ISO 27001
Una cuestión de gran importancia para las organizaciones es que sus empleados puedan trabajar sin ningún tipo de incidente, por ello utilizan la norma ISO 27001. Disminuir al completo el número de incidentes es prácticamente imposible, puesto que las personas no son perfectas.
Se puede considerar que los incidentes pueden aparecer en cualquier organización, por lo que es necesario fijar un mecanismo que nos ayude a estar listos cuando tenga lugar un incidente. Además los trabajadores deben estar entrenados para localizar debilidades en el Sistema de Gestión de Seguridad de la Información. El primer paso para lograrlo será definir un procedimiento con el que administrar los incidentes de seguridad.
La norma ISO 27001 explica el concepto incidente de seguridad, definiéndolo como “una sola o una serie de eventos de seguridad de la información no deseados o inesperados que conllevan una elevada probabilidad significativa de comprometer las operaciones de la organización amenazando la seguridad de la información”.
Durante el artículo se tratarán los principales puntos que se necesita saber para controlar los incidentes de seguridad según la norma ISO 27001.
Tratamiento del incidente
Para gestionar los incidentes de seguridad bajo la norma ISO 27001 se deben de seguir las siguientes medidas:
- Informar del incidente. Si una persona descubre un evento que puede provocar algún tipo de daño al funcionamiento de la organización es necesario que lo comunique según los procedimientos de comunicación establecidos por la organización.
- Clasificar el incidente. La persona que recibe la notificación de los incidentes es la encargada de clasificarla. La persona que descubre un incidente puede llevar a cabo una primera clasificación, pero será un experto la persona adecuada para realizar la clasificación de una forma correcta.
- Tratar el incidente. Una vez el incidente es clasificado y se conoce la gravedad del mismo, es necesario establecer el tiempo que se va a necesitar para su resolución. La persona experta será la encarga de establecer las medidas necesarias para resolverlo.
- Cerrar el incidente. Cuando el incidente se resuelve surge información que debe quedar registrada, por lo que la persona encargada de enviar la notificación del incidente debe ser notificada acerca del cierre del incidente.
- Base de conocimientos. La información que se genera durante el tratamiento del incidente es fundamental para futuros incidentes similares, además de recoger las pruebas necesarias. Si la persona encargada de actualizar el sistema, detecta un incidente, el usuario abre un incidente y el incidente se resuelve y se cierra. La información generada para resolver el incidente debe quedar registrada, de tal manera que si el problema vuelve a ocurrir en el futuro siempre se puede partir de la referencia, contando con la solución anterior sin tener que perder tiempo.
Hemos visto que los incidentes pueden ser diferentes, pero no debemos olvidarnos de una cuestión muy importante como es mantener informado al usuario acerca de cualquier tipo de cambio en el estado del incidente.
Se deben definir los distintos tipos de responsabilidades:
- Nivel técnico 1. Recibe la notificación del incidente y se clasifica.
- Nivel técnico 2. Decide las acciones y el tratamiento para la resolución del incidente.
- Responsable de cambios. Aprueba las modificaciones que sean necesarias.
- Responsable de la base de conocimientos. Se registra toda la información relacionada con la base de conocimientos.
Si estamos hablando de una pequeña empresa, los técnicos de nivel 1 y nivel 2 pueden ser la misma persona.
Clasificación de los incidentes
Se pueden atender a numerosos criterios a la hora de establecer un método para clasificar los incidentes, pero lo habitual es considerar dos parámetros:
- Impacto. Daño que se causa en la empresa.
- Urgencia. Velocidad con la que la organización necesita corregir el incidente.
La intersección de los parámetros nos permite determinar la prioridad de cada incidente, por lo que de esta forma podemos obtener la siguiente tabla de valores:
Los incidentes de valor 1 son críticos ya que la relación entre la urgencia y el impacto es elevada, por lo que se establece que lo mejor es obtener valores 2, 3, 4 ó 5, respectivamente.
Existen distintas herramientas en el mercado para la gestión de los incidentes de seguridad. La mayor parte de ellos no registra ningún tipo de incidente, pero es apropiado garantizar que las herramientas facilitan la distinción de un incidente de seguridad de otro.
No es obligatorio que una organización utilice una herramienta de software específico para gestionar la seguridad; es igualmente válido usar una plantilla de Word o Excel para registrar los incidentes de seguridad y controlar el estado de cada uno. Pero es cierto que la herramienta software es muy útil y facilita mucho el trabajo, además de que permite a todas aquellas personas implicadas estar informadas en el momento exacto.
Es muy difícil prevenir todos los incidentes de seguridad que se pueden producir, ya que resulta imposible, pero sí que pueden ser tratados y reducir el daño.
Software ISO 27001
Con la intención de gestionar y supervisar de una manera fácil y sencilla el desarrollo del Sistema de Seguridad de la Información bajo la norma ISO 27001, las empresas hacen uso, entre otras herramientas, del Software ISOTools Excellence, que permite y facilita el cumplimiento de las distintas fases del ciclo de mejora continua.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…