Incident Management
Gestión de Incidentes (El Marco)
Estratégico / Administrativo
Es el programa completo que define la capacidad de la empresa para manejar interrupciones. Se enfoca en la gobernanza y mejora continua.
- Definición de políticas y estándares.
- Desarrollo de planes (IRP, BCP, DRP).
- Gestión de recursos y presupuesto.
- Métricas y reporting a la alta dirección.
Incident Response
Respuesta a Incidentes (La Acción)
Táctico / Operativo
Conjunto de acciones técnicas y operativas realizadas para detectar, contener y recuperarse de un incidente específico.
- Detección y análisis técnico.
- Contención inmediata (Aislamiento).
- Erradicación y recuperación.
- Preservación de evidencia forense.
Interacción entre Niveles
Establece la infraestructura de apoyo: ¿Quién llama a quién? ¿Cuáles son nuestros umbrales de riesgo?
Ejecuta el IRP ante un evento real: Analizar logs, aislar hosts, borrar malware.
Revisión Post-Incidente (El Puente)
Los resultados de la Respuesta (Lecciones Aprendidas) retroalimentan a la Gestión para actualizar políticas o ajustar el entrenamiento.
Objetivo del CISM
Garantizar que la gestión esté alineada con el negocio. No configura el Firewall, pero asegura que sea parte de la estrategia.
Clave del Examen
Si menciona "capacidades" o "presupuesto", es Management. Si menciona "contener propagación", es Response.
Métrica Principal
La Gestión mide impacto financiero. La Respuesta mide tiempos de recuperación (MTTD, MTTR).