Administración de incidentes de seguridad de Microsoft: actividad posterior al incidente

Post mortem

Algunos incidentes de seguridad, especialmente aquellos incidentes que afectan al cliente o producen una vulneración de datos, están sujetos a un incidente posterior completo. El equipo de respuesta de seguridad realiza un postmortem detallado con todas las partes implicadas en la respuesta a incidentes de seguridad para:

  • Documente la secuencia de eventos que provocaron el incidente.
  • Cree un resumen técnico del incidente como se admite en la evidencia que incluya a los actores implicados en la infracción (si se conoce). En este resumen se incluye cómo se ejecutó la respuesta y otras tomas clave.
  • Identificar errores técnicos, errores de procedimientos, errores manuales, errores de proceso y errores de comunicación, o cualquier vector de ataque desconocido anteriormente identificado durante la respuesta a incidentes de seguridad.

El postmortem influye directamente en la mejora del servicio en línea de Microsoft, los procesos operativos y la documentación al establecer nuevas prioridades en el ciclo de desarrollo de ingeniería de Microsoft servicios en línea.

Documentación

Todos los hallazgos técnicos clave en el proceso postmortem se capturan en un informe y en las inversiones o correcciones de servicios en forma de errores o solicitudes de cambio de desarrollo. Estos resultados son seguidos por los equipos de ingeniería adecuados. En el caso de errores de proceso y problemas entre organizaciones, los problemas se documentan en la base de datos del equipo de respuesta de seguridad y se realizan seguimientos con los grupos adecuados para solucionarlos.

Mejora de procesos

Responder a un incidente de seguridad en Microsoft servicios en línea implica la coordinación con varios grupos distribuidos entre distintas organizaciones dentro de Microsoft e incluso con organizaciones externas potencialmente adecuadas, como la aplicación de la ley. Sabemos que es fundamental evaluar nuestras respuestas después de cada incidente de seguridad para suficiencia y integridad. En el caso de las mejoras o cambios identificados, el equipo de respuesta de seguridad evalúa las sugerencias en consulta con los equipos y las partes interesadas adecuadas, y, cuando corresponda, las incorpora a los procedimientos operativos estándar. Todos los cambios, errores o mejoras de servicio necesarios identificados durante la respuesta a incidentes de seguridad o la actividad postmortem se registran y realizan un seguimiento en una base de datos interna de ingeniería de Microsoft. Todos los posibles errores o características se asignan al propietario adecuado. El equipo de respuesta de seguridad de Microsoft revisa todas las entradas hasta que se resuelva el problema.