Guía de Implementación del Marco de Ciberseguridad 5.0

GR.4 Inteligencia de amenazas

Requisito GR.4Inteligencia de amenazas
ObjetivoLa inteligencia de ciberamenazas y otra información contextual se integran en el análisis de riesgos.
Controles

Nivel 1

  • GR.4-1: la organización ha identificado y documentado sus fuentes confiables de inteligencia de amenazas, incluyendo al menos CERTuy y fuentes oficiales, comunitarias o sectoriales.
  • GR.4-2: el personal de seguridad recibe capacitación sobre el uso de inteligencia de amenazas.
  • GR.4-3: la organización recibe periódicamente información de amenazas a través de sus fuentes confiables, la misma se registra para su posterior análisis.

Nivel 2

  • GR.4-4: están asignados los responsables de recibir, filtrar y analizar la inteligencia de amenazas.
  • GR.4-5: se realiza un análisis del impacto potencial de las amenazas emergentes sobre la organización.
  • GR.4-6: la inteligencia de amenazas se utiliza como insumo para el análisis de riesgos de seguridad de la información.

Nivel 3

  • GR.4-7: se cuenta con un procedimiento documentado sobre el uso de inteligencia de amenazas, abarcando como se recibe, filtra, analiza, clasifica y utiliza la información.
  • GR.4-8: la información de inteligencia de amenazas se utiliza para ajustar o redefinir los controles existentes y apoyar el diseño de nuevos controles para los planes de tratamiento de riesgos.

Nivel 4

  • GR.4-9: se revisa periódicamente las fuentes confiables de inteligencia identificadas para validar su vigencia.
  • GR.4-10: la organización actualiza sus análisis de riesgos en función de la nueva información derivada del análisis de la inteligencia de amenazas.
  • GR.4-11: las tendencias identificadas del análisis de la inteligencia de amenazas son utilizadas como insumo para la toma de decisiones estratégicas relacionadas a seguridad.
Guía de implementación

Identificación de fuentes de inteligencia
La organización debe identificar y documentar fuentes confiables de inteligencia de amenazas relevantes a su contexto operativo y sectorial. Se entiende por inteligencia de amenazas al conocimiento generado a partir del análisis de información sobre actores, eventos, técnicas, vulnerabilidades y patrones de ataque que pueden representar un riesgo para los activos de la organización. Por otra parte, una fuente de inteligencia de amenazas es cualquier canal, entidad o mecanismo que provea esta información de forma estructurada y oportuna. Estas pueden incluir organismos oficiales (CERTuy, CSIRT sectoriales), proveedores de servicios de inteligencia, asociaciones sectoriales, comunidades técnicas y fuentes abiertas especializadas. Las fuentes deben revisarse periódicamente para asegurar su vigencia, confiabilidad y pertinencia.

Procesamiento y análisis de la información
Debe establecerse un procedimiento para la recolección, filtrado, análisis y clasificación de la inteligencia de amenazas, que permita identificar su impacto potencial en los activos y procesos críticos de la organización. Este análisis debe integrar variables como criticidad, probabilidad de explotación, contexto organizacional y amenazas conocidas en el ecosistema. El análisis también debe incorporar, dentro de lo posible, indicadores de compromiso (IoC), tácticas, técnicas y procedimientos (TTPs) utilizados por actores de amenaza, vulnerabilidades explotadas y eventos relevantes detectados por las fuentes confiables. Evaluar la necesidad de la contratación de servicios externos de threat intelligence que aporten análisis contextualizados, soporte continuo y capacidades de intercambio automatizado de indicadores de compromiso.

Integración con el análisis de riesgos
La información de inteligencia debe ser considerada como insumo obligatorio en el proceso de evaluación y tratamiento de riesgos de seguridad de la información, así como en la definición de controles preventivos, detección de vectores emergentes y priorización de activos. Toda amenaza relevante identificada debe documentarse y asociarse a evaluaciones de impacto potencial y decisiones de tratamiento de riesgos.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)La organización notificará a las autoridades competentes su participación en los acuerdos de intercambio de información sobre ciberamenazas.
Guía de evidencia para auditoría● Lista de fuentes de inteligencia utilizadas.
● Registros de amenazas recibidas, analizadas y clasificadas.
● Programa de capacitación o materiales utilizados para la capacitación.
● Registro de tareas y actividades.
● Análisis de riesgos que incluya inteligencia de amenazas.
● Informe de análisis de impacto de amenazas emergentes. 
● Actas de revisión de decisiones estratégicas basadas en inteligencia de amenazas.
Normativa asociadaNo aplica

Etiquetas