Introducción

Los controles de seguridad de la información son imperfectos de varias maneras: los

controles pueden verse abrumados o socavados ( por ejemplo , piratas informáticos
competentes, defraudadores o malware), fallar en el servicio ( por ejemplo, fallas de
autenticación), funcionar de forma parcial o inadecuada o ser más o falta menos por
completo En consecuencia, los incidentes de seguridad de la información
están destinados a ocurrir en cierta medida, incluso en organizaciones que toman muy
en serio su seguridad de la información.

La gestión efectiva de incidentes involucra controles detective y correctivos diseñados

para reconocer y responder a eventos e incidentes, minimizar impactos adversos, reunir
evidencia forense (cuando corresponda) y, a su debido tiempo, para generalmente ir
mejorando los controles preventivos u otros tratamientos de riesgo.

Los incidentes de seguridad de la información comúnmente implican la explotación de

vulnerabilidades no reconocidas previamente y / o no controladas, por lo tanto, la gestión
de vulnerabilidades es parte preventiva y parte.
 ISO 27035 Gestión de incidentes de seguridad de la información

La norma ISO 27035 gestión de incidentes de seguridad de la información explica un

enfoque de mejores prácticas destinado a la gestión de la información de incidentes de
la seguridad.

Los controles de la seguridad de la información no son perfectos debido a que pueden

fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no
están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles
preventivos no son totalmente eficaces o fiables.

Alcance y propósito

El estándar cubre los procesos para administrar eventos de seguridad de la información,

incidentes y vulnerabilidades.
La norma se amplía a la sección de gestión de incidentes de seguridad de la información
de ISO / IEC 27002 .

Estructura y contenido
La norma establece un proceso con 5 etapas clave:
1. Prepárese para tratar incidentes, por ejemplo, prepare una política de gestión de
incidentes y establezca un equipo competente para tratar los incidentes;
2. Identificar e informar incidentes de seguridad de la información;
3. Evalúe los incidentes y tome decisiones sobre cómo abordarlos, por
ejemplo, arregle las cosas y vuelva a los negocios rápidamente, o recabe
evidencia forense incluso si retrasa la resolución de los problemas;
4. Responder a los incidentes, es decir, contenerlos, investigarlos y resolverlos;
5. Aprenda las lecciones: más que simplemente identificar las cosas que se
podrían haber hecho mejor, esta etapa implica realizar cambios que mejoran los
procesos.
El estándar proporciona formularios de informes de plantilla para eventos de seguridad
de la información, incidentes y vulnerabilidades.
Estado de la norma

SO / IEC 27035 reemplazó a ISO TR 18044.

Fue publicado en 2011, luego revisado y dividido en tres partes.

ISO / IEC 27035-1: 2016 Principios de gestión de incidentes

Alcance y propósito: la parte 1 describe los conceptos y principios que sustentan la
gestión de incidentes de seguridad de la información e introduce la parte o partes
restantes del estándar. Describe un proceso de gestión de incidentes de seguridad de la
información que consta de cinco fases y explica cómo mejorar la gestión de incidentes.
Contenido: el proceso de gestión de incidentes se describe en cinco fases que
corresponden estrechamente a las cinco fases de la primera edición:

1. Planifique y prepare: establezca una política de gestión de incidentes de

seguridad de la información, forme un Equipo de respuesta a incidentes, etc.
2. Detección e informes: alguien debe detectar e informar los "eventos" que
podrían ser o convertirse en incidentes;
3. Evaluación y decisión: alguien debe evaluar la situación para determinar si de
hecho es un incidente;
4. Respuestas: contener, erradicar, recuperar y analizar forensemente el incidente,
según corresponda;
5. Lecciones aprendidas: realizar mejoras sistemáticas en la gestión de riesgos de
información de la organización como consecuencia de incidentes experimentados.
Los anexos dan ejemplos de incidentes de seguridad de la información y referencias
cruzadas a las normas e Forensics e ISO / IEC 27001 .

Estado: La parte 1 se publicó en noviembre de 2016.

ISO / IEC 27035-2: 2016 Pautas para planificar y prepararse para la respuesta al
incidente

Alcance y propósito: la parte 2 se refiere a la garantía de que la organización está lista

para responder apropiadamente a incidentes de seguridad de la información que aún
pueden ocurrir. Aborda la pregunta retórica "¿Estamos listos para responder a un
incidente?" Y promueve el aprendizaje de incidentes para mejorar las cosas para el
futuro. Cubre las fases Planificar y preparar y Lecciones.

Contenido: después de las secciones de preámbulo habituales vienen 8 cláusulas

principales:
 Establecer política de gestión de incidentes de seguridad de la información
 Actualización de políticas de seguridad de la información y gestión de riesgos
 Crear plan de gestión de incidentes de seguridad de la información
 Establecer un Equipo de Respuesta a Incidentes (IRT) [aka CERT o CSIRT]
 Definición de soporte técnico y de otro tipo
 Crear conciencia de incidentes de seguridad de la información y capacitación
 Prueba (o más bien ejercicio) del plan de gestión de incidentes de seguridad de
la información
 Lección aprendida

Beneficios de aplicación de la norma:

 Comprender los conceptos, enfoques y herramientas para una gestión eficaz de

incidentes de seguridad de la información
 Conozca las técnicas más avanzadas responder adecuada y eficientemente a
incidentes de seguridad de información.
 Adquirir los conocimientos necesarios para establecer y administrar un equipo
de gestión de incidentes de seguridad.
 Disminuir cualquier posible interrupción e impactos negativos en las operaciones
comerciales.
 Mejorar sus habilidades de gestión de seguridad de la información y análisis de
procesos de incidentes
 Obtener conocimiento sobre las mejores prácticas de información gestión de
seguridad
 Aplicación de la norma ISO 27035 en procesos diarios

En el mundo empresarial actual, los incidentes de seguridad de la información se

consideran riesgos inciertos que pueden dañar gravemente un negocio. Por lo tanto, las
organizaciones deben tomar medidas para identificar, evaluar y gestionar con eficacia
los incidentes.

La gestión de incidentes de seguridad de la información ISO 27035 es un estándar

internacional que proporciona las mejores prácticas y directrices para llevar a cabo un
plan estratégico de gestión de incidentes y prepararse para una respuesta a incidentes.

La gestión de incidentes de seguridad de la información ISO 27035 ofrece los principios

primordiales de seguridad para prevenir y responder eficazmente a los incidentes de
seguridad de la información. Además, ISO 27035 incorpora procesos específicos para
gestionar incidentes de seguridad de la información, eventos y vulnerabilidades
potenciales.

Importancia

Las organizaciones que tienen una Gestión de incidentes de seguridad de la información

en su lugar serán capaces de gestionar los riesgos comerciales.

Del mismo modo, un marco ISO 27035 es una característica importante de una estructura
de seguridad en una organización para una gestión efectiva de seguridad de la
información, mitigación de incidentes y la capacidad de construir un proceso comercial
sostenible. La gestión de incidentes de seguridad de la información ISO 27035 tiene
como objetivo ayudar a las personas con amplia experiencia para detectar, informar y
evaluar los incidentes de seguridad de la información.

La gestión de incidentes de seguridad de la información de ISO 27035 ayudará a las

personas a convertirse en profesionales de seguridad reconocidos a nivel mundial y
podrá minimizar el efecto de cualquier incidente en una organización.

Este estándar internacional es aplicable a todas las personas con interés en la seguridad
de la tecnología de la información y deseosas de aprender las mejores habilidades y
conocimientos para proteger su organización de los incidentes de seguridad y reducir los
impactos financieros de las empresas.

Al implementar el Plan Institucional de Seguridad de la Información, la entidad debe

planificar las acciones para responder ante incidentes que afecten a la seguridad de la
información, fruto de errores intencionados o vulnerabilidades no contempladas en la
evaluación de riesgos. La gestión de incidentes llega a ser un control más para la
seguridad de la información, porque entra en escena cuando los controles preventivos
son ineficaces o están ausentes, sobre todo en aquellos riesgos, que luego de la
valoración estas han sido asumidas, conscientes del riesgo que ello implica.
Sobre los cuales se tienen que realizar monitoreos para mantener la seguridad en niveles
aceptables.

La planificación debe identificar y definir los elementos y recursos necesarios para cubrir
actividades de gestión de incidentes. Una buena práctica es establecer procedimientos
adecuados para el reporte por parte de los servidores públicos, seguido de programas
de capacitación. Contemplar actividades preventivas en la gestión de incidentes es una
práctica que viene a minimizar la ocurrencia de estos, en la planificación se debería
asegurar que los procedimientos para actividades críticas como respaldos, prevención
de código malicioso, gestión de vulnerabilidades técnicas y otros se hagan efectivos,
sobre todo la concientización y sensibilización al personal.
 Conclusión

Al implementar el Plan Institucional de Seguridad de la Información, la entidad debe

planificar las acciones para responder ante incidentes que afecten a la seguridad de la
información, fruto de errores intencionados o vulnerabilidades no contempladas en la
evaluación de riesgos.
La gestión de incidentes llega a ser un control más para la seguridad de la información,
porque entra en escena cuando los controles preventivos son ineficaces o están
ausentes, sobre todo en aquellos riesgos, que luego de la valoración estas han sido
asumidas, conscientes del riesgo que ello implica. Sobre los cuales se tienen que realizar
monitoreos para mantener la seguridad en niveles aceptables.
Esta guía está basada en buenas prácticas de gestión de incidentes de la norma ISO
27035, pero la misma no obliga su adopción y la entidad o institución pública es libre de
utilizar otro marco de trabajo.
 Bibliografía

https://www.pmg-ssi.com/2014/05/iso-27035-gestion-de-incidentes-de-
seguridad-de-la-informacion/

https://cyborg.com.do/courses/pecb-iso27035-lim/
 UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA
AUDITORIA DE SISTEMAS DE INFORMACIÓN
ING. GIOVANNI GUZMAN
FACULTAD DE CIENCIAS ECONOMICAS
ESCUELA DE CONTADURIA PUBLICA Y AUDITORIA

ISO 27035

SILVIA DURAN DIEGUEZ

1032-12-913
GUATEMALA 19 DE OCTUBRE DE 2019