¿Cómo tratar un incidente de seguridad de la información?

Laura Barbosa
Escrito por Laura Barbosa

Qué hacer con los incidentes de seguridad de la información

Las redes hacen parte del diario vivir, por lo tanto la información personal está expuesta en todo momento. La mayor parte de los negocios están inmersos en las transacciones en línea y los que aún no lo habían hecho, ya han comenzado a ingresar a esta modalidad. De modo que si no se sabe manejar la información con cuidado y con seguridad, se pueden tener incidentes de seguridad que harán que estos datos queden expuestos ante los demás y puedan ser usados de forma inadecuada.

¿Qué es un incidente de seguridad de la información?

Es el acceso a la información por parte de una persona no autorizada. 

Estos se presentan cuando de manera ilegal se accede a la información confidencial de las personas o de las empresas. 

Incidentes más comunes de la seguridad de la información:

  • Accesos a información no autorizada.
  • Robo de contraseñas.
  • Robo de información.
  • El abuso o mal uso de servicios informáticos internos o externos de la organización.
  • Alteración de la información.

En las empresas se pueden presentar incidentes en los que fallan las medidas de seguridad y situaciones desconocidas que la afectan, como son: 

  • Firewalls que permiten o bloquean accesos.
  • Notificaciones de confirmación de acceso.
  • Cambios tecnológicos que afectan las herramientas del software de la empresa.

Estos eventos no son necesariamente ocurrencias maliciosas o adversas, también se pueden presentar de manera autorizada, en los cuales se le permite a un tercero acceder a esta información, sin embargo esto puede generar problemas a futuro si no saben manejar la información que adquirieron de la manera adecuada.

4 Consejos para manejar los incidentes de seguridad de la información correctamente

Para manejar los incidentes de seguridad de la información se tendrán 4 pasos esenciales. 

1. Detectar, informar y evaluar qué incidente se presentó 

Uno de los incidentes más fáciles de detectar es el robo de contraseñas y de correos; esto debido a que normalmente perdemos incluso el acceso a nuestras cuentas. Un ejemplo es el caso de las  plataforma de películas y series, en esta plataforma es bastante común ver el robo de contraseñas, en este caso es fácil de detectar debido a que se suele perder el acceso a la plataforma sin conseguir alguna manera de recuperarla.

2. Responder a los incidentes

El usuario al saber que no se tiene el acceso a la plataforma se procede a reportarle a esta plataforma la incidencia, y estos se encargan de recolectar los datos necesarios para saber realmente de quién es la cuenta y de esta manera poder devolverlo. 

La plataforma se encargará de verificar y evaluar la incidencia presentada y así poder responder a la persona que corresponde sobre este incidente y le dará solución a este mismo.

3. Reportar las inseguridades

La plataforma no solo se encargará de responder al afectado por el incidente sino tendrá la responsabilidad de documentar toda la información que se generará durante el tratamiento de este incidente.

Por otro lado el usuario procederá a cambiar la contraseña de su cuenta y verifica que el resto se encuentre correctamente para estar seguro que no será robada de nuevo la contraseña.

4. Aprender del incidente

Por su parte esta plataforma tendrá en cuenta toda la información que se generó a partir de este incidente ya que este será primordial, por lo cual deberá tener una base de conocimiento en la que se encargará de verificar todos estos datos adquiridos para poder prevenir y evitar que este incidente ocurra.

Y el usuario aprenderá de este incidente que por seguridad de la información lo mejor es cambiar las contraseñas de todas las redes que se tengan constantemente y no usar la misma contraseña en nuestras redes.

Incidentes de seguridad de la información

Controles que puedes implementar para evitar un incidente de seguridad

En los incidentes de seguridad de la información de las empresas también se pueden encontrar diferentes controles, los cuales se deben llevar a cabo para poder realizar su ejecución. Algunos de los controles más importantes son los siguientes: 

Definir las responsabilidades y procedimientos

Se deben tener claros los procedimientos a la hora de ejecutar estos procesos de incidentes de seguridad de la información en los cuales es importante tener en cuenta lo siguiente:

  • Las responsabilidades

En el cual se deben tener responsables para la gestión de los incidentes y garantizarán que se llevarán de manera correcta los procesos, también se debe tener un responsable por  cada empleado de manera en que se pueda dar respuesta y comunicar cualquier incidente de manera casi inmediata.

  • Los procedimientos 

Se debe tener el procedimiento para la detección, el análisis, y la elaboración de los incidentes de seguridad de la información, así mismo se debe tener un procedimiento para la comunicación de los incidentes, es necesario que estos procedimientos sean conocidos por todos los empleados de la organización.

