13. ADMINISTRACION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION 13.1 Informar de la debilidad y eventos de la seguridad de la información Control: Informar de eventos por un canal de dirección Eventos e incidentes abcdef-
errores humanos incumplimiento con políticas o lineamientos violaciones de medio de seguridad física descontrol en los cambios del sistema o sobre carga mal funcionamiento del hardware o software violación de acceso
GUIA DE IMPLEMENTACION Todo el personal debe conocer el punto de contacto y reportar estos eventos. -Cuando se envía un reporte los eventos a informar deben incluir: Anotar inmediatamente todos los detalles importantes del evento (ejemplo: mensajes en la pantalla, el mal funcionamiento del sistema etc.). - no resolver el problema sino que se debe reportar inmediatamente - cualquier anomalía en el sistema puede indicar un ataque a la seguridad 13.1.2 Informar de la debilidad de la información Control: todos los empleados de cualquier tipo de cargo contratistas u usuarios,, deben reportar cualquier anomalía o sospecha de de debilidad de la información en servicios o sistemas GUIA DE IMPLEMENTACION Todos los empleados deben reportar los asuntos al proveedor de servicios, es decir si hay una anomalía, dar el reporte al encargado del servicio lo mas pronto posible. El personal no debe demostrar sospecha de debilidad de la seguridad. 13.2.1 Administración y mejoras de incidentes de seguridad de la información Debe de haber una administración efectiva en el momento que haga el reporte del evento, la buena organización y el orden permiten un a respuesta rápida. 13.2.1 Responsabilidad y procedimientos Para tener usan una respuesta rápida efectiva sobre los eventos, hay que tener un control sobre las responsabilidades y procedimiento de cada reporte.
GUIA DE IMPEMENTACION Además para reportar eventos y debilidades, la supervisión de sistemas alertas y vulnerabilidades deben ser usados para detectar incidentes, como: a) 1) Fallos del sistema de información y pérdidas del servicio. 2) Código malicioso. 3) Negación del servicio. b) Además para planes de contingencia normales, los procedimientos debe cubrir. 1) Análisis e identificación de la causa de incidente. 2) El contenido c) Pistas de auditoria y evidencias similares deben ser recolectadas y guardarlas para: 1) Análisis de problemas internos. 2) Negación para compensaciones de software y proveedores del servicio. d) Acción para recuperarse de violaciones de seguridad y corregir fallos y formalmente controlados: Los procedimientos deben asegurar que: 1) Solo el principalmente identificado y autorizado esta permitido acceder a los sistemas y datos. 2) Todas las acciones de emergencia son documentados en detalles. 3) Una acción de emergencia es reportada al administrador y revisada en una manera ordenada. 12.2.2 Aprende de los incidentes de seguridad de la información Debe de haber mecanismos para obtener un control sobre las perdidas que causo las anomalías GUIA DE IMPLEMENTACION La información favorecedora de la evaluación de incidentes, debe ser usada para identificar la repetición o incidentes de alto impacto. Al realizar la evaluación de incidentes no puede indicar que se necesitan mejoras para la seguridad, para poder contrarrestar incidentes futuros. 13.2.3 Colección de la evidencia Cuando hay un incidente de seguridad que implica el proceso (civil o criminal), la evidencia debe ser recogida, conservada y presentada conforme a las reglas para la evidencia puesta en la jurisdicción relevante. GUIA DE IMPEMENTACION -Normas o Reglas para que las pruebas tengan validez.
a) Validez de evidencia: Si realmente la evidencia puede ser usada en el tribunal. b) Peso de la evidencia: La calidad de la evidencia. -En toda parte del periodo de la evidencia recuperada, almacenada y procesada debe ser demostrada por una pista de evidencia fuerte, en general tal pista puede ser establecida dentro de las condiciones siguientes: a) Para documentos de papel: El original es guardado con un registro de la persona que lo encontró, donde lo encontró y que día. b) Para información de medios de comunicación de ordenador: Imágenes o copias (dependiendo de las necesidades), información sobre discos duros o en la memoria debe ser tomadas para asegurar disponibilidad. CONCLUSIONES
-La seguridad de la información de la empresa debe de estar muy protegida y llevar una administración adecuada que permita que todo el personal que trabaje en la empresa pueda estar enterado de donde, como y que se debe hacer en caso de ocurrir un evento o que se den cuenta de que la seguridad de la información presenta alguna debilidad. Esta con el fin de que se puedan proporcionar una respuesta rápida y eficaz tan pronto se pase el reporte de alguna anomalía en el sistema. -El personal debe tener conocimiento del punto y las debidas acciones para hacer estos reportes, los mecanismos de información deben ser fácil, accesible y disponible. -En la empresa se debe recoger todo tipo de información sobre estas anomalías para así ir mejorando la seguridad de la información para ataques futuros.