Un incidente de seguridad mal gestionado puede convertir un problema técnico menor en una crisis corporativa. Datos filtrados, servicios caídos, multas regulatorias y pérdida de confianza de los clientes son consecuencias comunes cuando no existe un proceso estructurado de respuesta. ISO 27035 es el estándar internacional que proporciona ese proceso: desde la detección del incidente hasta las lecciones aprendidas.
Puntos clave
- ISO 27035 define 5 fases para gestionar incidentes de seguridad de la información.
- Diferencia entre eventos (observaciones) e incidentes (violaciones confirmadas).
- Complementa a ISO 27001 proporcionando la guía operativa para los controles de gestión de incidentes.
- Es escalable: aplica tanto a PYMEs como a organizaciones con equipos de respuesta dedicados (CSIRT).
¿Tu organización está preparada para un incidente? Solicita un diagnóstico especializado o realiza el autodiagnóstico en línea.
Qué es ISO 27035
ISO/IEC 27035 es una serie de normas internacionales que proporciona directrices para la gestión de incidentes de seguridad de la información. La serie consta de tres partes:
- ISO 27035-1: Principios de la gestión de incidentes (marco general).
- ISO 27035-2: Directrices para planificar y preparar la respuesta a incidentes.
- ISO 27035-3: Directrices para las operaciones de respuesta a incidentes (incluyendo aspectos de TIC).
Juntas, estas tres partes cubren todo el ciclo de vida de un incidente de seguridad: desde la preparación previa hasta la mejora posterior. La norma no prescribe una solución tecnológica específica; proporciona un marco de gestión que cada organización adapta a su contexto.
Evento vs. incidente: la diferencia crítica
Antes de entrar en el proceso, es fundamental entender la diferencia entre estos dos conceptos:
| Concepto | Definición | Ejemplo |
|---|---|---|
| Evento de seguridad | Ocurrencia identificada que indica una posible violación de la política de seguridad | Un login fallido, una alerta de firewall, un correo sospechoso reportado |
| Incidente de seguridad | Evento evaluado y confirmado como una violación real que afecta la CIA de la información | Acceso no autorizado confirmado, ransomware activo, fuga de datos verificada |
No todos los eventos son incidentes. La capacidad de distinguir rápidamente entre ambos es clave para no desperdiciar recursos en falsas alarmas ni ignorar amenazas reales.
Las 5 fases de gestión de incidentes
Fase 1: Planificación y preparación
Esta fase ocurre antes de que cualquier incidente suceda. Es la base de todo el proceso:
- Definir la política de gestión de incidentes.
- Establecer el equipo de respuesta a incidentes (roles, responsabilidades, contactos).
- Crear procedimientos de detección, clasificación y escalamiento.
- Desarrollar playbooks para los tipos de incidentes más probables.
- Implementar herramientas de detección y monitoreo (SIEM, IDS/IPS, EDR).
- Capacitar al personal en la identificación y reporte de eventos sospechosos.
- Establecer acuerdos con partes externas (proveedores forenses, asesores legales, autoridades).
Fase 2: Detección y reporte
Cuando ocurre un evento de seguridad, debe ser detectado y reportado al equipo apropiado:
- Fuentes de detección: sistemas de monitoreo, reportes de usuarios, alertas de proveedores, inteligencia de amenazas.
- Canal de reporte: definir un punto de contacto único (correo, teléfono, sistema de tickets) para reportar eventos.
- Registro inicial: documentar fecha, hora, quién detectó, qué se observó y qué sistemas están involucrados.
Fase 3: Evaluación y decisión
El equipo de respuesta evalúa el evento para determinar si es un incidente real y, de serlo, cuál es su severidad:
| Severidad | Descripción | Ejemplo | Tiempo de respuesta |
|---|---|---|---|
| Crítica | Impacto severo en operaciones o datos sensibles | Ransomware activo, fuga masiva de datos | Inmediato (15 min) |
| Alta | Impacto significativo en un sistema o proceso | Compromiso de servidor, acceso no autorizado | 1 hora |
| Media | Impacto limitado, contenible sin escalamiento | Malware en estación aislada, phishing exitoso | 4 horas |
| Baja | Impacto menor, sin afectación a servicios | Intento de login fallido, spam dirigido | 24 horas |
Fase 4: Respuesta
Una vez confirmado y clasificado el incidente, se ejecuta la respuesta:
- Contención: aislar los sistemas afectados para evitar que el incidente se propague. Puede ser contención a corto plazo (desconectar de la red) o a largo plazo (aplicar parches, cambiar credenciales).
- Erradicación: eliminar la causa raíz del incidente (malware, backdoor, vulnerabilidad explotada).
- Recuperación: restaurar los sistemas a su estado normal de operación. Verificar que la amenaza fue eliminada antes de reconectar.
- Comunicación: notificar a las partes interesadas según el plan (dirección, clientes afectados, reguladores si aplica, medios si es necesario).
Prepara a tu equipo: la certificación PECB ISO 27035 Lead Incident Manager forma profesionales capaces de liderar la respuesta a incidentes de seguridad.
Fase 5: Lecciones aprendidas
Después de cada incidente significativo, realiza una revisión post-incidente:
- ¿Qué funcionó bien en la respuesta?
- ¿Qué falló o se retrasó?
- ¿Se siguieron los procedimientos establecidos?
- ¿Qué cambios son necesarios en políticas, procedimientos o controles?
- ¿Se necesita capacitación adicional?
Las lecciones aprendidas deben documentarse y traducirse en mejoras concretas al plan de gestión de incidentes. Este ciclo de mejora es lo que convierte incidentes dolorosos en fortalecimiento real de la seguridad.
Roles del equipo de respuesta
ISO 27035 recomienda definir claramente los siguientes roles:
| Rol | Responsabilidad |
|---|---|
| Coordinador de incidentes | Lidera la respuesta, toma decisiones de escalamiento, coordina equipos y comunicación. |
| Analista de seguridad | Investiga técnicamente el incidente, realiza el análisis forense inicial, identifica la causa raíz. |
| Responsable de comunicación | Gestiona la comunicación con partes interesadas: dirección, clientes, reguladores, medios. |
| Especialista de sistemas | Ejecuta acciones técnicas de contención, erradicación y recuperación en los sistemas afectados. |
| Asesor legal | Orienta sobre obligaciones legales, notificaciones regulatorias y preservación de evidencia. |
| Representante de dirección | Autoriza recursos, aprueba comunicaciones externas y decisiones de alto impacto. |
En organizaciones pequeñas, una persona puede asumir varios roles. Lo importante es que las responsabilidades estén definidas antes de que ocurra un incidente, no durante la crisis.
Relación con ISO 27001
ISO 27001:2022 incluye varios controles directamente relacionados con la gestión de incidentes en su Anexo A:
- A.5.24: Planificación y preparación de la gestión de incidentes de seguridad de la información.
- A.5.25: Evaluación y decisión sobre eventos de seguridad de la información.
- A.5.26: Respuesta a incidentes de seguridad de la información.
- A.5.27: Aprendizaje de los incidentes de seguridad de la información.
- A.5.28: Recopilación de evidencia.
ISO 27035 es la guía operativa que permite implementar estos controles de forma completa y efectiva. Si tu organización está certificada o busca certificarse en ISO 27001, adoptar ISO 27035 como referencia para la gestión de incidentes es la opción más alineada.
Tipos comunes de incidentes
ISO 27035 ayuda a gestionar todo tipo de incidentes de seguridad. Los más frecuentes en el contexto mexicano incluyen:
- Ransomware: cifrado malicioso de datos con demanda de rescate. Uno de los incidentes más devastadores y frecuentes.
- Phishing dirigido (spear phishing): correos fraudulentos personalizados para obtener credenciales o ejecutar malware.
- Fuga de datos: exposición no autorizada de información confidencial, ya sea por ataque externo o error interno.
- Compromiso de cuentas: acceso no autorizado mediante credenciales robadas o debilidades en autenticación.
- Denegación de servicio (DDoS): ataques que buscan hacer inaccesibles los servicios en línea.
- Amenazas internas: acciones maliciosas o negligentes de empleados o contratistas con acceso legítimo.
- Vulnerabilidades explotadas: aprovechamiento de fallas en software sin parches.
Preguntas frecuentes
¿Cuál es la diferencia entre un evento y un incidente de seguridad?
Un evento de seguridad es cualquier ocurrencia identificada en un sistema o red que indica una posible violación de la política de seguridad. Un incidente de seguridad es un evento que ha sido evaluado y confirmado como una violación real que afecta la confidencialidad, integridad o disponibilidad de la información. No todos los eventos son incidentes.
¿ISO 27035 es certificable?
No a nivel organizacional. ISO 27035 es una norma guía. Sin embargo, existen certificaciones profesionales como ISO 27035 Lead Incident Manager que validan la competencia individual en gestión de incidentes de seguridad.
¿Cómo se relaciona ISO 27035 con ISO 27001?
ISO 27001 incluye controles relacionados con la gestión de incidentes en su Anexo A (controles A.5.24 a A.5.28). ISO 27035 proporciona la guía detallada para implementar esos controles de forma efectiva, definiendo el proceso completo del ciclo de vida de los incidentes.
¿Qué tamaño de empresa necesita ISO 27035?
Cualquier organización que maneje información digital se beneficia de un proceso de gestión de incidentes. ISO 27035 es escalable: una PYME puede implementar una versión simplificada con roles combinados, mientras que una empresa grande puede necesitar un equipo de respuesta dedicado (CSIRT/CERT).
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.