14 abr. 2019

Cómo escribir informes de incidentes de seguridad

En esta vida hay cosas que nunca nos apetece hacer: bajar la basura, hacer dieta, una colonoscopia un lunes en ayunas...
En el mundo TIC esos "no apetece" son a veces ligeramente diferentes. Sería realmente curioso saber los resultados de esta encuesta.

Elige por orden de preferencia las siguientes actividades:
  1. Realizar una presentación ante tu jefe y el jefe de tu jefe.
  2. Documentar con detalle un código/sistema que estás a punto de desplegar.
  3. Realizar un informe técnico de 50+ páginas.
  4. Pelear en pelotas contra un oso armado con un mondadientes.
Los incidentes de seguridad son un caso muy interesante de informe técnico, ya que tienen unas características particulares que debemos tener en cuenta a la hora de plasmarlas en un informe.
Os mostramos a continuación unos consejos (adicionales a los ya vistos en artículos anteriores) para que vuestros informes de incidentes de seguridad salgan "niquelados".

Conoce los tipos de informe

Los incidentes de seguridad tienen varias fases, existiendo varios tipos de informe en función de la audiencia y el objeto del mismo. Conocer qué es lo que esperan recibir en su informe es la mitad del éxito.

Tipos de informe:
  • Informe de detección: Se ha detectado y confirmado un incidente de seguridad. En este informe (dirigido a los responsables técnicos) se cuenta en 2-3 párrafos lo que se sabe hasta el momento del incidente, estimando sistemas afectados e impacto. El objetivo es iniciar la respuesta ante el incidente, primando la rapidez sobre la exactitud.
  • Informes "de batalla": Son actualizaciones del informe de detección, resumiendo las acciones tomadas por el equipo de respuesta ante incidentes. A medida que se va avanzando en la respuesta, estos informes tendrían que incrementar su exactitud (vamos sabiendo con más detalle lo sucedido).
  • Informes de crisis: El objetivo es el mismo que los informes de batalla, pero la audiencia pasa a ser personal no técnico (dirección y/o legal). Prima la claridad del mensaje, y se debe de tener cuidado con lo que se dice (ojito con la exactitud)
  • Informes de IOC (Indicators of Compromise): son informes destinados a compartir inteligencias con otros departamentos o entidades. En muchos casos están anonimizados (sin información del origen), y constan de 1-2 párrafos introductorios y de un listado de IOC (Indicadores de Compromiso) para que sean comprobados por los receptores.
Contenido completo en fuente original SecurityArtWork | 1 | 2 | 3 | 4 | Bonus

3 comentarios:

  1. Gracias por el resumen.
    ¿Hay plantillas predeterminadas para elaborar los informes?

    ResponderEliminar
    Respuestas
    1. Yo no te recomiendo plantillas, ya que cada empresa es distinta, mejor date una vuelta por el anexo A de los controles de ISO/IEC 27001:2013, en el objetivo de control A.16 te menciona lo mínimo que necesitas en un proceso de incidentes de seguridad de la información.

      Eliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!