Relatório pós-incidente - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Relatório pós-incidente

Após o evento, o AMS executa um processo de análise de investigação para todos os incidentes de segurança. Além disso, o AMS inicia um processo de correção de erro (COE) para tratar de incidentes de segurança causados por um sistema ou por uma falha processual que, plausivelmente, pode ser melhorada. A AMS faz parceria com você para melhorar continuamente a experiência de investigação de segurança. O processo de COE ajuda a AMS a identificar os fatores que contribuem para eventos que afetam o cliente e conecta essas causas aos itens de ações futuras que podem evitar que eventos semelhantes se repitam ou ajudar a mitigar a duração ou o nível de impacto.

O processo de análise da investigação de incidentes de segurança aborda os seguintes itens para identificar oportunidades de melhoria:

  • Qual foi o tempo decorrido desde o início do incidente até a descoberta do incidente, a avaliação inicial do impacto e cada estágio do processo de tratamento do incidente (por exemplo, contenção, recuperação)?

  • Quanto tempo a equipe de resposta a incidentes levou para responder ao relatório inicial do incidente?

  • Quanto tempo demorou para fazer uma análise de impacto inicial?

  • Isso era evitável e como? Existe uma ferramenta ou processo que poderia ter evitado isso?

  • Poderíamos ter detectado isso mais cedo e como?

  • O que poderia ter acelerado a investigação?

  • Os procedimentos documentados de resposta a incidentes foram seguidos? Eles eram adequados?

  • O compartilhamento de informações com outras partes interessadas foi feito em tempo hábil? Como ele poderia ser melhorado?

  • A colaboração com outras equipes (AWS segurança, equipes de contas, equipe de AWS desenvolvimento e equipe de segurança do cliente) foi eficaz? Se não, o que poderia ser melhorado?

  • Quais etapas de preparação estavam faltando que poderiam ter ajudado, matrizes de escalonamento, RACIs, modelos de responsabilidade compartilhada e assim por diante? É necessário atualizar algum Runbook?

  • Qual foi a diferença entre a avaliação de impacto inicial e a avaliação de impacto final? O que podemos fazer para melhorar a precisão das avaliações anteriores na resposta ao incidente?

  • Quais são os itens de ação das lições aprendidas?