ISO 27001: ¿Cómo se deben gestionar las incidencias en un Sistema de Gestión de Seguridad de la Información?
ISO 27001
Dentro de un Sistema de Seguridad de la Información basado en la norma ISO 27001 encontramos eventos y puntos débiles en la organización, estos deben ser notificados al responsable para que pueda iniciar una correcta gestión.
Notificación de eventos
El proceso mediante el cual se comunican los puntos débiles debe encontrarse perfectamente documentado mediante un procedimiento formal que debe encontrarse al alcance de todos los trabajadores de la organización y todas las partes que se consideren oportunas.
En el procedimiento se debe definir claramente cómo deben proceder a comunicar la incidencia y cómo tiene que ser el procedimiento para dar una respuesta y escalado, es decir, cuando el trabajador detecta una posible incidencia que afecta a la seguridad de la información de la organización, debe comunicárselo a la persona responsable para que ésta evalúe el accidente y lleve a cabo el procedimiento para poder resolverlo o, si no puede resolverlo él, escalarlo a rangos superiores que puedan dar respuesta a la incidencia de manera rápida y eficaz.
Por todo esto es necesario generar una persona que sea el punto de contacto, es decir, debe tratarse de una persona responsable, con capacidad y disponibilidad para poder gestionar todo los eventos que se sucedan, además debe ser una persona conocida por todos los empleados de la organización.
La organización debe contar con un registro de notificaciones, donde queden registradas la incidencia y las personas que participan en el escalado a la hora de identificarlas.
Los diferentes puntos débiles que se detecten por parte de los trabajadores de la organización o por terceras personas deben comunicarse lo más pronto posible a la persona que se encuentra como responsable asociada al sistema correspondiente.
No se debe interpretar en la comprobación que realmente no estemos enfrentando a un punto débil por el daño que pueda causar y las diferentes implicaciones legales asociadas, además se debe estudiar a la persona que pudo tener algo que ver en el daño de una forma intencionada.
Gestión de incidentes
Además de definir el procedimiento de comunicación, debe exigir un procedimiento de gestión de las incidencias, además de asignar las responsabilidades necesarias. Los procedimientos debe ser revisados cada cierto tiempo para mantenerlos actualizados, para conocer los resultados que han producido y los cambios que se producen en la organización, se debe incluir en el proceso de mejora continua del Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001.
Durante el procedimiento de gestión debemos considerar las respuestas que se debe dar a cualquier tipo de incidencia que pueda darse en nuestro sistema de información. Si tienen que considerar las acciones de contingencias que se deberían tomar y, además analizar las diferentes causas que ha producido el incidente, se debe comunicar a las personas implicadas en el proceso, planificar e implementar las acciones correctivas necesarias para que no vuelva a ocurrir y además, se deben tomar registro y pruebas de auditoría.
Las acciones de contingencia que se lleven a cabo deben hacerse por personal autorizado de la organización y tienen que reflejarse en un registro donde se encuentren todos los detalles, que se utilizarán para poder estudiar el problema en el futuro. La evaluación se utiliza para saber si se deben realizar modificaciones en los procedimientos de respuesta o para implantar nuevos controles de seguridad.
Si el incidente implica tomar medidas legales es necesario demostrar las responsabilidades de los hechos ocurridos. Para poder hacer esto se debe recopilar todas la pruebas de auditoria posible, gestionar su custodia y presentarla cuando sean pedidas en el formato que exija el reglamento oportuno.
Un ejemplo puede ser, el robo de información confidencial por parte de un empleado, lo que haría necesario tomar medidas legales.
Un ejemplo sencillo sobre el proceso de gestión de incidente en una organización puede ser el siguiente:
Una persona detecta una incidencia que afecta a la seguridad de los datos de carácter personal o a las medidas de seguridad de estos, por lo que tiene la obligación de comunicárselo a la persona que se encuentra como responsable de seguridad que haya designado la organización. Para ello se deben cumplimentar los siguientes datos:
- Tipo de incidencia
- Día y hora en la que se ha producido
- Persona que notifica la incidencia
- Persona destinataria de la notificación
- Efectos derivados de la incidencia
La comunicación debe remitirse mediante el envío de un correo electrónico destinada para estos casos, con acuse de recibo, con lo que podemos garantizar la recepción del correo.
Cuando el responsable de seguridad es conocedor de una incidencia, debe tomar las medidas necesarias para corregir dicho error, y si no tiene la capacidad suficiente para poder corregir la incidencia debe derivar el problema al departamento adecuado para que la incidencia pueda ser solucionada rápida y eficazmente. El responsable de seguridad debe realizar un seguimiento de la incidencia para comprobar que haya sido solucionada satisfactoriamente.
Debe quedar registrada la incidencia, en el registro destinado para este uso. Una vez se registra se deben dar más datos, como pueden ser, las medidas adoptadas para solucionar el problema. El registro debe contener los siguientes apartados:
- Persona (nombre completo) que realiza la notificación de la incidencia.
- Persona (nombre completo) a quien se notifica la incidencia, en este caso el responsable de seguridad.
- Tipo y descripción de la incidencia.
- Efectos que se han derivado de la incidencia.
- Fecha en la que se produjo la incidencia.
- El seguimiento que se realiza a la incidencia (estado en el encuentra la incidencia, persona que resuelve la incidencia, fecha y descripción de la resolución).
Software para ISO 27001
El Software ISO hace de un SGSI un sistema sencillo de implantar, automatizar y mantener actualizado y adecuado para su correcto funcionamiento, dando cumplimiento a cada uno de los requisitos que plantea la norma ISO 27001:2013. Además si una organización tiene implantados otros Sistemas de Gestión, tales como los relativos a las normas ISO 9001, ISO 14001 u OHSAS 18001, con este software se podrán integrar para facilitar el trabajo.