Matriz Nist en Framework de Cis Proyecto Final

RIESGOS IDENTIFICADOS RIESGO INHERENTE
Nº RIESGO IMPACTO DE NIVEL DE RIESGO NIVEL DE RIESGO

ACTIVOS AMENAZA VULNERABILIDAD RIESGO PROBABILIDAD DE OCURRENCIA TRATAMIENTO
OPERACIONES INHERENTE CANT. INHERENTE
Falta de definición de
SERVIDOR NAS R1 Ataques informaticos reglas de accesos a la red Acceso
La falta no autorizado
de parches de seguridad 5 4 20 EXTREMO REDUCIR EL RIESGO
interna permite el acceso, la modificación
R2 Malware El entorno IaaS carece de Alteración, exposición e
y la eliminación de la información 5 4 20 EXTREMO REDUCIR EL RIESGO
SERVIDOR DEAPLIICACIONES parches de seguridad. indisponibilidad de activos
la información
Ausencia de un almacenada en los de
ERP R3 Infeccion por codigo mecanismo de analisis de ante la ausencia
información. de controles de 4 4 16 ALTO REDUCIR EL RIESGO
malicioso (malware) protección perimetral y controles
codigo malicioso Acceso
frente ano autorizado
software debido
malicioso ena el
la
Exposición de puertos y
DATA CENTER R4 Ataques informaticos Exposición
ambiente IaaSde servicios y puertos 4 4 16 ALTO REDUCIR EL RIESGO
servicios restringidos
no autorizados
SERVIDOR DE BASE DE Información borrada
DATOS por error
Secuestro de
ORACLE DB
información
Indisponibilidad y pérdida de
R5 No hay recopilación de datos como resultado de la falta 4 5 20 EXTREMO REDUCIR EL RIESGO
datos ni backups.
de backup y retención de datos.
Falta de definición de Debido a la falta de perfiles y

Usuarios mal roles y perfiles para el roles de acceso, acceso no
R6 4 5 20 EXTREMO REDUCIR EL RIESGO
intencionado acceso a la plataforma autorizado a información
Los
webarchivos confidencial||
predeterminados de
Apache Tomcat, Un
R7 Ataques informaticos atacante puede usar estos Posibles ataques informaticos 4 4 16 ALTO REDUCIR EL RIESGO
archivos porque revelan
información sobre el
servicio y el mismo
servidor.
Carecer de un modelo
MAF de autentificación y Acceso no autorizado, debido a la
de Parametros de ausencia de Parametros de
SERVIDOR WEB seguridad para el seguridad para el
R8 Ataques informaticos establecimiento de establecimiento de Usuario y 4 4 16 ALTO REDUCIR EL RIESGO
Usuario y Contraseña en la Contraseña en la pataforma web
pataforma web alineados alineados a las politicas de acceso
a las politicas de acceso de de la compañía
Granelsa.
Las coookies no tienen un
indicador de seguridad, lo
R9 Ataques informaticos que las hace vulnerables a Secuestro de cookies 4 4 16 ALTO REDUCIR EL RIESGO
la secuestro a través de Secuestro de las acciones del
R10 Ataques informaticos Ausencia de protección
canales inseguros. usuario en el servicio web y 4 4 16 ALTO REDUCIR EL RIESGO
contra CSRF utilizarla para cualquier tipo de
SERVIDOR DE Uso inadecuado de los Ausencia de un contrato fraude o robo de
Incumplimiento deinformación
terminos de
R11 4 5 20 EXTREMO REDUCIR EL RIESGO
ALMACENAMIENTO activos marco regulatorio seguridad
Uso inadecuado de los Ausencia de un acuerdo Exposición de información
R12 4 4 16 ALTO REDUCIR EL RIESGO
activos de confidencialidad confidencial
Incumplimiento Falta de Declaración de Sanciones regulatorias, debido a
R13 la falta de declaración de flujo 4 5 20 EXTREMO REDUCIR EL RIESGO
regulatorio Flujo Transfronterizo
transfronterizo
Indisponibilidad de información y perdida
R14 Ataques informaticos Ausencia de copias de respaldo de información, debido a la ausencia de 4 4 16 ALTO REDUCIR EL RIESGO
backups y retención de información.
Indisponibilidad del debido a la ausencia
SERVIDOR DE DOMINIO Ausencia de restricciones de
Ataques de denegación de de
R15 distribución geografica del 4 4 16 ALTO REDUCIR EL RIESGO
servicio restricciones de distribución geografica
contenido web
del contenido web
Ataques informaticos
R16 Falta de Aislamiento de red Acceso no autorizado a la red 4 5 20 EXTREMO REDUCIR EL RIESGO
Usuarios mal intencionados
Ausencia de una solución
Alteración, exposición e indisponibilidad
antimalware que escanee
de la información ante la ausencia de
R17 Malware automáticamente los algoritmos 4 4 16 ALTO REDUCIR EL RIESGO
controles de protección perimetral y
que permitieron una
controles frente a software malicioso
comunicación no autorizada
FIREWALL
Indisponibilidad de información y perdida
Falta de un proceso de
R18 Eliminado accidentalmente. de información, debido a la ausencia de 4 5 20 EXTREMO REDUCIR EL RIESGO
recuperación de objetos
FIREWALL backups de losobjetos
Ausencia de trazabilidad de las Incapacidad de poder identificar errores
R19 Usuarios mal intencionado 4 4 16 ALTO REDUCIR EL RIESGO
actividad de los usuarios ante incidentes de seguridad
Permite la carga de archivos no de la información ante la ausencia de
R20 Usuarios mal intencionado 4 4 16 ALTO REDUCIR EL RIESGO
autorizados controles de protección perimetral y
controles frente
Exposición a archivos
a amenazas si lamaliciosos
falla en la administración
R21 Ataques informaticos administración remota del firewall no 4 4 16 ALTO REDUCIR EL RIESGO
remota
está segura
Fuga de información sensible debido a la
Filtrado de Información
R22 Exposición de información falta de filtrado de contenido o 4 5 20 EXTREMO REDUCIR EL RIESGO
confidencial
inspección de aplicaciones.
Abuso de derechos Ausencia de Proceso de altas, Acceso no autorizado, debido a la
R23 bajas y modificaciones en su ausencia de proceso de altas, bajas y 4 4 16 ALTO REDUCIR EL RIESGO
Usuarios mal intencionados protección modificaciones de SFTP
Ausencia de filtrado de trafico Acceso no autorizado debido a la

R24 Ataques informaticos 4 4 16 ALTO REDUCIR EL RIESGO
entrante ausencia de filtrado de trafico entrante
Abuso de derechos
Servidor SFTP
Falta de control de las Acceso no autorizado debido a la falta
R25 operaciones permitidas a traves de control de las operaciones permitidas 4 4 16 ALTO REDUCIR EL RIESGO
Usuarios mal intencionados de roles a traves de roles
Intentos repetidos de acceso con

R26 Usuarios mal intencionado Ataques de Fuerza Bruta 4 4 16 ALTO REDUCIR EL RIESGO
credenciales incorrectas
Falta de parametrización de
R27 Ataques informaticos de la información ante la falta de 4 5 20 EXTREMO REDUCIR EL RIESGO
consultas SQL
API Consulta parametrización de consultas SQL
Indisponibilidad del servicio debido a la
Ataques informaticos Falta de delimitación de
R28 falta de delimitación de peticiones por 4 3 12 ALTO REDUCIR EL RIESGO
automatizados peticiones por segundo
segundo
Control CIS 18 / Función Limitar elControl
accesoPropuesto
a rangos de Responsable tipo de Situación
direcciones IP confiables y
necesarios en cada uno de los
12.2 Red/Proteger límites de la red de la empresa y Infraestructura Pendiente
deniegue las comunicaciones con
Instalar un servicio
direcciones que se
IP de Internet
7.3 Aplicaciones/Proteger Utilizar
encargue un software
conocidas,demaliciosas antimalware
desplegaroparches
no de Infraestructura Pendiente
administrado
seguridad
utilizadas. centralmente para
10.1 Dispositivos/Proteger monitorear y defender Seguridad TI Pendiente
Asegurarse
continuamentede quecada cada
unasistema
de las
solo ejecutedepuertos
estaciones trabajode red,
y servidores
16.10 Aplicaciones/Proteger protocolos y servicios que se
de la organización. Infraestructura Pendiente
Asegurarse
necesiten en deelquesistema para llevar
Para permitircomerciales
automáticamente
los procesos una recuperación
haga una copia
validados.
11.2 Datos/Recuperar rápida de un sistema
de seguridad de todoscompleto,
los datos
asegurarse
del sistema.de que todos los
11.3 Datos/Proteger sistemas clave de la organización
estén respaldados como un
sistema completo utilizando
procesos
Asegúresecomo
de que imágenes.
todas las copias
de seguridad tengan al menos un Infraestructura Pendiente
11.4 Datos/Recuperar destino de copia de seguridad
fuera de línea (es decir, no
accesible a través
Asegurarse de quede lasuna conexión
copias de
de red). estén protegidas
seguridad
adecuadamente tanto cuando se
almacenan como cuando se
11.5 Datos/Recuperar mueven a través de la red
mediante seguridad física o
Una matriz
cifrado. Los de roles yen
servicios perfiles
la nubedeyla Administración de
17.5 Responder Pendiente
aplicación debe
las copias de ser creada.
seguridad remotas Accesos
son parte de esto.
Eliminar los JSP y los servlets, así
4.8 Disposiivos/Proteger como la página de índice
predeterminada. Dpto Informática Pendiente
Eliminar las páginas de error o la
14.9 Proteger El software y/o
divulgación desarrollo debe
de información que se
tener políticas
visualizan en lasdesolicitudes
contraseñas que
web.
cumplan con los siguientes
criterios:
1. El tamaño mínimo es de 7
caracteres.
Alinear las configuraciones de
2. Es necesario
segridad incluirde
de accceso al la
menos un
3.14 Datos/Detectar símbolo
plataformaen mayúscula.
a la politica de
1. Se debe incluir al menos un
Granelsa Dpto Informática Pendiente
símbolo en minúscula.
4. Incluya al menos 2 números.
Es necesario
Una cookie debeincluir un caracter
enviarse siempre
5.2 Usuarios/Proteger espcial.
usando un canal cifrado cuando
6. Si ha restaurado
contiene una clave
datos sensibles o es por
un
3.10 Datos/Proteger defecto
token deosesión.
ha ingresado
Asegúresepor de Dpto Informática Pendiente
Se recomienda
primera vez, establecer
debe obligarlouna token
configurar
anti-CSRF la bandera de seguridad
cambiar lapara evitar posibles
contraseña.
para las cookies que contienen
3.11 Datos/Proteger ataques de secuestro de Dpto Informática Pendiente
información
actividades confidencial.
del cliente
No debe permitir
Establecer un contrato el usoweb sin 3que
de las
marco que
15.1 Identificar logre identificarlo.
contraseñaslas
contengan más recientes.
clausulas de Dpto Informática Pendiente
8. Bloquear
seguridadun
Celebrar el usuario
deacuerdo después
la información
de de
3.8 Datos/Proteger que se ingresen contraseñas
confidencialidad entre ambas que Dpto Informática Pendiente
no sean
Declarar válidas.
empresasla transferencia de
información a la autoridad
15.6 Datos/Detectar 9. las contraseñas tienen Dpto Informática Pendiente
nacional de protección de6datos
de
expiración.
personales
Efectuar una Copia de respaldo de los NAS
3.13 Datos/Proteger Infraestructura Pendiente
habilitados
Restringir la distribución geográfica de su
contenido:
Puede usar la función de restricción Infraestructura Pendiente
geográfica, denominada también bloqueo
4, 9 Dispositivos / Proteger
geográfico, para evitar que usuarios de
ubicaciones
tener geográficas
una gestión específicas.
más granular de la red,
13.6 Red /Detectar lo que facilita la segmentación y la Infraestructura Pendiente
implementación de políticas de seguridad.
Las amenazas se pueden propagar a
aplicaciones, usuarios y bases de datos
13.10 Red/Proteger adicionales. Se necesita una solución que Seguridad TI Pendiente
escanee automáticamente y verifique
constantemente el firewall
Implementar un control de versiones para
ayuda a recuperar objetos que se han
2.7 Aplicaciones/Proteger Dpto Informática Pendiente
sobreescrito y eliminado
involuntariamente.
Identificar patrones inusuales o
13.6 Red/Detectar actividades sospechosas revisando los Infraestructura Pendiente
registros con frecuencia.
