Información general sobre la administración de incidencias
¿Qué es un incidente de seguridad?
Microsoft define un incidente de seguridad en su servicios en línea como una vulneración de seguridad confirmada que conduce a la destrucción accidental o ilegal, pérdida, modificación, divulgación no autorizada o acceso a datos de clientes o datos personales mientras Microsoft los procesa. Por ejemplo, el acceso no autorizado a la infraestructura de servicios en línea de Microsoft y la filtración de datos de clientes constituirían un incidente de seguridad, mientras que los eventos de cumplimiento que no afectan a la confidencialidad, integridad o disponibilidad de servicios o datos de clientes no se consideran incidentes de seguridad.
¿Cómo responde Microsoft a los incidentes de seguridad?
Siempre que haya un incidente de seguridad, Microsoft se esfuerza por responder de forma rápida y eficaz para proteger los servicios Microsoft y los datos de los clientes. Microsoft emplea una estrategia de respuesta a incidentes diseñada para investigar, contener y eliminar amenazas de seguridad de forma rápida y eficaz.
Los servicios en la nube de Microsoft se supervisan continuamente en busca de signos de peligro. Además de la supervisión y alertas de seguridad automatizadas, todos los empleados reciben formación anual para reconocer e informar de posibles incidentes de seguridad. Cualquier actividad sospechosa detectada por empleados, clientes o herramientas de supervisión de seguridad se escala a equipos de respuesta de seguridad específicos del servicio para su investigación. Todos los equipos de operaciones de servicio, incluidos los equipos de respuesta de seguridad específicos del servicio, mantienen una rotación de llamada profunda para garantizar que los recursos estén disponibles para la respuesta a incidentes 24x7x365. Nuestras rotaciones de llamada permiten a Microsoft montar una respuesta eficaz a incidentes en cualquier momento o escala, incluidos los eventos extendidos o simultáneos.
Cuando se detecta y aumenta la actividad sospechosa, los equipos de respuesta de seguridad específicos del servicio inician un proceso de análisis, contención, eliminación y recuperación. Estos equipos coordinan el análisis del posible incidente para determinar su ámbito, incluido cualquier impacto para los clientes o los datos de los clientes. Basándose en este análisis, los equipos de respuesta de seguridad específicos del servicio trabajan con equipos de servicio afectados para desarrollar un plan para contener la amenaza y minimizar el impacto del incidente, eliminar la amenaza del entorno y recuperarse completamente en un estado seguro conocido. Los equipos de servicio relevantes implementan el plan con el apoyo de los equipos de respuesta de seguridad específicos del servicio para asegurarse de que la amenaza se elimina correctamente y los servicios afectados se someten a una recuperación completa.
Una vez resuelto un incidente, los equipos de servicio implementan las lecciones aprendidas del incidente para prevenir, detectar y responder mejor a incidentes similares en el futuro. Seleccione los incidentes de seguridad, especialmente los que afectan al cliente o resultan en una vulneración de datos, se someten a un incidente completo después de la mortem. El análisis posterior está diseñado para identificar los errores técnicos, los errores de procedimientos, los errores manuales y otros errores de proceso que podrían haber contribuido al incidente o que se identificaron durante el proceso de respuesta a incidentes. Las mejoras identificadas durante la post mortem se implementan con la coordinación de los equipos de respuesta de seguridad específicos del servicio para ayudar a evitar incidentes futuros y mejorar las capacidades de detección y respuesta.
¿Cómo y cuándo se notifica a los clientes de incidentes de seguridad o privacidad?
Siempre que Microsoft tenga conocimiento de una vulneración de la seguridad que implique pérdida, divulgación o modificación no autorizada de datos de clientes, Microsoft notifica a los clientes afectados en un plazo de 72 horas, tal como se describe en el Anexo de protección de datos (DPA) de los Términos de servicios en línea (OST). El compromiso de escala de tiempo de notificación comienza cuando se produce la declaración oficial de incidentes de seguridad. Tras declarar un incidente de seguridad, el proceso de notificación se produce lo más rápido posible, sin retrasos innecesarios.
Las notificaciones incluyen una descripción de la naturaleza de la infracción, el impacto aproximado del usuario y los pasos de mitigación (si procede). Si la investigación de Microsoft no se completa en el momento de la notificación inicial, la notificación también indicará los siguientes pasos y escalas de tiempo para la comunicación posterior.
Si un cliente tiene conocimiento de un incidente que podría tener un impacto en Microsoft, incluido, entre otros, una infracción de datos, el cliente es responsable de notificar inmediatamente a Microsoft del incidente tal como se define en el DPA.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con la administración de incidentes.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | 2 de diciembre de 2021 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | 2 de diciembre de 2021 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.9.1: Notificación de una vulneración de datos que implica PII | 2 de diciembre de 2021 |
| SOC 1 | IM-1: marco de administración de incidentes IM-2: Mecanismos de detección y alertas IM-3: Ejecución de respuesta a incidentes IM-4: Incidentes post mortems IM-6: Prueba de respuesta a incidentes OA-7: acceso de ingeniero de llamada |
31 de marzo de 2021 |
| SOC 2 SOC 3 |
CCM-9: Procedimientos forenses CUEC: Informes de incidentes IM-1: marco de administración de incidentes IM-2: Mecanismos de detección y alertas IM-3: Ejecución de respuesta a incidentes IM-4: Incidentes post mortems IM-6: Prueba de respuesta a incidentes OA-7: acceso de ingeniero de llamada SOC2-6: Sitio web de soporte al cliente SOC2-9: Paneles de servicio |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | IR-4: Control de incidentes IR-6: Informes de incidentes IR-8: Plan de respuesta a incidentes |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.16.1: Administración de incidentes y mejoras de seguridad de la información | 20 de abril de 2021 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.10.1: Notificación de una infracción de datos que implica PII | 20 de abril de 2021 |
| SOC 1 | CA-26: Informes de incidentes de seguridad CA-47: Respuesta a incidentes |
24 de diciembre de 2020 |
| SOC 2 | CA-12: Acuerdos de nivel de servicio (SLA) CA-13: Guías de respuesta a incidentes CA-15: Notificaciones de estado del servicio CA-26: Informes de incidentes de seguridad CA-29: Ingenieros de llamadas CA-47: Respuesta a incidentes |
24 de diciembre de 2020 |
| SOC 3 | CUEC-08: Informar de incidentes | 24 de diciembre de 2020 |