Proceso de detección y notificación de incidentes

Paso 1: Establecimiento de mecanismos de detección: El primer paso en el proceso de detección y notificación de incidentes consiste en establecer los mecanismos necesarios para supervisar e identificar posibles incidentes de seguridad. Esto incluye el despliegue de sistemas de detección de intrusos (IDS), sistemas de gestión de eventos e información de seguridad (SIEM) y otras herramientas de supervisión que puedan rastrear y analizar el tráfico de red, el comportamiento de los usuarios y las actividades del sistema en busca de indicios de actividad maliciosa.

Paso 2: Triaje y análisis de señales: Una vez detectado un posible incidente, debe evaluarse y analizarse para determinar su naturaleza y gravedad. Este proceso de triaje implica clasificar las alertas, distinguir los falsos positivos de los incidentes de seguridad genuinos y priorizarlos en función de su impacto potencial.

Paso 3: Clasificación y registro de incidentes: Los incidentes auténticos deben clasificarse según categorías predefinidas (como acceso no autorizado, infección por malware, violación de datos, etc.) y registrarse en un sistema de gestión de incidentes. Esta documentación debe incluir detalles sobre la naturaleza del incidente, los sistemas o datos afectados y las conclusiones iniciales del análisis.

Paso 4: Notificación y escalado: Las partes interesadas pertinentes, incluida la dirección, el personal de TI y, si es necesario, los socios externos (como las fuerzas de seguridad o los organismos reguladores), deben ser notificados sobre el incidente de acuerdo con el plan de comunicación de la organización. La notificación debe incluir una evaluación inicial del incidente y recomendar acciones inmediatas.

Paso 5: Contención, erradicación y recuperación: Aunque no es el último paso en el proceso general de respuesta a incidentes, en el contexto de la detección y notificación, es esencial iniciar acciones inmediatas para contener y limitar el impacto del incidente. Esto puede incluir el aislamiento de los sistemas afectados, la desactivación de las cuentas comprometidas o la aplicación de soluciones temporales.

Paso 6: Informes y análisis posteriores al incidente: Una vez gestionado el incidente, debe elaborarse un informe detallado en el que se destaquen la cronología de los acontecimientos, las medidas de respuesta adoptadas y las lecciones aprendidas. Este análisis posterior al incidente es crucial para mejorar las futuras medidas de seguridad y estrategias de respuesta.

Figure-2

Fuente: https://www.forgov.qld.gov.au/information-and-communication-technology/qgea-policies-standards-and-guidelines/incident-management-guideline