Controles | Nivel 1 - GR.4-1: la organización ha identificado y documentado sus fuentes confiables de inteligencia de amenazas, incluyendo al menos CERTuy y fuentes oficiales, comunitarias o sectoriales.
- GR.4-2: el personal de seguridad recibe capacitación sobre el uso de inteligencia de amenazas.
- GR.4-3: la organización recibe periódicamente información de amenazas a través de sus fuentes confiables, la misma se registra para su posterior análisis.
Nivel 2 - GR.4-4: están asignados los responsables de recibir, filtrar y analizar la inteligencia de amenazas.
- GR.4-5: se realiza un análisis del impacto potencial de las amenazas emergentes sobre la organización.
- GR.4-6: la inteligencia de amenazas se utiliza como insumo para el análisis de riesgos de seguridad de la información.
Nivel 3 - GR.4-7: se cuenta con un procedimiento documentado sobre el uso de inteligencia de amenazas, abarcando como se recibe, filtra, analiza, clasifica y utiliza la información.
- GR.4-8: la información de inteligencia de amenazas se utiliza para ajustar o redefinir los controles existentes y apoyar el diseño de nuevos controles para los planes de tratamiento de riesgos.
Nivel 4 - GR.4-9: se revisa periódicamente las fuentes confiables de inteligencia identificadas para validar su vigencia.
- GR.4-10: la organización actualiza sus análisis de riesgos en función de la nueva información derivada del análisis de la inteligencia de amenazas.
- GR.4-11: las tendencias identificadas del análisis de la inteligencia de amenazas son utilizadas como insumo para la toma de decisiones estratégicas relacionadas a seguridad.
|
Guía de implementación | Identificación de fuentes de inteligencia La organización debe identificar y documentar fuentes confiables de inteligencia de amenazas relevantes a su contexto operativo y sectorial. Se entiende por inteligencia de amenazas al conocimiento generado a partir del análisis de información sobre actores, eventos, técnicas, vulnerabilidades y patrones de ataque que pueden representar un riesgo para los activos de la organización. Por otra parte, una fuente de inteligencia de amenazas es cualquier canal, entidad o mecanismo que provea esta información de forma estructurada y oportuna. Estas pueden incluir organismos oficiales (CERTuy, CSIRT sectoriales), proveedores de servicios de inteligencia, asociaciones sectoriales, comunidades técnicas y fuentes abiertas especializadas. Las fuentes deben revisarse periódicamente para asegurar su vigencia, confiabilidad y pertinencia. Procesamiento y análisis de la información Debe establecerse un procedimiento para la recolección, filtrado, análisis y clasificación de la inteligencia de amenazas, que permita identificar su impacto potencial en los activos y procesos críticos de la organización. Este análisis debe integrar variables como criticidad, probabilidad de explotación, contexto organizacional y amenazas conocidas en el ecosistema. El análisis también debe incorporar, dentro de lo posible, indicadores de compromiso (IoC), tácticas, técnicas y procedimientos (TTPs) utilizados por actores de amenaza, vulnerabilidades explotadas y eventos relevantes detectados por las fuentes confiables. Evaluar la necesidad de la contratación de servicios externos de threat intelligence que aporten análisis contextualizados, soporte continuo y capacidades de intercambio automatizado de indicadores de compromiso. Integración con el análisis de riesgos La información de inteligencia debe ser considerada como insumo obligatorio en el proceso de evaluación y tratamiento de riesgos de seguridad de la información, así como en la definición de controles preventivos, detección de vectores emergentes y priorización de activos. Toda amenaza relevante identificada debe documentarse y asociarse a evaluaciones de impacto potencial y decisiones de tratamiento de riesgos. |