👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO/IEC 42001:2023: A.8.3, A.8.4
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer un plan de respuesta ante emergencias para el sistema de gestión de IA, considerando desde cómo deben reportarse, hasta su resolución y posible comunicación.
Implementar este procedimiento te permite:
Definir los pasos adecuados para responder de forma rápida y ordenada ante la ocurrencia de riesgos relacionados a la inteligencia artificial.
Minimizar el impacto y contener el incidente rápidamente con acciones claras y puntuales.
Aprender y mejorar continuamente la atención y respuesta a incidentes con base en las lecciones aprendidas.
Cumplir con la normativa ISO ya que es un requisito fundamental el tener un proceso documentado para gestionar y comunicar incidentes de manera efectiva.
¿Qué tengo que hacer? 🚀
Para elaborar este procedimiento te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca. Una vez leídos ambos recursos, debes asegurar que el procedimiento se encuentre alineado a tus operaciones.
A continuación, te explicamos con mayor detalle el propósito de las etapas que encontrarás en el template:
Detección del evento. Esta es la fase inicial donde se identifica que algo extraño o malicioso está ocurriendo. Generalmente la notificación de un incidente puede provenir de dos fuentes principales:
Canales externos: Reportes realizados por usuarios, clientes o proveedores. Esto se podría llevar a cabo a través del Mecanismo de reporte de incidentes.
Canales internos: Alertas automáticas generadas por tus propias herramientas de monitoreo (SIEM, antivirus, etcétera) o reportes directos de tus colaboradores.
Análisis y clasificación del incidente. Una vez detectado, es crucial entender qué tan grave es lo que está ocurriendo, analizando la causa raíz, el tipo y severidad del incidente.
Para ello, el Anexo 1 de nuestro template puede ser tu principal herramienta y orientación para clasificar incidentes.
Clasificación con base en el anexo 1 de nuestro template. Lo que te proponemos en este anexo 1 son una serie de características que pueden ayudarte a entender y clasificar incidentes.
Categorías de activos afectados: Sistemas, procesos, personas, ambiente, información confidencial, datos personales.
Prioridad del incidente: Te proponemos una matriz que combina la urgencia (qué tan rápido se debe actuar) con el impacto (qué tan grave es el daño al negocio) para obtener un nivel de prioridad formal (crítica, alta, media, baja).
Definición de SLAs: Una vez definida la prioridad del incidente, podrás asociarle un tiempo de respuesta máximo (SLA) adecuado, asegurando una atención oportuna.
Remediación del incidente. Etapa de acción y contención, donde se aplican las soluciones pertinentes, las cuales podrían venir de incidentes similares que ya hayan ocurrido y por ende, las soluciones ya fueron probadas. O directamente de los responsables analistas que deben definir cómo remediar el incidente.
Aquí también se deben asignar los recursos necesarios, escalar a niveles superiores de soporte si es necesario, y siempre documentando las acciones tomadas.
Cierre formal del incidente. Dar un cierre formal al incidente es muy importante ya que desencadena otras dos actividades críticas: la comunicación a los afectados y el registro para las lecciones aprendidas.
Comunicación del incidente. Promueve la transparencia y hace que la organización cumpla los requisitos normativos. Dependiendo del tipo y la gravedad del incidente, en esta etapa del procedimiento se debe emitir un informe a las partes interesadas (clientes, usuarios internos, etcétera) y/o externo, si aplica, a las autoridades.
Lecciones aprendidas. Para ISO 27001 es súper importante entender que el ciclo de gestión de incidentes no termina realmente hasta que la organización ha aprendido de él. Y en esta última etapa estratégica, el registro de incidentes se convierte en una base de conocimiento muy valiosa que ayuda a analizar tendencias, identificar problemas recurrentes e incluso podría evitar que un mismo incidente vuelva a ocurrir.
Recuerda que nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento, pero es ESENCIAL que lo ajustes a las necesidades y contexto real de tu organización.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Analiza bien los incidentes y preferentemente no los clasifiques tú solo, hazlo en equipo para tener una perspectiva más completa. Una buena clasificación al inicio del incidente asegura que la respuesta sea proporcional y efectiva.
No esperes al incidente para prepararte. El mejor procedimiento es el que se ha practicado. Realiza ejercicios de simulación para los escenarios de incidentes de IA más críticos que puedas imaginar. Esto prepara a tu equipo para actuar con calma y eficacia bajo presión.
La comunicación es fundamental por lo que presta mucha atención en el paso correspondiente a esto dentro del procedimiento. Establece las acciones reales que realiza tu empresa, definiendo claramente a quién, qué y cuándo se debe comunicar.
Fomenta una cultura de reporte sin culpa. Es vital que todos los empleados e incluso las partes externas, se sientan seguros de reportar una anomalía o un error que hayan detectado, sin temor a represalias. Un reporte temprano puede evitar que un pequeño problema se convierta en una gran crisis.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.