Política de respuesta a incidentes - PYME

La Política de respuesta a incidentes (P30S) está diseñada específicamente para pequeñas y medianas empresas (pymes) que buscan protocolos sólidos conformes con ISO/IEC 27001:2022 sin requerir un Centro de operaciones de seguridad (SOC) interno ni un Director de Seguridad de la Información (CISO) a tiempo completo. Esta política para pymes atribuye explícitamente la responsabilidad de la supervisión de incidentes y las notificaciones regulatorias al Director General (DG), proporcionando una estructura clara adecuada para organizaciones con recursos de TI dedicados limitados. El documento detalla requisitos que permiten a las pymes minimizar daños, proteger información sensible y cumplir obligaciones reglamentarias críticas, como la regla de notificación de violaciones de seguridad en 72 horas del RGPD. El alcance es amplio y cubre a todo el personal (empleados, contratistas, terceros proveedores de servicios de TI externos), todos los activos técnicos (sitios web, plataformas en la nube, cuentas de correo electrónico y dispositivos móviles) y todas las formas significativas de incidente (desde acceso no autorizado hasta infección de malware, phishing, interrupciones del sistema y pérdida/robo de dispositivos). La política establece objetivos detallados: reconocimiento rápido, registro de auditoría, escalado, notificación legal, contención eficaz, recuperación de datos y prevención basada en la causa raíz. También ayuda a las pymes a superar auditorías ISO/IEC 27001 y a demostrar la debida rendición de cuentas ante clientes y reguladores. Los roles y responsabilidades específicos se simplifican para adaptarse al contexto de las pymes: el DG mantiene la responsabilidad general, con el apoyo de la administración de TI interna o externalizada. Se instruye a empleados y contratistas para que notifiquen cualquier incidente de inmediato sin intentar correcciones no autorizadas. Los proveedores externos están obligados a notificar al DG y a apoyar las acciones de contención según las obligaciones contractuales, sujetos a los mismos plazos de escalado que los incidentes internos. La política establece procedimientos de notificación estructurados, incluidos canales de comunicación claros (correo electrónico de incidentes dedicado o informe verbal), detalles requeridos (hora de descubrimiento, naturaleza, sistemas afectados e impacto observable) y categorización en el plazo de una hora. Los registros de incidentes, mantenidos por el DG, son el núcleo de la gestión de registros para auditorías. Las revisiones trimestrales, los análisis de causa raíz y las actualizaciones posteriores al incidente garantizan tanto la eficacia continua como la respuesta a amenazas emergentes. El documento también detalla los requisitos de formación y concienciación para todo el personal, incorporación, sesiones de formación de reciclaje y expectativas de notificación obligatoria. Las disposiciones de aplicación y cumplimiento exigen que todas las entidades, incluidos terceros, cumplan plenamente: los fallos o las infracciones del protocolo pueden dar lugar a advertencias, revocación de acceso, penalizaciones contractuales o eliminación de listas de proveedores. Toda la evidencia y los registros deben conservarse durante al menos un año y proporcionarse para auditorías según se requiera. Los mecanismos de revisión integrales garantizan que la política permanezca alineada con normas en evolución, cambios regulatorios y cambios operativos, manteniéndose receptiva y relevante para las pymes.