Plan de Gestión de Incidentes de Ciberseguridad (CSIMP, 2024)

Publicado en por juancornago

El Plan de Gestión de Incidentes de Ciberseguridad del Gobierno del Estado de Victoria, Australia (en inglés, Cyber Security Incident Management Plan, CSIMP) es un documento de gobierno que ordena cómo se clasifica, notifica y coordina un incidente grave de ciberseguridad cuando afecta a varias entidades públicas a la vez. El plan se aplica a todo el gobierno del estado (modelo llamado “Whole of Government”, WoVG) y define con precisión quién hace qué, cuándo y cómo en cada fase: mitigación, preparación, respuesta, recuperación y lecciones aprendidas.

El CSIMP comienza describiendo el alcance y los tipos de incidente. Establece una escala de seis niveles de severidad que va desde un simple evento sin impacto hasta una emergencia. En la práctica, la gestión gira en torno a tres niveles operativos: limitado, mayor y crítico. Cada nivel activa responsables, recursos y plazos de notificación concretos.
El plan también explica la gobernanza durante la crisis: el Departamento de Servicios del Gobierno (Department of Government Services, DGS) lidera la coordinación, el Servicio de Respuesta a Incidentes de Ciberseguridad (Cyber Incident Response Service, CIRS) organiza la respuesta técnica y el Director de Seguridad de la Información del Estado (Chief Information Security Officer, CISO) decide la clasificación a nivel estatal. Cuando el incidente puede escalar a una emergencia, el Comisionado de Gestión de Emergencias (Emergency Management Commissioner, EMC) entra en juego para alinear la respuesta con los mecanismos generales de protección civil.

Lo que aporta

El valor del CSIMP está en tres aspectos muy prácticos:

  1. Clasificación homogénea y accionable. Con la escala de severidad no hay debates eternos: el nivel define automáticamente a quién se avisa, qué foros se convocan y qué decisiones son obligatorias (por ejemplo, escalar a dirección, activar comunicación pública o pedir apoyo forense).
  2. Notificación ordenada y sin duplicidades. El plan incluye un diagrama de avisos que indica quién informa a quién y en qué plazo. Además, la sensibilidad de la información se marca con el Protocolo del Semáforo (Traffic Light Protocol, TLP), para saber qué se puede compartir y con quién en cada momento.
  3. Gestión de consecuencias, no solo de tecnología. La respuesta contempla impactos técnicos y no técnicos: servicio a la ciudadanía, efectos económicos, comunicación pública y coordinación con otras autoridades (por ejemplo, el Centro Australiano de Ciberseguridad, Australian Cyber Security Centre, ACSC, o la Oficina del Comisionado de Información de Victoria, Office of the Victorian Information Commissioner, OVIC).

Guía de lectura

Primero, el plan resume fases y principios. Después define tipos de incidente y niveles de severidad. A continuación describe la gobernanza y su relación con otras leyes y planes (por ejemplo, la Ley de Seguridad de Infraestructuras Críticas del país, Security of Critical Infrastructure Act, conocida como SOCI Act). Más adelante concreta mitigación y preparación (controles mínimos y ejercicios), detección, análisis y notificación, coordinación y comunicación, y cierra con recuperación y lecciones aprendidas. En los apéndices encontrarás glosarios, listas de fuentes de compromiso y tablas de equivalencias con marcos de madurez.

Qué significa para una organización en España o la Unión Europea

Para aplicar este enfoque en nuestro entorno conviene hacer tres alineamientos desde el minuto uno:

  • Normativa europea y española. Mapea el plan a la Directiva NIS2 (plazos de notificación de 24 y 72 horas), al Esquema Nacional de Seguridad (ENS), al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Si eres entidad financiera, alinéalo también con el Reglamento de Resiliencia Operativa Digital (DORA).
  • Marcos técnicos. Asegura la compatibilidad con ISO/IEC 27035 (gestión de incidentes), con el Marco de Ciberseguridad del NIST (NIST Cybersecurity Framework, NIST CSF) y, si te resulta útil, con el conjunto de ocho controles prioritarios del Gobierno australiano (conocidos como Essential Eight).
  • Cadena de suministro. Refuerza contratos con equipos de respuesta a incidentes propios o de terceros (Computer Security Incident Response Team, CSIRT) y con proveedores de servicios gestionados (Managed Service Provider, MSP) o centros de operaciones de seguridad (Security Operations Center, SOC): exige registros, tiempos de recuperación, co-ejercicios y derecho de auditoría.

Reflexión para la Dirección

Empieza por adoptar la escala de severidad y dibujar tu diagrama de avisos en una sola página. Ese esquema debe indicar quién llama a quién, con qué información mínima y en qué plazo. Después, prepara cinco guiones de actuación (ransomware, denegación de servicio, intrusión, suplantación de pagos y fuga de datos) y prueba todo con un ejercicio de mesa de dos horas. Por último, fija métricas de manejo de crisis: tiempo hasta detectar, tiempo hasta contener, calidad de la evidencia forense, tiempo hasta el primer mensaje público y cumplimiento de plazos regulatorios.

El CSIMP trata el incidente como lo que es: un problema de negocio y de servicio público que requiere coordinación, comunicación clara y recuperación con métricas, además de la técnica pura y dura. Si lo alineas con NIS2, ENS, RGPD y DORA, tendrás un plan ejecutable y auditable el primer día.

Glosario rápido de siglas importantes

  • CSIMP: Cyber Security Incident Management Plan — Plan de Gestión de Incidentes de Ciberseguridad (Victoria, Australia).
  • WoVG: Whole of Government — Enfoque de “todo el gobierno del estado”.
  • DGS: Department of Government Services — Departamento de Servicios del Gobierno.
  • CIRS: Cyber Incident Response Service — Servicio de Respuesta a Incidentes de Ciberseguridad.
  • EMC: Emergency Management Commissioner — Comisionado de Gestión de Emergencias.
  • ACSC: Australian Cyber Security Centre — Centro Australiano de Ciberseguridad.
  • OVIC: Office of the Victorian Information Commissioner — Oficina del Comisionado de Información de Victoria.
  • TLP: Traffic Light Protocol — Protocolo del Semáforo para marcar sensibilidad y compartir información.
  • SOCI Act: Security of Critical Infrastructure Act — Ley de Seguridad de Infraestructuras Críticas.
  • ENS: Esquema Nacional de Seguridad (España).
  • RGPD/LOPDGDD: Normativa de protección de datos en la UE y en España.
  • NIS2: Directiva (UE) 2022/2555 sobre ciberseguridad.
  • DORA: Reglamento de Resiliencia Operativa Digital para el sector financiero.
  • NIST CSF: NIST Cybersecurity Framework — Marco de Ciberseguridad del NIST.
  • Essential Eight: Ocho controles prioritarios recomendados por el Gobierno australiano.
  • ISO/IEC 27035: Norma de gestión de incidentes de seguridad de la información.
  • CSIRT / SOC / MSP: Equipo de respuesta a incidentes / Centro de Operaciones de Seguridad / Proveedor de Servicios Gestionados.

Puedes leer el documento completo en: CSIMPCSIMP

Si te ha gustado la entrada puedes valorarla en: [Ratings]

Sin comentarios aún
aapp cadena de suministro CISO consecuencia dora ejercicios essential eight Gestión de Incidentes gobierno de seguridad lecciones aprendidas NIS2 nist csf notificaciones proveedores recuperación respuesta a incidentes tlp

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.