martes, noviembre 08, 2011

Publicada la ISO 27035:2011 Gestion de Incidentes de Seguridad



Desde piratas informáticos tratando de irrumpir en las redes de seguridad, a personal interno usando sus conocimientos y derechos internos de acceso al uso de datos de la empresa para su beneficio personal, el impacto de una amplia variedad de amenazas de seguridad de la información puede ser reducida usando la nueva Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información.
 
La violación de la seguridad de la información puede poner en peligro sus sistemas de negocio y causar perturbaciones en las operaciones comerciales. El estar preparados y responder de una manera eficaz y oportuna puede significar la diferencia entre un incidente menor y un desastre en el negocio. El uso de un sistema de gestión de incidentes de seguridad de la información permite a las organizaciones los controles y procedimientos para gestionar una amplia variedad de incidentes de seguridad y vulnerabilidades. 

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Incidentes de Seguridad de la Información, es una orientación sobre  "cómo hacer" para la detección, notificación y evaluación de incidentes de seguridad de la información y las vulnerabilidades. La norma ayudará a las organizaciones a responder ante incidentes de seguridad informática, incluyendo la activación de los controles adecuados para la prevención y la reducción de, y la recuperación de los impactos, y, al hacerlo, aprender y mejorar su enfoque global.

La integración del sistema de gestión de incidentes de seguridad de la información ofrece varias ventajas:
  • Mejorar la seguridad de la información general
  • Reducir los impactos adversos en los negocios
  • Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
  • Contribuir a las justificaciones presupuestarias y de recursos
  • Mejorar cambios en la evaluación de riesgos de seguridad de información y los resultados de la gestión
  • Proporcionar una mayor conciencia en seguridad de la información y en el material del programa de formación
  • Proporcionar información en su política de seguridad de la información y comentarios relacionados con la documentación.
Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

ISO / IEC 27035:2011, que sustituye al informe técnico ISO / IEC TR 18044:2004, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad - 

Requisitos.
La nueva norma es aplicable a cualquier organización, independientemente de su tamaño. Cubre una amplia gama de incidentes de seguridad de la información, ya sean deliberados o accidentales, y ya sea causada por medios técnicos o físicos.

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Riesgos de Seguridad de la Información, fue desarrollada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la Información, subcomité SC 27, Técnicas de seguridad de TI. La norma está disponible en los institutos nacionales miembros de ISO. También se puede obtener a través de la web de ISO.

*Fuente iso.org

No hay comentarios.: