| 25 años generando CONFIANZA
Norma ISO 27001
En el seno de un Sistema de Seguridad de la Información desarrollado en la norma ISO 27001 de una organización, podemos encontrar una serie de incidentes y puntos débiles, y a continuación deben ser comunicados o notificados al responsable con el fin de iniciar una adecuada gestión.
Notificación de incidentes
Un incidente debe encontrarse adecuadamente documentado mediante un procedimiento formal, el proceso con el que se notifican o comunican los puntos débiles. Además este tiene que encontrarse al alcance de la totalidad de la plantilla de la entidad, así como a todas las partes que se consideren convenientes.
Se debe conceptualizar claramente en el procedimiento, cómo tienen que proceder a notificar la incidencia y cómo debe ser el procedimiento para dar una respuesta y escalado, es decir, los pasos a seguir en el caso de que el trabajador encuentre cualquier incidencia que perjudique a la seguridad de la información de la empresa.
A continuación, debe comunicar este problema al responsable para que éste evalúe el perjuicio y lleve a cabo el procedimiento para resolverlo. En el caso de no poder solucionar el problema él mismo, debe escalarlo a rangos superiores, para que de una forma rápida y eficaz puedan dar respuesta a cualquier incidencia.
Por lo dicho anteriormente, se hace necesario poseer de un sujeto con la misión de ser el punto de contacto, es decir, debe ser una persona con capacidad y disponibilidad para poder gestionar todos los eventos que sucedan, además de ser una persona conocida por toda la plantilla de la empresa.
A este sujeto responsable asociado al sistema correspondiente se le tiene que comunicar lo más pronto posible los diferentes puntos débiles que se originen en la empresa, haciéndolo tanto los trabajadores que allí se hallen como terceras personas.
Se debe contar con un registro de notificaciones en la entidad, en el cual se recojan las incidencias detectadas, así como las personas que colaboran en el escalado a la hora de identificarlas.
En la empresa se tiene que comprobar qué persona pudo estar implicada con el daño causado de forma intencionada, como también ese perjuicio que puede llegar a causar y las distintas implicaciones legales asociadas.
Gestión de incidentes
Además de conceptualizar el procedimiento de comunicación, se tendría que requerir un procedimiento de gestión de las incidencias, así como atribuir las responsabilidades necesarias. Los procedimientos deben ser inspeccionados cada periodo de tiempo para mantenerlos al día con el fin de conocer los resultados producidos y las modificaciones que en la organización se establecen. Todo ello se debe incluir en el proceso de manera continua del Sistema de Gestión de Seguridad de la Información desarrollado en la norma ISO-27001.
A lo largo del procedimiento de gestión, tenemos que considerar las respuestas que se tienen que dar a cualquier incidencia que pueda establecerse en nuestro sistema de información. Se deberían de tener en cuenta las acciones de contingencias que se tienen que decidir y, analizar las distintas causas que se ha proporcionado el incidente, planificar e implementar las acciones correctivas necesarias para que no vuelva a producirse, comunicar a las personas implicadas en el proceso, y con ello se deben tomar registro y pruebas de auditoria.
Por las personas recomendadas y autorizadas de la entidad, deben de llevarse a cabo las acciones de contingencia y reflejarse en un registro donde se encuentren todos los detalles, los cuales se usarán para que en un futuro se pueda estudiar e investigar.
La herramienta utilizada para saber si se deben realizar cambios en los procedimientos de respuesta o para implantar nuevos controles de seguridad es la evaluación.
En el caso de que el incidente lleve a tomar medidas legales se consideraría necesario demostrar las responsabilidades de los actos que se han producido. Para ello, se debe agrupar todas las pruebas posibles de auditoría, gestionar su custodia y presentarla cuando sean pedidas en el formato que exija el oportuno reglamento.
Un ejemplo de lo expuesto anteriormente, sería el robo de información confidencial por parte de un trabajador, que en este caso sería necesario el uso de medidas legales.
A continuación exponemos lo que podría ser un ejemplo fácil sobre el proceso de gestión de incidente en una entidad:
Un sujeto manifiesta la existencia de una incidencia que perjudica a la seguridad de los datos de carácter personal o a las medidas de seguridad de estos, con lo que debe comunicárselo a la persona responsable de seguridad que haya establecido la entidad. Para llegar a este fin se deben establecer estos datos:
- Tipo de incidencia.
- Día y hora en la que se ha producido.
- Sujeto que comunica la incidencia.
- Sujeto destinataria de la notificación.
- Efectos derivados de la incidencia.
Mediante el envío de un correo electrónico con acuse de recibo debe remitirse la notificación, con lo que podemos garantizar la recepción del correo.
En el caso del conocimiento de cualquier incidencia por parte del responsable de seguridad, éste debe establecer las medidas necesarias para corregir esos perjuicios producidos, y en el caso de no tener la capacidad establecida para ello, se debería de derivar la responsabilidad al departamento correcto para que la incidencia pueda ser solucionada lo más rápido y eficaz posible. Finalmente el responsable de seguridad tiene que realizar un seguimiento de la incidencia para afirmar que ha sido solucionada.
En el registro adecuado debe quedar registrada la incidencia. Una vez que queda registrada se deben dar más datos como las medidas establecidas para solucionar el perjuicio ocasionado. Se deben contener los siguientes apartados:
- Nombre completo de la persona que realiza la notificación de la incidencia.
- Nombre completo de la persona a quien se notifica la incidencia, en este caso el responsable de seguridad.
- Tipo y descripción de la incidencia.
- Efectos que se han derivado de la incidencia.
- Fecha en la que se produjo la incidencia.
- El seguimiento que se realiza a la incidencia (estado en el encuentra la incidencia, persona que resuelve la incidencia, fecha y descripción de la resolución).
Sistema de Gestión de Seguridad de la Información
El Sistema de Gestión de Seguridad de la Información es uno de los Sistemas de Riesgos y Seguridad que pueden emplear las organizaciones con la finalidad de disminuir e incluso eludir dichos riesgos y garantizar la seguridad de la propia empresa.
Para saber más acerca de estos Sistemas de Gestión visite:
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La estructura de ISO 42001 es la acostumbrada por ISO para sus estándares certificables, y con posibilidad de…