En el marco de ISO/IEC 27001:2022, el control 5.25 – Assessment and decision on information security events establece la necesidad de evaluar los eventos relacionados con la seguridad de la información para determinar si deben clasificarse como incidentes de seguridad. Este control forma parte del conjunto de medidas orientadas a garantizar que las organizaciones reaccionen de forma adecuada ante posibles problemas de seguridad antes de que estos tengan un impacto significativo.
Comprender y aplicar correctamente este control es fundamental para cualquier organización que implemente un Sistema de Gestión de Seguridad de la Información (SGSI), ya que permite diferenciar entre situaciones que representan un riesgo real y aquellas que simplemente requieren corrección o seguimiento.
Qué exige el control 5.25
El control 5.25 establece dos requisitos principales:
- Los eventos de seguridad de la información que se reporten deben ser evaluados.
- Tras dicha evaluación, debe decidirse si el evento se clasifica como un incidente de seguridad de la información.
En otras palabras, no todos los eventos que se detectan en los sistemas deben tratarse automáticamente como incidentes. Es necesario realizar un análisis previo que permita comprender su naturaleza y su impacto potencial.
Diferencia entre evento e incidente de seguridad
Uno de los aspectos más importantes de este control es la distinción entre evento de seguridad de la información e incidente de seguridad de la información.
Un evento de seguridad es cualquier situación o actividad que puede indicar que algo anómalo está ocurriendo en los sistemas o en los controles de seguridad. Sin embargo, en este punto todavía no está claro si existe realmente una amenaza o un problema de seguridad.
Un incidente de seguridad, en cambio, se produce cuando uno o varios eventos están relacionados y existe una alta probabilidad de que puedan afectar a los activos de la organización o a su funcionamiento.
Por ejemplo, una alerta de un sistema de monitorización puede indicar un intento de acceso sospechoso a un servidor. En ese momento se trata de un evento. Solo después de analizar la situación se podrá determinar si realmente se ha producido un acceso no autorizado y, por tanto, un incidente.
Eventos, incidentes y no conformidades
No todos los eventos deben clasificarse como incidentes. En muchos casos, el análisis del evento revela que simplemente se trata de una no conformidad, es decir, un incumplimiento de una norma, política o procedimiento interno.
Por ejemplo, si un empleado deja su ordenador desbloqueado en una sala de reuniones, se está incumpliendo una política de seguridad. Sin embargo, si se comprueba que nadie accedió al equipo ni a la información mostrada, el caso podría registrarse como una no conformidad en lugar de como un incidente.
La detección de no conformidades forma parte del funcionamiento normal de un SGSI y contribuye a prevenir problemas mayores en el futuro.
Importancia de la evaluación de eventos
La evaluación de eventos permite a las organizaciones responder de forma proporcional y eficiente a los posibles riesgos de seguridad. Si todos los eventos se trataran como incidentes, los equipos de seguridad podrían verse saturados y dedicar recursos a situaciones que no representan un riesgo real.
Por el contrario, si los eventos no se analizan correctamente, un incidente real podría pasar desapercibido hasta que el impacto sea mucho mayor.
Por esta razón, el control 5.25 exige que las organizaciones establezcan un proceso claro para evaluar los eventos de seguridad y tomar decisiones informadas sobre su clasificación.
Priorización de incidentes
Cuando un evento se clasifica finalmente como incidente de seguridad de la información, la organización debe iniciar el proceso de gestión de incidentes, tal como se describe en el control 5.26.
En muchos casos, los incidentes se priorizan en función de su impacto. Por ejemplo, una organización puede establecer distintos niveles de prioridad según el número de usuarios afectados o la criticidad del sistema implicado.
Este enfoque permite responder primero a los incidentes más críticos y garantizar una gestión eficiente de los recursos disponibles.
Aplicación del control en la práctica
Para aplicar correctamente el control 5.25, una organización debe definir cómo se detectan y reportan los eventos de seguridad. Estos eventos pueden proceder de diferentes fuentes, como:
- alertas de sistemas de monitorización
- herramientas de seguridad
- reportes de empleados
- notificaciones de proveedores o servicios externos
Una vez registrado el evento, debe realizarse un análisis que determine su naturaleza y su posible impacto en la confidencialidad, integridad o disponibilidad de la información.
El resultado de esta evaluación permitirá decidir si el evento se clasifica como:
- un incidente de seguridad de la información
- una no conformidad
- o un evento sin impacto relevante
Documentar esta decisión es importante para mantener la trazabilidad y mejorar continuamente los procesos de seguridad.
El papel del SGSI en la prevención
El Sistema de Gestión de Seguridad de la Información tiene un enfoque preventivo. Su objetivo principal es identificar y corregir desviaciones antes de que se conviertan en incidentes graves.
Detectar y analizar eventos de seguridad forma parte de este enfoque preventivo. Al igual que corregir un vehículo que se desvía de su carril antes de que se produzca un accidente, la evaluación de eventos permite actuar a tiempo y reducir los riesgos para la organización.
Conclusión
El control 5.25 de ISO 27001 juega un papel esencial dentro del proceso de gestión de incidentes de seguridad de la información. Su objetivo es asegurar que los eventos detectados se analicen correctamente antes de tomar decisiones sobre su clasificación.
Al establecer procedimientos claros para evaluar estos eventos, las organizaciones pueden mejorar su capacidad de respuesta, evitar reacciones innecesarias y centrar sus recursos en los incidentes que realmente representan un riesgo.
En definitiva, aplicar correctamente este control contribuye a fortalecer la seguridad de la información y a mejorar la eficacia del SGSI dentro de la organización.
