¿Qué es el manejo de incidentes de seguridad en TI?

Publicado por Equipo de Investigación ORCA el 05 de septiembre de 2019

En los entornos organizacionales que ofrecen servicios como parte de su actividad comercial a sus usuarios, tener claro qué es el manejo de incidentes y cómo llevarlo a cabo es indispensable para asegurar que sus niveles de servicio sean siempre los óptimos, manteniendo así una buena relación con la entidad contratante y sobre todo los usuarios de los servicios provistos. 

Cabe mencionar que esto aplica de igual manera para las áreas dentro de la misma organización que se dedican a velar por que todos los servicios estén en sus niveles “normales” de operación, siendo este un SLA interno entre distintas áreas.

Manejo de incidentes

Adoptaremos aquí el enfoque de ITIL (Information Technology Infrastructure Library por sus siglas en inglés o Biblioteca de Infraestructura de las Tecnologías de la Información), que es un esfuerzo por parte de los profesionales del sector por construir y documentar las mejores prácticas para la provisión de servicios de TI a través de publicaciones periódicas.

Como bien decíamos al inicio de este post, el manejo o gestión de incidentes pretende restaurar el servicio que algún usuario reporta como anómalo. Pero, ¿qué entenderemos por “incidente”? Será cualquier evento que no forme parte de la operación estándar de un servicio y que cause, o pueda causar, una interrupción o reducción en la calidad del mismo.

Hoy en día, desde la versión dos a la versión tres de ITIL se hace una diferenciación entre “incidentes” (que sería la mera interrupción de un servicio) y “solicitudes de servicio”, (como por ejemplo, la tan común solicitud de cambio de contraseña), escapando esta última a la responsabilidad del área de Gestión de Incidentes y pasando a formar parte de la de Cumplimiento de la Solicitud de Servicio.

De igual forma, en la v3 de ITIL se ha agregado un nuevo nivel de incidente, conocido como “incidentes graves”, cuyo impacto en la organización es mucho más profundo o extendido, así como su nivel de urgencia es mayor, o ambas en el peor caso. Volveremos sobre esto más tarde.

Objetivos principales del manejo de incidentes

Ahora veamos en líneas muy generales cuáles son sus objetivos principales:

· Detectar cualquier anomalía en los servicio de TI provistos
· Registrar y clasificar o jerarquizar esas anomalías
· Asignar a un responsable para la restauración del servicio

Aquí hablamos de monitoreo, registro y remediación. Los dos primeros puntos son casi tautológicos, es decir, se explican así mismos, sin embargo, es necesario ahondar en la remediación de los incidentes, toda vez que en el paso anterior se han jerarquizado y dividido en distintos tipos de responsable para la restauración del servicio.

Resolución de primera línea.

Cuando el incidente o anomalía es resuelto en el menor tiempo posible, incluso utilizando un workaround o solución temporal de ser necesario.

Resolución de segunda línea.

La intención sigue siendo la resolución en el menor tiempo posible, pero aquí está ya implícita la escalación del problema que no pudo resolverse en el estadio previo (por la primera línea de atención). De ser necesario, en este paso se involucrará a proveedores externos o a equipos de soporte especializados.

Gestión de incidentes graves.

Para estos casos, puede haberse perfectamente saltado a los soportes de primera y segunda línea, si es que la jerarquización fue correcta, ya que no hay tiempo que perder con equipos o áreas que sabemos de antemano no serán capaces de atender el problema.

De igual manera, se buscará resolver en el menor tiempo posible, pero utilizando todos los recursos a la mano. En caso de no resolverse, deberá crearse un registro de problema (no de incidente), que deberá asignarse a un equipo aparte, que no atiende incidentes sino precisamente problemas, dejando al equipo de Gestión de Incidentes libre para seguir atendiendo lo que le corresponde.

Tanto la detección, como la clasificación y resolución o escalación -con su debido registro- son todos claves para mantener los servicios de TI que usted provee o con los que le proveen en sus niveles correctos. Es de resaltarse la correcta jerarquización de los incidentes registrados, puesto que ahorrará tiempo en la designación del área responsable, haciendo el manejo de incidentes mas eficiente; lo mismo con el registro, que puede servir como una bitácora o repositorio donde se encuentren los problemas de mayor impacto (extensión de la interrupción del servicio) y urgencia (los que deben ser resueltos en el menor tiempo posible) que han sufrido sus servicios, así como la solución que en su momento se aplicó.

El enfoque de GRC-ERM puede ayudar tremendamente a sus protocolos para evitar los más acuciantes peligros que envuelven sus servicios de TI, y para ello tenemos una guía completa y gratuita para que la descargue y proteja de mejor manera a su organización.

Sólo debe hacer clic en la imagen de abajo, y tras un breves registro, la recibirá en su correo. Así de fácil, así de rápido.

 

Nueva llamada a la acción