Importancia de la gestión de incidentes para la seguridad de la información

La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadamente.

A pesar que la norma ISO 27001, hace mención de este tema como uno de los dominios fundamentales, se le presta más importancia a temas de índole tecnológico dejando de lado los temas de gestión. En la búsqueda del mejor estándar para gestionar la seguridad de la información en una compañía, es vital tener presente que la revisión y la mejora continua del sistema son muy importantes para garantizar la disponibilidad, integridad y confidencialidad de la información.

Cuando se habla de la gestión de incidentes, la norma hace referencia  a recomendaciones relacionadas con la notificación de eventos y puntos débiles de seguridad de la información y los procedimientos y responsabilidades que se deberían asignar para la gestión de incidentes y mejoras de seguridad de la información.

El objetivo que se persigue con la comunicación de los eventos que se presenten relacionados con la seguridad de la información, es el de garantizar que que las causas, los tratamientos y la solución de dichos eventos sirvan para la implementación de acciones correctivas y preventivas oportunas en casos similares que pudieran presentarse en un futuro. Para lograrlo se deben implementar los canales apropiados que garanticen la agilidad en la comunicación de los eventos de seguridad que pudieran presentarse y permitir que los usuarios reporten las debilidades encontradas o que crean que pueden utilizarse para poner en riesgo la seguridad de la información. Estos sistemas pueden apoyarse en los desarrollos que se tengan alrededor de las mesas de ayuda y las estrategias de gestión de solicitudes para atender inconvenientes de tipo tecnológico en la compañía. Algunas recomendaciones cómo las de la Agencia Europea de Redes y Seguridad Informática (ENISA, por sus siglas en inglés) proporciona orientaciones prácticas para la gestión de incidentes.

Además de tener una herramienta para la gestión de incidentes es necesario establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información. Estos procesos deben contribuir al logro de la mejora continua en la evaluación y monitoreo de los incidentes en la seguridad de información. Quizá uno de los aspectos más complejos en la gestión de incidentes, pero que puede aportar mayor información para el negocio, es cuantificar el impacto los incidentes de seguridad, para lo cual es recomendable tener un modelo que en función del volumen, los costos asociados y el tipo de incidente permita aproximar a valores en dinero las consecuencias de su ocurrencia.

Por último, es vital que toda organización tenga definido claramente los pasos a seguir después que se presente un evento que afecte la seguridad de la información, ya que al momento de entablar una acción legal, sea de carácter civil o penal contra un individuo la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante, esto es lo que es conoce cómo Informática Forense. CAINE (Computer Aided INvestigative Environment) es una distribución de Linux creada cómo proyecto con herramientas para tratar evidencia digital de tipo forense, la cual provee una serie de módulos y herramientas a través de una interfaz gráfica.

Más allá de las herramientas es muy importante tener definidas las acciones y los roles que deben desempeñar todos los empleados de una compañía cuando se presente un incidente, para de esta forma establecer las medidas correctivas necesarias para que no se vuelvan a presentar.