17.8
IG2 IG3

Realizar Revisiones Post-Incidente

Grupo de Control: 17. Gestión de Respuesta a Incidentes
Tipo de Activo: N/A
Función de Seguridad: Recuperar

Descripción

Realizar revisiones post-incidente. Las revisiones post-incidente ayudan a prevenir la recurrencia de incidentes mediante la identificación de lecciones aprendidas y acciones de seguimiento.

Lista de Verificación de Implementación

1
Definir los objetivos de recuperación (RTO/RPO)
2
Implementar las capacidades y procedimientos de recuperación
3
Probar los procedimientos de recuperación de forma periódica
4
Documentar los procedimientos de recuperación y la información de contacto
5
Desarrollar el plan de respuesta a incidentes y los manuales de operación
6
Definir los roles, las rutas de escalamiento y los canales de comunicación
7
Realizar un ejercicio de mesa para validar el plan
8
Establecer un proceso de revisión posterior al incidente

Herramientas Recomendadas

Palo Alto Cortex XSOAR Gartner MQ Leader, SOAR 2024; Forrester Wave Leader 2024

Plataforma de orquestación, automatización y respuesta de seguridad con automatización de playbooks y gestión de casos

Palo Alto Networks · Suscripción empresarial
Splunk SOAR Gartner MQ Leader, SIEM 2024 (integrated SOAR)

Plataforma de orquestación y respuesta automatizada de seguridad con playbooks, gestión de casos y más de 350 integraciones

Cisco (Splunk) · Suscripción basada en eventos
ServiceNow Security Operations Gartner MQ Leader, ITSM 2024; Forrester Wave Leader, Security Operations 2023

Respuesta a incidentes de seguridad y respuesta a vulnerabilidades con orquestación, automatización de flujos de trabajo e integración con CMDB

ServiceNow · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Recurrencia de Tipo de Incidente Previamente Experimentado

Confidencialidad

La organización sufre el mismo tipo de incidente de seguridad repetidamente porque no se realizó revisión post-incidente para identificar causas raíz e implementar acciones correctivas después de la primera ocurrencia.

Mismo Vector de Ataque Explotado por Diferentes Actores de Amenazas

Integridad

Múltiples actores de amenazas explotan la misma vulnerabilidad o ruta de ataque porque la organización nunca realizó una revisión post-incidente para cerrar la brecha después del compromiso inicial.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Proceso de Revisión Post-Incidente

Sin revisiones post-incidente, la organización no identifica lecciones aprendidas, causas raíz ni acciones correctivas después de incidentes de seguridad, resultando en exposición repetida a los mismos vectores de ataque.

Sin Seguimiento de Acciones de Seguimiento de Incidentes

La ausencia de revisiones post-incidente significa que las acciones de remediación identificadas durante la respuesta a incidentes no se documentan ni rastrean formalmente hasta su finalización, permitiendo que las debilidades identificadas persistan.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Documento Documentación del plan de recuperación Revisado anualmente
Registro Resultados de pruebas de recuperación y lecciones aprendidas Probado trimestralmente
Documento Plan de respuesta a incidentes y manuales de operación Revisado semestralmente
Registro Informes de incidentes y documentación de revisión posterior al incidente Por incidente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Respuesta a Incidentes
Control 17

Salvaguardas Relacionadas en el Control 17

17.1 Designar Personal para Gestionar el Manejo de Incidentes
17.2 Establecer y Mantener Información de Contacto para Reportar Incidentes de Seguridad
17.3 Establecer y Mantener un Proceso Empresarial para Reportar Incidentes
17.4 Establecer y Mantener un Proceso de Respuesta a Incidentes
17.5 Asignar Roles y Responsabilidades Clave
17.6 Definir Mecanismos de Comunicación Durante la Respuesta a Incidentes
17.7 Realizar Ejercicios Rutinarios de Respuesta a Incidentes
17.9 Establecer y Mantener Umbrales de Incidentes de Seguridad
17.7 17.9