Skip to main content.

Lista de chequeo para quienes manejan incidentes

Traducción del capítulo 8 de https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

  1. Preparación
    1. ¿Todos los miembros conocen las políticas de seguridad de la organización?
    2. ¿Todos los miembros del Equipo de Respuesta a Incidentes conoce a quien contactar?
    3. ¿Todos los que responden incidentes tiene acceso a diarios y acceso a herramientas para realizar el proceso de respuesta a incidentes?
    4. ¿Todos los miembros han participado en ejercicios de respuesta a incidentes para practicar el proceso de respuestta y para mejorar la base establecida de manera efectiva y regular?
  2. Identificación
    1. ¿Donde ocurrió el incidente?
    2. ¿Quién reportó o descubrió el incidente?
    3. ¿Cómo se descubió?
    4. ¿Hay otras áreas comprometidas con el incidente? ¿Cuales y cuando se descubrió?
    5. ¿Cual es el alcance del impacto?
    6. ¿Cual es el impacto en el negocio?
    7. ¿Se ha localizado la fuente del incidente? Si así es, ¿cuando, donde y quienes son?
  3. Contención
    1. Contención de corto plazo
      1. ¿Puede aislarse el problema?
        1. Si así es, proceder a aislar el sistema afectado.
        2. Si no, trabajar con dueos del sistema o adminsitradores para determinar acciones por realizar para contener el problema.
      2. ¿Están todos los sitemas afectado aislados de sistemas no afectados?
        1. Si así es, continuar con el siguiente paso.
        2. Si no es así, continuar aislando sistemas afectados hasta que se logre una contención de corto-plazo y prevenir que el incidente escale más.
    2. Respaldo del sistema
      1. ¿Se han creado copias forenses de los sistemas afectado para análisis posteriores?
      2. ¿Todos los comandos y otros documentos se han actualizado para mantenerlos al día desde que el incidente ocurrió?
        1. Si no documentar todas las acciones tomadas tan pronto como sea posible para asegurar que toda la evidencia se retiene bien para perseguir o bien como lecciones aprendidas.
        2. ¿Las copias forenses se almacenan en un lugar seguro?
          1. Si así es continuar al siguiente paso
          2. Si no, poner imagenes forenses en una ubicación seguria para prevenir daño accidental o intencional.
    3. Contención a largo plazo
      1. Si el sistema puede apagarse, proceda a la fase de erradicación.
      2. Si el sistema debe mantenerse en producción proceda a contención a largo plazo, eliminando todo programa malicioso y otros artefactos de los sistemas afectados, y asegure el sistema afectado de futuros ataques hasta que circunstancias idelas permitan que pueda sacarse una imagen del sistema afectado.
  4. Erradicación
    1. ¿Puede el sistema recuperarse y ser endurecido con parches u otras medidas para prevenir o reducir el riesgo de ataque?
      1. Si no es así establezca por que
      2. ¿Todo los programas maliciosos y artefactos dejados por los atacantes han sido eliminado y los sitemas afectados se han endurecido contra más ataques?
        1. Si no explicar por qué
  5. Recuperación
    1. ¿El sistema afectado se ha parchado y endurecido contra el ataque reciente, y contra posibles atauqes futuros?
    2. ¿Que día y a que hora sería posible restaurar el sistema afectado a producción?
    3. Que herramientas usará para probar, monitorear y verificar que el sistema restaurado en producción no está comprometido por los mismos método que causaron el incidente original?
    4. ¿Cuanto tiempo planea monitorear el sistema restaurado y que buscará?
    5. ¿Hay líneas de base que pueda usar para comparar los resultados del monitores del sistema restaurado?
  6. Lecciones aprendidas
    1. ¿Se ha escrito toda la documentación necesaria sobre el incidente?
      1. Si así es, genere el reporte de respuesta a incidente para la reunión sobre lecciones aprendidas.
      2. Si no, escriba documentación tan pronto pueda antes de que todo se olvide y quede fuera del reporte.
    2. Suponiendo que el reporte de respuesta aincidente está completo, ¿documenta y responde a las siguientes preguntas de cada una de las fases del proceso de respuesta a incidente: (¿Quién?, ¿Qué? ¿Donde? ¿Por qué? y ¿Cómo?)?
    3. ¿Puede programarse una reunión de lecciones aprendidas dentro de las dos semanas siguientes a la resolución del incidente?
      1. Si no, por favor explique por qué y cuando es el tiempo más conveniente para hacerla.
    4. Reunión de lecciones aprendidas
      1. Revise el proceso de respuesta a incidente del incidente que ha ocurrido con todos los miembros del equipo.
      2. ¿En la reunión se discutió cualquier error o área donde le proceso de respuesta pudo manejarse mejor?
      3. Si no, explicar por qué?