Gestión de Incidentes Ciberseguridad ENS: Protocolo

Cuando se produce un incidente de ciberseguridad, cada minuto cuenta. Una respuesta rápida, coordinada y siguiendo un protocolo establecido puede significar la diferencia entre un incidente menor y una catástrofe. El ENS dedica varios controles a la gestión de incidentes (op.exp.7, op.exp.9 y op.mon) y establece obligaciones específicas de notificación al CCN-CERT. Esta guía detalla cómo diseñar e implementar un proceso de gestión de incidentes que cumpla con el ENS y, sobre todo, que funcione cuando realmente se necesite.

🔗 ENLACE INTERNO: Para el contexto general del ENS, consulte nuestra guía definitiva del Esquema Nacional de Seguridad.

¿Cuáles son los requisitos de ENS en gestión de incidentes?

El ENS establece requisitos de gestión de incidentes en varios controles. El control op.exp.7 (gestión de incidencias) exige un procedimiento documentado para la gestión del ciclo de vida completo de los incidentes. El control op.exp.9 (registro de la gestión de incidentes) requiere mantener un registro detallado de cada incidente. Y la familia op.mon (monitorización) establece las capacidades de detección necesarias.

En categoría BÁSICA, se exige un procedimiento básico de gestión de incidentes y registro de los mismos. En categoría MEDIA, se requieren además capacidades de detección automatizada, clasificación según la taxonomía del CCN-CERT, y notificación obligatoria al CCN-CERT a través de la plataforma LUCIA. En categoría ALTA, se exigen además tiempos de respuesta definidos, capacidades de análisis forense y planes de comunicación de crisis.

El ciclo de vida de un incidente de seguridad

Fase 1: preparación

La preparación es todo lo que se hace antes de que ocurra un incidente. Incluye definir el equipo de respuesta a incidentes (quién participa y con qué roles), establecer procedimientos de respuesta documentados y accesibles, configurar las herramientas de detección (SIEM, IDS/IPS, EDR), establecer canales de comunicación de emergencia que funcionen si los sistemas habituales están comprometidos, mantener actualizada la lista de contactos de emergencia (CCN-CERT, INCIBE, fuerzas de seguridad, proveedores clave), y realizar simulacros periódicos.

Fase 2: detección e identificación

La detección puede producirse por diversas vías: alertas del SIEM o IDS, notificación de un usuario, comunicación de un proveedor, alerta del CCN-CERT, o descubrimiento durante una auditoría. Una vez detectada una anomalía, debe determinarse si se trata realmente de un incidente de seguridad y cuál es su alcance inicial.

Fase 3: clasificación y priorización

Todo incidente debe clasificarse según la taxonomía del CCN-CERT, que establece categorías de peligrosidad y tipos de incidente. La clasificación determina la prioridad de respuesta y las obligaciones de notificación. Los incidentes se clasifican por su peligrosidad en críticos, muy altos, altos, medios y bajos.

Fase 4: contención

La contención tiene como objetivo limitar el daño y evitar que el incidente se extienda. Las medidas de contención pueden incluir aislar sistemas comprometidos de la red, bloquear cuentas comprometidas, redirigir tráfico, activar reglas de firewall de emergencia o apagar sistemas si es necesario.

La contención debe ser rápida pero inteligente. Un aislamiento precipitado puede destruir evidencias que serán necesarias para el análisis posterior. Es recomendable crear imágenes forenses de los sistemas comprometidos antes de realizar la contención definitiva.

Fase 5: erradicación

Una vez contenido el incidente, se procede a eliminar la causa raíz. Esto puede implicar eliminar malware, corregir vulnerabilidades explotadas, restaurar sistemas desde copias de seguridad limpias, o reconstruir sistemas comprometidos desde cero.

Fase 6: recuperación

La recuperación consiste en restablecer los servicios afectados a su funcionamiento normal. Es importante hacerlo de forma controlada, verificando que los sistemas restaurados están limpios y seguros antes de reconectarlos a la red de producción.

Fase 7: lecciones aprendidas

Después de cada incidente significativo, se debe realizar un análisis post-incidente que documente qué ocurrió, cómo se detectó, qué se hizo bien y qué se puede mejorar, y qué medidas preventivas se van a implementar para evitar que se repita.

Notificación al CCN-CERT a través de LUCIA

Para sistemas sujetos al ENS (categoría MEDIA y ALTA), la notificación de incidentes al CCN-CERT es obligatoria. La notificación se realiza a través de la plataforma LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), desarrollada por el CCN.

LUCIA permite registrar el incidente con su clasificación, mantener actualizado el estado del incidente durante su gestión, comunicarse con el CCN-CERT para recibir apoyo técnico, y generar informes de cierre.

