Función: Detectar (DE)
DE.CM. Monitoreo continuo
Los activos se monitorean para encontrar anomalías, indicadores de compromiso y otros eventos potencialmente adversos.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
DE.CM-01. Las redes y los servicios de red se monitorean para detectar eventos potencialmente adversos. | SO.7-1: Están configurados los registros de auditoría y eventos para todos los sistemas definidos como críticos. SO.7-2: Se analiza el impacto de los eventos que afectan a los sistemas y servicios más críticos, dentro o fuera del centro de datos. SO.7-3: Existe personal con tareas asignadas para la detección de eventos a nivel de sistemas base y de protección perimetral. | SO.7-5: Los registros están protegidos contra accesos no autorizados y posibles alteraciones. SO.7-8: Se automatizan alertas ante eventos de seguridad de la información. Por ejemplo, permiten alertar cuando los usuarios realizan conexiones fuera de la organización, y la conexión e instalación de dispositivos o software no autorizado en equipos de la organización. SO.7-9: Se han definido las responsabilidades y la participación de los roles de TI en las actividades de monitoreo, incluyendo aquellas basadas en herramientas automatizadas. | SO.7-13: Se define una política de auditoría y registro de eventos, como por ej. de los sistemas y redes y de configuración y uso de WAF. SO.7-14: Están establecidos procedimientos de auditoría y registro de eventos. SO.7-16: Están establecidos procedimientos de detección y monitoreo. SO.7-18: Se realizan pruebas periódicas al procedimiento de monitoreo. | SO.7-20: Se cuenta con herramientas que permitan respuesta automatizada ante incidentes de seguridad de la información.
|
DE.CM-02. Se monitorea el entorno físico para detectar posibles eventos adversos. | SF.1-1: Están identificadas las áreas que requieren control de acceso físico. SF.1-2: Están implementados los controles de acceso físico a las instalaciones de los centros de procesamiento de datos. SF.1-3: Se gestionan (evalúan, autorizan y registran) las autorizaciones de acceso al centro de procesamiento de datos. | SF.1-4: Están establecidos perímetros de seguridad en el centro de procesamiento de datos y las áreas seguras. SF.1-5: Están implementados controles de acceso físico para otras áreas definidas como seguras. SF.1-6: Se gestionan (evalúan, autorizan y registran) las autorizaciones de acceso a las áreas definidas como seguras. SF.1-7: Se lleva un registro de accesos físicos al centro de procesamiento de datos y áreas seguras. | SF.1-8: Existe una política de control de acceso físico formalmente aprobada. SF.1-9: Se revisan de forma reactiva los registros de acceso a las diferentes áreas. SF.1-10: Las aplicaciones que manejan información sensible requieren reautenticación periódica, especialmente cuando se accede desde ubicaciones de alto riesgo. | SF.1-11: Está establecido un procedimiento de revisión periódica de los accesos al centro de procesamiento de datos y a las áreas seguras. SF.1-12: Se realizan actividades de control interno para verificar el cumplimiento de los procedimientos establecidos. SF.1-13: Se aplican controles de tiempo de conexión y condiciones de acceso desde ubicaciones públicas o externas a la organización. |
DE.CM-03. Se monitorea la actividad del personal y el uso de la tecnología para detectar posibles acontecimientos adversos | GA.3-1: Existen pautas del uso aceptable de los activos de la información. GA.3-2: Toda persona que acceda a activos de información debe aceptar formalmente, previo al acceso, las condiciones de uso establecidas por la organización. GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. GI.2-4: Está definido cuando una serie de eventos o una notificación conforman un delito conforme la normativa vigente. | GA.3-5: Está definida formalmente la política sobre el uso adecuado de los activos de la información de la organización. GA.3-6: La política de uso adecuado de los activos es difundida a todo el personal, proveedores y terceros que utilicen activos de información. GA.3-8: Existe un plan de respuesta en caso de pérdida o robo de los activos de información. | GA.3-9: Las medidas de protección implementadas en los activos informáticos se monitorean de forma proactiva 7x24. GA.3-10: Se realizan evaluaciones periódicas para verificar que el uso de los activos se ajusta a las condiciones establecidas en la política. |
DE.CM-06. Se monitorean las actividades y los servicios de los proveedores de servicios externos para detectar eventos potencialmente adversos. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. RP.2-1: Se definen métricas e indicadores para el seguimiento y control de los proveedores, mínimamente para los proveedores críticos. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. GI.2-4: Está definido cuando una serie de eventos o una notificación conforman un delito conforme la normativa vigente. | RP.2-4: Se documentan los resultados de las evaluaciones de desempeño y cumplimiento de requisitos de seguridad de los proveedores. | RP.2-7: La gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. |
