En el quehacer cotidiano de la informática se manifiestan situaciones que se consideran incidentes informáticos como consecuencia de la materialización de una amenaza sobre un sistema informático.
Un incidente informático puede ser definido como cualquier evento que se produzca, de forma accidental o intencional, que afecte o ponga en peligro las Tecnologías de la Información o los procesos que con ellas se realizan.
No siempre las personas implicadas en el incidente cumplen con los requerimientos necesarios para enfrentar el evento y evitar que en el futuro se reproduzca o al menos se tomen medidas para minimizar su impacto.
¿ Que situaciones deben ser consideradas incidente?
- Intentos (sean fallidos o exitosos) de obtener acceso a un sistema o sus datos.
- Interrupción no deseada o denegación de servicios.
- Uso no autorizado de un sistema para el procesamiento o almacenamiento de información.
- Robo o cambios en las características del hardware, firmware o software del sistema sin el conocimiento, instrucción o consentimiento del responsable de dicho sistema.
- Pérdida de información, etc.
Al sospecharse o tener evidencia de que se está produciendo algún tipo de incidente computacional, se debe garantizar una correcta evaluación de lo que ha ocurrido, para ello se debe conocer a quién, cómo y cuándo debe ser reportado incidente,que pasos deben realizarse para una respuesta adecuada al incidente, así como los aspectos relacionados con su documentación, la preservación de las evidencias y las acciones a seguir una vez restablecida la normalidad en evitación de que se repita el problema.
Para ello se deben realizar las siguientes acciones:
- Anotación detallada de los datos y manifestaciones del incidente en el libro de incidencias del área (Anexo 2 del Plan de Seguridad Informática de la UO).
- El reporte inmediato de la acción a la autoridad correspondiente.(Anexo 7 del Plan de Seguridad Informática de la UO)
- La comunicación con los afectados o los involucrados en la recuperación del incidente.
- El análisis y la identificación de las causas de los incidentes.
- El registro de todos los eventos vinculados con el incidente.
- La recolección y preservación de las trazas de auditoría y otras evidencias.
- La planificación y la implementación de medidas para prevenir la recurrencia, si fuera necesario.
De manera adicional la dirección del área o dependencia designará una comisión presidida por un miembro del Consejo de Dirección e integrada por especialistas no comprometidos con el incidente, que realizará las investigaciones necesarias con el fin de esclarecer lo ocurrido, determinar el impacto, precisar los responsables y proponer la conducta a seguir. Para conocer que se debe hacer en la UO en caso de incidente se puede consultar el Plan de Seguridad Informática en la parte referida a Medidas y Procedimientos, en el señalizado con el número 54.
El reporte del incidente se deberá hacer inmediatamente a la Oficina de Seguridad para las Redes Informáticas y a la instancia superior de la entidad.
De manera adicional ante la ocurrencia de un incidente:
Contactar al grupo de Seguridad Informática de la Universidad de Oriente en la Dirección de Informatización, en la Sede Julio A. Mella, en el teléfono 601186 o a través de la dirección electrónica seginf1@uo.edu.cu