sistemas para disuadir a los intrusos y permitir la recopilación de información
4.11.1 HISTORIAL DE INCIDENCIAS
– Establecimiento de un plan de comunicación a las partes interesadas
Los incidentes pasados (tanto internos como externos) pueden proporcionar información
– Desarrollar criterios sobre cuándo reportar un incidente a las autoridades
valiosa sobre tendencias, tipos de eventos e impactos comerciales. Esta información se
– Desarrollar un proceso para activar el equipo de gestión de incidentes
utiliza como entrada para la evaluación de los tipos de incidentes que se deben planificar y
– Establecer una ubicación segura para ejecutar el plan de respuesta a
considerar.
incidentes
– Asegurarse de que el equipo necesario esté disponible
4.11.2 AMENAZAS • Identificación: esta fase tiene como objetivo verificar si ha ocurrido un incidente y
Las amenazas son cualquier evento que pueda causar daño a los activos, operaciones obtener más detalles sobre el incidente. Los informes sobre posibles incidentes pueden
o personal de una organización. Hay una serie de amenazas que deben ser consideradas, provenir de sistemas de información, usuarios finales u otras organizaciones. No todos
incluyendo: los informes son incidentes válidos, ya que pueden ser falsas alarmas o no calificar
• Ambiental: las amenazas ambientales cubren los desastres naturales. como incidente.
Si bien los desastres naturales varían entre ubicaciones, algunos desastres naturales Las actividades en esta fase incluyen:
pueden ocurrir entre períodos prolongados de tiempo y otros pueden ocurrir – Asignar la propiedad de un incidente o posible incidente a un
anualmente. Es difícil protegerse contra ciertos desastres naturales ya que su manejador de incidentes
naturaleza destructiva es alta. – Verificar que los informes o eventos califiquen como un incidente
• Técnicas: las amenazas técnicas incluyen incendios, fallas eléctricas, fallas de – Establecimiento de cadena de custodia durante la identificación al manipular
calefacción, ventilación y aire acondicionado (HVAC), problemas de software y evidencia potencial
sistemas de información, fallas de telecomunicaciones y fugas de gas/agua. Las – Determinar la gravedad de un incidente y escalarlo según sea necesario
amenazas técnicas normalmente se encuentran en todas las organizaciones y
son bastante comunes. Con suficiente planificación, las amenazas técnicas pueden • Contención: después de identificar y confirmar un incidente, se activa el IMT y
gestionarse adecuadamente. se comparte la información del administrador del incidente. El equipo llevará a
• Hecho por el hombre: las amenazas que surgen de las acciones hechas por el cabo una evaluación detallada y se comunicará con el propietario del sistema o el
hombre pueden incluir daños por parte de empleados descontentos, sabotaje/ gerente comercial de los sistemas/activos de información afectados para coordinar
espionaje corporativo e inestabilidad política que interrumpe las funciones acciones adicionales. La acción tomada en esta fase es limitar la exposición.
comerciales. Tales amenazas normalmente son fáciles de identificar desde la
ubicación/contexto y protegerse con una planificación adecuada. Las actividades en esta fase incluyen:
– Activar el equipo de gestión/respuesta de incidentes para contener
el incidente
4.11.3 VULNERABILIDADES – Notificar a las partes interesadas apropiadas afectadas por el incidente
Una debilidad en un sistema, tecnología, proceso, personas o control que puede – Obtener acuerdo sobre las acciones realizadas que puedan afectar
explotarse y resultar en exposición es una vulnerabilidad. Una vulnerabilidad que puede disponibilidad de un servicio o riesgos del proceso de contención
ser aprovechada por amenazas da como resultado un riesgo. Un aspecto de la gestión – Conseguir el representante de TI y el equipo virtual relevante
de riesgos es gestionar las vulnerabilidades para mantener el riesgo dentro de límites miembros involucrados para implementar procedimientos de contención
aceptables según lo determine la tolerancia al riesgo de la organización. La gestión de – Obtención y conservación de pruebas
vulnerabilidades es parte de la capacidad de gestión de incidentes; es la identificación – Documentar y realizar copias de seguridad de las acciones a partir de esta
Para realizar esta fase con éxito, es esencial comprender la estructura y la cultura de la
– Determinación de los signos y causa de los incidentes
organización, los procesos comerciales clave, el riesgo aceptable y la tolerancia al riesgo, y
– Localización de la versión más reciente de las copias de seguridad o alternativa
los recursos físicos y de TI críticos. Un BIA exitoso requiere la participación de los propietarios
soluciones
de procesos comerciales, la alta gerencia, TI, seguridad física y usuarios finales.
– Eliminación de la causa raíz. En caso de gusano o virus
infección, se puede eliminar implementando parches apropiados y software antivirus
actualizado.
– Mejorar las defensas implementando técnicas de protección
Los BIA tienen tres objetivos principales:
– Realización de análisis de vulnerabilidades para encontrar nuevas vulnerabilidades
• Priorización de la criticidad: cada proceso crítico de la unidad de negocio
introducidas por la causa raíz
deben ser identificados y priorizados. El impacto de un incidente debe evaluarse: cuanto
• Recuperación: esta fase garantiza que los sistemas o servicios afectados se restablezcan mayor sea el impacto, mayor será la prioridad.
a una condición especificada en el RPO. La restricción de tiempo hasta esta fase está • Estimación del tiempo de inactividad: la evaluación también se usa para estimar el
documentada en el RTO. Las actividades en esta fase incluyen: tiempo de inactividad máximo tolerable (MTD) o la interrupción máxima tolerable (MTO)
que la empresa puede tolerar y seguir siendo viable. Esto también puede significar el
– Restablecimiento de las operaciones a la normalidad
período más largo de indisponibilidad de procesos/servicios/activos de información críticos
– Validar que las acciones realizadas en los sistemas restaurados fueron exitosas antes de que la empresa deje de operar.
– Conseguir la participación de los propietarios del sistema para probar el sistema
– Facilitar a los propietarios del sistema que declaren el funcionamiento normal • Requisito de recursos: los requisitos de recursos para los procesos críticos
• Lecciones aprendidas: al final del proceso de respuesta a incidentes, siempre se debe también se identifican en este momento, y los procesos más sensibles al tiempo y
desarrollar un informe para compartir lo que sucedió, las medidas que se tomaron y los de mayor impacto reciben la mayor asignación de recursos.
resultados después de que se ejecutó el plan. Parte del informe debe contener lecciones
aprendidas que brinden al IMT y otras partes interesadas valiosos puntos de aprendizaje
sobre lo que podría haberse hecho mejor. Estas lecciones deben convertirse en un plan Una evaluación incluye las siguientes actividades:
para mejorar la capacidad de gestión de incidentes y la documentación del plan de
• Recopilación de material de evaluación: el paso inicial del BIA es identificar qué
respuesta a incidentes. unidades comerciales son fundamentales para una organización.
Este paso se puede profundizar en las tareas críticas que se deben realizar para
Las actividades en esta fase incluyen: garantizar la supervivencia del negocio.
– Redacción del informe del incidente. • Análisis de la información recopilada: durante esta fase, se llevan a cabo varias
– Analizar los problemas encontrados durante los esfuerzos de respuesta a incidentes actividades, como la documentación de los procesos requeridos, la identificación
– Proponer mejoras en función de los problemas encontrados. de interdependencias y la determinación del período aceptable de interrupción. Las
– Presentar el informe a las partes interesadas relevantes tareas en esta fase incluyen:
– Identificar interdependencias entre estas funciones y departamentos.
información correspondiente.
El informe de análisis de brecha resultante se puede utilizar con fines de • Documentar el resultado y presentar recomendaciones—
planificación para determinar los pasos necesarios para resolver la brecha entre el estado El último paso de una evaluación es documentar los resultados de la evaluación
actual y el estado deseado. También puede ser útil para determinar la estrategia más efectiva de las actividades anteriores y crear un informe para las unidades de negocio y la
para lograr los objetivos y priorizar los esfuerzos. Las prioridades deben basarse en las áreas alta dirección.
de mayor impacto potencial y la mejor relación costo-beneficio.
El primer paso en el proceso de gestión de respuesta a incidentes es considerar el
impacto potencial de cada tipo de incidente que pueda ocurrir. El argumento es que
uno no puede planificar adecuadamente para un evento no deseado si hay poca idea de
los impactos probables de los diferentes escenarios posibles de incidentes en el negocio/
organización.
El análisis de incidentes potenciales y los impactos comerciales relacionados se La figura 4.3 proporciona un ejemplo de BIA.
logra mediante la realización de un BIA, una actividad sistemática diseñada para
evaluar el impacto de la interrupción, el acceso no autorizado y/o la manipulación, o
Figura 4.3—Elementos clave de la gestión de la respuesta
la pérdida total de disponibilidad del soporte de cualquier recurso de información crítico
(sistema, dispositivo de red, aplicación, personal y/o datos) a una organización. Corte Prioridad de
Duración Costo Recuperación
(horas) (EL DÓLAR AMERICANO $) Recursos de recuperación necesarios Proceso
interrupción, el acceso no autorizado y/o la manipulación, o la pérdida de disponibilidad. aplicaciones, soporte informático
La evaluación de riesgos, por otro lado, examina las fuentes de amenazas, las
4.12.3 PROCESO DE ESCALADA PARA EFECTIVO
vulnerabilidades asociadas y la probabilidad de ocurrencia, lo que proporciona
estimaciones del nivel de riesgo. ADMINISTRACION DE INCIDENTES
situación solicita la notificación de personas y organizaciones con responsabilidades Al definir los criterios apropiados y mejorar la concientización del personal de la mesa
ejecutivas. La notificación de alerta puede incluir a la alta gerencia, equipos de de ayuda, el gerente de seguridad de la información desarrolla otro método importante
respuesta y recuperación, recursos humanos, compañías de seguros, instalaciones de para detectar un incidente de seguridad.
respaldo, proveedores y clientes. La capacitación adecuada también ayuda a reducir el riesgo de que la mesa de
ayuda pueda ser atacada con éxito en un ataque de ingeniería social diseñado
El proceso debe continuar hasta que se resuelva la emergencia o se produzca para obtener acceso a cuentas, como un perpetrador que finge ser un usuario que
la última alerta. En este punto, el equipo de gestión de emergencias se reunirá ha sido bloqueado y requiere acceso inmediato al sistema. . Además de identificar
para evaluar los daños y las alternativas de mitigación, determinar si declarar un un posible incidente de seguridad, el personal de la mesa de ayuda debe conocer
desastre y/o lanzar el plan de respuesta y recuperación, y determinar la estrategia los procedimientos adecuados para informar y escalar un problema potencial.
adecuada. El gerente de seguridad de la información debe desarrollar un plan de
comunicación en consulta con las relaciones públicas, el asesor legal y la alta
gerencia adecuada para garantizar la idoneidad de cualquier divulgación de información. 4.12.5 GESTIÓN DE INCIDENCIAS Y
EQUIPOS DE RESPUESTA
Después del proceso de escalamiento, se deben ejecutar numerosas tareas, como asignadas en caso de incidente. Para implementar las estrategias que se han
notificar al personal, activar instalaciones de respaldo, contener amenazas de seguridad desarrollado para la recuperación del negocio, es necesario designar y capacitar
a los recursos de información, hacer arreglos de transporte y llevarlos a cabo, recuperar al personal clave de toma de decisiones, técnico y usuario final para liderar los
y descargar datos, pruebas, etc. El tiempo total transcurrido debe estar de acuerdo con equipos. Según el tamaño de la operación comercial, el equipo puede estar formado
el RTO establecido como se describe en el capítulo 2. por una sola persona. La participación de estos equipos depende del nivel de
interrupción del servicio y los tipos de activos perdidos, comprometidos, dañados o en
peligro. Se debe desarrollar una matriz que indique la correlación entre las funciones
El proceso de escalamiento incluye priorizar la información del evento y el proceso de de los diferentes equipos. Esto facilitará estimar la magnitud del esfuerzo y activar la
combinación adecuada de equipos. Ejemplos de los tipos de equipos que generalmente
decisión para determinar cuándo alertar a varios grupos, incluida la alta gerencia, el
público, los accionistas y las partes interesadas, el asesor legal, el personal de recursos se necesitan incluyen:
El gerente de seguridad de la información debe desarrollar estos procesos de • Equipo de acción de emergencia : guardianes de incendios designados y "equipos
escalamiento a través de consultas con relaciones públicas, asesores legales y la alta de cubo" cuya función es lidiar con incendios u otros escenarios de respuesta de
gerencia correspondiente. Este proceso también debe incluir proveedores y servicios emergencia
Muchas organizaciones definen el nivel de eventos y definen los que es una pérdida total frente a lo que es restaurable o salvable.
organizaciones que pueden verse afectadas por el evento y su necesidad específica todos los demás equipos de recuperación y manejar la toma de decisiones clave
Estos mecanismos pueden incluir el uso de correo electrónico si los sistemas de mudarse del sitio caliente a una nueva ubicación o a la ubicación original
fax, buscapersonas electrónicos, sitios web o un número de teléfono de emergencia • Equipo de seguridad : a menudo llamado incidente de seguridad informática
en el que se puede enviar un mensaje. Tenga en cuenta, sin embargo, que algunos equipo de respuesta, es responsable de monitorear la seguridad de los sistemas
tipos de comunicación, como los mensajes de correo electrónico, están por defecto en y enlaces de comunicación, contener cualquier amenaza de seguridad en curso,
texto no cifrado, lo que los hace sujetos a una posible intercepción. El gerente de resolver cualquier problema de seguridad que impida la recuperación expedita de
seguridad de la información también debe desarrollar métodos para cifrar los asistentes los sistemas y garantizar la instalación y el funcionamiento adecuados de cada
digitales personales (PDA) de correo electrónico y otras comunicaciones utilizadas paquete de software de seguridad. .
para comunicar información relacionada con crisis o eventos para garantizar que la
información se publique solo según lo prudente o de acuerdo con los planes. Se deben acordar varias decisiones clave durante las fases de planificación,
implementación y evaluación del plan de respuesta y recuperación. Éstos incluyen:
4.12.6 ORGANIZACIÓN, ENTRENAMIENTO Y EQUIPAMIENTO DEL Es posible que la respuesta de la gerencia no se brinde como se esperaba, lo que
dificulta los esfuerzos de gestión de incidentes. Esto puede suceder cuando la alta
PERSONAL DE RESPUESTA
gerencia y otras partes interesadas o constituyentes no participan en la planificación
La capacitación de los equipos de respuesta es esencial; el gerente de seguridad de la
e implementación de la gestión de incidentes.
información debe desarrollar escenarios de eventos y probar los planes de respuesta y
recuperación para garantizar que los participantes del equipo estén familiarizados con
sus tareas y responsabilidades. A través de este proceso, los equipos también identificarán
Los desafíos también pueden ser causados por la falta de reuniones periódicas
los recursos que requieren para la respuesta y la recuperación, proporcionando la base
entre el IMT y los constituyentes. Un sentido de propiedad entre los constituyentes en
para equipar a los equipos con los recursos necesarios. Un valor añadido de la formación
la gestión de incidentes ayuda a garantizar que haya suficientes recursos y apoyo
es detectar y modificar procedimientos ambiguos para lograr claridad y determinar
disponibles para el IMT.
recursos de recuperación que pueden no ser adecuados o efectivos.
• Falta de coincidencia con los objetivos y la estructura de la organización: el
negocio opera a un ritmo acelerado y puede cambiar significativamente en un corto
período de tiempo. Es posible que la gestión de incidentes no pueda hacer frente a
Los miembros de IMT deben someterse al siguiente programa de capacitación:
la velocidad o la naturaleza de los cambios que ocurren dentro de la organización.
• Inducción al IMT: la inducción debe proporcionar la
Considere una situación en la que el negocio se expande a países emergentes. La
información esencial requerida para ser un miembro efectivo del IMT. • Tutoría de
presencia en nuevos países puede crecer a un ritmo importante; sin embargo, puede
los miembros del equipo con respecto a roles, responsabilidades
ser difícil ampliar las capacidades de gestión de incidentes. Es posible que se necesite
y procedimientos: los miembros del IMT existentes pueden proporcionar
una ronda de discusiones para identificar las funciones comerciales críticas y las
conocimientos valiosos para ayudar a los nuevos miembros después de la inducción.
partes interesadas locales, y para comprender las regulaciones locales.
Para facilitar una tutoría eficaz, se puede utilizar el sistema de compañeros,
emparejando a los miembros nuevos con miembros experimentados.
La alta gerencia generalmente está ocupada con asuntos comerciales en esta
• Capacitación en el trabajo: puede servir para comprender las políticas, estándares,
etapa y es posible que no pueda invertir tiempo en la gestión de incidentes. Es
procedimientos, herramientas y aplicaciones disponibles de la empresa, código de
responsabilidad del IMT identificar cualquier problema crítico y darlo a conocer a la
conducta aceptable, etc.
gerencia ejecutiva.
• Capacitación formal: los miembros del equipo pueden requerir capacitación formal
• Rotación de miembros del IMT : el desarrollo de un plan de gestión de incidentes
para alcanzar un nivel adecuado de competencia necesario para respaldar la
puede llevar una cantidad significativa de tiempo con una interacción frecuente con
capacidad general de gestión de incidentes.
varias partes interesadas. El campeón de la gestión de incidentes, que normalmente
es un miembro de la alta dirección o el director de seguridad de la información,
4.12.7 PROCESO DE NOTIFICACIÓN DE INCIDENTES puede dejar la empresa de forma inesperada, lo que provoca que cualquier esfuerzo
Tener un proceso de notificación de incidentes de seguridad efectivo y oportuno de planificación o desarrollo se detenga. Es probable que la falta de un campeón
es un componente crítico de cualquier programa de seguridad. El gerente de reduzca el enfoque y los recursos dedicados a implementar el plan.
seguridad de la información debe comprender cómo la obtención de información
oportuna y relevante puede ayudar a la organización a responder de manera rápida y • Falta de proceso de comunicación: los procesos de comunicación ineficaces
eficiente y, en última instancia, protegerá a la organización de posibles pérdidas y daños pueden dar lugar a una comunicación insuficiente o excesiva. En el caso de falta
que puedan ocurrir como resultado de un incidente. Existen mecanismos que permiten de comunicación, es posible que las partes interesadas relevantes no reciban la
que un sistema de detección automatizado o monitor envíe correos electrónicos o información que necesitan.
mensajes telefónicos al personal designado. Es más probable que las siguientes funciones Esto puede dar lugar a diferentes interpretaciones sobre la necesidad de
necesiten información sobre incidentes cuando ocurran: planificar la gestión de incidentes, los beneficios que se pueden obtener o su papel
en el desarrollo, implementación y mantenimiento de una capacidad de gestión de
• Gestión de riesgos incidentes. La comunicación excesiva puede poner a las partes interesadas en
• Recursos humanos (cuando un compromiso de seguridad parece involucrar a personas internas) contra de la gestión de incidentes, ya que pueden sentir que el plan es demasiado
• Legal difícil de manejar o que compite con las prioridades que han establecido.
• Relaciones públicas
• Operaciones de red • Plan complejo y amplio —El plan propuesto puede ser bueno y cubrir muchos
temas, pero es demasiado complejo y demasiado amplio.
Las actividades de notificación son efectivas solo si el personal informado Es posible que los electores no estén preparados para participar y comprometerse
comprende sus responsabilidades y las realiza de manera eficiente y oportuna. Por lo con planes que parezcan exagerados.
tanto, el gerente de seguridad de la información debe definir las responsabilidades y
comunicarlas al personal clave. También puede ser efectivo trabajar con Recursos 4.13 CONTINUIDAD DEL NEGOCIO Y DESASTRE
Humanos para determinar cómo se pueden documentar estas responsabilidades en las
descripciones de trabajo de los empleados.
PROCEDIMIENTOS DE RECUPERACIÓN
4.13.1 PLANIFICACIÓN Y NEGOCIO DE RECUPERACIÓN el líder de continuidad del negocio, quien luego declarará la normalidad en consulta con el
equipo de gestión de crisis y migrará las operaciones de regreso al sitio principal.
PROCESOS DE RECUPERACIÓN
El gerente de seguridad de la información debe comprender los procesos básicos
necesarios para recuperar las operaciones de incidentes como ataques DoS, desastres
En caso de que el sitio principal se destruya por completo o se dañe severamente, la
naturales y otras interrupciones potenciales de las operaciones comerciales.
organización puede tomar una decisión estratégica para transformar el sitio de recuperación
alternativo en el sitio de operaciones principal o identificar, adquirir y establecer otro sitio donde
las operaciones finalmente se restaurarán y funcionarán. como sitio principal.
