¿Gestión de Incidencias y Gestión de Incidencias de Seguridad?
¿Su organización tiene implantada la norma ISO 27001? ¿Y tiene implantado un proceso de Gestión de Incidencias tal y como indica ITIL o la norma ISO 20000-1? Y si es así: ¿Gestiona de manera integrada las incidencias de seguridad?
La norma ISO 27001 establece los requisitos para implantar un Sistema de Gestión de Seguridad de la Información. Esta norma menciona en varios apartados el concepto de incidencia de seguridad y exige que se realicen distintas actividades: por ejemplo, implantar procedimientos que detallen cómo actuar cuando se produce una incidencia de seguridad (epígrafe 4.2.2.h).
Pero es posible que, con un alcance solapado, la organización tenga implantada la norma ISO 20000-1 o algunos procesos ITIL -más habitual aún-, sin cubrir todo lo indicado por la norma. En esta situación la organización tendrá implantado un proceso de Gestión de Incidencias (según ISO 20000-1 o ITIL) que quizás no esté preparado para atender las incidencias de seguridad.
Si se encuentra en esta situación, le recomendamos que integre y alinee los procedimientos de Gestión de Incidencias de la norma ISO 20000-1 o ITIL con las necesidades de la norma ISO 27001, respecto a las incidencias de seguridad. Hay varios motivos para ello, siendo el primero que la norma ISO 20000-1 exige que las incidencias de seguridad se gestionen dentro del proceso de Gestión de Incidencias (epígrafe 6.6.3). No obstante, este motivo no es el más importante, ya que por sí solo sería sencillamente un argumento “burocrático”.
El verdadero motivo para tratar las incidencias de seguridad, dentro del proceso de Gestión de Incidencias, es que así podremos tener un único proceso que considere todas las incidencias y, por tanto, la gestión será más sencilla y eficaz. Esto no significa que tengamos que tratar todas las incidencias igual, ya que es posible que consideremos acciones y protocolos de actuación distintos para cada tipo de incidencia. Recordemos que la norma ISO 20000-1 también exige que se diferencien las incidencias “graves”, así que podríamos gestionar con el mismo proceso incidencias “normales”, “graves” y “de seguridad”.
Una vez que las incidencias de seguridad se gestionan con los requisitos estándar que establecen la normas -ISO 20000-1 o ITIL-, para la Gestión de Incidencias, estaremos seguros de cubrir los requisitos a efectos de la norma ISO 270001, como el epígrafe 4.2.3.a.5, que exige que se determine si las acciones emprendidas para resolver la incidencia de seguridad han sido efectivas. Esto, en el fondo, no es más que el requisito estándar para poder cerrar una incidencia.
Por último, hay que citar un beneficio adicional consistente en que, si queremos trabajar en una mejora continua, el proceso de Gestión de Problemas también considerará las incidencias de seguridad como parte de su ámbito de trabajo, ya que al revisar los históricos de incidencias, éstas también formarán parte.
José Luis Fernández Piñero