Delimitarla carga de archivos solo a los
13.5 Dispositivos/Proteger Infraestructura Pendiente
autorizados
Limitar el acceso remoto, utilizar
conexiones seguras (por ejemplo, VPN) y
3.3 Datos/Proteger Infraestructura Pendiente
proteger las credenciales de
Implementar
administraciónreglas de filtrado de
contenido y realizar inspección de
13.2 Dispositvos/Detectar Infraestructura Pendiente
aplicaciones para prevenir la filtración de
datos.
Establecer un procedimiento de altas,

6.8 Datos/Proteger Dpto Informática Pendiente
bajas y modificaciones de SFTP
Filtrar el tráfico entrante Los firewalls
existentes en su VPC o las reglas en las
listas de control de acceso a redes (NACL)
4.4 Dispositivos/ Proteger Infraestructura Pendiente
de su subred pueden restringir el acceso
por parte de direcciones IP de origen
entrantes.
Habilitar/deshabilitar las operaciones de

3,11 Datos / Proteger archivos que me permita controlar qué Infraestructura Pendiente
operaciones pueden realizar los usuarios.
Realiza pruebas de penetración regulares

para evaluar la resistencia del sistema
18.1 Identificar Infraestructura Pendiente
contra ataques de fuerza bruta y otros
intentos
Se de acceso
recomienda no autorizado.
parametrizar las consultar
18.4 Red/Proteger a fin de evitar inyección de codigo SQL Desarrollo Pendiente
malicioso
Limitar las peticiones por segundo según
18.4 Red/Proteger lo establecido en el documento de Desarrollo Pendiente
lineamientos para APIs
Nº RIESGO AMENAZA VULNERABILIDAD RIESGO
información y perdida de
Falta de un proceso de información, debido a la
R18 Eliminado accidentalmente. indicador
recuperaciónde seguridad,
de objetoslo ausencia de backups de
R9 Ataques informaticos que
Faltalas
dehace vulnerables
control de las a Secuestro de cookies
la secuestro a través
operaciones permitidas de a debido a la falta de control
R25 Abuso de derechos de las operaciones
traves de de
Ausencia roles
protección servicio web y utilizarla
R10 Ataques informaticos contra CSRF información y perdida
Ausencia de copias de para cualquier tipo dede
R14 Ataques informaticos información, debido a la
respaldo
para el establecimiento de ausencia
para el de establecimiento
backups y
R8 Ataques informaticos Exposición ayamenazas si la
Usuario y Contraseña en
falla en la administración la de Usuario Contraseña en
R21 Ataques informaticos administración remota del
Uso inadecuado de los remota
Ausencia de un acuerdo de Exposición
firewall no de estáinformación
segura
R12 Acceso no autorizado
activos confidencialidad
Ausencia de filtrado de confidencial
R24 Ataques informaticos Tomcat, Un atacante puede debido a la ausencia de
trafico entrante
R7 Ataques informaticos usar estos archivos porque Posibles
filtrado deataques
trafico entrante
Ausencia de restricciones de informaticos
revelan información sobre Indisponibilidad del debido
R15 Ataques de denegación de distribución geografica del restricciones de distribución
servicio contenido web a la ausencia
geografica del contenido
web
para el establecimiento
Ausencia de Proceso de de Usuario y Contraseña en
R23 Abuso de derechos altas, bajas y modificaciones debido a la ausencia de
enentorno
El su protección
IaaS carece de proceso
acceso, lademodificación
altas, bajas yy la
R2 Malware
Ausencia
parches de deseguridad.
