Última modificación: 19 de marzo de 2025

Política nº 4204 Procedimiento del plan de respuesta de seguridad

Descargar el documento de procedimiento del plan de respuesta de seguridad

Visión general

Un Plan de Respuesta de Seguridad (SRP) proporciona el impulso para que los grupos de seguridad y operativos integren sus esfuerzos desde la perspectiva de la concienciación y la comunicación, así como de la respuesta coordinada en tiempos de crisis (vulnerabilidad de seguridad identificada o explotada). En concreto, un SRP define una descripción del producto, la información de contacto, las vías de escalado, los acuerdos de nivel de servicio (SLA) previstos, la clasificación de la gravedad y el impacto, y los plazos de mitigación/remediación.

Al exigir a los grupos operativos que incorporen un PRS como parte de sus operaciones de continuidad de la actividad y a medida que se desarrollan nuevos productos o servicios y se preparan para su lanzamiento a los consumidores, se garantiza que cuando se produzca un incidente se proceda a una rápida mitigación y reparación.

Propósito

El propósito de este procedimiento es establecer el requisito de que todos los grupos operativos apoyados por el equipo InfoSec desarrollen y mantengan un Plan de Respuesta de Seguridad. Esto garantiza que el equipo de respuesta a incidentes de seguridad disponga de toda la información necesaria para formular una respuesta satisfactoria en caso de que se produzca un incidente de seguridad específico.

Alcance

Este procedimiento se aplica a cualquier grupo o entidad operativa establecida y definida dentro del PCSD.

Procedimiento

El desarrollo, la implementación y la ejecución de un Plan de Respuesta de Seguridad (SRP) son responsabilidad principal del grupo operativo específico para el que se está desarrollando el SRP, en cooperación con el equipo InfoSec.

Se espera que los grupos operativos faciliten adecuadamente el PRS aplicable al servicio o productos de los que son responsables. Además, se espera que el coordinador o campeón de seguridad del grupo operativo colabore con el ingeniero de seguridad de la red en el desarrollo y mantenimiento de un Plan de Respuesta de Seguridad.

Descripción del servicio o producto

La descripción del producto en una SRP debe definir claramente el servicio o la aplicación que se va a implantar, prestando especial atención a los flujos de datos y los diagramas lógicos. Una arquitectura claramente definida es de gran utilidad.

Información de contacto

El PRS debe incluir información de contacto de los miembros del equipo que estén disponibles fuera del horario laboral en caso de que se produzca un incidente y sea necesario escalarlo.
Puede ser un requisito 24/7 en función del valor empresarial definido del servicio o producto, unido al impacto para el cliente.
El documento del PRS debe incluir todos los números de teléfono y direcciones de correo electrónico de los miembros del equipo.

Triaje

El SRP debe definir los pasos de triaje que se coordinarán con el equipo de respuesta a incidentes de seguridad de forma cooperativa con el objetivo previsto de mitigar rápidamente las vulnerabilidades de seguridad.
Este paso suele incluir la validación de la vulnerabilidad o el compromiso notificados.

Mitigación y pruebas identificadas

El SRP debe incluir un proceso definido para identificar y probar las mitigaciones antes de su despliegue.
Estos detalles deben incluir tanto las mitigaciones a corto plazo como el proceso de reparación.

Plazos de mitigación y reparación

El PRS debe incluir niveles de respuesta a las vulnerabilidades identificadas que definan los plazos previstos para la reparación en función de la gravedad y el impacto para los consumidores, la marca y la empresa.
Estas directrices de respuesta deben asignarse cuidadosamente al nivel de gravedad determinado para la vulnerabilidad notificada.

Último estado de actualización:

Actualizado en enero de 2015