GESTIÓN DE INCIDENTES (Servicio IRIS-CERT)
GESTIÓN DE INCIDENTES
Valores de cierre & KPIs institucionales
Todo ataque y su evolución de resolución quedan registrados en la herramienta de gestión de incidentes de IRIS-CERT. Por ello, cabe destacar, que los valores de resolución computan para los KPIs institucionales.
Actualmente se indica, al origen del ataque, el valor de resolución del incidente para que puedar analizar y mejorar sus parámetros de calidad.
Los posibles valores de cierre son:
- Solucionado satisfactoriamente (Se aportan soluciones): el problema ha sido solucionado. Se aportan las medidas adoptadas y se informa del origen y causas del ataque. Se deberán cumplir ambas condiciones para cerrarlo a tal valor.
- Solucionado satisfactoriamente (No se aportan soluciones): el problema ha sido solucionado. No se informa de las medidas adoptadas o no se informa del origen y causas del ataque. Se considerarán dentro de esta categoría aquellos incidentes solucionados satisfactoriamente de los que no se ha abierto una investigación interna aclaratoria del ataque (i.e., medidas rápidas de actuación que impidan la investigación: formateos, eliminación de contenido malicioso sin conocer cómo han accedido a las máquinas, ...)
- Parcialmente resuelto: se aportan medidas cautelares para remitir el ataque, pero no se solventa el problema de raíz (i.e., filtrado de IP, desconexión de la máquina).
- Cierre ordenado por el cliente: No se aporta información adicional sobre las medidas adoptadas ni de las causas y el origen del ataque. De esta forma IRIS-CERT no puede asegurar que la resolución haya sido satisfactoria. El cliente, por tanto, solicita de forma explícita o implícita el cierre de la incidencia sin aportar información de relevancia.
- Falso positivo: el cliente o el equipo de seguridad de RedIRIS determina que las conexiones son lícitas, pues pertenecen a proyectos de investigación u otras actividades controladas.
- Problema no resuelto (Se obtiene respuesta): imposible alcanzar tecnológicamente la solución al problema o el cliente indica que no sabe solventarlo incluso con las indicaciones de IRIS-CERT. Se incluyen dentro de esta categoría aquellos incidentes que sean escalados a los técnicos de informática o administradores de sistemas institucionales y no proporcionen respuesta alguna. Por lo general, este tipo de actuaciones impiden seguir con el protocolo ordinario de actuación de IRIS-CERT (i.e., mensajes de seguimiento).
- Problema no resuelto (No se obtiene respuesta): el cliente no atiende al incidente remitido ni a los mensajes de seguimientos. También se considerarán dentro de este grupo aquellos incidentes no solucionados a pesar de obtener una autorrespuesta.
Observación: En el caso de que el valor de resolución de su incidente no sea positivo, lo puede cambiar a "Resuelto satisfactoriamente (se aportan soluciones)" respondiendo al mensaje de cierre del ticket con las causas del ataque así como las soluciones aportadas. |
¿Por qué estos valores de cierre?
Los valores de cierre están enfocados no sólo en la descripción de la solución aportada por la institución afectada, sino también tratan de mostrar el nivel de solución al que se ha podido llegar en cada uno de los incidentes.
El motivo fundamental se encuentra en que las labores de desinfección/reparación de máquinas afectadas por malware suelen ser una tarea interna de cada institución y trivial frente al conocimiento exhaustivo de sus causas.
Tener una información detallada sobre las causas que han originado cierta actividad maliciosa permite, entre otras cosas, ayudar a otras instituciones afiliadas a RedIRIS a resolver problemas similares, así como tener una fuente de conocimiento de la que toda nuestra Comunidad pueda sacar provecho.
Con el esfuerzo de todos, cuanto más detallada sea esta información, más ayuda personalizada le podremos ofrecer a su institución frente a cualquier anomalía.