Documentación para incidentes de seguridad.

¿En qué podemos ayudarte?
< Todos los temas
Imprimir

Documentación para incidentes de seguridad.

Publicadomayo 13, 2025
Actualizadomayo 13, 2025
PorMIQUEL CLAR

1. Política de Gestión de Incidentes de Seguridad de la Información:

Define principios, objetivos, alcances, roles de alto nivel, compromiso de la dirección, obligaciones legales/regulatorios.

2. Procedimientos

  • Procedimiento de Gestión de Incidentes de Seguridad de la Información
    • Ciclo de vida del incidente (detección, registro, análisis, contención, erradicación, recuperación, lecciones aprendidas)
    • Roles y responsabilidades (incluyendo Comité de Crisis, si aplica)
    • Priorización y clasificación de incidentes
    • Escalamiento interno y externo (por niveles de severidad y tipo de incidente)
  • Procedimiento de comunicación de Incidentes
    • Comunicación interna (a partes interesadas, equipo de respuesta, dirección)
    • Comunicación externa (clientes, proveedores, entes reguladores, prensa)
    • Plantilla de comunicación
    • Plan de medios y control de rumores (si aplica)
  • Procedimiento de Notificación a Autoridades / Organismos Reguladores
    • Cuando, cómo y a quién notificar en función del tipo de incidente y la normativa aplicable (por ejemplo: LPDP, BCRA, etc.)

3.Documentos de soporte

  • Matriz de clasificación de incidentes
    • Criterios de impacto y probabilidad para determinar la prioridad
  • Matriz RACI de gestión de incidentes
    • Quién es responsable, aprobador, consultado, informado en cada etapa.
  • Glosario de términos y tipos de incidentes
    • Para asegurar lenguaje común
  • Registro de incidentes de Seguridad
    • Estructura para documentar cada incidente.

4. Playbooks por tipo de incidente

  • Playbook – Malware / Ransomware
  • Playbook – Phishing / Ingeniería Social
  • Playbook – Data Leak / Filtración de Información
  • Playbook – Compromiso de Cuentas / Acceso No Autorizado
  • Playbook – Denegación de Servicio (DoS / DDoS)
  • Playbook – Vulnerabilidad Exploited (Zero-Day / CVE conocido)

Cada uno de los documentos debería tener:

  • Disparadores (cómo se detecta)
  • Pasas de contención / análisis / erradicación
  • Roles involucrados
  • Métricas / KPIs asociados (si aplica)

5. Runbooks operativos Tareas técnicas puntuales

  • Runbook – Apagado Seguro de Servidores Críticos
  • Runbook – Restauración desde Backup (por tipo de sistema)
  • Runbook – Rotación de Credenciales
  • Runbook – Desconexión de usuario / endpoint comprometido
  • Runbook – Actualización urgente de parches
  • Runbook – Bloqueo de IPs / reglas en Firewall / WAF
  • Runbook – Recolección de evidencia forense básica
  • Runbook – Escaneo de malware / herramientas EDR específicas

6. Otros documentos complementarios u opcionales

  • Plan de concientización y capacitación en gestión de incidentes
  • Plan de pruebas de gestión de incidentes
  • Informe de lecciones aprendidas post-incidente
  • Informe de evaluación y mejora continua de procesos

 

 

fuente : https://www.linkedin.com/in/bernarditagotte