7-7: Procedimientos de respuesta a incidentes de tecnología de la información de SFCC

1. Documentación del CSIRT
   Los documentos del Equipo de Respuesta a Incidentes de Ciberseguridad (CSIRT), incluyendo la membresía y las responsabilidades, están disponibles internamente o en ubicaciones físicas designadas. Estos documentos son confidenciales y solo los miembros del CSIRT y las partes interesadas asignadas pueden acceder a ellos.
2. Monitoring
   La Oficina de Tecnología de la Información (OIT) y el CSIRT utilizan diversas herramientas y métodos para prevenir, detectar, monitorear y recuperarse de incidentes de seguridad. Estos incluyen:
   • Registro y monitoreo proactivo
   • Gestión de identidad y acceso (IAM), que incluye:
     – Inicio de sesión único (SSO)
     – Control de acceso basado en roles (RBAC)
     – Autenticación multifactor (MFA)
     – Control de acceso centralizado
   • Detección de punto final y respuesta
   • Cifrado de datos
   • Cortafuegos, incluidos sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS)
   • Gestión de parches
   • Pruebas de penetración
   • Escaneo de vulnerabilidades
   • Capacitación en ciberseguridad para todos los empleados (en el futuro se podrá ofrecer capacitación para estudiantes)
   • Informe al usuario final sobre incidentes sospechosos.
   • Algunos ejemplos de incidentes incluyen:
     • Ataques de ingeniería social (por ejemplo, phishing, suplantación de identidad)
     • Infecciones de malware
     • Acceso no autorizado a sistemas o datos
     • Violaciones que involucran datos sensibles o confidenciales (digitales o físicos)
     • Ataques distribuidos de denegación de servicio (DDoS)
     • Ransomware
     • Amenazas internas
     • Ataques de hombre en el medio
     • Hazañas de día cero
     • Credenciales comprometidas
     • Cryptojacking
3. Planificación
   La OIT y el CSIRT desarrollan y mantienen de forma proactiva planes de respuesta a incidentes, manuales de procedimientos y documentación relacionada. Estos incluyen:
   • Planes de respuesta y manejo de incidentes
   • Manuales de ejecución de incidentes
   • Documentación del incidente
   • Matriz RACI de respuesta a incidentes
   • Planes de comunicación de respuesta a incidentes
   • Documentación de lecciones aprendidas
   • Documentación de incidentes
     Todos los propietarios de sistemas deben mantener un plan de respuesta y gestión de incidentes. Se define como propietario de un sistema a cualquier persona con la responsabilidad principal de la seguridad y la gestión de un sistema o servicio tecnológico.
     Esto es especialmente crítico para los sistemas donde la OIT carece de acceso o control, como:
   • Sitios web administrados por el departamento
   • Servicios en la nube gestionados por el departamento
   • Acuerdos de intercambio de datos o MOU que implican el almacenamiento de datos
   • Sistemas con gestión de acceso descentralizada
   • Se puede solicitar asistencia para desarrollar estos planes a través del Centro de Atención de la OIT o directamente al CIO. Todos los planes de respuesta deben incluir la notificación al Centro de Atención de la OIT en caso de incidente conocido o sospechoso.
4. Respuesta
   Es posible que la OIT deba responder con rapidez a los incidentes para proteger los recursos informáticos de la universidad. La gravedad y el impacto del incidente determinarán la respuesta. Si bien intentaremos comunicarnos con antelación, es posible que las circunstancias no lo permitan. Las posibles acciones incluyen:
   • Deshabilitar cuentas temporalmente
   • Restablecimiento de credenciales
   • Apagar sistemas o servicios
   • Eliminación masiva de spam o mensajes maliciosos
   • Sistemas o dispositivos de aislamiento
   • Revocar acceso o privilegios
   • Creación de nuevas cuentas
   • Reemplazo de sistemas o servicios comprometidos
   • Reconstrucción de sistemas
   • Parches inmediatos y reinicios forzados
5. Pruebas de respuesta a incidentes
   El CSIRT coordinará las pruebas de respuesta a incidentes cada año fiscal. Es posible que se requiera la participación de las partes interesadas. Estas partes interesadas pueden incluir:
   • Propietario del sistema
   • HR
   • Legal
   • Servicios Estudiantiles
   • Finanzas
   • Seguridad
   • Las pruebas incluirán:
   • Recorrido por los escenarios de incidentes
   • Revisión de la documentación y los procesos del plan de manejo y respuesta a incidentes relacionados.
6. Excepciones
   Las solicitudes de excepciones deben enviarse a la mesa de ayuda de OIT para que las revise el CIO o el miembro designado del CSIRT.
   Las solicitudes deben incluir:
   • Motivo de la excepción
   • Barreras técnicas o logísticas para el cumplimiento
   • Riesgo para la organización por incumplimiento
   • Controles de mitigación o estándares propuestos como alternativas
7. Riesgo de usuario y violaciones
   Los usuarios pueden ser responsables de violaciones de datos, daños a los recursos de TI, robo de recursos de TI o pérdida de datos que se produzcan debido a la negligencia del usuario.
   • La Oficina de Tecnología de la Información puede investigar cualquier conducta prohibida por esta política.
   • Las violaciones de esta política pueden resultar en cualquiera de las siguientes consecuencias:
   • Eliminación temporal o permanente de privilegios
   • Participación del supervisor y de RR.HH. bajo la Política de Acción Correctiva y Acción Disciplinaria para Empleados
   • Remisión a la Equipo de Intervención Conductual (BIT) según el Código de Conducta Estudiantil

Ver la Política 7-7.