ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura

¿Qué debería contener un reporte de incidente de ciberseguridad?

Guía con los elementos mínimos que debe contener un reporte de incidente de ciberseguridad para compartir con distintos stakeholders.

Estimados lectores, en la siguiente entrega me referiré a un tema, que hoy está siendo un verdadero problema en las empresas.

Me gustaría ahondar en cuáles son los elementos mínimos que debería contener un reporte de incidente de Ciberseguridad, el cual puede ser compartido, con directorio, equipos técnicos, proveedores, partners, fiscalizadores e inclusive a la comunidad.

Este post tiene como predecesora la Playbook de respuesta incidentes y cómo armar un programa moderno de Ciberseguridad, para poder entender el contexto que se presenta a continuación.

Primero debemos entender que la información de un incidente de ciberseguridad puede tener una clasificación, no toda la información del incidente está abierta para todos los stakeholders, como regla general debe existir coherencia con lo que expresamos, ya que los datos técnicos son para el equipo técnico y los datos ejecutivos son para el directorio. Debemos recordar que los informes de incidentes de Ciberseguridad son vitales para la mejora continua y las lecciones aprendidas.

La estructura de un reporte de incidente de Ciberseguridad debería contener:

  1. Carátula (Título, fecha, confidencialidad, autor)
  2. Resumen ejecutivo
  3. Línea de tiempo del incidente
  4. Detalle técnico
  5. Indicadores de compromiso (IoC):
    • IP: {En esta zona debe añadir los indicadores de compromiso a nivel de IP}
    • Dominios y Subdominios: {En esta zona debe añadir los indicadores de compromiso a nivel de Dominios y Subdominios}
    • Correos: {En esta zona debe añadir los indicadores de compromiso a solo casillas de correo}
    • MD5: {En esta zona debe añadir los indicadores de compromiso a nivel MD5} ¿Cómo se obtiene en Linux? md5sum file1.txt
    • SHA256: {En esta zona debe añadir los indicadores de compromiso a nivel SHA256} ¿Cómo se obtiene en Linux? sha256sum file1.txt
  6. Análisis basado en Cyber Kill Chain: {Toda la información recopilada basado en el Cyber Kill Chain}
  7. Riesgos: {¿Riesgos empresariales asociados al incidente?}
  8. Recomendaciones: {¿Qué se hizo, o qué se debería hacer? dependiendo si es un informe preventivo o reactivo}
  9. Referencias: {¿De dónde obtuvo la información?}
  10. Control de cambios: {Documente los cambios es vital, detalle quién modificó el documento, cuándo y qué cambió}
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo