ISO 27002:2022, Control 5.24 – Planificación y preparación de la gestión de incidentes de seguridad de la información

Propiedad del Control 5.24

La Gestión de Incidentes, en términos más amplios, suele ser aplicable a incidentes relacionados con el servicio. Dado que el Control 5.24 se ocupa específicamente de incidentes y violaciones relacionados con la seguridad de la información, teniendo en cuenta la naturaleza altamente sensible de estos eventos, la propiedad del Control 5.24 idealmente debería residir en un CISO, o equivalente organizacional.

Dado que los CISO generalmente solo se ven en empresas más grandes y organizaciones de nivel empresarial, la propiedad también podría residir en el Directora de Operacioneso Gerente de Servicio, dependiendo de la naturaleza de la organización.

Orientación: funciones y responsabilidades

La gestión de incidentes produce los mejores resultados cuando el personal de una organización trabaja en conjunto para resolver un problema específico.

Para lograrlo, Control 5.24 especifica cinco puntos de orientación principales que ayudan a las organizaciones a crear una operación de mensajería instantánea coherente y eficiente.

Las organizaciones deberían:

1. Acordar y documentar un método homogéneo para reportar eventos de seguridad de la información. Esto también debería implicar el establecimiento de un punto de contacto principal al que se debe informar sobre todos estos eventos.
2. Establecer una serie de incidentes. Procesos de gestión que gestionan la seguridad de la información. Incidencias conexas en el ámbito de diversas funciones técnicas y administrativas:
   
   a) Administración
   b) Documentación
   c) Detección
   d) Triage
   e) Priorización
   f) ECONOMÉTRICOS
   g) Comunicación
3. Formule un procedimiento de respuesta a incidentes que permita a la organización evaluar y responder a los incidentes. Las organizaciones también deben ser conscientes de la necesidad aprender de los incidentes una vez resueltos, mitigar cualquier recurrencia y proporcionar al personal un contexto histórico en escenarios futuros.
4. Limitar la participación en incidentes a personal capacitado y competente, que disfrutan de acceso completo a la documentación procesal y se benefician de capacitación de actualización periódica específicamente relacionada con incidentes de seguridad de la información.
5. Establecer un proceso que identifique las necesidades de formación de cada miembro del personal involucrado en la resolución de incidentes relacionados con la seguridad de la información. Esto debe incluir cualquier certificación profesional o específica del proveedor, y brindar al personal la oportunidad de resaltar cualquier necesidad de desarrollo profesional, en relación con la seguridad de la información.

Orientación – Gestión de incidentes

El objetivo del proceso de gestión de incidentes de una organización debe ser garantizar que todos los responsables de resolver incidentes de seguridad de la información tengan un conocimiento firme de tres áreas principales:

• El tiempo que se tarda en resolver un incidente.
• Cualquier posible consecuencia
• La gravedad del incidente.

Todos los procesos deben funcionar en armonía para garantizar que estas tres variables sigan siendo una máxima prioridad.

El Control 5.24 describe 8 actividades principales que deben abordarse al intentar resolver incidentes relacionados con la seguridad de la información.

1. Los posibles eventos de seguridad de la información deben evaluarse de acuerdo con criterios estrictos que los validen como un incidente aprobado.
2. La gestión de eventos e incidentes de seguridad de la información debe clasificarse en 5 subtemas principales, ya sea de forma manual o mediante la automatización de procesos:
   
   a) Monitoreo (ver Controles 8.15 y 8.16)
   b) Detección (ver Control 8.16)
   c) Clasificación (ver Control 5.25)
   d) ECONOMÉTRICOS
   e) Informes (ver Control 6.8)
3. Al intentar llevar los incidentes de seguridad de la información a una conclusión exitosa, las organizaciones deben implementar procedimientos que establezcan lo siguiente:
   
   a) Respuesta y escalamiento (ver Control 5.26) de acuerdo con el tipo de incidente
   b) Activación de planes de gestión de crisis o planes de continuidad del negocio, sobre una base de caso por caso
   c) Recuperación gestionada de un incidente que mitiga cualquier daño operativo/financiero causado.
   d) Comunicación exhaustiva de eventos relacionados con incidentes a todas las partes internas y externas.
4. Trabajo colaborativo con personal interno y externo (ver Controles 5.5 y 5.6).
5. Registro exhaustivo, accesible y transparente de todas las actividades basadas en la gestión de incidentes.
6. Manejo responsable de la evidencia (incluidos datos y conversaciones), de acuerdo con lineamientos y regulaciones internas y externas (ver Control 5.28).
7. Análisis de causa raíz y procedimiento de revisión exhaustivo, una vez resuelto el incidente.
8. Un registro completo de cualquier mejora necesaria para evitar que el incidente vuelva a ocurrir, incluida cualquier enmienda al proceso de gestión de incidentes en sí.

Orientación – Informes

La notificación es un elemento esencial de cualquier incidente. Política de gerencia que garantiza que la información se difunda con precisión en toda la organización. Las actividades de presentación de informes deben centrarse en cuatro áreas principales:

1. Cualquier acción que deba tomarse una vez que ocurre un evento de seguridad de la información.
2. Formularios de incidencias que ofrecen un medio claro y conciso para registrar la información y apoyar al personal en el desempeño de sus funciones.
3. Procesos de retroalimentación para garantizar que el personal sea notificado del resultado de los eventos de seguridad de la información, una vez resuelto el incidente.
4. Informes de incidentes que documentan toda la información relevante relacionada con un incidente.

Cabe señalar que el Control 5.24 no contiene ninguna guía sobre cómo cumplir con los requisitos externos sobre cómo se informan los incidentes (por ejemplo, pautas regulatorias y/o legislación vigente), pero las organizaciones deben tomar medidas para compartir información sobre incidentes con todas las partes relevantes. y coordinar una respuesta que cumpla con todos los requisitos regulatorios, específicos del sector y legales.

Controles de apoyo

• 5.25
• 5.26
• 5.5
• 5.6
• 6.8
• 8.15
• 8.16

Cambios y diferencias con respecto a ISO 27002:2013

27002:2022-5.24 reemplaza a 27002:2013-16.1.1 (Gestión de incidentes y mejoras de seguridad de la información – Responsabilidades y procedimientos).

27002:2022-5.24 reconoce la necesidad de que las organizaciones se sometan a una preparación exhaustiva para seguir siendo resilientes y cumplir ante posibles incidentes de seguridad de la información.

Como tal, 27002:2022-5.24 ofrece un desglose mucho más completo de los pasos que las organizaciones deben seguir en la delegación de roles, la gestión de incidentes y las funciones de presentación de informes, con referencia específica a otros controles iso que ayudan a las organizaciones a obtener una visión más completa de la gestión de incidentes en su conjunto, no simplemente relacionada con eventos de seguridad de la información.

Para ayudar a la organización a compartimentar sus operaciones de gestión de incidentes, 27002:2022-5.24 se desvía de 27002:2013-16.1.1 al centrarse en tres áreas distintas a considerar:

• Funciones y responsabilidades
• Procesos de gestión de incidentes
• Informes

Cómo ayuda ISMS.online

Cuando se utiliza SGSI.online, usted será capaz de:

• Crear una SGSI compatible con ISO 27001 normas
• Realizar tareas y presentar pruebas que indiquen que han cumplido con los requisitos de la norma.
• Asigne tareas y realice un seguimiento del progreso hacia el cumplimiento de la ley.
• Obtenga acceso a un equipo especializado de asesores que lo ayudarán en su camino hacia el cumplimiento.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.