Saltar al contenido principal
Responsable del SOP: Seguridad de TI — Última revisión: [Fecha]

Qué se considera un incidente

Un incidente es cualquier evento que tiene — o podría tener — un impacto negativo en la confidencialidad, integridad o disponibilidad de los sistemas o datos de la empresa. Ejemplos:
  • Sospecha de violación de datos o acceso no autorizado
  • Infección de ransomware o malware
  • Exposición accidental de datos sensibles
  • Interrupción prolongada del sistema
  • Violación de seguridad física
En caso de duda, trátelo como un incidente. Siempre es mejor escalar innecesariamente que pasar por alto un evento real.

Niveles de severidad

NivelDescripciónTiempo de respuesta
P1 — CríticoViolación activa, ransomware, exfiltración de datosInmediato
P2 — AltoSospecha de violación, interrupción significativa del sistemaDentro de 1 hora
P3 — MedioProblema aislado, sin exposición confirmada de datosDentro de 4 horas
P4 — BajoAnomalía menor, sin riesgo inmediatoDentro de 24 horas

Procedimiento de respuesta

1

Identificar y reportar

Cualquier persona que identifique o sospeche un incidente debe reportarlo inmediatamente a:No intente investigar o resolver el incidente por su cuenta.
2

Contener

Seguridad de TI evaluará la situación y tomará los pasos iniciales de contención, que pueden incluir:
  • Aislar los sistemas afectados de la red
  • Suspender las cuentas comprometidas
  • Bloquear IPs o dominios maliciosos
3

Evaluar

Determinar el alcance y la severidad:
  • ¿Qué sistemas o datos fueron afectados?
  • ¿La amenaza sigue activa?
  • ¿Hay evidencia de exfiltración de datos?
4

Notificar

Según la severidad y el alcance, notificar a:
  • Líderes de equipo y gerencia afectados
  • Legal y cumplimiento normativo (si se sospecha exposición de datos)
  • Clientes afectados (si lo requiere el contrato o la regulación)
  • Organismos reguladores (si lo requiere la ley)
5

Erradicar y recuperar

Eliminar la causa raíz y restaurar los sistemas desde copias de seguridad limpias o estados conocidos como válidos. Verificar la integridad antes de poner los sistemas en línea nuevamente.
6

Revisión post-incidente

Dentro de los 5 días hábiles posteriores a la resolución, realizar una revisión post-incidente para documentar:
  • Cronología de eventos
  • Causa raíz
  • Evaluación de impacto
  • Acciones tomadas
  • Medidas preventivas para el futuro

Directrices de comunicación

  • No discuta incidentes activos en canales públicos, redes sociales ni con partes no autorizadas
  • Las comunicaciones internas sobre incidentes deben mantenerse por correo electrónico o mensajes directos — no en canales de Slack
  • Todas las comunicaciones externas deben ser aprobadas por Legal antes de ser enviadas
Responsable del SOP: Seguridad de TI