Seguridad de la información: ¿Se produce un incidente por su incumplimiento?

Seguridad de la información

No existe ningún entorno 100% seguro. Los problemas ocurren, pero no todos los problemas se pueden tratar de la misma forma. Y, esto puede tener un impacto significativo en el esfuerzo y los costos de la administración de la seguridad de la información.

Durante el artículo de hoy queremos exponer tres conceptos utilizados por la norma ISO 27001, el estándar líder para la gestión de la seguridad de la información, que puede ayudar a las empresas a manejar las incidencias de seguridad de una forma mucho más eficiente, eventos de seguridad, incidentes de seguridad y no cumplimientos.

Definiciones de evento, incidente e incumplimiento, y cómo diferenciarlas

Para los fines que persigue la norma ISO 27001, se define el vocabulario para la gestión de seguridad de la información de ISO, utilizando los siguientes conceptos:

• Evento de seguridad de la información: cualquier ocurrencia relacionada con los activos o el entorno que indique un posible compromiso de las políticas o la falla de los controles, o incluso una situación no asignada que pueda afectar a la seguridad.
• Incidente de seguridad de la información: uno o más eventos de seguridad de la información que comprometen las diferentes operaciones comerciales y la seguridad de la información.
• Incumplimiento de la seguridad de la información: cualquier situación en la que no se cumpla un requisito.

Para diferenciar entre los conceptos se deberá tener en cuenta que:

• Evento de seguridad de la información se refiere a algo que pueda afectar los niveles de riesgo, sin afectar de forma necesaria al negocio o a la información. Por ejemplo, una persona sospechosa que se encuentra cerca de un área protegida representa un incremento en el riesgo, pero no afecta los resultados comerciales ni compromete la información.
• El incidente de seguridad de la información se refiere a algo que afecta de forma negativa el negocio y la información que deberá protegerse. Los ejemplos incluyen una pérdida de información o un retraso en las operaciones según un mal funcionamiento del sistema en cuanto a la seguridad de la información.
• El incumplimiento se refiere a algo que debería estar haciendo, pero no lo está. Por ejemplo, las copias de respaldo no se generan como se definen en la política de respaldo.

Es importante tener en cuenta todos los eventos o incidentes que se pueden generar por incumplir con los controles establecidos. Podemos poner el siguiente ejemplo, contamos con diferentes cámaras de vigilancia que cubran el área y se instalan como medida de seguridad. Si la persona sospechosa se ha identificado por el informe de un empleado en lugar del operador de la cámara, esto es un incumplimiento del funcionamiento de la cámara, incluso si no hay un impacto negativo en el negocio o su información. Si la causa fue un cambio que no se realizó según con la política de control de cambios, entonces esto también es un incumplimiento junto con el incidente.

Comprender los conceptos mencionados anteriormente y sus diferencias es fundamental para incrementar la eficiencia en el manejo de las incidencias de seguridad.

Tratamiento de eventos, incidencias y no conformidades

Los diferentes conceptos de eventos, incidentes e incumplimiento significan que sean tratados de diferentes formas para evitar el desperdicio de recursos, o el uso de medidas insuficientes, lo que lleva a una recurrencia de las situaciones no deseadas. Pueden ser de la siguiente forma:

• Eventos. Necesitan ser registrados por análisis futuros. Al llevar a cabo el análisis, si la cantidad de ocurrencias similares en el período es significativa, puede que sea necesario revisar la evaluación de riesgos, las políticas o los procedimientos.
• Incidentes. Se debe a que afecten el negocio o su información, los incidentes requieren de una acción inmediata para contener el impacto y para recuperar las condiciones operativas normales. Al igual que los eventos, deben registrarse para futuros análisis durante el monitoreo y la medición de los procesos.
• Incumplimiento. Igual que en otros estándares del sistema de gestión, la norma ISO 27001, requiere de acciones que se lleven a cabo para controlar y corregir cualquier incumplimiento, además de manejar las consecuencias. Además, una empresa tiene que evaluar la necesidad de eliminar las causas raíz para evitar la recurrencia. En los casos en los que se toman medidas para eliminar la causa raíz, deberán revisarse para establecer su eficacia.

La mayoría de las empresas abordan los incidentes y el incumplimiento de las acciones reactivas, y la calve para incrementar la efectividad del manejo de sucesos es trabajar de forma preventiva. Para trabajar de forma preventiva es necesario evaluar de manera periódica el registro de eventos y las causas principales de los incumplimientos. Con esto se podrán identificar los patrones que pueden conducir a nuevos incidentes y sus incumplimientos relacionados.

De esta forma, disminuye la probabilidad de que ocurra un incidente y de tener que asignar recursos adicionales para manejar sus consecuencias. Un enfoque adicional es trabajar en políticas, procedimientos y controles para que no sean excesivamente estrictos, lo que minimizará que ocurra un incumplimiento. Es este caso, deberá equilibrarse el nivel de riesgo con el rigor de las políticas, los procedimientos y los controles.

La eficiencia operativa es primordial para cualquier negocio. La seguridad de la información se ve como un gasto, por lo que todo el esfuerzo que se realice para minimizar los costos relacionados con los incidentes, sino también el manejo de los incidentes de seguridad en general.

La norma ISO 27001 y sus conceptos relacionados para abordar los incidentes de seguridad de la información, una empresa puede minimizar sus esfuerzos y costos para mantener el negocio en funcionamiento con niveles aceptables de riesgos para su información y sus clientes.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.