La recuperación ante desastres (DR) se ha definido tradicionalmente como la
recuperación de los sistemas de TI después de eventos disruptivos como huracanes e
Esto es especialmente cierto en los casos en que la organización se suscribe a un sitio de
inundaciones. La recuperación comercial se define como la recuperación de los procesos
recuperación ante desastres de un tercero, ya que los costos de operar desde dicho sitio
comerciales críticos necesarios para continuar o reanudar las operaciones. La recuperación
durante un período prolongado pueden resultar prohibitivamente altos.
empresarial incluye no solo la recuperación ante desastres, sino también todos los demás
aspectos operativos necesarios.
Una vez que la organización está funcionando en modo de recuperación (que generalmente es las áreas de personas, instalaciones y tecnología.
Los equipos que fueron responsables de reubicarse en el sitio alternativo y hacerlo operativo
El costo total de una capacidad de recuperación es el costo de prepararse para posibles
realizan una operación similar para regresar al sitio principal. Tras la restauración completa de
interrupciones (es decir, comprar, mantener y probar regularmente computadoras
la instalación principal y las capacidades de procesamiento de datos, los equipos de recuperación
redundantes; mantener enrutamiento de red alternativo, costos de capacitación y personal,
actualizan
etc.) y el costo de ponerlos en
efecto en caso de incidente. Los impactos de las interrupciones pueden, hasta • Sitios cálidos : los sitios cálidos son infraestructuras completas, pero están
cierto punto, ser mitigados por varias formas de seguro de interrupción del negocio, que parcialmente configurados en términos de TI, generalmente con conexiones de
deben considerarse como una opción estratégica. red y equipos periféricos esenciales, como unidades de disco, unidades de cinta y
controladores. A veces, un sitio tibio está equipado con una unidad de
Según el tamaño y la complejidad de la organización y el estado de la planificación de procesamiento central (CPU) menos potente que el sitio principal.
la recuperación, el gerente de seguridad de la información debe comprender que es
probable que el desarrollo de un plan de respuesta y gestión de incidentes sea un proceso • Sitios fríos : los sitios fríos solo tienen el entorno básico
difícil y costoso que puede llevar un tiempo considerable. Puede requerir el desarrollo de (cableado eléctrico, aire acondicionado, pisos, etc.) para operar una instalación de
varias estrategias alternativas, que abarquen diferentes capacidades y costos, para ser procesamiento de información (IPF). El sitio frío está listo para recibir equipos, pero
presentadas a la gerencia para una decisión final. no ofrece ningún componente en el sitio antes de la necesidad. La activación del sitio
puede tardar varias semanas. Los centros portátiles pertenecen a esta categoría. •
Cada alternativa debe estar lo suficientemente desarrollada para proporcionar Sitios móviles : los sitios móviles son remolques especialmente diseñados que se
una comprensión de las ventajas y desventajas entre el alcance, las capacidades y el costo. pueden transportar rápidamente a una ubicación comercial oa un sitio alternativo para
Puede ser prudente considerar la subcontratación de algunas o todas las capacidades proporcionar un IPF listo para usar. Estos sitios móviles se pueden conectar para formar
necesarias y determinar los costos con el fin de realizar comparaciones. áreas de trabajo más grandes y se pueden preconfigurar con servidores, computadoras
Una vez que se toma la decisión sobre qué estrategia cumple mejor con de escritorio, equipos de comunicaciones e incluso enlaces de datos satelitales y de
los objetivos de la administración, proporciona la base para el desarrollo de planes microondas. Son una alternativa útil cuando no hay instalaciones de recuperación en el
detallados de administración y respuesta a incidentes. área geográfica inmediata. También son útiles en caso de un desastre generalizado y
pueden ser una alternativa rentable para los IPF duplicados para una organización con
• IPF duplicados : estas instalaciones son sitios de recuperación dedicados que son
• Eliminar o neutralizar una amenaza: aunque eliminar o
funcionalmente similares o idénticos al sitio principal que pueden sustituir rápidamente
neutralizar una amenaza puede parecer la mejor alternativa, hacerlo cuando la
al sitio principal. Van desde un sitio caliente en espera hasta instalaciones disponibles
amenaza es externa generalmente es un objetivo poco realista. Si la amenaza es
a través de un acuerdo recíproco con otra empresa. (Tenga en cuenta que, aunque
interna y específica, puede ser posible eliminarla. Por ejemplo, la amenaza de que una
en el pasado los acuerdos recíprocos eran comunes, ahora rara vez se usan). La
actividad en particular cree un incidente de seguridad podría abordarse cesando la
suposición es que hay menos problemas para coordinar la compatibilidad y la
actividad.
disponibilidad en el caso de IPF duplicados. Las grandes organizaciones con múltiples
• Minimizar la probabilidad de que ocurra una amenaza: la mejor alternativa suele
instalaciones de datos a menudo pueden desarrollar capacidades de conmutación por
ser minimizar la probabilidad de que ocurra una amenaza reduciendo o eliminando
error entre sus propios centros de datos dispersos geográficamente.
las vulnerabilidades. Este objetivo se puede lograr implementando el conjunto
apropiado de controles físicos, ambientales y/o de seguridad. Por ejemplo,
implementar firewalls, IDS y métodos de autenticación sólidos podría reducir
La adhesión a los siguientes principios ayuda a garantizar la viabilidad de este
sustancialmente el riesgo de un ataque exitoso. • Minimice los efectos de una
enfoque:
amenaza si ocurre un incidente: generalmente hay varias formas de minimizar el
– El sitio elegido debe ubicarse de modo que no esté sujeto al mismo evento de
impacto si ocurre un incidente, como la gestión y respuesta efectiva de incidentes,
desastre que el sitio principal. Si, por ejemplo, el sitio principal está en un área
seguros o sistemas redundantes con conmutación por error automática.
sujeta a huracanes, el sitio de recuperación no debe estar sujeto a los mismos
huracanes.
– Es necesaria la coordinación de estrategias de hardware/software.
Debe existir un grado razonable de compatibilidad de hardware y software para
Cada sistema de procesamiento de información crítica requerirá un enfoque para
que sirva como base para la copia de seguridad.
restaurar las operaciones en caso de interrupción. Hay muchas estrategias alternativas
– La disponibilidad de recursos debe estar asegurada. Las cargas de trabajo de los
que se pueden considerar tanto en términos de gestión de incidentes y capacidad de
sitios deben monitorearse para garantizar que exista suficiente disponibilidad para
respuesta como desde una perspectiva de recuperación ante desastres. Estos pueden
el uso de respaldo de emergencia.
variar desde sistemas duplicados y redundantes hasta garantizar un alto grado de
– Debe haber acuerdo sobre la prioridad de agregar aplicaciones (cargas de trabajo)
resiliencia y robustez del sistema o proceso.
hasta que se utilicen por completo todos los recursos de recuperación.
– Es necesario realizar pruebas periódicas. Ya sea que los sitios duplicados sean de
4.13.5 SITIOS DE RECUPERACIÓN propiedad común o estén bajo la misma administración, es necesario realizar pruebas
Las alternativas más adecuadas deben basarse en la probabilidad, los impactos y el periódicas de la operación de respaldo para garantizar que funcionará en caso de un
costo. Es probable que las interrupciones o desastres más prolongados y costosos que desastre.
afecten la instalación física principal requieran alternativas de respaldo fuera del sitio. • Sitios espejo: si se requiere tiempo de actividad y disponibilidad continuos, un sitio
Los tipos de instalaciones de respaldo externas que se pueden considerar incluyen: espejo puede ser la mejor opción. Por definición, un sitio espejo es muy similar o
idéntico al sitio principal. El sitio espejo está operativo en concierto con el sitio principal
• Sitios activos: los sitios activos se configuran por completo y están listos para sobre una base de carga compartida. Por lo general, las aplicaciones se inician
funcionar en varias horas. El software del equipo, la red y los sistemas debe ser mediante un programador automático que equilibra las cargas entre los sitios en función
compatible con la instalación principal que se está respaldando. Las únicas necesidades de la capacidad operativa disponible y las aplicaciones se pueden ejecutar en
adicionales son personal, programas, archivos de datos y documentación. cualquiera de ellos. Siempre que exista suficiente capacidad de reserva,
las aplicaciones se cambian sin problemas entre los sitios sin interrupción. Una Para preparar una estrategia de recuperación adecuada, el gerente de seguridad
vez más, las organizaciones con múltiples instalaciones de datos a menudo de la información debe equilibrar todos estos parámetros con las capacidades de los
pueden desarrollar esta capacidad entre sus propios centros de datos dispersos diferentes tipos de sitios de recuperación, sus costos y ubicaciones.
geográficamente.
La complejidad y costo de los planes de respuesta y recuperación, así como el
El tipo de sitio más adecuado se basará en gran medida en los requisitos operativos tipo y costo del sitio de recuperación, son proporcionalmente inversas a estos
determinados por el BIA, los costos y beneficios, y la tolerancia al riesgo de la objetivos de tiempo. Una ventana de interrupción de dos horas, por ejemplo, dicta
gestión. Se puede determinar que algunos aspectos operativos críticos se deben una solución caliente o duplicada que generalmente es muy costosa, pero es
reflejar para cumplir con los requisitos de nivel de servicio, mientras que otros se probable que el plan de recuperación correspondiente sea simple y económico.
pueden respaldar adecuadamente con capacidades de sitios calientes, templados o Por el contrario, una ventana de interrupción de una semana puede permitir el uso
fríos en las mismas instalaciones o en otras. de un sitio frío que es económico, pero es probable que el plan de recuperación
asociado sea complejo y costoso.
preparativos. Para hacer uso de este enfoque, se deben utilizar varias estrategias, que 4.13.9 ELEMENTOS DEL PLAN DE RECUPERACIÓN
incluyen:
La mayoría de los planes de continuidad del negocio se crean como un conjunto de
– Evitar el uso de equipos inusuales y difíciles de conseguir
procedimientos que se adaptan a las estrategias de recuperación del sistema, del usuario y de la red.
– Actualizar regularmente el equipo para mantenerse al día.
