Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
CIS Control 17. Gestión de Respuesta a Incidentes

CIS Control 17. Gestión de Respuesta a Incidentes

Jun 23, 2022

El Centro para la Seguridad en Internet (CIS) ofrece Critical Security Controls (CSCs) que ayudan a las organizaciones a mejorar la ciberseguridad. CIS CSC 17 abarca respuesta y gestión de incidentes. (En versiones anteriores de los CIS controls, el manejo de incidentes de seguridad estaba cubierto en el Control 19.)

CIS CSC 17 se centra en cómo desarrollar un plan para responder a ataques y otros incidentes de seguridad, incluyendo la importancia de definir roles claros para los responsables de las diversas tareas involucradas.

Contenido relacionado seleccionado:

Las recomendaciones ayudan a mejorar la capacidad de respuesta. Sin embargo, las empresas también pueden utilizar la Guía de Respuesta a Incidentes de Ciberseguridad del Council of Registered Security Testers (CREST) para un mejor plan de seguridad y respuesta a incidentes.

Antes de adentrarse en las salvaguardas de la respuesta a incidentes y el control de gestión, es esencial entender qué puede calificar como un incidente.

Eventos de seguridad e incidentes de seguridad: ¿Cuál es la diferencia?

Un evento de seguridad y un incidente de seguridad son dos cosas diferentes en el lenguaje de la seguridad de la información. Los incidentes de seguridad generalmente resultan de eventos de seguridad que no se han manejado a tiempo. Por ejemplo, un cambio inapropiado en la configuración de un control de acceso, como un GPO o un grupo de seguridad, es un evento de seguridad. Cuando un hacker explota ese cambio de configuración para robar datos de los sistemas de información, eso es un incidente de seguridad. Los incidentes ocurren mucho menos frecuentemente que los eventos y pueden ser mucho más dañinos. Simplificando, un incidente es un evento con consecuencias dañinas.

Para una gestión efectiva de respuesta a incidentes, un equipo designado debe crear un plan de respuesta detallado para todos los incidentes de seguridad conocidos, incluyendo personal designado y capacidades de recuperación. Tener un plan sólido ayuda a abordar problemas de seguridad como la integridad de los datos, así como el cumplimiento de mandatos de protección de datos y otras regulaciones.

Aquí están las nueve salvaguardias del control de respuesta a incidentes de CIS:

17.1. Designar personal para gestionar el manejo de incidentes

Esta salvaguarda sugiere designar un contacto principal y un respaldo para gestionar el proceso de manejo de incidentes, incluyendo la coordinación y documentación de los esfuerzos de respuesta y recuperación ante incidentes. Esta designación debe ser revisada anualmente y siempre que cambios significativos impacten la seguridad.

El contacto clave puede ser un empleado dentro de la empresa o un proveedor externo. Ambos enfoques tienen sus pros y sus contras. Tener un empleado como el principal gestor asegura que la gestión de respuestas permanezca dentro de la organización, pero, dependiendo del tamaño de la organización, la tarea puede ser demasiado para un solo empleado. Un tercero especializado en la gestión de seguridad puede manejar mejor un incidente de seguridad. Si se designa a un tercero para la evaluación de riesgos y la respuesta a incidentes, la medida de protección recomienda tener al menos una persona dentro de la organización para proporcionar supervisión.

17.2. Establecer y Mantener Información de Contacto para Reportar Incidentes de Seguridad

Es importante mantener información de contacto precisa para todas las partes que deben recibir información sobre incidentes de seguridad. Los detalles de contacto de estas partes deben ser fácil y rápidamente accesibles. La lista puede ser ordenada basada en prioridad.

La lista generalmente incluye a aquellos responsables de la gestión de respuesta y aquellos con el poder de tomar decisiones significativas. Un equipo de respuesta a incidentes también puede necesitar informar a las fuerzas del orden, proveedores asociados, proveedores de seguros cibernéticos o al público.

Deberían existir mecanismos para contactar e informar a las partes relevantes sobre un incidente de manera pronta. Automatizar el proceso de notificación de incidentes puede ayudar.

La información de contacto debe actualizarse una vez al año o con mayor frecuencia para asegurar que las notificaciones lleguen a todas las partes relevantes.

17.3. Establecer y mantener un proceso empresarial para la notificación de incidentes

La salvaguarda anterior concierne a quién debe ser informado sobre los incidentes. Esta salvaguarda aborda cómo deben ser reportados los incidentes, incluyendo el plazo de notificación, los mecanismos para reportar y la información que debe ser reportada (como el tipo de incidente, hora, nivel de amenaza, sistema o software afectado, registros de auditoría, etc.)

Tener un flujo de trabajo de informes documentado facilita que cualquier persona que se entere de un incidente informe al personal adecuado de manera oportuna y efectiva. Este proceso debe estar disponible para toda la fuerza laboral y ser revisado anualmente y siempre que ocurran cambios significativos que puedan impactar la seguridad.

