Incident Response, Security and Forensics"

.

miércoles, 17 de febrero de 2010

Protocolo de respuesta ante incidentes

Hola lectores,

Hoy vamos a tratar los temas relacionados con la respuesta ante incidentes. Tema muy importante dentro de una organización.

En nuestro día a día es mejor prevenir que curar, y la seguridad no es una excepción. Cuando se produce un incidente de seguridad, se debe garantizar que se minimice su repercusión. Para minimizar la cantidad y repercusión de los incidentes de seguridad, debe seguir estas pautas:

  • Establecer claramente y poner en práctica todas las directivas y procedimientos. Las directivas y los procedimientos se deben probar exhaustivamente para garantizar que son prácticos y claros, y que ofrecen el nivel de seguridad apropiado.
  • Evaluar de forma regular las vulnerabilidades del entorno. Las evaluaciones deben ser realizadas por un experto en seguridad con la autoridad necesaria (con derechos de administrador de los sistemas) para llevar a cabo estas acciones.
  • Establecer programas de formación sobre la seguridad tanto para el personal de TI como para los usuarios finales.
  • Se deben enviar mensajes. Carteles de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con la advertencia de que se pueden emprender acciones legales en caso de infracción.
  • Comprobar con regularidad todos los registros y mecanismos de registro. Cortafuegos, IDS's, etc.
  • Comprobar los procedimientos de restauración y copia de seguridad.

Particularmente he realizado un procedimiento de comunicación que nos puede ser útil para estos casos, va por ustedes:

PROTOCOLO DE COMUNICACION

Cuando un problema o incidencia en las instalaciones, medios técnicos o recursos humanos tenga como consecuencia previsible no poder prestar alguno o todos los servicios encomendados se entrará en situación de EMERGENCIA.

Niveles de emergencia


Para establecer los protocolos de actuación se definen los siguientes Niveles de emergencia:

Nivel Descripción Ejemplos
 0 (Prealerta)
Detectada la incidencia pero se prevé su resolución en un periodo inferior a 15 minutos o no afecta de manera importante a los servicios prestados
1 (Básica)
Fallo en las instalaciones o sistemas informáticos que dificultan de manera importante o impiden la prestación de algunos servicios  Pérdida de la conexión a internet, Fallo de algún aplicativo,...
 2 (General)
Fallos en las instalaciones o sistemas informáticos que impiden la prestación de la mayoría de los servicios Caídas de centralita, caídas de corriente eléctrica, pérdida de las comunicaciones , intrusiones
 3 (Crítico)
 Situaciones que exigen al abandono del puesto de trabajo por razones de seguridad  Incendio, emergencias generales del edificio, ...


La valoración del nivel de emergencia en el que se encuentra el departamento de TI y, por tanto, el protocolo de actuación a aplicar será determinado por el Responsable de TI o del Call Center cuando estén presentes en el centro de trabajo ó por el operador que detecte la incidencia, si no se encuentra en el Centro ninguno de los responsables (en adelante, a esta persona la denominaremos COORDINADOR DE LA EMERGENCIA).

Protocolos de actuación

Las acciones a realizar en un supuesto de emergencia son las siguientes:

  1. Identificación del problema y gestión de su resolución
  2. Comunicación a la Dirección de la empresa
  3. Comunicación a Usuarios
  4. Registro y documentación de la incidencia

Identificación del problema y gestión de su resolución (Niveles 0,1,2,3)

Para analizar el nivel de emergencia en el que se encuentra el departamento de TI y la celeridad con la que se deben iniciar las diferentes acciones de este protocolo de actuación, el COORDINADOR DE LA EMERGENCIA deberá evaluar los siguientes aspectos del problema:

  1. Instalaciones y medios técnicos afectadosServicios comprometidos
  2. Duración previsible de resolución

En el caso de que estemos en situación Crítica (Nivel 3), deberá proceder a notificar la incidencia al 112 y seguir las instrucciones, en la medida de lo posible, procederá al apagado ordenado de los equipos de trabajo, siempre y cuando esto no comprometa la seguridad de los trabajadores.
En el resto de los niveles de emergencia, se procederá a informar del problema al personal encargado para su resolución:

  1. Problemas con las instalaciones (electricidad, climatización, ...)
  2. Medios técnicos (centralita, comunicaciones, ordenadores,...)
  3. Personal (accidentes, enfermedad)

El COORDINADOR DE LA EMERGENCIA se encargará de comprobar que los incidencia es resuelta y los servicios se vuelven a prestar con normalidad.

Comunicación a la Dirección

La cadena de mando es la siguiente:

  1. Responsable del servicio de emergencias
  2. Director de Recursos Humanos
  3. Director General

Dependiendo del nivel de emergencia, el COORDINADOR DE LA EMERGENCIA deberá actuar de la siguiente forma:

Nivel Acción
1 (Básica) Localizar mediante llamada al teléfono móvil al Responsable de TI o mandos superiores o a uno de los Directores superiores siguiendo el orden de la cadena de mando
2 (General)
3 (Crítico)
Localizar mediante llamada al teléfono móvil al Responsable de TI o a uno de los Directores siguiendo el orden de la cadena de mando.
La persona contactada deberá informar al resto de la cadena de mando

0 comentarios: