ISO/IEC 27035 Gestión de Incidentes de Seguridad
ISO/IEC 27035
Para evitar la gran variedad y cantidad de amenazas de seguridad de la información a las que estamos expuestos, tanto de tipo externas, por personas externas a la organización, como de tipo internas, por personal de la propia empresa haciendo uso de sus accesos y privilegios, surge la Norma Internacional publicada por ISO denominada ISO/IEC 27035.
ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información, se trata de una guía para la localización, análisis y evaluación de vulnerabilidades e incidentes a los que puede estar expuesta una organización. Esta Norma puede ser usada para pequeñas, medianas y grandes empresas. Las pymes en función a su tamaño y tipo de negocio, pueden orientarse para la gestión de incidentes de seguridad por documentos y procesos explicados en esta Norma. Además, puede ser usada por empresas externas que se dedican a la gestión de incidentes de seguridad de la información a otras empresas.
La Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información, guiará a las empresas a actuar frente a los incidentes de seguridad informática en la definición de controles efectivos y, por consiguiente, la reducción o mitigación de los impactos derivados de estos incidentes. Esta guía no solo gestiona los posibles incidentes de seguridad que pueda sufrir la organización, sino que también engloba las posibles vulnerabilidades que pueda tener la organización.
La protección total de la información de los sistemas de información o de los servicios de redes no es real. Los sistemas de información y los servicios de redes no están totalmente protegidos por las políticas o controles de seguridad de la información. Tras la implantación de controles, es probable, que permanezcan vulnerabilidades residuales que puedan provocar un incidente de seguridad de la información. Esto es posible que provoque impactos directos o indirectos sobre las operaciones de negocio, que pueden causar nuevas amenazas no identificadas con anterioridad.
Una organización concienciada con respecto a la seguridad de la información, debe tener un sistema para detectar, trasladar, valorar y responder a incidentes de seguridad de la información, además de la activación de controles adecuados para la prevención y reducción de impactos. Es recomendable, que el sistema, además, reporte las vulnerabilidades de seguridad de la información que aún no han sido detectadas y que pueden causar incidentes de seguridad, para analizarlas y tratarlas adecuadamente.
Las características del incidente, tipo de recursos afectados y criticidad de los mismos determinará el impacto potencial sobre el negocio de la empresa, además del orden de prioridad en el tratamiento, en caso de detectarse más de un incidente de forma simultánea.
Los incidentes se pueden diferenciar entre los incidentes menores, que pueden ser puntuales y tener un impacto leve en nuestra organización, a un incidente grave, que puede afectar a los procesos claves de la empresa.
Es muy importante, implementar controles preventivos y procesos de mejora continua al enfoque global de la empresa en la gestión de incidentes de seguridad de la información.
ISO/IEC 27035 asienta las pautas para:
- Destapar, informar y tratar los posibles incidentes de seguridad de información;
- Gestionar los incidentes de seguridad de la información, además de la puesta en marcha de controles para reducir o mitigar los posibles impactos que pueden acontecer.
- Reportar, tratar y gestionar las vulnerabilidades de seguridad de la información,
- Mejora continua en la seguridad de la información y aprender de los incidentes y vulnerabilidades ocurridos en el pasado para que no vuelvan a producirse.
La integración del sistema de gestión de incidentes de seguridad de la información con otros sistemas ofrece lo siguiente:
- Mejorar el enfoque y la seguridad de la información tanto en los sistemas de información como en los sistemas de redes.
- Contnolar o mitigar los posibles impactos adversos en las organizaciones.
- Mejorar y actualizar la prevención, priorización de tareas y evidencias de los posibles incidentes o vulnerabilidades de seguridad de la información.
- Ayuda en la contribución presupuestaria y de recursos en las organizaciones.
- Incrementar la concienciación en seguridad de la información y aprobar un programa o plan de formación para los trabajadores de la empresa.
- Involucrar a todo el personal de la empresa a través del acceso a su política de seguridad de la información y todos los documentos relacionados.
Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, citó textualmente: «el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la» muerte «de una organización. La norma ISO / IEC 27035 es una guía para la organización en los procesos y métodos que deben efectuarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.
Software ISOTools
ISOTools es un software que ofrece a las organizaciones la automatización de sistemas para mejorar la gestión en la seguridad de la información. Ayudando en la organización y planificación de controles, en la gestión e involucración de las personas e implantación de medidas correctoras y preventivas para reducir o mitigar los posibles impactos.