ISO 27035 - GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

¿Qué son los incidentes de seguridad de la información?

Por lo general, las políticas de seguridad de la información o los controles por sí solos no
garantizaran una protección total para la información, sistemas de información,
servicios o redes.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Los controles de la seguridad de la información no son perfectos debido a que pueden
fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no
están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles
preventivos no son totalmente eficaces o fiables.

ESTRUCTURA DE LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

ENFOQUE ESTRUCTURAL
 Identificar, comunicar y evaluar los incidentes de la seguridad de la información
 Contestar, gestionar los incidentes de la seguridad de la información
 Identificar, examinar y gestionar las vulnerabilidades de seguridad de la
información
 Aumentar la mejora de la continuidad de la seguridad de la información y de la
gestión de los incidentes, como respuesta a la gestión de incidentes de la
seguridad de la información y de las vulnerabilidades

ETAPAS CLAVES
 Preparase para enfrentarse a los incidentes.
 Reconocer los incidentes de seguridad de la información.
 Examinar los incidentes y tomar las decisiones sobre la forma en que se han
llevado a cabo las cosas.
 Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
 Aprender de las lecciones.
BENEFICIOS
Aporta información para la organización y gestión de las actividades de respuesta ante
incidentes de seguridad de la información en la organización, brindando un enfoque
global y basado en las mejores prácticas.

 Cumplimiento El primer beneficio, sobre cualquiera de los que posteriormente

se van a comentar, es el cumplimiento de los aspectos relacionados con la
información, como es la protección o seguridad de los datos, la privacidad o el
control de la tecnología de la información (TI).
 Ventaja competitiva Evidentemente, disponer de un sistema de gestión de
seguridad de la información conforme a la norma ISO 27035 es una llave de oro
que abre nuevos mercados y clientes. Esto es, le ofrece a la empresa una gran
ventaja competitiva, con mayor éxito en aquellas organizaciones que disponen
o manejan información altamente sensible.
 Descenso de los gastos por incidentes de seguridad En este caso, se trata de un
beneficio que supone una de las primeras preocupaciones que tienen los
directivos a la hora de afrontar la implementación de la norma ISO 27035.
 Organización En cuanto a la organización, la norma ISO 27035 favorece el
establecimiento y la asignación de roles, responsabilidades y obligaciones, ya
que obliga a definirlos para su funcionamiento y buen desempeño.