Dins del seu pla de formació, conscienciació i sensibilització, el novembre passat, l'Oficina de Seguretat de la Informació del Servei de Salut de les Illes Balears va impartir la sessió «Gestió d'incidents de seguretat» per fer arribar al personal de l'organisme el procediment a seguir per identificar, notificar i gestionar incidents de seguretat.
En aquest número del Butlletí s'exposa un resum dels aspectes principals tractats en la sessió.
Introducció a la gestió d'incidents
La introducció a la gestió d'incidents en matèria de seguretat i protecció de dades ha estat la primera sessió de formació per al personal del Servei de Salut. La gestió de les incidències relacionades amb la seguretat és un aspecte molt important en l'àmbit de la seguretat de la informació. Correspon al conjunt ordenat d'accions per prevenir incidents i, en el cas que ocorrin, per restaurar els nivells d'operació al més aviat possible.
S'entén per incidència qualsevol anomalia o esdeveniment que posa en risc la confidencialitat, integritat o disponibilitat d'un sistema d'informació o de la informació que processa, emmagatzema o transmet (CCN.CERT: ccn-stic-817).
El procediment de gestió d'incidents es divideix en les set fases que formen el gràfic següent:
FASE 0. Preparació per a la gestió d'incidents. Té lloc abans que ocorri un incident de seguretat. S'han de definir els rols i les responsabilitats dels equips que formaran part en la gestió d'incidents. A més, és important elaborar procediments, plantilles i formacions que ajudin a dur a terme una correcta gestió dels incidents de seguretat.
El Servei de Salut de les Illes Balears ha desenvolupat diversos procediments, manuals i guies tècniques sobre com actuar davant un incident per un atac intencionat, com reconèixer o denegar el servei, o com actuar davant accessos maliciosos a entorns, etc. Així mateix, també s'han definit els procediments sobre com classificar les incidències i com gestionar les incidències reportades pel CCN-CERT, entre d’altres aspectes.
FASE 1. Identificació i recollida de la informació inicial. En aquesta fase es contemplen aquells mecanismes o eines de seguretat que detecten incidents de seguretat i aporten la informació sobre aquest. No obstant això, sense cap dubte, el millor mecanisme amb el qual ha de comptar el Servei de Salut és la comunicació dels incidents per part dels seus professionals.
FASE 2. Contenció de la incidència. En aquesta fase es classifica i prioritza l'incident de seguretat. Atès que no totes les incidències tenen les mateixes característiques ni la mateixa perillositat, és necessari disposar d'una classificació correcta per ajudar a l’anàlisi posterior, contenció i resolució adequada. Així mateix, la priorització de l'incident de seguretat té l'objectiu d'identificar els incidents que poden causar un major dany o impacte.
FASE 3. Notificació de la incidència. Els incidents de seguretat han de ser notificats als serveis i unitats competents, segons es descriu en el procediment PS02-NS08. Comunicació d'incidents de seguretat. La informació requerida per notificar de manera correcta un incident és la següent: dades de contacte, dades de la persona a la qual es comunica la incidència, descripció de l'incident, causa de l'incident, procediments duits a terme relacionats, dades de les persones que van dur a terme els procediments, dades saturades i dades addicionals per a la resolució.
FASE 4. Investigació i determinació de la causa. En aquest punt, es tracta d'aprofundir en la causa de l'incident. S'ha de fer un diagnòstic per determinar si hi ha correlació amb altres incidents reportats. Per facilitar la identificació del problema, cal recollir la causa d'aquest tant a l'informe de seguiment com en el registre d'incidents. Quan es recullin proves o evidències sobre l'incident investigat, també han de ser incloses en l'informe de seguiment.
FASE 5. Resolució de la incidència. En aquesta fase es planifiquen i executen les accions correctives necessàries. Aquestes han d'estar orientades a resoldre l'incident en el menor temps possible i a eliminar allò que el va causar.
FASE 6. Tancament de la incidència. Després de resoldre la incidència, en la fase de tancament, l'equip d'operacions —en el cas del Servei de Salut— ha de documentar tots els passos seguits i adjuntar les evidències recollides en les eines de seguiment. L'equip de l'Oficina de Seguretat ha de comprovar que l'incident es resol satisfactòriament i aprovar el tancament.
FASE 7. Informe de seguiment de la incidència. Durant l'execució del procediment de gestió d'incidents, s'elabora un informe de seguiment de l'incident en el qual es recull tota la informació rellevant de cada fase del procediment. Aquesta informació pot ser d'utilitat per identificar problemes o resoldre incidents de seguretat similars.
Per accedir a més informació, clicau en els enllaços següents:
Finalment, cal recordar que davant qualsevol sospita d'un problema de seguretat heu de posar-vos en contacte immediatament amb la vostra CAU, departament d'informàtica o amb l'Oficina de Seguretat escrivint un correu electrònic a Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.
La seguretat és cosa de tots i comença per vós!