DE.CM-09. Se monitorean el hardware y el software informáticos, los entornos de ejecución y sus datos para detectar posibles eventos adversos. | SC.15-2: Todas las aplicaciones Web disponibles en Internet se encuentran protegidas mediante el uso de WAF, al menos configurados en modo “detección”. SF.3-1: Se monitorea de forma reactiva o esporádica los sistemas o servicios más críticos. SF.3-2: Se registran los logs de las fallas y alertas críticas, y se conserva su historial para revisión. SO.5-1: Todos los equipos del personal cuentan con una solución antimalware SO.5-2: Las soluciones a los problemas detectados se realizan en forma ad-hoc. | SC.15-3: El WAF de producción ha evolucionado de modo detección a modo bloqueo. SF.3-3: Se monitorea de forma automatizada los activos críticos del centro de procesamiento de datos, generando alertas ante la detección de problemas. SF.3-4: Existen funciones integradas en los dispositivos que permiten el monitoreo de las amenazas típicas (alimentación eléctrica, enfriamiento, etc.). SF.3-5: Se definen notificaciones de alertas (correo, SMS, etc.) al personal designado. SO.5-3: Todos los servidores cuentan con una solución antimalware. SO.5-4: Se encuentran configurados chequeos periódicos en los equipos del personal. SO.7-7: Los sistemas que soportan los servicios críticos emiten alertas de eventos de forma independiente, basados en las pautas establecidas por el apetito de riesgo de la organización. | SC.15-4: Se cuenta con un WAF instalado en ambiente de prueba para la realización de pruebas funcionales. SC.15-5: En el ambiente de producción se impactan las reglas actualizadas luego de ser probadas. SC.15-6: Los registros de los WAF se encuentran centralizados. SF.3-6: En el centro de procesamiento de datos se implementan alertas sobre anomalías que podrían transformarse en problemas para los activos críticos. SF.3-8: Establecer un procedimiento documentado de monitoreo que incluye el uso de herramientas automatizadas. SO.5-5: Está definida una política del manejo de software malicioso. SO.5-6: Está establecido un procedimiento del manejo de software malicioso. SO.5-7: Se cuenta con una solución centralizada de antimalware. SO.7-16: Están establecidos procedimientos de detección y monitoreo. SO.7-18: Se realizan pruebas periódicas al procedimiento de monitoreo. | SC.15-7: El análisis de los registros del WAF incluye automatismos que favorecen las actividades de revisión. SF.3-9: Se envían alertas del estado de los componentes prioritarios para el funcionamiento de la organización ante los cambios de entorno. SF.3-10: Se monitorean todos los activos de información del centro de procesamiento de datos, con cruzamiento de información de diversas fuentes, contemplando, entre otros, alertas preventivas y reactivas. SF.3-11: Se cuenta con un proceso de control interno para la verificación de cumplimiento de los procedimientos de monitoreo del centro de procesamiento de datos. SO.5-8: Están implementados controles para evitar el acceso a sitios Web maliciosos y/o no autorizados. SO.5-9: La protección ante software malicioso se extiende a otros dispositivos móviles y se refleja en la política de protección contra software malicioso. SO.5-10: Existen procedimientos documentados para la detección de equipos que se encuentran desprotegidos y se realizan las acciones necesarias para subsanar la situación. SO.5-11: Se cuenta con un registro estadístico de infecciones por software malicioso que aporta a la toma de decisiones y alimenta las lecciones aprendidas que se usan para la mejora continua. SO.7-21: Se realizan actividades de control interno para verificar el cumplimiento con la política y los procedimientos. SO.7-22: El resultado de las revisiones se comunica al RSI y demás partes interesadas. |
DE.AE. Análisis de eventos adversos
Se analizan anomalías, indicadores de compromiso y otros eventos potencialmente adversos para caracterizarlos y detectar incidentes de ciberseguridad.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
DE.AE-02. Los eventos potencialmente adversos se analizan para comprender mejor las actividades asociadas. | SO.7-1: Están configurados los registros de auditoría y eventos para todos los sistemas definidos como críticos. | SC.12-6: Se generan alertas ante intentos de acceso no autorizados al Webmail. SO.7-6: Se establecen los umbrales tolerables de los activos (por ejemplo, tiempo de espera tolerable para una aplicación Web). | SO.7-15: Se cuenta con herramientas que permitan la correlación de eventos de seguridad de la información. | SO.7-19: Se cuenta con mecanismos para revisar las actividades de los administradores. |
DE.AE-03. Se correlaciona la información procedente de diversas fuentes. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. | GI.4-4: Los registros de incidentes permiten trazabilidad completa de su evolución, desde la detección hasta el cierre.
