Operaciones
Las operaciones son el núcleo de la respuesta ante los incidentes. Aquí es donde se llevan a cabo las acciones de respuesta y reparación de los incidentes de seguridad. Las operaciones incluyen las cinco fases siguientes: detección, análisis, contención, erradicación y recuperación. Las descripciones de estas fases y los objetivos se encuentran en la siguiente tabla.
| Fase | Objetivo |
|---|---|
| Detección | Identifique un posible evento de seguridad. |
| Análisis | Determine si el evento de seguridad es un incidente y evalúe el alcance de este. |
| Contención | Minimice y limite el alcance del evento de seguridad. |
| Erradicación | Elimine los recursos o artefactos no autorizados relacionados con el evento de seguridad. Implemente soluciones de mitigación para el incidente de seguridad. |
| Recuperación | Restaure los sistemas a un estado seguro conocido y supervise estos sistemas para comprobar que la amenaza no regrese. |
Las fases deben servir de guía a la hora de responder y operar en los incidentes de seguridad con el fin de responder de manera eficaz y sólida. Las medidas reales que tome variarán según el incidente. Por ejemplo, un incidente relacionado con ransomware contará con un proceso de respuesta diferente al de un incidente que involucre a un bucket de Amazon S3 público. Además, no es necesario que estas fases se produzcan de forma secuencial. Tras la contención y la erradicación, es posible que tenga que volver al análisis para saber si sus acciones fueron eficaces.
La preparación minuciosa de su personal, sus procesos y su tecnología es clave para lograr la eficacia en las operaciones. Por lo tanto, siga las prácticas recomendadas de la sección Preparación para poder responder eficazmente a un evento de seguridad activo.
Para obtener más información, consulte la sección Operations de la Guía de respuesta ante incidentes de seguridad de AWS.