  • Capacitaciones

Es necesario que todos los empleados reciban las capacitaciones necesarias sobre los procedimientos que se han planteado en la empresa para que así estos mismos puedan ser cumplidos de la mejor manera.

Habilitar un canal para el reporte de eventos de seguridad de la información

Se deben tener todos los canales de comunicación estipulados para cualquier incidente o evento, estos canales deben tener a un responsable en gestión de los incidentes, todos los usuarios sean internos o externos deben estar habituados con la manera en que se manejan estos canales y las notificaciones que les llegara a ellos después de haber reportado el incidente.

Registrar las debilidades de seguridad de la información presentadas

Se debe contar con un reporte de posibles debilidades que se pueden detectar en cualquier momento, este tendrá que actualizarse constantemente y debe de contener un comunicado en el cual se le exigirá a los usuarios observar y reportar cualquier debilidad de seguridad de la información que se haya visto o se sospeche en los sistemas o en los servicios.

Evaluar y priorizar los eventos de seguridad de la información

Los eventos de seguridad de la información se pueden clasificar como eventos simples o pueden pasar a ser incidentes de seguridad de la información. Para esto se deben tener en cuenta estos factores:

  • Priorizar según el sistema o servicio que se encuentre afectado.
  • La evaluación se debe realizar tanto por el usuario como por el equipo de gestión.
  • Se debe llevar un registro de la evaluación de los incidentes para poder analizarla y consultarla posteriormente.
 

Para priorizar los incidentes de la información se deben tener en cuenta dos parámetros:

 
  • Impacto: El daño que se causa a la organización.
  • Urgencia: La rapidez con la que se necesita corregir el incidente.

Con estos dos parámetros se podrá establecer la prioridad que tendrá cada uno de los incidentes.

Un ejemplo de cómo se puede evaluar y clasificar las incidencias es a través de esta tabla, en la cual se evidencian tres niveles de la siguiente manera:

Nivel Alto: Se establece en color rojo

Nivel Medio: Se establece en color naranja

Nivel Bajo: Se establece en color verde

 

Resolver y dar respuesta a incidentes de seguridad de la información

Se controlará los procesos para la resolución de los incidentes de seguridad de la información en el cual se tendrá en cuenta los siguientes controles:

  • Garantizar que la organización tenga capacidad para resolver los incidentes.
  • Mantener registro de las evidencias de los incidentes.
  • Establecer sistemas de comunicación entre los usuarios y el equipo de gestión de incidencias.
  • Mantener registro de las acciones y los resultados de estas mismas.
  • Cierre de las incidencias cuando ya estén resueltas.
  • Determinar las causas de cada incidente.

Implementar las lecciones y aprender de los incidentes de seguridad de la información 

Debido a que los incidentes no son un problema a solucionar sino también una fuente de información para la prevención de futuros incidentes, es necesario tener algunos controles en cuenta para mantener la base de conocimiento actualizada.

  • Creación de documentos si son necesarios.
  • El volumen de los incidentes que se registraron.
  • La tipología de los incidentes que se registraron.
  • El coste de la resolución de las incidencias.
  • En impacto de las incidencias.
  • La solución que se aplica.

Esta información puede ayudar a identificar los incidentes que más suceden, mejorar el sistema de gestión, y realizar capacitaciones a los usuarios para evitar futuros incidentes, teniendo en cuenta que para estas capacitaciones es recomendable no usar datos reales.

Registrar la evidencia de los incidentes y las acciones implementadas

Estos incidentes pueden llegar a requerir acciones posteriores como sanciones o acciones legales. Es necesario recuperar todas las evidencias pero si estas no se saben almacenas ocasionarán problemas. por lo tanto es indispensable tener lo siguiente para poder recuperarla.

  • Inicios y cierres de sesión.
  • Identificaciones.
  • Estado de los dispositivos y las redes.
  • las evidencias de las capacitaciones, los documentos sobre las responsabilidades (nombrado anteriormente) y las funciones de seguridad del personal de la organización.

También si la empresa lo encuentra pertinente puede certificar los sistemas de recogida de evidencias o mantener algún medio de vigilancia y control independiente, lo cual ayudará a fortalecer las evidencias en caso de que se requiera alguna acción legal.Nueva llamada a la acción

¿Tienes más preguntas? ¿Necesitas solucionar un tema en particular?

 

Publicaciones recientes

Suscríbete aquí a nuestro blog:

Solicita un demo gratis