Los plazos de notificación dependen de la peligrosidad del incidente. Los incidentes críticos deben notificarse de forma inmediata. Los incidentes de peligrosidad alta en las primeras 12 horas. Los de peligrosidad media y baja según los plazos establecidos en la guía CCN-STIC correspondiente.

Relación con otras obligaciones de notificación

Un incidente de seguridad puede generar obligaciones de notificación adicionales. Si afecta a datos personales, debe notificarse a la AEPD en un plazo máximo de 72 horas conforme al RGPD. Si afecta a un operador de servicios esenciales o importante, debe notificarse también en el marco de la Directiva NIS2. Y si constituye un delito, debe ponerse en conocimiento de las fuerzas y cuerpos de seguridad del Estado.

Es fundamental que el procedimiento de gestión de incidentes contemple todas estas obligaciones de notificación y establezca quién es responsable de cada una.

🔗 ENLACE INTERNO: Consulte nuestro artículo sobre normativa de ciberseguridad en España para entender todas las obligaciones de notificación.

Indicadores de gestión de incidentes

Para demostrar ante los auditores ENS que su proceso de gestión de incidentes funciona, mantenga un registro que incluya el número de incidentes por tipo y peligrosidad, el tiempo medio de detección, el tiempo medio de contención, el tiempo medio de resolución, el porcentaje de incidentes notificados en plazo al CCN-CERT, y las acciones de mejora derivadas de las lecciones aprendidas.

📩 CTA: ¿Necesita diseñar su proceso de gestión de incidentes conforme al ENS? Contacte con nosotros. Le ayudamos a establecer un protocolo de respuesta eficaz y a preparar su equipo con simulacros reales.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Análisis de Riesgos MAGERIT para ENS: Guía Práctica.

Preguntas frecuentes

¿Quién debe cumplir el ENS?

Lo deben cumplir todas las administraciones públicas y los proveedores privados que presten servicios TIC al sector público. Para sistemas sujetos al ENS (categoría MEDIA y ALTA), la notificación de incidentes al CCN-CERT es obligatoria. La notificación se realiza a través de la plataforma LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), desarrollada por el CCN.

¿Cuáles son las categorías del ENS?

El ENS tiene tres categorías: BÁSICA, MEDIA y ALTA, según el impacto que tendría un incidente de seguridad sobre la información tratada. En categoría BÁSICA, se exige un procedimiento básico de gestión de incidentes y registro de los mismos. En categoría MEDIA, se requieren además capacidades de detección automatizada, clasificación según la taxonomía del CCN-CERT, y notificación obligatoria al CCN-CERT a través de la plataforma LUCIA.

¿Cuál es el plazo para cumplir el ENS?

El Real Decreto 311/2022 estableció plazos diferenciados según la situación de partida de cada organización; en general la adecuación debe estar completa en 24 meses desde su publicación. La contención tiene como objetivo limitar el daño y evitar que el incidente se extienda. Las medidas de contención pueden incluir aislar sistemas comprometidos de la red, bloquear cuentas comprometidas, redirigir tráfico, activar reglas de firewall de emergencia o apagar sistemas si es necesario.

¿Necesitas ayuda con esto?

Trabaja conmigo en Adecuación al ENS

Consultoría a medida en adecuación al ENS. Primera sesión sin coste.

Agendar sesión →

Categorías

Estrategia y diagnóstico

Ejecución y canales

Inteligencia artificial aplicada al marketing

Formación, conferencias y ponencias

Experiencia de cliente

Dirección de marketing externa

Consultoría estratégica completa.

Por categoría

Industrias en las que trabajo

Dónde trabajo

Ámbito comercial

Por tamaño de empresa

Canarias, mercado con identidad propia.

Gestión de Incidentes Ciberseguridad ENS: Protocolo

¿Cuáles son los requisitos de ENS en gestión de incidentes?

Fase 1: preparación

Fase 2: detección e identificación

Fase 3: clasificación y priorización

Fase 4: contención

Fase 5: erradicación

Fase 6: recuperación

Fase 7: lecciones aprendidas

Notificación al CCN-CERT a través de LUCIA

Relación con otras obligaciones de notificación

Indicadores de gestión de incidentes

Trabaja conmigo en Adecuación al ENS

¿Quieres aplicar esto a tu organización?

Gestión de Incidentes Ciberseguridad ENS: Protocolo

¿Cuáles son los requisitos de ENS en gestión de incidentes?

Fase 1: preparación

Fase 2: detección e identificación

Fase 3: clasificación y priorización

Fase 4: contención

Fase 5: erradicación

Fase 6: recuperación

Fase 7: lecciones aprendidas

Notificación al CCN-CERT a través de LUCIA

Relación con otras obligaciones de notificación

Indicadores de gestión de incidentes

Sigue leyendo en Cumplimiento ENS

Trabaja conmigo en Adecuación al ENS

¿Quieres aplicar esto a tu organización?