The dynamics of incident reporting systemsfrom safety to information security

Resumen

Esta tesis trata sobre la gestión y el control de los incidentes de la seguridad de la información. Especialmente, sobre cómo posibilitar la mejora del aprendizaje de los incidentes de seguridad de la información de forma continua. Esta tesis se centra en el sistema de registro de incidentes. La literatura sobre dichos sistemas es escasa. Opuesto a lo que pasa en seguridad de riesgos laborales, los sistemas para gestionar los acontecimientos que pudieron haber provocado accidentes, han estado vigentes en muchas organizaciones durante décadas. Estos sistemas han generado buenos resultados en la reducción del número de accidentes. Los investigadores han identificado una relación de inversa entre los accidentes y los sucesos divulgados. A mayor número de incidentes registrados menor número de accidentes, y viceversa. Esta relación se explica ya que gracias al registro y la investigación de los incidentes se es más consciente de lo ocurrido. Mediante estas investigaciones la organización aprende sobre los riesgos en materia de seguridad de sus propios sistemas por lo que puede actuar contra ellos. Durante el proyecto de MIRSA (divulgación y conocimiento de la gestión de incidente de la seguridad de la información), identificamos una relación similar entre el riesgo de producirse incidentes serios en la seguridad de la información y la divulgación de incidentes leves. Nuestro socio del proyecto, mnemonic AS, proveedor de servicios de gestión de seguridad noruego, ha experimentado un crecimiento del número de incidentes leves, pero importantes, en los últimos años. Nuestra investigación indica que mediante el estudio de ocurrencias sospechosas en el sistema que compone una organización moderna, se incrementa el conocimiento sobre el mismo y se puede lograr evitar sucesos serios. Por lo tanto, la mneminoc está llegando a ser más segura mediante el uso de su sistema de registro de incidentes. Esto es importante ya que una revisión de la literatura y de nuevos informes demuestra que tales brechas son cada vez más comunes en la sociedad digital moderna. Asimismo, basándose en los resultados del proyecto MIRSA, creemos que la seguridad precisa no se puede alcanzar sin la implicación de los usuarios de los sistemas de información. Las políticas solamente son eficaces si la gente las sigue realmente. Comunicando la necesidad de divulgar los incidentes sospechosos en los sistemas de información y prestando atención a los que divulguen puede crearse un bucle de refuerzo. Desafortunadamente, la literatura sobre la seguridad de la información divulga que los equipos encargados de gestionar el registro tienen excesivo trabajo y están faltos de personal. En el proyecto de MIRSA, este era el tema central de nuestra investigación. Dado que el número de incidentes registrados ha aumentado, el equipo está experimentando una alta carga de trabajo. Era crítico encontrar formas de reducir la carga de trabajo sin que la reducción del riesgo se viera afectada. Construimos un modelo de simulación de la dinámica del sistema para analizar este problema. Se examinaron múltiples estrategias y las principales so: 1. Implementar y mantener una base de conocimiento para aumentar el aprendizaje y la eficiencia del equipo. 2. Entrenar a los usuarios en materia de seguridad de la información primando los incidentes que permiten a la organización aprender sobre sus sistemas de información. 3. Consolidar la estrategia de comunicación. Mejorar la interacción entre los usuarios y el equipo de gestión de incidentes hace que se potencie el compromiso del usuario ante la seguridad. 4. Comunicar explícitamente a la gerencia la importancia de comprometerse en la seguridad, aun cuando la seguridad está mejorando.