Proceso de respuesta ante incidentes de datos

Este contenido se actualizó por última vez en mayo de 2024 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google de ahora en adelante, ya que mejoramos la protección de nuestros clientes de forma continua.

La prioridad más alta de Google es mantener un entorno seguro y protegido para los datos del cliente. A fin de proteger los datos del cliente, ejecutamos una operación de seguridad de la información líder en el sector en la que se combinan procesos estrictos, un equipo de respuesta ante incidentes experimentado y una infraestructura de privacidad y seguridad de la información de varias capas. En este documento, se explica nuestro enfoque de principios para administrar los incidentes de datos en Google Cloud y responder a estos.

En el Anexo de Procesamiento de Datos de Cloud, se define un incidente de datos como “un incumplimiento de la seguridad de Google que puede dar como resultado, de forma accidental o ilegal, la destrucción, pérdida, alteración o divulgación no autorizada de los datos del cliente, o el acceso no autorizado a ellos, en los sistemas administrados o controlados por Google”. Si bien tomamos medidas para abordar las amenazas previsibles a los datos y los sistemas, los incidentes de datos no incluyen actividades o intentos fallidos que no comprometan la seguridad de los datos del cliente. Por ejemplo, los incidentes de datos no son intentos de acceso, pings, análisis de puertos, ataques de denegación del servicio y otros ataques de red en firewalls o sistemas conectados en red que se realizan sin éxito.

La respuesta ante incidentes es un aspecto clave de nuestro programa de privacidad y seguridad general. Contamos con un proceso riguroso para la administración de los incidentes de datos. En este proceso, se especifican las acciones, las derivaciones, la mitigación, la resolución y la notificación de cualquier incidente que afecte la confidencialidad, la integridad o la disponibilidad de los datos del cliente.

Para obtener más información sobre cómo protegemos Google Cloud, consulta la descripción general del diseño de seguridad de la infraestructura y la seguridad de Google Cloud.

Respuesta ante incidentes de datos

Nuestro programa de respuesta ante incidentes está administrado por grupos de expertos en respuesta ante incidentes de varias funciones especializadas para asegurarse de que cada respuesta sea adecuada a los desafíos que presenta cada incidente. Según la naturaleza del incidente, el equipo de respuesta profesional puede incluir expertos de los siguientes equipos:

  • Administración de incidentes y derivación
  • Ingeniería de productos
  • Ingeniería de confiabilidad de sitios
  • Privacidad y seguridad de la nube
  • Detección de intrusiones digitales
  • Investigaciones globales
  • detectar anomalías y automatizar la detección y respuesta ante amenazas.
  • Asesoramiento sobre productos, privacidad y seguridad
  • Confianza y seguridad
  • Tecnología contra abusos
  • Atención al cliente de Cloud

Los expertos de estos equipos participan de diferentes formas. Por ejemplo, los comandantes de incidentes coordinan la respuesta ante el incidente y, cuando es necesario, el equipo de detección de intrusiones digitales realiza investigaciones y descubre ataques en curso. Los ingenieros de los productos trabajan para limitar el impacto en los clientes y ofrecer soluciones con el fin de corregir los productos afectados. El asesor trabaja con miembros del equipo de privacidad y seguridad correspondiente para implementar la estrategia de Google en cuanto a la recopilación de evidencia, el compromiso con el orden público y las entidades reguladoras del Gobierno, y los consejos sobre problemas y requisitos legales. Atención al cliente responde a las consultas y solicitudes de los clientes para brindar información y asistencia adicionales.

Organización del equipo

Cuando se declara un incidente, se designa un comandante de incidentes que coordinará la respuesta ante este y la resolución. El comandante de incidentes selecciona especialistas de diferentes equipos y forma un equipo de respuesta. El comandante de incidentes delega a estos expertos la responsabilidad de administrar los diferentes aspectos del incidente y lo administra desde el momento de la declaración hasta el cierre. En el siguiente diagrama, se muestra un ejemplo de organización de varios roles y sus responsabilidades durante la respuesta ante el incidente. Según el tipo de incidente, se pueden asignar diferentes roles.

