Clasificar los incidentes según la norma ISO 27001
ISO 27001
Un tema muy importante para las empresas es que sus trabajadores puedan trabajar sin ningún tipo de incidente, por lo que utilizan la norma ISO 27001. Eliminar completamente los incidentes es prácticamente imposible, ya que las personas no son perfectas.
Se puede suponer que los incidentes pueden suceder en cualquier empresa, por lo que es necesario establecer un mecanismo que nos permite estar listos cuando se da dicho incidente, además los empleados deben estar entrenados para detectar debilidades en el Sistema de Gestión de Seguridad de la Información. El primer paso para conseguir será establecer un procedimiento con el que gestionar los incidentes de seguridad.
La norma ISO 27001 nos dice lo que es un incidente de seguridad, definiéndolo de la siguiente forma:
“una sola o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una elevada probabilidad significativa de comprometer las operaciones de negocio y amenazando la seguridad de la información”.
Durante este artículo le ofrecemos los principales puntos que necesita saber para controlar los incidentes de seguridad según la norma ISO 27001.
Tratamiento en cinco pasos
Gestionar los incidentes de seguridad según la norma ISO 27001 consta de estas diferentes medidas:
- Notificar el incidente: si una persona detecta un evento que pueda generar algún daño al funcionamiento de la empresa es necesario que lo comunique según establezca los procedimientos de comunicación establecidos por la empresa.
- Clasificar el incidente: la persona que recibe la notificación de los incidentes es la encargada de clasificarla. La persona que detecta un incidente puede realizar una primera clasificación, pero un experto será la persona adecuada para realizar la clasificación de una forma adecuada.
- Tratar el incidente: una vez el incidente es clasificado y se conoce la gravedad, es necesario acordar el tiempo necesario para la resolución, una persona experta será la encarga de establecer las medidas necesarias para resolverlo.
- Cerrar el incidente: cuando el incidente se resuelve surge información que debe quedar registrada, y la persona que envió la notificación del incidente debe ser notificada sobre que el incidente se ha cerrado.
- Base de conocimientos: la información que se generan durante la realización del tratamiento del incidente es fundamental para sucesivos incidentes similares en el futuro, además de recoger las pruebas necesarias. Imagina que la persona actualiza el sistema, detecta un incidente, después el usuario abre un incidente y el incidente se resuelve y se cierra. La información generada para resolver el incidente debe quedar registrada, por lo que si el problema vuelve a ocurrir en el futuro siempre se puede contar con la referencia, contando con la solución sin tener que perder tiempo.
Podemos conocer que los incidentes pueden ser diferentes, por lo que es muy importante informar al usuario acerca de cualquier cambio en el estado del incidente.
Se deben definir los diferentes tipos de responsabilidades:
- Nivel técnico 1: recibe la notificación del incidente y se clasifica.
- Nivel técnico 2: decide si las acciones y el tratamiento para la resolución del incidente.
- Responsable de cambios: aprueba los cambios que sean necesarios.
- Responsable de la base de conocimientos: se registra toda la información relacionada con la base de conocimientos.
Si estamos hablando de una organización pequeña, los técnicos de nivel 1 y nivel 2 puede ser la misma persona.
Clasificación de los incidentes
Existe muchas formas de clasificar los incidentes, pero lo habitual es considerar dos parámetros:
- Impacto: es el daño que se causa en la organización.
- Urgencia: velocidad con la que la empresa necesita corregir el incidente.
La intersección de los parámetros nos permite establecer la prioridad de cada incidente, por lo que de esta forma podemos generar la siguiente tabla de valores:
Los incidentes de valor 1 son críticos ya que la relación entre la urgencia y el impacto son elevados, por lo que se establece que los mejor es obtener valores 2, 3, 4 ó 5.
Existen diferentes herramientas en el mercado para la gestión de los incidentes de seguridad. La mayoría de ellos no registra ningún tipo de incidente, pero es apropiado asegurar que las herramientas facilitan la diferenciación de un incidente de seguridad de otro.
No resulta obligatorio que una empresa utilice una herramienta de software específico para gestionar la seguridad. Es igualmente válido utilizar una plantilla de Word o Excel para registrar los incidentes de seguridad y controlar el estado de cada uno. La herramienta software es muy útil y facilita mucho el trabajo, además permite que todas las personas implicadas se encuentren informadas en el momento exacto.
Es muy difícil prevenir todos los incidentes de seguridad que se produzcan, ya que resulta imposible, pero sí que pueden ser tratados y disminuir el daño.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.