ISO 27701 – Cláusula 6.13 – Gestión de Incidentes de Seguridad de la Información

Comprensión de la cláusula 27701 de la norma ISO 6.13: una guía para la gestión de incidentes

La gestión de incidentes de información de privacidad se ocupa de instancias de eventos de seguridad que se han escalado a incidentes – en términos de identificarlos, resolverlos, proporcionar evidencia y lograr cambios a través de un análisis de causa raíz.

Los incidentes de privacidad tienen el potencial de afectar drásticamente la reputación y la situación financiera de una organización. Como tal, es de vital importancia operar con un conjunto sólido de procedimientos de gestión de incidentes que sean fácilmente comunicables y bien comprendidos por todos los involucrados.

Qué se cubre en la cláusula 27701 de la norma ISO 6.13

La cláusula 27701 de ISO 6.13 contiene 7 subcláusulas que tratan de la gestión de incidentes y mejoras de seguridad de la información, y cada control contiene puntos de orientación desde ISO 27002, aunque dentro de un contexto de protección de la privacidad:

• ISO 27701 6.13.1.1 – Responsabilidades y procedimientos (ISO 27002 Control 5.24)
• ISO 27701 6.13.1.2 – Notificación de eventos de seguridad de la información (ISO Control 27002 6.8)
• ISO 27701 6.13.1.3 – Notificación de debilidades de seguridad de la información (ISO 27002 Control 6.8)
• ISO 27701 6.13.1.4 – Evaluación y decisiones sobre eventos de seguridad de la información (ISO 27002 Control 5.25)
• ISO 27701 6.13.1.5 – Respuesta a incidentes de seguridad de la información (ISO 27002 Control 5.26)
• ISO 27701 6.13.1.6 – Aprendiendo de los incidentes de seguridad de la información (ISO 27002 Control 5.27)
• ISO 27701 6.13.1.7 – Recolección de evidencias (ISO 27002 Control 5.28)

La gestión de incidentes es un tema amplio y variado, por lo que varias subcláusulas contienen orientación adicional de los controles asociados dentro de ISO 27002.

Solo una subcláusula (ISO 27701 6.13.1.1) contiene información relevante para áreas del Reino Unido. GDPR legislación: hemos proporcionado los números de artículo debajo de los puntos de orientación, para su comodidad.

ISO 27701 Cláusula 6.13.1.1 – Responsabilidades y Procedimientos

Referencias ISO 27002 Control 5.24

Roles y Responsabilidades

Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:

• Adherirse a un método para informar eventos de seguridad de la información de privacidad.
• Establecer una serie de procesos que gestionen los incidentes relacionados con la seguridad de la información de privacidad en toda la empresa, que incluyen:
• Administración.
• Documentación.
• Detección.
• Triaje.
• Priorización.
• Análisis.
• Comunicación.
• Redactar un procedimiento de respuesta a incidentes que permita a la organización evaluar, responder y aprender de los incidentes.
• Asegúrese de que los incidentes sean gestionados por personal capacitado y competente que se beneficie de programas continuos de capacitación y certificación en el lugar de trabajo.

Gestión de Incidentes

El personal involucrado en incidentes de seguridad de la información privada debe comprender:

1. El tiempo que debería llevar resolver una incidencia.
2. Cualquier posible consecuencia.
3. La gravedad del incidente.

Al abordar eventos de seguridad de la información de privacidad, el personal debe:

• Evaluar los eventos de acuerdo con un estricto criterio que los valide como incidentes aprobados.
• Clasifique los eventos de seguridad de la información de privacidad en 5 subtemas:
• Monitoreo (ver Controles ISO 27002 8.15 y 8.16).
• Detección (ver Control ISO 27002 8.16).
• Clasificación (ver ISO 27002 Control 5.25).
• Análisis.
• Informes (ver Control ISO 27002 6.8).
• Al resolver incidentes de seguridad de la información de privacidad, las organizaciones deben:
• Responder y escalar problemas (ver Control ISO 27002 5.26) de acuerdo con el tipo de incidente.
• Activar planes de gestión de crisis y continuidad del negocio.
• Afectar una recuperación gestionada de un incidente que mitigue el daño operativo y/o financiero.
• Garantizar una comunicación exhaustiva de los eventos relacionados con incidentes a todo el personal relevante.
• Participar en el trabajo colaborativo (consulte los controles 27002 y 5.5 de ISO 5.6).
• Registre todas las actividades basadas en gestión de incidentes.
• Ser responsable del manejo de la evidencia relacionada con el incidente (ver Control ISO 27002 5.28).
• Lleve a cabo un análisis exhaustivo de la causa raíz para minimizar el riesgo de que el incidente vuelva a ocurrir, incluidas las modificaciones sugeridas a cualquier proceso.

Las actividades de presentación de informes deben centrarse en cuatro áreas clave:

1. Acciones que deben tomarse una vez que ocurre un evento de seguridad de la información.
2. Formularios de incidentes que registran información a lo largo de un incidente.
3. Procesos de retroalimentación de extremo a extremo a todo el personal relevante.
4. Informes de incidentes que detallan lo que ocurrió una vez que se resolvió el incidente.

Artículos aplicables del RGPD

• Artículo 5 – (1)(f)
• Artículo 33 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (4), (5)
• Artículo 34 – (1), (2), (3)(a), (3)(b), (3)(c), (4)

Controles ISO 27002 relevantes

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Cláusula 6.13.1.2 – Notificación de eventos de seguridad de la información

Referencias ISO 27002 Control 6.8

Las organizaciones deben garantizar que los eventos de información sobre privacidad se informen de manera oportuna y eficiente.

El personal debe contar con formas rápidas y sencillas de informar eventos de privacidad de la información y debe ser plenamente consciente de lo que constituye una violación.

Los eventos de información de privacidad pueden incluir:

• Controles de seguridad de la información de privacidad ineficaces.
• Violación de la confidencialidad, integridad o disponibilidad de la información.
• Error humano o intervenciones maliciosas.
• Incumplimiento de las políticas de seguridad de la información de privacidad (temáticas y generales).
• Incumplimientos de los controles de seguridad física.
• Cambios de sistema no autorizados.
• Mal funcionamiento del software.
• Violaciones de acceso físico y lógico.
• Vulnerabilidades diversas.
• Infecciones de malware (sospechas o reales).

ISO 27701 Cláusula 6.13.1.3 – Notificación de debilidades de seguridad de la información

Referencias ISO 27002 Control 6.8

Ver ISO 27701 Cláusula 6.13.1.2

ISO 27701 Cláusula 6.13.1.4 – Evaluación y decisiones sobre eventos de seguridad de la información

Referencias ISO 27002 Control 5.25

Las organizaciones deben adoptar un enfoque cualitativo para la gestión de incidentes de seguridad de la información de privacidad que incluya 4 puntos clave:

• Redactar un sistema de categorización claro que incremente la seguridad de la información privada eventos a la privacidad seguridad de la información incidentes.
• Listar un punto de contacto que evalúa los eventos de seguridad de la información de privacidad utilizando un conjunto estricto de reglas de clasificación.
• Garantizar que el personal técnico esté adecuadamente capacitado y equipado para resolver incidentes de seguridad de la información de privacidad.
• Registrar todas las conversaciones y actividades de resolución para su consideración futura y para minimizar el riesgo de que ocurran sucesos similares.

ISO 27701 Cláusula 6.13.1.5 – Respuesta a Incidentes de Seguridad de la Información

Referencias ISO 27002 Control 5.26

Las organizaciones deben garantizar que los incidentes de seguridad de la información privada sean tratados por un equipo técnico dedicado con las habilidades y recursos para lograr una resolución rápida (consulte ISO 27002 Control 5.24).

Las organizaciones deberían:

• Contener cualquier amenaza relacionada con la privacidad que surja del problema original.
• Recopilar un conjunto de pruebas a lo largo del proceso de resolución.
• Incluir escalamiento, actividades BUDR y planificación de continuidad en cualquier esfuerzo de resolución (ver Controles ISO 27002 5.29 y 5.30).
• Registre toda la actividad relacionada con el incidente.
• Asegúrese de que el personal opere según la “necesidad de saber” cuando se trate de incidentes de información de privacidad.
• Sea continuamente consciente de sus responsabilidades hacia sus clientes y organizaciones externas al comunicar incidentes de información de privacidad y violaciones de datos.
• Cerrar incidentes a un conjunto rígido de criterios de resolución.
• Realizar análisis forenses (ver Control ISO 27002 5.28), cuando sea necesario.
• Buscar establecer la causa subyacente de un incidente, una vez resuelto (ver Control ISO 27002 5.27).
• Tome medidas correctivas sobre cualquier proceso, control, política y procedimiento asociado para reforzar la protección de la privacidad de la organización una vez que se haya resuelto un incidente.

Artículos aplicables del RGPD

• Artículo 33 – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (4), (5)
• Artículo 34 – (1), (2)

Controles ISO 27002 relevantes

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

ISO 27701 Cláusula 6.13.1.6 – Aprender de los incidentes de seguridad de la información

Referencias ISO 27002 Control 5.26

Las organizaciones deberían crear procedimientos de gestión de incidentes que aborden tres elementos principales de los incidentes de seguridad de la información privada:

• Tipo de incidente.
• El volumen estimado.
• Costo proyectado.

Los incidentes de seguridad de la información de privacidad deberían beneficiarse de procedimientos que:

• Reforzar el marco de gestión de incidentes existente en la organización (ver Control ISO 27002 5.24).
• Mejorar los procesos de evaluación de riesgos de la información sobre privacidad de la organización.
• Mejor conciencia del usuario: esto se puede lograr proporcionando ejemplos de escenarios del mundo real y cómo manejarlos.

Controles ISO 27002 relevantes

• ISO 27702 5.24

ISO 27701 Cláusula 6.13.1.7 – Recopilación de pruebas

Referencias ISO 27002 Control 5.28

Las organizaciones deben recopilar evidencia sobre la actividad del incidente con el propósito expreso de cumplir con sus obligaciones legales, regulatorias, contractuales y disciplinarias.

Los esfuerzos de recopilación de evidencia deben garantizar que múltiples organismos reguladores y legisladores puedan examinar la actividad del incidente utilizando (pero no limitado a):

• Medios de almacenamiento.
• Activos y dispositivos.
• Estado del dispositivo.

Las organizaciones no deben hacer suposiciones sobre qué evidencia necesitan recopilar (especialmente en lo que respecta a la información de privacidad) y las organizaciones deben involucrar a las autoridades legales lo antes posible si tienen alguna duda sobre lo que debe ocurrir.

Al proporcionar evidencia a organismos externos, las organizaciones deben demostrar que:

• Los registros de incidentes están completos y libres de interferencias.
• La evidencia electrónica refleja su contraparte física.
• Los sistemas de TIC tenían la capacidad de registrar adecuadamente todas las pruebas pertinentes.
• El personal técnico involucrado en la recolección de evidencia está adecuadamente calificado y es lo suficientemente competente para desempeñar su función.
• Tienen la capacidad legal de recopilar pruebas.

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

Con ISMS.online, puede lograr fácilmente el cumplimiento de la norma ISO 27701 mediante el uso de una solución de gestión de información basada en la nube.

Además, nuestros expertos y recursos en seguridad de la información están disponibles para ayudarlo con el proceso de acreditación ISO 27701.

Descubre más por reservar una demostración.