Utilizar el ITIL junto a la norma ISO 27001 para la gestión de incidentes

Norma ISO 27001

La gestión de incidencias es uno de los procesos clave para asegurar la eficiencia de cualquier operación comercial, gracias a la norma ISO 27001.

Como una práctica más antigua, ITIL de gestión de incidentes ha ayudado a diferentes organizaciones durante bastante tiempo a ocuparse de incidentes de TI de tal forma que restaura de forma rápida las operaciones del negocio. Con la preocupación por la evolución de la seguridad de la información y la adopción de la norma ISO 27001, los profesionales se enfrentan a un nuevo reto: preservar los incidentes con ITIL incrementando la eficiencia de los procesos de gestión, mientras que consigue cumplir con los requisitos de la norma ISO 27001.

Debemos saber lo que las organizaciones deben tener en cuenta para asegurar que el proceso de gestión de incidentes de ITIL es compatible con los requisitos al establecer un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, teniendo en cuenta las similitudes, las lagunas y las orientaciones para conseguir la alineación.

Gestión de Incidentes de ITIL

Como parte de la operación del servicio, gestionar los incidentes tiene como objetivo gestionar el ciclo de vida de todos los incidentes que se produzcan. El principal objetivo que persigue es devolver el servicio de TI a los usuarios lo antes posible. Los subprocesos y los objetivos de gestión de incidentes son:

• Apoyar a la gestión de los incidentes: tiene como objetivo proporcionar y mantener los recursos para el manejo eficaz y eficiente del incidente producido.
• Registro de incidentes y categorización: se deben registrar los incidentes y se deben categorizar para dar prioridad a los que la tengan, generando que se realice una resolución rápida y eficiente.
• Resolución de incidentes: tienen el objetivo de resolver todos los incidentes dentro del calendario acordado, se deben considerar soluciones alternativas, incrementar los niveles de soporte y como tratar los incidentes mayores. Se debe iniciar un proceso de administración de problemas.
• Monitoreo de incidentes y progresividad: los objetivos que se deben monitorear continuamente se encuentran en un estado de tramitación de incidentes, se debe asegurar la implementación de medidas adecuadas para evitar los incidentes.
• Clausura y evaluación: tiene el objetivo de asegurarse que los incidentes son realmente resueltos y que toda la información se suministra para su futura utilización.
• Información activa del usuario: tiene el objetivo de informar a todos los usuarios de los fallos del servicio y las alertas generadas, por lo que se deben ajustar las interrupciones y los eventos al número de consultas de los usuarios.
• Incidentes de gestión de informes: tienen como objetivo suministrar información relacionada con los incidentes con todos los procesos de gestión del servicio y asegurarse que los potenciales de mejora han sido utilizado en incidentes pasados.

El cumplimiento de la norma ISO 27001

Para hacer frente a la gestión de los incidentes, la norma ISO 27001 tiene diferentes cláusulas y un anexo (A.16 – Información de seguridad de gestión de incidentes).

Las cláusulas cubren hasta 7 subprocesos de ITIL mencionados en el apartado anterior y no necesitan casi ningún ajuste para asegurarse de que se cumplen:

Estas son algunas lagunas del proceso ITIL de Gestión de Incidentes que se pueden resolver mediante la aplicación de los controles que vienen determinados por la norma ISO 27001:

Aunque no es esencial para los procesos, los Anexos de la norma ISO 27001 pueden ayudar a mejorar la eficiencia de la gestión de los incidentes de ITIL, mientras que al mismo tiempo garantiza la conformidad con otros procesos:

La gestión de los incidentes ITIL durante mucho tiempo han ayudado a las empresas de todo el mundo para hacer frente eficientemente a los eventos de TI no deseados, pero a medida que la gestión de seguridad de la información se encuentran en camino a convertirse en una preocupación de la alta dirección, los directores de TI tiene que encontrarse preparado para incluir nuevas fuentes de requisitos sin perder actuación.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.