Cómo hacer un buen reporte de novedades

El objeto del servicio y/o parte de incidencias es comunicar e informar de situaciones que se hayan podido producir a lo largo de la jornada del Responsable de Seguridad que lo firma. Hacerlo de manera clara, concisa y sucinta es fundamental. Tu redacción debe ser objetiva, no debemos hacer valoraciones personales.

Cómo escribir informes de incidentes de seguridad

1. Conozca sus tipos de informes

No todos los incidentes requieren el mismo enfoque. Debes segmentar para que la respuesta sea eficiente:

Informe Preliminar: Se emite en los primeros minutos/horas. Su objetivo es la contención inmediata.
Informe de Progreso: Actualizaciones durante la gestión del incidente.
Informe Final (Post-Mortem): Análisis exhaustivo que incluye causas raíz y recomendaciones a largo plazo.
Informe Ejecutivo: Una versión resumida (estilo Borrova) para la alta gerencia que se centra en el impacto financiero y reputacional, no solo en bits y bytes.

2. Estructura tu informe

La claridad visual es tan importante como el contenido. Un informe desordenado retrasa la respuesta.

Resumen Ejecutivo: ¿Qué pasó, qué tan grave es y qué necesitamos?
Cronología de Eventos (Timeline): Una lista secuencial con marcas de tiempo exactas.
Análisis Técnico: Detalles de la vulnerabilidad o brecha.
Acciones de Respuesta: Qué se hizo para detener el ataque.
Anexo de Datos: Logs, capturas de pantalla y evidencias forenses.

3. Precisión ante todo

En seguridad, la ambigüedad es el enemigo.

Usa métricas exactas: En lugar de decir "muchos usuarios fueron afectados", di "142 cuentas de nivel administrativo fueron comprometidas".
Terminología estándar: Utiliza marcos de referencia como MITRE ATT&CK para describir las tácticas y técnicas. Esto da un tono profesional y técnico que refuerza la confianza en el departamento.

4. Di lo que se ha hecho

Un informe de incidentes no es solo una autopsia; es un registro de defensa.

Acciones de Contención: (Ej: "Se aislaron los servidores afectados del segmento de red a las 14:00h").
Acciones de Erradicación: (Ej: "Se eliminó el malware detectado y se resetearon las credenciales de acceso").
Acciones de Recuperación: Describe el plan de retorno a la normalidad para asegurar la continuidad del negocio.

5. Distinguir los hechos de las suposiciones

Este es el punto más crítico para la integridad legal y profesional:

Hechos: "El firewall registró 10,000 intentos de conexión desde la IP X.X.X.X". (Comprobable).
Suposiciones: "Creemos que el ataque fue perpetrado por el grupo X". (Especulativo).
Consejo: Si debes incluir una suposición, antepon frases como: "Basado en los patrones observados, la hipótesis más probable es...". Nunca presentes una corazonada como una verdad absoluta.

6. Cree una lista de equipos y usuarios afectados

El impacto debe ser rastreable para la auditoría posterior:

Inventario de Activos: IDs de servidores, números de serie de laptops o direcciones MAC afectadas.
Directorio de Usuarios: Nombre y rol de las personas cuyas cuentas fueron vulneradas.
Clasificación del Daño: Etiqueta cada activo afectado según su criticidad (Ej: "Servidor de Base de Datos - Impacto Crítico").

¿Cómo programar un informe de seguimiento?

Programe primero el informe de seguimiento. Necesita una sección que contenga cada uno de los siguientes detalles: quién, dónde, qué, cuándo, por qué, cómo. Escriba en cada uno de estos encabezados. Crear una línea de tiempo de eventos. Comienza con la hora en que comenzó el reloj y la hora en que finalizó.

¿Cómo hacer un informe de seguridad?

Obtiene un formulario de informe de seguridad, un bolígrafo de tinta negra y un diccionario. Es una buena idea comenzar su informe con un borrador, ya que los informes generalmente no se aceptan si contienen errores. Si hay algunos errores gramaticales, puede tachar las palabras dibujando una sola línea entre ellas.

También puedes visitar nuestro sitio web en

https://borrova.net