¿Cuáles son las fases del ciclo de vida de la respuesta a incidentes y por qué importa el orden?
Respuesta breve
El modelo clásico es PICERL: Preparación, Identificación (detección), Contención, Erradicación, Recuperación y Lecciones aprendidas. El NIST lo agrupa como Preparación; Detección y análisis; Contención, erradicación y recuperación; y Actividad posterior al incidente. El orden importa porque debes delimitar y contener antes de erradicar, y solo recuperas una vez eliminada la amenaza, o reinfectas. Es un bucle, no una línea: las lecciones aprendidas realimentan la preparación.
Los entrevistadores preguntan esto para comprobar si tienes un modelo mental estructurado ante el caos. Durante un incidente real, la adrenalina empuja a saltarse pasos: borrar una máquina antes de entender el alcance, o restaurar copias antes de expulsar al atacante. Un marco con nombre mantiene al equipo disciplinado.
Los dos modelos comunes
El modelo PICERL de SANS detalla seis fases: Preparación, Identificación, Contención, Erradicación, Recuperación, Lecciones aprendidas. El NIST SP 800-61 las condensa en cuatro: Preparación; Detección y análisis; Contención, erradicación y recuperación; y Actividad posterior al incidente. Describen el mismo trabajo.
Por qué el orden es estructural
- Preparación: todo lo que haces antes de la alarma: registro, playbooks, herramientas, retenedores de RI y ejercicios de mesa. La mayoría de los incidentes se ganan o pierden aquí.
- Identificación/Detección: confirma que un incidente es real y delimita su alcance. No puedes combatir lo que no has mapeado.
- Contención: detiene la hemorragia, a menudo dividida en corto plazo (aislar un host) y largo plazo (aplicar controles temporales mientras planificas). Contén antes de erradicar para que el atacante no se propague durante la limpieza.
- Erradicación: elimina la causa raíz: malware, puertas traseras, cuentas comprometidas.
- Recuperación: restaura los sistemas a producción y vigila la reinfección.
- Lecciones aprendidas: captura lo ocurrido y realimenta las mejoras a la preparación.
Por qué importa
El ciclo es un bucle, no una lista de tareas. La mejor respuesta nombra las fases, explica por qué la contención precede a la erradicación y la recuperación, y subraya que la revisión posterior al incidente es donde una organización realmente mejora. Los entrevistadores buscan a alguien que trate la RI como un proceso repetible bajo presión.
Posibles preguntas de seguimiento
- ¿Por qué se divide la contención en pasos a corto y largo plazo?
- ¿Qué entra en la fase de «preparación» antes de cualquier incidente?
- ¿Cómo realimentan las lecciones aprendidas al resto del ciclo?