El NIST Incident Response Framework (NIST SP 800-61r3, abril 2025) define un ciclo estructurado de 4 fases para gestionar incidentes de ciberseguridad de forma sistemática y minimizar impactos.[csrc.nist]
Las 4 fases principales
Preparación: Establecer equipo CSIRT, políticas, herramientas (SIEM, playbooks), formación y comunicaciones antes de incidentes.[bluevoyant]
Detección y análisis: Identificar incidentes mediante logs, NetFlow, alertas SIEM; validar, priorizar por criticidad y documentar alcance.[crowdstrike]
Contención, erradicación y recuperación: Aislar sistemas afectados, eliminar amenaza (malware, cuentas comprometidas), restaurar operaciones con backups verificados.[cynet]
Actividades posteriores: Lecciones aprendidas, informes forenses, mejora de controles y actualización de playbooks/procesos.[auditboard]
Integración con CSF 2.0
Mapea a funciones Detect (DE), Respond (RS), Recover (RC) del NIST Cybersecurity Framework 2.0, con énfasis en Govern para CSIRT universitarios/públicos.[cm-alliance]
En España y Europa tienen equivalentes al NIST Incident Response Framework adaptados al contexto normativo local.
Equivalentes principales en España/Europa
España – CCN-STIC 810 (Guía de creación de CERT/CSIRT): Marco oficial del CCN-CERT para gestión de incidentes, con ciclo similar (preparación, detección/análisis, respuesta, post-incidente) alineado al ENS y NIS2.[ccn-cert.cni]
INCIBE-CERT: Guías operativas para sector privado/público con playbooks específicos y coordinación nacional (procedimientos de notificación RGPD/ENS).
ENISA (Europeo): Directrices para CSIRT (Guidelines for CSIRT Maturity v2) con ciclo de 6 fases que extiende NIST para NIS2 y Cyber Resilience Act.
Comparación con NIST SP 800-61
| Aspecto | NIST SP 800-61r3 | CCN-STIC 810 / ENISA |
|---|---|---|
| Preparación | Políticas, equipo, herramientas | ENS, playbooks, MoU con INCIBE-CERT |
| Detección | Logs, SIEM, NetFlow | ENS medidas D (monitoreo), SIEM obligatorio |
| Respuesta | Contención/erradicación | Coordinación con CCN-CERT/INCIBE nivel 3/4 |
| Post-mortem | Lecciones aprendidas | Informes ENS, notificación NIS2 |
| Normativa | Voluntaria/recomendada | Obligatoria (ENS, NIS2, LOPDGDD) |
Aplicación práctica en CSIRT universitarios/públicos
Universidades españolas siguen CCN-STIC 810 + ENS Alto con coordinación INCIBE-CERT para incidentes que afecten datos personales (RGPD) o infraestructuras críticas (NIS2). ENISA provee madurez levels para autoevaluación CSIRT.[cybereop]