BG Beter Geregeld ICT
Compliance · 2 min leestijd · 26 octubre 2025

Cómo crear un registro de incidentes que convenza a los auditores

Un registro de incidentes vacío es una señal de alarma para los auditores. No significa que no haya incidentes, sino que no los estás registrando. Aquí te explicamos cómo crear un registro funcional.

"No hemos tenido ningún incidente en el último año" es una frase que los auditores escuchan con el ceño fruncido. Prácticamente todas las organizaciones tienen incidentes — desde un correo de phishing detectado a tiempo hasta una contraseña compartida que se pegó accidentalmente en Slack. Registrarlos demuestra que te estás ocupando del asunto.

¿Qué es un incidente?

Cualquier evento que (potencialmente) comprometa la confidencialidad, integridad o disponibilidad de la información empresarial. Los incidentes no son lo mismo que las brechas de datos — muchos son menores y se resuelven rápidamente, pero aun así merecen ser registrados.

¿Qué se documenta por cada incidente?

  • Fecha y hora de detección
  • Descripción breve (p. ej., "correo de phishing aparentemente del CEO")
  • Categoría (phishing, dispositivo perdido, malware, divulgación accidental, brecha de datos, otro)
  • Gravedad (baja/media/alta)
  • Quién lo reportó
  • Quién lo gestionó
  • Estado (abierto, en curso, cerrado)
  • Acciones tomadas
  • Causa raíz y lección aprendida (al cerrar)
  • ¿Se requiere notificación de brecha GDPR? Sí/No + justificación

¿Dónde lo registras?

Una base de datos en Airtable, Notion o una hoja de cálculo aparte está perfectamente bien, siempre que sea estructurada. Para más de 50 incidentes al año, vale la pena considerar una herramienta dedicada.

Conexión con el registro de riesgos

Todo incidente de alto impacto debe reflejarse en el registro de riesgos: aumenta la puntuación de probabilidad, actualiza las medidas y reduce el riesgo residual una vez que hayas actuado.

Notificación de brecha (GDPR)

Una brecha de datos debe notificarse a la autoridad competente en un plazo de 72 horas tras su descubrimiento. Consulta notificación de brecha GDPR. Tu registro de incidentes es la prueba principal de que lo hiciste a tiempo.

Onderwerpen

#governance #iso-27001 #incident-management

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 para pymes sin gastar €50k en consultores

ISO 27001 es perfectamente alcanzable si entiendes su estructura. Aquí encontrarás el trabajo mínimo que necesita una pyme de 30 personas para superar una auditoría Stage 2, cuánto cuesta y dónde los consultores sí aportan valor.

2 min
Compliance

Costes de ISO 27001: del primer análisis de brechas al certificado

Presupuesto realista para una pyme de 30 personas. Horas internas, auditoría externa, consultoría (la mínima imprescindible) y mantenimiento anual. Sin humo.

2 min
Compliance

¿ISO 27001 o SOC 2? ¿Cuál encaja con tu pyme neerlandesa?

ISO 27001 está orientado al mercado europeo; SOC 2, al americano. ¿Cuál exigen tus clientes? ¿Y pueden combinarse? Aquí tienes las diferencias prácticas para una pyme.

2 min
Compliance

NEN 7510 para empresas del sector salud: un paso más allá del ISO 27001

¿Trabajas en el sector salud o con él? NEN 7510 es una realidad junto a (o en lugar de) ISO 27001. La superposición es amplia; las diferencias están en los datos de pacientes y controles específicos del Anexo.

2 min
Compliance

La revisión por la dirección: ¿qué debe incluir y quién participa?

Uno de los requisitos de la sección 9 de ISO 27001. Anual, con la dirección, 2 horas. Aquí tienes la agenda que acepta un auditor y que además te sirve como ejercicio de preparación.

2 min
Compliance

El ciclo PDCA explicado para directivos

Plan-Do-Check-Act suena burocrático. En la práctica es: escribe lo que haces, hazlo, comprueba si funciona, ajústalo. Aquí la explicación más breve y útil.

2 min
← Alle artikelen in "Compliance"