Close

El camino hacia una mejor gestión de incidentes empieza aquí

Familiarízate con el ciclo de vida de la respuesta ante incidentes

Si te juntas durante el tiempo suficiente con profesionales de la seguridad y la gestión de incidentes, acabarás observando un patrón. Las personas más inteligentes de estos sectores piensan en ciclos, no en líneas rectas.

¿Por qué? ¿Qué narices significa eso? Significa que cada incidente y cada interrupción del servicio no es un evento aislado que empieza en un punto y acaba en otro (aunque así pudiera parecerlo). Los incidentes nos dan una oportunidad para aprender.

El mero hecho de que un servicio vuelva a estar "operativo" no significa que el trabajo de tu equipo haya concluido. Las actividades posincidente deberían llevarte a planificar hojas de ruta futuras, a cambiar tu forma de prepararte para los incidentes en el futuro y a descubrir cosas nuevas que desarrollar y que te ahorrarán más incidentes en el futuro. Es un ciclo interminable de mejoras, y existen formas distintas de concebir las diversas fases en función de la doctrina a la que te adscribas.

¿Qué es un ciclo de vida de la respuesta ante incidentes?

La respuesta ante incidentes es el proceso mediante el cual una organización reacciona ante amenazas de TI, como es el caso de los ciberataques, las vulneraciones de seguridad y el tiempo de inactividad de los servidores.

El ciclo de vida de la respuesta ante incidentes es el marco de trabajo pormenorizado de tu organización para identificar y reaccionar ante una interrupción del servicio o ante una amenaza de seguridad.

El ciclo de vida de respuesta ante incidentes de Atlassian

Gráfico del ciclo de vida de respuesta ante incidentes de Atlassian

1. Detectar el incidente

Nuestro proceso de detección de incidentes suele comenzar con herramientas de supervisión y alertas, aunque a veces la primera noticia de un incidente nos llega a través de los clientes o los miembros del equipo.

2. Definir los canales de comunicación del equipo

Unos de los primeros pasos más importantes consiste en definir los canales de comunicación del equipo encargado de los incidentes. En esta fase, el objetivo consiste en concentrar las comunicaciones del equipo en lugares que todos sus miembros conozcan bien como, por ejemplo, un canal de Slack exclusivo y un puente de videoconferencia.

3. Evaluar la repercusión y aplicar un nivel de gravedad

Ahora toca evaluar la repercusión del incidente para que el equipo pueda decidir con quién más hay que ponerse en contacto y qué hay que comunicar a los clientes y a las partes interesadas.

4. Comunicarse con los clientes

Nuestro objetivo es ponernos en contacto con las partes interesadas internas y externas lo antes posible. Una comunicación rápida y precisa ayuda a generar confianza entre los clientes y el resto de la organización.

5. Escala a los usuarios de respuesta adecuados

Es habitual que los usuarios de respuesta tengan que pedir ayuda a otros equipos para solucionar el incidente, para lo cual les avisan mediante una herramienta de alertas como Opsgenie.

6. Delegar las funciones de respuesta ante incidentes

A medida que otros miembros del equipo se vayan uniendo a la respuesta, el gestor de incidentes delega en ellos una función.

7. Resolver el incidente

Un incidente se resuelve cuando concluye el impacto empresarial actual o inminente. Llegados a este punto, el proceso de respuesta de emergencia termina y el equipo pasa a ocuparse de cualesquiera tareas de limpieza que hagan falta y del análisis retrospectivo.

El ciclo de vida de respuesta ante incidentes del NIST

Otro ciclo de vida de respuesta ante incidentes estándar del sector viene de la mano del National Institute of Standards and Technology (NIST). El NIST es una agencia gubernamental que establece estándares y prácticas recomendadas sobre temas tales como la respuesta ante incidentes y la ciberseguridad.

"NIST" son las siglas del National Institute of Standards and Technology, una agencia del gobierno estadounidense que se proclama con orgullo "uno de los laboratorios de ciencias físicas más longevos del país". Su campo de trabajo abarca todo tipo de cuestiones tecnológicas, entre las que se incluye la ciberseguridad, un ámbito en el que se han convertido en uno de los dos referentes estándares del sector en lo tocante a la respuesta ante incidentes gracias a su procedimiento de respuesta ante incidentes.

Al igual que nosotros en Atlassian, en el NIST consideran que es imposible prevenir todos los incidentes, por lo que más vale estar preparados:

"Las actividades preventivas basadas en los resultados obtenidos de las evaluaciones de riesgos pueden reducir el número de incidentes, pero no todos se pueden evitar. Por lo tanto, se hace necesaria una capacidad de respuesta ante incidentes que permita detectarlos con rapidez, minimizar las pérdidas y la destrucción, mitigar los puntos flacos aprovechados y restaurar los servicios de TI". — NIST

El ciclo de vida de la respuesta ante incidentes del NIST divide la respuesta ante incidentes en cuatro fases principales: preparación; detección y análisis; contención, erradicación y recuperación; y actividad tras el evento.

Fase 1: Preparación

La fase de preparación abarca el trabajo que lleva a cabo una organización para prepararse para la respuesta ante incidentes, lo cual incluye el establecimiento de las herramientas y recursos adecuados y la capacitación del equipo. Esta fase también incluye el trabajo efectuado para evitar que se produzcan incidentes.

Fase 2: Detección y análisis

Según el NIST, detectar y evaluar los incidentes con exactitud suele ser la parte más difícil de la respuesta ante incidentes para muchas organizaciones.

Fase 3: Contención, erradicación y recuperación

Esta fase se centra en reducir al máximo las consecuencias del incidente y mitigar las perturbaciones del servicio.

Fase 4: Actividad tras el evento

Aprender y mejorar después de un incidente es uno de los componentes más importantes de la respuesta ante incidentes y el que más se suele pasar por alto. En esta fase se analizan el incidente y los esfuerzos de respuesta correspondientes. Los objetivos aquí son limitar las posibilidades de que el incidente vuelva a producirse e identificar formas de mejorar la actividad futura de respuesta ante incidentes.

Respuesta ante incidentes para equipos de DevOps modernos

Over the past decade, the DevOps movement has helped teams reshape how they build, deploy, and operate software. Along with that are innovations on how these teams respond to incidents.

El enfoque de DevOps para la gestión de incidentes no se diferencia demasiado de los pasos tradicionales para gestionar los incidentes de forma eficaz. La gestión de incidentes de DevOps incluye un énfasis explícito en implicar a los equipos de desarrolladores desde el principio (incluidos a los que trabajan de guardia) y en asignar el trabajo en función de la experiencia, no de los cargos laborales.

Respuesta ante incidentes y mejora continua

Empezamos el artículo hablando de ciclos en contraste con líneas rectas. Habrás observado que todos estos enfoques de gestión de incidentes tienen algo en común: que no son lineales. Todos y cada uno de ellos incluyen los mismos componentes básicos: formas de definir, de detectar y de identificar incidentes; formas de responder rápidamente y tomar medidas para mitigarlos; y formas de analizar incidentes para mejorar la detección y la respuesta futuras. No tiene ningún sentido analizar un incidente que ya se haya producido solo por tratar de mejorarlo. No puedes retroceder en el tiempo ni cambiar lo sucedido. Lo que tienes que hacer es aprender del incidente para mejorar la detección y la respuesta futuras. El aprendizaje y la mejora constantes y continuos son el mecanismo mediante el cual los equipos cierran ese ciclo.

A continuación
On call