Las copias del plan deben mantenerse fuera del sitio para garantizar que esté
– Mantener la compatibilidad del software para permitir la operación de equipos más nuevos
disponible cuando sea necesario; esto incluye en la instalación de recuperación, en la
instalación de almacenamiento de medios y en los hogares del personal clave para la
toma de decisiones. Los componentes del plan deben incluir personal clave para la
Debido a que se requieren datos y software para estas estrategias, se deben
toma de decisiones, un respaldo de los suministros necesarios, la organización y la
considerar arreglos especiales para su copia de seguridad en medios extraíbles y su
asignación de responsabilidades, las redes de telecomunicaciones y las provisiones de
almacenamiento seguro fuera del sitio.
seguros.
4.13.8 IMPLEMENTACIÓN DE LA ESTRATEGIA son numerosos y deben considerarse desde una base de magnitud y frecuencia, así
como desde la perspectiva del impacto potencial.
Con base en la estrategia de respuesta y recuperación seleccionada por la
gerencia, se debe desarrollar un plan detallado de respuesta y recuperación. Debe
abordar todos los problemas relacionados con la recuperación de un desastre. Se deben
considerar varios factores al desarrollar el plan, que incluyen: La tolerancia al riesgo es el grado aceptable de variación del riesgo aceptable que, en el
análisis final, debe ser determinado por la gerencia. La consideración esencial desde la
• Preparación previa al incidente perspectiva de la seguridad de la información es garantizar que un incidente o desastre no
comprometa la seguridad. Dado que la atención se centrará en la recuperación o restauración
• Procedimientos de evacuación
• Cómo declarar un desastre de los servicios, existe una posibilidad significativa de que la conveniencia y los atajos de
procedimiento planteen una mayor exposición al riesgo.
• Identificación de los procesos de negocio y recursos de TI que deben recuperarse
• La explicación paso a paso de las opciones de recuperación eliminarse por completo. En consecuencia, el gerente de seguridad de la información debe
• Identificación de los diversos recursos necesarios para la recuperación y las operaciones supervisar el desarrollo de planes de respuesta y recuperación para garantizar que estén
continuas • Asegurar que otra logística, como la reubicación de personal y diseñados e implementados correctamente. Estos planes deben, como se describió
anteriormente, basarse en el BIA.
El plan de respuesta y recuperación debe estar documentado y escrito en un lenguaje Luego, las estrategias de respuesta y recuperación deben ser identificadas y validadas y
sencillo que sea claro y fácil de leer. También es común identificar equipos de personal que luego aprobadas por la alta gerencia. Una vez que la alta gerencia aprueba estas estrategias,
se encargan de tareas específicas en caso de incidentes o desastres. el gerente de seguridad de la información debe supervisar el desarrollo de los planes de
respuesta y recuperación. Durante este proceso, los equipos de respuesta y recuperación
se debe identificar y movilizar a los miembros del equipo. Los planes deben • Los contactos en las instalaciones de almacenamiento de medios fuera del sitio y los contactos
orientar a los equipos sobre los pasos a seguir para recuperar los procesos de dentro de la empresa que están autorizados a recuperar medios de la instalación
negocio. externa
• Agentes de compañías de seguros
Objetivos de tiempo de recuperación • Contactos en RRHH y/o servicios de personal contratado
RTO se define como la cantidad de tiempo permitido para la recuperación de una • Contactos de aplicación de la ley
RPO se define como una medición del punto anterior a una interrupción en la que organización con entidades externas, como clientes, fuerzas del orden público y los
se restaurarán los datos; es decir, el último punto de buenos datos conocidos. El medios. El gerente de seguridad de la información también debe ayudar a identificar
RTO y el RPO deben estar estrechamente vinculados para facilitar una gestión y y escalar los problemas legales y de aplicación de la ley; por lo tanto, es imperativo
una respuesta eficaces a los incidentes. Esto se debe a que un RTO corto puede un proceso de escalada apropiado.
verse afectado negativamente por el RPO si hay una gran cantidad de datos que
deben restaurarse antes de lograr niveles aceptables de operación. Existen empresas que manejan comunicaciones automatizadas de respuesta a
emergencias, lo que puede ser una buena opción para algunas organizaciones. Sin
embargo, al igual que con cualquier otro servicio subcontratado, se debe prestar
Un ejemplo de una declaración de procedimiento que especifica tanto RTO como especial atención a los procesos necesarios que deben implementarse para
RPO podría ser: "En caso de que falle el disco duro del servidor web principal, la garantizar la eficacia de esta solución.
Las capacidades de telecomunicaciones a considerar incluyen circuitos telefónicos de transmitido por medios terrestres. Estas instalaciones de cables suelen estar
voz, redes de área amplia (WAN) (conexiones a centros de datos distribuidos), redes ubicadas en el suelo o en el sótano de edificios que albergan equipos informáticos.
de área local (LAN) y proveedores de intercambio de datos electrónicos de terceros. Las Las instalaciones terrestres corren un gran riesgo debido al envejecimiento de las
opciones pueden incluir enlaces satelitales y de microondas, y dependiendo de la criticidad y infraestructuras de las ciudades. Además, las instalaciones por cable suelen compartir
la ubicación, enlaces inalámbricos o incluso comunicaciones radiotelefónicas de banda lateral espacio con sistemas mecánicos y eléctricos que pueden suponer un gran riesgo debido
única. Los requisitos de capacidad crítica deben identificarse para los diversos umbrales de a errores humanos y eventos desastrosos.
interrupción, como dos horas, ocho horas o 24 horas, para cada capacidad de
telecomunicaciones. Las fuentes de alimentación ininterrumpida (UPS) deben ser suficientes • Diversidad de red de larga distancia: muchos proveedores de instalaciones de
para proporcionar respaldo a los equipos de telecomunicaciones, así como a los equipos de recuperación brindan una disponibilidad diversa de red de larga distancia, utilizando
cómputo. circuitos T1 entre los principales operadores de larga distancia.
Esto asegura el acceso a larga distancia si un solo operador experimenta
una falla en la red. Varios de los principales operadores ahora han instalado software
de reenrutamiento automático y líneas redundantes que brindan una recuperación
4.13.14 MÉTODOS PARA PROPORCIONAR CONTINUIDAD DE
instantánea si ocurre una interrupción en sus líneas. El gerente de seguridad de la
SERVICIOS DE RED
información debe confirmar que la instalación de recuperación tenga estas capacidades
Estos métodos pueden incluir:
vitales de telecomunicaciones.
• Redundancia: lograr la redundancia implica una variedad de soluciones, que incluyen:
Una red de área de almacenamiento (SAN) es una red de propósito especial de alta
• Enrutamiento diverso: el método de enrutamiento del tráfico a través
velocidad que proporciona almacenamiento masivo mediante dispositivos remotos
instalaciones de cable dividido o instalaciones de cable duplicado. Esto se puede
interconectados, como arreglos de discos, bibliotecas de cintas o jukeboxes ópticos.
lograr con cubiertas de cable diferentes y/o duplicadas. Si se utilizan diferentes cubiertas
con servidores de datos asociados que funcionan como si estuvieran conectados localmente.
de cable, el cable puede estar en el mismo conducto y, por lo tanto, sujeto a las mismas
Las SAN suelen formar parte de la red general de recursos informáticos de las empresas
interrupciones que el cable que respalda. El suscriptor del servicio de comunicación
más grandes, pero también pueden servir como recursos remotos para el almacenamiento
puede duplicar las instalaciones al tener rutas alternas, aunque la entrada y salida de
de archivos y copias de seguridad. Las SAN suelen admitir funciones de duplicación de disco,
las instalaciones del cliente puede ser en el mismo conducto. El suscriptor puede obtener
copia de seguridad y restauración, migración de datos entre dispositivos de almacenamiento
diversos enrutamientos y enrutamientos alternativos del operador local, incluidas las
y el uso compartido de datos entre diferentes servidores en una o más redes.
instalaciones de doble entrada; sin embargo, adquirir este tipo de acceso lleva mucho
tiempo y es costoso. La mayoría de los operadores brindan instalaciones para
enrutamiento alternativo y diverso, aunque la mayoría de los servicios son
Los servidores tolerantes a fallas brindan redundancia a prueba de fallas a través de
imágenes duplicadas del servidor primario. El uso de este enfoque también puede implicar
el procesamiento distribuido de una carga de servidor, un concepto
4.13.16 SEGURO los medios en tránsito hacia los IPF fuera de las instalaciones. La redacción de
cobertura de tránsito en la póliza generalmente especifica que todos los documentos
El plan también debe contener información clave sobre el seguro de la organización.
deben ser filmados o copiados. Cuando la póliza no requiera específicamente que
La póliza de seguro de procesamiento de sistemas de información suele ser una
los datos se filmen antes de transportarlos y el trabajo no se filme, la gerencia debe
póliza multirriesgo diseñada para proporcionar varios tipos de cobertura de TI. Debe
obtener de la compañía de seguros una carta que describa específicamente la
construirse de forma modular para que pueda adaptarse al entorno informático
posición y la cobertura de la compañía en caso de que se destruyan los datos.
particular del asegurado.
al equipo propio. Una organización también debe asegurar el equipo arrendado si Dado que las organizaciones son dinámicas y están sujetas a cambios constantes, el
se obtiene cuando el arrendatario es responsable de la cobertura contra riesgos. El proceso de respuesta y recuperación debe asegurar que los planes se actualicen y
gerente de seguridad de la información debe revisar estas políticas cuidadosamente; adapten continuamente para garantizar que reflejen los objetivos y condiciones actuales
muchas pólizas están redactadas de tal manera que las aseguradoras están de la organización. También es importante obtener la aprobación de la alta dirección para
obligadas a reemplazar los equipos dañados o destruidos con “del mismo tipo y los diversos aspectos de este proceso; una estrategia de respuesta y recuperación es un
calidad”, no necesariamente de la misma marca y modelo. proceso continuo que consume recursos para lograr y mantener un nivel aceptable de
capacidad de recuperación.
• Reconstrucción de medios (software): cubre daños a
medios informáticos que sean propiedad del asegurado y por los que el
asegurado pueda ser responsable. El seguro está disponible para desastres en las
instalaciones, fuera de las instalaciones o en tránsito y cubre el costo real de 4.14 Pruebas de Respuesta a Incidentes y
reproducción de la propiedad. Las consideraciones para determinar la cantidad de
cobertura necesaria son los costos de programación para reproducir los medios Planes de Continuidad del Negocio/
dañados, los gastos de respaldo y el reemplazo físico de dispositivos de medios Recuperación ante Desastres
como cintas, cartuchos y discos.