un mecanismo eliminación de la
R3 Infeccion por codigo de analisis de codigo ausencia de controles de
malicioso (malware) malicioso protección perimetral y
R5 Información borrada por No hay recopilación de de datos como resultado de
error datos ni backups. la
defalta
datosdecomo
backup y
resultado de
R5 Secuestro de información
la falta de backup y
de datos como resultado de
R5 la
defalta
datosdecomo
backup y
resultado de
R5 la falta de backup y
Falta de definición de reglas
R1 Ataques informaticos de accesos a la redlos
interna Acceso no autorizado
información ante la
automáticamente ausencia de controles de
R17 Malware algoritmos que permitieron
Filtrado de Información sensible
protección
debido perimetral
a la falta yde
R22 Exposición de información confidencial información ante la o
Permite la carga de archivos filtrado de contenido
ausencia de controles de
R20 Usuarios mal intencionado no autorizados
Ataques informaticos protección
Acceso no autorizado
perimetral ay la
R16 Usuarios mal intencionados Falta de Aislamiento de red Incapacidad
red de poder
Ausencia de trazabilidad de identificar errores ante
R19 Usuarios mal intencionado las actividad de los usuarios incidentes de seguridad
R7 Posibles ataques
Uso inadecuado de los Ausencia de un contrato informaticos
Incumplimiento de terminos
R11
activos marco regulatorio
Falta de Declaración de de seguridad
debido a la falta de
R13 Incumplimiento regulatorio
Flujo Transfronterizo
Exposición de puertos y declaración de flujo de
debido a la Exposición
R4 Ataques informaticos Falta de definición de roles servicios y puertos no
servicios restringidos
R6 Usuarios mal intencionado y perfiles para el acceso a la y roles de acceso, acceso no
plataforma web autorizado a información
Intentos repetidos de
R26 Usuarios mal intencionado Ataques de Fuerza Bruta acceso con credenciales
incorrectas
Alteración, exposición e
R27 Ataques informaticos Falta de parametrización de indisponibilidad de la
consultas SQL información ante la falta de
parametrización de
consultas SQL del servicio
Indisponibilidad
Ataques informaticos Falta de delimitación de debido a la falta de
R28 automatizados peticiones por segundo delimitación de peticiones
por segundo
control Implementar un descripcion de control
control de versiones para ayuda a
02.7 Aplicaciones/Proteger recuperar objetos que se han sobreescrito y eliminado
cifrado cuando contiene datos sensibles o es un token
03.10 Datos/Proteger involuntariamente.
de sesión. Asegúrese de configurar la bandera de que
Habilitar/deshabilitar las operaciones de archivos
03.11 Datos / Proteger seguridad
me para las
permita controlar cookies que
qué operaciones contienen información
pueden realizar
Se recomienda establecer un token anti-CSRF para
03.11 Datos/Proteger los usuarios.
evitar posibles ataques de secuestro de actividades
03.13 Datos/Proteger Efectuar
del clienteuna web Copia de respaldo
sin que de los NAS
logre identificarlo.
habilitados
Alinear las configuraciones de seguridad de accceso
03.14 Datos/Detectar
Limitar el accesoaremoto,
de la plataforma la politica utilizar conexiones seguras
de Granelsa
03.3 Datos/Proteger (por ejemplo, VPN) y proteger las credenciales de
03.8 Datos/Proteger Celebrar un acuerdo de confidencialidad entre ambas
administración
VPC o las reglas en las listas de control de acceso a
empresas
04.4 Dispositivos/ Proteger redes (NACL) de su subred pueden restringir el
04.8 Disposiivos/Proteger Eliminar
acceso por losparte
JSP dey los servlets, así
direcciones como
IP de la página de
origen
índice predeterminada.
04.9 Dispositivos / Proteger Restringir la la
distribución
Puede usar función degeográfica
restricciónde su contenido:
geográfica,
04.9 Dispositivos / Proteger denominada también bloqueo geográfico, para evitar
05.2 Usuarios/Proteger que usuarios de
Es necesario ubicaciones
incluir un caracter geográficas
espcial. específicas.
06.8 Datos/Proteger Establecer un procedimiento de altas, bajas y
modificaciones
Instalar un servicio de SFTP
que se encargue de desplegar
07.3 Aplicaciones/Proteger
parches de seguridad
centralmente para monitorear y defender
10.1 Dispositivos/Proteger
continuamente
Asegurarse de que cadaautomáticamente
una de las estaciones haga unade trabajo
copia
11.2 Datos/Recuperar
completo,
de seguridad asegurarse
de todosde losquedatostodos
del los sistemas clave
sistema.
11.3 Datos/Proteger de la organización estén respaldados como un
11.4 Datos/Recuperar tengan
sistemaalcompleto
menos un destino procesos
utilizando de copia de seguridad
como
fuera
almacenan como cuando se mueven a través de
de línea (es decir, no accesible a través de una
la
11.5 Datos/Recuperar
confiables
red mediante y necesarios
seguridad en cada
física uno de Los
o cifrado. los límites de
servicios
12.2 Red/Proteger la red de la empresa y deniegue las comunicaciones
13.10 Red/Proteger usuarios
con y bases
direcciones datos adicionales.
