Identificación y reporte de incidentes de seguridad para operadores estratégicos: Guía básica de protección de Infraestructuras Críticas

Ante un incidente de seguridad, el objetivo principal es recuperar el nivel habitual de funcionamiento de los sistemas o servicios, minimizando las pérdidas todo lo posible. Las fases principales de respuesta ante un incidente pueden dividirse en: identificación, contención y mitigación, preservación de evidencias y consideraciones legales, recuperación y documentación. Es conveniente conocer los distintos tipos de incidentes que pueden encontrarse, ya que incidentes del mismo tipo presentarán características comunes que facilitarán las tareas propias de las fases anteriores. En este aspecto, se pueden distinguir los siguientes tipos principales: denegación de servicio, infección por malware, compromiso del sistema, hacking, distribución de malware, violación de políticas, ataques de invasión o explotación de vulnerabilidades.
Con la información recopilada durante las fases anteriores, el operador reportará el incidente a INCIBE y CNPIC, enviando un correo electrónico a . A partir de este momento, todos los intercambios de información con el usuario se realizarán por correo electrónico (salvo casos excepcionales por teléfono), desde la dirección anterior. Por seguridad, todos los correos serán firmados digitalmente con la clave privada asociada a la dirección de correo electrónico mencionada y opcionalmente cifrados con la clave pública del destinatario, cuando la información contenida sea confidencial.