Organización del equipo de respuesta ante incidentes de datos

Proceso de respuesta ante incidentes de datos

Cada incidente de datos es único, y el objetivo del proceso de respuesta ante incidentes de datos es proteger los datos del cliente, restablecer el servicio normal lo más rápido posible y respetar los requisitos de cumplimiento normativos y contractuales. En la siguiente tabla, se describen los pasos principales del programa de respuesta ante incidentes de Google.

Paso del incidente Objetivo Descripción
Identificación Detección Los procesos automatizados y manuales detectan los incidentes y las vulnerabilidades potenciales.
Informes Los procesos automatizados y manuales informan el problema al equipo de respuesta ante incidentes.
Coordinación Clasificación Ten en cuenta las siguientes actividades:
  • El experto en respuestas de guardia evalúa la naturaleza del informe de incidente.
  • El experto en respuestas de guardia evalúa la gravedad del incidente.
  • El experto en respuestas de guardia asigna al comandante de incidentes.
Participación del equipo de respuesta Ten en cuenta las siguientes actividades:
  • El comandante de incidentes completa la evaluación de hechos conocidos.
  • El comandante de incidentes designa líderes de equipos relevantes y forma un equipo de respuesta ante incidentes.
  • El equipo de respuesta ante incidentes evalúa el incidente y el esfuerzo de respuesta.
Solución Investigación Ten en cuenta las siguientes actividades:
  • El equipo de respuesta ante incidentes recopila hechos clave sobre el incidente.
  • Los recursos adicionales están integrados según sea necesario para permitir una resolución conveniente.
Contención y recuperación El líder de operaciones toma medidas inmediatas para completar lo siguiente:
  • Limitar los daños continuos.
  • Solucionar el problema subyacente.
  • Restablecer los sistemas y los servicios afectados a las operaciones normales.
Comunicación Ten en cuenta las siguientes actividades:
  • Los hechos clave se evalúan para determinar si la notificación es apropiada.
  • Los desarrolladores líderes de comunicaciones deben contar con un plan de comunicación con los líderes adecuados.
Cierre Lecciones aprendidas Ten en cuenta las siguientes actividades:
  • El equipo de respuesta ante incidentes hace una retrospectiva del incidente y el esfuerzo de respuesta.
  • El comando de incidentes designa propietarios para realizar mejoras a largo plazo.
Mejora continua Desarrollo de programas Se mantienen los equipos, la capacitación, los procesos, los recursos y las herramientas necesarios.
Prevención Los equipos mejoran el programa de respuesta ante incidentes según las lecciones aprendidas.

En las siguientes secciones, se describe cada paso con más detalle.

Identificación

La identificación temprana y exacta de incidentes es clave para lograr una administración de incidentes efectiva. El enfoque de la fase de identificación es supervisar los eventos de seguridad para detectar y denunciar los posibles incidentes de datos.

El equipo de detección de incidentes emplea herramientas, señales y mecanismos de alerta de detección avanzada que ofrecen una indicación temprana de posibles incidentes. Nuestras fuentes de detección de incidentes incluyen las siguientes opciones:

  • Análisis automatizado de redes y registros de sistemas: el análisis automatizado del tráfico de red y el acceso a los sistemas ayuda a identificar actividades inadecuadas, sospechosas o no autorizadas y a remitir el problema al personal de seguridad.

  • Pruebas: el equipo de seguridad de Google hace análisis de forma activa en busca de amenazas de seguridad a través de pruebas de penetración, medidas de garantía de calidad (QA), detección de intrusiones y revisiones de la seguridad del software.

  • Revisiones del código interno: la revisión del código fuente descubre vulnerabilidades ocultas y defectos de diseño, y verifica si los controles clave de seguridad están implementados.

  • Herramientas y procesos específicos de un producto: cuando es posible, se emplean las herramientas automatizadas específicas de la función del equipo para mejorar nuestra capacidad de detectar incidentes en el nivel del producto.

  • Detección de anomalías en el uso: usamos varias capas de sistemas de aprendizaje automático para diferenciar la actividad segura del usuario de la que no lo es en navegadores, dispositivos, accesos a aplicaciones y otros eventos de uso.

