Función: Detectar (DE)
DE.CM. Monitoreo continuo
Los activos se monitorean para encontrar anomalías, indicadores de compromiso y otros eventos potencialmente adversos.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
DE.CM-01: Las redes y los servicios de red se monitorean para detectar eventos potencialmente adversos. | Media | Alta | Alta | SO.7 Registrar y monitorear los eventos de los sistemas. |
DE.CM-02: Se monitorea el entorno físico para detectar posibles eventos adversos. | Baja | Media | Alta | SF.1 Implementar controles de acceso físico a las instalaciones y equipos ubicados en los centros de datos y áreas relacionadas. |
DE.CM-03: Se monitorea la actividad del personal y el uso de la tecnología para detectar posibles acontecimientos adversos. | Baja | Baja | Baja | GA.3 Pautar el uso aceptable de los activos.
GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información. |
DE.CM-06: Se monitorean las actividades y los servicios de los proveedores de servicios externos para detectar eventos potencialmente adversos. | Baja | Baja | Baja | GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
DE.CM-09: Se monitorean el hardware y el software informáticos, los entornos de ejecución y sus datos para detectar posibles eventos adversos. | Media | Media | Alta | SC.15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF).
SF.3 Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas en componentes críticos.
SO.5 Controlar software malicioso.
SO.7 Registrar y monitorear los eventos de los sistemas. |
DE.AE. Análisis de eventos adversos
Se analizan anomalías, indicadores de compromiso y otros eventos potencialmente adversos para caracterizarlos y detectar incidentes de ciberseguridad.
Subcategoría
| Prioridad Básico
| Prioridad Estándar
| Prioridad Avanzado
| Requisitos relacionados
|
DE.AE-02: Los eventos potencialmente adversos se analizan para comprender mejor las actividades asociadas. | Baja | Media | Media | SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje.
SO.7 Registrar y monitorear los eventos de los sistemas. |
DE.AE-03: Se correlaciona la información procedente de diversas fuentes. | Baja | Baja | Baja | GA.3 Pautar el uso aceptable de los activos.
GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.
GI.4 Registrar y reportar las violaciones a la seguridad de la información, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
SF.3 Contar con un sistema de gestión y monitoreo centralizado capaz de alertar fallas en componentes críticos. |
DE.AE-04: Se comprende el impacto estimado y el alcance de los eventos adversos. | Baja | Baja | Baja | GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información. |
DE.AE-06: La información sobre eventos adversos se proporciona al personal y a las herramientas autorizadas. | Baja | Media | Media | SO.7 Registrar y monitorear los eventos de los sistemas. |
DE.AE-07: La inteligencia sobre ciberamenazas y otra información contextual se integran en el análisis. | Baja | Media | Media | GR.4 Inteligencia de amenazas |
DE.AE-08: Se declaran incidentes cuando los eventos adversos cumplen con los criterios de incidente definidos. | Alta | Alta | Alta | GI.2 Contar con mecanismos que permitan evaluar los eventos de seguridad de la información y decidir si se clasifican como incidentes de seguridad de la información.
SO.7 Registrar y monitorear los eventos de los sistemas. |