Plan de reacción ante eventos de seguridad de la información: ¿qué debe contener?

Plan de reacción Seguridad de la Información

Ocuparse de la seguridad de la información (SI) es una necesidad crucial de las organizaciones que desean preservar la integridad, confidencialidad y disponibilidad de la información propia, de clientes, proveedores y demás partes interesadas. Para conseguirlo, es clave el Plan de Reacción de Seguridad de la Información.

Contar con un oficial de seguridad de la información (OSI), política, controles y objetivos de (SI) demuestra el compromiso de la empresa. Ciertamente, son acciones loables, pero no nos eximen de infecciones de malware capaces de borrar datos, secuestro de datos (ramsonwere), filtraciones de información por parte de empleados (para beneficio propio), control ineficaz de la seguridad, extorsiones en las que conocen nuestras claves y amenazan con publicar información sensible (phishing), indisponibilidad de plataformas web por denegación, errores humanos, incumplimiento de políticas o directrices, entre otros. A todo esto viene a dar solución la ISO 27001 de Seguridad de la Información

Todos estos eventos potencialmente peligrosos y capaces de poner en jaque las operaciones organizacionales son conocidos como incidentes de seguridad de la información. En ese sentido, la norma ISO/IEC 27002 – Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información nos ayuda a manejar tales incidentes de forma coherente y eficaz.

Cuando no sabemos por donde empezar y cuáles deberían ser las prioridades por atender – tomando en cuenta que el tema es vasto – el estándar arroja luces al apuntar que se deberían establecer las responsabilidades y procedimientos de gestión para garantizar una respuesta rápida, efectiva y adecuada a los incidentes de SI. ¿Con qué partir?

Un excelente punto de partida sería idear un plan de reacción de Seguridad de la Información. Además, recomendamos:

• Crear procedimientos y controles de seguridad de la información bien precisos y con delineación clara de objetivos, alcance, disposiciones generales, definiciones y documentos asociados.
• Garantizar que el personal competente maneje los asuntos relacionados con los incidentes de seguridad de la información dentro de la organización.
• Describir detalladamente cada actividad, tiempos, responsables, registros e identificación de controles para gestionar los incidentes de SI.
• Registrar los cambios en cuanto a nombres y cargos de quienes elaboran, revisa y aprueba el procedimiento.

Plan de reacción de SI

Crear un plan de reacción ante eventos de SI es la alternativa más segura para hacerle frente a peligros y amenazas. Este plan requiere un propósito bien delineado y creado por los responsables de la gestión de incidentes de la SI y la Dirección, pues eso dejaría de manifiesto que el compromiso con la SI es real ¿Cuál podría ser un buen ejemplo claro de objetivo? Referiremos este:

• Detectar, reportar, controlar, monitorear y responder de manera oportuna y apropiada un evento y/o incidente de seguridad de la información que se presente en la organización.

Tras trazar el objetivo, es preciso fijar el alcance del plan de acción. Aquí te proponemos una posible opción:

• Aplica a funcionarios, contratistas, proveedores y terceros con acceso autorizado a los recursos tecnológicos y activos de información de la organización.

La gestión de incidentes de SI se compone por etapas: inicia con la prevención y preparación ante un incidente de seguridad; luego es necesaria la detección oportuna, monitoreo, análisis, contención y comunicación del incidente; registros, respuesta, erradicación, recuperación y mejora continua.

Comunicar el Plan de reacción de Seguridad de la Información y actuar 

De la comunicación de incidentes de SI depende una resolución eficaz, oportuna y satisfactoria. Por lo tanto, deberían existir procedimientos – como formularios y listas de chequeo – que ante la premura por resolver los incidentes mencione los protocolos a seguir en caso de que se presenten incidentes, el comportamiento deseable y esperado (como informar a las partes pertinentes) y la adopción de acciones previamente planificadas.

Si la vulneración a la SI fue cometida por trabajadores, proveedores, contratistas o terceros, anteriormente se debieron diseñar medidas disciplinarias pertinentes. ¿El incidente se resolvió? Independientemente del resultado, las partes interesadas ameritan saber el desenlace. Es muy importante que todos sepan que son responsables de la seguridad de la información y que si existen incidentes deben notificarlo de inmediato, por medio de un procedimiento preestablecido, accesible, disponible y comprensible para todos.

¿Cómo saber que ya es hora de comunicar que algo no está bien? Los responsables de SI deben disponer de un plan de acción que cuente con una clasificación acerca de qué clase de eventos serán calificados como incidentes y cuáles no. Esto permitirá, adicionalmente, determinar qué incidentes tienen mayor impacto y cuáles deben ser atendidos de forma prioritaria.

Software ISO 27001

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001,
ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.