Operaciones
Las operaciones son el núcleo de la respuesta ante los incidentes. Aquí es donde se llevan a cabo las acciones de respuesta y reparación de los incidentes de seguridad. Las operaciones incluyen las cinco fases siguientes: detección, análisis, contención, erradicación y recuperación. Las descripciones de estas fases y los objetivos se encuentran en la tabla 3.
Tabla 3: fases de las operaciones
| Fase | Objetivo |
|---|---|
| Detección | Identifique un posible evento de seguridad. |
| Análisis | Determine si el evento de seguridad es un incidente y evalúe su alcance. |
| Contención | Minimice y limite el alcance del evento de seguridad. |
| Erradicación | Elimine los recursos o artefactos no autorizados relacionados con el evento de seguridad. Implemente soluciones de mitigación para el incidente de seguridad. |
| Recuperación | Restaure los sistemas a un estado seguro conocido y monitoree estos sistemas para comprobar que la amenaza no regrese. |
Las fases deben servir de guía a la hora de responder y operar en los incidentes de seguridad con el fin de responder de manera eficaz y sólida. Las medidas reales que tome variarán según el incidente. Por ejemplo, un incidente relacionado con ransomware contará con un proceso de respuesta diferente al de un incidente que involucre a un bucket de Amazon S3 público. Además, no es necesario que estas fases se produzcan de forma secuencial. Tras la contención y la erradicación, es posible que tenga que volver al análisis para saber si sus acciones fueron eficaces.
