# Operaciones Las operaciones son el núcleo de la respuesta ante los incidentes. Aquí es donde se llevan a cabo las acciones de respuesta y reparación de los incidentes de seguridad. Las operaciones incluyen las cinco fases siguientes: *detección*, *análisis*, *contención*, *erradicación* y *recuperación*. Las descripciones de estas fases y los objetivos se encuentran en la tabla 3. *Tabla 3: fases de las operaciones* | Phase (Fase) | Objetivo | | --- | --- | | Detección | Identifique un posible evento de seguridad. | | Análisis | Determine si el evento de seguridad es un incidente y evalúe su alcance. | | Contención | Minimice y limite el alcance del evento de seguridad. | | Erradicación | Elimine los recursos o artefactos no autorizados relacionados con el evento de seguridad. Implemente soluciones de mitigación para el incidente de seguridad. | | Recuperación | Restaure los sistemas a un estado seguro conocido y monitoree estos sistemas para comprobar que la amenaza no regrese. | Las fases deben servir de guía a la hora de responder y operar en los incidentes de seguridad con el fin de responder de manera eficaz y sólida. Las medidas reales que tome variarán según el incidente. Por ejemplo, un incidente relacionado con ransomware contará con un proceso de respuesta diferente al de un incidente que involucre a un bucket de Amazon S3 público. Además, no es necesario que estas fases se produzcan de forma secuencial. Tras la contención y la erradicación, es posible que tenga que volver al análisis para saber si sus acciones fueron eficaces.