En muchas oportunidades se ha explicado que en las condiciones actuales de expansión de las tecnologías de la información y las comunicaciones (TIC) a todas las esferas de la vida, los problemas relacionados con esta esfera científico técnica dejó de ser un problema de los informáticos para ser un problema de todos los que interactúan con estas tecnologías.
El hecho de la generalización del uso de las TIC requiere entonces que todos los actores actuantes en el proceso posean las competencias necesarias para operar de forma segura con los medios técnicos mientras llega la ayuda de los especialistas para preservar la información.
Si bien se ha divulgado un conjunto de acciones que puede utilizarse como práctica habitual en el manejo de un incidente, está enfocada fundamentalmente al trabajo de los encargados de la seguridad informática de las áreas y la exponemos para que sea conocida y que sirva de punto de partida para la comprensión del papel tan importante que poseen todos los que interactúan con las TIC en un incidente.
Guía para la gestión de un incidente desde la estructura de gestión de la seguridad informática en un área de la institución:
1. La persona que detecta la situación informa de esta a su jefe inmediato superior y hace una anotación detallada en el libro de incidencias, para ello debe poseer la mayor cantidad de datos del incidente. Si el impacto se produce directamente en una computadora en uso, debe obtener el mayor volumen de datos que se refleja en la pantalla.
2. El directivo que recibe la información del incidente y junto al encargado de seguridad informática del área elaboran la información de partida para la investigación del incidente llenando el modelo de reporte de incidentes del Anexo 6 del PSI de la UO. Esta información se remite por correo electrónico al Grupo de seguridad informática de la UO.
3. El encargado de seguridad informática, en coordinación con la dirección de la dependencia y el informático del área inicia una investigación de las causas del incidente.
4. A partir de la determinación de las causas del incidente se traza un plan de acción para erradicación de las causas y los efectos que provocó el mismo. Este proceso debe ser documentado pues servirá de base para desarrollar acciones en caso de otro incidente.
5. El encargado de seguridad informática junto al informático del área procederán a la corrección de los problemas que dieron origen al incidente, informando de los resultados al Grupo de seguridad informática de la UO. Este proceso tiene que ser documentado en la bitácora del encargado de
seguridad informática o del informático del área, de esto se envía un resumen al Grupo de seguridad
informática de la UO.
6. El encargado de seguridad del área en coordinación con el informático del área procederá a un procesos de reevaluación de la situación alrededor del incidente para valorar si la solución al incidente fue adecuada y se resolvieron las vulnerabilidades que causaron el problema.
En el primer aspecto de la guía se refiere a las personas que utilizan los medios técnicos y que en última instancia son los que tendrán acceso de primera mano a los efectos del incidente.
La experiencia de un especialista es vital para enfrentar un incidente, pero la información de quien lo vivió es más importante porque puede aportar los detalles necesarios para un enfrentamiento rápido y seguro.
El enfrentamiento de un incidente “a ciegas”, o sea, sin tener información de lo ocurrido nunca podrá arrojar los dividendos que brinda la tenencia de una información detallada, cronológica y objetiva de lo ocurrido. Esta lógica garantiza el enfrentamiento directo del problema y la celeridad de las soluciones.
Para que se comprenda mejor, se exponen las cuestiones que debe tomar en cuenta la información que debe ser anotada para enfrentar el incidente si se hace necesario.
El primer aspecto a conocer es que en todos los locales donde existan medios técnicos vinculados a las TIC, tiene que existir un libro de incidencias, donde se reflejan todos los aspectos que afecten el uso normal de estos medios. Por ello, en ese libro se anota si se apaga la PC por una tormenta eléctrica, o por un corte de electricidad o si se produce un evento relacionado con fallas de los programas o de los componentes tecnológicos del equipo, o porque se sufre la incidencia de un código maligno, se detecta un robo, etc. En fin, cualquier anormalidad con respecto a la existencia y uso del medio es objeto de anotación en las incidencias.
La anotación en el libro de incidencias está en correspondencia con los aspectos que son requeridos para que los especialistas realicen la investigación y recuperación del incidente, pero también para que se obtengan las evidencias del mismo y sobre todo un aprendizaje para buscar soluciones que eviten su repitencia, o sea, actuar de forma preventiva.
La primera anotación tiene que ser la fecha y la hora exacta del incidente, el sistema operativo de la PC, que aplicación se utilizaba en el momento del incidente y que otras se encontraban en uso, si se utilizaba un dispositivo externo. Es vital también, que de ser posible se detalle la información que se muestre en la pantalla sobre el incidente, porque habitualmente se comenta: “salió una pantalla azul con letras blancas” pero ese texto brinda una información importante sobre el incidente que debe ser conocida.
Es importante, siempre que sea posible, hacer fotos la información en pantalla y atender siempre a las informaciones que brinda el sistema operativo, suprimiendo la práctica de hacer clic en ACEPTAR sin leer detenidamente lo que se dice en la advertencia.
Al seguir estos consejos se estará contribuyendo no solo a la recuperación del incidente, sino también a su esclarecimiento, porque toda la información que se obtenga hará posible que se elaboren procedimientos de como operar ante situaciones similares y hasta evitar que se pierda información valiosa a partir de la máxima de que una buena gestión de incidente, no solo hace viable la recuperación, sino que brinda conocimiento para gestar la posibilidad de que no se repita.