Incidencias de Seguridad de la Información
1 Objeto
Este procedimiento tiene por objeto definir la sistemática para el tratamiento, gestión y resolución de las incidencias de Seguridad.
2 Alcance
Este procedimiento es de aplicación a todas las incidencias que afecten a los activos de información del tipo: base de datos, documento, equipo, expediente, formulario, infraestructura física, persona, sistema de información, software, en cuanto a:
Confidencialidad: acceso no autorizado a la información.
Integridad: modificación no autorizada, destrucción o perdida de información.
Disponibilidad: inaccesibilidad a la información.
3 Definiciones
- Seguridad de la información
- La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
- Incidencia de Seguridad
- se entiende por incidencia de seguridad:
Acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos.
Violación a las Políticas de Seguridad de la Organización.
Pérdida, robo o sustracción de información o de algún equipo que comprometa la seguridad y pueda debilitar y afectar a la normal capacidad del negocio de la Organización para alcanzar sus objetivos.
Amenaza: evento que puede ser un incidente de seguridad, produciendo pérdidas o daños potenciales en los activos de la Organización.
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
||||||
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
||||||
|
Evaluar los eventos de seguridad de la información
|
||||||
|
Gestionar los incidentes de seguridad de la información
|
||||||
|
Responder a los incidentes de seguridad de la información
|
||||||
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
||||||
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
||||||
5 Desarrollo
5.1 Reporte
Todo el personal de la Organización, tanto internos como externos, que sean usuarios de los sistemas y servicios de información de la Organización tienen la obligación de notificar al Departamento de Sistemas, o a su inmediato superior, cualquier incidencia, anomalía o debilidad asociada a la seguridad de dichos sistemas y/o servicios.
Dicha comunicación se deberá realizar en el momento en que se produzca la incidencia o desde el momento en que se tenga conocimiento de la misma.
La notificación de la incidencia de seguridad se hará a través del medio preferido por el usuario, sea de forma presencial, telefónicamente, o por cualquier otro medio, pero siempre asegurándose de que le ha sido comunicada al Departamento de Sistemas.
En el caso de incidencias de seguridad motivada por un robo o sustracción, el afectado deberá de presentar la correspondiente denuncia ante la Policía.
Según el impacto de la incidencia de seguridad, el Departamento de Sistemas podrá contactar con la persona que ha reportado la incidencia, en un plazo no superior a 24h, con el objeto de recopilar toda la información necesaria para el análisis del evento.
5.2 Evaluación
Para realizar la evaluación de un incidente de seguridad se debe tener en cuenta los niveles de impacto con base en los insumos entregados por el análisis de riesgos y la clasificación de activos de información de la entidad.
La severidad del incidente puede ser:
- Impacto ALTO
- El incidente de seguridad afecta a activos de información considerados de impacto catastrófico y mayor que influyen directamente a los objetivos de negocio de la empresa. Se incluyen en esta categoría aquellos incidentes que afecten la reputación y el buen nombre o involucren aspectos legales. Estos incidentes deben tener respuesta inmediata.
- Impacto MEDIO
- El incidente de seguridad afecta a activos de información considerados de impacto moderado que influyen directamente a los objetivos de un proceso determinado.
- Impacto BAJO
- El incidente de seguridad afecta a activos de información considerados de impacto menor e insignificante, que no influyen en ningún objetivo. Estos incidentes deben ser monitoreados con el fin de evitar un cambio en el impacto.
Una vez recopilada toda la información, el Departamento de Sistemas analizará los antecedentes.
El resultado de dicho análisis puede tener las siguientes opciones:
El evento no corresponde con una amenaza: se cierra la incidencia, informando a la persona que la reportó.
El evento corresponde a una debilidad: se gestionan las acciones preventivas de mitigación de la debilidad (con los dueños de los activos / recursos comprometidos y, si se considera necesario, con el responsable del área), dejando registro de las acciones tomadas de la incidencia.
El evento ocurrió y debe ser gestionado como un incidente: se activa el proceso de gestión de incidencias de seguridad (5.3).
En el caso que dicho incidente de seguridad afecte directamente a un socio de la Organización, además de actuar según lo descrito anteriormente, el Departamento de Sistemas, o persona que se estime oportuna en cada caso, se pondrá en contacto con el socio afectado para trasladarle toda la información sobre la incidencia (descripción, consecuencias del evento, plan de acciones correctivas, etc.).
5.3 Gestión
La gestión de las incidencias de seguridad en la Organización es responsabilidad del Departamento de Sistemas.
En el caso de las incidencias de seguridad motivadas por un robo o sustracción, se deberá adjuntar copia de la correspondiente denuncia.
Si derivada de esa incidencia de seguridad se han visto afectados datos de carácter personal que suponga un riesgo para los derechos y libertades de los Interesados, ésta se comunicará inmediatamente al Responsable de Seguridad de la Organización.
5.4 Resolución
El encargado de la solución de la incidencia, o el Responsable de Sistemas en su caso, determinará la Causa Raíz del incidente de seguridad, velando por que el incidente de seguridad notificado no esté encubriendo un incidente de seguridad de mayor gravedad que pueda afectar a un mayor número de activos o procesos.
El Responsable de la solución examinará si ya existe una respuesta predeterminada para ese tipo de incidentes de seguridad. En caso de existir, actuará de acuerdo a lo previamente determinado.
Si no existe, estudiará la mejor forma de solucionarla. En caso de que estime que no tiene los conocimientos suficientes, podrá solicitar ayuda a la persona que estime necesaria, o incluso a personal ajeno a la misma especializado en la resolución de ese tipo de incidentes de seguridad.
En caso de que para la resolución del incidente de seguridad sea necesario recuperar datos de carácter personal, antes de restaurar se deberá obtener la autorización del Responsable de seguridad.
Durante la resolución de la misma, se intentará analizar e identificar el origen del incidente de seguridad.
En caso de que el sistema de información del fichero lo permita, se intentarán recoger pistas de auditoría y otras evidencias similares, consultando, entre otros, el registro de accesos al fichero en caso de estar disponible, junto a las últimas operaciones realizadas por los usuarios.
Se vigilará si se ha incurrido en irresponsabilidades por parte de alguno de los usuarios del sistema.
Se vigilará especialmente si se ha vulnerado alguna de las obligaciones impuestas por la legislación vigente en materia de protección de datos.
Una vez finalizada, el Responsable de la solución se asegurará de la correcta resolución del incidente de seguridad.
5.5 Lecciones Aprendidas
La Organización lleva un registro de Incidencias de Seguridad, que se encontrará en todo momento actualizado para posteriores análisis y estudios de seguimiento de este tipo de incidencias.
El Departamento de Sistemas tendrá especial cuidado en documentar todas las acciones de emergencia realizadas para la resolución de los incidentes de seguridad, con vistas a orientarnos sabiendo cómo actuar correctamente desde un principio en futuras apariciones de ese mismo incidente de seguridad.
Se evaluará si es necesaria la adopción de nuevas medidas para evitar la repetición del incidente de seguridad.
Se mantendrán reuniones periódicas de análisis de incidencias y seguimiento de los trabajos efectuados en la resolución de las mismas.
6 Anexos
Anexo I - Ejemplos de Incidencias de Seguridad de la Información
Con el objeto de que los usuarios puedan identificar y catalogar las incidencias que afectan a la seguridad, se detallan a continuación algunos ejemplos:
Incidencias que afectan a la confidencialidad
Acceso o lectura no autorizada de información contenida en ficheros o sistemas de información, tanto automatizados como no automatizados (soporte papel).
Copia no autorizada de la información.
Error en la distribución: entrega de informes, soportes, correspondencia, etc. a personas distintas de sus destinatarios. Existencia de documentos en impresoras, fotocopiadoras, escáneres, faxes, etc. que contienen datos personales y no han sido retirados.
Pérdida o sustracción de soportes informatizados, entre ellos dispositivos móviles (portátiles, teléfonos, discos duros externos, smartphones, CDs, DVDs, llaves USB, PDAs, etc.), y de documentos en papel que contienen información de carácter personal.
Almacenamiento de datos personales en dispositivos móviles que no se encuentran cifrados.
Obtención de información desde equipos o soportes destinados a su reutilización.
Descifrado de la información o de las claves de acceso (contraseñas).
Pérdida o sustracción de llave de acceso a archivo, armario, etc.
Accesos no autorizados a despachos, archivos, armarios, etc.
Accesos no autorizados a dependencias en las que residen sistemas de información.
Uso indebido de las cuentas y contraseñas de usuario.
Uso indebido de las llaves de acceso.
Realización de trabajos por parte de empresa prestadora de servicios sin haber formalizado contrato de acceso a datos.
Incidencias que afectan a la integridad
Modificación o alteración de datos no autorizados.
Imposibilidad de reconstruir los datos partiendo de las copias de respaldo.
Alteración de la información durante su tratamiento, ocasionada por fallos en la aplicación.
Infección o sospecha de infección de ficheros por virus.
Uso indebido de las llaves de acceso a armarios.
Deterioro de soportes y documentos, armarios, archivos, etc.
Incidencias que afectan a la disponibilidad
Modificaciones no autorizadas de permisos de acceso de los usuarios a los ficheros.
Borrado accidental de ficheros.
Borrado no autorizado de la información.
Pérdida de datos por mal uso de las aplicaciones o por fallos de éstas.
Recepción masiva de correos electrónicos.
Deterioro de soportes, documentos, armarios, archivadores, etc.
Destrucción parcial o total de la información debida a fallos o averías en equipos y sistemas.
Destrucción parcial o total de la información debida a incendios, inundaciones, tormentas, terremotos, etc.
Imposibilidad o limitación del uso de las instalaciones debido a fenómenos meteorológicos, huelgas, manifestaciones, etc.
Imposibilidad de acceso a los sistemas por averías y fallos en software, hardware y/o comunicaciones.
Ataques a la red corporativa.
Incidencias que afectan a la autenticación
Suplantación o sospecha de suplantación de un usuario autorizado por uno no autorizado: o Por cesión de la clave de acceso, o Por conocimiento de la clave de acceso, o Por violación de los controles de acceso.
Olvido de contraseña.
Bloqueo de cuenta por exceso de intentos fallidos de acceso.
Fallos en las aplicaciones o dispositivos de control de acceso lógico.
Credenciales de acceso no otorgadas a usuario incorporado recientemente a la organización, o a usuario que ha cambiado de puesto de trabajo y necesita permisos de acceso a otros aplicativos.
Usuario que ya no trabaja en la organización, o que ha cambiado de puesto de trabajo, y continúa teniendo credenciales de acceso a los aplicativos.
Autorizaciones de acceso no adecuadas.
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.