No se trata de si vas a tener un incidente de ciberseguridad, sino de cuándo. La diferencia entre una crisis manejable y un desastre está en la preparación. Esta guía te ayuda a construir un plan de respuesta a incidentes alineado con ISO 27035, paso a paso y con plantillas que puedes adaptar a tu organización.
¿Tu plan de respuesta está actualizado? Solicita un diagnóstico ISO 27035 para evaluar tu capacidad actual de gestión de incidentes.
Estructura del plan de respuesta
Un plan de respuesta a incidentes efectivo incluye los siguientes componentes:
- Propósito y alcance: qué cubre el plan, qué tipos de incidentes y qué sistemas.
- Roles y responsabilidades: quién hace qué durante un incidente.
- Clasificación de incidentes: cómo determinar la severidad.
- Procedimientos de respuesta: pasos específicos por tipo de incidente.
- Flujo de escalamiento: cuándo y a quién escalar.
- Comunicación: qué, cuándo y a quién comunicar.
- Preservación de evidencia: cómo asegurar la cadena de custodia.
- Revisión post-incidente: proceso de lecciones aprendidas.
Checklist de preparación
Antes de que ocurra un incidente, verifica que tengas lo siguiente:
Personas
- Equipo de respuesta a incidentes designado con roles claros.
- Lista de contactos actualizada (internos y externos) disponible fuera de la red corporativa.
- Personal capacitado en procedimientos de respuesta.
- Acuerdos con proveedores de servicios forenses y legales.
- Contactos de autoridades (CERT-MX, reguladores aplicables).
Procesos
- Política de gestión de incidentes aprobada por la dirección.
- Procedimientos documentados de detección, clasificación y escalamiento.
- Playbooks para los 5 tipos de incidentes más probables.
- Plantilla de registro de incidentes.
- Procedimiento de preservación de evidencia digital.
- Plan de comunicación de crisis.
Tecnología
- Sistema de monitoreo y alertas operativo (SIEM, IDS/IPS).
- Herramientas de análisis forense disponibles.
- Respaldos probados y recuperables.
- Canal de comunicación alternativo (en caso de que la red principal esté comprometida).
- Registro centralizado de logs con retención adecuada.
Plantilla de clasificación de incidentes
Usa esta plantilla para clasificar rápidamente cada incidente:
| Categoría | Ejemplos | Severidad típica |
|---|---|---|
| Código malicioso | Ransomware, troyano, worm, cryptominer | Alta a Crítica |
| Acceso no autorizado | Compromiso de credenciales, escalamiento de privilegios, acceso físico no autorizado | Alta a Crítica |
| Fuga de información | Exposición de datos en repositorios públicos, envío erróneo de información, exfiltración | Media a Crítica |
| Denegación de servicio | DDoS, agotamiento de recursos, saturación de servicios | Media a Alta |
| Ingeniería social | Phishing, vishing, pretexting, BEC (Business Email Compromise) | Media a Alta |
| Uso inapropiado | Violación de políticas de uso, acceso a contenido prohibido, abuso de privilegios | Baja a Media |
| Falla técnica | Falla de hardware, corrupción de datos, error de configuración | Baja a Alta |
Forma especialistas en respuesta a incidentes: la certificación PECB ISO 27035 capacita a tu equipo para liderar la gestión de incidentes de forma profesional.
Flujo de escalamiento
Define claramente cuándo escalar y a quién:
Nivel 1: Mesa de servicio / SOC
- Recibe el reporte del evento.
- Realiza la clasificación inicial.
- Si es severidad baja: gestiona y documenta.
- Si es severidad media o superior: escala a Nivel 2.
Nivel 2: Equipo de respuesta a incidentes
- Confirma el incidente y ajusta la clasificación.
- Ejecuta la contención y erradicación.
- Si es severidad alta o crítica: escala a Nivel 3.
- Documenta todas las acciones.
Nivel 3: Dirección / Crisis management
- Autoriza recursos extraordinarios.
- Aprueba comunicaciones externas.
- Coordina con asesores legales y reguladores.
- Toma decisiones de alto impacto (ej. pagar o no un rescate, notificar a clientes).
Qué hacer durante un incidente: checklist rápido
Cuando se confirma un incidente, sigue estos pasos en orden:
- No entrar en pánico. Seguir el procedimiento documentado.
- Registrar la hora exacta de detección y todas las acciones subsecuentes.
- Clasificar la severidad usando la plantilla definida.
- Contener: aislar el sistema afectado sin apagarlo (preservar evidencia volátil).
- Notificar al coordinador de incidentes y activar el equipo de respuesta.
- Preservar evidencia: no borrar logs, no reformatear, documentar con capturas de pantalla.
- Comunicar a las partes interesadas según el nivel de severidad.
- Erradicar la causa raíz una vez contenido el incidente.
- Recuperar los sistemas afectados y verificar que la amenaza fue eliminada.
- Documentar todo el incidente para la revisión post-incidente.
Notificaciones regulatorias en México
Dependiendo del tipo de incidente y los datos afectados, podrías tener obligaciones de notificación:
- LFPDPPP: si hay vulneración de datos personales, debes notificar a los titulares afectados "de forma inmediata" para que puedan tomar medidas de protección.
- INAI: aunque no hay obligación formal de notificar al INAI sobre vulneraciones, las investigaciones pueden requerirlo.
- CERT-MX: para incidentes que afecten infraestructura crítica o servicios públicos, es recomendable coordinar con el CERT nacional.
- Reguladores sectoriales: si estás regulado por CNBV, COFEPRIS u otros, verifica sus requisitos específicos de notificación de incidentes.
Si tu organización también opera bajo regulaciones internacionales (GDPR, HIPAA), los plazos y requisitos de notificación son más estrictos. Incluye estas obligaciones en tu plan.
Revisión post-incidente
Dentro de las 2 semanas siguientes a la resolución de un incidente significativo, realiza una reunión de lecciones aprendidas con todos los involucrados. Documenta:
- Cronología completa del incidente (timeline).
- Causa raíz identificada.
- Eficacia de la respuesta: qué funcionó, qué no, qué se puede mejorar.
- Acciones correctivas con responsables y plazos.
- Actualizaciones necesarias al plan de respuesta, playbooks o controles.
Integra los hallazgos en tu proceso de gestión de riesgos (ver ISO 27005) y en la revisión del SGSI si estás certificado en ISO 27001.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.