ISO / IEC 27035: 2016 Tecnología

de la información - Técnicas de
seguridad - Gestión de incidentes
de seguridad de la información
Introducción
Los controles de seguridad de la información son imperfectos
de varias maneras: los controles pueden verse abrumados o
socavados ( por ejemplo , piratas informáticos competentes,
defraudadores o malware), fallar en el servicio ( por
ejemplo, fallas de autenticación), funcionar de forma parcial o
inadecuada ( por ejemplo, detección lenta de anomalías) o ser
más o falta menos por completo ( p . ej ., no [todavía]
totalmente implementado, no [todavía] completamente
operativo, o nunca concebido debido a fallas en el proceso de
identificación y análisis de riesgos). En consecuencia, los
incidentes de seguridad de la información están destinados a
ocurrir en cierta medida, incluso en organizaciones que toman
muy en serio su seguridad de la información.
La gestión efectiva de incidentes involucra controles detective
y correctivos diseñados para reconocer y responder a eventos
e incidentes, minimizar impactos adversos, reunir evidencia
forense (cuando corresponda) y, a su debido tiempo, 'aprender
las lecciones' en términos de impulsar mejoras al SGSI,
generalmente mejorando los controles preventivos u otros
tratamientos de riesgo.
Los incidentes de seguridad de la información comúnmente
implican la explotación de vulnerabilidades no reconocidas
previamente y / o no controladas, por lo tanto, la gestión de
vulnerabilidades ( por ejemplo, la aplicación de parches de
seguridad relevantes a los sistemas informáticos y el
tratamiento de diversas deficiencias de control en los
procedimientos operativos y de gestión) es parte preventiva y
parte.

Alcance y propósito
El estándar cubre los procesos para administrar eventos de
seguridad de la información, incidentes y vulnerabilidades.
La norma se amplía a la sección de gestión de incidentes de
seguridad de la información de ISO / IEC 27002 . [La versión
2016 hace referencia cruzada a esa sección y explica su
relación con los estándares ISO27k eForensics.]

Estructura y contenido
La norma establece un proceso con 5 etapas clave:
1. Prepárese para tratar incidentes, por ejemplo, prepare
una política de gestión de incidentes y establezca un
equipo competente para tratar los incidentes;
2. Identificar e informar incidentes de seguridad de la
información;
3. Evalúe los incidentes y tome decisiones sobre cómo
abordarlos, por ejemplo, arregle las cosas y vuelva a los
negocios rápidamente, o recabe evidencia forense
incluso si retrasa la resolución de los problemas;
4. Responder a los incidentes, es decir, contenerlos,
investigarlos y resolverlos;
5. Aprenda las lecciones: más que simplemente identificar
las cosas que se podrían haber hecho mejor, esta etapa
implica realizar cambios que mejoran los procesos.
El estándar proporciona formularios de informes de plantilla
para eventos de seguridad de la información, incidentes y
vulnerabilidades.

Estado de la norma
ISO / IEC 27035 reemplazó a ISO TR 18044. Fue publicado
en 2011 , luego revisado y dividido en tres partes.

ISO / IEC 27035-1: 2016 Principios de gestión de

incidentes
Alcance y propósito: la parte 1 describe los conceptos y
principios que sustentan la gestión de incidentes de seguridad
de la información e introduce la parte o partes restantes del
estándar. Describe un proceso de gestión de incidentes de
seguridad de la información que consta de cinco fases y explica
cómo mejorar la gestión de incidentes.
Contenido: el proceso de gestión de incidentes se describe en
cinco fases que corresponden estrechamente a las cinco fases
de la primera edición:
1. Planifique y prepare: establezca una política de gestión
de incidentes de seguridad de la información, forme un
Equipo de respuesta a incidentes, etc.
2. Detección e informes: alguien debe detectar e informar
los "eventos" que podrían ser o convertirse en incidentes;
3. Evaluación y decisión: alguien debe evaluar la situación
para determinar si de hecho es un incidente;
4. Respuestas: contener, erradicar, recuperar y analizar
forensemente el incidente, según corresponda;
5. Lecciones aprendidas: realizar mejoras sistemáticas en
la gestión de riesgos de información de la organización
como consecuencia de incidentes experimentados.
Los anexos dan ejemplos de incidentes de seguridad de la
información y referencias cruzadas a las normas eForensics
e ISO / IEC 27001 .

Estado: la parte 1 se publicó en noviembre de 2016 .

Nota: algunos términos difieren en los estándares 27035 de las

definiciones establecidas en ISO / IEC 27000 , así que
asegúrese de verificar cuidadosamente las definiciones si usa
este estándar.

ISO / IEC 27035-2: 2016 Pautas para planificar y

prepararse para la respuesta al incidente
Alcance y propósito: la parte 2 se refiere a la garantía de
que la organización está lista para responder apropiadamente
a incidentes de seguridad de la información que aún pueden
ocurrir. Aborda la pregunta retórica "¿Estamos listos para
responder a un incidente?" Y promueve el aprendizaje de
incidentes para mejorar las cosas para el futuro. Cubre
lasfases Planificar y preparar y Lecciones aprendidas € del
proceso descrito en la parte 1.
Contenido: después de las secciones de preámbulo habituales
vienen 8 cláusulas principales:
4. Establecer política de gestión de incidentes de seguridad
de la información
5. Actualización de políticas de seguridad de la información
y gestión de riesgos
6. Crear plan de gestión de incidentes de seguridad de la
información
7. Establecer un Equipo de Respuesta a Incidentes (IRT)
[aka CERT o CSIRT]
8. Definición de soporte técnico y de otro tipo
9. Crear conciencia de incidentes de seguridad de la
información y capacitación
10. Prueba (o más bien ejercicio) del plan de gestión de
incidentes de seguridad de la información
11. Lección aprendida
... más anexos con ejemplos de categorización de incidentes y
notas sobre "aspectos legales y regulatorios" (principalmente
privacidad en la práctica).

Estado: la parte 2 se publicó en noviembre de 2016 .

ISO / IEC 27035-3: directrices para las operaciones de

respuesta a incidentes (borrador)
Alcance y propósito: orientación para gestionar y responder
de manera eficiente a incidentes de seguridad de la
información, utilizando tipos de incidentes típicos para ilustrar
un enfoque que cubra lasfases de detección e
informe , evaluación y decisión y respuesta del proceso
descrito en la Parte 1, más actividad posterior al incidente (
una sexta fase importante que en realidad no se identifica
como tal en la Parte 1).
Contenido: dos cláusulas principales que cubren las
operaciones de respuesta a incidentes (criterios de incidentes
y procesos de respuesta,es decir , monitoreo, detección,
evaluación, análisis, respuesta, informes y lecciones de
aprendizaje); y ejemplos genéricos de tipos comunes de
incidentes (como denegación de servicio e incidentes de
malware). Anexos para ofrecer criterios para categorizar
incidentes y formularios de plantilla.
La norma podría hacer referencia a los estándares forenses
digitales ISO27k ya que la respuesta a incidentes a menudo es
la primera oportunidad para identificar que una situación puede
terminar en el tribunal, por lo que el proceso forense a menudo
comienza aquí.
Estado: la parte 3, tal como se concibió originalmente, se
canceló, pero un período de estudio exploró las opciones para
la parte 3, lo que dio lugar a una nueva propuesta de artículo
de trabajo en 2017.

Comentarios personales
A pesar del título, los estándares 27035 realmente se refieren
a incidentes que afectan los sistemas y redes de TI, aunque los
principios subyacentes también se aplican a incidentes que
afectan a otras formas de información como papeleo,
conocimiento, propiedad intelectual, secretos comerciales e
información personal. Desafortunadamente (en lo que a mí
respecta), el lenguaje es casi totalmente de TI o relacionado
con las TIC. Eso, para mí, representa otra oportunidad
desperdiciada: un ISMS ISO27k incluye, pero va más allá de la
'ciberseguridad'.
Todavía no entiendo por qué este estándar se dividió en tres:
las partes separadas son de poco valor como estándares
discretos, divorciados del todo. Se supone que los viejos
clientes pobres (hey, ¿los recuerdas?) Comprarán, conciliarán
y aplicarán tres estándares discretos en lugar de uno.