{"meta":{"title":"Preparación de un incidente de seguridad","intro":"Asegúrese de que tiene las herramientas y los procesos implementados para responder de forma eficaz a un incidente de seguridad.","product":"Seguridad y calidad del código","breadcrumbs":[{"href":"/es/code-security","title":"Seguridad y calidad del código"},{"href":"/es/code-security/tutorials","title":"Tutorials"},{"href":"/es/code-security/tutorials/secure-your-organization","title":"Proteger su organización"},{"href":"/es/code-security/tutorials/secure-your-organization/preparing-for-security-incidents","title":"Preparación para un incidente de seguridad"}],"documentType":"article"},"body":"# Preparación de un incidente de seguridad\n\nAsegúrese de que tiene las herramientas y los procesos implementados para responder de forma eficaz a un incidente de seguridad.\n\nLas instrucciones de este artículo están dirigidas a propietarios empresariales, propietarios de la organización, administradores de seguridad y equipos de seguridad. Sin embargo, tendrá que tener el rol de propietario de empresa para habilitar varias de las características a las que se hace referencia en este artículo.\n\n## Introduction\n\nCuando se produce un incidente de seguridad, la capacidad de investigar lo que ha ocurrido, comprender el ámbito de impacto y contener la amenaza depende de tener las herramientas y procesos adecuados ya implementados. En este artículo se reúnen las acciones clave que debe realizar **antes** de que se produzca un incidente para que el equipo esté equipado para responder de forma rápida y eficaz.\n\n## Configuración de herramientas críticas de antemano\n\nLas siguientes herramientas de investigación no están disponibles de forma predeterminada al configurar su GitHub empresa. Se recomienda encarecidamente habilitar estas características antes de que se produzca cualquier incidente.\n\nEstos controles son críticos para la respuesta a incidentes, el cumplimiento y la transparencia operativa. Sin ellos, el equipo puede tener importantes brechas de visibilidad durante una investigación, especialmente para la actividad de API, la actividad de Git y los incidentes de larga duración en los que necesita datos históricos.\n\n### Streaming de registros de auditoría\n\nDebe transmitir los registros de auditoría de empresa a un sistema de administración de eventos e información de seguridad (SIEM). Esto mantiene una copia de los datos del registro de auditoría (incluidos los eventos de auditoría y los eventos de Git) en un sistema donde puede ejecutar consultas complejas en grandes volúmenes de datos y conservar los datos más allá de los períodos de retención predeterminados.\n\nEsto es fundamental en un incidente porque algunos eventos de alto valor no están visibles en la interfaz de usuario web del GitHub registro de auditoría y los registros solo están disponibles durante un tiempo limitado a menos que se exporten y los conserven externamente.\n\nCon los registros transmitidos, los propietarios de la empresa y de la organización pueden investigar de forma independiente la actividad de usuarios, aplicaciones, tokens y claves SSH, en lugar de depender de la recopilación de datos ad hoc durante una respuesta activa.\n\nPara configurar el streaming de registros de auditoría, consulte [Streaming del registro de auditoría de su empresa](/es/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise).\n\n### Eventos de solicitud de Stream API\n\nDe forma predeterminada, el flujo de registro de auditoría no incluirá eventos de solicitud de API. Habilite el streaming de solicitudes de API para que pueda detectar e investigar el acceso a api no autorizado o la filtración de datos mediante tokens o aplicaciones en peligro.\n\nConsulte [Habilitación del streaming de registros de auditoría de solicitudes de API](/es/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/streaming-the-audit-log-for-your-enterprise#enabling-audit-log-streaming-of-api-requests).\n\n### Mostrar direcciones IP\n\nDe forma predeterminada, GitHub no muestra las direcciones IP de origen en el registro de auditoría de empresa. Durante una investigación, las direcciones IP de origen le ayudan a comprobar si la actividad de un actor (un usuario o una aplicación) procede de una dirección de confianza o desconocida.\n\nLas empresas en GitHub Enterprise Cloud pueden habilitar la divulgación de direcciones IP, consulte [Presentación de direcciones IP en el registro de auditoría de la empresa](/es/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/displaying-ip-addresses-in-the-audit-log-for-your-enterprise).\n\n### Conservar los registros del proveedor de identidades\n\nSi su empresa usa la autenticación SAML o OIDC, adopte una estrategia de retención similar para los registros de IdP.\n\nLos registros de IdP retenidos le ayudan a investigar la actividad de autenticación y a revisar los eventos de aprovisionamiento y desaprovisionamiento durante más tiempo, incluidos los incidentes que se desarrollan durante meses.\n\n## Familiarícese con las herramientas, las limitaciones y las áreas de investigación comunes\n\nAntes de que se produzca un incidente, revise las GitHub herramientas y superficies que puede usar durante una investigación y comprenda las funcionalidades y limitaciones de cada herramienta.\n\nFamiliarícese con:\n\n* GitHub herramientas y superficies para investigaciones, incluidas sus limitaciones. Consulte [Herramientas de investigación para incidentes de seguridad](/es/code-security/reference/security-incident-response/investigation-tools).\n* Procedimientos clave para usar el registro de auditoría durante una amenaza de seguridad, como [Identificación de eventos de registro de auditoría realizados por un token de acceso](/es/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token).\n* Áreas de investigación comunes y las comprobaciones que puede realizar para señales de amenazas específicas. Consulte [Áreas comunes de investigación de incidentes de seguridad](/es/code-security/reference/security-incident-response/investigation-areas).\n\n## Familiarícese con estrategias de contención\n\nAntes de que se produzca un incidente, revise las acciones de contención inmediata que podría necesitar. Planear estas acciones de antemano con los equipos de seguridad y operaciones le ayuda a responder rápidamente y significa que puede incluir instrucciones claras en el Plan de respuesta a incidentes de seguridad (SIRP).\n\nFamiliarícese con:\n\n* Acciones comunes de contención en GitHub, como revocar credenciales, habilitar una lista de direcciones IP permitidas, suspender usuarios y otras acciones de deshabilitación de acceso. Consulte [Contener la amenaza](/es/code-security/tutorials/secure-your-organization/responding-to-security-incidents#step-2-contain-the-threat).\n* Opciones de revocación para cada tipo de credencial que puede acceder mediante programación a GitHub. Consulte [Referencia de tipos de credenciales de GitHub](/es/organizations/managing-programmatic-access-to-your-organization/github-credential-types).\n* Para las empresas en GitHub Enterprise Cloud: las acciones de emergencia masivas disponibles para los propietarios de la empresa en un incidente importante, como bloquear el inicio de sesión único y eliminar todos los tokens y claves de usuario. Consulte [Responder a incidentes de seguridad en su empresa](/es/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents).\n\n## Preparar un plan de respuesta a incidentes de seguridad (SIRP)\n\nCree y mantenga un Plan de Respuesta a Incidentes de Seguridad (SIRP) actualizado para su empresa.\n\nEl plan debe definir lo siguiente:\n\n* Roles y responsabilidades\n* Rutas de escalación\n* Protocolos de comunicación\n* Criterios de clasificación de gravedad\n* Procedimientos de respuesta paso a paso para tipos de amenazas comunes\n\n  ```\n          Copilot puede ayudarle a redactar y refinar este plan en función de las necesidades y los recursos de su equipo.\n  ```\n\nPara obtener instrucciones, consulte [¿Qué es la respuesta a incidentes](https://github.com/resources/articles/what-is-incident-response#what-is-incident-response)?\n\n## Pasos siguientes\n\n* [Respuesta a un incidente de seguridad](/es/code-security/tutorials/secure-your-organization/responding-to-security-incidents)"}