Evento cibernético

Para conocer qué es un evento cibernético, es importante saber en qué se diferencia de un “incidente de seguridad”. Los conceptos de “evento” e “incidente” están estrechamente relacionados. Diversos estándares como la ISO/IEC 27001, de Seguridad de la información, o la ISO/IEC 27035, de Gestión de Incidentes de Seguridad de la información, ayudan a definir y diferenciar dichos conceptos.

Según la norma ISO 27035, un incidente de Seguridad de la información es indicado por un único o una serie de eventos seguridad de la información indeseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información. Por tanto, un incidente de seguridad puede definirse como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información. Se trata de un impedimento en la operación normal de las redes, sistemas o recursos informáticos. O incluso de una violación a la Política de Seguridad de la Información del organismo.

Algunos ejemplos son:

  • Un acceso no autorizado.
  • El robo de contraseñas.
  • La introducción de malware (virus, troyanos…).
  • La alteración de información.
  • Entre otras.

Ahora bien, según la ISO 27035, un evento de seguridad puede ser definido como “la ocurrencia identificada en el estado de un sistema, servicio o red, indicando una posible violación de la seguridad de la información, política o falla de los controles, o una situación previamente desconocida que puede ser relevante para la seguridad”. Algunos ejemplos son:

  • Un usuario que se conecta a un sistema.
  • Un intento fallido de un usuario de ingresar a una aplicación.
  • Un firewall que permite o bloquea el acceso.
  • Una notificación de cambio de contraseña de un usuario privilegiado.
  • Entre otras.

En base a esto, y de acuerdo con lo estipulado por la ISO 27001, la gestión de incidentes debe garantizar un enfoque consistente y eficaz, incluyendo la comunicación de los eventos de seguridad. En este sentido, uno de los pasos para la resolución de incidentes es su notificación, en la que una persona ha de notificar los eventos que considere que pueden dañar el funcionamiento de la organización.

Así pues, un evento de seguridad no necesariamente tiene implicaciones para la confidencialidad, integridad o disponibilidad, por lo que habrá que determinarse. Mientras que el incidente siempre es indeseado. En este sentido, los eventos pueden clasificarse como simples eventos o pueden pasar a ser incidentes de seguridad de la información.