13

Monitoreo y Defensa de Red

Operar procesos y herramientas para establecer y mantener un monitoreo de red integral y defensa contra amenazas de seguridad a través de la infraestructura de red y la base de usuarios de la empresa.

Plantillas de Políticas Relacionadas

Política de Seguridad de Red Política de Control de Acceso a la Red Política de Monitoreo de Red

Salvaguardas (11)

ID Título Función IG Elementos de Verificación Evidencia
13.1 Centralizar las Alertas de Eventos de Seguridad Detectar
IG2 IG3
6 3
13.2 Implementar una Solución de Detección de Intrusiones Basada en Host Detectar
IG2 IG3
6 3
13.3 Implementar una Solución de Detección de Intrusiones de Red Detectar
IG2 IG3
6 3
13.4 Realizar Filtrado de Tráfico entre Segmentos de Red Proteger
IG2 IG3
5 3
13.5 Gestionar el Control de Acceso para Activos Remotos Proteger
IG2 IG3
7 4
13.6 Recopilar Registros de Flujo de Tráfico de Red Detectar
IG2 IG3
6 3
13.7 Implementar una Solución de Prevención de Intrusiones Basada en Host Proteger
IG3
5 3
13.8 Implementar una Solución de Prevención de Intrusiones de Red Proteger
IG3
5 3
13.9 Implementar Control de Acceso a Nivel de Puerto Proteger
IG3
5 3
13.10 Realizar Filtrado en la Capa de Aplicación Proteger
IG3
7 5
13.11 Ajustar Umbrales de Alertas de Eventos de Seguridad Detectar
IG3
6 3

Detalles de Verificación de Auditoría

13.1 Centralizar las Alertas de Eventos de Seguridad
IG2 IG3
6 elementos

Centralizar las alertas de eventos de seguridad en todos los activos empresariales para la correlación y análisis de registros. La implementación de mejores prácticas requiere el uso de un SIEM, que incluye alertas de correlación de eventos definidas por el proveedor. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta Salvaguarda.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Las herramientas de detección están implementadas y recopilando datos activamente.

Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos

Las alertas están configuradas con umbrales definidos y canales de notificación.

Exportaciones de configuración de reglas de alerta, configuración de canales de notificación

Operativo

Las alertas se revisan y clasifican dentro del SLA definido.

Registros de respuesta a alertas, registros de clasificación con marcas de tiempo

La cobertura de detección ha sido probada con eventos simulados.

Resultados de pruebas de detección, informes de ejercicios de purple team

Tipo Elemento de Evidencia Frecuencia
Técnico Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) Capturado mensualmente
Técnico Muestra de salida de alerta/detección que demuestre la capacidad Capturado trimestralmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.2 Implementar una Solución de Detección de Intrusiones Basada en Host
IG2 IG3
6 elementos

Implementar una solución de detección de intrusiones basada en host en activos empresariales, donde sea apropiado y/o soportado.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Las herramientas de detección están implementadas y recopilando datos activamente.

Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos

Las alertas están configuradas con umbrales definidos y canales de notificación.

Exportaciones de configuración de reglas de alerta, configuración de canales de notificación

Operativo

Las alertas se revisan y clasifican dentro del SLA definido.

Registros de respuesta a alertas, registros de clasificación con marcas de tiempo

La cobertura de detección ha sido probada con eventos simulados.

Resultados de pruebas de detección, informes de ejercicios de purple team

Tipo Elemento de Evidencia Frecuencia
Técnico Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) Capturado mensualmente
Técnico Muestra de salida de alerta/detección que demuestre la capacidad Capturado trimestralmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.3 Implementar una Solución de Detección de Intrusiones de Red
IG2 IG3
6 elementos

Implementar una solución de detección de intrusiones de red en activos empresariales, donde sea apropiado. Los ejemplos de implementación incluyen el uso de un Sistema de Detección de Intrusiones de Red (NIDS) o servicio equivalente del proveedor de servicios en la nube (CSP).

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Las herramientas de detección están implementadas y recopilando datos activamente.

Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos

Las alertas están configuradas con umbrales definidos y canales de notificación.

Exportaciones de configuración de reglas de alerta, configuración de canales de notificación

Operativo

Las alertas se revisan y clasifican dentro del SLA definido.

Registros de respuesta a alertas, registros de clasificación con marcas de tiempo

La cobertura de detección ha sido probada con eventos simulados.

