Postmortems y análisis de causa raíz
Adjunta un análisis de causa raíz privado y estructurado a cualquier informe resuelto — tu registro de auditoría interno, descargable como un expediente en PDF por informe.
Por qué es importante
Resolver una vulnerabilidad cierra el círculo con el investigador, pero no responde a la pregunta que tu auditor (y tu propio equipo) se hará a continuación: ¿por qué ocurrió esto y qué cambiamos para que no vuelva a pasar? Un postmortem es esa respuesta, capturada una sola vez y conservada para el registro.
Cada informe tiene un postmortem: un análisis de causa raíz privado y estructurado, bajo el control exclusivo de tu equipo.
Important
Un postmortem es solo de uso interno. Nunca se muestra al investigador externo ni se incluye al compartir con colegas. Escribe con franqueza sobre sistemas, errores y personas: nada de ello sale de tu equipo.
Qué incluye
Un postmortem combina campos estructurados con tres secciones narrativas de formato libre:
| Campo | Qué captura |
|---|---|
| Resumen | Descripción en una línea del incidente |
| Severidad | El nivel de severidad del incidente |
| Categoría | La clase de causa raíz (p. ej. configuración, defecto de código, brecha de proceso) |
| Ocurrido / Detectado / Resuelto | Marcas de tiempo de cuándo comenzó el problema, cuándo se detectó y cuándo se corrigió |
| Tiempo de corrección | Se deriva automáticamente de las marcas de ocurrido y resuelto |
| Causa raíz | Qué falló realmente, más allá del síntoma |
| Acciones correctivas | Qué cambiaste (o cambiarás) para evitar que se repita |
| Lecciones aprendidas | Qué conclusiones saca el equipo: proceso, herramientas, responsabilidades |
También puedes adjuntar archivos de evidencia: capturas de pantalla, registros, enlaces al commit o ticket de la corrección.
Cuando abres un nuevo postmortem, Kit lo rellena previamente a partir del informe: la severidad, la cronología de resolución y un resumen inicial ya vienen completados, de modo que partes del contexto en lugar de una página en blanco.
Quién puede redactarlo
Cualquier miembro de tu equipo CSIRT puede crear o editar el postmortem de un informe: no hay una restricción de administrador aparte. Está disponible allí donde lo esté la gestión de informes de CSIRT, así que cualquier programa activo con acceso a los informes puede usarlo.
La pestaña Postmortem
Abre un informe y selecciona la pestaña Postmortem. Si todavía no existe ninguno, un estado vacío enmarcado con un candado te invita a redactar el primero. La creación y la edición se realizan en formularios dedicados a página completa, para que tengas espacio de sobra para escribir.
El historial de auditoría
Cada guardado escribe una revisión inmutable y atribuida: quién cambió qué y cuándo. Las revisiones nunca se sobrescriben ni se eliminan, así que el postmortem conserva su propio historial de cambios. Cada revisión aparece también en la cronología del informe, junto a las transiciones de estado y las evaluaciones, lo que te da un único registro cronológico de todo el incidente.
El expediente en PDF
Desde la pestaña Postmortem puedes descargar un expediente en PDF por informe: el informe completo y su postmortem en un solo archivo. Es tu documento de evidencia puntual: guárdalo en una carpeta de auditoría, adjúntalo a un ticket o entrégalo a un auditor como el registro completo de un único incidente.
Cumplimiento
Un análisis de causa raíz por informe es justo lo que piden varios marcos normativos:
- SOC 2: cumple con la prueba de evidencia de Vanta “Incident report or root cause analysis”. Consulta Integración con Vanta.
- ISO 22301:2019: respalda los requisitos de continuidad de negocio de los §10.1.1, §10.1.2 y §10.1.3 (no conformidad, acción correctiva y mejora continua).
Note
El contenido del postmortem permanece en Kit. El expediente en PDF se genera bajo demanda para tus registros: nada del postmortem se envía a Vanta ni a ningún otro sistema conectado.
Gestiónalo con IA
Dos herramientas MCP permiten que un asistente de IA lea y mantenga los postmortems:
-
csirt_get_postmortem: lee el postmortem de un informe, incluidas las tres secciones narrativas,time_to_fix_secondsyrevisions_count. -
csirt_set_postmortem: crea o actualiza un postmortem (upsert). Solo se modifican los campos que envías; el resto se deja intacto.
Consulta la Referencia de herramientas MCP para ver todos los parámetros y permisos.
Y ahora qué
- Triaje de informes — resuelve un informe y luego captura su postmortem
- Métricas y exportaciones — paquetes masivos de evidencia SOC 2 junto con los expedientes en PDF por informe
- Integración con Vanta — convierte las vulnerabilidades con triaje en evidencia de cumplimiento en vivo