Entre otras muchas cuestiones, la norma ISO 27001 se preocupa por
la regulación de los incidentes de seguridad que puedan afectar a la
información (perdida de datos, destrucción de equipos informáticos,
documentación, etc…). Estos incidentes deberán ser registrados y comunicados al
responsable de la organización, y para ello se establecerá un procedimiento
concreto.
Se trata, además, de una obligación legal que viene ya impuesta
por la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter
Personal y por el Real Decreto 1720/2007, por el que se aprueba el Reglamento
que la desarrolla.
Así, en el artículo 90 del citado Reglamento, ya se dispone que “deberá existir un procedimiento de
notificación y gestión de las incidencias que afecten a los datos de carácter
personal y establecer un registro en el que se haga constar el tipo de
incidencia, el momento en que se ha producido, o en su caso, detectado, la
persona que realiza la notificación, a quién se le comunica, los efectos que se
hubieran derivado de la misma y las medidas correctoras aplicadas”.
La norma ISO 27001, establece una serie de posibles controles a
aplicar para gestionar los incidentes que afecten a cualquier tipo de
información dentro de la FGUMA, con el objetivo final de asegurar que los
eventos y debilidades de seguridad de la información sean comunicados de una
manera tal que permita que la acción correctiva sea tomada oportunamente. Los
controles pueden consistir en:
- Reporte de los eventos de seguridad: Se ha de dejar constancia y comunicar los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.
- Reporte de debilidades: Se pedirá a empleados, contratistas y usuarios que detecten e informen sobre cualquier debilidad en la seguridad de los sistemas o servicios que se haya observado o sospechado.
- Responsabilidad y procedimientos: La organización fijará quiénes son los responsables de la gestión de incidentes y los procedimientos a seguir, a fin de asegurar una respuesta rápida, eficaz y ordenada.
- Aprendizaje de los incidentes: Se establecerán mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad.
- Recolección de evidencias: Si a consecuencia de un proceso judicial se hiciera un seguimiento contra una persona u organización por incidentes de seguridad, se recolectarán, conservarán y presentarán las pruebas conforme a la legislación aplicable en cada caso.