Post-mortem
¿Qué es Post-mortem?
Post-mortemRevision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.
Un post-mortem de seguridad es una retrospectiva estructurada que convierte un incidente en aprendizaje organizacional. El equipo reconstruye la cronologia con logs, tickets y registros de chat, identifica lo que funciono y lo que fallo y rastrea los factores contribuyentes con tecnicas como los cinco porques o el mapeo causal. La salida es un documento con acciones concretas y asignadas: detecciones ausentes, playbooks rotos, brechas de herramientas, necesidades de formacion y cambios de proceso. Para ser productivos, los post-mortem deben ser sin culpables, centrarse en sistemas y no en personas, estar acotados en el tiempo y seguidos hasta su cierre.
● Ejemplos
- 01
Revisar un casi-incidente de ransomware y descubrir que faltaba MFA en una cuenta VPN heredada.
- 02
Documentar como una alerta ruidosa se silencio tres semanas antes de que un ataque real usara la misma tecnica.
● Preguntas frecuentes
¿Qué es Post-mortem?
Revision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Post-mortem?
Revision sin culpables tras un incidente para reconstruir la cronologia, identificar factores contribuyentes y definir acciones concretas que eviten o detecten el problema la proxima vez.
¿Cómo funciona Post-mortem?
Un post-mortem de seguridad es una retrospectiva estructurada que convierte un incidente en aprendizaje organizacional. El equipo reconstruye la cronologia con logs, tickets y registros de chat, identifica lo que funciono y lo que fallo y rastrea los factores contribuyentes con tecnicas como los cinco porques o el mapeo causal. La salida es un documento con acciones concretas y asignadas: detecciones ausentes, playbooks rotos, brechas de herramientas, necesidades de formacion y cambios de proceso. Para ser productivos, los post-mortem deben ser sin culpables, centrarse en sistemas y no en personas, estar acotados en el tiempo y seguidos hasta su cierre.
¿Cómo defenderse de Post-mortem?
Las defensas contra Post-mortem combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Post-mortem?
Nombres alternativos comunes: Revision sin culpables, Lecciones aprendidas.
● Términos relacionados
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- forensics-ir№ 525
Plan de respuesta a incidentes
Manual documentado y aprobado que define cómo la organización se prepara, detecta, contiene, erradica, recupera y aprende de los incidentes cibernéticos.
- defense-ops№ 999
Playbook de seguridad
Procedimiento documentado y repetible que indica a los respondedores exactamente que hacer y en que orden para un tipo concreto de alerta o incidente.
- forensics-ir№ 1127
Ejercicio de mesa
Simulación basada en discusión donde los responsables recorren un incidente hipotético para probar planes, roles, decisiones y comunicaciones.
- defense-ops№ 660
MTTC (tiempo medio de contención)
Tiempo medio entre la detección de un incidente y el momento en que la amenaza ya no puede propagarse, exfiltrar datos ni causar más daño.