Un incidente es un evento que podría provocar la pérdida o interrupción de las operaciones, servicios o funciones de una organización. La gestión de incidentes ( IcM ) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros para evitar que vuelvan a ocurrir en el futuro. Estos incidentes dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT), un equipo de gestión de incidentes (IMT) o un sistema de comando de incidentes (ICS). Sin una gestión de incidentes eficaz, un incidente puede interrumpir las operaciones comerciales, la seguridad de la información , los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales. [1]
Un incidente es un evento que podría provocar la pérdida o interrupción de las operaciones, servicios o funciones de una organización. [2] La gestión de incidentes (IcM) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros con el fin de evitar que vuelvan a ocurrir en el futuro. Si no se gestiona, un incidente puede convertirse en una emergencia, una crisis o un desastre. Por lo tanto, la gestión de incidentes es el proceso de limitar la posible interrupción causada por un evento de este tipo, seguido de un retorno a la normalidad. Sin una gestión de incidentes eficaz, un incidente puede interrumpir las operaciones comerciales, la seguridad de la información, los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales. [1]
La Asociación Nacional de Protección contra Incendios afirma que la gestión de incidentes puede describirse como "un sistema de gestión de incidentes es "la combinación de instalaciones, equipos, personal, procedimientos y comunicaciones que operan dentro de una estructura organizacional común, diseñada para ayudar en la gestión de recursos durante incidentes". [3] [4]
La gestión de incidentes físicos es la respuesta en tiempo real que puede durar horas, días o más. La Oficina del Gabinete del Reino Unido ha elaborado la Guía Nacional de Recuperación (NRG), dirigida a los equipos de respuesta locales como parte de la aplicación de la Ley de Contingencias Civiles de 2004 (CCA). En ella se describe la respuesta de la siguiente manera: "La respuesta abarca las medidas adoptadas para hacer frente a los efectos inmediatos de una emergencia. En muchos escenarios, es probable que sea relativamente breve y dure unas horas o días; por lo tanto, es vital la rápida aplicación de medidas de colaboración, coordinación y comunicación. La respuesta abarca el esfuerzo por hacer frente no sólo a los efectos directos de la propia emergencia (por ejemplo, extinción de incendios, rescate de personas), sino también a los efectos indirectos (por ejemplo, perturbaciones, interés de los medios de comunicación)". [5] [6]
La Organización Internacional de Normalización (ISO), que es el mayor desarrollador de normas internacionales del mundo, también señala en la descripción de su documento de principios y directrices de gestión de riesgos ISO 31000 :2009 que "el uso de la ISO 31000 puede ayudar a las organizaciones a aumentar la probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y asignar y utilizar eficazmente los recursos para el tratamiento de riesgos". [7] Esto demuestra nuevamente la importancia no solo de una buena planificación sino también de la asignación eficaz de recursos para tratar el riesgo.
Hoy en día, el equipo de respuesta a incidentes de seguridad informática (CSIRT) desempeña un papel importante debido al aumento de los delitos en Internet, y es un ejemplo común de incidente al que se enfrentan las empresas de países desarrollados de todo el mundo. Por ejemplo, si una organización descubre que un intruso ha obtenido acceso no autorizado a un sistema informático, el CSIRT analizaría la situación, determinaría la magnitud del problema y tomaría medidas correctivas.
En la actualidad, más de la mitad de los intentos de piratería informática a empresas transnacionales (ETN) del mundo se producen en América del Norte (57%). El 23% de los intentos se producen en Europa. [8] Disponer de un equipo de respuesta a incidentes de seguridad informática bien formado es fundamental para proporcionar un entorno seguro para cualquier organización y se está convirtiendo en una parte fundamental del diseño general de muchos equipos de redes modernos.
Los incidentes que ocurren dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT) o un equipo de gestión de incidentes (IMT). Estos suelen ser designados de antemano o durante el evento y se les asigna el control de la organización mientras se trata el incidente, para restablecer las funciones normales. El comandante del incidente gestiona la respuesta a un incidente de seguridad y dirige a los miembros del equipo o equipos de respuesta a incidentes a través del proceso, tal como se define en el Sistema de Comando de Incidentes (ICS). [9]
Por lo general, como parte de un proceso de gestión más amplio en las organizaciones privadas, la gestión de incidentes va seguida de un análisis posterior al incidente, en el que se determina por qué ocurrió el incidente a pesar de las precauciones y los controles. Este análisis normalmente es supervisado por los líderes de la organización, con el fin de evitar que se repita el incidente mediante medidas de precaución y, a menudo, cambios en la política. Esta información se utiliza luego como retroalimentación para seguir desarrollando la política de seguridad y/o su implementación práctica. En los Estados Unidos, el Sistema Nacional de Gestión de Incidentes , desarrollado por el Departamento de Seguridad Nacional , integra prácticas eficaces en la gestión de emergencias en un marco nacional integral. Esto a menudo da como resultado un mayor nivel de planificación de contingencias, ejercicios y capacitación, así como una evaluación de la gestión del incidente. [10]
Durante el análisis de causa raíz , se deben evaluar los factores humanos. James Reason realizó un estudio sobre la comprensión de los efectos adversos de los factores humanos. [11] El estudio encontró que las investigaciones de incidentes importantes, como Piper Alpha y Kings Cross Underground Fire , dejaron en claro que las causas de los accidentes se distribuyeron ampliamente dentro y fuera de la organización. Hay dos tipos de eventos: falla activa, una acción que tiene efectos inmediatos y tiene la probabilidad de causar un accidente, y acción latente o retrasada, los eventos pueden tardar años en tener un efecto y generalmente se combinan con eventos desencadenantes que luego causan el accidente.
Los fallos latentes se crean como resultado de decisiones tomadas en los niveles superiores de una organización. Sus consecuencias dañinas pueden permanecer latentes durante mucho tiempo, y solo se hacen evidentes cuando se combinan con factores desencadenantes locales (por ejemplo, la marea viva , las dificultades de carga en el puerto de Zeebrugge , etc.) para vulnerar las defensas del sistema. Las decisiones tomadas en los niveles superiores de una organización pueden desencadenar los eventos que hacen que un accidente sea más probable; la planificación, la programación, la previsión, el diseño, la formulación de políticas, etc., pueden tener un efecto de combustión lenta. El acto inseguro real que desencadena un accidente se puede rastrear a través de la organización y se pueden exponer los fallos posteriores, mostrando la acumulación de fallos latentes dentro del sistema en su conjunto que llevaron a que el accidente fuera más probable y finalmente ocurriera. Se pueden aplicar mejores acciones de mejora y reducir la probabilidad de que el evento vuelva a ocurrir. [12]