Post-mortem
¿Qué es Post-mortem?
Post-mortemRevision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.
Un post-mortem de seguridad es una retrospectiva estructurada que convierte un incidente en aprendizaje organizacional. El equipo reconstruye la cronologia con logs, tickets y registros de chat, identifica lo que funciono y lo que fallo y rastrea los factores contribuyentes con tecnicas como los cinco porques o el mapeo causal. La salida es un documento con acciones concretas y asignadas: detecciones ausentes, playbooks rotos, brechas de herramientas, necesidades de formacion y cambios de proceso. Para ser productivos, los post-mortem deben ser sin culpables, centrarse en sistemas y no en personas, estar acotados en el tiempo y seguidos hasta su cierre.
● Ejemplos
- 01
Revisar un casi-incidente de ransomware y descubrir que faltaba MFA en una cuenta VPN heredada.
- 02
Documentar como una alerta ruidosa se silencio tres semanas antes de que un ataque real usara la misma tecnica.
● Preguntas frecuentes
¿Qué es Post-mortem?
Revision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Post-mortem?
Revision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.
¿Cómo defenderse de Post-mortem?
Las defensas contra Post-mortem combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Post-mortem?
Nombres alternativos comunes: Revision sin culpables, Lecciones aprendidas.