Un incidente es un evento que podría provocar la pérdida o interrupción de las operaciones, servicios o funciones de una organización. La gestión de incidentes ( IcM ) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros para evitar que vuelvan a ocurrir en el futuro. Estos incidentes dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT), un equipo de gestión de incidentes (IMT) o un sistema de comando de incidentes (ICS). Sin una gestión eficaz de incidentes, un incidente puede alterar las operaciones comerciales, la seguridad de la información , los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales. [1]
Un incidente es un evento que podría conducir a la pérdida o interrupción de las operaciones, servicios o funciones de una organización. [2] La gestión de incidentes (IcM) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros para evitar que vuelvan a ocurrir en el futuro. Si no se gestiona, un incidente puede convertirse en una emergencia, crisis o desastre. Por lo tanto, la gestión de incidentes es el proceso de limitar las posibles perturbaciones causadas por un evento de este tipo, seguido de un retorno a la normalidad. Sin una gestión eficaz de incidentes, un incidente puede alterar las operaciones comerciales, la seguridad de la información, los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales. [1]
La Asociación Nacional de Protección contra Incendios afirma que la gestión de incidentes puede describirse como: '[u]n IMS [sistema de gestión de incidentes] es "la combinación de instalaciones, equipos, personal, procedimientos y comunicaciones que operan dentro de una estructura organizativa común, diseñada para ayudar en la gestión de recursos durante incidentes". [3] [4]
La gestión de incidentes físicos es la respuesta en tiempo real que puede durar horas, días o más. La Oficina del Gabinete del Reino Unido ha elaborado la Guía Nacional de Recuperación (NRG), que está dirigida a los socorristas locales como parte de la implementación de la Ley de Contingencias Civiles de 2004 (CCA). Describe la respuesta de la siguiente manera: "La respuesta abarca las acciones tomadas para hacer frente a los efectos inmediatos de una emergencia. En muchos escenarios, es probable que sea relativamente corta y dure unas horas o días: implementación rápida de los arreglos Por lo tanto, la colaboración, la coordinación y la comunicación son vitales. La respuesta abarca el esfuerzo para abordar no sólo los efectos directos de la emergencia en sí (por ejemplo, combatir incendios, rescatar personas) sino también los efectos indirectos (por ejemplo, perturbaciones, interés de los medios de comunicación)". [5] [6]
La Organización Internacional de Normalización (ISO), que es el mayor desarrollador de estándares internacionales del mundo, también señala en la descripción de su documento de directrices, principios y directrices de gestión de riesgos ISO 31000 :2009 que "el uso de ISO 31000 puede ayudar a las organizaciones a aumentar la probabilidad de lograr objetivos, mejorar la identificación de oportunidades y amenazas y asignar y utilizar eficazmente los recursos para el tratamiento de riesgos". [7] Esto muestra nuevamente la importancia no sólo de una buena planificación sino también de la asignación efectiva de recursos para tratar el riesgo.
Hoy en día, un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) desempeña un papel importante debido al aumento de los delitos en Internet, y es un ejemplo común de un incidente que enfrentan empresas en países desarrollados de todo el mundo. Por ejemplo, si una organización descubre que un intruso ha obtenido acceso no autorizado a un sistema informático, el CSIRT analizaría la situación, determinaría el alcance del compromiso y tomaría medidas correctivas.
Actualmente, más de la mitad de los intentos de piratería informática contra empresas transnacionales (ETN) en el mundo tienen lugar en América del Norte (57%). El 23% de los intentos tienen lugar en Europa. [8] Tener un equipo completo de respuesta a incidentes de seguridad informática es fundamental para proporcionar un entorno seguro para cualquier organización y se está convirtiendo en una parte fundamental del diseño general de muchos equipos de redes modernos.
Los incidentes dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT) o un equipo de gestión de incidentes (IMT). Estos suelen ser designados antes o durante el evento y se les asigna el control de la organización mientras se soluciona el incidente, para restablecer las funciones normales. El comandante de incidentes gestiona la respuesta a un incidente de seguridad y dirige a los miembros del equipo de respuesta a incidentes a través del proceso, según lo define el Sistema de comando de incidentes (ICS). [9]
Por lo general, como parte del proceso de gestión más amplio en organizaciones privadas, a la gestión de incidentes le sigue un análisis posterior al incidente en el que se determina por qué ocurrió el incidente a pesar de las precauciones y controles. Este análisis normalmente es supervisado por los líderes de la organización, con el fin de evitar que el incidente se repita mediante medidas de precaución y, a menudo, cambios de política. Esta información se utiliza luego como retroalimentación para desarrollar aún más la política de seguridad y/o su implementación práctica. En Estados Unidos, el Sistema Nacional de Gestión de Incidentes , desarrollado por el Departamento de Seguridad Nacional , integra prácticas efectivas en la gestión de emergencias en un marco nacional integral. Esto a menudo da como resultado un mayor nivel de planificación, ejercicio y capacitación para contingencias, así como una evaluación de la gestión del incidente. [10]
Durante el análisis de la causa raíz , se deben evaluar los factores humanos. James Reason realizó un estudio sobre la comprensión de los efectos adversos de los factores humanos. [11] El estudio encontró que las investigaciones de incidentes importantes, como Piper Alpha y Kings Cross Underground Fire , dejaron en claro que las causas de los accidentes estaban ampliamente distribuidas dentro y fuera de la organización. Hay dos tipos de eventos: falla activa (una acción que tiene efectos inmediatos y tiene la probabilidad de causar un accidente) y acción latente o retardada (los eventos pueden tardar años en surtir efecto y generalmente se combinan con eventos desencadenantes que luego causan el accidente). accidente.
Los fracasos latentes se crean como resultado de decisiones tomadas en los niveles más altos de una organización. Sus consecuencias dañinas pueden permanecer latentes durante mucho tiempo y sólo se hacen evidentes cuando se combinan con factores desencadenantes locales (por ejemplo, la marea viva , las dificultades de carga en el puerto de Zeebrugge , etc.) para romper las defensas del sistema. Las decisiones tomadas en los niveles más altos de una organización pueden desencadenar eventos que hagan que un accidente sea más probable; la planificación, programación, previsión, diseño, formulación de políticas, etc., pueden tener un efecto de combustión lenta. El acto inseguro real que desencadena un accidente se puede rastrear a través de la organización y las fallas posteriores pueden exponerse, mostrando la acumulación de fallas latentes dentro del sistema en su conjunto que llevaron a que el accidente se volviera más probable y finalmente ocurriera. Se pueden aplicar mejores acciones de mejora y reducir la probabilidad de que el evento vuelva a ocurrir. [12]