Para qué quiero la ISO20000 si estoy implantando la ISO27001? (Y viceversa) o la naturaleza poliédrica tridimensional de los incidentes de un sistema

Un pilar fundamental de la normalización en las metodologías de gestión es la trazabilidad de sus acciones, tanto documentales como las derivadas de la aplicación de sus políticas y procedimientos. Un punto clave en el caso de la ISO 27001 es la correcta gestión de los Incidentes de Seguridad, la cual permite:

• Mejora en la gestión de las infraestructuras
• El diseño de una estructura de supervisión de incidentes implica una mejora en la madurez del proceso de gestión de las infraestructuras.
• El establecimiento de los mecanismos de detección de incidentes y la monitorización subyacente ayudan a identificar vulnerabilidades que el análisis de riesgos haya obviado.

• Control de los Activos
• Los incidentes de seguridad permiten la actualización de la criticidad de los activos así como identificar puntos únicos de fallo.

• Constatación que el organismo de control del SGI está en funcionamiento y actúa de forma diligente
• Los incidentes de seguridad deben ser comunicados al responsable de seguridad y tratados en el SGI.
• Frente a un incidente de seguridad debiera poder realizarse la trazabilidad: incidente – acción correctiva – revisión SGSI – identificación del riesgo – gestión del mismo. Por lo que se demostraría la correcta gestión del mismo por parte del organismo competente.

• Obligatoriedad en el análisis y actualización de los riesgos de forma continua
• Como se mencionaba anteriormente, la aparición de un incidente de seguridad obliga a una revisión de la amenaza explotada para su ataque y a una revisión del riesgo asociado a la misma, si bien se recomienda una gestión proactiva de los riesgos, en el caso que ocurra un incidente obliga a su revisión de oficio.

• Necesidad de mantener actualizada la base de datos de activos
• A menudo los incidentes se producen por contener la CMDB información obsoleta o bien que el propio activo se halle desactualizado frente a definiciones de seguridad.
• La orientación a mejora continua que el sistema de control de los incidentes de seguridad requiere de una CMDB actualizada de forma regular.

El quid de la cuestión es la pregunta que a menudo un responsable de seguridad se formula: ¿Qué significa esa “correcta gestión”? ¿Cómo sé si mi gestión es correcta?

Ahí es donde ISO 20000 establece los principios de una gestión de incidentes –de cualquier índole- de forma normalizada. En dicha norma se establece que, para cada incidente se debe definir:

• Registro
• Asignación de prioridad
• Clasificación
• Actualización de registros
• Escalado
• Resolución
• Cierre

Asimismo establece que los incidentes deben poder relacionarse con los activos a los que afectan –establecer la infraestructura en forma de CMDB- de forma que los mismos formen parte de una estructura superior –alineada con negocio- que es el servicio, el conjunto de servicios constituyen el Catálogo de Servicios.

Por tanto, un Catálogo de Servicios, alineado con negocio, es aquél en donde:

• Todo activo presente en la CMDB y por tanto mantenible, gestionable y unívocamente identificable contribuye al resultado de la compañía, aquellos que no cumplen éste criterio deben ser discontinuados (criterio BSM, Business Service Management)
• Cada evento debe poder asociarse al activo correspondiente, si no es así el evento es descartado.

Para ilustrar esto, en el siguiente gráfico, se observa un Activo o Elemento de Configuración (CI en inglés) el cual está relacionado con los Cambios, Incidentes, Incidentes de Seguridad formando –para simplificar- un tetraedro en donde cada arista puede constituir nuevos tetraedros (a escala tridimensional).

La relación entre todos ellos se puede describir mediante el siguiente grafo en el que por debajo se hallaría la estructura antes mencionada:

En 3D el grafo anterior podría adoptar una figura como el dicosahedron truncado:

Fuente: https://commons.wikimedia.org/wiki/File:Truncatedicosahedron.jpg

Desde el punto de vista planar un incidente (de seguridad o no) afecta a un conjunto de activos, los cuales forman parte de los servicios, pudiendo un activo contribuir a más de un servicio (caso de electrónica de red, cabinas de discos,…):

Además estipula que durante el ciclo de vida de la incidencia se debe mantener informado al cliente así como guardar la misma relacionada con el Activo/s en que ha sucedido con el fin de poder diagnosticar rápidamente si vuelve a suceder en el mismo Activo, esto amplía la dimensión del tratamiento del incidente dado que lo convierte en un ente propio relacionable con otros (como hemos visto anteriormente) y por tanto trazable y sobre todo registrable y consultable en el futuro constituyendo la simiente de la Base de Datos del Conocimiento.

Pues bien, volviendo a la pregunta inicial: Para qué quiero la ISO 20000 si estoy implantando la ISO 27001?
La respuesta es clara, el concepto abstracto de “Incidente” con las relaciones multinivel difícilmente imaginables se explica perfectamente mediante la ISO 20000, además de permitir su implementación y seguimiento traspasándolas a un esquema planar que sí es entendible y mantenible.
ISO 200000 dota a los sistemas de gestión (OSHAS, 14001, 9001, 22301, 27001….) de conceptos claros con los que gestionar sus activos enlazándose (gracias a la unificación del anexo SL) entre sí de forma directa y más fácilmente de lo que podría pensarse.

Si desea saber cómo Internet Security Auditors puede ayudarle a implantar ISO 20000 en su empresa no dude en contactarnos.

---

Autor: Carlos Ortiz de Zevallos - BSI L.A., Scrum Manager, MCP, ITILF, ITIL Service Management
Departamento Consultoría