ISO 27001
Algo muy importante para las organizaciones es que sus empleados puedan trabajar sin tener algún tipo de interrupción, por lo que utilizan la ISO 27001. Eliminar de forma completa todos los incidentes es casi imposible, ya que las personas cometen errores porque no son perfectas.
Podemos suponer que los incidentes suceden en cualquier tipo de empresa, por lo que es necesario establecer un mecanismo que nos permita estar listos cuando se produce un incidente, además los trabajadores pueden entrenarse para detectar las debilidades que existan en el Sistema de Gestión de Seguridad de la Información. El primer paso para conseguir esto será establecer procedimientos con los que gestionar los incidentes de seguridad.
La norma ISO 27001 nos dice lo que podemos considerar como incidente de seguridad, ya que lo define de la siguiente forma:
“una serie de eventos de seguridad de la información no deseados o inesperados que tienen una alta probabilidad significativa de comprometer las operaciones de negocio y amenaza la seguridad de la información de la organización”.
Durante este post os enseñamos los principales puntos que nos ayudan a controlar los incidentes de seguridad basada en la ISO 27001.
Tratamiento en cinco pasos
Gestionar todos los incidentes de seguridad basados en la norma ISO 27001 consta de estas medidas:
- Notificar los incidentes: si una persona detecta un evento que pueda generar algún daño al funcionamiento de la organización siendo necesario que lo comunique según establezca los procedimientos de comunicación que se establecen por la organización.
- Clasificar los incidentes: si alguien de la organización detecta un evento que puede genera un incidente en la organización es necesario que lo comunique según esté establecido en los procedimientos de comunicación establecidos por la organización.
- Tratar los incidentes: cuando el incidente ha sido clasificado y se conoce su gravedad, será necesario acordar el tiempo necesario para la resolución, una persona experta será la encargada de establecer las medidas necesarias para resolverlo.
- Cerrar los incidentes: cuando algún incidente se resuelve surge información que debe quedar registrada, y la persona que envió la notificación del incidente tiene que ser notificada cuando el incidente se cierre.
- Base de datos con los conocimientos: la información que se genera durante la realización del tratamiento para los incidentes será fundamental para los incidentes que puedan suceder después, además se recogen pruebas necesarias. Podemos imaginar que una persona actualiza el sistema, detecta un incidente, el usuario tiene que abrir un incidente, éste se resuelve y se cierra. La información que se genera para resolver el incidente debe quedar registrada, por lo que si el problema vuelva a suceder siempre se tendrán referencias, contando con la solución sin perder mucho tiempo.
Como bien sabemos todos los incidentes pueden ser diferentes, por lo que es muy importante informar al usuario acerca de cualquier cambio en el estado del incidente:
Se tienen que definir los distintos tipos de responsabilidades:
- Nivel técnico 1: recibe la notificación del incidente y se clasifica.
- Nivel técnico 2: decide si las acciones y el tratamiento para la resolución del incidente.
- Responsable de cambios: aprueba todos los cambios que sean necesarios.
- Responsable de la base de conocimientos: se registra toda la información que está relacionada con la base de los conocimientos.
Si hablamos de una empresa pequeña, los técnicos de nivel 1 y 2 pueden que sean la misma persona.
Clasificación de los incidentes
Existen diferentes formas de clasificar los incidentes, pero lo habitual será considerar todos los parámetros:
- Impacto: será el daño que se genera en la organización.
- Urgencia: velocidad con la que la organización necesita corregir el incidente.
La intersección entre todos los parámetros nos permite establecer la prioridad de cada incidente, por lo que de esta forma podemos generar la siguiente tabla de valores:
Los incidentes de valor 1 son críticos, ya que la relación que existe entre las urgencias y el impacto es muy elevados, por lo que se establece que lo mejor será obtener valores sobre 2, 3, 4 o 5.
Existen diferentes herramientas en el mercado para la gestión de los incidentes de seguridad. La mayoría de estos no registra ningún tipo de incidente, pero es apropiado asegurarse de que las herramientas facilita la diferenciación entre un incidente de seguridad y otro.
No resulta obligatorio que una organización utilice una herramienta de software específico para gestionar la seguridad. Es igual de válido utilizar una plantilla de Word para registrar los incidentes de seguridad y controlar el estado de cada uno. La herramienta software es muy útil y facilita muchísimo el trabajo que se debe realizar, además permite que todas las personas implicadas se encuentren informadas en el momento exacto.
Es difícil prevenir todos los incidentes de seguridad que se produzcan, ya que resulta imposible, pero sí que pueden ser tratados y disminuir el daño.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.
¿Desea saber más?
Entradas relacionadas
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…