Incident Response

Los incidentes se detectan a traves de multiples canales y se escalan de inmediato.

• Monitorizacion automatizada 24/7 -- Azure Security Center, SIEM y deteccion de anomalias
• Puntos de contacto -- Empleados, clientes y terceros pueden reportar incidentes
• EN P1 LLAMAR PRIMERO -- Ante sospecha de incidente critico (P1) siempre contactar primero por telefono al DPD

Cada incidente se evalua en severidad e impacto.

• Coordinador de incidentes -- El DPD o su suplente asume la coordinacion
• Clasificacion -- P1 (Critico), P2 (Alto), P3 (Medio) o P4 (Bajo)
• Activacion del IRT -- En P1 y P2 se activa el equipo completo

Medidas inmediatas para limitar el dano.

• Reglas de firewall -- Bloqueo de trafico sospechoso
• Aislamiento -- Sistemas afectados aislados de la red
• Preservar logs -- Evidencias aseguradas para investigacion forense

Investigacion profunda de la causa, alcance e impacto.

• Analisis de causa raiz
• Metodo de ataque -- Identificacion de tecnica y vector
• Linea de tiempo -- Reconstruccion completa del incidente

Los sistemas se restauran a un estado seguro y operativo.

• Parcheado -- Vulnerabilidades parcheadas
• Eliminacion de malware
• Backups limpios -- Restauracion desde copias verificadas
• Reset de credenciales
• Monitorizacion 48 horas -- Monitorizacion intensiva post-recuperacion

Cierre formal y documentacion de lecciones aprendidas.

• Informe del incidente -- Informe completo con linea de tiempo, impacto y medidas
• Lecciones aprendidas -- Sesion de evaluacion con el IRT
• Actualizaciones de procedimientos