Al definir un incidente de seguridad en computadoras, se establece el alcance de lo hecho por el equipo y el enfoque proporcionado. Es importante establecer esta definición, de tal manera todos entiendan las responsabilidades del equipo. Si aún no se tiene uno, se debe crear un definición del significado de “incidente de seguridad en computadoras”, para la organización. No existe una única definición aceptada, pero se puede considerar un incidente de seguridad en computadoras implica cualquier evento con las siguientes características:

• Intención de causar daño
• Fue realizado por una persona
• Involucra un recurso de computo

Al analizar estas características. Las primeras dos son consistentes con muchos tipos de incidentes comunes no tecnológicos, como incendios provocados, robos y asaltos. Si no existe la intención de causar daño, es difícil denominar a un evento un incidente. Se debe tener en consideración puede no haber daños inmediatos. Por ejemplo, realizar un escaneo de vulnerabilidades con la intención de utilizar los resultados maliciosamente, esto no causa un daño detectado de inmediato. La tercera característica, requiriendo una persona involucrada, excluye eventos como fallas aleatorias en el sistema, o factores más allá de nuestro control, como el clima. El hecho de un firewall esté inactivo debido a un corte de energía eléctrica, no es necesariamente un incidente, a menos una persona lo cause, o se aproveche de hacer algo para lo cual no estaba autorizado.

La característica final es lo que hace al incidente un incidente de seguridad en computadoras: el evento involucra un recurso de cómputo. Se utiliza el termino “recurso de cómputo” porque existe una amplia gama de tecnologías de cómputo encajando en esta categoría. Algunas veces los recursos de cómputo tienden a pasar desapercibidos, elementos como medios de respaldo, teléfonos, impresoras, tarjetas de acceso a edificios, tokens de doble factor, cámaras, dispositivos de automatización, dispositivos GPS, tabletas, televisores, y muchos otros. Los dispositivos de cómputo están en todos lados, y algunas veces se olvida cuanta información se almacena en estos, que controlan, y hacia donde están conectados.

Puede no estar claro cual evento es un incidente hasta alguna respuesta inicial sea realizada. Eventos sospechosos deben ser vistos como potenciales incidentes, hasta probarse lo contrario. Por el contrario, una investigación puede descubrir evidencia la cual muestre un incidente no fue realmente un verdadero invidente de seguridad.

Algunos ejemplos de incidentes de seguridad por computadora son:

• Robo de datos, incluido información personal confidencial, correos electrónicos y documentos
• Robo de fondos, incluyendo acceso bancario, tarjetas de crédito, y fraude electrónicos
• Extorsión
• Acceso no autorizado hacia recursos de cómputo
• Presencia de malware, incluyendo herramientas para acceso remoto y spyware
• Posesión de materiales ilegales, o no autorizados

El impacto de estos incidentes podría abarcar desde deber reconstruir algunas computadoras, invertir una gran cantidad de dinero en la remediación, hasta la disolución completa de la organización. Las decisiones tomadas, antes, durante y después de la ocurrencia del incidente, afectará directamente el impacto.

Fuentes:

https://www.itu.int/en/ITU-D/Cybersecurity/Documents/Computer%20Incident...
https://www.giac.org/paper/gsec/3907/introduction-computer-security-inci...