Protecciones de Correo Electrónico y Navegador Web
Mejorar las protecciones y detecciones de amenazas desde los vectores de correo electrónico y web, ya que estos son oportunidades para que los atacantes manipulen el comportamiento humano a través de la interacción directa.
Plantillas de Políticas Relacionadas
Salvaguardas (7)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 9.1 | Asegurar el Uso de Solo Navegadores y Clientes de Correo Totalmente Soportados | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 9.2 | Usar Servicios de Filtrado DNS | Proteger |
IG1
IG2
IG3
|
6 | 4 |
| 9.3 | Mantener y Aplicar Filtros de URL Basados en Red | Proteger |
IG2
IG3
|
5 | 3 |
| 9.4 | Restringir Extensiones Innecesarias o No Autorizadas de Navegador y Cliente de Correo | Proteger |
IG2
IG3
|
5 | 3 |
| 9.5 | Implementar DMARC | Proteger |
IG2
IG3
|
5 | 3 |
| 9.6 | Bloquear Tipos de Archivo Innecesarios | Proteger |
IG2
IG3
|
5 | 3 |
| 9.7 | Implementar y Mantener Protecciones Antimalware en el Servidor de Correo | Proteger |
IG3
|
10 | 6 |
Detalles de Verificación de Auditoría
Asegurar que solo se permita la ejecución de navegadores y clientes de correo electrónico totalmente soportados en la empresa, usando solo la última versión de navegadores y clientes de correo proporcionados por el proveedor.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar servicios de filtrado DNS en todos los activos empresariales para bloquear el acceso a dominios maliciosos conocidos.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El filtrado DNS está activo y bloqueando dominios maliciosos conocidos.
Configuración de filtrado DNS, estadísticas de bloqueo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Configuración de filtrado DNS y estadísticas de bloqueo | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Aplicar y actualizar filtros de URL basados en red para limitar que un activo empresarial se conecte a sitios web potencialmente maliciosos o no aprobados. Los ejemplos de implementación incluyen filtrado basado en categorías, filtrado basado en reputación o mediante el uso de listas de bloqueo. Aplicar filtros para todos los activos empresariales.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Restringir, ya sea mediante desinstalación o deshabilitación, cualquier plugin, extensión o aplicación complementaria no autorizada o innecesaria del navegador o cliente de correo electrónico.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Para reducir la posibilidad de correos electrónicos suplantados o modificados de dominios válidos, implementar la política y verificación DMARC, comenzando con la implementación del Marco de Política del Remitente (SPF) y el estándar de Correo Identificado por Claves de Dominio (DKIM).
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Bloquear tipos de archivo innecesarios que intenten ingresar a la puerta de enlace de correo electrónico de la empresa.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Implementar y mantener protecciones antimalware en el servidor de correo electrónico, como escaneo de adjuntos y/o sandboxing.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los escaneos de vulnerabilidades cubren todos los activos dentro del alcance y se ejecutan con la frecuencia definida.
Informes de escaneo con evidencia de alcance y calendario
El anti-malware está implementado en todos los endpoints aplicables con firmas actualizadas.
Panel de estado de implementación, marcas de tiempo de actualización de firmas
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las vulnerabilidades se remedian dentro de los SLA definidos por severidad.
Seguimiento de remediación con métricas de cumplimiento de SLA
Las excepciones y aceptaciones de riesgo están documentadas y aprobadas.
Registros de excepción/exención con firma de la dirección
Las detecciones de malware se investigan y resuelven.
Registros de detección, registros de investigación y resolución
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Técnico | Estado de implementación de anti-malware y estadísticas de detección | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |