Desde piratas informáticos tratando de irrumpir en las redes de
seguridad, a personal interno usando sus conocimientos y derechos
internos de acceso al uso de datos de la empresa para su beneficio
personal, el impacto de una amplia variedad de amenazas de seguridad de
la información puede ser reducida usando la nueva Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información.
La violación de la seguridad de la información puede poner en peligro
sus sistemas de negocio y causar perturbaciones en las operaciones
comerciales. El estar preparados y responder de una manera eficaz y
oportuna puede significar la diferencia entre un incidente menor y un
desastre en el negocio. El uso de un sistema de gestión de incidentes de
seguridad de la información permite a las organizaciones los controles y
procedimientos para gestionar una amplia variedad de incidentes de
seguridad y vulnerabilidades.
ISO / IEC 27035:2011, Tecnología de la información - Técnicas de
seguridad – Gestión de Incidentes de Seguridad de la Información, es una
orientación sobre "cómo hacer" para la detección, notificación y
evaluación de incidentes de seguridad de la información y las
vulnerabilidades. La norma ayudará a las organizaciones a responder ante incidentes de
seguridad informática, incluyendo la activación de los controles
adecuados para la prevención y la reducción de, y la recuperación de los
impactos, y, al hacerlo, aprender y mejorar su enfoque global.
La integración del sistema de gestión de incidentes de seguridad de la información ofrece varias ventajas:
- Mejorar la seguridad de la información general
- Reducir los impactos adversos en los negocios
- Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
- Contribuir a las justificaciones presupuestarias y de recursos
- Mejorar cambios en la evaluación de riesgos de seguridad de información y los resultados de la gestión
- Proporcionar una mayor conciencia en seguridad de la información y en el material del programa de formación
- Proporcionar información en su política de seguridad de la información y comentarios relacionados con la documentación.
Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el
manejo eficaz y oportuno de los incidentes importantes puede marcar la
diferencia entre la supervivencia o la" muerte "de una organización. La
nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en
los procesos y métodos que deben implementarse para garantizar una
gestión eficaz de los incidentes de seguridad de la información.
"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "
ISO / IEC 27035:2011, que sustituye al informe técnico ISO / IEC TR
18044:2004, es compatible con los conceptos generales especificados en
la norma ISO / IEC 27001:2005, Tecnología de la información - Técnicas
de seguridad - Sistemas de gestión de seguridad -
Requisitos.
La nueva norma es aplicable a cualquier organización,
independientemente de su tamaño. Cubre una amplia gama de incidentes de
seguridad de la información, ya sean deliberados o accidentales, y ya
sea causada por medios técnicos o físicos.
ISO / IEC 27035:2011, Tecnología de la información - Técnicas de
seguridad – Gestión de Riesgos de Seguridad de la Información, fue
desarrollada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología
de la Información, subcomité SC 27, Técnicas de seguridad de TI. La
norma está disponible en los institutos nacionales miembros de ISO.
También se puede obtener a través de la web de ISO.
*Fuente iso.org
No hay comentarios.:
Publicar un comentario