Buscar
Cerrar este cuadro de búsqueda.

Política de Gestión Incidentes.

El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, (RGPD) establece en su artículo 33 la obligación de notificar las brechas de los datos personales que puedan suponer un riesgo para los derechos y libertades de las personas físicas a la Autoridad de Control competente. En el caso de España, la Autoridad de Control a la que hay que notificar es la Agencia Española de Protección de Datos (AEPD), tanto para el sector privado como para el público, excepción
de los organismos públicos1 de las Comunidades Autónomas donde exista Autoridad de Control Autonómica.
Así mismo, en el artículo 34 del RGPD se establece la obligación del responsable de comunicar las brechas de datos personales a los afectados, personas físicas, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. Hoy vamos a tratar la Política de Gestión de Incidentes.

Es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción y que nos indique cómo actuar de la manera más eficaz posible en estos casos.

Existen muchos tipos de incidentes de ciberseguridad, algunos son más habituales que otros que podrían encajar en una de las siguientes tipologías:

  • incidentes no intencionados o involuntarios;
  • daños físicos;
  • incumplimiento o violación de requisitos y regulaciones legales;
  • fallos en las configuraciones;
  • denegación de servicio;
  • acceso no autorizado, espionaje y robo de información;
  • borrado o pérdida de información;
  • infección por código malicioso (virus, ransomware)

Para ejecutar correctamente el plan y evitar que el daño se extienda se deben detallar las acciones a realizar en cada momento, la lista de las personas involucradas y sus responsabilidades, los canales de comunicación oportunos, etc. Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para conocer y valorar los riesgos existentes, y así evitar incidentes similares en el futuro.

El objetivo final es asegurarse de que todos los miembros de la organización conocen y aplican un procedimiento rápido y eficaz para actuar ante cualquier incidente en materia de seguridad de la información. Este procedimiento incluirá medidas para comunicar de forma correcta los incidentes a quien corresponda tanto dentro como fuera de la empresa. También incluirá los mecanismos para registrar los incidentes con sus pruebas y evidencias con objeto de estudiar su origen y evitar que ocurran en un futuro.

Enumeramos las medidas a adoptar:

Equipo responsable. Seleccionar el equipo que se encargará de gestionar los incidentes de ciberseguridad.

Mejora continua. Usarla información recogida en la gestión de los incidentes para adoptar mejoras en tus sistemas.

Caducidad del plan de gestión. Revisar cada 6 meses el plan de gestión y respuesta ante incidentes de ciberseguridad.

Detección del incidente. Concretar las situaciones que deben ser catalogadas como incidentes de ciberseguridad.

Evaluación del incidente. Categorizar convenientemente el incidente y le otorgas la criticidad correspondiente.

Notificación del incidente. Establecer correctamente la manera de notificar un incidente.

Resolución de incidentes. Desarrollar procedimientos detallados de actuación para dar respuesta a cada tipología de incidente de ciberseguridad.

Tratamiento del registro del incidente. Registrar de forma conveniente toda la información relativa a la gestión del incidente.

Cumplimiento del RGPD. Prever la notificación de incidentes según el RGPD en caso de brechas de seguridad que afecten a datos de carácter personal.

Si se habla de aspectos clave de la politica de gestión de incidicentes, debemos enumerar:

Equipo responsable. Para garantizar una respuesta eficaz durante el tratamiento de incidentes de ciberseguridad, nombrar a un equipo responsable de su gestión. Hay que considerar no solo al personal técnico encargado de su resolución (interno o externo), sino también personal de la dirección que debiera estar informado en todo momento del estado del incidente.

Mejora continua. Es conveniente analizar la utilidad de usar la información recogida en la gestión de los incidentes para medir y evaluar la posibilidad de modificar procedimientos o añadir nuevas mejoras o controles para limitar futuros daños. Podemos realizar acciones preventivas con el fin de entrenar a la plantilla ante la aparición de un posible.

Caducidad del plan de gestión. Determinaremos la periodicidad con la que debe actualizar el plan y las medidas a adoptar. También puede ser necesaria una actualización del plan tras un cambio significativo en nuestros sistemas.

Detección del incidente. Debemos concretar las situaciones que se considerarán incidentes. Desplegaremos herramientas con mecanismos de detección automáticos y estableceremos un sistema de alerta que nos informe detalladamente de lo sucedido en tiempo real.

Evaluación del incidente. Una vez detectado el incidente debemos categorizarlo convenientemente y establecer la gravedad y la prioridad en su tratamiento.

Notificación del incidente. Procuraremos establecer un punto de contacto único donde los empleados deben notificar los posibles incidentes o puntos débiles detectados. Asimismo, se debe indicar la información a recabar y las acciones inmediatas a seguir en el momento de la notificación. Conviene tener un listado de contactos para actuar con rapidez en caso de incidente.

Resolución de incidentes. Desarrollaremos y documentaremos procedimientos de respuesta para cada uno de los tipos de incidentes definidos previamente, poniendo especial énfasis en aquellos incidentes más habituales y peligrosos. Se detallarán al menos los procedimientos para las siguientes acciones:


• recogida de evidencias tan pronto como sea posible tras la aparición del incidente, con cuidado de mantener la cadena de custodia, la integridad de las evidencias (cifrándolas si es necesario), soportes, etc.;
• estimación del tiempo de resolución;
• realización de un análisis forense en los supuestos requeridos;
• escalado conveniente del incidente en caso de no poder ser solventado;
• ejecución de acciones concretas para intentar reparar, mitigar o contener los daños causados por el incidente.

Tratamiento del registro del incidente. Para disponer de toda la información acerca del incidente se registrarán convenientemente, almacenándose, entre otra, la información relativa a:


• fecha y hora de aparición del incidente;
• tipología y gravedad del mismo;
• recursos afectados;
• posibles orígenes;
• estado actual del incidente;
• acciones realizadas para solventarlo y quienes las ejecutaron;
• fecha y hora de resolución y cierre del incidente.

Cumplimiento del RGPD: El RGPD obliga a notificar las violaciones de datos de carácter personal que podamos sufrir en la empresa a la autoridad de protección de datos competente y a las personas afectadas, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los afectados.

Artículos relacionados