Resultados de pruebas de detección, informes de ejercicios de purple team

Tipo Elemento de Evidencia Frecuencia
Técnico Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) Capturado mensualmente
Técnico Muestra de salida de alerta/detección que demuestre la capacidad Capturado trimestralmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.4 Realizar Filtrado de Tráfico entre Segmentos de Red
IG2 IG3
5 elementos

Realizar filtrado de tráfico entre segmentos de red, donde sea apropiado.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.5 Gestionar el Control de Acceso para Activos Remotos
IG2 IG3
7 elementos

Gestionar el control de acceso para activos que se conectan remotamente a recursos empresariales. Determinar la cantidad de acceso a recursos empresariales basándose en: software antimalware actualizado instalado, cumplimiento de configuración con el proceso de configuración segura de la empresa y asegurar que el sistema operativo y las aplicaciones estén actualizados.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

El anti-malware está implementado en todos los endpoints aplicables con firmas actualizadas.

Panel de estado de implementación, marcas de tiempo de actualización de firmas

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Las detecciones de malware se investigan y resuelven.

Registros de detección, registros de investigación y resolución

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Técnico Estado de implementación de anti-malware y estadísticas de detección Mensual
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.6 Recopilar Registros de Flujo de Tráfico de Red
IG2 IG3
6 elementos

Recopilar registros de flujo de tráfico de red y/o tráfico de red para revisión y alertas desde dispositivos de red.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Las herramientas de detección están implementadas y recopilando datos activamente.

Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos

Las alertas están configuradas con umbrales definidos y canales de notificación.

Exportaciones de configuración de reglas de alerta, configuración de canales de notificación

Operativo

Las alertas se revisan y clasifican dentro del SLA definido.

Registros de respuesta a alertas, registros de clasificación con marcas de tiempo

La cobertura de detección ha sido probada con eventos simulados.

Resultados de pruebas de detección, informes de ejercicios de purple team

Tipo Elemento de Evidencia Frecuencia
Técnico Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) Capturado mensualmente
Técnico Muestra de salida de alerta/detección que demuestre la capacidad Capturado trimestralmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.7 Implementar una Solución de Prevención de Intrusiones Basada en Host
IG3
5 elementos

Implementar una solución de prevención de intrusiones basada en host en activos empresariales, donde sea apropiado y/o soportado. Los ejemplos de implementación incluyen el uso de un cliente de Detección y Respuesta en Endpoints (EDR) o agente IPS basado en host.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.8 Implementar una Solución de Prevención de Intrusiones de Red
IG3
5 elementos

Implementar una solución de prevención de intrusiones de red, donde sea apropiado. Los ejemplos de implementación incluyen el uso de un Sistema de Prevención de Intrusiones de Red (NIPS) o servicio equivalente de CSP.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.9 Implementar Control de Acceso a Nivel de Puerto
IG3
5 elementos

Implementar control de acceso a nivel de puerto. El control de acceso a nivel de puerto utiliza 802.1x u protocolos similares de control de acceso a la red, como certificados, y puede incorporar autenticación de usuario y/o dispositivo.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.10 Realizar Filtrado en la Capa de Aplicación
IG3
7 elementos

Realizar filtrado en la capa de aplicación. Los ejemplos de implementación incluyen un proxy de filtrado, firewall de capa de aplicación o gateway.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Los controles de protección requeridos están implementados y configurados según la línea base aprobada.

Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento

La efectividad del control ha sido validada mediante pruebas.

Resultados de pruebas, informes de validación o salida de escaneo

Las reglas de firewall cumplen con una línea base documentada y la política de denegación por defecto.

Exportación de reglas de firewall, informe de comparación con la línea base

Operativo

Los cambios en los controles de protección siguen el proceso de gestión de cambios.

Tickets de cambio, registros de aprobación

Las reglas de firewall se revisan según el calendario y las reglas no utilizadas se eliminan.

Registros de revisión de reglas, tickets de cambio para limpieza de reglas

Tipo Elemento de Evidencia Frecuencia
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Técnico Exportación del conjunto de reglas de firewall y documentación de revisión Revisado trimestralmente
Registro Registros de solicitudes de cambio y aprobación de firewall Por cambio
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
13.11 Ajustar Umbrales de Alertas de Eventos de Seguridad
IG3
6 elementos

Ajustar los umbrales de alertas de eventos de seguridad mensualmente o con mayor frecuencia.

Lista de Verificación de Auditoría

Gobernanza

Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.

Documento de política firmado/aprobado con fecha de revisión

Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.

Matriz RACI, registros de asignación de roles o descripciones de puesto

Técnico

Las herramientas de detección están implementadas y recopilando datos activamente.

Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos

Las alertas están configuradas con umbrales definidos y canales de notificación.

Exportaciones de configuración de reglas de alerta, configuración de canales de notificación

Operativo

Las alertas se revisan y clasifican dentro del SLA definido.

Registros de respuesta a alertas, registros de clasificación con marcas de tiempo

La cobertura de detección ha sido probada con eventos simulados.

Resultados de pruebas de detección, informes de ejercicios de purple team

Tipo Elemento de Evidencia Frecuencia
Técnico Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) Capturado mensualmente
Técnico Muestra de salida de alerta/detección que demuestre la capacidad Capturado trimestralmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente
Control 12 Control 14