¿Cuál es la información más valiosa al manejar un evento / incidente de seguridad de TI?

6

Actualmente estoy investigando los procesos de presentación de informes en seguridad de la información y me preguntaba qué tipo de información se debe informar cuando ocurre un incidente o incidente de seguridad de TI.

Las definiciones de estos serían (tomadas de ISO / IEC 27000: 2016)

  

evento de seguridad de la información

     

ocurrencia identificada de un sistema, servicio o estado de la red que indica un posible incumplimiento de la política de seguridad de la información o una falla de los controles, o una situación desconocida que puede ser relevante para la seguridad

     

incidente de seguridad de la información

     

eventos individuales o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información

Para dar un poco de contexto: piense en una compañía realmente grande que tiene alrededor de 150 ubicaciones. La mayoría de estos lugares emplean alrededor de 30 hasta 500 empleados. Estimaría que la mediana sería de unos 120 empleados. En general, estamos hablando de unos 70.000 empleados. Cada ubicación tiene su propio proceso de presentación de informes. Esto no significa que haya 150 procesos diferentes, la mayoría de ellos se verán casi iguales con solo pequeñas diferencias. Supongo que en este momento hay probablemente 4 tipos de procesos:

  1. tipo de proceso 1 (el 70% de todas las ubicaciones lo tienen)
    • ocurre un incidente
    • el empleado afectado reporta el incidente a las personas responsables de la seguridad de TI en esta ubicación específica
    • el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
    • el formulario se envía al personal técnico, que se encuentra en el sitio, que luego trata de solucionar el problema
  2. tipo de proceso 2 (15% de todas las ubicaciones tienen esto)
    • ocurre un incidente
    • el empleado afectado reporta el incidente al personal técnico o a alguien que él o ella considera responsable, pero no hay nadie responsable de la seguridad de TI en el sitio
    • el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
    • el formulario se envía al personal técnico, que se encuentra en el sitio, que luego trata de solucionar el problema
  3. tipo de proceso 3 (el 10% de todas las ubicaciones lo tienen)
    • ocurre un incidente
    • el empleado afectado reporta el incidente a una gran ubicación central, que administra toda la infraestructura de TI para varias ubicaciones, incluida esta. No hay nadie responsable de la seguridad de TI en el sitio.
    • el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
    • el formulario se envía al personal técnico en la ubicación central, que luego intenta solucionar el problema
  4. tipo de proceso 4 (el 5% de todas las ubicaciones lo tienen)
    • ocurre un incidente
    • el empleado afectado no puede reportar el incidente, porque no hay nadie responsable de la seguridad de TI en el sitio o en la ubicación central específicamente para este sitio
    • el empleado afectado trata de encontrar una solución y luego se comunica con un proveedor externo
    • ninguna información fue puesta en ninguna forma

Esta situación en sí es problemática, pero esto no es todo. De vez en cuando, los incidentes de seguridad de la información ocurren de forma masiva en varias ubicaciones. Si los incidentes ocurren en ubicaciones, donde también hay personas que son responsables de la seguridad de TI en el sitio, la mayoría de las veces, estas personas están lo suficientemente calificadas para llamar a la ubicación central y advertirles sobre una posible amenaza para la seguridad de toda la compañía. . La ubicación central puede reaccionar y extraer todos los formularios que han sido llenados por los empleados afectados. En casos como este, la información correcta que ayuda a resolver / solucionar incidentes como este es muy valiosa.

Puedes imaginar que para una empresa tan grande, básicamente cualquier tipo de ataque es posible / probable. Hay muchos controles de seguridad establecidos, pero aún sucede.

Mi pregunta es: ¿Qué tipo o tipo de información debe estar en un entorno como el que se describe?

¿Cómo puedo diseñar un formulario de una manera que sea lo suficientemente fácil de llenar para el personal no experto en tecnología, pero lo suficientemente informativo para que el personal técnico obtenga información buena e interesante para solucionar un grave incidente de seguridad?

EDIT 1: Esta compañía tiene un CERT de toda la compañía que se ubica en la ubicación central y el CERT es donde se analizarán los formularios. Volveré a editar esta pregunta más adelante, para proporcionar más detalles sobre lo que tengo en mente.

    
pregunta Tom K. 16.08.2017 - 14:39
fuente

1 respuesta

3

Desde un punto de vista forense, toda la información es posiblemente valiosa. Esto incluye todo el tráfico de redes, todo el tráfico hacia y desde Internet (incluidas las posibles conexiones cifradas con TLS a remitentes de correo web privados), imágenes de todas las unidades de memoria flash y unidades de disco duro móviles utilizadas antes del incidente.

Sin embargo, su pregunta apunta a que los formularios sean llenados por los empleados. Si bien esto podría causar algún argumento, ya que es una cuestión de opinión, intentaré esbozar lo que me resulte útil.

En general, la información más específica es más útil que la información genérica. Si bien no todos los empleados pueden responder correctamente las preguntas técnicas, aquellos que sí lo hacen pueden tener información valiosa para compartir. Por lo tanto, hacer preguntas técnicas es generalmente una buena idea.

Cuando los analistas identifican qué tipo de problemas deben sospecharse, es posible que deseen ponerse en contacto con los empleados directamente y hacer preguntas específicas. Por lo tanto, la información de contacto se debe poner en los formularios.

Debido a que las preguntas específicas a menudo llevan a las personas a dejar de lado las cosas importantes que consideran irrelevantes, un buen enfoque sería pedirles que describan en detalle lo que estaban haciendo antes de que ocurriera el incidente, en un plazo razonable de quizás 15 minutos.

Además, debe preguntar sobre cada política de seguridad única. ¿Es conocido por el empleado? ¿El empleado siguió la política? Si ahora, ¿por qué no y de qué manera? Y asegúrese de que no haya represalias por temer que se rompan las políticas de seguridad de la empresa.

Esto tiene dos razones: a veces, las políticas se evitan para mejorar o facilitar el flujo de trabajo. Estos casos pueden revisarse y los mejores enfoques para facilitar el flujo de trabajo pueden diseñarse para el futuro. En segundo lugar, evitar las políticas de seguridad es a menudo el problema y usted desea, ante todo, manejar el incidente, no castigar a los empleados.

Con respecto a las políticas, después de una exención de responsabilidad de que ninguna información tendrá consecuencias disciplinarias y su jefe nunca lo sabrá, una pregunta de ejemplo podría ser: "Ahora se le permite usar unidades de memoria USB. ¿Lo sabe? ¿Si no es así, proporcione la (s) unidad (s) de memoria (s) que usó "

Editar: si bien esto no está dentro del alcance de su pregunta, esos informes deben ser mantenidos y evaluados por un CERT de toda la compañía, deben tener toda la información sobre todas las subsidiarias locales. Incluso si el incidente puede ser manejado por los profesionales de TI locales después de que el CERT central accediera al incidente.

    
respondido por el Tobi Nary 19.08.2017 - 09:38
fuente

Lea otras preguntas en las etiquetas