Triaje de Seguridad: Evento vs. Incidente

El arte de filtrar el ruido para identificar amenazas reales al negocio.

Evento

Event

Cualquier ocurrencia observable en un sistema o red.

  • Neutral por naturaleza.
  • Frecuencia alta (miles por segundo).
  • No implica necesariamente un impacto negativo.
ACCIÓN: LOG & MONITOREO INFORMATIVO

Incidente

Incident

Un evento que resulta en una violación de las políticas o un impacto adverso.

  • Negativo y disruptivo (Violación CIA).
  • Requiere respuesta activa inmediata.
  • Ejemplo: Ransomware o exfiltración de DB.
ACCIÓN: ACTIVACIÓN IRP DISRUPTIVO

Flujo de Triaje Gerencial

Detección

Input de Sensores

Análisis / Triaje

Diferenciación

Escalamiento

Impacto al BIA

La "Regla de Oro" del CISM

"Todo Incidente es un Evento, pero no todo Evento es un Incidente. El factor diferenciador es el Impacto o la Violación de Política."

Autoevaluación Rápida

Alerta de Firewall bloqueando un puerto escaneado externamente.

Evento

Usuario reporta que no puede abrir archivos Excel (.locked).

Incidente

Fuga de datos (Exfiltración) detectada por el sistema DLP.

Incidente

Notificación de cambio de contraseña exitoso por un admin.

Evento
Falsos Positivos

Eventos que parecen incidentes pero no lo son. Consumen recursos innecesarios del SOC.

Gravedad

Determinada por el impacto financiero o legal. Un incidente 'Bajo' puede escalar si afecta al BIA.

Escalamiento

Proceso formal para mover la gestión de 'Operaciones SOC' a 'Gestión de Crisis Gerencial'.

Preparación CISM Domain 4: Incident Management

© 2026 Infografía de Estudio | Enfoque ISACA