CAPITULO 13
13. GESTIÓN DE LOS INCIDENTES DE LA
SEGURIDAD DE LA INFORMACIÓN
13.1 REPORTE SOBRE
LOS EVENTOS Y LAS DEBILIDADES DE LA SEGURIDAD DE LA INFORMACIÓN
Objetivo: asegurar que los eventos y las debilidades de la seguridad
de la información asociados con los sistemas de información se comunican de forma
tal que permiten tomar las acciones correctivas oportunamente.
Es conveniente establecer el reporte formal del evento y los
procedimientos de escalada.
Todos los empleados, contratistas y usuarios de tercera
parte deberían tener conciencia sobre los procedimientos para el reporte de los
diferentes tipos de evento y las debilidades que puedan tener impacto en la
seguridad de los activos de la organización. Se les debería exigir que reporten
todos los eventos de seguridad de la información y las debilidades tan pronto
sea posible al punto de contacto designado.
13.1.1 Reporte sobre
los eventos de seguridad de la información
Control
Los eventos de seguridad de la información se deberían informar
a través de los canales de gestión apropiados tan pronto como sea posible.
Guía de
implementación
Se debería instaurar un procedimiento formal para el reporte
de los eventos de seguridad de la información junto con un procedimiento de
escalada y respuesta ante el incidente que establezca la acción que se ha de
tomar al recibir el reporte sobre un evento de seguridad de la información. Se
debería establecer un punto de contacto para el reporte de los eventos de seguridad
de la información. Es conveniente garantizar que este punto de contacto se
conoce en toda la organización, siempre está disponible y puede suministrar
respuesta oportuna y adecuada.
Todos los empleados, contratistas y usuarios de tercera
parte deberían tener conciencia de su responsabilidad para reportar todos los
eventos de seguridad de la información lo más pronto posible. Deberían conocer
el procedimiento para reportar los eventos de seguridad de la información y el
punto de contacto. Los procedimientos de reporte deberían incluir los siguientes
aspectos:
a).procesos adecuados de retroalimentación para garantizar
que aquellos que reportan los eventos de seguridad de la información reciben
notificación de los resultados después de que se ha tratado y solucionado el
problema;
b). formatos para el reporte de los eventos de seguridad de la
información para soportar la acción de reporte y ayudar a que la persona que
hace el reporte recuerde todas las acciones necesarias en caso de un evento de
seguridad de la información;
c). el comportamiento correcto en caso de un evento de seguridad
de la información, es decir:
1). tomar nota inmediatamente sobre los detalles importantes
(por ejemplo, tipo de incumplimiento o violación, disfunción que se presenta,
mensajes en la pantalla, comportamiento extraño);
2). no ejecutar ninguna acción propia sino reportarla
inmediatamente al punto de contacto;
d). referencia a un proceso disciplinario formal establecido
para tratar a los empleados, contratistas o usuarios de tercera parte que
cometieron la violación de la seguridad.
En entornos de alto riesgo, se puede suministrar una alarma
de coacción4) a través de la cual una persona bajo coacción pueda indicar tales
problemas. Los procedimientos para responder a las alarmas de coacción deberían
reflejar la situación de alto riesgo que indican tales alarmas.
Información adicional
Los siguientes son ejemplos de eventos e incidentes de
seguridad.
a). pérdida del servicio, el equipo o las prestaciones;
b). mal funcionamiento o sobrecargas del sistema;
c). errores humanos;
d). incumplimientos de las políticas o las directrices;
e). violaciones de las disposiciones de seguridad física;
f). cambios no controlados en el sistema;
g). mal funcionamiento del software o del hardware,
i). violaciones del acceso:
Con el debido cuidado de los aspectos de confidencialidad,
los incidentes de seguridad de la información se pueden usar en la formación
sobre toma de conciencia de los usuarios (véase el numeral 8.2.2) como ejemplos
de lo que podría pasar, cómo responder a tales incidentes y cómo evitarlos en
el futuro. Para poder tratar adecuadamente los eventos e incidentes de seguridad
de la información podría ser necesario recolectar evidencia tan pronto sea
posible después del suceso (véase el numeral 13.2.3).
El mal funcionamiento u otro comportamiento anómalo del sistema
puede ser un indicador de un ataque de seguridad o una violación real de la
seguridad y por lo tanto siempre se debería reportar como evento de seguridad
de la información.
Información adicional sobre el reporte de eventos de
seguridad de la información y gestión de los incidentes de seguridad de la
información se puede encontrar en la norma ISO/IEC TR 18044.
13.1.2 Reporte sobre
las debilidades en la seguridad
Control
Se debería exigir a todos los empleados, contratistas y usuarios
de terceras partes de los sistemas y servicios de información que observen y
reporten todas las debilidades observadas o sospechadas en los sistemas o
servicios.
Guía de
implementación
Todos los empleados, contratistas y usuarios de terceras
partes deberían informar sobre estos asuntos a su director o directamente a su
proveedor de servicio, tan pronto sea posible para evitar los incidentes de
seguridad de la información. Los mecanismos de reporte deberían ser fáciles,
accesibles y disponibles. Se les debería informar a ellos que, en ninguna
circunstancia, deberían intentar probar una debilidad sospechada.
Información adicional
A todos los empleados, contratistas y usuarios de terceras
partes se les debería aconsejar no intentar probar debilidades sospechadas en
la seguridad. El ensayo de las debilidades se podría interpretar como un
posible uso inadecuado del sistema y también podría causar daño al sistema o
servicio de información que origine una responsabilidad legal por la
realización individual del ensayo.
13.2 GESTIÓN DE LOS
INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN
Objetivo: asegurar que se aplica un enfoque consistente y
eficaz para la gestión de los incidentes de seguridad de la información.
Es conveniente establecer las responsabilidades y los
procedimientos para manejar los eventos y debilidades de la seguridad de la
información de manera eficaz una vez se han reportado. Se debería aplicar un
proceso de mejora continua a la respuesta para monitorear, evaluar y gestionar
en su totalidad los incidentes de seguridad de la información.
Cuando se requiere evidencia, ésta se debería recolectar
para garantizar el cumplimiento de los requisitos legales.
13.2.1
Responsabilidades y procedimientos
Control
Se deberían establecer las responsabilidades y los procedimientos
de gestión para asegurar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información.
Guía de
implementación
Además del reporte de los eventos y las debilidades de la
seguridad de la información (véase el numeral 13.1), el monitoreo de los
sistemas, las alertas y las vulnerabilidades (10.10.2) se debería emplear para
detectar los incidentes de la seguridad de la información. Se recomienda tener
en cuenta las siguientes directrices para los procedimientos de gestión de los
incidentes de seguridad de la información:
a). es conveniente instaurar procedimientos para manejar los
diferentes tipos de incidentes de seguridad de la información, incluyendo:
1). fallas en el sistema de información y pérdida del
servicio;
2). códigos maliciosos (véase el numeral 10.4.1);
3). negación del servicio;
4). errores producidos por datos del negocio incompletos o
inexactos;
5). violaciones de la confidencialidad y la integridad;
6). uso inadecuado de los sistemas de información;
b). además de los planes normales de contingencia (véase el
numeral 14.1.3), los procedimientos también deberían comprender (véase el
numeral 13.2.2):
1). el análisis y la identificación de la causa del
incidente;
2) la contención;
3). la planificación e implementación de la acción
correctiva para evitar la recurrencia, si es necesario;
4). la comunicación con aquellos afectados o implicados con
la recuperación después del incidente;
5). el reporte de la acción a la autoridad apropiada;
c). se deberían recolectar y asegurar los rastros para
auditoría y la evidencia similar (véase el numeral 13.2.3), según sea apropiado
para:
1). el análisis de los problemas internos;
2). el uso de evidencia forense con respecto a la posible
violación del contrato o del requisito reglamentario o en caso de juicios
criminales o civiles, por ejemplo, según la legislación sobre uso inadecuado
del computador o sobre protección de datos;
3). la negociación para la compensación proveniente de los
proveedores de software y servicios;
d). la acción para la recuperación de las violaciones de la
seguridad y la corrección de las fallas del sistema debería estar cuidadosa y
formalmente controlada; los procedimientos deberían garantizar que:
1). únicamente el personal claramente identificado y
autorizado tiene acceso a los sistemas y datos activos (véase el numeral 6.2
para el acceso externo);
2).todas las acciones de emergencia están documentadas en
detalle;
3). la acción de emergencia se reporta a la dirección y se
revisa de manera ordenada;
4). la integridad de los sistemas y controles del negocio se
confirma con retraso mínimo.
Los objetivos de la gestión de los incidentes de seguridad
de la información se deberían acordar con la dirección y se debería garantizar
que los responsables de esta gestión comprenden las prioridades de la
organización para el manejo de los incidentes de seguridad de la información.
Información adicional
Los incidentes de seguridad de la información podrían
trascender las fronteras de la organización y las nacionales. Para responder a
tales incidentes existe la necesidad creciente de coordinar la respuesta y
compartir la información sobre estos incidentes con las organizaciones
externas, según sea apropiado.
13.2.2 Aprendizaje
debido a los incidentes de seguridad de la información
Control
Deberían existir mecanismos que permitan cuantificar y
monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad
de la información.
Guía de
implementación
La información que se obtiene de la evaluación de los
incidentes de seguridad de la información se debería utilizar para identificar
los incidentes recurrentes o de alto impacto.
Información adicional
La evaluación de los incidentes de seguridad de la
información puede indicar la necesidad de mejorar o agregar controles para
limitar la frecuencia, el daño y el costo de futuras recurrencias, o de considerarlos
en el proceso de revisión de la política de seguridad (véase el numeral 5.1.2).
13.2.3 Recolección de
evidencias
Control
Cuando una acción de seguimiento contra una persona u organización
después de un incidente de seguridad de la información implica acciones legales
(civiles o penales), la evidencia se debe recolectar, retener y presentar para
cumplir con las reglas para la evidencia establecidas en la jurisdicción
pertinente.
Guía de
implementación
Se deberían desarrollar y cumplir procedimientos internos cuando
se recolecta y se presenta evidencia con propósitos de acción disciplinaria
dentro de la organización. En general, las reglas para la evidencia comprenden
los siguientes aspectos:
a). admisibilidad de la evidencia: si la evidencia se puede
utilizar o no en la corte;
b). peso de la evidencia: la calidad y cabalidad de la
evidencia.
Para lograr la admisibilidad de la evidencia, la
organización debería asegurar que sus sistemas de información cumplen cualquier
norma o código de práctica publicado para la producción de evidencia admisible.
El peso de la evidencia suministrada debería cumplir todos
los requisitos aplicables. Para lograr el peso de la evidencia, se debería
demostrar la calidad y cabalidad de los controles empleados para proteger
correcta y consistentemente la evidencia (es decir, evidencia del control del proceso)
en todo el periodo en el cual la evidencia por recuperar se almacenó y procesó,
mediante un rastro sólido de la evidencia. En general, dicho rastro sólido se
puede establecer en las siguientes condiciones:
a). para documentos en papel: el original se guarda con seguridad
con un registro de la persona que encontró el documento, el sitio en donde se
encontró, la fecha en la cual se encontró y el testigo de tal hallazgo; toda
investigación debería garantizar que los originales no han sido alterados;
b). para información en medios de computador: se deberían
tomar duplicados o copias (dependiendo de los requisitos que se apliquen) de todos
los medios removibles, la información en los discos duros o la memoria para garantizar
la disponibilidad; es conveniente conservar el registro de todas las acciones durante
el proceso de copiado y dicho proceso debería tener testigos; el medio y el registro
originales (si no es posible,al menos un duplicado o copia) se deberían
conservar intactos y de forma segura.
Todo el trabajo forense se debería llevar a cabo únicamente
en copias del material de evidencia. Se debería proteger la integridad de todo el
material de evidencia. El proceso de copia del material de evidencia debería
estar supervisado por personal de confianza y se debería registrar la
información sobre cuándo y cómo se realizó dicho proceso, quién ejecutó las
actividades de copiado y qué herramientas o programas se utilizaron.
Información adicional
Cuando un evento de seguridad de la información se detecta inicialmente,
es posible que no sea obvio si el evento llevará a una acción judicial. Por lo
tanto, existe el peligro de destruir intencional o accidentalmente la evidencia
necesaria antes de percatarse de la gravedad del incidente. Es aconsejable la
participación inicial de un abogado o de la policía en cualquier acción legal
contemplada y asesorarse sobre la evidencia requerida.
La evidencia puede trascender las fronteras de la
organización y / o las jurisdiccionales. En tales casos, se debería garantizar
que la organización tiene derecho a recolectar la información requerida como
evidencia. Se deberían tener en cuenta los requisitos de las diferentes jurisdicciones
para maximizar las oportunidades de admisión en las jurisdicciones correspondientes.
No hay comentarios:
Publicar un comentario