GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 

OBJETIVO 

El objetivo primordial del Modelo de Gestión para Incidentes de seguridad de la información, es permitir manejar de forma adecuada, los incidentes de seguridad de la información que sean presentados dentro de cualquier organización. 

A continuación, cuales son las actividades especificas que permiten cumplir con dicho objetivo: 

  • Tener claridad sobre los roles y responsabilidades que tendrán las personas que intervienen dentro del proceso de evaluación, mitigación y corrección de riesgos para asegurar la continuidad y disponibilidad del servicio. 
  • Gestionar eventos de seguridad de la información para detectar y tratar con eficiencia, tambien es importante identificar si deben ser tratados como un incidente o no. 
  • Tratar al máximo de mitigar los impactos adversos que generan los incidentes de seguridad dentro de la organización 
  • Construir una base de conocimientos con las lecciones aprendidas que dejan los incidentes de seguridad de la información para posteriormente reducir los tiempos de gestión una vez ocurran nuevas incidencias. 
  • Establecer los procedimientos formales de reporte y notificación de los incidentes de seguridad. 
  • Planificación y preparación para la gestión del Incidente 
  • Detección y análisis. 
  • Contención, erradicación y recuperación.

RECURSOS DE COMUNICACIÓN 

Contamos con una plataforma de servicio para nuestros clientes, donde puede no solo radicar directamente sus solicitudes, sino que tambien puede hacer proceso de seguimiento constante a estas. Allí encontrarán 

  • Información de los agentes de servicio que atienden sus solicitudes. 
  • Procesos y canales de comunicación directa con el departamento de servicio. 
  • Seguimiento detallada del estado de sus solicitudes.
  • Exportar el listado de solicitudes realizadas a BIDDA.

DETECCIÓN, EVALUACION Y ANÁLISIS 

Incidente

Los incidentes son los eventos escalados por los clientes, los cuales nos indican que posiblemente un incidente ha ocurrido, generalmente algunos de estos son: 

  • Caídas de servidores 
  • Reportes de usuarios 
  • Software antivirus dando informes 
  • Otros funcionamientos fuera de lo normal del sistema 
  • Logs de servidores 
  • Logs de aplicaciones 
  • Logs de herramientas de seguridad 
  • Cualquier otra herramienta que permita la identificación de un incidente de seguridad


Análisis 

Las actividades de análisis del incidente involucran otra serie de componentes

  • Validar los diferentes escenarios de red sobre los cuales existen baches de seguridad (Si la póliza lo permite)
  • Toda información que permita realizar análisis al incidente debe estar centralizada (Logs de servidores, redes, aplicaciones), estos generalmente deben ser proveídos por el cliente cuando no cuentan con una póliza de redes activa.
  • Se efectúan correlación de eventos, ya que por medio de este proceso se pueden descubrir patrones de comportamiento anormal y poder identificar de manera más fácil la causa del incidente. 
  • Para un correcto análisis de un incidente debe existir una única fuente de tiempo (Sincronización de Relojes) ya que esto facilita la correlación de eventos y el análisis de información.
  • Se valida en la base de conocimiento con información relacionada sobre nuevas vulnerabilidades, información de los servicios habilitados, y experiencias con incidentes anteriores. 


Evaluación 

Para realizar la evaluación de un incidente de seguridad se debe tener en cuenta los niveles de impacto con base en los insumos entregados por el cliente, la severidad del incidente puede estar clasificada en diferentes prioridades: 

  • Urgente: El incidente de seguridad afecta a activos de información considerados de impacto catastrófico y mayor que influyen directamente a los objetivos misionales del la organización. 
  • Alto: El incidente de seguridad que involucre una afectación de al menos el 70% de la operación del cliente. 
  • Medio: El incidente de seguridad afecta a activos de información considerados de impacto moderado que influyen directamente a los objetivos de un proceso determinado.

  • Bajo: El incidente de seguridad afecta a activos de información considerados de impacto menor e insignificante, que no influyen en ningún objetivo. Estos incidentes deben ser monitoreados con el fin de evitar un cambio en el impacto.


CLASIFICACIÓN DE INCIDENTES DE SEGURIDAD

A continuación la clasificación de los incidentes de seguridad: 

  • Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código malicioso que obtiene acceso lógico o físico sin autorización adecuada del dueño a un sistema, aplicación, información o un activo de información. 
  • Modificación de recursos no autorizado: Un incidente que involucra a una persona, sistema o código malicioso que afecta la integridad de la información o de un sistema de procesamiento. 
  • Uso inapropiado de recursos: Un incidente que involucra a una persona que viola alguna política de uso de recursos. 
  • No disponibilidad de los recursos: Un incidente que involucra a una persona, sistema o código malicioso que impide el uso autorizado de un activo de información. 
  • Multicomponente: Un incidente que involucra más de una categoría anteriormente mencionada. 
  • Otros: Un incidente que no puede clasificarse en alguna de las categorías anteriores. Este tipo de incidentes debe monitorearse con el fin de identificar la necesidad de crear nuevas categorías.

ACUERDOS DE SERVICIO

Para conocer nuestros acuerdos de servicio, te invitamos a ingresar Aquí