Establecer y Mantener Umbrales de Incidentes de Seguridad
Descripción
Establecer y mantener umbrales de incidentes de seguridad, incluyendo, como mínimo, la diferenciación entre un incidente y un evento. Los ejemplos pueden incluir: actividad anormal, vulnerabilidad de seguridad, debilidad de seguridad, brecha de datos, incidente de privacidad, etc. Revisar anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Plataforma de orquestación, automatización y respuesta de seguridad con automatización de playbooks y gestión de casos
Palo Alto Networks · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Evento Menor de Seguridad Tratado como Incidente Mayor
DisponibilidadUn evento de seguridad rutinario como un solo inicio de sesión fallido activa una movilización completa de respuesta a incidentes porque ningún umbral diferencia eventos de incidentes, desperdiciando recursos y causando fatiga de alertas.
Brecha Real Tratada como Evento Rutinario
ConfidencialidadUna brecha genuina de datos se clasifica como un evento de seguridad rutinario y recibe investigación mínima porque ningún umbral definido distingue entre eventos que requieren manejo estándar e incidentes que requieren respuesta escalada.
Clasificación Inconsistente de Incidentes entre Equipos
IntegridadDiferentes analistas clasifican el mismo tipo de ocurrencia de seguridad de manera diferente porque no existen umbrales estandarizados, lo que lleva a niveles de respuesta inconsistentes y métricas de incidentes no confiables.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Umbrales Definidos entre Eventos e Incidentes
Sin umbrales establecidos que diferencien eventos de seguridad de incidentes, la organización no puede determinar consistentemente cuándo escalar, resultando en reacción excesiva a eventos menores o reacción insuficiente a brechas reales.
Sin Marco Estandarizado de Clasificación de Incidentes
La ausencia de umbrales definidos para categorías como actividad anormal, vulnerabilidad de seguridad, brecha de datos e incidente de privacidad significa que cada ocurrencia se clasifica subjetivamente, produciendo respuestas inconsistentes.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del plan de recuperación | Revisado anualmente |
| Registro | Resultados de pruebas de recuperación y lecciones aprendidas | Probado trimestralmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |