Retención legal por incidente de ciberseguridad para GDPR, NIS2 y DORA
A las 4:17 de la madrugada, María, directora de Seguridad de la Información de un proveedor fintech SaaS, recibió la llamada para la que todo responsable de seguridad se prepara y que, aun así, espera no recibir nunca. Los servidores críticos de producción no respondían. Los archivos estaban cifrados. Una nota de rescate estaba abierta en la pantalla de un administrador júnior.
A las 4:28, el equipo de respuesta a incidentes quería aislar los sistemas afectados y redesplegar infraestructura limpia. A las 4:41, ingeniería preguntó si podía rotar credenciales, purgar archivos temporales y reconstruir contenedores. A las 5:03, el Delegado de Protección de Datos (DPO) advirtió que el entorno comprometido contenía identificadores de clientes y metadatos de transacciones. A las 5:16, el asesor jurídico se incorporó al puente de crisis con una instrucción: “No destruyáis posibles evidencias. Puede que necesitemos una retención legal.” A las 5:30, el director de operaciones (COO) preguntó si se habían activado las obligaciones de notificación de DORA. A las 6:00, María recordó el reloj de NIS2: una alerta temprana podía vencer en 24 horas, una notificación más completa en 72 horas y un informe final en el plazo de un mes.
Entonces llegó la pregunta que determina si un incidente de ciberseguridad será defendible o caótico:
“¿Seguimos teniendo los registros?”
Este es el problema de gobernanza posterior al incidente que muchos planes de respuesta infravaloran. No basta con detectar, contener y recuperar. En 2026, las organizaciones también deben probar qué ocurrió, preservar las evidencias relevantes, evitar corromper artefactos forenses, respetar la minimización de datos de GDPR, respaldar la supervisión de NIS2 y mantener registros de riesgo de las TIC exigidos por DORA que resistan auditorías, litigios y revisiones regulatorias.
La retención legal por incidente de ciberseguridad y la conservación de evidencias se sitúan en el punto de colisión entre operaciones de seguridad, privacidad, asesoría jurídica, cumplimiento, ingeniería en la nube, gestión de proveedores y auditoría. Si el proceso se improvisa durante una brecha de seguridad, la organización puede perder las evidencias necesarias para el análisis de causa raíz, la notificación a reguladores, las reclamaciones al seguro, la defensa jurídica, las medidas disciplinarias y la confianza de los clientes. Si se sobredimensiona, la organización puede conservar datos personales en exceso y crear un segundo problema de cumplimiento.
El enfoque de Clarysec consiste en convertir la retención legal en un proceso controlado del SGSI, no en una reacción de pánico. El modelo conecta la gobernanza de ISO/IEC 27001:2022, los controles de evidencias y registro de ISO/IEC 27002:2022, la responsabilidad proactiva de GDPR, la notificación de incidentes de NIS2 y las evidencias de riesgo de las TIC de DORA en un único sistema operativo. Ese sistema indica a los equipos qué preservar, quién puede autorizar la preservación, cuánto tiempo permanecen las evidencias bajo retención, quién puede acceder a ellas y cuándo puede reanudarse la eliminación.
Las primeras 24 horas deciden si las evidencias sobreviven
En muchos incidentes reales, las evidencias no las destruyen los atacantes. Las destruyen las operaciones normales.
Caduca un período de conservación de registros en la nube. Se redespliega un contenedor. Se reinstala la imagen de un endpoint antes de capturar la memoria. Un administrador de SaaS exporta un CSV para la investigación y después edita el archivo. Un ingeniero bienintencionado elimina scripts maliciosos antes de obtener una copia forense. Una tarea de conservación de un almacén de datos elimina los registros necesarios para determinar qué clientes se vieron afectados.
La organización puede recuperarse operativamente, pero pierde la prueba. Esa distinción importa.
Conforme a GDPR, un responsable del tratamiento debe poder demostrar el cumplimiento de los principios de protección de datos, incluida la integridad y confidencialidad, la limitación de la finalidad, la minimización de datos y la limitación del plazo de conservación. Si es probable que una brecha de datos personales entrañe un riesgo para las personas, el Article 33 puede exigir la notificación a la autoridad de control sin dilación indebida y, cuando sea factible, en un plazo de 72 horas desde que se tenga constancia. Si es probable que la brecha entrañe un alto riesgo para las personas, el Article 34 puede exigir la comunicación a los interesados afectados.
Conforme a NIS2, las entidades esenciales e importantes deben gestionar los incidentes significativos mediante notificación escalonada y supervisión. Conforme a DORA, las entidades financieras deben registrar los incidentes relacionados con las TIC, clasificar los incidentes graves, notificarlos, realizar análisis de causa raíz y preservar evidencias en activos TIC, funciones de negocio y dependencias de terceros.
ISO/IEC 27001:2022 aporta la estructura del sistema de gestión para ello. La cláusula 4.2 exige que una organización determine las necesidades y expectativas de las partes interesadas, incluidos los requisitos legales, regulatorios y contractuales relevantes para la seguridad de la información. La cláusula 4.3 exige que el alcance del SGSI considere interfaces y dependencias, lo cual es crítico cuando las evidencias residen en un proveedor de servicios en la nube, un proveedor de seguridad gestionada, una plataforma de pagos o una mesa de ayuda externalizada. La cláusula 6.1 vincula estas obligaciones con los riesgos de seguridad de la información y su tratamiento. La cláusula 7.5 exige información documentada controlada. La cláusula 8 exige planificación y control operacional.
Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec explica por qué esto debe diseñarse antes del incidente, no durante él. En la fase Controles en acción, paso 23, la guía para el control 5.28 de ISO/IEC 27002:2022 establece:
“Cuando se produce un incidente de seguridad de la información, uno de los elementos más críticos de la respuesta, aunque a menudo se pase por alto, son las evidencias. No registros, no capturas de pantalla, no relatos sueltos, sino evidencias debidamente preservadas, respetuosas con la cadena de custodia y resistentes a manipulaciones.”
El mismo paso 23 añade que “lo que puede probarse importa tanto como lo que ocurrió realmente.” Esa frase marca la diferencia entre respuesta a incidentes y respuesta a incidentes jurídicamente defendible. Un regulador, un auditor de cliente, un tribunal, una aseguradora o una autoridad de control no aceptará una reconstrucción verbal si la organización no puede mostrar registros preservados, marcas temporales fiables, registros controlados y una cadena de custodia documentada.
La retención legal no significa “conservarlo todo para siempre”
Una retención legal por incidente de ciberseguridad es la suspensión formal de la eliminación o disposición ordinaria de registros, copias de seguridad, imágenes, comunicaciones y otras evidencias definidas que puedan ser relevantes para una investigación, litigio, requerimiento regulatorio, auditoría o controversia contractual.
El fallo más común es tratar la retención legal como una instrucción general: “No borrar nada.” Eso genera riesgos de privacidad, coste y operación. GDPR no desaparece durante un incidente de ciberseguridad. Los datos personales deben seguir tratándose de forma lícita, leal y transparente, con finalidades específicas, limitados a lo necesario y conservados solo durante el tiempo necesario. El Article 5(2) añade responsabilidad proactiva, lo que significa que la organización debe poder demostrar esas decisiones.
Aquí es donde la biblioteca de políticas de Clarysec resulta práctica. La Política de conservación de datos y eliminación segura para pymes establece:
“La retención legal y la suspensión de la eliminación prevalecen sobre los requisitos estándar de conservación e impiden la eliminación de datos.”
Para organizaciones de mayor tamaño, la Política de conservación y eliminación de datos corporativa, cláusula 6.4.1, indica:
“Si se emite una retención legal y suspensión de la eliminación (por ejemplo, por litigio, investigación o auditoría pendiente), los datos que de otro modo estarían sujetos a destrucción deben preservarse más allá de su período normal de conservación.”
La misma política corporativa exige que la retención esté:
“Documentada y aprobada por el asesor jurídico y el Delegado de Protección de Datos (DPO)”
Ese modelo de aprobación no es burocracia. Es el mecanismo de equilibrio entre la preservación probatoria y la contención en materia de privacidad. El asesor jurídico confirma la base litigiosa, investigadora o regulatoria. El DPO confirma que el alcance, la finalidad, las categorías de datos personales, los controles de acceso y la ampliación de conservación siguen siendo proporcionales.
Para pymes sin departamento jurídico completo ni función de DPO, la misma lógica de decisión puede ejecutarla un vCISO, un responsable de privacidad, la dirección general y asesores jurídicos externos, siempre que la autorización esté documentada, limitada en el tiempo y sujeta a revisión.
La tensión de cumplimiento que todo CISO debe resolver
Tras un incidente grave, distintas partes interesadas piden evidencias diferentes. Legal quiere preservación. Privacidad quiere minimización. Los reguladores quieren hechos. Operaciones quiere restauración. Los clientes quieren garantías. Los auditores quieren evidencias objetivas.
| Regulación o necesidad | Exigencia clave sobre las evidencias | Implicación de conservación |
|---|---|---|
| NIS2 | Probar el impacto, la severidad y la causa sospechada para la notificación escalonada de incidentes | Preservar alertas, indicadores de compromiso, datos de impacto en el servicio, registros de interrupción operativa y registros de decisiones |
| DORA | Respaldar la clasificación de incidentes, la notificación, el análisis de impacto en clientes y la revisión de causa raíz | Conservar artefactos técnicos, evidencias de activos TIC, informes a la dirección, comunicaciones con proveedores y registros de remediación |
| GDPR | Demostrar limitación de la finalidad, minimización de datos, limitación del plazo de conservación y seguridad del tratamiento | Justificar la conservación de datos personales, restringir el acceso y eliminar o anonimizar evidencias cuando se levante la retención |
| Litigio | Presentar evidencias defendibles y no manipuladas con una cadena de custodia clara | Inmovilizar los datos relevantes bajo una retención formal y mantener registros de adquisición, acceso y transferencia |
| Contratos con clientes | Probar obligaciones de notificación, impacto en el servicio, remediación y cooperación | Preservar comunicaciones con clientes, análisis de SLA, informes de incidentes y registros de respuesta contractual |
Intentar gestionar estas exigencias mediante flujos de trabajo separados de privacidad, asesoría jurídica, SOC y auditoría es una receta para la contradicción. Un SGSI unificado conforme a ISO/IEC 27001:2022 las convierte en parte de un único proceso de riesgo, control y evidencias.
La pila de controles para una conservación de evidencias defendible
La retención legal por incidente de ciberseguridad no es un único control de ISO/IEC 27002:2022. Es una relación entre controles.
Zenith Controls: guía de cumplimiento cruzado de Clarysec mapea el control 5.28 de ISO/IEC 27002:2022, recopilación de evidencias, como un control correctivo que respalda la confidencialidad, la integridad y la disponibilidad. Se ubica dentro de los conceptos de ciberseguridad Detectar y Responder y de la capacidad operativa de gestión de eventos de seguridad de la información.
La misma guía Zenith Controls conecta 5.28 con la respuesta a incidentes de seguridad de la información, el registro y supervisión, la protección de registros y la notificación de eventos. La lógica es práctica: los responsables de respuesta a incidentes necesitan registros y artefactos antes de que la remediación altere la escena; quienes notifican a reguladores necesitan hechos fiables; y los investigadores necesitan evidencias que no hayan sido alteradas.
El control 5.33 de ISO/IEC 27002:2022, protección de registros, es igualmente importante. Respalda los requisitos legales y de cumplimiento, la gestión de activos y la protección de la información. Vincula la protección de registros con clasificación, copias de seguridad, eliminación segura, requisitos legales y contractuales, control de acceso y respuesta a incidentes. En la práctica, una retención legal no solo debe capturar evidencias. Debe proteger la integridad, confidencialidad y disponibilidad del propio registro probatorio.
Para el registro de eventos, el control 8.15 de ISO/IEC 27002:2022, registro de eventos, es la base. Se conecta con 8.16, actividades de supervisión, y 8.17, sincronización horaria. Si los registros están incompletos, pueden ser editados por administradores, no están sincronizados en el tiempo o se conservan durante un período demasiado corto, el proceso probatorio puede fallar antes de que empiece la investigación.
| Necesidad de evidencias | Relación de controles ISO/IEC 27002:2022 | Por qué importa tras una brecha de seguridad |
|---|---|---|
| Preservar artefactos antes de la remediación | 5.28 Recopilación de evidencias vinculada a 5.26 Respuesta a incidentes de seguridad de la información | Evita que los equipos de respuesta destruyan pruebas mientras contienen el incidente |
| Proteger registros de investigación | 5.33 Protección de registros vinculada a 5.31 Requisitos legales, estatutarios, regulatorios y contractuales y 5.15 Control de acceso | Garantiza que archivos de evidencias, informes y aprobaciones permanezcan íntegros y restringidos |
| Mantener registros fiables | 8.15 Registro de eventos vinculado a 8.16 Actividades de supervisión y 8.17 Sincronización horaria | Respalda cronologías de eventos, atribución, análisis de impacto y notificación regulatoria |
| Equilibrar privacidad | 5.34 Privacidad y protección de información de identificación personal (PII) vinculada al registro y a la protección de registros | Evita la conservación excesiva o la divulgación no controlada de datos personales |
| Recuperar la disponibilidad de evidencias | 8.13 Copia de seguridad de la información vinculada a la protección de registros | Ayuda a restaurar registros si los sistemas están corruptos, cifrados o eliminados |
| Mejorar tras el incidente | 5.27 Aprendizaje de los incidentes de seguridad de la información vinculado a acciones correctivas | Convierte las lecciones aprendidas en tratamiento de riesgos, mejora de controles y evidencias de auditoría |
El Zenith Blueprint, en la fase Controles en acción, paso 19, refuerza esto con lenguaje práctico sobre el registro:
“Deben generarse, almacenarse, protegerse y analizarse registros que documenten actividades, excepciones, fallos y otros eventos relevantes.”
También advierte que la protección de registros incluye restringir el acceso y utilizar mecanismos como hash o almacenamiento de escritura única para impedir manipulaciones. El paso 19 conecta la sincronización horaria con la coherencia forense, explicando que los relojes sincronizados permiten alinear registros de distintos sistemas para la investigación.
Responsabilidad proactiva de GDPR: preserve lo necesario, justifique lo que conserva
GDPR crea la tensión más visible en la conservación de evidencias de incidentes. Los equipos de seguridad suelen querer más datos. Los equipos de privacidad quieren menos. Una retención legal defendible reconcilia ambas necesidades.
Los registros y artefactos pueden contener direcciones IP, identificadores de usuario, direcciones de correo electrónico, identificadores de dispositivo, registros de autenticación, texto de tickets de soporte, capturas de pantalla, exportaciones de clientes o datos de categorías especiales. La preservación de evidencias es, por tanto, tratamiento. La notificación de retención legal debe documentar la base jurídica, la finalidad, el alcance, las restricciones de acceso, la fecha de revisión de conservación y el desencadenante de eliminación.
La Política de protección de datos y privacidad para pymes de Clarysec establece:
“Solo deben recopilarse y conservarse los datos personales mínimos necesarios”
La Política de recopilación de evidencias y análisis forense corporativa vincula expresamente el tratamiento de evidencias forenses con:
“GDPR Article 5, incluidas la limitación de la finalidad y la minimización de datos”
Ese es el principio operativo. No preserve una base de datos de producción completa si las evidencias relevantes son una pista de auditoría limitada, un registro de acceso, un registro de consulta y una lista de usuarios afectados. No conceda a todos los intervinientes acceso a evidencias en bruto si bastan extractos seudonimizados o acceso basado en roles. No conserve indefinidamente artefactos del incidente una vez vencida la necesidad legal, regulatoria y de auditoría.
Un buen registro de retención legal alineado con GDPR responde a siete preguntas:
- ¿Qué incidente o investigación activó la retención?
- ¿Qué categorías de datos personales pueden estar incluidas?
- ¿Por qué es necesaria cada categoría de evidencias?
- ¿Quién aprobó la retención y cuándo?
- ¿Quién puede acceder a las evidencias?
- ¿Cuándo se revisará la retención?
- ¿Qué proceso de eliminación o eliminación segura se reanuda cuando se levanta la retención?
Así es como la conservación de evidencias evita convertirse en una sobreconservación por motivos de privacidad.
NIS2: retención legal para la notificación escalonada de incidentes
Para las organizaciones dentro del alcance, NIS2 transforma la expectativa sobre evidencias de “útil internamente” a “necesaria para la supervisión.”
NIS2 se aplica a muchas entidades esenciales e importantes en la UE, incluidos proveedores de infraestructura digital, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, redes de distribución de contenidos, prestadores de servicios de confianza, proveedores de comunicaciones electrónicas, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados y determinados proveedores digitales, como mercados en línea, motores de búsqueda en línea y plataformas de redes sociales.
El Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluido análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de eficacia, formación, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y autenticación. El Article 20 hace que los órganos de dirección sean responsables de aprobar y supervisar estas medidas.
Para la retención legal, la cuestión clave de NIS2 es el Article 23. Los incidentes significativos requieren notificación escalonada: alerta temprana dentro de las 24 horas desde que se tenga constancia, notificación del incidente dentro de las 72 horas, informes intermedios a solicitud e informe final a más tardar un mes después de la notificación de 72 horas. El informe final necesita una descripción, severidad, impacto, tipo de amenaza probable o causa raíz, medidas de mitigación e impacto transfronterizo cuando corresponda.
| Fase de notificación NIS2 | Evidencias necesarias | Acción de retención legal |
|---|---|---|
| Alerta temprana de 24 horas | Hora inicial de detección, actividad maliciosa sospechada, servicio afectado y posible impacto transfronterizo | Inmovilizar alertas del SOC, ticket de incidente, registros de identidad y pistas de auditoría en la nube |
| Notificación de 72 horas | Severidad, impacto, indicadores de compromiso, interrupción operativa e indicadores de pérdida financiera | Preservar exportaciones forenses, inventario de activos afectados, IOC, notas de impacto en el negocio y registros de comunicaciones |
| Informes intermedios | Estado actual, avance de contención y preguntas de la autoridad | Mantener un registro de investigación versionado y un registro de decisiones de respuesta |
| Informe final | Causa raíz, descripción del incidente, severidad, impacto, mitigación y efecto transfronterizo | Preservar evidencias de causa raíz, evidencias de remediación, lecciones aprendidas y pista de aprobaciones |
Si el incidente afecta a datos personales, las autoridades competentes de NIS2 pueden cooperar con las autoridades de control de GDPR. Esto aumenta la necesidad de un único relato probatorio que respalde tanto la supervisión de ciberseguridad como la responsabilidad proactiva en privacidad.
