IG3

Validar Medidas de Seguridad

Grupo de Control: 18. Pruebas de Penetración

Tipo de Activo: Red

Función de Seguridad: Proteger

Descripción

Validar las medidas de seguridad después de cada prueba de penetración. Si se considera necesario, modificar los conjuntos de reglas y capacidades para detectar las técnicas utilizadas durante las pruebas.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

CrowdStrike Falcon Gartner MQ Leader, EPP 2024; Forrester Wave Leader, XDR 2024

Plataforma de protección de endpoints nativa en la nube con AV de próxima generación, EDR, inteligencia de amenazas y caza gestionada

CrowdStrike · Suscripción por endpoint

Splunk Enterprise Security Gartner MQ Leader, SIEM 2024

Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales

Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo

Darktrace DETECT + RESPOND Gartner MQ Visionary, NDR 2024; Forrester Wave Leader, NDR 2024

Detección y respuesta de red impulsada por IA con análisis de amenazas de autoaprendizaje y respuesta autónoma

Darktrace · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Controles de Detección Fallan en Identificar Técnicas de Ataque Conocidas

Confidencialidad

Un atacante usa las mismas técnicas que fueron exitosas durante una prueba de penetración, y los controles de seguridad de la organización aún fallan en detectarlas porque los conjuntos de reglas nunca se actualizaron basándose en los resultados de la prueba.

Inversión de Seguridad Desperdiciada en Controles Ineficaces

Integridad

La organización continúa invirtiendo en controles de seguridad que una prueba de penetración demostró ineficaces, porque ningún proceso de validación post-prueba evalúa si los controles existentes realmente detectan las técnicas de ataque probadas.

Atacante Reutiliza Metodología de Prueba de Penetración Exitosamente

Confidencialidad

Un atacante real sigue una ruta de ataque similar a los pentesters y tiene éxito porque la organización nunca validó ni mejoró sus capacidades defensivas basándose en los hallazgos de la prueba.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Validación Post-Pentest de Controles de Seguridad

Sin validar las medidas de seguridad después de las pruebas de penetración, la organización no sabe si sus controles de detección y prevención pueden realmente identificar y bloquear las técnicas usadas durante las pruebas.

Conjuntos de Reglas de Seguridad No Actualizados Basándose en Resultados de Pruebas

La ausencia de validación post-prueba significa que las reglas del SIEM, las firmas del IDS y las políticas del firewall no se ajustan para detectar las técnicas de ataque específicas que los pentesters emplearon exitosamente.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Pruebas de Penetración

Control 18

Salvaguardas Relacionadas en el Control 18

18.1 Establecer y Mantener un Programa de Pruebas de Penetración

18.2 Realizar Pruebas de Penetración Externas Periódicas

18.3 Remediar Hallazgos de Pruebas de Penetración

18.5 Realizar Pruebas de Penetración Internas Periódicas