Antes de cada prueba, el responsable de seguridad debe asegurarse de que: El gerente de seguridad de la información también debe implementar un proceso de
• El riesgo y el impacto de la interrupción de las pruebas se minimiza seguimiento para garantizar que cualquier recomendación que resulte de las pruebas se
• La empresa entiende y acepta el riesgo inherente a las pruebas implemente de manera oportuna. El personal debe encargarse de realizar los cambios
• Existen arreglos alternativos para restaurar las operaciones en cualquier punto durante la necesarios.
prueba
de la prueba de continuidad del negocio es determinar qué tan bien funciona el plan datos de la empresa de sistemas de terceros. La limpieza posterior a la prueba
o las partes del plan que necesitan mejoras. Aunque las pruebas sorpresa son también incluye la evaluación formal del plan y la implementación de las mejoras
potencialmente ventajosas desde el punto de vista de que son similares a las situaciones indicadas.
de respuesta a incidentes de la vida real, tienen algunas desventajas potenciales graves.
Pueden ser terriblemente disruptivos para la producción y las operaciones, y pueden alejar Además, se pueden realizar los siguientes tipos de pruebas:
a las personas que de alguna manera se ven afectadas por ellos. El gerente de seguridad • Pruebas en papel : las pruebas en papel son un recorrido en papel del plan que
de la información debe considerar cuidadosamente las ramificaciones antes de decidir utilizar involucra a los principales actores en la ejecución del plan que razonan lo que podría
este enfoque. No es raro que se produjera una interrupción grave y prolongada debido a la suceder en un tipo particular de interrupción del servicio. Pueden repasar todo el plan
incapacidad de restaurar los sistemas según lo planeado. o solo una parte. La prueba en papel suele preceder a las pruebas de preparación.
4.14.4 RESULTADOS DE LA PRUEBA papel y localmente antes de intentar cerrar por completo las operaciones. A los efectos de
las pruebas de BCP, el escenario de prueba operativo completo es el desastre.
La prueba debe esforzarse por lograr, como mínimo, las siguientes tareas:
• Evaluar la capacidad de recuperación de registros vitales. Al igual que con casi todo lo demás en seguridad de la información, se deben desarrollar y
• Evaluar el estado y la cantidad de equipos y suministros que se han trasladado al sitio utilizar métricas para medir el éxito del plan y probar los objetivos establecidos. Por lo tanto,
de recuperación. los resultados deben registrarse y evaluarse cuantitativamente, a diferencia de una evaluación
• Medir el desempeño general de las actividades de procesamiento de sistemas operativos basada solo en descripciones verbales. Las métricas resultantes deben utilizarse no solo
y de información relacionadas con el mantenimiento de la entidad comercial. para medir la eficacia del plan, sino, lo que es más importante, para mejorarlo. Aunque las
medidas específicas varían según la prueba y la organización, por lo general se aplican los
siguientes tipos generales de métricas:
Para realizar la prueba, se debe completar cada una de las siguientes fases de
prueba:
• Prueba previa: la prueba previa consiste en el conjunto de acciones necesarias • Tiempo: tiempo transcurrido para completar las tareas prescritas,
para preparar el escenario para la prueba real. Esto va desde colocar mesas en el entrega de equipos, montaje de personal y llegada a un sitio predeterminado. Esto es
área de recuperación de operaciones adecuada hasta transportar e instalar equipos esencial para refinar el tiempo de respuesta estimado para cada tarea en el proceso de
telefónicos de respaldo. Estas actividades están fuera del ámbito de las que se llevarían escalamiento.
a cabo en caso de una emergencia real, en la que generalmente no hay aviso previo del • Cantidad: la cantidad de trabajo realizado en el sitio de respaldo por parte del
evento y, por lo tanto, no hay tiempo para tomar acciones preparatorias. personal administrativo y la cantidad de operaciones de procesamiento de los
sistemas de información.
• Prueba: esta es la acción real de la prueba de continuidad del negocio. • Porcentaje y/o número: la cantidad de registros vitales que se llevaron con éxito
Las actividades operativas reales se ejecutan para probar los objetivos específicos al sitio de respaldo en comparación con la cantidad requerida, y la cantidad de
del plan. Se debe realizar el ingreso de datos, llamadas telefónicas, procesamiento suministros y equipos solicitados en comparación con los realmente recibidos. La
de sistemas de información, manejo de pedidos y movimiento de personal, equipos y cantidad de sistemas críticos recuperados con éxito se puede medir con la cantidad
proveedores. Los evaluadores deben revisar a los miembros del personal a medida que de transacciones procesadas.
realizan las tareas designadas. Esta es la prueba real de preparación para responder a
una emergencia. • Precisión: precisión de la entrada de datos en el sitio de recuperación frente a la
• Prueba posterior: la prueba posterior es la limpieza de las actividades del grupo. precisión normal (como porcentaje). La precisión de los ciclos de procesamiento
Esta fase comprende tareas tales como devolver todos los recursos a su reales se puede determinar comparando los resultados de salida con los del
lugar correcto, desconectar equipos, devolver al personal a sus ubicaciones mismo período procesado en condiciones normales.
normales y eliminar todos los
Este proceso de prueba permite que el gerente de seguridad de la información logre evento. A través de una revisión posterior al evento, el gerente de seguridad de la
éxitos iniciales y modifique el plan en función de la información obtenida de las información y el personal de recuperación clave pueden revisar las observaciones
pruebas iniciales. Es importante tener en cuenta que realizar una prueba sólida cuesta y hacer los ajustes correspondientes al plan.
recursos y requiere coordinación entre varios departamentos. Un error o percance
menor (p. ej., la falta de un conjunto de medios de copia de seguridad) podría Finalmente, dado que las organizaciones evolucionan y cambian constantemente,
imposibilitar la realización de la prueba completa. los planes de respuesta y recuperación también deben cambiar. El gerente de seguridad
de la información debe establecer un proceso en el que los planes de recuperación se
actualicen a medida que se produzcan cambios dentro de una organización. Evaluar los
En caso de que las operaciones comerciales normales se destruyan o sean inaccesibles, requisitos del plan de respuesta y recuperación durante el proceso de gestión de cambios
el gerente de seguridad de la información debe tener planes operativos alternativos dentro de una organización es una parte esencial de la gestión de respuesta eficaz.
basados en la estrategia de respuesta y recuperación.
El gerente de seguridad de la información necesita probar estas capacidades
alternativas y también debe informar la capacidad de respuesta y recuperación de la Los planes y estrategias de respuesta y recuperación deben revisarse y actualizarse de
organización a la alta dirección. acuerdo con un cronograma para reflejar el reconocimiento continuo de los requisitos
cambiantes. Los siguientes factores, así como otros, pueden afectar los requisitos y la
necesidad de actualizar el plan:
4.15 EJECUTAR RESPUESTA Y
PLANES DE RECUPERACIÓN • Una estrategia que es apropiada en un momento dado puede no serlo a medida que
cambian las necesidades de una organización.
Dado que un incidente importante suele causar una confusión considerable y una serie • Se pueden desarrollar o adquirir nuevas aplicaciones.
de condiciones inesperadas, es esencial que los planes de respuesta y gestión de • Los cambios en la estrategia comercial pueden alterar la importancia de
incidentes se hayan probado en condiciones realistas. Está virtualmente garantizado que aplicaciones críticas o resultar en aplicaciones adicionales consideradas como
los planes no probados no funcionarán. También es seguro asumir que cuanto más críticas.
grave sea el incidente, mayor será el caos potencial, la confusión y los problemas que • Los cambios en el entorno de software o hardware pueden hacer que las
enfrentan los equipos de gestión y respuesta de incidentes. Los incidentes pueden variar disposiciones actuales sean obsoletas o inapropiadas.
desde un ataque de virus que derriba los sistemas de TI hasta un terremoto que derriba • Las circunstancias físicas y ambientales cambiantes también pueden
el edificio. Para proporcionar una seguridad razonable de que la organización se necesita ser considerado.
conserva en circunstancias previsibles, se deben anticipar y preparar todos los eventos
razonablemente posibles y la planificación debe ser exhaustiva, realista y comprobada. La responsabilidad de mantener la continuidad del negocio y el plan de recuperación
ante desastres a menudo recae en un coordinador del plan de continuidad del negocio,
mientras que el gerente de seguridad de la información puede ser responsable de
mantener el plan de respuesta a incidentes. Independientemente de cómo se asignen
4.15.1 GARANTIZAR LA EJECUCIÓN SEGÚN SE REQUIERA estas responsabilidades, las actividades específicas de mantenimiento del plan incluyen:
4.16.1 IDENTIFICACIÓN DE CAUSAS Y CORRECCIÓN o es posible que el personal forense no pueda utilizar los datos para investigar un
incidente. El análisis forense informático, la recopilación y el manejo de información y
COMPORTAMIENTO
objetos físicos relevantes para un incidente de seguridad de manera sistemática para
Los incidentes de seguridad pueden no ser siempre el resultado de ataques
que puedan usarse como evidencia en un tribunal de justicia, generalmente debe ser
iniciados externamente, o incluso ataques iniciados internamente, sino que
realizado por personal especialmente capacitado, especialistas externos, respuesta a
también pueden ser el resultado de fallas en los controles de seguridad que se
incidentes de seguridad. equipo o funcionarios encargados de hacer cumplir la ley. La
han implementado. Para una revisión sistemática de los eventos de seguridad,
respuesta inicial del administrador del sistema debe incluir: • Recuperar la información
el gerente de seguridad de la información debe designar un equipo de revisión necesaria para confirmar un incidente.
de eventos. Este equipo debe revisar cualquier evidencia y desarrollar
recomendaciones para mejorar el programa de seguridad de la información
• Identificar el alcance y el tamaño del entorno afectado (p. ej., redes, sistemas,
mediante la identificación de las causas raíz (más fundamentales) de un evento
aplicaciones)
específico y las medidas necesarias para evitar que se repitan eventos iguales o
• Determinación del grado de pérdida, modificación o daño (si lo hubiere)
similares. La causa principal de muchas intrusiones en los sistemas, por ejemplo,
• Identificar la posible ruta o medio de ataque
suele ser una evaluación de vulnerabilidades débil o inexistente y los esfuerzos de
administración de parches.
