Objetivo de esta sección

Definir de forma clara y sencilla qué es un incidente de seguridad, así como cómo actuar ante él y a quién comunicarlo, con el fin de:

Minimizar daños económicos, legales y operativos.

Evitar que el incidente se repita.

Cumplir con las buenas prácticas de seguridad y con el ENS.

Dejar constancia documental de lo ocurrido.

¿Qué es un incidente de seguridad?

  • La confidencialidad de la información.

  • La integridad de los datos.

  • La disponibilidad de los sistemas.

  • La imagen o reputación de la empresa.

Ejemplos de incidentes

  • Recepción de un correo fraudulento o suplantación de identidad.

  • Cambio de cuenta bancaria solicitado por email sin verificación.

  • Apertura de un archivo adjunto sospechoso.

  • Robo o filtración de credenciales.

  • Acceso no autorizado a sistemas.

  • Infección por malware o ransomware.

  • Llamadas o SMS sospechosos solicitando información.

¿Quién debe comunicar un incidente?

Todo el personal, independientemente de su puesto o departamento, tiene la obligación de comunicar cualquier sospecha.

No es necesario confirmar que sea un ataque real.
Ante la duda, se comunica.

¿A quién avisar?

Según la organización de la empresa, el incidente debe comunicarse a:

  • Departamento de IT / Sistemas

  • Responsable de Seguridad de la Información

  • Responsable ENS

  • Responsable directo (si aplica)

Qué NO hacer ante los incidentes

Para evitar agravar la situación, no se debe:

  • Responder al correo o mensaje sospechoso.

  • Facilitar información adicional.

  • Hacer clic en enlaces dudosos.

  • Abrir adjuntos sospechosos.

  • Borrar correos, mensajes o evidencias.

  • Intentar “solucionarlo por cuenta propia” sin avisar.

Pasos a seguir ante un incidente

1. Detener la acción

  • No interactuar con el correo, enlace o archivo sospechoso.

  • Si ya se ha hecho clic o ejecutado algo, detener la actividad inmediatamente.

2. Conservar evidencias

  • No borrar el correo, SMS o mensaje.

  • Guardar capturas de pantalla si es necesario.

  • Anotar fecha, hora y contexto.

3. Comunicar el incidente

  • Avisar inmediatamente por los canales definidos.

  • Indicar:

                  – Cuándo se detectó.

                  – Qué ha ocurrido.

                  – Qué se ha hecho hasta el momento.

4. Seguir instrucciones

  • El personal afectado debe seguir las indicaciones del área técnica o responsable de seguridad.

  • No realizar acciones adicionales sin autorización.

Registro del incidente

Todo incidente debe quedar registrado, aunque finalmente se confirme que no era un ataque real.

El registro debe incluir, al menos:

  • Fecha y hora.

  • Tipo de incidente (phishing, fraude, malware, etc.).

  • Departamento afectado.

  • Descripción de lo ocurrido.

  • Cómo se detectó.

  • Medidas adoptadas.

  • Impacto (si lo hubo).

  • Acciones correctivas y preventivas.

Este registro permite:

  • Cumplir con el ENS.

  • Analizar tendencias.

  • Mejorar procedimientos.

  • Justificar medidas en auditorías.

Incidentes con datos personales

Si el incidente afecta o puede afectar a datos personales:

  • Se debe comunicar de forma inmediata al Responsable de Seguridad / DPO.

  • Se evaluará la necesidad de notificación a la AEPD.

  • Se documentarán todas las actuaciones realizadas.