ISO 27035 Gestión de Incidentes

La norma ISO/IEC 27035 es el estándar internacional para gestionar incidentes de Seguridad de la Información. Proporciona directrices para prepararse ante los mismos, previniéndolos, estableciendo la cadena de acciones y decisiones a tomar, analizándolos y reforzando los protocolos de defensa de manera cíclica y continuada. Con su puesta en marcha, las organizaciones no sólo tendrán más protegida la información que manejan, sino que habrán puesto en marcha un sistema de aprendizaje continuo que redundará en la continuidad de su negocio.  

Esta nueva norma, actualizada en 2023, forma parte de la familia de normas de gestión de la Seguridad de la Información, en la cual la ISO 27001 es la norma principal, con mayor implantación y mayor proyección internacional. La norma ISO 27035 puede implantarse y certificarse de manera conjunta con la anterior, lo cual es posible gracias a una sistemática de trabajo común a ambas normas, así como a otras normas ISO.  

Con respecto a la ISO 27001, esta norma: 

• Ayuda a las empresas a potenciar su gestión del riesgo con el proceso de gestión de incidentes como fuente de retroalimentación del mismo.
• Permite dar mayor amplitud a la integración del SGSI implantado con la gestión de incidentes, ya que se identifican y mapean los controles comunes entre ambas normas.
• Aborda y profundiza en los mecanismos de coordinación en la gestión de incidentes entre organizaciones, tanto públicas como privadas, aprovechando la información y recursos empleados, y ayudando a asegurar,  con ello, la cadena de suministro.

Para obtener el certificado ISO 27035 es necesario realizar una auditoría de las instalaciones y procesos de la organización. En esta auditoría, la entidad auditada deberá demostrar no sólo que ha adoptado el modelo de gestión que plantea la norma, sino que le resulta eficaz para rechazar y superar incidentes, obtener información de los mismos, ajustar procesos y minimizar sus riesgos.