  • Alertas de seguridad para los centros de datos y los servicios del lugar de trabajo: las alertas de seguridad en los centros de datos buscan incidentes que puedan afectar nuestra infraestructura.

  • Empleados de Google: un empleado de Google detecta una anomalía y la informa.

  • Programa de recompensas por detección de vulnerabilidades de Google: a veces, son investigadores de seguridad externos los que informan las posibles vulnerabilidades técnicas en las extensiones de navegadores, los móviles y las aplicaciones web de Google que afectan la confidencialidad o integridad de los datos del usuario.

Coordinación

Cuando se informa un incidente, el experto en respuestas de guardia revisa y evalúa la naturaleza del informe de incidentes para determinar si representa un posible incidente de datos y comienza el proceso de respuesta ante incidentes.

Después de la confirmación, el experto en respuestas evalúa la naturaleza del incidente y, luego, implementa un enfoque coordinado para la respuesta. En esta etapa, la respuesta incluye completar la evaluación de clasificación del incidente, ajustar la gravedad si es necesario y activar el equipo de respuesta ante incidentes correspondiente con los líderes operativos y técnicos adecuados que revisen los hechos y, además, identifiquen las áreas clave que requieran investigación. Se designa un líder de producto y un líder legal para que tomen decisiones clave acerca de cómo responder. Luego, el experto en respuestas asigna la responsabilidad de la investigación y pone en conjunto los hechos. Si es necesario, se declara un incidente y se asigna un comandante de incidentes.

Muchos aspectos de nuestra respuesta dependen de la evaluación de la gravedad, que se basa en hechos clave que el equipo de respuesta ante incidentes recopila y analiza. Estos hechos clave incluyen algunas de las siguientes opciones:

  • El posible daño a clientes, terceros y Google

  • La naturaleza del incidente (por ejemplo, si es posible que los datos se hayan destruido, se haya accedido a ellos o se hayan alterado)

  • El tipo de datos que podría verse afectado

  • El impacto del incidente en la capacidad de nuestros clientes para usar el servicio

  • El estado del incidente (por ejemplo, si el incidente fue aislado, continúa o está controlado)

El comandante de incidentes y otros líderes evalúan diariamente estos factores durante la respuesta a medida que la nueva información evoluciona para asegurarse de asignar a nuestra respuesta los recursos y la urgencia adecuados. A los eventos que suponen el impacto más importante se les asigna la mayor gravedad. Se asigna un líder de comunicación para desarrollar un plan de comunicación con otros líderes.

Solución

En la etapa de resolución, el enfoque está en investigar la causa principal, limitar el impacto del incidente, resolver los riesgos de seguridad inmediatos (si existen), implementar las correcciones necesarias como parte de la solución y recuperar los sistemas, los datos y los servicios afectados.

Si es posible, los datos afectados se restablecen a su estado original. Podemos realizar diferentes pasos para resolver un incidente, según lo que sea razonable y necesario en cada caso. Por ejemplo, se podría necesitar una investigación técnica o forense para reconstruir la causa principal de un problema o identificar cualquier impacto en los datos del cliente. Podríamos intentar recuperar copias de los datos de nuestras copias de seguridad si los datos se destruyeron o alteraron de manera inadecuada.

Un aspecto clave de la solución es informar a los clientes cuando los incidentes tienen un impacto en sus datos. Los hechos clave se evalúan en todo el incidente para determinar si afectó los datos del cliente. Si es adecuado informar a los clientes, el comandante de incidentes inicia el proceso de notificación. El líder de comunicación desarrolla un plan de comunicación con información de los líderes de producto y legal, informa a aquellos afectados y responde las solicitudes de los clientes luego de la notificación con la ayuda de Atención al cliente.

Trabajamos para proporcionar notificaciones rápidas, claras y exactas que contengan los detalles conocidos del incidente de datos, los pasos que tomamos para mitigar los riesgos posibles y las acciones que recomendamos que los clientes tomen para abordar el incidente. Hacemos todo lo posible para brindar un panorama claro del incidente, de manera que los clientes pueden evaluar y cumplir con sus propias obligaciones de notificación.

