# Actividad posterior al incidente
<a name="post-incident-activity"></a>

 El panorama de amenazas cambia constantemente y es importante que su organización sea igual de dinámica a la hora de proteger sus entornos de manera eficaz. La clave de la mejora continua es la iteración de los resultados de sus incidentes y simulaciones con el fin de mejorar sus capacidades para detectar e investigar de forma eficaz los posibles incidentes de seguridad y responder a ellos con el objetivo de reducir las posibles vulnerabilidades, el tiempo de respuesta y el retorno a operaciones seguras. Los siguientes mecanismos pueden ayudarlo a comprobar que su organización está preparada con las capacidades y los conocimientos más recientes para responder de manera eficaz, sea cual sea la situación. 

**Topics**
+ [SEC10-BP08 Establecimiento de un marco de trabajo para aprender de los incidentes](sec_incident_response_establish_incident_framework.md)

# SEC10-BP08 Establecimiento de un marco de trabajo para aprender de los incidentes
<a name="sec_incident_response_establish_incident_framework"></a>

 La implementación de un marco de trabajo sobre las *lecciones aprendidas* y una funcionalidad de análisis de la causa raíz no solo puede ayudar a mejorar las capacidades de respuesta a los incidentes, sino también a evitar que el incidente se repita. Al aprender de cada incidente, puede ayudar a evitar que se repitan los mismos errores, exposiciones o configuraciones incorrectas, lo que no solo mejorará el nivel de seguridad, sino también minimizará el tiempo que se pierde en situaciones evitables. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Es importante implementar un marco de trabajo sobre las *lecciones aprendidas* que establezca y logre, al más alto nivel, los puntos siguientes: 
+  ¿Cuándo se imparte una lección aprendida? 
+  ¿Qué implica el proceso de lecciones aprendidas? 
+  ¿Cómo se lleva a cabo una lección aprendida? 
+  ¿Quién participa en el proceso y cómo? 
+  ¿Cómo se van a identificar las áreas de mejora? 
+  ¿Cómo se va a garantizar que las mejoras se supervisan e implementan de manera efectiva? 

 El marco no debe centrarse en las personas ni en buscar culpables, sino en mejorar las herramientas y los procesos. 

### Pasos para la implementación
<a name="implementation-steps"></a>

 Además de los resultados generales enumerados anteriormente, es importante asegurarse de que se hacen las preguntas correctas para obtener el máximo valor del proceso (información que conduzca a mejoras viables). Considere la posibilidad de usar estas preguntas para fomentar el debate sobre las lecciones aprendidas: 
+  ¿Cuál fue el incidente? 
+  ¿Cuándo se identificó por primera vez el incidente? 
+  ¿Cómo se identificó? 
+  ¿Qué sistemas alertaron sobre la actividad? 
+  ¿Qué sistemas, servicios y datos estaban involucrados? 
+  ¿Qué ocurrió exactamente? 
+  ¿Qué funcionó correctamente? 
+  ¿Qué no funcionó correctamente? 
+  ¿Qué procesos o procedimientos fallaron o no se lograron escalar para responder al incidente? 
+  ¿Qué se puede mejorar en las siguientes áreas?: 
  +  **People** 
    +  ¿Las personas a las que había que contactar estaban realmente disponibles y la lista de contactos estaba actualizada? 
    +  ¿A las personas les faltaba formación o capacidades necesarias para responder e investigar el incidente de manera eficaz? 
    +  ¿Los recursos adecuados estaban listos y disponibles? 
  +  **Proceso** 
    +  ¿Se siguieron los procesos y los procedimientos? 
    +  ¿Los procesos y procedimientos para este (tipo de) incidente estaban documentados y disponibles? 
    +  ¿Faltaba algún proceso y procedimiento necesario? 
    +  ¿Los encargados de responder al incidente pudieron acceder oportunamente a la información necesaria para responder al problema? 
  +  **Tecnología** 
    +  ¿Los sistemas de alerta existentes identificaron la actividad y alertaron sobre ella eficazmente? 
    +  ¿Cómo podríamos haber reducido el tiempo de detección en un 50 %? 
    +  ¿Es necesario mejorar las alertas existentes o crear nuevas alertas para este (tipo de) incidente? 
    +  ¿Las herramientas existentes permitían investigar (buscar o analizar) el incidente de forma eficaz? 
    +  ¿Qué se puede hacer para poder identificar antes este (tipo de) incidente? 
    +  ¿Qué se puede hacer para ayudar a evitar que este (tipo de) incidente vuelva a ocurrir? 
    +  ¿Quién es el responsable del plan de mejora y cómo comprobará que se ha implementado? 
    +  ¿Qué plazos hay para implementar y probar otros procesos y controles preventivos o de supervisión? 

 Esta lista no incluye todas las posibilidades. Solo pretende servir como punto de partida para identificar cuáles son las necesidades de la organización y la empresa, y cómo se pueden analizar para aprender lo mejor posible de los incidentes y aumentar continuamente el nivel de seguridad. Lo más importante es empezar incorporando las lecciones aprendidas como un componente estándar del proceso de respuesta a incidentes, la documentación y las expectativas de las partes interesadas. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Security Incident Response Guide - Establish a framework for learning from incidents](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/establish-framework-for-learning.html) 
+  [NCSC CAF guidance - Lessons learned](https://www.ncsc.gov.uk/collection/caf/caf-principles-and-guidance/d-2-lessons-learned)