Informe posterior al incidente - Guía del usuario de AMS Accelerate

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Informe posterior al incidente

Tras el suceso, AMS lleva a cabo un proceso de revisión de la investigación de todos los incidentes de seguridad. Además, AMS inicia un proceso de corrección de errores (COE) para abordar los incidentes de seguridad causados por un error del sistema o de un procedimiento que, de forma plausible, tiene margen de mejora. AMS colabora con usted para mejorar continuamente la experiencia de investigación de seguridad. El proceso COE ayuda a AMS a identificar los factores que contribuyen a que los eventos afecten a los clientes y relaciona esas causas con las siguientes acciones, elementos que pueden evitar que se repitan eventos similares o ayuda a mitigar la duración o el nivel de impacto.

El proceso de revisión de la investigación de los incidentes de seguridad aborda los siguientes elementos para identificar las oportunidades de mejora:

  • ¿Cuánto tiempo transcurrió desde el inicio del incidente hasta su descubrimiento, la evaluación inicial del impacto y cada etapa del proceso de gestión del incidente (por ejemplo, contención o recuperación)?

  • ¿Cuánto tiempo tardó el equipo de respuesta a incidentes en responder al informe inicial del incidente?

  • ¿Cuánto tiempo se tardó en realizar un análisis de impacto inicial?

  • ¿Se pudo prevenir esto y cómo? ¿Existe alguna herramienta o proceso que pudiera haberlo evitado?

  • ¿Podríamos haberlo detectado antes y cómo?

  • ¿Qué pudo haber hecho que la investigación fuera más rápida?

  • ¿Se siguieron los procedimientos de respuesta a incidentes documentados? ¿Fueron adecuados?

  • ¿El intercambio de información con otras partes interesadas se realizó de manera oportuna? ¿Cómo podría mejorarse?

  • ¿Fue eficaz la colaboración con otros equipos (de AWS seguridad, de cuentas, de AWS desarrollo y de seguridad del cliente)? Si no, ¿qué podría mejorarse?

  • ¿Qué pasos de preparación faltaban que pudieran haber ayudado: matrices de escalamiento, RACI, modelos de responsabilidad compartida, etc.? ¿Es necesario actualizar algún Runbook?

  • ¿Cuál fue la diferencia entre la evaluación de impacto inicial y la evaluación de impacto final? ¿Qué podemos hacer para mejorar la precisión de las evaluaciones en una fase temprana de la respuesta al incidente?

  • ¿Cuáles son los elementos de acción que se derivan de las lecciones aprendidas?