4.16.4 REQUISITOS DE PRUEBA
El análisis debe hacerse para determinar las respuestas a preguntas tales como: El gerente de seguridad de la información debe entender que cualquier
contaminación de evidencia después de una intrusión podría impedir que una
• ¿Quien esta implicado? organización procese a un perpetrador y limitar sus opciones. Además, la
• ¿Lo que ha sucedido? • modificación de los datos puede inhibir la actividad informática forense necesaria
¿De dónde se originó el ataque? • ¿Cuándo (en para identificar al perpetrador y todos los cambios y efectos resultantes de un
qué plazo)? • ¿Por qué sucedió? • ¿Cómo era ataque. También puede impedir la posibilidad de identificar cómo ocurrió el ataque
vulnerable el sistema o cómo ocurrió el ataque? y cómo se debe cambiar y mejorar el programa de seguridad para reducir el riesgo
La recomendación habitual para una computadora que ha sido comprometida • Un registro de casos actualizado que describa:
es desconectar la energía para maximizar la preservación de la evidencia en el – Fechas en que se recibieron las solicitudes
disco duro. Este enfoque es generalmente la recomendación de la policía basada – Fechas en que se asignaron las investigaciones a los investigadores
en el riesgo de que la evidencia se vea comprometida. Esto puede ocurrir como resultado – Nombre e información de contacto del investigador y solicitante
de que los archivos de intercambio del sistema sobrescriban la evidencia o que un intruso – Número de caso identificativo
o malware borre la evidencia de compromiso. También existe el riesgo de contaminar las – Apuntes básicos sobre el caso y sus requisitos y completado
pruebas. procedimientos
– Fecha en que se completó
• Plantillas de informes de investigación que incluyen:
Este enfoque no se acepta universalmente como la mejor solución. – Nombre e información de contacto de los investigadores
Un argumento en contra de desconectar la energía es que los datos en la – Fecha de la investigación y número de identificación del caso
memoria se pierden y la pérdida repentina de energía puede resultar en la corrupción de – Detalles de cualquier entrevista o comunicación con la gerencia o el
información crítica en el disco duro. Dado que algunos programas maliciosos solo residen personal con respecto a la investigación
en la memoria, la causa de un incidente y la vía de ataque pueden ser difíciles de establecer. – Detalles de dispositivos o datos que se adquirieron (números de serie, modelos,
ubicaciones físicas o lógicas)
– Detalles de las herramientas de software o hardware utilizadas para la adquisición o
Dado que el mejor enfoque está sujeto a controversia, el gerente de seguridad de la el análisis (estas deben ser herramientas reconocidas desde el punto de vista forense)
información deberá establecer el enfoque más apropiado para su organización y capacitar – Detalles de hallazgos, incluidas muestras o copias de datos relevantes y/o
al personal en los procedimientos apropiados. referencias a su ubicación de almacenamiento
– Firmas finales del investigador a cargo
Cualquiera que sea el procedimiento que se use para asegurar un sistema comprometido, Los procedimientos para iniciar una investigación forense deben acordarse,
el personal capacitado debe usar herramientas forenses para crear una copia bit a bit de documentarse, seguirse cuidadosamente y ser entendidos por todos en la empresa. El
cualquier evidencia que pueda existir en los discos duros y otros medios para garantizar gerente de seguridad de la información debe trabajar con la gerencia y Recursos
la admisibilidad legal. Para evitar la posibilidad de alteración o destrucción de los datos Humanos (y otras partes interesadas) para establecer un proceso que asegure que todas
relacionados con el incidente, cualquier prueba o análisis de datos debe realizarse las investigaciones sean justas, imparciales y bien documentadas.
utilizando esta copia. El original debe entregarse a un custodio de pruebas designado,
quien debe almacenarlo en un lugar seguro. Los medios originales deben permanecer
sin cambios y se debe mantener un registro de quién ha tenido la custodia de los mismos Es importante tener en cuenta que los requisitos legales varían en diferentes jurisdicciones.
(la cadena de custodia) para que la custodia sea admisible en el tribunal. Como resultado, se requerirá asesoría legal informada para procesos apropiados que cumplan
con los estándares judiciales.
– Identificación detallada de las pruebas (números de serie, información del modelo, etc.)
Información general
Información general
• Los candidatos no pueden traer ningún tipo de dispositivo de comunicación (p. ej., informa puntajes en una escala común de 200 a 800. Un candidato debe recibir un
teléfono celular, PDA, Blackberry®, etc.) al centro de pruebas. Si se ve a los candidatos puntaje de 450 o más para aprobar el examen. Una puntuación de 450 representa un
con cualquier dispositivo de este tipo durante la administración del examen, sus estándar mínimo consistente de conocimiento según lo establecido por el Comité de
exámenes se anularán y se les pedirá que abandonen el examen de inmediato. Certificación CISM de ISACA.
Un candidato que reciba una calificación aprobatoria puede solicitar la
• Los candidatos que abandonen el área de prueba sin autorización o sin la compañía certificación si se cumplen todos los demás requisitos.
de un supervisor de prueba no podrán regresar a la sala de prueba y estarán sujetos
a descalificación. El examen CISM contiene algunas preguntas que se incluyen solo con fines de
• Los candidatos deben traer varios no. 2 lápices ya que no se proporcionarán lápices investigación y análisis. Estas preguntas no se identifican por separado y no se utilizan
en el lugar del examen. para calcular la puntuación final del candidato.
• Incluya su número de identificación de examen tal como aparece en su boleto de
admisión y cualquier otra información solicitada. El no hacerlo puede resultar en un
retraso o errores. Aprobar el examen no otorga la designación CISM. Para convertirse en CISM, cada
• Lea atentamente las instrucciones proporcionadas antes de intentar responder candidato debe completar todos los requisitos, incluida la presentación de una solicitud
preguntas. Omitir estas instrucciones o leerlas demasiado rápido podría resultar y la recepción de la aprobación para la certificación.
en la pérdida de información importante y posiblemente la pérdida de puntos de
crédito. Un candidato que recibe una puntuación inferior a 450 no tiene éxito y puede volver a
• Marque el área apropiada al indicar las respuestas en la hoja de respuestas. Al tomar el examen registrándose y pagando la tarifa de examen correspondiente para
corregir una pregunta respondida anteriormente, borre por completo una respuesta cualquier administración de examen futura. Para ayudar con el estudio futuro, la carta
incorrecta antes de escribir la nueva. de resultados que recibe cada candidato incluye un análisis de puntaje por área de
• Recuerde contestar todas las preguntas ya que no hay penalización por contenido. No hay límites para la cantidad de veces que un candidato puede realizar el
respuestas incorrectas. La calificación se basa únicamente en el número de examen.
Tiempo de presupuestación mensaje de correo electrónico con el estado de aprobado/reprobado y la puntuación del
candidato.
Los siguientes son consejos de administración del tiempo para el examen:
• Se recomienda que los candidatos se familiaricen con el
Esta notificación por correo electrónico solo se envía a la dirección que figura en el
ubicación exacta y la mejor ruta de viaje al lugar del examen antes de la fecha del
perfil del candidato en el momento de la publicación inicial de los resultados.
examen.
Para garantizar la confidencialidad de las calificaciones, los resultados de los
• Los candidatos deben llegar al sitio de prueba del examen a la hora indicada en
exámenes no se informan por teléfono ni por fax. Para evitar que la notificación por
su boleto de admisión. Esto dará tiempo para que los candidatos se sienten y
correo electrónico se envíe a una carpeta de spam, el candidato debe agregar exam@
se aclimaten.
isaca.org a su libreta de direcciones, lista blanca o lista de remitentes seguros.
• El examen se administra durante un período de cuatro horas. Esto permite un poco
más de un minuto por pregunta. Por lo tanto, es recomendable que los candidatos se
Para obtener la certificación CISM, los candidatos deben aprobar el examen CISM y
controlen a sí mismos para completar todo el examen.
deben completar y enviar una solicitud de certificación (y deben recibir confirmación de
Para hacerlo, los candidatos deben completar un promedio de 50 preguntas por
ISACA de que la solicitud fue aprobada). La solicitud está disponible en el sitio web de
hora.
ISACA en www.isaca.org/ cismapp. Una vez aprobada la solicitud, se enviará al
• Se insta a los candidatos a registrar sus respuestas en su hoja de respuestas. No
solicitante la confirmación de la aprobación. El candidato no está certificado por CISM y
se permitirá tiempo adicional después de que haya transcurrido el tiempo del
no puede usar la designación CISM hasta que se apruebe su solicitud. Una tarifa de
examen para transferir o registrar las respuestas si los candidatos marcan sus
procesamiento de US $ 50 debe acompañar a las solicitudes de certificación CISM.
respuestas en el cuadernillo de preguntas.
Reglas y procedimientos
• Se solicita a los candidatos que firmen la hoja de respuestas para proteger la Para aquellos candidatos que no aprueben el examen, el informe de puntuación contiene
seguridad del examen y mantener la validez de los puntajes. una subpuntuación para cada dominio de trabajo. Los subpuntajes pueden ser útiles para
• A discreción del Comité de Certificación CISM, cualquier candidato que sea identificar aquellas áreas en las que el candidato puede necesitar más estudio antes de
descubierto incurriendo en cualquier tipo de mala conducta, como dar o recibir volver a tomar el examen. Los candidatos que no aprobaron deben tener en cuenta que
ayuda, puede ser descalificado; utilizando notas, papeles u otras ayudas; intentar al tomar un promedio simple o ponderado de las subpuntuaciones no se obtiene la
tomar el examen por otra persona; o sacar materiales de prueba o notas de la sala puntuación total escalada. Los candidatos que reciban una calificación reprobatoria en el
de pruebas. La agencia examinadora proporcionará al Comité de Certificación CISM examen pueden solicitar que se vuelva a calificar su hoja de respuestas. Este
los registros relacionados con dichas irregularidades. El comité revisará los procedimiento asegura que ninguna marca perdida, múltiples respuestas u otras
incidentes informados y todas las decisiones del comité son definitivas. condiciones interfirieron con la puntuación de la computadora. Los candidatos deben
comprender, sin embargo, que todos los puntajes están sujetos a varios controles de
calidad antes de informarlos; por lo tanto, lo más probable es que las nuevas puntuaciones
• Los candidatos no pueden tomar el cuadernillo de preguntas del examen no resulten en un cambio de puntuación. Las solicitudes de calificación manual deben
después de completar el examen. hacerse por escrito al departamento de certificación dentro de los 90 días posteriores a
la publicación de los resultados del examen. No se procesarán las solicitudes de puntaje
manual después de la fecha límite. Todas las solicitudes deben incluir el nombre del
Calificación del examen CISM y recepción de resultados
candidato, el número de identificación del examen y la dirección postal. Una tarifa de US
El examen consta de 200 ítems. Las puntuaciones de los candidatos se informan
$ 75 debe acompañar esta solicitud.
como una puntuación escalada. Una puntuación escalada es una conversión de la
puntuación bruta de un candidato en un examen a una escala común. ISACA utiliza y
Glosario
Glosario
A Proceso alternativo
Proceso automático o manual diseñado y establecido para continuar los
Ventana de interrupción aceptable procesos comerciales críticos desde el punto de falla hasta el regreso a la
El período máximo de tiempo que un sistema puede no estar disponible antes normalidad
de comprometer el logro de los objetivos comerciales de la organización.
