Ir al contenido
HERA

Respuesta a Incidentes de Seguridad

La Respuesta a Incidentes es nuestro plan de acción para cuando ocurre un evento de seguridad. Seguimos un proceso estructurado, basado en el estándar NIST SP 800-61, para gestionar los incidentes desde la detección hasta las lecciones aprendidas, con el objetivo de minimizar el impacto y prevenir la recurrencia.

Ciclo de Vida del Incidente

Sección titulada «Ciclo de Vida del Incidente»

Nuestro proceso se divide en 6 fases clave.

Ciclo de Respuesta a Incidentes — NIST SP 800-61
1
Preparación
Playbooks · Entrenamiento · Herramientas
2
Detección
Alertas · Análisis · Triaje inicial
3
Contención
Aislar · Bloquear · Revocar credenciales
6
Lecciones Aprendidas
Post-Mortem · Mejoras · Issues GitLab
5
Recuperación
Restaurar · Verificar · Monitoreo intensivo
4
Erradicación
Eliminar causa · Parchar · Limpiar
SLAs de Respuesta Inicial
P1 Crítico 15 min
P2 Alto 1 hora
P3 Medio 4 horas
P4 Bajo 24 horas
Mensaje clave 6 fases: Detección → Triaje → Contención → Erradicación → Recuperación → Lecciones aprendidas.

Detección y Reporte

Sección titulada «Detección y Reporte»

Fuentes de Detección

Sección titulada «Fuentes de Detección»
  • Automáticas: Alertas de Security Command Center, Datadog, fallos de pipeline de secret-detection, etc.
  • Manuales: Un empleado que nota un comportamiento extraño, un reporte de un cliente, o un hallazgo del programa de Bug Bounty.

Clasificación de Severidad y SLAs

Sección titulada «Clasificación de Severidad y SLAs»

Todo incidente se clasifica para determinar la urgencia y el nivel de respuesta.

SeveridadDescripciónSLA de Respuesta Inicial
P1 - CríticoImpacto masivo. Brecha de datos confirmada, ransomware, compromiso de sistemas de producción.15 minutos
P2 - AltoServicio crítico afectado. DDoS activo, malware detectado.1 hora
P3 - MedioAmenaza potencial. Intentos de intrusión fallidos, vulnerabilidad explotada en QA.4 horas
P4 - BajoEvento de bajo impacto. Escaneo de puertos, violación de política menor.24 horas

Proceso de Respuesta

Sección titulada «Proceso de Respuesta»
  1. Triaje: El equipo de seguridad confirma el incidente y asigna un Incident Commander, quien liderará la respuesta.
  2. Contención: El objetivo es limitar el daño.
    • Aislamiento: Aislar los sistemas afectados de la red.
    • Bloqueo: Bloquear IPs maliciosas a nivel de firewall.
    • Revocación: Deshabilitar credenciales comprometidas.
  3. Erradicación: Eliminar la causa raíz del incidente.
    • Parchado: Aplicar parches a las vulnerabilidades explotadas.
    • Limpieza: Eliminar malware o artefactos del atacante.
    • Re-imagen: Reconstruir sistemas desde una imagen limpia y segura.
  4. Recuperación: Restaurar los servicios a su estado normal de operación.
    • Restaurar desde Backups: Utilizar respaldos limpios.
    • Verificación: Confirmar que el sistema está limpio y funcionando correctamente.
    • Monitoreo Intensivo: Vigilar de cerca los sistemas recuperados para detectar cualquier actividad anómala.
  5. Lecciones Aprendidas (Post-Mortem):
    • ¿Qué pasó? Un recuento de los hechos sin buscar culpables.
    • ¿Qué salió bien? Qué partes de nuestra respuesta funcionaron como se esperaba.
    • ¿Qué podemos mejorar? Identificar fallos en nuestros procesos o tecnología.
    • Plan de Acción: Crear Issues en GitLab para dar seguimiento a las mejoras identificadas.