Monitoreo continuo de la seguridad (DE.MC)
Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de seguridad cibernética y verificar la eficacia de las medidas de protección.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
DE.MC-1. Se monitorea la red para detectar potenciales eventos de ciberseguridad. | Se monitorea de forma reactiva o esporádica los sistemas o servicios más críticos. | Se monitorea de forma automatizada los activos críticos del centro de datos, generando alertas ante la detección de problemas. | En el centro de datos se implementan alertas sobre anomalías que podrían transformarse en problemas para los activos críticos. Estas alertas notifican cuando se comienzan a dar las casuísticas que pueden derivar en un incidente aún no concretado. | Se monitorean todos los activos de información del centro de datos, con cruzamiento de información de diversas fuentes, contemplando, entre otros, alertas preventivas y reactivas. Se cuenta con un mecanismo alternativo de monitoreo, al menos manual, ante fallas del principal. |
DE.MC-2. Se monitorea el ambiente físico para detectar potenciales eventos de ciberseguridad. | Existen controles de acceso físico a las instalaciones del centro de datos. Se definen alertas reactivas (ínsita) de control en los dispositivos físicos del centro de datos. Se monitorean esporádicamente los dispositivos para detectar amenazas sobre ellos (alimentación eléctrica, enfriamiento, etc.). | Existen funciones integradas en los dispositivos que permiten el monitoreo de las amenazas típicas (alimentación eléctrica, enfriamiento, etc.). Se definen notificaciones de alertas (correo, SMS, etc.) al personal designado. | Se cuenta con una política de control de acceso físico. Se cuenta con los sensores instalados y se recolecta la información. Se define dónde se almacena la información de los sensores. Se determina la estrategia de recolección que sea más adecuada, siempre evitando un punto único de falla. Se trabaja en la identificación de otro tipo de amenazas físicas (personas, sustancias suspendidas en el aire, humedad, filtración de líquidos, temperatura del aire, etc.) y en el establecimiento de sensores para capturar la información. | Se cuenta con un sistema de monitoreo inteligente que proporciona información histórica útil para la generación de informes. Los informes son utilizados para evaluar el centro de datos y tomar acciones correctivas o preventivas. |
DE.MC-3. Se monitorea la actividad del personal para detectar potenciales eventos de ciberseguridad. | Se registran los eventos relevantes de los usuarios que suceden en los sistemas o aplicaciones críticas.
| Se realizan revisiones de los eventos registrados en forma reactiva. Los resultados de las revisiones son utilizados para la evaluación de potenciales incidentes. | Se han definido las responsabilidades del monitoreo. Se ha definido un procedimiento de revisión periódica de registros que cubre al menos inicios de sesión fallidos y acceso y uso de Internet. La información generada se reporta a la gerencia que corresponda y/o demás partes interesadas para la toma de decisiones. | Se realizan actividades de control interno para verificar el cumplimiento con el procedimiento de monitoreo. Se genera información que se utiliza con fines estadísticos y de mejora de los servicios. Los resultados de estas revisiones se utilizan para la mejora del procedimiento y se retroalimentan las lecciones aprendidas. |
DE.MC-4. Se detecta el código malicioso. | Los equipos del personal cuentan con protección antivirus. Las soluciones a los problemas detectados se realizan en forma ad-hoc. | Los servidores que ofician de distribuidores de archivos (por ejemplo, servidores de archivos o correo electrónico), cuentan con una solución antivirus. Se configuran chequeos periódicos en los equipos del personal. Las actividades de concientización al personal contienen temas específicos sobre riesgos y problemas derivados del software malicioso. | Se define una política y procedimientos para el manejo de software malicioso. Se cuenta con una solución centralizada de antivirus. | Se implementan controles para evitar el acceso a sitios Web maliciosos y/o no autorizados. La protección ante software malicioso se extiende a otros dispositivos móviles y se refleja en la política de protección contra software malicioso. Existen procedimientos documentados para la detección de equipos que se encuentran desprotegidos y se realizan las acciones necesarias para subsanar la situación. Se cuenta con un registro estadístico de infecciones por software malicioso que aporta a la toma de decisiones y alimenta las lecciones aprendidas que se usan para la mejora continua. |
DE.MC-5. Se detecta el código móvil no autorizado. | Ver DE.MC-4 (nivel 1) | Ver DE.MC-4 (nivel 2) | Ver DE.MC-4 (nivel 3) | Ver DE.MC-4 (nivel 4) |
DE.MC-6. Se controla la actividad de los proveedores de servicios externos para detectar posibles eventos de ciberseguridad. | Se toman acciones ante desvíos detectados en el servicio de un proveedor de un servicio crítico del centro de datos. | Existen SLA con proveedores de servicios críticos del centro de datos. En los contratos con los proveedores de servicios críticos, se incluyen cláusulas de seguridad de la información. | Existen SLA con los proveedores de servicios críticos del centro de datos donde se establece el régimen de cobertura para los servicios críticos conforme las necesidades de la organización. En todos los contratos se incluyen cláusulas de seguridad de la información. Los contratos con los proveedores son revisados ante cambios del servicio. | Se realiza una revisión periódica de los contratos y SLA de los proveedores de servicios críticos para evaluar la adherencia a los acuerdos. La información que surge de la revisión apoya a la toma de decisiones. |
DE.MC-7. Se realiza monitoreo para personas, conexiones, dispositivos y software. | Se establece el monitoreo de los logs generados por los sistemas del control de acceso, a nivel físico y lógico, dentro del centro de datos. | Se utilizan reglas para los sistemas de forma independiente, que permiten alertar cuando los usuarios realizan conexiones fuera de la organización, y la conexión e instalación de dispositivos o software no autorizado en equipos de la organización. | Se definen políticas y procedimientos que definen los términos y condiciones del monitoreo de personas, conexiones, dispositivos y software. Se amplía el monitoreo a todos los equipos de la organización. | El sistema de recolección de log centralizado o sensores dispuestos en la red de la organización, recolectan y emiten alertas relacionadas a las acciones no permitidas por los usuarios sobre la infraestructura y sistemas de la organización.
|
DE.MC-8. Se realizan escaneos de vulnerabilidades. | Se realizan revisiones puntuales de los sistemas de información con recursos propios o con apoyo externo. | Se realizan revisiones de seguridad de los sistemas en forma periódica o como parte de un cambio significativo en ellos, con recursos propios o con apoyo externo.
| Se define un responsable y un procedimiento documentado para la revisión periódica interna de vulnerabilidades con alcance a los sistemas base y de aplicación. Se cuenta con el apoyo de revisiones externas de vulnerabilidades y hackeo ético. Los resultados de las revisiones internas y externas se utilizan para la detección y corrección de vulnerabilidades. | Los resultados de las revisiones internas y externas se utilizan para la mejora continua de la seguridad de los sistemas. Se realizan actividades de control interno para verificar el cumplimiento con el procedimiento de revisión periódica de vulnerabilidades. El procedimiento de revisión de vulnerabilidades se encuentra incorporado en las actividades de seguridad de la información y se decide su realización con una frecuencia mayor, ante cualquier cambio de magnitud (previo análisis de riesgo) o cada vez que se considera necesario. |