ISO 27001 – Anexo A.16: Gestión de Incidentes de Seguridad de la Información

¿Cuál es el objetivo del Anexo A.16.1?

El Anexo A.16.1 trata sobre la gestión de incidentes, eventos y debilidades de seguridad de la información. El objetivo en esta área del Anexo A es garantizar un enfoque coherente y eficaz para el ciclo de vida de incidentes, eventos y debilidades. ISO 27001:2013 aborda claramente el ciclo de vida a través de A.16.1.1 a A.16.1.7 y es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001. Ahora comprendamos esos requisitos y lo que significan con un poco más de profundidad.

A.16.1.1 Responsabilidades y procedimientos

Un buen control describe cómo la dirección establece responsabilidades y procedimientos para garantizar una respuesta rápida, eficaz y ordenada para abordar debilidades, eventos e incidentes de seguridad. En términos simples, un incidente es aquel en el que se ha producido algún tipo de pérdida relacionada con la confidencialidad, la integridad o la disponibilidad.

Un ejemplo es cuando se dejó una ventana abierta y un ladrón robó un archivo importante que estaba sobre el escritorio... Siguiendo ese hilo, un evento es donde la ventana se dejó abierta pero nadie robó el archivo. Una debilidad es que la ventana se rompe fácilmente o es vieja y podría ser un lugar obvio para el robo. Una debilidad es también una gestión de riesgos común o una oportunidad de mejora.

Los procedimientos para la planificación de respuesta a incidentes, eventos y debilidades deberán definirse claramente antes de que ocurra un incidente y deben ser aprobados por su liderazgo. Esos procedimientos son bastante fáciles de desarrollar porque el resto de este control del Anexo A los detalla. Su auditor esperará ver todos estos procedimientos formales y documentados implementados y evidencia de que están funcionando.

A.16.1.2 Notificación de eventos de seguridad de la información

Un buen control aquí garantiza que los incidentes y eventos de seguridad de la información puedan notificarse a través de los canales de gestión adecuados lo antes posible.

Los empleados y las partes interesadas asociadas (por ejemplo, proveedores) deben ser conscientes de sus obligaciones de informar incidentes de seguridad y usted debe incluir esto como parte de su concientización y capacitación generales. Para hacerlo bien, necesitarán ser conscientes de exactamente qué constituye una debilidad, evento o incidente de seguridad de la información, así que sea claro al respecto, basándose en el sencillo ejemplo anterior. Si ocurre o se cree que ha ocurrido un evento de seguridad de la información, se debe informar inmediatamente al administrador de seguridad de la información designado y eso debe documentarse en consecuencia.

Algunas de las posibles razones para informar un incidente de seguridad incluyen; controles de seguridad ineficaces; supuestas violaciones de la integridad o confidencialidad de la información, o problemas de disponibilidad, por ejemplo, no poder acceder a un servicio.

El auditor querrá ver y tomará muestras para obtener evidencia de la conciencia de lo que constituye una debilidad, evento o incidente entre el personal en general, y la conciencia de los procedimientos y responsabilidades de notificación de incidentes.

A.16.1.3 Notificación de debilidades en la seguridad de la información

Este control simplemente se basa en incidentes y eventos, pero podría tratarse de manera ligeramente diferente una vez informado (ver A.16.1.4). Es esencial que los empleados sean conscientes del hecho de que, al descubrir una debilidad de seguridad, no deben intentar demostrar esa debilidad. , ya que realizar pruebas puede interpretarse como un mal uso del sistema, al tiempo que se corre el riesgo de dañar el sistema y la información almacenada, provocando incidentes de seguridad.

A.16.1.4 Evaluación y decisión sobre eventos de seguridad de la información

Se deben evaluar los eventos de seguridad de la información y luego se puede decidir si deben clasificarse como incidentes de seguridad de la información, eventos de debilidades. Una vez que se haya informado y registrado un evento de seguridad, será necesario evaluarlo para determinar el mejor curso de acción a seguir. Esta acción debe tener como objetivo minimizar cualquier compromiso de la disponibilidad, integridad o confidencialidad de la información y prevenir nuevos incidentes. Idealmente, tendrá un impacto mínimo para otros usuarios de los servicios. En esta parte del ciclo de vida también se puede considerar exactamente quién debe estar al tanto del incidente, internamente, los clientes, los proveedores y los reguladores.

El RGPD y la Ley de Protección de Datos de 2018 significan que algunos incidentes de seguridad de la información relacionados con datos personales también deben informarse a la Autoridad de Supervisión, por lo que sus controles también deben incluir estas consideraciones para cumplir con los requisitos reglamentarios y evitar duplicaciones o lagunas en el trabajo.

A.16.1.5 Respuesta a Incidentes de Seguridad de la Información

Siempre es bueno asignar propietarios, ser claro en las acciones y los plazos y, como ocurre con todo lo relacionado con ISO 27001, conservar la información para fines de auditoría (también es esencial si hay otras partes interesadas y reguladores a considerar). La persona encargada de abordar el evento de seguridad será responsable de restablecer un nivel normal de seguridad y al mismo tiempo;

• recopilar pruebas lo antes posible después del suceso;
• realizar un análisis forense de seguridad de la información (gran plazo, pero al menos dejar claro la causa raíz y los aspectos relacionados o qué sucedió y quién estuvo involucrado, por qué, etc.);
• escalamiento, si es necesario, por ejemplo a los reguladores pertinentes;
• garantizar que todas las actividades de respuesta involucradas se registren adecuadamente para su posterior análisis;
• comunicar la existencia del incidente de seguridad de la información o cualquier detalle relevante al liderazgo para que se comunique a varios individuos u organizaciones según sea necesario; y
• Tratar las debilidades de seguridad de la información que se encuentran que causan o contribuyen al incidente.

A.16.1.6 Aprender de los incidentes de seguridad de la información

Este es un control importante y su política debe demostrar que el conocimiento adquirido al analizar y resolver incidentes de seguridad de la información se utilizará para ayudar a reducir la probabilidad o el impacto de cualquier incidente futuro. Como parte del compromiso con la mejora continua del servicio, debe asegurarse de aprender de las lecciones de cualquier incidente de seguridad para, por lo tanto, ayudar a evolucionar y adaptar el SGSI para satisfacer el panorama cambiante en el que se trabaja.

Una vez que se ha resuelto un incidente, se debe colocar en un estado de revisión y aprendizaje, donde el líder de respuesta para ese incidente discutirá cualquier cambio requerido en los procesos de las políticas del SGSI como resultado. Luego, cualquier recomendación relevante debe presentarse a la Junta del SGSI para su posterior discusión. Una vez que se ha completado la revisión y el aprendizaje, se han realizado actualizaciones de las políticas según sea necesario, se debe notificar al personal relevante y volver a capacitarlo si es necesario, y el ciclo de concientización y educación sobre seguridad de la información continúa.

A.16.1.7 Recolección de evidencia

La organización tiene que definir y aplicar controles para la identificación, recopilación, adquisición y preservación de información, que puede usarse como evidencia, especialmente si es probable que se produzcan procedimientos penales o civiles a partir del incidente.

Cuando la organización sospeche o sepa que un incidente de seguridad puede dar lugar a medidas legales o disciplinarias, debe llevar a cabo la recopilación de pruebas con cuidado, garantizar una buena cadena de custodia y evitar cualquier amenaza de ser sorprendido por una mala gestión.

También es sensato vincular claramente la gestión de incidentes de seguridad de la información a los procedimientos disciplinarios. Todo el mundo debería saber que hay que tomar precauciones y, al mismo tiempo, tener claras las consecuencias para quienes no se lo tomen en serio.