La gestió de les incidències en general i de les relacionades amb la seguretat en particular és un aspecte molt important en l’àmbit de la seguretat de la informació. S’entén per incidència de seguretat qualsevol anomalia o esdeveniment amb conseqüències en detriment de la seguretat dels sistemes d’informació —tant els de tecnologia de la informació com els tradicionals—o de les dades que gestionen.
La gestió de les incidències de seguretat és més efectiva com abans se sàpiga que s’han produït. Per això és clau la notificació adequada d’aquestes incidències, definida i formalitzada adequadament.
En aquest número del BUTLLETÍ INFORMATIU pretenem difondre el procediment general que s’ha d’aplicar per al procés de gestió d’incidències de tecnologia de la informació i per al procés de gestió d’incidències de seguretat, donant a conèixer els elements essencials per aconseguir que la notificació i el registre d’incidències siguin efectius.
Un dels elements essencials és la fase de registre de la incidència, que comprèn des que es detecta fins que es notifica. El registre inicial pot tenir tres vies d’entrada:
- Autoservei: el registre per autoservei es produeix quan un client* utilitza un siste-ma d’informació per registrar automàticament el cas.
- Telefonada al CAU: un client pateix una incidència i telefona al CAU per comuni-car-la-hi.
- Agent: un agent detecta o pateix una incidència i la introdueix directament en el sistema de gestió d’incidències.
La notificació de les incidències de tecnologia de la informació i de les incidències de seguretat és responsabilitat de tot el personal que treballa al Servei de Salut, inclosos el personal extern, els proveïdors del servei de suport de tecnologia de la informació i els proveïdors dels serveis de seguretat.
Qualsevol treballador que conegui o detecti una incidència de qualsevol tipus o un esde-veniment que potencialment pugui desembocar en un incident té l’obligació de notificar-ho. No fer-ho pot provocar que li apliquin mesures disciplinàries, de conformitat amb el règim disciplinari vigent.
En aquest sentit, us recordam que en l’enllaç següent està a la vostra disposició el Codi de bones pràctiques en l’ús dels sistemes d’informació i el tractament de les dades de caràcter personal del Servei de Salut
*S’empra el concepte client per diferenciar-lo del concepte usuari, que en el Servei de Salut s’utilitza per referir-se a les persones que reben la prestació sanitària.