La no conformidad en ISO 27001, así como el evento y el incidente en seguridad de la información, se definen en el Anexo A de la norma. El objetivo del mismo es garantizar un enfoque coherente y efectivo para el ciclo de vida de cada uno de estos hechos. Y, para ello, es importante y necesario conocer el alcance de los mismos y su definición exacta.
Si una no conformidad en ISO 27001 no es igual a una incidencia o a un evento, se deduce que cada uno de ellos requiere procedimientos de respuesta diferentes. Y tales procedimientos deben definirse antes de que se presenten, para actuar con efectividad.
Evento, incidencia y no conformidad en ISO 27001
En ISO 27001 estos términos quedan definidos dentro de un glosario, en el Anexo A 16.1 de la norma. Tomando como base lo que el mismo estándar nos dice, podemos definir cada uno de estos hechos así:
Evento de seguridad de la información
Un evento de seguridad de la información indica que el sistema, la seguridad o los servicios de red y de infraestructura han sido comprometidos o vulnerados. Esto indica que los controles implementados han fallado y/o que no se ha seguido la política de seguridad de la información de la organización.
Incidente de seguridad de la información
El incidente, por su parte, requiere de la conjunción de eventos de seguridad de la información de modo que tengan la posibilidad de comprometer la seguridad y debilitar y afectar en la capacidad del negocio para alcanzar sus objetivos.
No conformidad en ISO 27001
La no conformidad es el incumplimiento de un requisito específico de la norma, y, por tanto, puede tratarse también de una exigencia legal o impuesta dentro de la propia organización.
Aun contando con las definiciones precisas obtenidas de la norma, es probable que se presente algo de confusión a la hora de diferenciar estos conceptos. Veamos algunas consideraciones que pueden ayudar a aportar mayor claridad:
- El evento compromete los niveles de riesgo, pero no afecta la operación de la organización y sus objetivos de negocios. Por ejemplo, sería un evento cuando una persona tiene acceso a áreas que deberían estar restringidas. Esto genera un aumento temporal del riesgo, pero no impide que la organización alcance sus objetivos de negocio.
- El incidente, a diferencia del evento, sí logra afectar negativamente a la organización e incluso a la información. Puede representar pérdida o corrupción de la información y ocasionar un retraso en las operaciones.
- La no conformidad en ISO 27001 es dejar de hacer algo que tendría que hacerse porque así lo solicita la norma.
Finalmente, es importante tener en cuenta que una no conformidad puede manifestarse como consecuencia de la aparición de eventos e incidentes. La comprensión de estos conceptos y sus definiciones resulta esencial para que los profesionales de la seguridad de la información potencien los beneficios y los objetivos del sistema.
La no conformidad en #ISO27001 presenta diferencias con respecto a la incidencia o el evento. Aprendemos cómo tratar cada uno de ellos. Share on X¿Cómo tratar eventos, incidentes y no conformidades?
La diferencia en las definiciones implica que la atención y el tratamiento deben ser concordantes con esas diferencias.
- Los eventos deben ser registrados, analizados y monitoreados. Ante la recurrencia de eventos similares, será preciso realizar nuevas evaluaciones de riesgos o revisar la política y los procedimientos de seguridad de la información de la organización.
- Los incidentes, debido a su capacidad de afectar negativamente en la operación, requieren una acción inmediata que reestablezca la capacidad operativa de la organización. Por supuesto, también deben registrarse y analizarse.
- La no conformidad implica necesariamente la implementación de una acción correctiva formal, que se puede monitorear y evaluar su eficacia, y que ha de eliminar la causa raíz del problema, asegurando la no recurrencia.
Diplomado de Seguridad de la Información ISO 27001
El conocimiento profundo de ISO 27001 resulta fundamental para todos los profesionales en este área. Con el Diplomado de Seguridad de la Información ISO 27001, se adquiere ese conocimiento y las competencias necesarias para implementar, mantener y auditar un sistema de seguridad de la información adecuado a cada organización. Y todo ello con la comodidad de un sistema e-learning que asegura la calidad formativa.
Además, para todos sus diplomados, la Escuela Europea de Excelencia a puesto en marcha un interesante programa de becas. Consulta aquí si puedes beneficiarte de una de ellas.