Análisis (RE.AN)

Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de recuperación.

Subcategoría	Nivel 1	Nivel 2	Nivel 3	Nivel 4
RE.AN-1. Se investigan las notificaciones de los sistemas de detección.	Los sistemas registran eventos y/o envían notificaciones de seguridad que se analizan reactivamente y se escalan cuando corresponde.	Se definen pautas generales para el registro de eventos y los nuevos sistemas se despliegan de acuerdo a ellas. Se determina cuando un evento o notificación conforma un incidente y se clasifica según su criticidad y severidad.	Se define una política de auditoría y registro de eventos. Existe un procedimiento documentado y alineado a la política. Se define si se escala un incidente considerando: activos afectados, criticidad y severidad.	El procedimiento incorpora mejores prácticas que incluyen actividades de análisis forense y custodia de la información. Se realizan actividades de control interno de cumplimiento del procedimiento. El resultado de las actividades se utiliza para el proceso de mejora continua.
RE.AN-2. El impacto del incidente es comprendido.	Se llevan a cabo actividades de análisis de impacto y actividades de respuesta en forma ad-hoc. Se informa al CERTuy o CSIRT que corresponda, sobre los incidentes detectados.	Existen pautas para la clasificación de incidentes, que son utilizadas en la gestión de todos los incidentes.	La respuesta a incidentes se realiza dentro del marco del plan y/o procedimiento de respuesta, alineado a la política de gestión de incidentes. Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. Se cuenta con herramientas automatizadas para el registro de incidentes alineadas con el plan y/o procedimiento de respuesta definido.	El procedimiento incorpora mejores prácticas que incluyen actividades de análisis forense y custodia de la información, así como también actividades a realizar post incidente. Se sistematizan las lecciones aprendidas, que son utilizadas para la mejora de los procedimientos, los procesos y las estrategias de mitigación y respuesta.
RE.AN-3. Se realiza análisis forense.	Ante un incidente de seguridad de la información en el centro de datos, la organización realiza un análisis forense o contacta a su CSIRT de referencia para llevarlo adelante.	Ante un incidente de seguridad de la información, la organización realiza un análisis forense o contacta a su CSIRT de referencia para llevarlo adelante. Se tienen pautas establecidas para garantizar la cadena de custodia. Se generan los informes pertinentes y se distribuyen a las partes interesadas.	Todos los procedimientos vinculados al análisis forense se encuentran documentados. La documentación es realizada por personal calificado.	El resultado del análisis forense es utilizado para la mejora continua del SGSI de la organización; en particular para la gestión de riesgos de seguridad de la información.
RE.AN-4. Los incidentes son categorizados consistentemente con los planes de respuesta.	Se han definido lineamientos para la categorización de los incidentes según su tipo y criticidad.	Se determinan las acciones y tiempos de respuesta asociados a cada categoría según severidad.	Se define una política de gestión de incidentes de seguridad de la información y se difunde. Se define un plan de respuesta para la gestión de incidentes. Las acciones asociadas a cada categoría están alineadas al plan de respuesta. Se cuenta con herramientas que apoyan la gestión de los incidentes.	La categorización de incidentes y los planes de respuesta se revisan periódicamente, considerando las necesidades del negocio y las tendencias de amenazas. Se realizan estadísticas utilizando las categorizaciones, los resultados son utilizados para mejorar o incrementar los controles existentes.
RE-AN-5. Se establecen procesos para recibir, analizar y responder a las vulnerabilidades divulgadas a la organización desde fuentes internas y externas (por ejemplo, pruebas internas, boletines de seguridad o investigadores de seguridad).	Se establecen canales de comunicación y fuentes de información para alertar las posibles vulnerabilidades que puedan afectar los activos y servicios críticos del centro de datos.	Se establecen canales de comunicación y fuentes de información para alertar las posibles vulnerabilidades que puedan afectar los activos y servicios críticos de la organización. Se establece un mecanismo de acción en base a la criticidad de las vulnerabilidades.	Se define una metodología para la gestión de vulnerabilidades, así como los procedimientos necesarios para su implementación. Se cuenta con herramientas que apoyan la gestión de vulnerabilidades.	Las fuentes de datos son revisadas periódicamente. La metodología se adecua conforme las necesidades del negocio y su contexto. La gestión de vulnerabilidades es utilizada para la mejora continua del SGSI.

Subcategoría

Nivel 1

Nivel 2

Nivel 3

Nivel 4

RE.AN-1.

Se investigan las notificaciones de los sistemas de detección.

Los sistemas registran eventos y/o envían notificaciones de seguridad que se analizan reactivamente y se escalan cuando corresponde.

Se definen pautas generales para el registro de eventos y los nuevos sistemas se despliegan de acuerdo a ellas.

Se determina cuando un evento o notificación conforma un incidente y se clasifica según su criticidad y severidad.

Se define una política de auditoría y registro de eventos.

Existe un procedimiento documentado y alineado a la política.

Se define si se escala un incidente considerando:

activos afectados, criticidad y severidad.

El procedimiento incorpora mejores prácticas que incluyen actividades de análisis forense y custodia de la información.

Se realizan actividades de control interno de cumplimiento del procedimiento. El resultado de las actividades se utiliza para el proceso de mejora continua.

RE.AN-2.

El impacto del incidente es comprendido.

Se llevan a cabo actividades de análisis de impacto y actividades de respuesta en forma ad-hoc.

Se informa al CERTuy o CSIRT que corresponda, sobre los incidentes detectados.

Existen pautas para la clasificación de incidentes, que son utilizadas en la gestión de todos los incidentes.

La respuesta a incidentes se realiza dentro del marco del plan y/o procedimiento de respuesta, alineado a la política de gestión de incidentes.

Existe un procedimiento de gestión de incidentes que incluye las tareas de análisis de impacto. Se cuenta con herramientas automatizadas para el registro de incidentes alineadas con el plan y/o procedimiento de respuesta definido.

El procedimiento incorpora mejores prácticas que incluyen actividades de análisis forense y custodia de la información, así como también actividades a realizar post incidente.

Se sistematizan las lecciones aprendidas, que son utilizadas para la mejora de los procedimientos, los procesos y las estrategias de mitigación y respuesta.

RE.AN-3.

Se realiza análisis forense.

Ante un incidente de seguridad de la información en el centro de datos, la organización realiza un análisis forense o contacta a su CSIRT de referencia para llevarlo adelante.

Ante un incidente de seguridad de la información, la organización realiza un análisis forense o contacta a su CSIRT de referencia para llevarlo adelante.

Se tienen pautas establecidas para garantizar la cadena de custodia.

Se generan los informes pertinentes y se distribuyen a las partes interesadas.

Todos los procedimientos vinculados al análisis forense se encuentran documentados. La documentación es realizada por personal calificado.

El resultado del análisis forense es utilizado para la mejora continua del SGSI de la organización; en particular para la gestión de riesgos de seguridad de la información.

RE.AN-4.

Los incidentes son categorizados consistentemente con los planes de respuesta.

Se han definido lineamientos para la categorización de los incidentes según su tipo y criticidad.

Se determinan las acciones y tiempos de respuesta asociados a cada categoría según severidad.

Se define una política de gestión de incidentes de seguridad de la información y se difunde.

Se define un plan de respuesta para la gestión de incidentes. Las acciones asociadas a cada categoría están alineadas al plan de respuesta.

Se cuenta con herramientas que apoyan la gestión de los incidentes.

La categorización de incidentes y los planes de respuesta se revisan periódicamente, considerando las necesidades del negocio y las tendencias de amenazas.

Se realizan estadísticas utilizando las categorizaciones, los resultados son utilizados para mejorar o incrementar los controles existentes.

RE-AN-5.

Se establecen procesos para recibir, analizar y responder a las vulnerabilidades divulgadas a la organización desde fuentes internas y externas (por ejemplo, pruebas internas, boletines de seguridad o investigadores de seguridad).

Se establecen canales de comunicación y fuentes de información para alertar las posibles vulnerabilidades que puedan afectar los activos y servicios críticos del centro de datos.

Se establecen canales de comunicación y fuentes de información para alertar las posibles vulnerabilidades que puedan afectar los activos y servicios críticos de la organización.

Se establece un mecanismo de acción en base a la criticidad de las vulnerabilidades.

Se define una metodología para la gestión de vulnerabilidades, así como los procedimientos necesarios para su implementación.

Se cuenta con herramientas que apoyan la gestión de vulnerabilidades.

Las fuentes de datos son revisadas periódicamente.

La metodología se adecua conforme las necesidades del negocio y su contexto.

La gestión de vulnerabilidades es utilizada para la mejora continua del SGSI.

Etiquetas

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Marco de Ciberseguridad

Análisis (RE.AN)

Etiquetas