ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura · Intermedio

¿Cómo armar la política de gestión de incidentes de seguridad de la información?

Guía para estructurar una política de gestión de incidentes basada en ISO/IEC 27001 e ISO/IEC 27035.

La norma ISO/IEC 27001 es una norma internacional que establece un marco general para la gestión de la seguridad de la información. Esta norma incluye una serie de requisitos que deben cumplirse para implementar y mantener un sistema de gestión de la seguridad de la información (SGSI) efectivo.

El capítulo 16 de la norma ISO/IEC 27001 se refiere a la gestión de los incidentes de seguridad de la información. Este capítulo incluye requisitos para llevar a cabo las fases principales, pero básicas, de una gestión ordenada de incidentes.

En general, el capítulo 16 de la norma ISO/IEC 27001 proporciona una metodología sistemática y estructurada para gestionar la seguridad de la información en una organización. Esto puede ayudar a las organizaciones a proteger sus activos de información y garantizar la confidencialidad, integridad y disponibilidad de la información. En ISO/IEC 27035 se profundiza este enfoque.

La ISO/IEC 27035 es una norma internacional que se centra en la gestión de la seguridad de la información en situaciones de incidentes. Esta norma proporciona un marco general para la gestión de los incidentes de seguridad de la información, desde la detección hasta la resolución del incidente. También incluye recomendaciones sobre cómo establecer una estructura de gestión de incidentes y cómo coordinar la respuesta a los incidentes con otros departamentos de la organización y con agencias externas. En general, la norma ISO/IEC 27035 ayuda a las organizaciones a estar preparadas para manejar incidentes de seguridad de la información de manera efectiva y minimizar sus impactos negativos.

Beneficios de la norma ISO/IEC 27035

Mejora en la detección y respuesta a incidentes de seguridad de la información: la norma proporciona un marco general para llevar a cabo un análisis de riesgos y establecer una estructura de gestión de incidentes efectiva. Esto puede ayudar a las organizaciones a detectar y responder a incidentes de seguridad de la información de manera más rápida y eficiente.

Mayor protección de activos de información: la norma incluye recomendaciones sobre cómo implementar medidas de seguridad adecuadas para proteger los activos de información de la organización. Esto puede ayudar a reducir el riesgo de pérdida o robo de información confidencial o sensible.

Mejora en la confianza y credibilidad de la organización: al implementar la norma ISO/IEC 27035, las organizaciones demuestran su compromiso con la seguridad de la información y con la protección de los intereses de sus clientes y usuarios. Esto puede mejorar la confianza y credibilidad de la organización en el mercado.

Mayor cumplimiento con las leyes y regulaciones aplicables: muchas leyes y regulaciones en materia de seguridad de la información exigen a las organizaciones implementar medidas adecuadas para proteger la información. La norma ISO/IEC 27035 proporciona un marco general para cumplir con estas exigencias.

Mejora en la eficiencia y eficacia de la gestión de la seguridad de la información: la norma ISO/IEC 27035 proporciona una metodología sistemática y estructurada para llevar a cabo un análisis de riesgos y desarrollar un plan de gestión de la seguridad de la información. Esto puede ayudar a las organizaciones a gestionar la seguridad de la información de manera más eficiente y eficaz.

¿Cómo deberíamos estructurar la política entonces?

ÍNDICE

DECLARACIÓN INSTITUCIONAL — Detalla la importancia para la institución y alineación con el negocio.

CONTENIDOS — Detalla qué contiene este documento, de fácil entendimiento para el lector. También se pueden detallar palabras técnicas que pudiese mencionar el documento.

OBJETIVO DE LA POLÍTICA — Detalle por qué es imperativo crear este documento.

ALCANCE — Detalle quién está obligado a cumplirla; sea claro.

ROLES Y RESPONSABILIDADES — Describa cada rol que participe en el desarrollo o implementación de esta política.

ÁMBITOS DE LA SEGURIDAD DE LA INFORMACIÓN — Describa cada aspecto de la NCH 27.002 adquirida previamente que tenga impacto en el negocio. Previamente debe conocer cuáles son sus riesgos; es necesario tener dicho documento, puesto que los objetivos de control de cada dominio figuran ahí.

  • Responsabilidades y procedimientos
  • Reporte de eventos de seguridad de la información
  • Reporte de debilidades de seguridad de la información
  • Evaluación y decisión sobre los eventos de seguridad de información
  • Respuesta a incidentes de seguridad de la información
  • Aprendiendo de los incidentes de seguridad de la información
  • Recolección de evidencia

EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA — Describa cada cuánto se revisa y quién debe hacerlo.

DIFUSIÓN — Describa cómo, quién y cada cuánto se difundirá este documento.

NO CUMPLIMIENTO Y SANCIONES — Describa con detalle qué sucede al no respetar lo establecido en este documento.

CONTROL DE VERSIONES

GLOSARIO TÉCNICO

Referencias

  • NCh-ISO IEC 27001:2020
  • ISO/IEC 27002:2022
  • NCh-ISO IEC 27035/1:2018
  • NCh-ISO IEC 27035/2:2019
  • NCh-ISO IEC 27035/3:2022
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo