👉¿Qué debo hacer si dentro de la empresa no ha ocurrido ningún incidente de seguridad? ¿Cómo se deben abordar los controles asociados al registro de información?
R: Si no has presentado ningún tipo de incidente de seguridad en tu organización, ¡excelente! Lo único que debes hacer es lo siguiente:
Formalizar e implementar dentro de la empresa el Procedimiento de Gestión de Incidentes de Seguridad, para que todos conozcan la importancia de su participación en esta buena práctica.
Definir cuál será el documento, repositorio o herramienta que usarán para registrar y consolidar toda la información requerida para el cumplimiento normativo.
💡Esto también debe quedar establecido en la descripción del paso correspondiente dentro del procedimiento.
¡Nuestro módulo de Incidentes puede ser tu evidencia de cumplimiento! 😎
Si un auditor les consulta, deben explicar claramente que no cuentan con registros de incidentes previos o información de lecciones aprendidas ya que no han ocurrido dentro de su empresa, pero que sí cuentan con un procedimiento y una herramienta predefinida para hacerlo cuando sea necesario.
👉¿Cuál es la diferencia entre un incidente y un evento de seguridad?
R: Un suceso considerado como “evento” es aquel que compromete la seguridad de tu información, pero no necesariamente representa un daño o una situación de crisis. Mientras que un incidente ya representa la materialización de dicho daño o situación de crisis.
Uno de los ejemplos más comunes ocurre con el phishing; el evento de seguridad se presenta al recibir un correo malintencionado. Por ejemplo, puede ser que un atacante se esté haciendo pasar por tu jefe o algún directivo y te solicita realizar una tarea urgente, la cual involucra descargar un archivo o responder de inmediato al mensaje.
El incidente de seguridad se materializa cuando alguno de los colaboradores que recibió el correo realiza las acciones solicitadas. Por ejemplo, dar clic a enlaces adjuntos, descargar un archivo, responder enseguida y brindar información confidencial dada la urgencia que emite el atacante, etcétera.
💡 Es muy recomendable que tanto los eventos como los incidentes de seguridad se registren y se consideren dentro del procedimiento de gestión. Con ello podrás generar una base de conocimiento muy completa y que incluso te puede ayudar a capacitar y concientizar a todo tu personal. Se sugiere que los eventos de seguridad se comuniquen de manera interna para notificar y alertar a todo el equipo.
👉¿Cuándo se debe comunicar un incidente de seguridad?
R: Como bien te mencionamos en la respuesta de la pregunta anterior, se recomienda que los eventos de seguridad se comuniquen de manera interna para notificar y alertar a todo el equipo.
Ahora bien, saber cuándo, cómo y a quién comunicar la ocurrencia de un incidente de seguridad dependerá de su criticidad y la gravedad de su afectación, y según lo que hayas establecido en tu procedimiento de gestión de incidentes.
Debes planificar la comunicación de un incidente que haya afectado directamente la confidencialidad, integridad y/o la disponibilidad de la información, es decir si se presenta alguno de los siguientes escenarios:
Robo, fuga o accesos no autorizados a información sensible de cualquier tipo, incluidos datos personales.
Eliminación de información.
Ataques de denegación de servicios (DDos), caída de servicios, etcétera.
Esta comunicación debe ir dirigida a los dueños de la información y/o los usuarios afectados. Si lo consideras pertinente o incluso es parte de los requisitos contractuales que debes cumplir, deberás comunicar también a partes interesadas como inversionistas, clientes, socios, etcétera.
Si la gravedad del incidente es muy alta, es probable que incluso debas notificar a las autoridades pertinentes para solicitar apoyo. Estas autoridades son las que defines en tu Política de Seguridad de la Información.