Equipo de respuesta a incidentes de seguridad de la información

Un Equipo de respuesta a incidentes de seguridad de la información (ISIRT) es un grupo de miembros calificados y confiables de una organización que ejecuta, coordina y mantiene una respuesta a las infracciones de seguridad de la información que afectan los sistemas de información dentro de un área de responsabilidad definida.

Notas

En ocasiones, este grupo puede complementarse con expertos externos, por ejemplo, de un equipo de respuesta a incidentes informáticos reconocido o un equipo de respuesta rápida informática (CRT).
El IRT se establece para proporcionar a una organización el personal adecuado para evaluar, responder y aprender de los incidentes de seguridad de la información , así como el proceso necesario de coordinación, gestión , retroalimentación y comunicaciones . Los miembros del IRT están involucrados en la reducción de daños físicos, materiales, financieros y reputacionales a la organización asociados con incidentes de seguridad de la información .

Composición de la IGRIB

1. El número y composición de este personal debe ser consistente con el alcance y los objetivos de la organización.
2. El IRT puede ser un equipo creado por separado o un colectivo de empleados involucrados de diferentes departamentos de la organización (por ejemplo, departamentos de TI/telecomunicaciones , contabilidad , recursos humanos y marketing ).
3. El jefe del IRT debe tener una línea separada para notificar a la gerencia, aislada de otros procesos comerciales.

Responsabilidades del IRT

Las responsabilidades del IRT se pueden dividir en 2 grupos principales:

• acciones en tiempo real , directamente relacionadas con la tarea principal: responder a violaciones;
• acciones preventivas que juegan un papel de apoyo y no se realizan en tiempo real.

El primer grupo incluye evaluar los informes entrantes (clasificación de infracciones) y trabajar con la información recibida con otros grupos, proveedores de servicios de Internet y otras organizaciones (coordinación de respuestas), así como ayudar a los usuarios locales a recuperarse de una infracción (resolución de problemas). La clasificación de las infracciones incluye:

• evaluación de informes : la información entrante se clasifica por importancia, se correlaciona con eventos en curso y tendencias identificadas;
• verificación : se detecta una violación y su alcance.

La coordinación de la respuesta incluye:

• categorización de la información : la información relacionada con la infracción (registros de registro, información de contacto, etc.) se clasifica de acuerdo con la política de divulgación;
• coordinación : se notifica a otras partes de acuerdo con la política de divulgación de incumplimientos.

La responsabilidad de la resolución de problemas es la siguiente:

• soporte técnico ;
• erradicación de problemas : eliminación de las causas de la violación y sus manifestaciones;
• Recuperación : asistencia para que los sistemas vuelvan a la normalidad.

Las acciones preventivas incluyen:

• proporcionar información : mantener un archivo de vulnerabilidades conocidas, formas de resolver problemas anteriores u organizar listas de correo con fines de asesoramiento; suministro de herramientas de seguridad (por ejemplo, herramientas de auditoría);
• educación y formación ;
• evaluación de productos ;
• evaluación de la seguridad de la organización ;
• servicios de consultoría

Enlaces

• [1] Archivado el 29 de junio de 2012 en Wayback Machine GOST R ISO/IEC TO18044-2007
• Seguridad de información
• Equipo de Respuesta a Emergencias Informáticas