👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.12.1.1, A.16.1.1, A.16.1.2, A.16.1.3, A.16.1.4, A.16.1.5, A.16.1.6, A.16.1.7
ISO 27001 en su versión 2022: A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.5.37, A.6.8
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento formal para gestionar adecuadamente los incidentes de seguridad dentro tu empresa, desde cómo deben reportarse, hasta su resolución y posible comunicación.
¿Qué tengo que hacer? 🚀
💡 Un incidente de seguridad de la información puede ser un único evento o una serie de ellos, que son inesperados o no deseados, y que tienen una probabilidad significativa de comprometer las operaciones de la empresa, poniendo en riesgo su información. O, en palabras más sencillas; es cualquier evento que comprometa la integridad, confidencialidad y/o disponibilidad de tu información.
Algunos ejemplos de incidentes de seguridad pueden ser: ataques de phishing, actividad sospechosa identificada en los logs de sistemas como intentos de acceso no autorizados o fallidos. También puede ser robo, fuga o filtración de información, caída del servicio, entre otros.
Ahora bien, para documentar este procedimiento te sugerimos considerar las siguientes actividades:
Notificación del incidente. Corresponde a las actividades que deben implementar todos tus colaboradores (e incluso clientes y/o proveedores que tengan acceso a información de la empresa) a la hora de detectar un incidente de seguridad, definiendo claramente qué medio de comunicación deben utilizar, a quién deben notificarlo, qué información deben proporcionar, etcétera.
💡 El reporte de posibles incidentes de seguridad por parte de colaboradores, clientes y proveedores te ayuda a generar evidencia de que estás obteniendo retroalimentación de tus partes interesadas, aportando al cumplimiento del requisito “9.3.2 Insumos para la revisión por la dirección” de ISO 27001.
Clasificación del incidente. Una vez reportado el incidente y teniendo toda la información sobre él, es recomendable clasificarlo en términos de su criticidad e impacto sobre las operaciones, de manera que puedas priorizar su remediación. Para esto puedes usar estándares básicos como crítico, alto, medio, bajo, etcétera. Dentro de nuestro template puedes encontrar más información sobre la clasificación de incidentes ✨.
Remediación del incidente. Corresponde a las actividades generales que permitan a los responsables pertinentes saber cómo actuar para remediar correctamente el incidente ocurrido. Recuerda que la atención que reciba cada incidente debe darse de acuerdo a su clasificación, asegurando que se atiendan primero los incidentes de mayor importancia y gravedad.
Registro del incidente. Corresponde a la documentación pertinente del incidente. Esto es importante ya que genera una base de conocimiento a la cuál puedes recurrir para solucionar futuros incidentes similares. Recomendamos que este registro contenga por lo menos la siguiente información:
Fecha y hora del reporte.
Descripción general del incidente.
Cuál fue el servicio, proceso y/o activo afectado.
Qué atributo de la información fue afectado (confidencialidad, integridad y/o disponibilidad).
Quién lo atendió y/o lo resolvió.
Cuál fue el tratamiento aplicado.
Fecha de resolución.
Evidencia de la atención.
Comunicación del incidente. Dependiendo del impacto del incidente, debes definir si éste debe ser comunicado o reportado, cuándo y cómo se debe comunicar, y a quiénes. Si el incidente no tuvo un impacto mayor (por ejemplo si no requiere apoyo de autoridades o se contuvo a tiempo), se recomienda comunicarlo solo internamente a las áreas afectadas, la alta dirección, o incluso, si lo ves pertinente, a toda la empresa para alertar sobre la situación y generar concientización. Pero si el impacto ya es grave, se recomienda comunicar lo sucedido a terceros, partes interesadas, e incluso a entidades regulatorias y/o a las autoridades pertinentes para solicitar una investigación, apoyo para la resolución del incidente, etcétera.
¡Te recomendamos leer el artículo sobre nuestro módulo de Incidentes, el cual te facilita la implementación de este procedimiento!
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asigna a colaboradores capacitados y concientizados para realizar cada una de las actividades de este procedimiento.
Identifica correctamente los escenarios de cuándo debes comunicar los incidentes y qué personas y/o entidades deberían recibir este reporte, de manera que puedas estar alineado no solo a ISO 27001, sino también a las regulaciones locales relativas a la seguridad de la información.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.