ISO 27001: Diferencia entre evento e incidente
ISO 27001
Las normas de sistemas de gestión, especialmente las que se encuentran relacionadas con la seguridad de la información y las interrupciones de los procesos de negocio, utilizan el término “gestión de incidencias”.
A medida que la norma que gestiona la seguridad de la información ocupa diferentes aspectos de la gestión de procesos de negocio, el término se utiliza de una forma amplia, pero posee un significado diferente, dependiendo del contexto. Además de eso, muchas de las normas utilizan el término evento.
Que es un evento y que es un incidente
Con el fin de simplificar las cosas, vamos a explicar la relación que existe entre evento e incidente. En la guía ISO/IEC 73 define evento como un acontecimiento que cambiaría un conjunto particular de circunstancias. Como esto no está claro, la norma ISO 22301 utiliza hasta cuatro notas aclaratorias con el fin de explicar la definición de un evento. Los autores de esta definición pensaron en eventos como un tipo de cambio que no presenta resultados negativos. Un evento no puede tener implicaciones negativas. El término evento puede ser utilizado como una expresión neutral.
Los incidentes, por el contrario, pueden tener una connotación negativa, si nos fijamos en la definición que ofrecen las diferentes normas ISO.
Incidentes en la gestión de servicios de TI
La norma ISO/IEC 20000-1 “Gestión de Servicios”, en su definición nos subraya las dos caras que ofrecen los incidentes. Sin duda hay incidentes que se encuentran conectados ante una interrupción no planificada del servicio. Una indicación de que una de las unidades del disco duro ha desarrollado un fallo puede ser un tipo de incidentes, aunque no genere un impacto negativo. Los incidentes en los servicios TI se pueden ver como interrupciones o reducciones de la calidad de los servicios a los usuarios. Estos incidentes tienen que ser atendidos por una estructura de gestión de incidencias configurado de forma correcta.
La norma ISO 20000 considera los accidentes en cuento a la seguridad de la información. Ya sabemos que los eventos de seguridad inesperados significan que incremente la amenaza en la seguridad de la información.
Estos son incidentes que se encuentran directamente relacionados con cuestiones de seguridad, en contraposición a los incidentes que se encuentran relacionados con las interrupciones del sistema.
Debemos recordar que no todos los incidentes en la gestión de servicios de TI se encuentran relacionados con la seguridad. Por ejemplo, se puede generar una pérdida de capacidad de impresión ante un incidente, pero no puede estar relacionada con los problemas de seguridad.
Incidentes en Seguridad de la Información
La ISO 27001 en su definición de incidente subraya el impacto que generan las operaciones comerciales con respecto a la seguridad de la información. Las tres dimensiones de la seguridad de la información se pueden ver afectadas, éstas son:
- Confidencial
- Integridad
- Disponibilidad
La documentación confidencial se puede ver expuesta, el malware podría haber corrompido datos o sistemas que podrían haber sido puestos fuera de servicio debido a un ataque cibernético.
Con el fin de hacer frente a este tipo de incidentes, una estructura de gestión de incidentes de seguridad de la información tiene que estar en su lugar. La norma ISO 27001 enumera una serie de controles que se deben llevar a cabo.
Incidentes en la Gestión de la Seguridad de la cadena de suministro
En la familia de normas para la gestión de la seguridad de la información, la gestión de incidencias también es importante. La norma ISO 28003, solicita que los auditores sepan contestar a los incidentes de seguridad.
Incidentes en continuidad del negocio y resiliencia
La ISO 22301, se basa en la norma ISO 22300, nos expone de forma clara una interpretación negativa de la definición de incidente. Los autores utilizan la expresión incidente perturbador en muchas partes de la norma.
En la continuidad de negocio las consecuencias pueden ser muy graves, ya que se desarrollan como resultado de las interrupciones del negocio. Las consecuencias pueden ser mucho más graves en comparación con los incidentes típicamente más pequeños en la gestión de servicios TI.
Las consecuencias típicas de este tipo de incidentes son las instrucciones del proceso, la pérdida de vidas humanas y bienes. Las interrupciones pueden tener una amplia gama de causas y no sólo podrían afectar a los activos de tecnología de la información.
La continuidad de negocio se prepara para este tipo de incidentes y para reaccionar de forma adecuada ante las interrupciones. Al igual que con un SGSI, las empresas pueden obtener la certificación según los requisitos de la norma ISO 22301.
Los incidentes tienen un significado negativo, pero esto no es siempre así. Cada definición es un compromiso. Debemos ser conscientes del contexto en el que estamos operando.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.