Guía de Implementación del Marco de Ciberseguridad 5.0

SF.3 Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas sobre el equipamiento

Requisito SF.3Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas sobre el equipamiento
ObjetivoLograr una adecuada administración de los componentes críticos alojados en sitios o centros de procesamiento de datos.
Controles

Nivel 1

  • SF.3-1: se monitorea de forma reactiva o esporádica los sistemas o servicios más críticos.
  • SF.3-2: se registran los logs de las fallas y alertas críticas, y se conserva su historial para revisión.

Nivel 2

  • SF.3-3: se monitorea de forma automatizada los activos críticos del centro de procesamiento de datos, generando alertas ante la detección de problemas.
  • SF.3-4: existen funciones integradas en los dispositivos que permiten el monitoreo de las amenazas típicas (alimentación eléctrica, enfriamiento, etc.).
  • SF.3-5: se definen notificaciones de alertas (correo, SMS, etc.) al personal designado.

Nivel 3

  • SF.3-6: en el centro de procesamiento de datos se implementan alertas sobre anomalías que podrían transformarse en problemas para los activos críticos.
  • SF.3-7: las alertas notifican cuando se comienzan a dar las casuísticas que pueden derivar en un incidente aún no concretado.
  • SF.3-8: establecer un procedimiento documentado de monitoreo que incluye el uso de herramientas automatizadas.

Nivel 4

  • SF.3-9: se envían alertas del estado de los componentes prioritarios para el funcionamiento de la organización ante los cambios de entorno.
  • SF.3-10: se monitorean todos los activos de información del centro de procesamiento de datos, con cruzamiento de información de diversas fuentes, contemplando, entre otros, alertas preventivas y reactivas.
  • SF.3-11: se cuenta con un proceso de control interno para la verificación de cumplimiento de los procedimientos de monitoreo del centro de procesamiento de datos.
Guía de implementación

Procedimiento de monitoreo
Se debe definir un procedimiento documentado de monitoreo que incluya el uso de herramientas automatizadas para realizar estas tareas, en los casos que aplique.

Sistema de gestión y monitoreo
Este establece la recomendación de contar con un sistema de gestión y monitoreo centralizado que pueda alertar fallas en componentes críticos del centro de procesamiento de datos.

Aclaraciones sobre el sistema de gestión y monitoreo
Para administrar correctamente un centro de procesamiento de datos y sitio de contingencia, es necesario que se realice un monitoreo permanente de todas las variables ambientales, del estado de salud de los activos e incluso de los servicios informáticos que se brindan desde el centro de procesamiento de datos. 
Existen varios tipos de monitoreo. Una posible clasificación es: informativo, preventivo y reactivo.

El monitoreo preventivo permite analizar con base en el histórico, la situación actual el comportamiento futuro de la infraestructura y sistemas de información. El mantenimiento histórico de los valores monitoreados no solo permite pronosticar tendencias, sino que puede aportar información valiosa en análisis forenses de incidentes o eventos no esperados.

El monitoreo reactivo es el encargado de “disparar” alarmas en caso de fallas o umbrales definidos para prevenir eventos no deseados. Este tipo de monitoreo deberá realizarse y ser atendido en una modalidad 7x24 para los eventos críticos. Estas alarmas deberán clasificarse según su severidad desde informativas a críticas, siendo estas últimas las que deben atenderse de forma inmediata.

Herramientas de monitoreo
Las herramientas más comunes para consolidar monitoreo implementan protocolos como SNMP, ICMP, HTTP, consulta de apertura de puertos TCP y permiten realizar scripts para obtener valores a graficar. Las mismas herramientas permiten definir umbrales y enviar alarmas por mail, en tiempo real en un cuadro de mando.

Es deseable contar con herramientas para cruzamiento de información de diversas fuentes que permitan emitir alertas preventivas. Se debe establecer una estrategia de recolección de la información, evitando un único punto de falla.

Monitoreo alternativo
Se debe contar con alternativas de monitoreo (al menos manual) ante fallas del mecanismo principal.

Instituciones de saludTodo equipamiento clínico que almacene o procese información de salud de los usuarios debe ser monitoreado con el fin de, por ejemplo, verificar que se encuentre funcionando de acuerdo a lo esperado según su función en el proceso asistencial. 
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Herramientas utilizadas para el monitoreo.
  • Procedimiento de monitoreo.
  • Reportes de fallas y alertas dentro del período auditado.
  • Evidencia de la revisión de fallas y alertas dentro del período auditado.
  • Registro del mantenimiento histórico de los valores monitoreados dentro del período auditado.
Normativa asociadaNo aplica

Etiquetas