Incidente de seguridad

Un incidente de seguridad es un evento que puede indicar que los sistemas o datos de una organización se han visto comprometidos o que las medidas implementadas para protegerlos han fallado.

En TI, un evento es todo lo que tiene importancia para el hardware o software del sistema y un incidente es un evento que interrumpe las operaciones normales. Los eventos de seguridad generalmente se distinguen de los incidentes de seguridad por el grado de gravedad y el riesgo potencial asociado para la organización.

Si a un solo usuario se le niega el acceso a un servicio solicitado, por ejemplo, eso puede considerarse un evento de seguridad porque existe la posibilidad de que indique un sistema comprometido, pero la falla de acceso también podría ser causada por muchas otras cosas y ese único El evento no suele tener un impacto severo en la organización. Sin embargo, si se niega el acceso a un gran número de usuarios, es probable que signifique que hay un problema más grave, como un ataque de denegación de servicio (DoS), por lo que ese evento puede clasificarse como un incidente de seguridad.

Según la publicación especial 800-61 del NIST, un incidente de seguridad es la violación de una política de seguridad explícita o implícita.

Ejemplos de incidentes de seguridad:

  • Intentos de fuentes no autorizadas para acceder a sistemas o datos.
  • Interrupción no planificada de un servicio o denegación de un servicio.
  • Tratamiento o almacenamiento no autorizado de datos.
  • Cambios no autorizados en el hardware, firmware o software del sistema.

Los procesos y productos diseñados para ayudar con la gestión de incidentes de seguridad incluyen la planificación de respuesta a incidentes (IRP), la formación en conciencia de seguridad y la gestión de eventos e información de seguridad (SIEM).