lunes, 25 de mayo de 2026

Actividades posteriores a un incidente (15)


Introducción


Cuando ocurre un incidente de ciberseguridad (malware, intrusión, fuga de datos, etc.), solemos pensar: “ya está, lo hemos contenido y recuperado”.
Pero la realidad es que la parte más valiosa para mejorar la seguridad llega después: analizar lo ocurrido, documentarlo, aprender y reforzar defensas para que no se repita.

Analogía del día a día:
Es como un accidente de coche: arreglar el coche (recuperación) está bien, pero luego quieres saber qué falló (frenos, distracción, carretera) y qué cambiarás (revisión, hábitos, ruta) para evitar otro accidente.

En este capítulo vamos a cubrir dos grandes bloques:
Post-Incident Activities (lo técnico y de mejora continua)
Incident Reporting and Communication (informes, comunicación y métricas)

En términos sencillos: investiga encuentra causaaplica cambios con control → actualiza el plan → genera señales (IOCs) → monitoriza → informa → aprende → mide. 

Actividades posteriores a un incidente (15)

Introducción Cuando ocurre un incidente de ciberseguridad (malware, intrusión, fuga de datos, etc.), solemos pensar: “ya está, lo hemos cont...