Debe habilitar JavaScript para visitar este sitio web.

Términos

A continuación, se muestra una guía de términos y definiciones de ayuda para el reporte de los eventos e incidentes.

Ciberseguridad
Seguridad de la Información-Ciberseguridad

Continuidad
Gestión de Servicios de TI 

Eventos e Incidentes
 

La norma ISO 27001 ha definidos los eventos e incidentes de seguridad de la información de la siguiente manera:

Evento: un evento de seguridad de la información es la ocurrencia identificada de un estado en un sistema, servicio o red que indica una posible brecha o incumplimiento de las políticas de seguridad de la información, fallas en los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.

Incidente: un incidente de seguridad de la información es indicado por uno o varios eventos de seguridad de la información no deseados o inesperados que tienen una significativa probabilidad de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Eventos e Incidentes
 

La Biblioteca de Infraestructura de Tecnologías de Información (ITIL) define los eventos e incidentes de la siguiente manera:

Evento: un evento es un cambio de estado que tiene significación para el manejo o gestión de un elemento de configuración (activo de TI) o de un servicio de las tecnologías de información.

Incidente: un incidente es definido como una interrupción o reducción no planeada de la calidad de los servicios de las tecnologías de información (TI).

Impacto del Evento o Incidente

  • Principios de la seguridad de la información:

    • Confidencialidad: la información deberá estar protegida del acceso y uso no autorizado.
    • Integridad: la información deberá ser completa, exacta, fiable y veraz.
    • Disponibilidad: acceso oportuno y en forma organizada de la información.

    Se debe considerar también un cuarto principio:

    • Cumplimiento normativo: que la información cumpla con las políticas internas, estipulaciones contractuales y las leyes y regulaciones aplicables.

    Los niveles de impacto de un evento o incidente pueden variar de según la valoración que la entidad le asigne de acuerdo con el tamaño y complejidad de sus operaciones y al principio de seguridad de la información afectado.

    Mientras un evento puede no afectar el negocio, los activos de TI o comprometer la información; por lo que su impacto puede categorizarse como Ninguno, se debe tener en cuenta que el evento puede incrementar los niveles de riesgo y tener implicaciones relevantes para la seguridad. Al contrario de los eventos, los incidentes sí suelen tener un impacto negativo que afecta al negocio, los activos de TI, o compromete la información como por ejemplo la pérdida de datos. A cada uno de los principios de la seguridad de la información se le puede asignar un nivel de impacto causado por el incidente ocurrido, por ejemplo:

    • Alto: la afectación causa un daño severo o catastrófico a las operaciones de la entidad, a sus empleados, a sus activos, a sus clientes, o a su reputación.
    • Medio: la afectación causa un daño considerable a las operaciones de la entidad, a sus empleados, a sus activos, a sus clientes, o a su reputación.
    • Bajo: La afectación causa un daño limitado a las operaciones de la entidad, a sus empleados, a sus activos, a sus clientes, o a su reputación.

Impacto del Evento o Incidente

  • Los niveles de impacto de un evento o incidente pueden variar según la valoración que la entidad le asigne de acuerdo al tamaño y complejidad de sus operaciones.

  • Mientras un evento puede no afectar la calidad de los servicios de manera que su impacto se puede categorizar como Ninguno, los incidentes suelen conllevar una interrupción o reducción no planeada de la calidad de los servicios. A continuación se muestra una guía o ejemplos de la categorización del impacto del incidente:

    Alto:

    • El incidente impide a todos o a una gran cantidad del personal operativo realizar sus tareas.
    • El incidente afecta a una gran cantidad de clientes de la entidad.
    • El incidente puede tener un impacto financiero alto para la entidad.
    • El incidente tiene un impacto alto en la reputación de la entidad.
    • El incidente pudo haber causado que personas resultaran heridas.

    Medio:

    • El incidente impide una cantidad moderada del personal operativo realizar sus tareas.
    • El incidente afecta a una cantidad moderada de clientes de la entidad.
    • El incidente puede tener un impacto financiero moderado para la entidad.
    • El incidente tiene un impacto moderado en la reputación de la entidad.

    Bajo:

    • El incidente impide a una mínima cantidad del personal operativo realizar sus tareas.
    • El incidente afecta a una mínima cantidad de clientes de la entidad.
    • El incidente puede tener un impacto financiero mínimo para la entidad.
    • El incidente tiene un impacto mínimo en la reputación de la entidad.

Estado actual del evento o incidente

  • Notificado: Una persona de la entidad detecta un evento o incidente y lo comunica al personal encargado a través de los procedimientos establecidos
  • Clasificado: El personal encargado de los eventos e incidentes recibe la notificación y lo clasifica de acuerdo con los procedimientos establecidos.
  • En tratamiento: Se conoce el impacto del evento o incidente. Se establece el tiempo para su resolución y las medidas a tomar para ello.
  • Solucionado: El evento o incidente es resuelto y se documenta toda la información generada durante su resolución. Se notifica de su cierre a la persona en la entidad que lo notificó.
  • Base de Conocimiento: La información generada durante la resolución se registra para futuras referencias que sirven de ayuda en la resolución de otros eventos o incidentes.

Estado actual del evento o incidente

  • Identificado: Una persona de la entidad detecta un evento o incidente y lo comunica al personal encargado a través de los procedimientos establecidos.
  • Registrado: El personal encargado recibe la notificación, determina si se debe identificar como un evento o incidente y lo registra (puede ser a través de un sistema de ticket) con la información necesaria.
  • Clasificado: El personal encargado de los eventos e incidentes clasifica y prioriza el evento o incidente de acuerdo con los procedimientos establecidos.
  • En Resolución: Cuando el evento o incidente es clasificado se inicia el proceso de su resolución. Luego de su resolución los Acuerdos de Niveles de Servicios (SLA) son restablecidos o recuperados.
  • Cerrado: Cuando el evento o incidente es resuelto y no se requieren más acciones puede considerarse cerrado.
  • Revisado (post cierre): La información generada durante la resolución y su cierre se registra para futuras referencias que sirven de ayuda en la resolución de otros eventos o incidentes.