Entregables en la Preparación para el Equipo de Respuesta ante Incidentes

  • Posted on: 16 February 2021
  • By: ReYDeS

Debido a se está trabajando para una empresa consultora, los entregables son la parte más importante de aquello proporcionado hacia los clientes. Es importante para cualquier equipo visualizar aquello hecho en términos del servicio entregado, y definir elementos estándar los cuales producirán. Los entregables más importantes para un equipo de respuesta para incidentes son los reportes de la investigación. Los reportes puede variar desde una simple página con actualizaciones de estado, hasta reportes detallados del examen forense, los cuales pueden estar constituidos por más de 30 páginas.

El equipo para respuesta de incidentes debe explícitamente definir los entregables primarios, incluyendo los marcos de tiempo apropiados para completarlo o intervalos de recurrencia. Además se deben crean plantillas e instrucciones para cada entregable de tal manera se asegure su consistencia. Una simple lista de entregables para un equipo de respuesta para incidentes son:

Reporte sobre el estado del caso: Actualizar a quienes toman decisiones sobre el progreso de un caso individual. Su recurrencia es diaria o cuando sea requerido.

Reporte de la respuesta en vivo: Documenta los hallazgos desde el triage inicial de la respuesta en vivo de un solo sistema. Borrador dentro de un día. Final dentro de dos.

Reportes del examen forense: Documenta los hallazgos detallados desde un análisis forense realizado sobre un elemento de evidencia. Borrador dentro de cuatro días. Final dentro de seis días.

Reporte del análisis de malware: Documenta los hallazgos desde el análisis de un software sospechoso como malicioso. Borrador dentro de tres días. Final dentro de cinco días.

Reporte de la investigación sobre intrusión: Consolida todos los reportes y hallazgos relacionados hacia un único incidente, y crea un resumen ejecutivo de alto nivel. Borrador dentro de cinco días de completada la investigación. Final dentro de ocho días de completar la investigación.

Fuentes:

https://www.cisa.gov/cyber-incident-response
https://www.exabeam.com/incident-response/incident-response-plan/
https://cd-docdb.fnal.gov/cgi-bin/ShowDocument?docid=3097

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero