Procesos de detección (DE.PD)
Se mantienen procesos y procedimientos de detección y pruebas para asegurar el conocimiento oportuno y adecuado de los eventos anómalos.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
DE.PD-1. Los roles y las responsabilidades de detección se encuentran definidos para asegurar responsabilidades. | Existe personal con tareas asignadas para la detección de eventos a nivel de sistemas base y de protección perimetral. | Se define la participación de roles de TI para las actividades de monitoreo basado en herramientas automatizadas. Se revisan los registros de eventos. | Se ha definido un responsable para las tareas de monitoreo de eventos y existe un procedimiento documentado para la gestión de las actividades de monitoreo. Se realizan pruebas periódicas al procedimiento de monitoreo. Este procedimiento define las actividades de comunicación formales que deben realizarse. Se definen los escenarios a probar y los ambientes. | Se realizan actividades de control interno de cumplimiento con el procedimiento de monitoreo de eventos. El resultado de las actividades se comunica al RSI y demás partes interesadas, se utiliza para mejorar el procedimiento y las pruebas y se retroalimentan las lecciones aprendidas. |
DE.PD-2 Las actividades de detección cumplen con todos los requisitos aplicables. | La información contenida en los logs es utilizada conforme a los requisitos aplicables, en particular los requisitos legales. | Se utilizan los datos recolectados de acuerdo con la regulación y normativa del sector que corresponda, por ejemplo, protección de datos. | Los procedimientos y actividades de detección son revisados ante cambios en los requisitos aplicables. | De forma periódica se controla el cumplimiento de los requisitos aplicables sobre el monitoreo y las actividades relacionadas. |
DE.PD-3 Los procesos de detección son probados. | Se realizan pruebas de los procesos de detección y monitoreo (físico y lógico) de los activos del centro de datos. | Se realizan pruebas de los procesos de detección y monitoreo (físico y lógico) de los activos y usuarios de la organización. | Existen procedimientos que establecen la periodicidad y los criterios para la realización de pruebas de detección. Las pruebas se apoyan en la automatización del proceso para la detección de desvíos. Las pruebas se documentan y se realiza la gestión de cambios. Se identifican las lecciones aprendidas. | Las lecciones aprendidas son utilizadas para la mejora del SGSI, particularmente para la gestión de riesgos. |
|
DE.PD-4. La información de la detección de eventos es comunicada a las partes pertinentes. | Al detectar eventos anómalos o potencialmente anómalos, se comunica a algún referente o autoridad con capacidad de articular soluciones. | Existen mecanismos de comunicación definidos ante la detección de eventos anómalos, y estos son ejecutados cuando efectivamente se detectan. | Existe un procedimiento de monitoreo que contiene actividades de comunicación. Dentro de las pruebas realizadas al procedimiento de monitoreo, se incluyen pruebas a las actividades de comunicación. | El responsable del monitoreo de eventos trabaja en forma coordinada con el RSI. Se realizan revisiones de control interno de cumplimiento con el procedimiento de monitoreo y de las actividades de comunicación. El resultado de las revisiones se utiliza para mejorar el procedimiento y las pruebas. Se retroalimentan las lecciones aprendidas. |
|
DE.PD-5. Los procesos de detección son mejorados continuamente. | Toda incorporación o modificación de los sistemas críticos e infraestructuras del centro de datos son reflejados en el monitoreo. | Toda incorporación o modificación de los sistemas del negocio son reflejados en el monitoreo. | Se define el procedimiento monitoreo de los activos de información de la organización. Se correlacionan los eventos de los distintos sistemas de monitoreo. Se automatizan las alertas ante desvíos. | Ver DE.PD-4 (nivel 4) |