La gestión de incidentes de seguridad de la información es un componente esencial dentro de cualquier sistema de gestión de la seguridad, especialmente en organizaciones que buscan garantizar la continuidad del negocio y la protección de los activos de información. Dos marcos ampliamente utilizados para estructurar esta gestión son la guía del NIST SP 800-61 Rev. 3, publicada por el Instituto Nacional de Estándares y Tecnología de EE. UU., y la norma internacional ISO/IEC 27035, que proporciona un enfoque sistemático para responder a incidentes en todo tipo de organizaciones.
El NIST SP 800-61 Rev. 3 establece un enfoque de ciclo de vida dividido en cuatro fases: preparación, detección y análisis, contención/erradicación/recuperación, y actividades post-incidente. Esta guía ofrece recomendaciones detalladas sobre cómo estructurar un equipo de respuesta a incidentes (CSIRT), cómo recopilar evidencias digitales y cómo coordinar acciones con terceros, incluyendo entidades legales y organismos reguladores. Su orientación técnica y práctica la hace especialmente útil en entornos tecnológicos complejos.
Por otro lado, la ISO/IEC 27035 (en sus partes más relevantes, especialmente la Parte 1 y Parte 2) propone un enfoque basado en procesos, donde la gestión de incidentes está integrada en el sistema de gestión de seguridad de la información (SGSI). Esta norma destaca la importancia de identificar eventos que podrían convertirse en incidentes, evaluar su impacto, y responder de forma eficaz, con un fuerte énfasis en la mejora continua. Asimismo, introduce la necesidad de establecer roles, responsabilidades, y políticas claras para asegurar una respuesta efectiva y coordinada.
Ambos marcos son complementarios. Mientras NIST aporta directrices operativas detalladas, ISO 27035 proporciona una base organizativa y de gestión alineada con otros estándares ISO, como la ISO/IEC 27001. En conjunto, permiten establecer capacidades maduras de respuesta a incidentes que no solo reaccionan eficazmente ante eventos, sino que también previenen su recurrencia, fortaleciendo así la postura global de ciberseguridad de la organización.
Enlaces de interes