El incumplimiento en ISO 27001 es uno de tres problemas regulares, consuetudinarios y previsibles en un Sistema de Gestión de Seguridad de la Información basado en el estándar internacional.
El equipo de Seguridad de la Información reconoce que estas desviaciones ocurren, y se prepara para reconocerlas y tratarlas. Pero esto no significa que las acepte y las tolere.
Como todos los riesgos, el incumplimiento en ISO 27001 es previsible y el equipo necesita prepararse para afrontarlo. Uno de los problemas que surge de inmediato es que en la práctica no todo es un incumplimiento. Puede tratarse de un evento o un incidente.
Evento, incidente e incumplimiento en ISO 27001. Los tres conceptos son considerados y abordados por la norma y para cada uno de ellos se presentan opciones de gestión. Lo primero, por supuesto, es definirlos y aprender a diferenciarlos.
¿Qué es un evento, un incidente y un incumplimiento en ISO 27001?
En el contexto del estándar internacional de Seguridad de la Información el evento, el incidente y el incumplimiento tienen una definición diferente. Esta definición permite entender las diferencias y, de acuerdo con ellas, diseñar estrategias de gestión acertadas.
Según ISO 27001 esta es la definición para cada uno de estos problemas:
1. Evento
El evento es un hecho, un acontecimiento o un suceso que indica o permite inferir que un control falló o fallará o que lo dispuesto en una política puede no cumplirse. El comportamiento atípico de un Sistema o un proceso es también un evento.
Los eventos pueden ser o no graves. Pueden no ser nada o pueden ser la primera señal de un problema grave. La falta de comprensión sobre la gravedad del evento es una de las características de este tipo de desviaciones.
2. Incidente
El incidente es considerado por algunos especialistas en Seguridad de la información como una etapa posterior al evento. El incidente es entonces un evento, o la conjunción de varios eventos, que causan un daño real, una infracción de seguridad o una afectación a la integridad y la confidencialidad de la información.
Un empleado que abandona una computadora activa, sin control de acceso, durante algunos minutos, es un evento de seguridad que puede o no evolucionar a el estado de incidente. Una falla de seguridad permite el acceso y tránsito de una persona no autorizada por esa área, en el mismo momento, facilitando el uso de la computadora sin autorización. Dos eventos confluyen en este ejemplo para generar un incidente de Seguridad de la Información.
3. Incumplimiento en ISO 27001
El incumplimiento requiere que un requisito obligatorio de ISO 27001 no se cumpla. El incumplimiento en ISO 27001 puede generar riesgo para la Seguridad de la Información, pero no necesariamente produce una afectación negativa.
Es claro que si existe un requisito es porque ISO 27001 considera que hacer eso contribuye a reforzar la Seguridad. Pero no hacerlo, sobre todo si se detecta el incumplimiento a tiempo, puede no representar un daño real. No documentar un proceso, si el estándar lo solicita, es un incumplimiento que no necesariamente genera un problema.
El acceso de una persona no autorizada por un área restringida, descrito como ejemplo en el apartado anterior, además de ser un evento que confluyó con otro para generar un incidente, puede señalar el incumplimiento de un requisito de ISO 27001.
¿Cuáles son las diferencias entre evento, incidente e incumplimiento en ISO 27001?
Un evento puede convertirse en un incidente. Evento e incidente pueden evidenciar un incumplimiento en ISO 27001. El Incumplimiento, por supuesto, implica una No Conformidad con uno o varios requisitos de la norma.
Las similitudes con claras. Las diferencias también lo son:
- El evento compromete la seguridad, pero no necesariamente representa una afectación o un daño leve o grave. Es apenas una señal de alerta.
- El Incidente si es una afectación negativa a la Seguridad de la Información. Esta afectación puede ser leve o grave. Pero si existe daño.
- No todos los eventos se convierten en incidentes. Todos los incidentes, no obstante, si fueron eventos en algún momento.
- El incumplimiento no necesariamente ocasiona una repercusión negativa a la Seguridad. Pero si es un riesgo que requiere Gestión.
Eventos e incidentes pueden ser incumplimiento. De hecho, el incumplimiento de un requisito de ISO 27001 es la causa raíz usual de un evento o un incidente que comprometen y afectan la integridad y confidencialidad de la información.
Aprende a diferenciar tres conceptos esenciales para evaluar el incumplimiento en #ISO27001: Evento, Incidente e Incumplimiento #SeguridadInformación Clic para tuitear¿Cómo gestionar eventos, incidentes e incumplimientos en ISO 27001?
Las diferencias obligan a los equipos de Seguridad de la Información a tomar acciones diferentes. El Propósito es optimizar el uso de recursos y tomar acciones efectivas para evitar que los eventos se vuelvan incidentes, y que se repitan los problemas.
¿Cómo gestionar eventos?
Los eventos deben ser registrados. El registro es el material con el que trabajan los expertos en Gestión de Riesgos. Un número representativo de eventos similares, permitirá identificar un riesgo, una causa raíz común y, por supuesto, adicionar un control o modificar uno existente para garantizar su efectividad.
¿Cómo gestionar incidentes?
El impacto negativo, característico de los incidentes, obliga a tomar acción inmediata, efectiva y contundente. Esto implica investigar la causa raíz, determinar si se trata de un riesgo que había sido identificado con anterioridad, determinar si un control falló… Es necesario registrar el incidente y documentar el trabajo de gestión que se realiza, incluido el procedimiento establecido para monitorear y comprobar la eficacia de la acción correctiva implementada.
¿Cómo gestionar incumplimiento en ISO 27001?
El incumplimiento tiene un carácter especial. Es importante tener en cuenta que el incumplimiento puede ser hallado por el auditor interno. En este caso, se activa el procedimiento para esos casos, que incluye implementar una acción correctiva, documentar el proceso y establecer controles y procedimientos de monitoreo y seguimiento. El tratamiento de No Conformidades es más formal que el de incidentes, particularmente en lo relacionado con documentación.
La Seguridad de la Información suele relacionarse con aspectos relacionados con informática, software, redes e información digital. Es importante tener en cuenta que la información en papel, o la que se transmite de forma oral, también debe protegerse y preservarse, según ISO 27001.
La Seguridad de la Información no se restringe a los medios magnéticos, digitales y virtuales. Pero su Gestión sí que requiere el uso de tecnología adecuada para digitalizar y automatizar. Esto es lo que diferencia la gestión eficaz de la que no tiene la capacidad para reaccionar de inmediato y prevenir problemas con la suficiente antelación.
Por supuesto, la formación desempeña un papel esencial en la gestión de eventos, incidentes e incumplimientos. Sobre ello hablamos en el apartado final.
Diplomado de Seguridad de la Información – ISO/IEC 27001
La diferencia entre evento, incidente e incumplimiento en ISO 27001, así como las opciones de gestión de cada uno de estos problemas, es una entre muchas materias de estudio en el Diplomado de Seguridad de la Información ISO/IEC 27001.
Este programa ha sido diseñado por expertos en el área con reconocimiento internacional. El Diplomado profundiza en los detalles y los requisitos del estándar más implementado en Seguridad de la Información en el Mundo. Pero también aporta las herramientas necesarias para que los alumnos se conviertan en auditores expertos, certificados y calificados.
Tenemos una convocatoria abierta para que tomes este diplomado. Solo necesitas iniciar aquí.
