12 Mar Control 5.25 de ISO 27001: Evaluación y decisión sobre eventos de seguridad de la información
En el marco de ISO/IEC 27001:2022, el control 5.25 – Assessment and decision on information security events establece la necesidad de analizar los eventos relacionados con la seguridad de la información para determinar si deben clasificarse como incidentes de seguridad. Este control forma parte de las medidas destinadas a garantizar que las organizaciones puedan identificar y evaluar posibles problemas de seguridad antes de que generen un impacto significativo.
Comprender y aplicar correctamente este control es fundamental para cualquier organización que implemente un Sistema de Gestión de Seguridad de la Información (SGSI), ya que permite diferenciar entre situaciones que representan un riesgo real y aquellas que simplemente requieren corrección o seguimiento.
Qué exige el control 5.25
El control 5.25 establece que los eventos de seguridad de la información que se reporten deben ser evaluados. A partir de esta evaluación, la organización debe decidir si el evento debe clasificarse como un incidente de seguridad de la información. Esto significa que no todos los eventos detectados en los sistemas deben tratarse automáticamente como incidentes, sino que primero deben analizarse para comprender su naturaleza y su impacto potencial.
Diferencia entre evento e incidente de seguridad
Uno de los aspectos clave de este control es la distinción entre evento de seguridad de la información e incidente de seguridad de la información. Un evento de seguridad es cualquier situación o actividad que puede indicar que algo anómalo está ocurriendo en los sistemas o en los controles de seguridad, aunque en ese momento todavía no está claro si existe un problema real.
Un incidente de seguridad, en cambio, ocurre cuando uno o varios eventos están relacionados y existe una alta probabilidad de que puedan afectar a los activos de la organización o a su funcionamiento. Por ejemplo, una alerta generada por un sistema de monitorización puede indicar un intento de acceso sospechoso a un servidor. En ese momento se trata de un evento. Solo después de analizar la situación se podrá determinar si realmente se ha producido un acceso no autorizado y, por tanto, un incidente.
Eventos, incidentes y no conformidades
No todos los eventos deben clasificarse como incidentes. En muchos casos, el análisis revela que simplemente se trata de una no conformidad, es decir, un incumplimiento de una política, procedimiento o norma interna.
Por ejemplo, si un empleado deja su ordenador desbloqueado en una sala de reuniones, se estaría incumpliendo una política de seguridad. Sin embargo, si se comprueba que nadie accedió al equipo ni a la información mostrada, el caso podría registrarse como una no conformidad en lugar de como un incidente. La detección de no conformidades forma parte del funcionamiento normal de un SGSI y ayuda a prevenir problemas mayores en el futuro.
Importancia de la evaluación de eventos
La evaluación de eventos permite a las organizaciones responder de forma proporcional y eficiente ante posibles riesgos de seguridad. Si todos los eventos se trataran como incidentes, los equipos de seguridad podrían verse saturados y dedicar recursos a situaciones que no representan un riesgo real.
Por otro lado, si los eventos no se analizan correctamente, un incidente real podría pasar desapercibido hasta que el impacto sea mucho mayor. Por esta razón, el control 5.25 exige que las organizaciones establezcan un proceso claro para evaluar los eventos de seguridad y tomar decisiones fundamentadas sobre su clasificación.
Priorización de incidentes
Cuando un evento se clasifica finalmente como incidente de seguridad de la información, la organización debe iniciar el proceso de gestión de incidentes descrito en otros controles del estándar. En muchos casos, los incidentes se priorizan en función de su impacto o de la criticidad de los sistemas afectados.
Una organización puede establecer distintos niveles de prioridad dependiendo del número de usuarios afectados o de la importancia del servicio afectado. Este enfoque permite responder primero a los incidentes más críticos y gestionar los recursos de forma más eficiente.
Aplicación del control en la práctica
Para aplicar correctamente el control 5.25, una organización debe definir cómo se detectan y reportan los eventos de seguridad. Estos eventos pueden proceder de diferentes fuentes, como alertas generadas por sistemas de monitorización, herramientas de seguridad, notificaciones de proveedores o comunicaciones realizadas por empleados.
Una vez registrado el evento, debe realizarse un análisis para determinar su naturaleza y su posible impacto en la confidencialidad, integridad o disponibilidad de la información. El resultado de esta evaluación permitirá decidir si el evento se clasifica como incidente de seguridad de la información, como una no conformidad o como un evento sin impacto relevante.
Documentar esta decisión es importante para mantener la trazabilidad y para mejorar los procesos de seguridad a lo largo del tiempo.
El papel del SGSI en la prevención
El Sistema de Gestión de Seguridad de la Información tiene un enfoque principalmente preventivo. Su objetivo es detectar y corregir desviaciones antes de que se conviertan en incidentes graves que afecten a la organización.
Analizar los eventos de seguridad forma parte de este enfoque preventivo. De forma similar a corregir un vehículo que se desvía ligeramente de su carril antes de que se produzca un accidente, evaluar los eventos permite actuar a tiempo y reducir los riesgos para la organización.
Conclusión
El control 5.25 de ISO 27001 desempeña un papel importante dentro de la gestión de la seguridad de la información. Su finalidad es garantizar que los eventos detectados en los sistemas se analicen adecuadamente antes de decidir si constituyen un incidente de seguridad.
Al establecer procedimientos claros para evaluar estos eventos, las organizaciones pueden mejorar su capacidad de respuesta, evitar reacciones innecesarias y concentrar sus esfuerzos en los incidentes que realmente representan un riesgo. De esta manera, se fortalece la seguridad de la información y se mejora la eficacia del Sistema de Gestión de Seguridad de la Información dentro de la organización.