Introducción a la administración de incidentes de seguridad
¿Qué es un incidente de seguridad?
Microsoft define un incidente de seguridad en su servicios en línea como una vulneración de seguridad confirmada que conduce a la destrucción accidental o ilegal, pérdida, modificación, divulgación no autorizada o acceso a datos de clientes o datos personales mientras Microsoft los procesa. Por ejemplo, el acceso no autorizado a la infraestructura de Microsoft servicios en línea y la filtración de datos del cliente constituirían un incidente de seguridad, mientras que los eventos de cumplimiento que no afectan a la confidencialidad, integridad o disponibilidad de los servicios o los datos del cliente no se consideran incidentes de seguridad.
¿Cómo responde Microsoft a los incidentes de seguridad?
Cada vez que se produce un incidente de seguridad, Microsoft se esfuerza por responder de forma rápida y eficaz para proteger los servicios de Microsoft y los datos de los clientes. Microsoft emplea una estrategia de respuesta a incidentes diseñada para investigar, contener y eliminar amenazas de seguridad de forma rápida y eficaz.
Los servicios en la nube de Microsoft se supervisan continuamente para detectar signos de peligro. Además de la supervisión y las alertas de seguridad automatizadas, todos los empleados reciben formación anual para reconocer y notificar señales de posibles incidentes de seguridad. Cualquier actividad sospechosa detectada por empleados, clientes o herramientas de supervisión de seguridad se escala a los equipos de respuesta de seguridad específicos del servicio para su investigación. Todos los equipos de operaciones de servicio, incluidos los equipos de respuesta de seguridad específicos del servicio, mantienen una rotación profunda de llamadas para asegurarse de que los recursos están disponibles para la respuesta a incidentes 24x7x365. Nuestras rotaciones de llamada permiten a Microsoft montar una respuesta eficaz a incidentes en cualquier momento o escala, incluidos eventos extendidos o simultáneos.
Cuando se detecta y aumenta la actividad sospechosa, los equipos de respuesta de seguridad específicos del servicio inician un proceso de análisis, contención, erradicación y recuperación. Estos equipos coordinan el análisis del posible incidente para determinar su ámbito, incluido cualquier impacto en los datos de clientes o clientes. En función de este análisis, los equipos de respuesta de seguridad específicos del servicio trabajan con los equipos de servicio afectados para desarrollar un plan para contener la amenaza y minimizar el impacto del incidente, erradicar la amenaza del entorno y recuperarse completamente a un estado seguro conocido. Los equipos de servicio pertinentes implementan el plan con soporte técnico de los equipos de respuesta de seguridad específicos del servicio para asegurarse de que la amenaza se elimina correctamente y que los servicios afectados se someten a una recuperación completa.
Una vez resuelto un incidente, los equipos de servicio implementan las lecciones aprendidas del incidente para prevenir, detectar y responder mejor a incidentes similares en el futuro. Seleccione incidentes de seguridad, especialmente aquellos incidentes que afecten al cliente o que produzcan una vulneración de datos, se sometan a un incidente completo después de la mortem. El análisis posterior está diseñado para identificar los errores técnicos, los errores de procedimientos, los errores manuales y otros errores de proceso que podrían haber contribuido al incidente o que se identificaron durante el proceso de respuesta a incidentes. Las mejoras identificadas durante el post-mortem se implementan con la coordinación de los equipos de respuesta de seguridad específicos del servicio para ayudar a evitar incidentes futuros y mejorar las capacidades de detección y respuesta.
¿Cómo y cuándo se notifica a los clientes de incidentes de seguridad o privacidad?
Cada vez que Microsoft se da cuenta de una vulneración de seguridad que implica pérdida, divulgación o modificación no autorizadas de los datos del cliente, Microsoft notifica a los clientes afectados en un plazo de 72 horas, tal como se describe en el Anexo de protección de datos (DPA). El compromiso de escala de tiempo de notificación comienza cuando se produce la declaración oficial de incidentes de seguridad. Tras declarar un incidente de seguridad, el proceso de notificación se produce lo más rápido posible, sin retrasos innecesarios.
Las notificaciones incluyen una descripción de la naturaleza de la infracción, el impacto aproximado del usuario y los pasos de mitigación (si procede). Si la investigación de Microsoft no se completa en el momento de la notificación inicial, la notificación también indicará los pasos y escalas de tiempo siguientes para la comunicación posterior.
Si un cliente tiene conocimiento de un incidente que podría afectar a Microsoft, incluidos, entre otros, una vulneración de datos, el cliente es responsable de notificar a Microsoft rápidamente el incidente tal como se define en el DPA.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de los controles relacionados con la administración de incidentes.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificado |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | 6 de noviembre de 2023 |
| ISO 27017 Declaración de aplicabilidad Certificado |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | 6 de noviembre de 2023 |
| ISO 27018 Declaración de aplicabilidad Certificado |
A.9.1: Notificación de una vulneración de datos que implique PII | 6 de noviembre de 2023 |
| SOC 1 | IM-1: marco de administración de incidentes IM-2: Mecanismos de detección y alertas IM-3: Ejecución de la respuesta a incidentes IM-4: Postmortems de incidentes IM-6: Pruebas de respuesta a incidentes OA-7: acceso de ingeniero de llamada |
17 de noviembre de 2023 |
| SOC 2 SOC 3 |
CCM-9: Procedimientos forenses CUEC: Notificación de incidentes IM-1: marco de administración de incidentes IM-2: Mecanismos de detección y alertas IM-3: Ejecución de la respuesta a incidentes IM-4: Postmortems de incidentes IM-6: Pruebas de respuesta a incidentes OA-7: acceso de ingeniero de llamada SOC2-6: sitio web de soporte al cliente SOC2-9: Paneles de servicio |
17 de noviembre de 2023 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP (Office 365) | IR-4: Control de incidentes IR-6: Informes de incidentes IR-8: plan de respuesta a incidentes |
31 de julio de 2023 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación (27001/27002) Certificación (27017) |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | Marzo de 2024 |
| ISO 27018 Declaración de aplicabilidad Certificado |
A.10.1: Notificación de una vulneración de datos que implique PII | Marzo de 2024 |
| SOC 1 | CA-26: Informes de incidentes de seguridad CA-47: Respuesta a incidentes |
23 de enero de 2024 |
| SOC 2 | CA-12: Contratos de nivel de servicio (SLA) CA-13: Guías de respuesta a incidentes CA-15: notificaciones de Estado del servicio CA-26: Informes de incidentes de seguridad CA-29: Ingenieros de llamada CA-47: Respuesta a incidentes |
23 de enero de 2024 |
| SOC 3 | CUEC-08: Notificación de incidentes | 23 de enero de 2024 |
Recursos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de