Hoy me encontraba en unas presentaciones sobre un software de gestión y control de proyectos (no era MS Project  :P – por que apuesto que fue lo primero que pensaron) y posteriormente fui a la presentación semiprivada de unas suites de seguridad (una de ellas no ha sido lanzada al mercado por que está en pleno desarrollo desde hace un año y medio) en una prestigiosa multinacional de software; pues bien, luego de llegar de almorzar con una pizza personal de anchoas que estaba deliciosa ;) pasé a revisar mi twitter y mi correo (Algo que es “mi pan diario”.  Me imagino que para otros geeks también), y me encontré con un link en mi twitter, un link que me remitía a un artículo sobre ” Protocolo de respuesta ante incidentes “.

Leí el artículo y me encantó la forma tan sencilla y clara con la cual el autor abordó el tema. Es por lo anterior que quiero  compartir este artículo copiandolo al pie de la letra no sin antes darle el justo reconocimiento  a  ConexiónInversa por tan buen trabajo. El artículo lo recomiendo como guía de inicio para aquellas empresas (tipo PYME) que quieren implementar equipos de seguridad, que quieren implementar un CSIRT privado, etc. Sin embargo, considero que se hace necesario en él, complementarlo exponiendo:

  • La diferencia entre “incidente” de seguridad y “emergencia” informática.
  • Y adicionalmente, aclarar que el “incidente” de seguridad o la “emergencia” informática se puede presentar en cualquier punto de una organización y no exclusivamente en el Departamento de TI.

Los dejo con el artículo de nuestros amigos de ConexiónInversa:

Protocolo de respuesta ante incidentes

Hola lectores,

Hoy vamos a tratar los temas relacionados con la respuesta ante incidentes. Tema muy importante dentro de una organización.

En nuestro día a día es mejor prevenir que curar, y la seguridad no es una excepción. Cuando se produce un incidente de seguridad, se debe garantizar que se minimice su repercusión. Para minimizar la cantidad y repercusión de los incidentes de seguridad, debe seguir estas pautas:

  • Establecer claramente y poner en práctica todas las directivas y procedimientos. Las directivas y los procedimientos se deben probar exhaustivamente para garantizar que son prácticos y claros, y que ofrecen el nivel de seguridad apropiado.
  • Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un experto en seguridad con la autoridad necesaria (con derechos de administrador de los sistemas) para llevar a cabo estas acciones.
  • Establecer programas de formación sobre la seguridad tanto para el personal de TI como para los usuarios finales.
  • Se deben enviar mensajes. Carteles de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con la advertencia de que se pueden emprender acciones legales en caso de infracción.
  • Comprobar con regularidad todos los registros y mecanismos de registro. Cortafuegos, IDS’s, etc.
  • Comprobar los procedimientos de restauración y copia de seguridad.

Particularmente he realizado un procedimiento de comunicación que nos puede ser útil para estos casos, va por ustedes:

PROTOCOLO DE COMUNICACION

Cuando un problema o incidencia en las instalaciones, medios técnicos o recursos humanos tenga como consecuencia previsible no poder prestar alguno o todos los servicios encomendados se entrará en situación de EMERGENCIA.

Niveles de emergencia

Para establecer los protocolos de actuación se definen los siguientes Niveles de emergencia:

Nivel Descripción Ejemplos
0 (Prealerta)
Detectada la incidencia pero se prevé su resolución en un periodo inferior a 15 minutos o no afecta de manera importante a los servicios prestados
1 (Básica)
Fallo en las instalaciones o sistemas informáticos que dificultan de manera importante o impiden la prestación de algunos servicios Pérdida de la conexión a internet, Fallo de algún aplicativo,…
2 (General)
Fallos en las instalaciones o sistemas informáticos que impiden la prestación de la mayoría de los servicios Caídas de centralita, caídas de corriente eléctrica, pérdida de las comunicaciones , intrusiones
3 (Crítico)
Situaciones que exigen al abandono del puesto de trabajo por razones de seguridad Incendio, emergencias generales del edificio, …
La valoración del nivel de emergencia en el que se encuentra el departamento de TI y, por tanto, el protocolo de actuación a aplicar será determinado por el Responsable de TI o del Call Center cuando estén presentes en el centro de trabajo ó por el operador que detecte la incidencia, si no se encuentra en el Centro ninguno de los responsables (en adelante, a esta persona la denominaremos COORDINADOR DE LA EMERGENCIA).

Protocolos de actuación

Las acciones a realizar en un supuesto de emergencia son las siguientes:

  1. Identificación del problema y gestión de su resolución
  2. Comunicación a la Dirección de la empresa
  3. Comunicación a Usuarios
  4. Registro y documentación de la incidencia

Identificación del problema y gestión de su resolución (Niveles 0,1,2,3)

Para analizar el nivel de emergencia en el que se encuentra el departamento de TI y la celeridad con la que se deben iniciar las diferentes acciones de este protocolo de actuación, el COORDINADOR DE LA EMERGENCIA deberá evaluar los siguientes aspectos del problema:

  1. Instalaciones y medios técnicos afectadosServicios comprometidos
  2. Duración previsible de resolución

En el caso de que estemos en situación Crítica (Nivel 3), deberá proceder a notificar la incidencia al 112 y seguir las instrucciones, en la medida de lo posible, procederá al apagado ordenado de los equipos de trabajo, siempre y cuando esto no comprometa la seguridad de los trabajadores.
En el resto de los niveles de emergencia, se procederá a informar del problema al personal encargado para su resolución:

  1. Problemas con las instalaciones (electricidad, climatización, …)
  2. Medios técnicos (centralita, comunicaciones, ordenadores,…)
  3. Personal (accidentes, enfermedad)

El COORDINADOR DE LA EMERGENCIA se encargará de comprobar que los incidencia es resuelta y los servicios se vuelven a prestar con normalidad.

Comunicación a la Dirección

La cadena de mando es la siguiente:

  1. Responsable del servicio de emergencias
  2. Director de Recursos Humanos
  3. Director General

Dependiendo del nivel de emergencia, el COORDINADOR DE LA EMERGENCIA deberá actuar de la siguiente forma:

Nivel Acción
1 (Básica) Localizar mediante llamada al teléfono móvil al Responsable de TI o mandos superiores o a uno de los Directores superiores siguiendo el orden de la cadena de mando
2 (General)

3 (Crítico)

Localizar mediante llamada al teléfono móvil al Responsable de TI o a uno de los Directores siguiendo el orden de la cadena de mando.

La persona contactada deberá informar al resto de la cadena de mando

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *