Tabla de contenido
¿Cómo detectar un incidente?
Se debe valorar su alcance y plantearse una serie de cuestiones como por ejemplo, qué hizo la persona que detectó el incidente, qué comandos o herramientas fueron utilizadas, qué medidas se tomaron para la contención del mismo, si saltaron alarmas como la del antivirus o si se revisaron los logs para localizar más entradas sospechosas, etc.
¿Cuáles son las fases de la respuesta a incidentes?
La respuesta a incidentes es un ciclo que cuenta con las siguientes fases. Preparación: donde se reúnen las herramientas necesarias para el tratamiento del incidente (antimalware, comprobadores de integridad de ficheros o dispositivos, escáneres de vulnerabilidades, análisis de logs, sistemas de recuperación y backup, análisis forense, etc.).
¿Qué es la contención de un incidente?
Contención: impidiendo que el incidente se extienda a otros recursos. Como consecuencia, se minimizará su impacto (separando equipos de la red afectada, deshabilitando cuentas comprometidas, cambiando contraseñas, etc.).
¿Qué es la identificación de un incidente?
Identificación: dónde se detecta el incidente, se determina el alcance y se conforma una solución. Esta fase engloba a los responsables del negocio, operaciones y comunicación (contactos con soportes técnicos, CERT, peritos forenses, policía o asesores legales si fueran necesarios, etc.).
¿Qué es una incidencia o incidente?
Una incidencia o incidente es una interrupción inesperada de un servicio que afecta a la productividad del usuario final y puede estar causada por un activo que no funcione correctamente o por una falla en la red.
¿Cómo se clasifican los incidentes?
Los incidentes se pueden clasificar y subcategorizar en función del área de TI o negocio en la que el incidente causa una interrupción, como la red, el hardware, etc. La prioridad de un incidente se puede determinar en función de su impacto y urgencia utilizando una matriz de prioridad.