Expectativa de pérdida anual (ALE)
La pérdida esperada total dividida por la cantidad de años en el período de
Política de uso aceptable pronóstico que arroja la pérdida anual promedio
Una política que establece un acuerdo entre los usuarios y la organización y
define para todas las partes los rangos de uso que se aprueban antes de acceder Detección de anomalías
a una red o Internet. Detección en función de si la actividad del sistema coincide con la definida como
anormal
Controles de acceso
Los procesos, reglas y mecanismos de implementación que controlan el acceso a Protocolo de transferencia de archivos anónimos (AFTP)
los sistemas de información, los recursos y el acceso físico a las instalaciones. Un método para descargar archivos públicos mediante el Protocolo de
transferencia de archivos (FTP). AFTP no requiere que los usuarios se
Ruta de acceso identifiquen antes de acceder a los archivos de un servidor en particular. En
La ruta lógica que toma un usuario final para acceder a la información general, los usuarios ingresan la palabra "anónimo" cuando el host solicita un nombre
computarizada. Por lo general, incluye una ruta a través del sistema operativo, de usuario. Se puede ingresar cualquier cosa para la contraseña, como la dirección
el software de telecomunicaciones, el software de aplicación seleccionado y el de correo electrónico del usuario o simplemente la palabra "invitado".
sistema de control de acceso. En muchos casos, un sitio AFTP no solicitará al usuario un nombre y una
contraseña.
Derechos de acceso
El permiso o privilegios otorgados a usuarios, programas o estaciones de Software antivirus
trabajo para crear, cambiar, eliminar o ver datos y archivos dentro de un Un software de aplicación implementado en múltiples puntos en una
sistema, según lo definido por las reglas establecidas por los propietarios de los arquitectura de TI. Está diseñado para detectar y potencialmente eliminar el
datos y la política de seguridad de la información. código de virus antes de que se produzcan daños, y reparar o poner en cuarentena
los archivos que ya han sido infectados.
Responsabilidad
La capacidad de asignar una actividad o evento determinado a la Controles de aplicaciones
parte responsable Las políticas, procedimientos y actividades diseñadas para proporcionar
una seguridad razonable de que se logran los objetivos relevantes para una solución
Protocolo de resolución de direcciones (ARP) (aplicación) automatizada determinada.
Define los intercambios entre las interfaces de red conectadas a un segmento de
medios Ethernet para asignar una dirección IP a una dirección de capa de enlace Capa de aplicación
bajo demanda En el modelo de comunicaciones de interconexión de sistemas abiertos (OSI),
la capa de aplicación proporciona servicios para un programa de aplicación para
Control administrativo garantizar que sea posible una comunicación eficaz con otro programa de
Las reglas, procedimientos y prácticas que se ocupan de la eficacia operativa, aplicación en una red. La capa de aplicación no es la aplicación que realiza la
la eficiencia y el cumplimiento de las normas y políticas de gestión. comunicación; es una capa de servicio que proporciona estos servicios.
Glosario
de negocios, o de un elemento del sistema de negocios (p. ej., tecnología), las espejo, implican la copia de seguridad de todas las áreas del disco duro de una computadora u otro
relaciones entre ellos y la manera en que respaldan los objetivos de la organización tipo de medio de almacenamiento. Tales copias de seguridad replican exactamente todos los sectores
Una técnica de cifrado en la que se utilizan diferentes claves criptográficas para cifrar y Una gran cantidad de computadoras comprometidas que se utilizan para crear y enviar spam
descifrar un mensaje. o virus o inundar una red con mensajes como un ataque de denegación de servicio.
Firma de ataque
Una secuencia específica de eventos que indica un intento de acceso no autorizado. Ataque de fuerza bruta
Por lo general, un patrón de bytes característico utilizado en código malicioso o un Intentar repetidamente todas las combinaciones posibles de contraseñas o claves de
indicador, o un conjunto de indicadores, que permite la identificación de actividades de red cifrado hasta encontrar la correcta
maliciosas.
Caso de negocio
Pista de auditoría Documentación de la justificación para realizar una inversión comercial, utilizada tanto para
Un rastro visible de evidencia que permite rastrear la información contenida en respaldar una decisión comercial sobre si continuar con la inversión como una herramienta
declaraciones o informes hasta la entrada original. operativa para respaldar la gestión de la inversión a lo largo de su ciclo de vida económico
fuente completo.
B
centro de respaldo Análisis/evaluación de impacto empresarial (BIA)
Una instalación alternativa para continuar con las operaciones de TI/SI cuando el Evaluar la criticidad y sensibilidad de los activos de información. Un ejercicio que determina el
centro principal de procesamiento de datos (DP) no está disponible impacto de perder el soporte de cualquier recurso para una organización, establece la
escalada de esa pérdida a lo largo del tiempo, identifica los recursos mínimos necesarios para
Seguridad de referencia recuperarse y prioriza la recuperación de los procesos y el sistema de soporte.
Los controles de seguridad mínimos necesarios para salvaguardar un sistema de TI en
función de sus necesidades identificadas de protección de la confidencialidad, la integridad Este proceso también incluye abordar: pérdida de ingresos, gastos inesperados, problemas
y/o la disponibilidad. legales (cumplimiento normativo o contractual), procesos interdependientes y pérdida de
reputación pública o confianza pública.
evaluación comparativa
Un enfoque sistemático para comparar el desempeño de una organización
con el de sus pares y competidores en un esfuerzo por aprender las mejores Modelo de negocio para la seguridad de la información (BMIS)
formas de hacer negocios. Los ejemplos incluyen la evaluación comparativa de la Un modelo holístico y orientado a los negocios que respalda el gobierno empresarial y la
calidad, la eficiencia logística y varias otras métricas. gestión de la seguridad de la información y proporciona un lenguaje común para los
profesionales de la seguridad de la información y la gestión empresarial.
Un poco
La unidad más pequeña de almacenamiento de información; una contracción del término "dígito
binario"; uno de los dos símbolos "0" (cero) y "1" (uno) que se utilizan para representar números
C
binarios Modelo de madurez de la capacidad (CMM)
Contiene los elementos esenciales de procesos efectivos para una o más disciplinas.
copia de bits También describe un camino de mejora evolutiva desde procesos ad hoc e inmaduros hasta
Proporciona una imagen exacta del original y es un requisito para el análisis forense procesos disciplinados y maduros, con calidad y eficacia mejoradas.
legalmente justificable.
Glosario
Un tercero de confianza que sirve infraestructuras de autenticación o empresas y Un valor matemático que se asigna a un archivo y se usa para "probar" el archivo
registra entidades y les emite certificados en una fecha posterior para verificar que los datos contenidos en el archivo no hayan
sido modificados de manera malintencionada.
Lista de revocación de certificados (CRL)
Un instrumento para comprobar la continuidad de la validez de los Una suma de verificación criptográfica se crea mediante la realización
certificados de los que es responsable la autoridad de certificación (CA). de una serie complicada de operaciones matemáticas (conocidas como
La CRL detalla los certificados digitales que ya no son válidos. El lapso de algoritmo criptográfico) que traduce los datos del archivo en una cadena fija
tiempo entre dos actualizaciones es muy crítico y también es un riesgo en la de dígitos llamada valor hash, que luego se utiliza como suma de verificación.
verificación de certificados digitales. Sin saber qué algoritmo criptográfico se usó para crear el valor hash, es muy
poco probable que una persona no autorizada pueda cambiar los datos sin cambiar
Declaración de prácticas de certificación inadvertidamente la suma de verificación correspondiente.
Un conjunto detallado de reglas que rigen las operaciones de la autoridad
de certificación. Proporciona una comprensión del valor y la confiabilidad de Las sumas de comprobación criptográficas se utilizan en la transmisión y el almacenamiento
los certificados emitidos por una autoridad de certificación (CA) dada. de datos. Las sumas de verificación criptográficas también se conocen como códigos de
autenticación de mensajes, valores de verificación de integridad, códigos de detección de
modificación o códigos de integridad de mensajes.
Expresado en términos de los controles que observa una organización, el método
que utiliza para validar la autenticidad de los solicitantes de certificados y las Director de información (CIO)
expectativas de la CA sobre cómo se pueden utilizar sus certificados El funcionario de mayor rango de la empresa que es responsable de la promoción
de TI, la alineación de las estrategias comerciales y de TI, y la planificación, el
Cadena de custodia suministro de recursos y la gestión de la entrega de servicios de TI, la información y
Un principio legal relativo a la validez e integridad de la prueba. el despliegue de los recursos humanos asociados. En algunos casos, el rol del CIO
Requiere responsabilidad por todo lo que se utilizará como prueba en un se ha ampliado para convertirse en el director de conocimiento (CKO) que se ocupa
procedimiento legal para garantizar que se pueda dar cuenta desde el momento en del conocimiento, no solo de la información. Véase también director de tecnología.
que se recopiló hasta el momento en que se presentó ante un tribunal de justicia. Esto
incluye documentación sobre quién tuvo acceso a la evidencia y cuándo, así como la
capacidad de identificar evidencia como el elemento exacto que se recuperó o analizó. Director de seguridad de la información (CISO)
La falta de control sobre la evidencia puede conducir a su desacreditación. La cadena Responsable de administrar el riesgo de la información, el programa de
de custodia depende de la capacidad de verificar que la evidencia no pudo haber sido seguridad de la información y garantizar la confidencialidad, integridad y
alterada. Esto se logra sellando la evidencia, para que no pueda ser cambiada, y disponibilidad adecuadas de los activos de información.
proporcionando un registro documental de custodia para demostrar que la evidencia
estuvo, en todo momento, bajo estricto control y no sujeta a manipulación. Director de seguridad (CSO)
Normalmente responsable de la seguridad física en la organización, aunque
cada vez más los roles de CISO y CSO se fusionan
Glosario
Las versiones anteriores de COBIT se centraron en los objetivos de control Monitoreo continuo
relacionados con los procesos de TI, la gestión y el control de los procesos de TI y El proceso implementado para mantener un estado de seguridad actual para
los aspectos de gobierno de TI. La adopción y el uso del marco COBIT están uno o más sistemas de información o para todo el conjunto de sistemas de
respaldados por la orientación de una creciente familia de productos de apoyo. información de los que depende la misión operativa de la empresa. El proceso
(Consulte www.isaca.org/ cobit para obtener más información). incluye: 1) el desarrollo de una estrategia para evaluar periódicamente los controles/
métricas de SI seleccionados, 2) el registro y la evaluación de eventos relevantes
COBIT 4.1 y anteriores para SI y la eficacia de la empresa al tratar con esos eventos, 3) el registro de
Anteriormente conocido como Objetivos de control para la información y cambios en los controles de SI, o cambios que afectan los riesgos de SI, y 4)
tecnología relacionada (COBIT). Un marco de procesos para TI completo y publicar el estado de seguridad actual para permitir decisiones de intercambio de
aceptado internacionalmente que apoya a los ejecutivos y gerentes de negocios y información que involucren a la empresa.
de TI en su definición y logro de objetivos comerciales y objetivos de TI relacionados
al proporcionar un modelo integral de gobierno, gestión, control y garantía de TI.
Centro de control
COBIT describe los procesos de TI y los objetivos de control Organiza las reuniones de recuperación donde se gestionan las operaciones de
asociados, las pautas de gestión (actividades, rendición de cuentas, recuperación ante desastres
responsabilidades y métricas de desempeño) y los modelos de madurez.
COBIT apoya la gestión empresarial en el desarrollo, implementación, mejora Política de controles
continua y seguimiento de buenas prácticas relacionadas con TI. Una política que define los modos operativos y de falla del control, por ejemplo,
falla segura, falla abierta, permitida a menos que se niegue específicamente, denegada
a menos que se permita específicamente
Vulnerabilidades y exposiciones comunes (CVE)
Un sistema que proporciona un método de referencia para vulnerabilidades y Gobierno corporativo
exposiciones de seguridad de la información conocidas públicamente. MITRE El sistema por el cual las empresas son dirigidas y controladas.
Corporation mantiene el sistema, con fondos de la División Nacional de Seguridad La junta directiva es responsable del gobierno de su empresa. Consiste en
Cibernética del Departamento de Seguridad Nacional de los Estados Unidos. el liderazgo y las estructuras y procesos organizacionales que aseguran que la
empresa mantenga y amplíe sus estrategias y objetivos.
Compensación de control
Un control interno que reduce el riesgo de que una debilidad de control existente o COSO
potencial resulte en errores y omisiones. Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Su
informe de 1992 "Control interno: marco integrado" es un estándar
Informática forense internacionalmente aceptado para el gobierno corporativo. Véase www.coso.org.
La aplicación del método científico a los medios digitales para establecer
información fáctica para revisión judicial. Este proceso a menudo implica
investigar los sistemas informáticos para determinar si se utilizan o se han Análisis coste-beneficio
utilizado para actividades ilegales o no autorizadas. Como disciplina, combina Un proceso sistemático para calcular y comparar los beneficios y costos de un
elementos del derecho y la informática para recopilar y analizar datos de los proyecto, control o decisión.
sistemas de información (p. ej., computadoras personales, redes, comunicación
inalámbrica y dispositivos de almacenamiento digital) de manera que sea contramedidas
admisible como prueba en un tribunal de justicia. Cualquier proceso que reduce directamente una amenaza o vulnerabilidad
Criticidad
Confidencialidad Una medida del impacto que tendrá en la organización el hecho de que un sistema
La protección de la información confidencial o privada frente a la no funcione según lo requerido.
divulgación no autorizada
Análisis de criticidad
Gestión de la configuración Un análisis para evaluar recursos o funciones comerciales para identificar su
El control de cambios a un conjunto de elementos de configuración durante un importancia para la organización y el impacto si una función no se puede completar
ciclo de vida del sistema o un recurso no está disponible
Glosario
Un procedimiento computacional bien definido que toma entradas variables, La(s) persona(s), normalmente un gerente o director, que tiene la responsabilidad
incluida una clave criptográfica, y produce una salida. de la integridad, la información precisa y el uso de datos computarizados
Fuerza criptográfica
Una medida del número esperado de operaciones requeridas para derrotar un Almacén de datos
mecanismo criptográfico. Un término genérico para un sistema que almacena, recupera y administra grandes
volúmenes de datos. El software de almacenamiento de datos a menudo incluye
Criptografía técnicas sofisticadas de comparación y hash para búsquedas rápidas, así como
El arte de diseñar, analizar y atacar esquemas criptográficos filtrado avanzado.
Descentralización
Comprobación de redundancia cíclica (CRC) El proceso de distribuir el procesamiento informático a diferentes ubicaciones
Un método para garantizar que los datos no hayan sido alterados después de ser dentro de una organización.
enviados a través de un canal de comunicación.
Clave de descifrado
D Una pieza de información digital utilizada para recuperar texto sin formato del texto
cifrado correspondiente mediante descifrado
Evaluación de daños
La determinación del alcance del daño que es necesario para proporcionar una Defensa en profundidad
estimación del marco de tiempo de recuperación y la pérdida potencial para la La práctica de superponer defensas para brindar protección adicional.
organización. La defensa en profundidad aumenta la seguridad al aumentar el esfuerzo necesario
en un ataque. Esta estrategia coloca múltiples barreras entre un atacante y la
Clasificación de datos informática y la información de una organización.
La asignación de un nivel de sensibilidad a los datos (o información) que resulta en recursos.
la especificación de controles para cada nivel de clasificación. Los niveles de
sensibilidad de los datos se asignan de acuerdo con categorías predefinidas a medida Desimanar
que se crean, modifican, mejoran, almacenan o transmiten los datos. El nivel de La aplicación de niveles variables de corriente alterna con el fin de desmagnetizar
clasificación es una indicación del valor o la importancia de los datos para la organización. medios de grabación magnéticos. El proceso consiste en aumentar gradualmente el
campo de corriente alterna desde cero hasta un valor máximo y volver a cero, dejando
un residuo muy bajo de inducción magnética en el medio. Desmagnetizar vagamente
custodio de datos significa: borrar.
La(s) persona(s) y/o departamento(s) responsable(s) del almacenamiento y salvaguarda
de los datos computarizados
Zona Desmilitarizada (DMZ)
Estándar de cifrado de datos (DES) Un segmento de red apantallado (cortafuegos) que actúa como una zona de
Un algoritmo para codificar datos binarios. Es un criptosistema de clave amortiguamiento entre una red confiable y no confiable. Una DMZ se usa
secreta publicado por la Oficina Nacional de Estándares (NBS), el predecesor del típicamente para albergar sistemas como servidores web que deben ser accesibles
Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST). DES y sus variantes desde redes internas e Internet.
han sido reemplazados por el Estándar de cifrado avanzado (AES).
Ataque de denegación de servicio (DoS)
Un asalto a un servicio de una sola fuente que lo inunda con tantas solicitudes que se
Integridad de los datos ve abrumado y se detiene por completo o funciona a un ritmo significativamente reducido
La propiedad de que los datos cumplen con una expectativa prioritaria de calidad y que
se puede confiar en los datos
Certificado digital
Fuga de datos Un proceso para autenticar (o certificar) la firma digital de una parte; realizados por
Desviar o filtrar información tirando archivos de computadora o robando informes y terceros de confianza
cintas de computadora
Firma de código digital
Protección contra fugas de datos (DLP) El proceso de firma digital del código informático para garantizar su integridad.
Un conjunto de tecnologías y procesos asociados que ubican, monitorean y
protegen la información confidencial de la divulgación no autorizada
Declaración de desastre
Glosario
F
Sistema de nombres de dominio (DNS)
conmutación por error
Una base de datos jerárquica que se distribuye a través de Internet que permite que los
nombres se resuelvan en direcciones IP (y viceversa) para ubicar servicios como servidores La transferencia de servicio de un componente primario incapacitado a su componente de
web y de correo electrónico. respaldo
A prueba de fallos
Control dual
Un procedimiento que utiliza dos o más entidades (generalmente personas) que Describe las propiedades de diseño de un sistema informático que le permiten resistir los
operan en conjunto para proteger un recurso del sistema de modo que ninguna entidad que intentos activos de atacarlo o eludirlo.
El nivel de atención que se espera de una persona razonable de competencia similar en dirección se ramificará un programa cuando se presente una aplicación
condiciones similares
cortafuegos
Debida diligencia
La realización de aquellas actuaciones que en general se consideren prudentes, Un sistema o combinación de sistemas que impone un límite entre dos o más redes
responsables y necesarias para realizar una investigación, revisión y/o análisis exhaustivo que normalmente forman una barrera entre un entorno seguro y uno abierto, como
y objetivo. Internet.
Un protocolo utilizado por las computadoras en red (clientes) para obtener direcciones Un ataque que intenta causar una falla en un sistema al proporcionar más información de la
IP y otros parámetros, como la puerta de enlace predeterminada, la máscara de subred que el sistema puede procesar correctamente.
ejemplo, no se asigna ninguna dirección IP a un segundo cliente mientras la asignación del Una reproducción precisa bit a bit de la información contenida en un dispositivo electrónico
primer cliente es válida [su concesión no ha vencido]). Por lo tanto, la administración del o medio asociado, cuya validez e integridad se ha verificado utilizando un algoritmo aceptado