SEC10-BP08 Establecimiento de un marco de trabajo para aprender de los incidentes
La implementación de un marco de trabajo sobre las lecciones aprendidas y una funcionalidad de análisis de la causa raíz no solo puede ayudar a mejorar las capacidades de respuesta a los incidentes, sino también a evitar que el incidente se repita. Al aprender de cada incidente, puede ayudar a evitar que se repitan los mismos errores, exposiciones o configuraciones incorrectas, lo que no solo mejorará el nivel de seguridad, sino también minimizará el tiempo que se pierde en situaciones evitables.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
Es importante implementar un marco de trabajo sobre las lecciones aprendidas que establezca y logre, al más alto nivel, los puntos siguientes:
-
¿Cuándo se imparte una lección aprendida?
-
¿Qué implica el proceso de lecciones aprendidas?
-
¿Cómo se lleva a cabo una lección aprendida?
-
¿Quién participa en el proceso y cómo?
-
¿Cómo se van a identificar las áreas de mejora?
-
¿Cómo se va a garantizar que las mejoras se supervisan e implementan de manera efectiva?
El marco no debe centrarse en las personas ni en buscar culpables, sino en mejorar las herramientas y los procesos.
Pasos para la implementación
Además de los resultados generales enumerados anteriormente, es importante asegurarse de que se hacen las preguntas correctas para obtener el máximo valor del proceso (información que conduzca a mejoras viables). Considere la posibilidad de usar estas preguntas para fomentar el debate sobre las lecciones aprendidas:
-
¿Cuál fue el incidente?
-
¿Cuándo se identificó por primera vez el incidente?
-
¿Cómo se identificó?
-
¿Qué sistemas alertaron sobre la actividad?
-
¿Qué sistemas, servicios y datos estaban involucrados?
-
¿Qué ocurrió exactamente?
-
¿Qué funcionó correctamente?
-
¿Qué no funcionó correctamente?
-
¿Qué procesos o procedimientos fallaron o no se lograron escalar para responder al incidente?
-
¿Qué se puede mejorar en las siguientes áreas?:
-
Personas
-
¿Las personas a las que había que contactar estaban realmente disponibles y la lista de contactos estaba actualizada?
-
¿A las personas les faltaba formación o capacidades necesarias para responder e investigar el incidente de manera eficaz?
-
¿Los recursos adecuados estaban listos y disponibles?
-
-
Proceso
-
¿Se siguieron los procesos y los procedimientos?
-
¿Los procesos y procedimientos para este (tipo de) incidente estaban documentados y disponibles?
-
¿Faltaba algún proceso y procedimiento necesario?
-
¿Los encargados de responder al incidente pudieron acceder oportunamente a la información necesaria para responder al problema?
-
-
Tecnología
-
¿Los sistemas de alerta existentes identificaron la actividad y alertaron sobre ella eficazmente?
-
¿Cómo podríamos haber reducido el tiempo de detección en un 50 %?
-
¿Es necesario mejorar las alertas existentes o crear nuevas alertas para este (tipo de) incidente?
-
¿Las herramientas existentes permitían investigar (buscar o analizar) el incidente de forma eficaz?
-
¿Qué se puede hacer para poder identificar antes este (tipo de) incidente?
-
¿Qué se puede hacer para ayudar a evitar que este (tipo de) incidente vuelva a ocurrir?
-
¿Quién es el responsable del plan de mejora y cómo comprobará que se ha implementado?
-
¿Qué plazos hay para implementar y probar otros procesos y controles preventivos o de supervisión?
-
-
Esta lista no incluye todas las posibilidades. Solo pretende servir como punto de partida para identificar cuáles son las necesidades de la organización y la empresa, y cómo se pueden analizar para aprender lo mejor posible de los incidentes y aumentar continuamente el nivel de seguridad. Lo más importante es empezar incorporando las lecciones aprendidas como un componente estándar del proceso de respuesta a incidentes, la documentación y las expectativas de las partes interesadas.
Recursos
Documentos relacionados:
