Qué es un incidente

Qué es un incidente

Guías

Los conceptos de Evento e Incidente de Seguridad están estrechamente relacionados. A continuación se presentan las definiciones con las que trabaja el CERTuy.

Incidente de seguridad

Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita.

Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un único o una serie de eventos seguridad de la información indeseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información.

Por lo tanto, para el CERTuy un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo.

Ejemplos de Incidentes de Seguridad

  • Un acceso no autorizado.
  • El robo de contraseñas.
  • Prácticas de Ingeniería Social.
  • La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
  • El robo de información.
  • El borrado de información de terceros.
  • La alteración de la información de terceros.
  • El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
  • La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus, troyanos, gusanos, malware en general).
  • La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables o no cumplimiento  de Acuerdos de Niveles de Servicio existentes de determinado servicio.
  • Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de software, condiciones de salud de los administradores de sistemas, entre otros.

Evento de seguridad según la Norma ISO 27035

  • Una ocurrencia identificada en el estado de un sistema, servicio o red, indicando una posible violación de la seguridad de la información, política o falla de los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.
  • La falla de medidas de seguridad.
  • Una situación previamente desconocida que pueda ser relevante para la seguridad.

Son ejemplos de este tipo de eventos:

  • Un usuario que se conecta a un sistema.
  • Un intento fallido de un usuario para ingresar a una aplicación.
  • Un firewall que permite o bloquea un acceso.
  • Una notificación de cambio de contraseña de un usuario privilegiado, etc.
  • Se debe destacar que un Evento de Seguridad Informática no es necesariamente una ocurrencia maliciosa o adversa.

Etiquetas