13.1 REPORTE SOBRE LOS EVENTOS Y LAS DEBILIDADES DE LA SEGURIDAD DE LA
INFORMACIÓN
Objetivo: asegurar que los eventos y las debilidades de la seguridad de la informaciónasociados con los sistemas de información se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.
Es conveniente establecer el reporte formal del evento y los procedimientos de escalada.
Todos los empleados, contratistas y usuarios de tercera parte deberían tener conciencia sobre los procedimientos para el reporte de los diferentes tipos de evento y las debilidades que puedan tener impacto en la seguridad de los activos de la organización. Se les debería exigir que reporten todos los eventos de seguridad de la información y las debilidades tan pronto sea posible al punto de contacto designado.
13.1.1 Reporte sobre los eventos de seguridad de la información
Control
Los eventos de seguridad de la información se deberían informar a través de los canales degestión apropiados tan pronto como sea posible.
Guía de implementación
Se debería instaurar un procedimiento formal para el reporte de los eventos de seguridad de la información junto con un procedimiento de escalada y respuesta ante el incidente que
establezca la acción que se ha de tomar al recibir el reporte sobre un evento de seguridad de la información. Se debería establecer un punto de contacto para el reporte de los eventos de
seguridad de la información. Es conveniente garantizar que este punto de contacto se conoce en toda la organización, siempre está disponible y puede suministrar respuesta oportuna y adecuada.
Todos los empelados, contratistas y usuarios de tercera parte deberían tener conciencia de su responsabilidad para reportar todos los eventos de seguridad de la información lo más pronto posible. Deberían conocer el procedimiento para reportar los eventos de seguridad de la información y el punto de contacto. Los procedimientos de reporte deberían incluir los
siguientes aspectos:
a) procesos adecuados de retroalimentación para garantizar que aquellos que reportan los
eventos de seguridad de la información reciben notificación de los resultados después de
que se ha tratado y solucionado el problema;
b) formatos para el reporte de los eventos de seguridad de la información para soportar la
acción de reporte y ayudar a que la persona que hace el reporte recuerde todas las
acciones necesarias en caso de un evento de seguridad de la información;
c) el comportamiento correcto en caso de un evento de seguridad de la información, es
decir:
1) tomar nota inmediatamente sobre los detalles importantes (por ejemplo, tipo de
incumplimiento o violación, disfunción que se presenta, mensajes en la pantalla,
comportamiento extraño);
2) no ejecutar ninguna acción propia sino reportarla inmediatamente al punto de
contacto;
d) referencia a un proceso disciplinario formal establecido para tratar a los empleados,
contratistas o usuarios de tercera parte que cometieron la violación de la seguridad.
En entornos de alto riesgo, se puede suministrar una alarma de coacción4) a través de la cual
una persona bajo coacción pueda indicar tales problemas. Los procedimientos para responder
a las alarmas de coacción deberían reflejar la situación de alto riesgo que indican tales
alarmas.
Información adicional
Los siguientes son ejemplos de eventos e incidentes de seguridad.
a) pérdida del servicio, el equipo o las prestaciones;
b) mal funcionamiento o sobrecargas del sistema;
c) errores humanos;
4) Una alarma de coacción es un método para indicar secretamente que tiene lugar una acción "bajo
coacción".
d) incumplimientos de las políticas o las directrices;
e) violaciones de las disposiciones de seguridad física;
f) cambios no controlados en el sistema;
g) mal funcionamiento del software o del hardware,
i) violaciones del acceso:
Con el debido cuidado de los aspectos de confidencialidad, los incidentes de seguridad de la información se pueden usar en la formación sobre toma de conciencia de los usuarios (véase el numeral 8.2.2) como ejemplos de lo que podría pasar, cómo responder a tales incidentes y cómo evitarlos en el futuro. Para poder tratar adecuadamente los eventos e incidentes de seguridad de la información podría ser necesario recolectar evidencia tan pronto sea posible después del suceso (véase el numeral 13.2.3).
El mal funcionamiento u otro comportamiento anómalo del sistema puede ser un indicador de un ataque de seguridad o una violación real de la seguridad y por lo tanto siempre se debería reportar como evento de seguridad de la información.
Información adicional sobre el reporte de eventos de seguridad de la información y gestión de los incidentes de seguridad de la información se puede encontrar en la norma ISO/IEC TR 18044.
13.1.2 Reporte sobre las debilidades en la seguridad
Control
Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de lossistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios.
Guía de implementación
Todos los empleados, contratistas y usuarios de terceras partes deberían informar sobre estos asuntos a su director o directamente a su proveedor de servicio, tan pronto sea posible para evitar los incidentes de seguridad de la información. Los mecanismos de reporte deberían ser fáciles, accesibles y disponibles. Se les debería informar a ellos que, en ninguna circunstancia, deberían intentar probar una debilidad sospechada.
Información adicional
A todos los empleados, contratistas y usuarios de terceras partes se les debería aconsejar no intentar probar debilidades sospechadas en la seguridad. El ensayo de las debilidades se podría interpretar como un posible uso inadecuado del sistema y también podría causar daño al sistema o servicio de información que origine una responsabilidad legal por la realización individual del ensayo.
13.2 GESTIÓN DE LOS INCIDENTES Y LAS MEJORAS EN LA SEGURIDAD DE LA
INFORMACIÓN
Objetivo: asegurar que se aplica un enfoque consistente y eficaz para la gestión de losincidentes de seguridad de la información.
Es conveniente establecer las responsabilidades y los procedimientos para manejar los eventos y debilidades de la seguridad de la información de manera eficaz una vez se han reportado. Se debería aplicar un proceso de mejora continua a la respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes de seguridad de la información.
Cuando se requiere evidencia, ésta se debería recolectar para garantizar el cumplimiento de los requisitos legales.
13.2.1 Responsabilidades y procedimientos
Control
Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.Guía de implementación
Además del reporte de los eventos y las debilidades de la seguridad de la información (véase el
numeral 13.1), el monitoreo de los sistemas, las alertas y las vulnerabilidades (10.10.2) se
debería emplear para detectar los incidentes de la seguridad de la información. Se recomienda
tener en cuenta las siguientes directrices para los procedimientos de gestión de los incidentes
de seguridad de la información:
a) es conveniente instaurar procedimientos para manejar los diferentes tipos de incidentes
de seguridad de la información, incluyendo:
1) fallas en el sistema de información y pérdida del servicio;
2) códigos maliciosos (véase el numeral 10.4.1);
3) negación del servicio;
4) errores producidos por datos del negocio incompletos o inexactos;
5) violaciones de la confidencialidad y la integridad;
6) uso inadecuado de los sistemas de información;
b) además de los planes normales de contingencia (véase el numeral 14.1.3), los
procedimientos también deberían comprender (véase el numeral 13.2.2):
1) el análisis y la identificación de la causa del incidente;
2) la contención;
3) la planificación e implementación de la acción correctiva para evitar la
recurrencia, si es necesario;
4) la comunicación con aquellos afectados o implicados con la recuperación
después del incidente;
5) el reporte de la acción a la autoridad apropiada;
c) se deberían recolectar y asegurar los rastros para auditoría y la evidencia similar (véase
el numeral 13.2.3), según sea apropiado para:
1) el análisis de los problemas internos;
2) el uso de evidencia forense con respecto a la posible violación del contrato o del
requisito reglamentario o en caso de juicios criminales o civiles, por ejemplo,
según la legislación sobre uso inadecuado del computador o sobre protección de
datos;
3) la negociación para la compensación proveniente de los proveedores de
software y servicios;
d) la acción para la recuperación de las violaciones de la seguridad y la corrección de las
fallas del sistema debería estar cuidadosa y formalmente controlada; los procedimientos
deberían garantizar que:
1) únicamente el personal claramente identificado y autorizado tiene acceso a los
sistemas y datos activos (véase el numeral 6.2 para el acceso externo);
2) todas las acciones de emergencia están documentadas en detalle;
3) la acción de emergencia se reporta a la dirección y se revisa de manera
ordenada;
4) la integridad de los sistemas y controles del negocio se confirma con retraso
mínimo.
Los objetivos de la gestión de los incidentes de seguridad de la información se deberían
acordar con la dirección y se debería garantizar que los responsables de esta gestión
comprenden las prioridades de la organización para el manejo de los incidentes de seguridad de la información.
Información adicional
Los incidentes de seguridad de la información podrían trascender las fronteras de la
organización y las nacionales. Para responder a tales incidentes existe la necesidad creciente de coordinar la respuesta y compartir la información sobre estos incidentes con las organizaciones externas, según sea apropiado.
13.2.2 Aprendizaje debido a los incidentes de seguridad de la información
Control
Deberían existir mecanismos que permitan cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información.Guía de implementación
La información que se obtiene de la evaluación de los incidentes de seguridad de la
información se debería utilizar para identificar los incidentes recurrentes o de alto impacto.
Información adicional
La evaluación de los incidentes de seguridad de la información puede indicar la necesidad de mejorar o agregar controles para limitar la frecuencia, el daño y el costo de futuras
recurrencias, o de considerarlos en el proceso de revisión de la política de seguridad (véase el numeral 5.1.2).
13.2.3 Recolección de evidencias
Control
Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales (civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdicción pertinente.Guía de implementación
Se deberían desarrollar y cumplir procedimientos internos cuando se recolecta y se presenta evidencia con propósitos de acción disciplinaria dentro de la organización.
En general, las reglas para la evidencia comprenden los siguientes aspectos:
a) admisibilidad de la evidencia: si la evidencia se puede utilizar o no en la corte;
b) peso de la evidencia: la calidad y cabalidad de la evidencia.
Para lograr la admisibilidad de la evidencia, la organización debería asegurar que sus sistemas
de información cumplen cualquier norma o código de práctica publicado para la producción de evidencia admisible.
El peso de la evidencia suministrada debería cumplir todos los requisitos aplicables. Para lograr el peso de la evidencia, se debería demostrar la calidad y cabalidad de los controles empleados para proteger correcta y consistentemente la evidencia (es decir, evidencia del control del proceso) en todo el periodo en el cual la evidencia por recuperar se almacenó y procesó, mediante un rastro sólido de la evidencia. En general, dicho rastro sólido se puede establecer en las siguientes condiciones:
a) para documentos en papel: el original se guarda con seguridad con un registro de la
persona que encontró el documento, el sitio en donde se encontró, la fecha en la cual
se encontró y el testigo de tal hallazgo; toda investigación debería garantizar que los
originales no han sido alterados;
b) para información en medios de computador: se deberían tomar duplicados o copias
(dependiendo de los requisitos que se apliquen) de todos los medios removibles, la
información en los discos duros o la memoria para garantizar la disponibilidad; es
conveniente conservar el registro de todas las acciones durante el proceso de copiado y
dicho proceso debería tener testigos; el medio y el registro originales (si no es posible,
al menos un duplicado o copia) se deberían conservar intactos y de forma segura.
Todo el trabajo forense se debería llevar a cabo únicamente en copias del material de
evidencia. Se debería proteger la integridad de todo el material de evidencia. El proceso de
copia del material de evidencia debería estar supervisado por personal de confianza y se
debería registrar la información sobre cuándo y cómo se realizó dicho proceso, quién ejecutó las actividades de copiado y qué herramientas o programas se utilizaron.
Información adicional
Cuando un evento de seguridad de la información se detecta inicialmente, es posible que no sea obvio si el evento llevará a una acción judicial. Por lo tanto, existe el peligro de destruir intencional o accidentalmente la evidencia necesaria antes de percatarse de la gravedad del incidente. Es aconsejable la participación inicial de un abogado o de la policía en cualquier acción legal contemplada y asesorarse sobre la evidencia requerida.
La evidencia puede trascender las fronteras de la organización y / o las jurisdiccionales. En
tales casos, se debería garantizar que la organización tiene derecho a recolectar la información requerida como evidencia. Se deberían tener en cuenta los requisitos de las diferentes jurisdicciones para maximizar las oportunidades de admisión en las jurisdicciones correspondientes.
No hay comentarios.:
Publicar un comentario