IP de Internet conocidas,Se necesita o
maliciosas
Implementar
una soluciónreglasquedeescanee
filtrado de contenido y realizar
automáticamente y
13.2 Dispositvos/Detectar inspección de aplicaciones para prevenir la filtración
13.5 Dispositivos/Proteger de datos. carga de archivos solo a los autorizados
Delimitarla
tener una gestión más granular de la red, lo que
13.6 Red /Detectar facilita la segmentación y la implementación de
13.6 Red/Detectar Identificar
políticas depatrones
seguridad. inusuales o actividades
sospechosas revisando
Eliminar las páginas de error los registros con frecuencia.
o la divulgación de
14.9 Proteger
información
Establecer unque se visualizan
contrato marco en quelascontengan
solicitudeslas
web.
15.1 Identificar
clausulas de seguridad de la información
Declarar la transferencia de información a la autoridad
15.6 Datos/Detectar
nacional de protección
de red, protocolos de datos
y servicios quepersonales
se necesiten en el
16.10 Aplicaciones/Proteger
sistema para llevar los procesos comerciales
Una matriz de roles y perfiles de la aplicación debe
17.5 Responder
ser creada.
Realiza pruebas de penetración regulares para
18.1 Identificar evaluar la resistencia del sistema contra ataques de
fuerza bruta y otros intentos de acceso no autorizado.
18.4 Red/Proteger Se recomienda parametrizar las consultar a fin de

evitar inyección de codigo SQL malicioso
Limitar las peticiones por segundo según lo
18.4 Red/Proteger establecido en el documento de lineamientos para
APIs
Politicas
rastreo de objetos almacenados, Procedimientos Tecnologías
Implementación de dashboard para monitoreo, Control de
modificados o eliminados. bitácora sobre objetos. Versiones
pautas para la configuración de una Navegador Web
cookie delas sesión, como
Configuración
Política de de cookies
protección en navegador
de datos, establece web.
las de Acceso (ACL),
establece pautas que la duración,la
garantizan para gestión de
pautasconfidenciales
que garantizan críticos
la protección de
para la datos Algoritmos
pérdida de
de datos
protección
establece lasdepautas
datos parade accesos
cifrar datos no
de accesos no autorizados
organización. cifrado
(DLP), (AES,
algoritmos
como las medidas
confidenciales de seguridad
o personales que
transmitidos Respaldo de la información, Pruebas de Operativo para
deben aplicarse para garantizar la restauración de cifrado (AES,
restringen el acceso a los sistemas, datos Procedimiento dede info,de
listas Procedimiento de
control de accesos, NAS con
detección de
yconfidencialidad,
otros recursos dedisponibilidad
los usuarios no e restauración
rastreo de actividad de info.mecanismos
del usuario, monitoreo
intrusos de
(IDS).
Autenticación
sistemas,Eldatos
autorizados. y otros
objetivo de una recursos
política a es Procedimiento
de autenticación deyredes
reglasprivadas virtuales
de autorización. Autenticación
manejo y uso multifactor (MFA),
usuarios de del activo delElsoftware,
la empresa. objetivo para de Procedimiento(VPN),para aceptación
sesiones seguras.de acuerdos
que el usuario evite caer en estable errores el por de confidencialidad y uso adecuado de los antimalware.
Política de cortafuegos,
su desconocimiento del uso adecuado de Configuraciónactivos.
de reglas de firewall, Firewall
conjunto
mediante demedidas
reglas sobre las cuales
de seguridad actúa Identificación de vulnerabilidades
como: de sistemas, administrable.
Administración del firewall. eventos e
el firewallde
Configuración deseguridad,
red. configuración de sistemas o activos de
mediante medidas de seguridad como: información
actualizaciones Configuración de servidores de dominio eventos ede
Configuración
Política de cortafuegos, dedeseguridad,
software,
estable el Configuración
software.
deempresarial).
Listas negras de sitios
(activo información
eventos ede
conjunto actualizaciones
de los
reglas sobre de lassoftware,
cuales actúa considerados
establece requerimientos mínimos Creación demaliciosos
contraseñas, y listas blancas yde
Verificación información de
para el
la creación firewall de red.
de una contraseña, así sitios permitidos.