17.4. Establecer y mantener un proceso de respuesta ante incidentes

Esta salvaguarda requiere la creación de una hoja de ruta para la respuesta a incidentes definiendo roles y responsabilidades, planes de comunicación y seguridad, y requisitos de cumplimiento. Sin tareas asignadas e instrucciones claras, las partes pueden pensar que alguien más está manejando una tarea en particular cuando en realidad nadie lo está.

El proceso de respuesta debe esbozar ampliamente los pasos, incluyendo el monitoreo e identificación de la amenaza cibernética asociada con el incidente, definiendo los objetivos para el manejo del incidente y actuando para prevenir daños o recuperar activos. Muchos equipos de respuesta a incidentes utilizan jump kits que contienen los recursos necesarios para investigar y responder a incidentes, tales como computadoras, dispositivos de respaldo, cámaras, impresoras portátiles y software de análisis forense digital como analizadores de protocolo.

Por lo general, el primer paso es determinar la naturaleza del incidente para que se puedan implementar los procedimientos de respuesta adecuados. Con objetivos claros en mente, los equipos pueden hacer esfuerzos para ralentizar la amenaza. Luego pueden tomar las medidas adecuadas basadas en su plan de acción documentado para manejar el incidente y revertir cualquier daño.

Este proceso debe revisarse una vez al año y siempre que cambios significativos puedan impactar la seguridad.

17.5. Asignar roles y responsabilidades clave

Como se describió en la salvaguarda anterior, los encargados de responder a incidentes deben conocer su papel en los procedimientos de respuesta. Asigne roles y responsabilidades clave a diferentes individuos o equipos según corresponda. Esto puede incluir al equipo de seguridad (respondedores de incidentes), administradores de sistemas, personal legal, relaciones públicas (PR) y miembros del equipo de recursos humanos (HR), y analistas. Por supuesto, los equipos de seguridad y TI tendrán la mayor parte de las responsabilidades en caso de un incidente de ciberseguridad. Sin embargo, otro personal esencial, como los de los departamentos legal o de HR, también deben conocer sus funciones.

El listado de roles y responsabilidades correspondientes debe ser revisado y actualizado anualmente y siempre que ocurra un cambio significativo.

17.6. Defina mecanismos para comunicarse durante la respuesta a incidentes

La comunicación es vital cuando se trata de informar y evaluar incidentes. Mientras que las otras salvaguardias definen qué comunicar y a quién comunicar, esta salvaguardia define cómo comunicar. Debería haber canales de comunicación predefinidos como el correo electrónico o el teléfono.

También se deben definir planes de contingencia. Por ejemplo, un incidente grave puede hacer imposible la comunicación por correo electrónico. Por lo tanto, debe haber otro mecanismo de comunicación para informar a las partes necesarias y dar actualizaciones sobre la respuesta al incidente.

17.7. Realice ejercicios rutinarios de respuesta ante incidentes

También es importante prepararse para incidentes reales llevando a cabo ejercicios y escenarios de respuesta ante incidentes de manera rutinaria para el personal clave. Estos ejercicios pondrán a prueba y auditarán los diferentes aspectos del plan y procedimientos de respuesta ante incidentes, como los canales de comunicación, flujos de trabajo e investigaciones. Por ejemplo, practicar la respuesta a incidentes de red que interrumpen el flujo crítico de información en la organización. Realizar estos ejercicios al menos una vez al año.

Los equipos pueden utilizar la NIST Technical Guide to Security Testing and Assessment para formular ejercicios prácticos.

17.8. Realizar revisiones post-incidente

Después de cada incidente, las organizaciones necesitan investigar tanto el incidente como su respuesta. Deben designar al personal responsable de realizar este análisis y crear un informe posterior al incidente para identificar las acciones de seguimiento y los errores.

El informe posterior al incidente debe responder preguntas como:

  • ¿Qué sucedió exactamente?
  • ¿Qué lo causó?
  • ¿Cómo respondió el personal responsable?
  • ¿Cuánto tiempo tardó la respuesta?
  • ¿Fue adecuado el procedimiento de respuesta?
  • ¿Qué se podría haber hecho mejor?
  • ¿Fue suficiente la información en el informe de incidente?
  • ¿Qué se podría haber hecho de manera diferente?
  • ¿Qué medidas pueden prevenir tales incidentes en el futuro?

17.9. Establecer y mantener umbrales de incidentes de seguridad

Esta salvaguarda ayuda a las organizaciones a distinguir incidentes de seguridad de eventos de seguridad. Al definir diferentes incidentes y su impacto, las organizaciones pueden asegurarse de que sus recursos se destinen a incidentes críticos y no solo a eventos anómalos menores. Además, ayuda a crear un sistema de prioridades para los incidentes de modo que los respondedores sepan cuándo reaccionar y cómo responder.

Identificar y clasificar incidentes puede estandarizar los procedimientos de respuesta a futuro. La organización debe actualizar sus umbrales para incluir nuevas amenazas internas y externas que califiquen como incidentes.

Resumen

Las nueve salvaguardias de CIS CSC 17 ayudan a las organizaciones a implementar una gestión de respuesta a incidentes sólida, incluyendo la asignación de roles, la gestión de contactos, la práctica de escenarios y el análisis y documentación de incidentes.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad