Actualmente estoy investigando los procesos de presentación de informes en seguridad de la información y me preguntaba qué tipo de información se debe informar cuando ocurre un incidente o incidente de seguridad de TI.
Las definiciones de estos serían (tomadas de ISO / IEC 27000: 2016)
evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica un posible incumplimiento de la política de seguridad de la información o una falla de los controles, o una situación desconocida que puede ser relevante para la seguridad
incidente de seguridad de la información
eventos individuales o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información
Para dar un poco de contexto: piense en una compañía realmente grande que tiene alrededor de 150 ubicaciones. La mayoría de estos lugares emplean alrededor de 30 hasta 500 empleados. Estimaría que la mediana sería de unos 120 empleados. En general, estamos hablando de unos 70.000 empleados. Cada ubicación tiene su propio proceso de presentación de informes. Esto no significa que haya 150 procesos diferentes, la mayoría de ellos se verán casi iguales con solo pequeñas diferencias. Supongo que en este momento hay probablemente 4 tipos de procesos:
- tipo de proceso 1 (el 70% de todas las ubicaciones lo tienen)
- ocurre un incidente
- el empleado afectado reporta el incidente a las personas responsables de la seguridad de TI en esta ubicación específica
- el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
- el formulario se envía al personal técnico, que se encuentra en el sitio, que luego trata de solucionar el problema
- tipo de proceso 2 (15% de todas las ubicaciones tienen esto)
- ocurre un incidente
- el empleado afectado reporta el incidente al personal técnico o a alguien que él o ella considera responsable, pero no hay nadie responsable de la seguridad de TI en el sitio
- el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
- el formulario se envía al personal técnico, que se encuentra en el sitio, que luego trata de solucionar el problema
- tipo de proceso 3 (el 10% de todas las ubicaciones lo tienen)
- ocurre un incidente
- el empleado afectado reporta el incidente a una gran ubicación central, que administra toda la infraestructura de TI para varias ubicaciones, incluida esta. No hay nadie responsable de la seguridad de TI en el sitio.
- el empleado afectado completa un formulario que requiere que ingrese un conjunto muy pequeño de información
- el formulario se envía al personal técnico en la ubicación central, que luego intenta solucionar el problema
- tipo de proceso 4 (el 5% de todas las ubicaciones lo tienen)
- ocurre un incidente
- el empleado afectado no puede reportar el incidente, porque no hay nadie responsable de la seguridad de TI en el sitio o en la ubicación central específicamente para este sitio
- el empleado afectado trata de encontrar una solución y luego se comunica con un proveedor externo
- ninguna información fue puesta en ninguna forma
Esta situación en sí es problemática, pero esto no es todo. De vez en cuando, los incidentes de seguridad de la información ocurren de forma masiva en varias ubicaciones. Si los incidentes ocurren en ubicaciones, donde también hay personas que son responsables de la seguridad de TI en el sitio, la mayoría de las veces, estas personas están lo suficientemente calificadas para llamar a la ubicación central y advertirles sobre una posible amenaza para la seguridad de toda la compañía. . La ubicación central puede reaccionar y extraer todos los formularios que han sido llenados por los empleados afectados. En casos como este, la información correcta que ayuda a resolver / solucionar incidentes como este es muy valiosa.
Puedes imaginar que para una empresa tan grande, básicamente cualquier tipo de ataque es posible / probable. Hay muchos controles de seguridad establecidos, pero aún sucede.
Mi pregunta es: ¿Qué tipo o tipo de información debe estar en un entorno como el que se describe?
¿Cómo puedo diseñar un formulario de una manera que sea lo suficientemente fácil de llenar para el personal no experto en tecnología, pero lo suficientemente informativo para que el personal técnico obtenga información buena e interesante para solucionar un grave incidente de seguridad?
EDIT 1: Esta compañía tiene un CERT de toda la compañía que se ubica en la ubicación central y el CERT es donde se analizarán los formularios. Volveré a editar esta pregunta más adelante, para proporcionar más detalles sobre lo que tengo en mente.