Política de respuesta a incidentes (P30)

La Política de respuesta a incidentes (Documento P30) formaliza un marco sólido que garantiza que la organización pueda gestionar y responder eficazmente a un espectro diverso de incidentes de seguridad de la información. El propósito principal de la política es establecer procesos repetibles para identificar, notificar, analizar, contener y recuperarse de incidentes, a la vez que fomenta la mejora continua mediante evaluaciones posteriores al incidente. Al instituir un marco de respuesta a incidentes central alineado con normas internacionales como ISO/IEC 27035, la política garantiza un enfoque estructurado en todas las fases del incidente: preparación, detección y análisis, contención/erradicación/recuperación y revisión posterior al incidente. Esta política abarca ampliamente las funciones de la organización, extendiendo sus requisitos a todo el personal, incluidos contratistas y proveedores terceros de servicios, y cubriendo todos los sistemas de información de la organización, ya sea en las instalaciones, en la nube o híbridos. Se aplica a un conjunto integral de tipos de incidentes: acceso no autorizado, malware y ransomware, ataques de denegación de servicio, fuga o exfiltración de datos, amenazas internas e incluso brechas físicas que afecten a activos digitales. La sección de gobernanza exige que cada incidente se registre formalmente en un sistema de gestión de incidentes de seguridad (SIMS), con metadatos detallados que incluyen hora de detección, clasificación, sistemas afectados, acciones realizadas, evidencia capturada y análisis de causa raíz. Todos los incidentes se categorizan mediante un modelo de severidad por niveles, garantizando una respuesta y un escalado proporcionales. Los roles y responsabilidades clave se definen cuidadosamente para garantizar la rendición de cuentas y un flujo de trabajo optimizado durante un incidente. El Director de Seguridad de la Información (CISO) mantiene la propiedad global del marco de respuesta y actúa como enlace con la alta dirección y los reguladores durante incidentes mayores. El Coordinador de Respuesta a incidentes gestiona equipos interfuncionales, realizando el seguimiento de cada etapa de la respuesta y asegurando que se ejecuten las acciones correctivas. El Centro de operaciones de seguridad (SOC) y los analistas de seguridad de TI se encargan de la monitorización y el triaje de amenazas, el escalado de casos y la ejecución de acciones iniciales de contención. Los roles de Legal y del Delegado de Protección de Datos revisan el impacto normativo y aseguran los plazos de notificación, en particular para violaciones de seguridad bajo GDPR, NIS2 y DORA. La dirección ejecutiva toma decisiones estratégicas para incidentes de alta severidad, incluidas las comunicaciones públicas y la aprobación de modificaciones del Sistema de gestión de la seguridad de la información (SGSI). La política adopta mecanismos rigurosos para la notificación de violaciones de seguridad, la informática forense digital y la gestión de evidencias, exigiendo que la notificación a las autoridades y a las partes interesadas afectadas se realice conforme a los plazos legales y contractuales definidos. Los procedimientos de informática forense digital incluyen la creación de imágenes de disco con bloqueadores de escritura, el seguimiento de la cadena de custodia y el almacenamiento cifrado de evidencias, con coordinación con las fuerzas del orden cuando sea necesario. Cualquier desviación de la política, como el tiempo de respuesta o la recopilación de evidencias, debe seguir un proceso estricto de gestión de excepciones basado en el riesgo, con documentación, aprobación del Director de Seguridad de la Información (CISO) y revisiones trimestrales de riesgos. Para garantizar la eficacia y el cumplimiento normativo, la política exige revisiones anuales, simulacros regulares de respuesta a incidentes y métricas claras como el tiempo medio de detección (MTTD), el tiempo medio de contención (MTTC) y el porcentaje de revisiones posteriores al incidente completadas. La Auditoría y Cumplimiento y la monitorización del cumplimiento validan la preparación y refuerzan la adhesión, con consecuencias especificadas por incumplimiento, incluidas medidas disciplinarias hasta la terminación del contrato o la notificación regulatoria. La política está profundamente integrada con políticas de apoyo en clasificación de datos, gestión de cambios, controles criptográficos, respaldo y restauración, y registro/monitorización, garantizando una postura de preparación ante incidentes integral y defendible.