Un incidente de ciberseguridad no siempre empieza con una pantalla bloqueada.
A veces inicia con una alerta ignorada, una cuenta comprometida o un comportamiento extraño en un servidor.
La preparación define si el equipo responde con orden o con presión. No se trata de tener un documento largo, sino de tener decisiones críticas listas antes de necesitarlas.
Define qué cuenta como incidente
No todo evento es un incidente. Pero si nadie define criterios, cada alerta se discute desde cero.
Tu empresa debe tener una lista mínima de situaciones que activan respuesta: acceso no autorizado, malware, fuga de información, abuso de credenciales, cambios sospechosos en infraestructura o interrupciones asociadas a seguridad.
Asigna roles antes de necesitarlos
Durante un incidente, las decisiones se vuelven más lentas si nadie sabe quién coordina, quién comunica, quién revisa sistemas y quién autoriza acciones.
Define responsables para:
- Coordinación técnica.
- Comunicación interna.
- Contacto con dirección.
- Preservación de evidencia.
- Relación con proveedores.
- Recuperación de servicios.
Tip práctico: no dependas de una sola persona. Define suplentes para roles críticos.
Prepara evidencia y registros
Responder sin logs es investigar a oscuras.
Antes de un incidente, revisa qué registros conservas, por cuánto tiempo, quién puede acceder a ellos y qué sistemas críticos no están generando evidencia suficiente.
Esto conecta directamente con monitoreo y análisis de seguridad y con una estrategia de ciberseguridad más madura.
Revisa respaldos y recuperación
Un respaldo que nunca se prueba puede fallar justo cuando más importa.
Valida frecuencia, ubicación, acceso, cifrado y tiempo estimado de recuperación. También revisa si los respaldos están protegidos contra eliminación o cifrado por cuentas comprometidas.
Documenta decisiones de contención
Contener puede significar aislar un equipo, deshabilitar cuentas, bloquear tráfico o detener un servicio.
Cada acción puede tener impacto operativo. Por eso conviene definir criterios antes: qué se puede apagar, quién autoriza y qué servicios tienen prioridad.
Prepara comunicación alterna
Si el correo está comprometido, no debe ser el único canal de coordinación. Define un canal alterno para crisis y prueba que las personas clave sepan usarlo.
También conviene preparar mensajes internos simples: qué se sabe, qué no se sabe todavía, qué acciones se esperan y a quién reportar señales nuevas.
Después del incidente también hay trabajo
Cuando el servicio vuelve, todavía falta entender causa raíz, alcance, controles faltantes y mejoras necesarias.
La fase posterior evita repetir el mismo problema. En Syscore podemos ayudarte a revisar tu preparación y diseñar un proceso práctico de gestión de incidentes alineado a tu operación.
Señales de que no estás listo
Hay señales claras de preparación débil: nadie sabe dónde están los logs, los respaldos no se prueban, las cuentas administrativas son compartidas, no existe canal alterno de comunicación o cada área tiene una idea distinta de qué hacer.
También es mala señal que todos los incidentes dependan de una sola persona. Si esa persona no está disponible, la operación queda detenida.
Primer ejercicio recomendado
Simula una cuenta de correo comprometida. Es un escenario común y permite probar identidad, correo, comunicación interna, revisión de reglas de reenvío, revocación de sesiones y recuperación.
No lo hagas como sorpresa punitiva. Hazlo como ejercicio de mesa: qué sabemos, qué revisamos, quién decide y qué evidencia necesitamos.