ISO 27001: Incidentes seguridad

Entre otras muchas cuestiones, la norma ISO 27001 se preocupa por la regulación de los incidentes de seguridad que puedan afectar a la información (perdida de datos, destrucción de equipos informáticos, documentación, etc…). Estos incidentes deberán ser registrados y comunicados al responsable de la organización, y para ello se establecerá un procedimiento concreto.
Se trata, además, de una obligación legal que viene ya impuesta por la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y por el Real Decreto 1720/2007, por el que se aprueba el Reglamento que la desarrolla.
Así, en el artículo 90 del citado Reglamento, ya se dispone que “deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”.
La norma ISO 27001, establece una serie de posibles controles a aplicar para gestionar los incidentes que afecten a cualquier tipo de información dentro de la FGUMA, con el objetivo final de asegurar que los eventos y debilidades de seguridad de la información sean comunicados de una manera tal que permita que la acción correctiva sea tomada oportunamente. Los controles pueden consistir en:
  1. Reporte de los eventos de seguridad: Se ha de dejar constancia y  comunicar los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.
  1. Reporte de debilidades: Se pedirá a empleados, contratistas y usuarios que detecten e informen sobre cualquier debilidad en la seguridad de los sistemas o servicios que se haya observado o sospechado.
  1. Responsabilidad y procedimientos: La organización fijará quiénes son los responsables de la gestión de incidentes y los procedimientos a seguir, a fin de asegurar una respuesta rápida, eficaz y ordenada.
  1. Aprendizaje de los incidentes: Se establecerán mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad.
  1. Recolección de evidencias: Si a consecuencia de un proceso judicial se hiciera un seguimiento contra una persona u organización por incidentes de seguridad, se recolectarán, conservarán y presentarán las pruebas conforme a la legislación aplicable en cada caso.

Implantar un SGSI

¿Cómo se implanta un Sistema de Gestión de Seguridad de la Información?
La norma ISO 27001 es un modelo para poder establecer, implementar, monitorear, revisar, mantener y mejorar un SGSI para cualquier tipo de organización. El SGSI estará influido por las necesidades de cada empresa, sus objetivos, sus requisitos de seguridad, sus procesos, sus empleados, su tamaño, sus sistemas de soporte y su estructura, por lo que cada SGSI se confeccionará de la forma más adecuada para cada empresa, pero siempre respetando las normas y el modelo de la ISO 27001.
La norma ISO 27001 sigue el denominado CICLO DEMING del Plan, Do, Check, Act:
   PLAN (PLANIFICAR): Es el establecimiento del SGSI: en esta primera fase se trata de determinar el alcance del SGSI (si se va a aplicar a todos los procesos internos de la empresa o sólo a algunos), identificar los activos de información (software, hardware, personal, servicios que se prestan, etc…) y valorar su importancia en la empresa, analizar y evaluar los riesgos que pueden afectar a esos activos (virus informáticos, falta de formación del personal, averías de ordenadores, incendios, inundaciones, etc…), y qué se puede hacer para controlar esos riesgos en la medida de la posible.
    DO (HACER): Es la implementación del SGSI: Consiste en llevar a la realidad las medidas y acciones a aplicar para hacer posible el control de los riesgos a que está sometida la información de la empresa (por ejemplo: instalación de antivirus, plan de formación para los trabajadores en materia de seguridad de la información, implantación de un buen sistema de copias de seguridad, etc…).
    CHECK (VERIFICAR): Es la fase de monitoreo y revisión, por la cual la empresa establece procedimientos y rutinas para poder revisar el desenvolvimiento y la eficacia de ese sistema de medidas de seguridad implantado.
       ACT (ACTUAR):  Es la fase de mejora continua, donde se toman las acciones oportunas para reaccionar ante incidentes de seguridad y tomar también acciones preventivas.

SGSI e ISO 27001

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?.
Es una parte más del sistema de gestión general de cualquier empresa, pero centrado en mejorar la seguridad de la información. Se trata de definir y establecer un sistema que determine qué hay que proteger  en una empresa (archivos en papel, ordenadores, routers, formación de los trabajadores…)  y por qué; de qué hay que protegerlo (incendios, inundaciones, robos, virus informáticos, desinformación de los empleados…) y cómo debe protegerse (instalación de contraseñas en ordenadores, antivirus, controles de acceso físicos, formación para los empleados…).
Este sistema se articulará por medio de una serie de normas y de procedimientos concretos y detallados.
¿Por qué  implantar un Sistema de Gestión de Seguridad de la Información en mi empresa?
La información (ya sea en formato papel o en cualquier ordenador) que se maneja hoy día en cualquier empresa, organismo o entidad, tiene una importancia vital para el funcionamiento de la misma. La pérdida, por ejemplo, de una base de datos en una empresa, podría dejar paralizada su actividad, impidiendo que se sigan prestando los correspondientes servicios a sus clientes.
Evitar, en la medida de lo posible este tipo de situaciones (así como cualquier pérdida de información debida a desastres naturales o de otra índole, ataques de terceros a través de los sistemas informáticos e internet, etc…), saber cómo actuar cuando sucedan y tener una capacidad de respuesta ante las mismas, son las razones fundamentales por las que se debe implantar un Sistema de Gestión de Seguridad de la Información.
¿Qué es la ISO/IEC 27001?
Es la norma internacional que da las instrucciones y define los pasos para llevar a cabo ese Sistema de Gestión de Seguridad de la Información (SGSI), y sirve para la evaluación de la conformidad, es decir: para obtener un Certificado de una entidad debidamente autorizada sobre la idoneidad de ese SGSI, al igual que ocurre con el sistema de gestión de calidad certificable según la norma ISO 9001, popularmente más conocida.