Básicamente, usted está preguntando sobre las mejores prácticas para el manejo de incidentes, pero esencialmente como aplicable 'después' ya ha manejado el incidente. Por lo que sé y en base a las preguntas específicas que ha presentado, no hay un enfoque de cookie para lo que su organización necesita hacer después de la fase de "lecciones aprendidas". Es realmente una cuestión de lo que eres legalmente responsable o simplemente de querer / querer hacer. Si la propiedad intelectual valiosa estaba involucrada, entonces eso potencialmente abre una lata de gusanos. Del mismo modo, hay ciertas "cosas" que requieren, te guste o no, que te pongas en contacto con la policía. Creo que todos entienden el punto. Caracterizar el tipo de incidente (ataques y robo de propiedad intelectual, DoS, malware, correo electrónico como hostigamiento o phishing, espionaje, infracciones de políticas como uso no autorizado, actividades ilegales, amenazas internas desde amenazas no destructivas hasta destructivas intencionales, etc.), determinando el alcance Los daños y luego ponerse en contacto con las partes apropiadas son todas las cosas que deberían haberse hecho durante la fase de contención. Aquí hay un recurso para ayudarle con dicha clasificación; documento de clasificación de casos CSIRT
Ahora, parece que ya has pasado por la identificación, la contención, la erradicación y la recuperación, ¿y supongo que has observado y / o estás observando cuidadosamente el regreso del atacante? Así que repasemos lo que generalmente se considera la mejor práctica en la fase 6 del manejo de incidentes estándar "by the book". Muchas organizaciones / personas "no tienen el tiempo" o se molestan en pasar por esta fase, pero seamos sinceros, los atacantes están mejorando todo el tiempo, por lo que usted también debe mejorar. Es hora de seguir adelante y cometer nuevos errores, pero el objetivo de este proceso es evitar repetir los mismos viejos. Lo que debe hacer ahora es documentar qué sucedió y cómo se pueden mejorar las capacidades de las operaciones para evitar que vuelvan a ocurrir incidentes similares. Una forma de hacerlo es mediante la creación de un informe de seguimiento. Lo ideal es comenzar con este informe de inmediato, inmediatamente después de la recuperación. El instituto SANS pone a disposición algunos formularios de incidentes útiles que puede utilizar en este proceso. En general, es una buena práctica alentar a todas las partes afectadas a revisar su borrador. Una vez que se haya revisado el informe, programe una reunión de "lecciones aprendidas" si puede. Idealmente, esta reunión debería ocurrir dentro de una o dos semanas después de reanudar la producción, mientras que los eventos aún están "frescos" en la memoria de todos. En general, el objetivo principal de la reunión es obtener un consenso sobre el resumen ejecutivo de su informe de incidentes. En mi opinión, la clave del resumen ejecutivo es ilustrar la importancia de contar con procedimientos de manejo de incidentes efectivos.
También, observe los "siete pecados mortales" del manejo de incidentes. Tu podrias encontrar esto útil.