| SF.3-7: Las alertas notifican cuando se comienzan a dar las casuísticas que pueden derivar en un incidente aún no concretado. | GA.3-9: Las medidas de protección implementadas en los activos informáticos se monitorean de forma proactiva 7x24. |
DE.AE-04. Se comprende el impacto estimado y el alcance de los eventos adversos. | GI.2-2: Se han definido lineamientos para la categorización de los incidentes según su tipo y criticidad. | GI.2-5: Los incidentes identificados se clasifican utilizando una escala formal de severidad y criticidad. GI.2-6: Están definidas las acciones y tiempos de respuesta asociados a cada categoría según severidad. | GI.2-7: Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. | GI.2-11: La categorización de incidentes se revisa periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. GI.2-13: Los resultados son utilizados para mejorar o incrementar los controles existentes. |
DE.AE-06. La información sobre eventos adversos se proporciona al personal y a las herramientas autorizadas. | SO.7-1: Están configurados los registros de auditoría y eventos para todos los sistemas definidos como críticos. | SO.7-6: Se establecen los umbrales tolerables de los activos (por ejemplo, tiempo de espera tolerable para una aplicación Web). | SO.7-15: Se cuenta con herramientas que permitan la correlación de eventos de seguridad de la información. | SO.7-19: Se cuenta con mecanismos para revisar las actividades de los administradores. |
DE.AE-07. La inteligencia sobre ciberamenazas y otra información contextual se integran en el análisis. | GR.4-1: La organización ha identificado y documentado sus fuentes confiables de inteligencia de amenazas, incluyendo al menos CERTuy y fuentes oficiales, comunitarias o sectoriales. GR.4-2: El personal de seguridad recibe capacitación sobre el uso de inteligencia de amenazas. GR.4-3: La organización recibe periódicamente información de amenazas a través de sus fuentes confiables, la misma se registra para su posterior análisis. | GR.4-4: Están asignados los responsables de recibir, filtrar y analizar la inteligencia de amenazas. GR.4-5: Se realiza un análisis del impacto potencial de las amenazas emergentes sobre la organización. GR.4-6: La inteligencia de amenazas se utiliza como insumo para el análisis de riesgos de seguridad de la información. | GR.4-7: Se cuenta con un procedimiento documentado sobre el uso de inteligencia de amenazas, abarcando como se recibe, filtra, analiza, clasifica y utiliza la información. GR.4-8: La información de inteligencia de amenazas se utiliza para ajustar o redefinir los controles existentes y apoyar el diseño de nuevos controles para los planes de tratamiento de riesgos. | GR.4-9: Se revisa periódicamente las fuentes confiables de inteligencia identificadas para validar su vigencia. GR.4-10: La organización actualiza sus análisis de riesgos en función de la nueva información derivada del análisis de la inteligencia de amenazas. GR.4-11: Las tendencias identificadas del análisis de la inteligencia de amenazas son utilizadas como insumo para la toma de decisiones estratégicas relacionadas a seguridad. |
DE.AE-08. Se declaran incidentes cuando los eventos adversos cumplen con los criterios de incidente definidos. | GI.2-1: Los eventos anómalos o potencialmente anómalos se comunican a referentes con capacidad de decisión y articulación de respuestas. | GI.2-3: Está definido cuando una serie de eventos o una notificación conforman un incidente. GI.2-4: Está definido cuando una serie de eventos o una notificación conforman un delito conforme la normativa vigente. SO.7-7: Los sistemas que soportan los servicios críticos emiten alertas de eventos de forma independiente, basados en las pautas establecidas por el apetito de riesgo de la organización. | SO.7-17: Las actividades de identificación de impacto y determinación de umbrales están contenidas en el procedimiento de detección y monitoreo. | GI.2-12: La categorización de incidentes se revisa periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. |