¿Qué es un incidente de seguridad en la seguridad de la información?
¿Un ataque fallido (bloqueado por un IPS, por ejemplo) o un ataque sin impacto real (un escaneo de puertos, por ejemplo) puede considerarse un incidente de seguridad?
Para que quede claro, para usted como miembro de una organización, la política de seguridad de su organización define un incidente de seguridad; no es solo "su opinión personal sobre lo que es riesgoso" o "cualquier evento que ponga a la organización en riesgo". Consulte con su organización, lea su política de seguridad y siga sus instrucciones.
Si no tienen una política de este tipo y usted hace esta pregunta, es una señal de que pueden necesitarla.
En ausencia de una política, debe considerarla desde su propio punto de vista. Si encontró una vulnerabilidad o una posible evidencia de un ataque, debe documentarla e informarla a su supervisor tan pronto como sea posible. Es el trabajo de la gerencia decidir qué es riesgoso y qué no, no tú. Si no lo denuncia y el problema resulta ser lo suficientemente serio como para involucrar a los tribunales, habrá una demanda. Las primeras dos cosas que los abogados querrán saber es "¿quién sabía esto y cuándo lo supieron?" Si descubren que se enteró del incidente pero no lo informaron, el desastre legal podría arruinarlo.
Y una vez que lo hayas informado, has cumplido con tu deber. Si deciden no actuar, es su decisión; incluso si te parece tonto o arriesgado si lo ignoran. Solo asegúrese de documentar el incidente para que las personas puedan entender que hizo lo que era razonable dadas las circunstancias en las que se encontraba e informaron a la persona o personas correctas.
Lo mismo ocurre si usted es un supervisor o gerente, y un empleado le informa de una situación de riesgo o peligrosa. Debe informarlo según la política de seguridad de su organización, o reportarlo hacia arriba si no tiene uno.
Lea otras preguntas en las etiquetas incident-analysis incident-response