Informes de eventos de seguridad de la información según ISO 27001:2022

El reporte de eventos de seguridad de la información es el tema que aborda el control 6.8 del Anexo A del estándar internacional ISO 27001:2022. El control solicita a la empresa establecer mecanismos para que los empleados puedan notificar eventos de seguridad de la información sobre los que tengan evidencia o indicios, de manera inmediata y a través de canales apropiados.

Además, el control 6.8 pide a la organización capacitar a las personas y documentar los eventos de seguridad de la información de manera ágil, para garantizar la mitigación o la eliminación inmediata del riesgo.

Qué son eventos de seguridad de la información

Los eventos de seguridad de la información son hechos o situaciones evidenciadas u observadas en un servicio, una red, un sistema o un proceso que indican o sugieren la existencia de un riesgo o de un fallo que puede comprometer la seguridad de la información o la privacidad de los datos de una organización o de sus terceros.

Los eventos de seguridad de la información son señales o alertas que avisan sobre la presencia de una amenaza potencial, antes de que el riesgo sea patente y cause un daño tangible.

Algunos factores desencadenantes de este tipo de eventos, recurrentes en muchas organizaciones son los siguientes:

• Virus, malware u otro tipo de software malicioso con propósitos similares.
• Personas con acceso no autorizado a los sistemas informáticos o a una red privada.
• Contraseñas débiles o predecibles que facilitan el acceso no autorizado de piratas informáticos o incidentes de ciberseguridad.
• Negligencia en la protección de datos, de contraseñas o de actualización oportuna de software, generando grietas de seguridad.
• Ataques externos a la red o al sistema informático interno de una organización que no utiliza los escudos apropiados.

Incluso las redes más seguras tienen un mínimo nivel de exposición a riesgos de seguridad de la información. En consecuencia, estas empresas también advierten amenazas, aunque lo hagan de forma esporádica. Estos eventos de seguridad de la información también se deben reportar utilizando el canal y el informe respectivo.

Qué es un informe de eventos de seguridad de la información

Informar sobre los eventos de seguridad de la información, con la prontitud y con el nivel de detalle que exige el control 6.8 del Anexo A de la norma ISO 27001, requiere crear un proceso que incluya el canal o canales por los que el informante notificará, los documentos que necesita aportar y los detalles que debe anotar en el informe para asegurar la comprensión integral de lo que ha sucedido y de las causas por las que ha ocurrido.

Los informes de eventos de seguridad permiten abordar los problemas de forma proactiva, rápida y efectiva. La capacidad de respuesta que tenga la organización para entender las señales y atacar los problemas antes de que tengan efectos negativos sobre la reputación y sobre las finanzas es el principal indicador que define un Sistema de Gestión de Seguridad de la Información seguro y efectivo.

Objetivo del control 6.8 del Anexo A de ISO 27001

El control 6.8 insta a la organización para que cuente con un proceso rápido y accesible para la notificación inmediata, coherente y transparente de los eventos de seguridad de la información. Se trata de circunstancias que señalen o sugieran la presencia de condiciones que pueden comprometer la integridad, confidencialidad o disponibilidad autorizada de la información y de los datos privados.

El objetivo esencial es la celeridad. De la prontitud con la que se informe y se documente dependerá la efectividad de la respuesta. Por eso, las empresas necesitan un proceso de notificación de eventos de seguridad con herramientas y procedimientos ágiles para recibir, analizar y evaluar la información contenida en el reporte y dar una respuesta rápida y oportuna.

Los objetivos específicos del control buscan construir un proceso de notificación que cumpla con los requisitos de la norma y promueva la prevención y la gestión proactiva de riesgos. El proceso, para cumplir con sus objetivos y promover la confianza digital debería cumplir unas condiciones:

• Facilitar a los empleados informar de forma rápida, completa y veraz las condiciones y circunstancias en las que se presentó un incidente o un evento.
• Advertir con prontitud la aparición de cualquier señal que indique la presencia de amenazas que comprometen la seguridad de la información.
• Detectar cualquier acción intrusiva o uso indebido de los sistemas de información, redes, equipos o servidores de la organización.
• Facilitar la formulación de planes de respuesta o estrategias para el tratamiento de los riesgos identificados con base en el informe.
• Crear una base de información para mejorar los resultados de la gestión de riesgos de seguridad de la información y para establecer tendencias sobre el origen de algunos riesgos recurrentes.

Cómo alcanzar la conformidad con las solicitudes del control 6.8 del Anexo A de ISO 27001

El control 6.8 del Anexo A solicita información sobre determinadas circunstancias y, sobre ellas, solicita cumplir con algunos requisitos. Los eventos de seguridad de la información que el anexo considera relevantes son los siguientes:

• Advertencia de acciones de protección de la seguridad de la información que no son eficaces.
• Violaciones explícitas de seguridad de la información que comprometen la integridad, la confidencialidad o el acceso.
• Errores humanos, voluntarios o involuntarios, atribuidos a la negligencia, el descuido o la mala fe.
• Incumplimiento de las políticas de seguridad, de los procedimientos o de las instrucciones precisas.
• Exposición pública de claves, contraseñas o protocolos de acceso, de forma voluntaria o involuntaria.
• Modificaciones de los procesos o de los protocolos que no han seguido el adecuado tránsito de gestión de cambios o no han sido comunicadas a las personas interesadas.
• Software o hardware desactualizados proclives a ataques de ciberdelincuentes.
• Violaciones de acceso comprobadas con o sin consecuencias.
• Vulnerabilidades identificadas por los equipos de seguridad de la información o los de gestión de riesgos.
• Señales o indicios de la presencia de virus, malware u otro tipo de agente informático malicioso.

Ante la presencia de cualquiera de estos eventos, u otros que los empleados consideren que pueden comprometer la seguridad y la integridad de la información y de los datos, el control 6.8 del Anexo A solicita una serie de acciones:

• Todos los empleados deben conocer la obligación de informar sobre los eventos de seguridad de la información, los canales de los que disponen para hacerlo, los formalismos que debe reunir el informe y la importancia de la celeridad para cumplir con la obligación.
• Crear un proceso para la recepción de informes en el que se determine cuál es el canal destinado para notificar, garantizando la accesibilidad y la comunicación a los empleados acerca de la existencia y del medio y la forma para utilizarlo. Todo se documenta.
• Mantener un registro de los incidentes reportados y de los resultados de las investigaciones realizadas con base en esos informes.
• Investigar todos los eventos de seguridad reportados y determinar la gravedad, la existencia o no del riesgo y las acciones sugeridas para tratar la eventual amenaza.

Novedades en la edición 2022 de ISO 27001 respecto a eventos de seguridad de la información

El control 6.8 del Anexo A, en la revisión del año 2022, es el resultado de la fusión de los controles que aparecían con la nomenclatura A 16.1.2 y A 16.1.3 en la edición 2013 de ISO 27001.

En la edición 2022, la obligación de reportar e informar de inmediato los eventos de seguridad de la información se extiende a los contratistas. Además de ello, el control entrega dos interesantes tipos de eventos sobre los que es preciso informar:

• Modificaciones del sistema que no han sido procesadas por el procedimiento de control de modificaciones.
• Indicios de infecciones por malware u otro tipo de software maligno sospechoso.

En la edición 2022 del Anexo A, por otra parte, se incluye una tabla de atributos y un propósito para el control que no aparecieron en la revisión de 2013.

La responsabilidad de establecer el canal para los reportes y su funcionamiento puede ser el Director de Seguridad de la Información o el Director del área de IT cuando estos cargos existen en la estructura de la empresa. En otras organizaciones puede ser un puesto anexo a Gestión de Riesgos o la responsabilidad puede ser del Director de Recursos Humanos.

En cualquier caso, las empresas necesitarán actualizar sus procesos para cumplir con las novedades, ya que la siguiente auditoría la afrontarán respondiendo por el cumplimiento según los requisitos de la nueva revisión. Para ello es probable que necesitarán actualizar ISO 27001.

Software ISO 27001

El Software ISO 27001 es una herramienta tecnológica basada en la nube que automatiza la gestión de la seguridad de la información. Utiliza para ello funcionalidades que van desde la gestión de documentos hasta la automatización de procesos como es la notificación de eventos de seguridad de la información, incluyendo las investigaciones y los informes finales.

En esta solución se integran avances tecnológicos tan importantes como Inteligencia Artificial y Big Data. El resultado es una sofisticada red de herramientas diseñadas para ayudar a alcanzar los objetivos de los sistemas de gestión de SI de todo tipo de organizaciones. Para mayor información sobre el software, solo tienes que contactar con nuestros consultores.