ISO 27035: preguntas frecuentes sobre gestión de incidentes de seguridad

ISO 27035 es una serie de normas internacionales que proporciona directrices para la gestión de incidentes de seguridad de la información. Se compone de tres partes: ISO 27035-1 (principios), ISO 27035-2 (planificación y preparación) e ISO 27035-3 (operaciones de respuesta). Define un ciclo de 5 fases: planificación, detección, evaluación, respuesta y lecciones aprendidas.

Un evento de seguridad es cualquier ocurrencia observada en un sistema que podría indicar una violación de la política de seguridad (ej. un login fallido, una alerta de firewall). Un incidente de seguridad es un evento que ha sido evaluado y confirmado como una violación real que afecta la confidencialidad, integridad o disponibilidad de la información. La diferencia clave es la confirmación: no todos los eventos son incidentes.

Las 5 fases son: 1) Planificación y preparación (antes del incidente), 2) Detección y reporte (identificar y comunicar el evento), 3) Evaluación y decisión (confirmar si es incidente y clasificar severidad), 4) Respuesta (contención, erradicación, recuperación y comunicación), y 5) Lecciones aprendidas (revisión post-incidente y mejora del proceso).

No. ISO 27035 no es certificable a nivel organizacional. Es una norma guía que proporciona directrices, no requisitos auditables. Sin embargo, existen certificaciones profesionales individuales como ISO 27035 Incident Manager y Lead Incident Manager, ofrecidas por organismos como PECB, que validan las competencias de las personas en gestión de incidentes.

No. ISO 27035 cubre incidentes de seguridad de la información en general, lo cual incluye incidentes de ciberseguridad pero también incidentes físicos (robo de documentos, acceso no autorizado a instalaciones), humanos (ingeniería social, errores de personal) y ambientales (inundaciones que afecten servidores, cortes de energía). Cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de la información está en su alcance.

La clasificación de severidad típicamente usa 4 niveles: Crítica (impacto severo en operaciones o datos sensibles, respuesta inmediata), Alta (impacto significativo en un sistema, respuesta en 1 hora), Media (impacto limitado y contenible, respuesta en 4 horas) y Baja (impacto menor sin afectación a servicios, respuesta en 24 horas). La clasificación considera el impacto en confidencialidad, integridad y disponibilidad, así como la cantidad de datos o sistemas afectados.

Un playbook es un procedimiento operativo detallado para responder a un tipo específico de incidente. Por ejemplo, un playbook de ransomware detalla paso a paso qué hacer: aislar el equipo afectado, preservar evidencia, verificar el alcance, activar respaldos, notificar según severidad, etc. ISO 27035 recomienda tener playbooks para los tipos de incidentes más probables en tu organización.

Principios básicos de preservación de evidencia: 1) No apagar el sistema afectado (la memoria volátil contiene evidencia valiosa). 2) Documentar todo con capturas de pantalla y registros de hora. 3) Hacer copias forenses de discos antes de cualquier análisis. 4) Mantener la cadena de custodia documentada. 5) No ejecutar herramientas directamente sobre el sistema afectado. 6) Guardar los logs de red y sistema antes de que se sobrescriban. Si necesitas evidencia para un proceso legal, involucra a un perito forense certificado.

Un equipo de respuesta completo incluye: coordinador de incidentes (líder), analista de seguridad (investigación técnica), especialista de sistemas (contención y recuperación), responsable de comunicación, asesor legal y representante de dirección. En PYMEs, una persona puede asumir varios roles. Lo importante es que las responsabilidades estén asignadas antes de que ocurra un incidente.

CSIRT (Computer Security Incident Response Team) es un equipo dedicado a la respuesta de incidentes de seguridad informática. No todas las organizaciones necesitan un CSIRT formal. Las PYMEs pueden operar con un equipo de respuesta ad hoc con roles definidos. Las empresas medianas y grandes, especialmente en sectores regulados o con alta exposición a ciberamenazas, sí deberían considerar un equipo dedicado o contratar servicios de CSIRT/SOC externos.

ISO 27035 recomienda pruebas periódicas. La frecuencia recomendada depende del tipo de prueba: ejercicios de mesa (tabletop) al menos 2 veces al año, simulacros técnicos al menos 1 vez al año, y pruebas de los canales de comunicación trimestralmente. Además, el plan debe revisarse después de cada incidente real significativo y cuando haya cambios importantes en la infraestructura o la organización.

Las métricas clave (KPIs) incluyen: tiempo medio de detección (MTTD), tiempo medio de respuesta (MTTR), tiempo medio de resolución, número de incidentes por categoría y severidad, porcentaje de incidentes resueltos dentro del SLA, número de incidentes recurrentes, costo promedio por incidente y efectividad de los controles preventivos. Estas métricas alimentan la revisión por la dirección y la mejora continua del proceso.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece que la notificación a los titulares afectados debe hacerse "de forma inmediata" una vez confirmada la vulneración. No hay un plazo exacto en horas como en GDPR (72 horas), pero la inmediatez es el criterio. Se recomienda notificar tan pronto como se tenga suficiente información sobre el alcance de la vulneración.

No es obligatorio para todas las organizaciones, pero es recomendable para incidentes que afecten infraestructura crítica, servicios públicos o que tengan alcance significativo. CERT-MX puede proporcionar asistencia técnica y coordinar la respuesta con otras entidades. Si tu organización pertenece al sector financiero, energético, salud o gobierno, consulta las regulaciones específicas de tu sector sobre obligaciones de reporte.

ISO 27001:2022 incluye controles específicos sobre gestión de incidentes en su Anexo A (controles A.5.24 a A.5.28). ISO 27035 proporciona la guía operativa detallada para implementar esos controles. Si tu organización está certificada en ISO 27001, ISO 27035 es la referencia natural para estructurar tu proceso de gestión de incidentes.

La relación es bidireccional. Los incidentes gestionados bajo ISO 27035 generan información valiosa para actualizar la evaluación de riesgos de ISO 27005: un incidente real puede revelar amenazas o vulnerabilidades no identificadas previamente. A su vez, la evaluación de riesgos de ISO 27005 ayuda a priorizar los tipos de incidentes para los cuales preparar playbooks y asignar recursos de respuesta.