Gestión de incidentes

Un incidente es un evento que podría conducir a la pérdida o interrupción de las operaciones, servicios o funciones de una organización. La gestión de incidentes (IcM) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros para evitar que vuelvan a ocurrir en el futuro. Estos incidentes dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT), un equipo de gestión de incidentes (IMT) o un Sistema de Comando de Incidentes (ICS). Sin una gestión eficaz de incidentes, un incidente puede interrumpir las operaciones comerciales, la seguridad de la información, los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales.

Descripción

Un incidente es un evento que podría conducir a la pérdida o interrupción de las operaciones, servicios o funciones de una organización. La gestión de incidentes (IcM) es un término que describe las actividades de una organización para identificar, analizar y corregir peligros para evitar que vuelvan a ocurrir en el futuro. Si no se gestiona, un incidente puede convertirse en una emergencia, una crisis o un desastre. Por lo tanto, la gestión de incidentes es el proceso de limitar la interrupción potencial causada por un evento de este tipo, seguido de un regreso al negocio como de costumbre. Sin una gestión eficaz de incidentes, un incidente puede interrumpir las operaciones comerciales, la seguridad de la información, los sistemas de TI, los empleados, los clientes u otras funciones comerciales vitales.

Gestión de incidentes físicos

La Asociación Nacional de Protección contra Incendios establece que la gestión de incidentes se puede describir como, '[un] IMS [sistema de gestión de incidentes] es "la combinación de instalaciones, equipos, personal, procedimientos y comunicaciones que operan dentro de una estructura organizativa común, diseñada para ayudar en la gestión de recursos durante incidentes".

La gestión de incidentes físicos es la respuesta en tiempo real que puede durar horas, días o más. La Oficina del Gabinete del Reino Unido ha producido la Guía de Recuperación Nacional (NRG), que está dirigida a los socorristas locales como parte de la implementación de la Ley de Contingencias Civiles de 2004 (CCA). Describe la respuesta de la siguiente manera: "La respuesta abarca las acciones tomadas para hacer frente a los efectos inmediatos de una emergencia. En muchos escenarios, es probable que sea relativamente breve y que dure unas horas o días: implementación rápida de los arreglos para la colaboración, la coordinación y la comunicación es, por lo tanto, vital. La respuesta abarca el esfuerzo de hacer frente no solo a los efectos directos de la emergencia en sí (por ejemplo, combatir incendios, rescatar a personas) sino también a los efectos indirectos (por ejemplo, interrupción, interés de los medios)".

La Organización Internacional para la Estandarización (ISO), que es el desarrollador más grande del mundo de estándares internacionales, también destaca en la descripción de su documento de gestión de riesgos, principios y directrices ISO 31000: 2009 que, "Usar ISO 31000 puede ayudar a las organizaciones a aumentar la probabilidad de alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y asignar y utilizar eficazmente los recursos para el tratamiento de riesgos”. Esto nuevamente muestra la importancia no solo de una buena planificación sino también de la asignación efectiva de recursos para tratar el riesgo.

Gestión de incidentes de seguridad informática

Hoy en día, un equipo de respuesta a incidentes de seguridad informática (CSIRT) desempeña un papel importante debido al aumento de los delitos en Internet, y es un ejemplo común de un incidente al que se enfrentan las empresas en los países desarrollados de todo el mundo. Por ejemplo, si una organización descubre que un intruso ha obtenido acceso no autorizado a un sistema informático, el CSIRT analizaría la situación, determinaría el alcance del compromiso y tomaría medidas correctivas. La informática forense es una tarea incluida en este proceso. En la actualidad, más de la mitad de los intentos de piratería del mundo contra las empresas transnacionales (TNC) tienen lugar en América del Norte (57 %). El 23% de los intentos tienen lugar en Europa.Tener un equipo completo de respuesta a incidentes de seguridad informática es fundamental para proporcionar un entorno seguro para cualquier organización y se está convirtiendo en una parte fundamental del diseño general de muchos equipos de redes modernos.

Roles

Los incidentes dentro de una organización estructurada normalmente son tratados por un equipo de respuesta a incidentes (IRT) o un equipo de gestión de incidentes (IMT). Estos a menudo se designan de antemano o durante el evento y se ponen a cargo de la organización mientras se resuelve el incidente, para restablecer las funciones normales.

Por lo general, como parte del proceso de gestión más amplio en las organizaciones privadas, la gestión de incidentes va seguida de un análisis posterior al incidente en el que se determina por qué ocurrió el incidente a pesar de las precauciones y los controles. Este análisis normalmente es supervisado por los líderes de la organización, con el fin de evitar que se repita el incidente a través de medidas de precaución y, a menudo, cambios en la política. Esta información se utiliza luego como retroalimentación para desarrollar aún más la política de seguridad y/o su implementación práctica. En los Estados Unidos, el Sistema Nacional de Manejo de Incidentes, desarrollado por el Departamento de Seguridad Nacional, integra prácticas efectivas en el manejo de emergencias en un marco nacional integral. Esto a menudo da como resultado un mayor nivel de planificación de contingencia, ejercicio y entrenamiento,

Análisis de raíz de la causa

Factores humanos

Durante el análisis de causa raíz, se deben evaluar los factores humanos. James Reason realizó un estudio sobre la comprensión de los efectos adversos de los factores humanos. El estudio encontró que las principales investigaciones de incidentes, como Piper Alpha y Kings Cross Underground Fire, dejaron en claro que las causas de los accidentes se distribuyeron ampliamente dentro y fuera de la organización. Hay dos tipos de eventos: falla activa, una acción que tiene efectos inmediatos y tiene la probabilidad de causar un accidente, y acción latente o retardada, los eventos pueden tardar años en tener un efecto y, por lo general, se combinan con eventos desencadenantes que luego causan el accidente. accidente.

Las fallas latentes se crean como resultado de decisiones tomadas en los escalones más altos de una organización. Sus consecuencias dañinas pueden permanecer latentes durante mucho tiempo y solo se hacen evidentes cuando se combinan con factores desencadenantes locales (p. ej., la marea viva, las dificultades de carga en el puerto de Zeebrugge, etc.) para romper las defensas del sistema. Las decisiones tomadas en los escalones más altos de una organización pueden desencadenar eventos que hacen que un accidente sea más probable, la planificación, la programación, la previsión, el diseño, la formulación de políticas, etc., pueden tener un efecto de combustión lenta. El acto inseguro real que desencadena un accidente se puede rastrear a través de la organización y las fallas posteriores se pueden exponer, mostrando la acumulación de fallas latentes dentro del sistema como un todo que llevó a que el accidente sea más probable y finalmente ocurra.