DORA: las evidencias de riesgo de las TIC van más allá de los registros de seguridad
Para las entidades financieras, DORA es el régimen sectorial de resiliencia operativa. Se aplica desde el 17 de enero de 2025 y cubre la gestión del riesgo de las TIC, la notificación de incidentes graves relacionados con las TIC, las pruebas de resiliencia, el intercambio de información y la gestión de riesgos de terceros TIC. Para entidades financieras que también sean esenciales o importantes conforme a NIS2, DORA funciona generalmente como el acto jurídico de la Unión sectorial específico para el riesgo TIC y la notificación de incidentes.
DORA es intensivo en evidencias por diseño. El Article 17 exige un proceso de gestión de incidentes relacionados con las TIC. El Article 18 aborda la clasificación de incidentes relacionados con las TIC y ciberamenazas. El Article 19 cubre la notificación de incidentes graves relacionados con las TIC. Las entidades financieras también deben mantener acuerdos de gobernanza y control, identificar funciones críticas o importantes, documentar activos TIC y dependencias, y realizar análisis de causa raíz.
Eso significa que la retención legal de DORA debe cubrir evidencias de resiliencia operativa, no solo artefactos de seguridad. Tras un compromiso de identidad en la nube que afecte a operaciones de pago, la retención puede incluir registros del proveedor de identidad, historial de acceso privilegiado, registros de auditoría en la nube, alertas SIEM, imágenes de endpoints, análisis de impacto en transacciones de clientes, registros de activación de continuidad del negocio, evidencias de copia de seguridad y recuperación, comunicaciones con proveedores, informes al órgano de dirección, análisis de causa raíz y validación de remediación.
DORA también convierte las evidencias de terceros proveedores TIC en inevitables. Los Articles 28 a 30 exigen gestión de riesgos de terceros TIC, registros de acuerdos contractuales, diligencia debida, evaluación de riesgo de concentración y contratos escritos con derechos y obligaciones. Para funciones críticas o importantes, los contratos deben respaldar obligaciones de aviso y notificación del proveedor, asistencia en incidentes, cooperación con autoridades, derechos de acceso, inspección y auditoría, y estrategias de salida.
Si su proveedor de servicios en la nube, MSP, MSSP, procesador de pagos o dependencia SaaS conserva los registros relevantes, su proceso de retención legal ya debe estar incorporado en los contratos con proveedores. De lo contrario, durante un incidente grave puede descubrir que la ventana de conservación estándar del proveedor es más corta que su ciclo de vida de notificación regulatoria.
Cómo operacionaliza Clarysec la retención legal durante una brecha de SaaS
Considere el entorno fintech SaaS de María. El incidente puede implicar acceso no autorizado a identificadores de clientes, metadatos de transacciones, sistemas de administradores y registros de un SOC externalizado. La empresa presta servicio a instituciones financieras de la UE, depende de infraestructura en la nube y puede afrontar obligaciones contractuales de GDPR y DORA, así como deberes de NIS2.
La primera acción no es preservarlo todo. La primera acción es activar una decisión controlada.
El responsable de coordinación del incidente envía una solicitud de retención legal al asesor jurídico, al DPO o responsable de privacidad, al CISO y al propietario de negocio. La solicitud incluye identificador del incidente, fecha y hora, sistemas afectados, categorías de datos sospechadas, vías regulatorias iniciales, categorías de evidencias propuestas y riesgos inmediatos de eliminación.
Usando la Política de conservación y eliminación de datos corporativa, la retención se documenta y aprueba por el asesor jurídico y el DPO. Para pymes, la Política de conservación de datos y eliminación segura para pymes proporciona la regla de suspensión de la eliminación. La autorización incluye una fecha de revisión alineada con hitos de investigación, plazos de notificación regulatoria y riesgo esperado de litigio o controversia contractual. No dice “para siempre.” Dice “hasta que se levante mediante decisión autorizada tras revisión.”
A continuación, el equipo inmoviliza los registros y artefactos relevantes. La Política de registro y supervisión para pymes establece:
“Los registros deben someterse a retención legal y suspensión de la eliminación, y protegerse frente a alteración o eliminación”
El equipo suspende la eliminación de casos SIEM, registros de identidad, registros de auditoría en la nube, registros de aplicaciones, registros de consultas de bases de datos, eventos WAF y metadatos de alertas SOC. Los registros exportados se almacenan en un repositorio de evidencias restringido con hash, control de versiones y permisos de solo lectura cuando proceda.
La regla de recopilación es simple: preservar evidencias sin editar los originales. La Política de recopilación de evidencias y análisis forense para pymes establece:
“Siempre debe crearse una copia forense o exportación; la evidencia original nunca debe editarse directamente.”
Los ingenieros pueden remediar, pero solo después de realizar las instantáneas, exportaciones o copias forenses necesarias, salvo que la contención inmediata sea necesaria para evitar daños en curso. Si primero se realiza una remediación de emergencia, el motivo se documenta.
La misma política para pymes indica:
“Debe mantenerse un registro sencillo de cadena de custodia (por ejemplo, un archivo Excel o un documento de plantilla) para cada incidente.”
Para entornos corporativos, la Política de recopilación de evidencias y análisis forense, cláusula 5.6, exige:
“Un registro de cadena de custodia deberá acompañar toda evidencia física o digital desde el momento de su adquisición hasta su archivo o transferencia, y deberá documentar:”
En la práctica, el registro de cadena de custodia documenta el ID de evidencia, descripción, sistema de origen, persona recolectora, método de adquisición, valor hash cuando proceda, fuente horaria, ubicación de almacenamiento, eventos de acceso, transferencias, copias de análisis y disposición final.
Por último, el propio registro de investigación debe protegerse. La Política de auditoría y supervisión del cumplimiento corporativa establece:
“Todos los registros de auditoría, hallazgos e informes de remediación deberán conservarse, cifrarse y protegerse frente a manipulaciones.”
Ese requisito se aplica a la cronología del incidente, el registro de decisiones, la notificación de retención legal, las comunicaciones con reguladores, las comunicaciones con clientes, el análisis de causa raíz y las evidencias de remediación.
La información documentada que revisarán los auditores
La cláusula 7.5 de ISO/IEC 27001:2022 exige controlar la información documentada necesaria para el SGSI y requerida por la norma. El Zenith Blueprint, en la fase Fundamentos y liderazgo del SGSI, paso 6, traduce esto en requisitos prácticos: los documentos deben tener identificación, formato, revisión, aprobación, control de versiones, acceso controlado, protección de integridad, control de cambios, conservación y disposición.
El paso 6 también señala que registros como los de supervisión, informes de auditoría y expedientes de investigación de incidentes pueden ser confidenciales y deben compartirse conforme a la necesidad de conocer, con derechos de edición limitados a usuarios autorizados.
Un paquete de evidencias defendible debe incluir:
- Notificación y aprobación de retención legal.
- Clasificación del incidente y decisión de severidad.
- Inventario de evidencias.
- Registro de cadena de custodia.
- Confirmación de preservación de registros.
- Registros de imagen forense o exportación.
- Valores hash o comprobaciones de integridad cuando proceda.
- Lista de acceso al repositorio de evidencias.
- Evidencias de notificación regulatoria.
- Evaluación de privacidad y análisis de impacto sobre datos personales.
- Solicitudes de evidencias a proveedores y respuestas.
- Análisis de causa raíz.
- Evidencias de remediación y validación.
- Revisión de retención y decisión de levantamiento.
Cuanto más sólido sea el control de la información documentada, más sencilla será la auditoría.
Evidencias de proveedores y nube: el punto de fallo que muchos equipos pasan por alto
Las evidencias más difíciles a menudo no están dentro de su organización. Las conserva un proveedor de servicios en la nube, una plataforma SaaS, un MSSP, un MSP, un procesador de pagos, un proveedor de identidad o un equipo de desarrollo externalizado.
El Article 21 de NIS2 incluye la seguridad de la cadena de suministro y los aspectos de seguridad de las relaciones con proveedores directos o proveedores de servicios. DORA va más allá para entidades financieras, al exigir registros de terceros TIC, diligencia debida, análisis de riesgo de concentración y contratos con asistencia en incidentes, notificación por parte del proveedor, cooperación con autoridades, derechos de auditoría y disposiciones de salida para funciones críticas o importantes.
NIST Cybersecurity Framework 2.0 también trata el riesgo de la cadena de suministro como una disciplina de ciclo de vida. Su función Govern incluye resultados de gestión de riesgos de proveedores relativos a estrategia, roles, contratos, diligencia debida, supervisión, participación en incidentes y disposiciones de salida. Los perfiles CSF pueden expresar requisitos objetivo de ciberseguridad para proveedores, lo que resulta útil al traducir necesidades de evidencias de retención legal en cláusulas contractuales.
Los contratos con proveedores deben abordar:
- Tipos de registros de seguridad disponibles para el cliente.
- Períodos de conservación por defecto y opciones de conservación ampliada.
- Proceso de solicitud de preservación de emergencia.
- Tiempo para preservar evidencias tras solicitud del cliente.
- Formatos de exportación forense.
- Soporte de cadena de custodia.
- Cooperación con reguladores.
- Obligaciones de evidencias de subencargados o subcontratistas.
- Restricciones de ubicación y transferencia de datos.
- Eliminación segura tras el levantamiento de la retención.
El Zenith Blueprint, en la fase Controles en acción, paso 18, ofrece una disciplina similar para la transferencia de soportes físicos, al exigir cifrado, embalaje resistente a manipulaciones, seguimiento, registros de transporte, inventario de soportes y auditoría del registro. La misma lógica se aplica a las transferencias de evidencias en la nube: preservar la integridad, registrar la custodia, restringir el acceso y confirmar la recepción.
Cómo probarán auditores y reguladores su proceso de retención legal
Un proceso de retención legal se ve distinto según el mandato del revisor. Clarysec utiliza Zenith Controls como brújula de cumplimiento cruzado para que el mismo paquete de evidencias pueda satisfacer múltiples perspectivas sin duplicar trabajo.
| Perspectiva del auditor | Qué preguntará el auditor | Evidencias que prepara Clarysec |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | ¿La retención legal forma parte del SGSI, el tratamiento de riesgos, la información documentada y el proceso de respuesta a incidentes? | Alcance del SGSI, requisitos de partes interesadas, Declaración de Aplicabilidad, procedimiento de incidentes, política de evidencias, política de conservación y registros controlados |
| Revisor de controles ISO/IEC 27002:2022 | ¿Están implantados y conectados 5.28 recopilación de evidencias, 5.33 protección de registros y 8.15 registro de eventos? | Inventario de evidencias, registro de cadena de custodia, protección frente a manipulaciones, ajustes de conservación de registros, prueba de sincronización horaria y controles de acceso |
| Auditor GDPR o revisor DPO | ¿Se conservaron datos personales solo cuando era necesario y bajo una finalidad y base jurídica documentadas? | Evaluación de privacidad, justificación de minimización de datos, restricciones de acceso, revisión de conservación y prueba de eliminación o eliminación segura |
| Revisor supervisor NIS2 | ¿Puede la entidad respaldar la notificación de 24 horas, 72 horas y final con hechos fiables? | Cronología del incidente, evaluación de severidad, IOC, evidencias de impacto, análisis transfronterizo, aprobaciones de la dirección y comunicaciones |
| Revisor de riesgo TIC DORA | ¿Los incidentes se registran, clasifican, escalan, notifican, analizan hasta causa raíz y se retroalimentan en la gestión del riesgo de las TIC? | Registro de incidentes, criterios de clasificación, información al órgano de dirección, análisis de causa raíz, validación de remediación y evidencias de proveedores |
| Evaluador NIST CSF 2.0 | ¿Los resultados de gobernanza, riesgo, proveedores, detección, respuesta y recuperación están integrados en un único perfil? | Perfiles actual y objetivo, plan de brechas, requisitos de proveedores, evidencias de supervisión y lecciones aprendidas del incidente |
| Auditor COBIT 2019 o ISACA | ¿Son fiables los objetivos de gobernanza, la responsabilidad proactiva, la calidad de la información, la supervisión de controles y las evidencias de aseguramiento? | RACI, propiedad de controles, revisión por la dirección, pista de auditoría, seguimiento de incidencias, cierre de remediación y métricas de desempeño |
El auditor ISO se centrará en la conformidad y las evidencias objetivas. El revisor de GDPR se centrará en la necesidad, la limitación de la finalidad y la responsabilidad proactiva demostrable. El revisor NIS2 se centrará en los hechos de notificación de incidentes significativos y la responsabilidad de la dirección. El revisor DORA se centrará en la gobernanza del riesgo TIC, la gestión de incidentes graves, las dependencias de terceros y las lecciones aprendidas. El auditor de estilo COBIT 2019 o ISACA se centrará en gobernanza, diseño de controles, operación de controles y aseguramiento de la calidad de la información.
Un único paquete de evidencias puede servir a todos ellos si se diseña de esa forma.
