Dentro de su plan de formación, concienciación y sensibilización, el pasado noviembre la Oficina de Seguridad de la Información del Servicio de Salud de las Islas Baleares impartió la sesión «Gestión de incidentes de seguridad» para hacer llegar al personal del organismo el procedimiento a seguir para identificar, notificar y gestionar incidentes de seguridad.
En este número del Boletín se expone un resumen de los aspectos principales tratados en la sesión.
Introducción a la gestión de incidentes
La introducción a la gestión de incidentes en materia de seguridad y protección de datos ha sido la primera sesión de formación para el personal del Servicio de Salud. La gestión de las incidencias relacionadas con la seguridad es un aspecto muy importante en el ámbito de la seguridad de la información. Corresponde al conjunto ordenado de acciones para prevenir incidentes y, en el caso de que ocurran, para restaurar los niveles de operación lo antes posible.
Se entiende por incidencia cualquier anomalía o evento que pone en riesgo la confidencialidad, integridad o disponibilidad de un sistema de información o de la información que procesa, almacena o transmite (CCN.CERT: ccn-stic-817).
El procedimiento de gestión de incidentes se divide en las siete fases que forman el gráfico siguiente:
FASE 0. Preparación para la gestión de incidentes. Tiene lugar antes de que ocurra un incidente de seguridad. Se deben definir los roles y las responsabilidades de los equipos que formarán parte en la gestión de incidentes. Además, es importante elaborar procedimientos, plantillas y formaciones que ayuden a llevar a cabo una correcta gestión de los incidentes de seguridad.
El Servicio de Salud de las Islas Baleares ha desarrollado varios procedimientos, manuales y guías técnicas sobre cómo actuar ante un incidente por un ataque intencionado, cómo reconocer o denegar el servicio, o cómo actuar ante accesos maliciosos a entornos, etc. Asimismo, también se han definido los procedimientos sobre cómo clasificar las incidencias y cómo gestionar las incidencias reportadas por el CCN-CERT, entre otros.
FASE 1. Identificación y recogida de la información inicial. En esta fase se contemplan aquellos mecanismos o herramientas de seguridad que detectan incidentes de seguridad y aportan la información sobre el mismo. No obstante, sin lugar a dudas, el mejor mecanismo con el que debe contar el Servicio de Salud es la comunicación de los incidentes por parte de sus profesionales.
FASE 2. Contención de la incidencia. En esta fase se clasifica y prioriza el incidente de seguridad. Puesto que no todas las incidencias tienen las mismas características ni la misma peligrosidad, es necesario disponer de una correcta clasificación para ayudar a su posterior análisis, contención y adecuada resolución. Asimismo, la priorización del incidente de seguridad tiene el objetivo de identificar los incidentes que pueden causar un mayor daño o impacto.
FASE 3. Notificación de la incidencia. Los incidentes de seguridad deben ser notificados a los servicios y unidades competentes, tal y como se describe en el procedimiento PS02-NS08. Comunicación de incidentes de seguridad. La información requerida para notificar de manera correcta un incidente es la siguiente: datos de contacto, datos de la persona a la que se comunica la incidencia, descripción del incidente, causa del incidente, procedimientos llevados a cabo relacionados, datos de las personas que llevaron a cabo los procedimientos, datos saturados y datos adicionales para la resolución.
FASE 4. Investigación y determinación de la causa. En este punto, se trata de profundizar en la causa del incidente. Se debe hacer un diagnóstico para determinar si hay correlación con otros incidentes reportados. Para facilitar la identificación del problema, cabe recoger la causa de este tanto en el informe de seguimiento como en el registro de incidentes. Cuando se recojan pruebas o evidencias sobre el incidente investigado, también deben ser incluidas en el informe de seguimiento.
FASE 5. Resolución de la incidencia. En esta fase se planifican y ejecutan las acciones correctivas necesarias. Estas deben estar orientadas a resolver el incidente en el menor tiempo posible y a eliminar lo que lo causó.
FASE 6. Cierre de la incidencia. Tras resolver la incidencia, en la fase de cierre, el equipo de operaciones —en el caso del Servicio de Salud— debe documentar todos los pasos seguidos y adjuntar las evidencias recogidas en las herramientas de seguimiento. El equipo de la Oficina de Seguridad debe comprobar que el incidente se resuelve satisfactoriamente y aprobar el cierre.
FASE 7. Informe de seguimiento de la incidencia. Durante la ejecución del procedimiento de gestión de incidentes, se elabora un informe de seguimiento del incidente en el que se recoge toda la información relevante de cada fase del procedimiento. Esta información puede ser de utilidad para identificar problemas o resolver incidentes de seguridad similares.
Para acceder a más información, clique en los enlaces siguientes:
Por último, hay que recordar que ante cualquier sospecha de un problema de seguridad debe ponerse inmediatamente con su CAU, departamento de informática o con la Oficina de Seguridad escribiendo un correo electrónico a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
¡La seguridad es cosa de todos y empieza por usted!