Cierre

Luego de solucionar con éxito un incidente de datos, el equipo de respuesta ante incidentes evalúa las lecciones que se aprendieron debido al incidente. Cuando el incidente causa problemas graves, el comandante de incidentes podría iniciar un análisis a posteriori. Durante este proceso, el equipo de respuesta ante incidentes revisa las causas del incidente y nuestra respuesta y, luego, identifica las áreas clave de mejora. En algunos casos, podría requerirse consultar a diferentes equipos de producto, ingeniería y operaciones, y trabajar en mejorar el producto. Si se requiere un trabajo de seguimiento, el equipo de respuesta ante incidentes desarrolla un plan de acción para completar el trabajo y asigna administradores de proyecto que se encarguen a largo plazo. El incidente se cierra luego de concluir el esfuerzo de solución.

Mejora continua

En Google trabajamos para aprender de cada incidente y poder implementar medidas preventivas que eviten incidentes futuros.

Las estadísticas prácticas del análisis de incidentes nos permiten mejorar las herramientas, los entrenamientos, los procesos, los programa de protección de datos de seguridad general y privacidad, las políticas de seguridad y los esfuerzos de respuesta. El aprendizaje clave también facilita la priorización de los esfuerzos de ingeniería y la compilación de mejores productos.

Los profesionales de la privacidad y seguridad mejoran el programa cuando revisan nuestros planes de seguridad para todas las redes, sistemas y servicios, y ofrecen servicios de asesoría específicos de los proyectos destinados a los equipos de ingeniería y producto. Los profesionales de la privacidad y seguridad implementan el aprendizaje automático, el análisis de datos y otras técnicas innovadoras para supervisar la actividad sospechosa en nuestras redes, abordar las amenazas a la seguridad de la información, realizar evaluaciones y auditorías de seguridad de rutina y trabajar junto a expertos para llevar a cabo evaluaciones de seguridad con regularidad. Además, Project Zero informa los errores a los proveedores de software y los archiva en una base de datos externa con el fin de prevenir los ataques dirigidos.

Realizamos campañas periódicas de capacitación y concientización para impulsar la innovación en los ámbitos de la seguridad y la privacidad de datos. El personal de respuesta ante incidentes dedicado está entrenado en la detección de intrusiones y en el manejo de evidencia, incluido el uso de herramientas propias y de terceros. Las pruebas de los procesos y procedimientos de respuesta ante incidentes se realizan para las áreas clave, como los sistemas que almacenan información sensible del cliente. Estas pruebas consideran varias situaciones, como las amenazas de los usuarios con información privilegiada y las vulnerabilidades de software, y nos ayudan a estar mejor preparados para los incidentes de seguridad y privacidad.

Nuestros procesos se prueban con regularidad como parte de nuestros programas ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 y FedRAMP para ofrecerles a nuestros clientes y entes reguladores una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Para obtener una lista de las certificaciones de terceros de Google Cloud, consulta el Centro de recursos de cumplimiento.

Resumen

La protección de datos es esencial para nuestro negocio. Invertimos de manera continua en nuestro programa de seguridad general, en recursos y en especializaciones, lo que permite a nuestros clientes confiar en que responderemos de manera eficiente en caso de que se produzca un incidente, protegeremos los datos del cliente y mantendremos la alta confiabilidad que ellos esperan de un servicio de Google.

Nuestro programa de respuesta ante incidentes de primer nivel ofrece estas funciones clave:

  • Un proceso creado a partir de técnicas líderes en la industria para resolver incidentes y mejor definido a fin de operar de forma eficiente a la escala de Google.

  • Estadísticas de datos, servicios de aprendizaje automático y sistemas de supervisión pioneros para detectar y detener los incidentes de forma proactiva.

  • Expertos en la materia dedicados que pueden responder ante cualquier tipo o tamaño de incidente de datos.

  • Un proceso maduro para informar con rapidez a los clientes afectados, en consonancia con los compromisos de Google en nuestros acuerdos del cliente y de las Condiciones del Servicio

¿Qué sigue?