Lista de verificación práctica de retención legal por incidente de ciberseguridad para 2026
Utilice esta lista de verificación antes del próximo incidente grave, no durante él.
| Pregunta de control | Respuesta esperada |
|---|---|
| ¿Quién puede emitir una retención legal por incidente de ciberseguridad? | El asesor jurídico y el DPO o responsable de privacidad aprueban, con inicio por parte del CISO y el responsable de coordinación del incidente |
| ¿Qué activa una retención? | Sospecha de incidente de seguridad grave, brecha de datos personales, posible notificación regulatoria, riesgo de litigio, requerimiento de fuerzas y cuerpos de seguridad, auditoría de cliente o controversia contractual |
| ¿Qué evidencias están dentro del alcance? | Registros, alertas, imágenes forenses, instantáneas, tickets, comunicaciones, análisis de impacto, registros de proveedores, decisiones de la dirección y evidencias de remediación |
| ¿Cómo se protegen las evidencias? | Acceso restringido, cifrado, protección frente a manipulaciones, hash cuando proceda, almacenamiento inmutable o de solo lectura y acceso supervisado |
| ¿Cómo se mantiene la cadena de custodia? | El registro de evidencias documenta adquisición, persona recolectora, hora, método, almacenamiento, transferencia, acceso y disposición |
| ¿Cómo se gestiona la minimización de GDPR? | El alcance se limita a evidencias necesarias, se restringe el acceso a datos personales, se establecen fechas de revisión y la eliminación se reanuda tras el levantamiento |
| ¿Cómo se incluyen los proveedores? | Los contratos exigen preservación de evidencias, asistencia en incidentes, cooperación en auditorías y ampliación de conservación a solicitud |
| ¿Cómo se gestiona el levantamiento? | Una revisión autorizada determina si continuar, acotar o levantar la retención y reanudar la eliminación segura |
Esta lista de verificación se vuelve más potente cuando se integra en el Plan de Tratamiento de Riesgos del SGSI, los requisitos de seguridad de proveedores, los procedimientos operativos de respuesta a incidentes, la arquitectura de registro y la gobernanza de privacidad.
Del pánico posterior a la brecha a la resiliencia preparada para auditorías
La llamada de las 4 de la madrugada siempre será estresante. No tiene por qué convertirse en caos.
Un proceso maduro de retención legal por incidente de ciberseguridad ofrece a cada parte interesada una vía controlada. Legal obtiene preservación defendible. Privacidad obtiene minimización y revisión. El CISO obtiene integridad de evidencias. El DPO obtiene responsabilidad proactiva. El consejo obtiene hechos fiables. Los revisores de NIS2, DORA y GDPR obtienen evidencias objetivas en lugar de explicaciones improvisadas.
La metodología de 30 pasos de Clarysec no trata la retención legal como un memorando jurídico independiente. La trata como una capacidad operativa del SGSI.
En Zenith Blueprint, el paso 6 construye la biblioteca de información documentada, incluidas reglas de conservación y disposición. El paso 19 refuerza el registro y la sincronización horaria para que las investigaciones puedan reconstruir cronologías. El paso 23 operacionaliza la recopilación de evidencias y la cadena de custodia. El paso 18 añade disciplina de manejo de soportes cuando las evidencias se mueven físicamente o entre partes.
En Zenith Controls, Clarysec conecta los controles subyacentes de ISO/IEC 27002:2022 para que los clientes vean cómo la recopilación de evidencias depende del registro, la supervisión, la respuesta a incidentes, la protección de registros, el control de acceso, las copias de seguridad, la privacidad y los requisitos legales.
En la biblioteca de políticas de Clarysec, los anclajes prácticos del flujo de trabajo ya están definidos: Política de conservación y eliminación de datos, Política de conservación de datos y eliminación segura para pymes, Política de recopilación de evidencias y análisis forense, Política de recopilación de evidencias y análisis forense para pymes, Política de registro y supervisión para pymes, Política de protección de datos y privacidad para pymes y Política de auditoría y supervisión del cumplimiento.
Si su plan de respuesta a incidentes dice “preservar evidencias” pero no define autoridad de retención legal, alcance de evidencias, suspensión de eliminación, cadena de custodia, preservación por proveedores, minimización de GDPR y criterios de levantamiento, todavía no está preparado para auditorías.
Construya el proceso antes de la brecha. Clarysec puede ayudarle a crear una capacidad defendible de retención legal por incidente de ciberseguridad y conservación de evidencias usando Zenith Blueprint: hoja de ruta de 30 pasos para auditores, Zenith Controls: guía de cumplimiento cruzado y plantillas de políticas de Clarysec, incluida la Política de conservación y eliminación de datos, la Política de recopilación de evidencias y análisis forense, la Política de auditoría y supervisión del cumplimiento, la Política de registro y supervisión para pymes, la Política de protección de datos y privacidad para pymes y la Política de recopilación de evidencias y análisis forense para pymes.
Descargue los kits de herramientas, solicite una revisión de políticas de Clarysec o reserve una evaluación de preparación para la conservación de evidencias antes de su próxima auditoría, requerimiento supervisor o revisión de seguridad importante de un cliente.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
