Las incidencias de seguridad de la información pueden ser detectadas por cualquier empleado, así como de forma automática (por ejemplo, mediante la activación de un módulo antifraude).
Ante la detección de un evento de seguridad de la información, un empleado está obligado a:
- Adoptar medidas para contener el incidente: detener (suspender) el trabajo, apagar el ordenador mediante un apagado
- Informar al responsable de línea y al Jefe de la Unidad de Seguridad de la Información y Protección de Datos.
- De ser posible, tomar medidas que permitan guardar pruebas del incidente (capturas de pantalla, guardar copias de documentos).
Cuando se detecta automáticamente un evento de seguridad de la información, el Jefe de Unidad de Seguridad de la Información y Protección de Datos:
- Analiza la causa y el grupo de riesgo de los programas sospechosos
Registro de un incidente de seguridad de la información
Una vez recibida la información sobre un evento de seguridad de la información, el Jefe de la Unidad de Seguridad de la Información y Protección de Datos, con la intervención de especialistas en informática, analiza la información para clasificarla como incidente de seguridad de la información y prepara un informe.
Los criterios para clasificar un evento de seguridad de la información como un incidente son las violaciones de los siguientes tipos de eventos:
a) Nivel físico de la infraestructura de información:
- El acceso físico de los empleados y otras personas a las instalaciones.
- El acceso físico de los empleados y otras personas y el uso de los equipos informáticos por parte de las entidades mencionadas.
- El uso por parte de los empleados y otras personas de dispositivos de copiado y dispositivos multifuncionales.
- El uso de equipos de comunicación por fax por parte de los empleados y otras personas.
- Cambios en la configuración de los equipos informáticos y de telecomunicaciones.
- Cambios en los parámetros de configuración de los equipos que garantizan el funcionamiento de los equipos informático.
- Fallos y mal funcionamiento de los equipos informáticos y de telecomunicaciones.
- Fallos y anomalías de funcionamiento de los aparatos que garantizan el funcionamiento de los equipos informáticos.
- Fallos y deficiencias en las instalaciones de seguridad de la información.
- Fallos y caídas en las redes de comunicaciones telefónicas.
- Fallos en las redes de transmisión de datos.
- Impacto físico en los equipos informáticos, los equipos de telecomunicaciones, los equipos de protección de la información y las redes de transmisión de datos.
- Cambios en las condiciones climáticas de las instalaciones en las que se encuentran los equipos informáticos y de telecomunicaciones.
- Sustitución y/o modificación de piezas de software y/o hardware de ordenadores y equipos de telecomunicaciones.
- Transferencia de equipos informáticos entre las subdivisiones de la organización
- Transferencia de equipos informáticos a organizaciones externas.
- Realización de actividades de acceso a sistemas de vigilancia de seguridad por televisión, sistemas de alarma antirrobo, control de acceso y sistemas de gestión.
- ...
b) Nivel de equipamiento de red:
- Cambios de la configuración de software de los equipos de red.
- Cambios de la composición y las versiones del software de los equipos de red.
- Detección de actividad anormal en la red.
- Autenticación y finalización de la sesión en los equipos de la red.
- Detección de códigos maliciosos y sus manifestaciones.
- Cambio de la topología de las redes informáticas.
- Conexión de los equipos a las redes informáticas.
- Actualización del software de los equipos de red.
- Efectuar operaciones de mantenimiento en los equipos de la red.
- Fallos en el funcionamiento de las herramientas de seguridad de la información.
- Lanzamiento de herramientas de análisis de topología de redes informáticas.
- ...
c) Capa de aplicaciones y servicios de red:
- Identificación, autentificación, autorización y finalización de la sesión de los empleados de la organización y otros.
- Cambiar los ajustes, la composición y las versiones del software.
- Detección de códigos maliciosos y sus manifestaciones.
- Establecimiento de conexiones y procesamiento de solicitudes, incluidas las remotas, a nivel de aplicaciones y servicios de red.
- Fallos en el funcionamiento de las medidas de seguridad de la información.
- Influencias externas de Internet, incluidos los ataques a la red.
- ...
d) Nivel del sistema operativo:
- Autenticación y finalización de los empleados de la organización y otros, incluso a nivel de software del sistema, sistemas de gestión de bases de datos y software de aplicación
- cambiar los parámetros de configuración, la composición y las versiones del software a nivel del sistema operativo.
- lanzar, detener y/o apagar/reiniciar el software a nivel de sistema operativo.
- Detección de códigos maliciosos y sus manifestaciones
- Establecer conexiones y procesar solicitudes mediante programas informáticos a nivel del sistema operativo.
- Empleo de herramientas de análisis de vulnerabilidad para el software a nivel de sistema operativo.
- Cambios en los parámetros de configuración de las herramientas de seguridad de la información.
- ...
e) Nivel de proceso tecnológico y de aplicación y nivel de proceso empresarial:
- Ejecución de operaciones individuales y procesos informáticos.
- Control de la ejecución de operaciones o procedimientos.
- Ejecución de operaciones o procedimientos con el uso de medios criptográficos de seguridad de la información.
- Asignación de funciones, incluidas las relacionadas con la seguridad de la información.
- ...
Conoce nuestro Maestría en Dirección de Sistemas y Tecnologías de la Información