En la primera parte de esta serie exploramos la importancia de las lecciones aprendidas. En esta entrada nos enfocaremos en lo que las organizaciones requieren para implementar efectivamente este proceso y continuaremos con el ejemplo del robo en mi hogar de la infancia para ilustrar el diseño del documento base de lecciones aprendidas.
La importancia de una política
Con el fin de que este proceso sea incorporado a nivel organizacional, debemos crear una política o simplemente agregar un apartado específico de lecciones aprendidas en la política o procedimiento de respuesta a incidentes.
Andrew Baze en el documento Improving Incident Response Through Simplified Lessons Learned Data Capture da una guía de como implementar esta política, la clave es definir que el equipo de respuesta a incidentes deberá capturar las lecciones aprendidas para cada incidente de severidad alta y crítica.
Andrew hace énfasis en utilizar la palabra “deberá” en lugar de “debería” y en las formas de recolectar las lecciones las cuales podrían ser vía correo electrónico, o una reunión formal.
Los ingredientes para capturar las lecciones aprendidas
Antes de convocar a la sesión de lecciones aprendidas, debemos contar con algunos elementos, con el fin de garantizar un proceso efectivo:
- Reporte del incidente: El documento que detalla lo qué ocurrió, incluyendo la cronología de los eventos, los sistemas, cuentas y procesos afectados, y las acciones tomadas en respuesta al incidente. Este documento también nos ayudará a definir quienes deberían participar en la sesión.
- Notas y comunicaciones: Todas las notas tomadas durante y después del incidente, incluyendo comunicaciones internas y externas.
- Personas que deben estar en la sesión: Debemos crear un listado con las personas que deben asistir a la sesión, podríamos incluir personal técnico (seguridad, mesa de ayuda, personal de TI) y personal no técnico (Legal, líderes de área o negocio, comunicaciones, recursos humanos, e incluso proveedores si es requerido.
- Documento base: El documento base actúa como la agenda y el marco para la sesión de lecciones aprendidas. Debe ser preparado con antelación y distribuido entre los participantes para su revisión. El documento debe incluir por lo menos los siguientes elementos:
- Objetivos de la sesión: Ayuda a clarificar qué se espera lograr con la sesión de lecciones aprendidas.
- Agenda detallada: Desglose de los temas a discutir, asignando tiempos específicos para cada punto para asegurar que todos los temas importantes sean cubiertos.
- Preguntas o temas para reflexionar: Preguntas o temas que los participantes deben considerar antes de la sesión, con el fin de fomentar una discusión más profunda y enfocada. En la página 38 del documento de NIST SP 800-61 podemos encontrar algunas preguntas para usar como guía.
Rebekah Brown y Scott J.Roberts en la segunda edición de su libro Intelligence-Driven Incident Response mencionan que en la fase de las lecciones aprendidas, se debe evaluar el desempeño del equipo durante cada una de las fases de la respuesta a incidentes, respondiendo las siguientes preguntas base:
- ¿Qué pasó?
- ¿Qué hicimos bien?
- ¿Qué podríamos haber hecho mejor?
- ¿Que haríamos diferente ante un futuro incidente?
En este libro también encontraremos una serie de preguntas por cada una de las fases del ciclo de respuesta a incidentes y a continuación vamos a usar ese enfoque para crear el documento base y analizar el incidente de mi niñez. Aún no vamos a responder las preguntas, simplemente las vamos a plantear en la plantilla.
Plantilla base para la sesión de lecciones aprendidas
Objetivo de la sesión:
Detalles del Incidente
Cronología del incidente:
Impacto del incidente:
Participantes:
Nombre | Rol |
Puntos de discusión
Preparación
- ¿Cómo podríamos haber evitado el incidente por completo?
- ¿Qué prácticas o herramientas podrían haber mejorado todo el proceso?
Identificación
- ¿Qué herramientas podrían haber facilitado la identificación de la amenaza?
- ¿Que investigación sobre la amenaza hubiesen ayudado?
Contención
- ¿Qué medidas de contención fueron efectivas?
- ¿Cuáles no?
- ¿Habrían sido útiles otras medidas de contención si hubieran sido más fáciles de implementar?
Erradicación
- ¿Qué mecanismos de erradicación salieron bien?
- ¿Qué se hubiese podido hacer mejor?
Recuperación
- ¿Qué demoró la recuperación? (Sugerencia: concéntrese en la comunicación, ya que es una de las partes más difíciles de la recuperación).
Plan de Implementación
Actividad | Responsable | Fecha de validación |
Esta plantilla está diseñada para ser adaptable en diferentes tipos de incidentes y organizaciones. En el siguiente enlace podrán descargar la plantilla que usamos para incidentes de seguridad.
En la próxima entrada utilizaremos el incidente y la plantilla para simular una sesión de lecciones aprendidas con base en el ejemplo del robo.
Saludos