Validación de contraseñas. Actualización o
Establece lineamientos para asignar
como su caducidad, actualización y activar y revocarabsoluta
Destrucción usuariosde SFTP. Checklist de
credenciales.
cuentas con mínimos privilegios
Política de actualización y parcheo que Procedimiento de gestión de vulnerabilidades.
revisión periódica de todos los usuarios
necesarios
exige mantener y revocar
al día todocuando ya nobase
software se
Política de protección antivirus que exige Identifica nuevos parches, evalúa criticidad,
y librerías de aplicaciones. Checklist
prueba ende hardening
ambiente de configuración
controlado en
y despliega.
agentes actualizados en todos los
datos que cubre requerimientos de servidores. Dashboard
troubleshooting de jobscentralizado
de backups de
endpoints y configuración centralizada.
encriptación,
datos que cubre copias fuera de línea
requerimientos dey automatizados. SLA de
troubleshooting de tiempos de retención,
jobs de backups
encriptación,
jobs de backups
encriptación,
jobs de backups
encriptación, copias fuera de línea y Procedimiento
automatizados. SLA de tiempos
de configuración y
de retención,
listas blancas de direcciones IP
mantenimiento de listas blancas de
autorizadas
escaneo yautomático
restringe ely tráfico entrante Procedimiento de configuración y monitoreo
verificación direcciones IP.
continua del firewall para detectar y Procedimiento
continuo dedel
implementación
firewall. y
establece reglas de filtrado de contenido
configuración de reglas de filtrado de
eprohíbe
inspección de aplicaciones
la carga de archivospara no Procedimiento de revisiónde y autorización
contenido e inspección aplicaciones.de
autorizados y establece
promueve la gestión granular medidas para
para la la archivosde
Procedimiento antes de su carga.
configuración y gestión
incluye la identificación
segmentación de patrones
y la implementación de granular de la red.
Procedimiento de revisión de registros y
inusuales o actividades sospechosas
quemediante
exige la la eliminación de páginas detección de de revisión
patronesyinusuales.
revisión frecuente de de Procedimiento eliminación de
Política de gestión de contratos
error o divulgación de información que exige páginas de error.
Procedimiento de revisión y negociación de
la establece
inclusión de cláusulas de
la obligación de seguridad
declarar lade contratos para incluir cláusulas de seguridad.
la información endelos contratos marco. Procedimiento de declaración de la
transferencia
informáticos información
y dispositivos de red a laque Procedimiento de mantener un registro
transferencia de información. actividad de la
autoridad
pertenecen nacional de protección de
a la organización, datos
asignar y revisar regularmenteasí loscomo
roles a detallado de laAsignación
y procedimientos configuración de puertos,
de permisos: Para red y alertar a los
los sistemas de terceros que procesan Active Directory
perfiles de acceso a las aplicaciones cada rol, los administradores de sistema
protocolos y servicios de cada sistemas
para la gestión
críticas dedelaPenetración
Política Prueba organización para
La organización garantizar
realizará pruebas de asignarán permisos específicos.
Un equipo de pruebas de seguridad llevará a
penetración regulares en sus sistemas para evaluar su resistencia an Herramienta
ataques de fuerza bruta y otros intentos de acceso no autorizado. cabo las pruebas utilizando herramientas y
Estas pruebas se llevarán a cabo de manera planificada y se llevarán Metasploit
a cabo con registros. técnicas de hacking ético.
Procedimiento donde los desarrolladores
Política de Seguridad en Consultas SQL y deben utilizar sentencias parametrizadas o
Limitación de Peticiones para APIs.
procedimientos almacenados para ejecutar Herramienta
Establece que todas las consultas SQL deben
ser parametrizadas para prevenir inyecciones consultas SQL, evitando la concatenación de Checkmarx
de código malicioso. datos de entrada.
# Objetivo cambios a objetos,
Objetivo
cada fin de casos de uso
1 semana.
Reducir el índice de perdida de datos

almacenados o transmitidos por
cualquier medio a 5% menos en
comparación al periodo pasado, para
final del segundo semestre del año.
Aumentar la seguridad en las

configuraciones de toda la
3 infraestructura tecnológica de la
organización para final del segundo
semestre del año.
otorgan los procesos de asignación y
4 SFTP, revocando
administración decuentas
credenciales para
5 innecesarias.
software actualizados para mitigar
6 vulnerabilidades.
en endpoints mediante una solución
7 antivirus empresarial.
Asegurar confidencialidad, integridad
y disponibilidad de las copias de
seguridad on-premise y en la nube,
8 asi como realizar backups completos
semanales de sistemas críticos para
Restringir RTO
garantizar comunicación
de 8 horasentrante
o menos.
9 solo al tráfico esencial mediante listas
blancas de IPs.
Mitigar el movimiento lateral de
amenazas y la exfiltración de datos
mediante la segmentación de red,
10 protección de endpoints, detección
de anomalías e inspección profunda
de tráfico.
No exponer información sensible en
11 mensajes de error de aplicaciones.
privacidad mediante contratos con
12 terceros y notificaciones de
incidentes.
13 Garantizar que cada sistema cumpla
con
crearlos principios una
de mínimos
14 y mantener matriz de roles
y perfiles de la aplicación que reflejen
Implementar y mantener un
programa integral de seguridad
que incluya pruebas de
penetración ante ataques de
15 fuerza bruta, la parametrización de
consultas, según lo establecido en
el documento de lineamientos para
APIs.
Cronograma
Tiempo
Actividad (tiempo de implementación) Fase subactividad Estimado
**Política de Gestión de Accesos ** 1 Adquisición de tecnologías y licencias 1 mes
2 meses 2 Instalación y configuración 1 mes
3 Desarrollo de procedimientos 1 mes
4 Configuración de métricas y tableros 1 mes
**Política de Protección Antivirus para 5 Capacitación a equipos 1 mes
Dispositivos** 1 Adquisición de tecnologías 1 mes
3 meses 2 Instalación de plataforma 1 mes
3 Configuración de escaneo vulnerabilidades 1 mes
4 Desarrollo de procedimientos y plan de pruebas 1 mes
5 Documentación de métricas de cumplimiento 1 mes
6 Entrenamiento de equipos 1 mes
**Política Antivirus para Endpoints** 1 Adquisición de Endpoint Protection y SIEM 2 meses
4 meses 2 Instalación de agentes y consolas antivirus 2 meses
3 Configuración centralizada y dashboards 1 mes
4 Checklist de hardening en servidores 2 meses
5 Definición de métricas de detección y respuesta 2 meses
6 Entrenamiento al personal
Adquisición de software técnico
Veeam y y de seguridad 2 meses
**Política de Backups y Recuperación** 1 Almacenamiento
Instalación y configuración de backups 2 meses
3 meses 2 automatizados 2 meses
3 Documentación de procedimientos 1 mes
4 Desarrollo del plan de pruebas y restauración 2 meses
5 Definición de métricas de disponibilidad y RTO 2 meses
**Política de Reforzamiento del Control de 6 Entrenamiento de personalde
Adquisición de tecnologías defirewall,
TI IPS y 2 meses
Acceso a la Red** 1 monitoreo 2 meses
3 meses 2 Configuración de listas blancas en firewalls 1 mes
3 Parametrización de reglas de acceso en routers 1 mes
4 Integración con sistema de monitoreo 2 meses
5 Definición de métricas de eficiencia y respuesta 2 meses
6 Capacitación de personal de redes y seguridad 2 meses
**Política Integrada de Seguridad de Red y
Dispositivos** 1 Adquisición de tecnologías de protección 3 meses
Instalación de agentes y configuración
5 meses 2 centralizada 2 meses
**Política de Seguridad de Aplicaciones
Web** 1 Instalación de OWASP ZAP 1 mes
Configuración de Apache Shiro para control de
2 meses 2 acceso 1 mes
Desarrollo de procedimientos de revisión y
3 respuesta 1 mes
Definición de métricas de cumplimiento y tiempos
4 de respuesta 1 mes
Entrenamiento a equipos de desarrollo y
**Política de Gestión de Contratos y Datos 5 seguridad 1 mes
Personales** 1 Adquisición de sistema de registro de contratos 1 mes
3 meses 2 Parametrización de sistema ContractSafe 1 mes
3 Desarrollo de métricas
Definición de procedimientos legales
de inclusión deycláusulas
templates
y 1 mes
4 declaraciones 1 mes
Política de Control de Versiones de 5 Capacitación de equipos
versiones distribuido de legal
y sistema dey control
seguridad
de 1 mes
Objetos 1 cambios. 1 mes
2 meses 2 Instalación y configuración 1 mes
3 Configuración de dashboard 1 mes
4 Capacitación
Adquisición dedetecnología:
personal Controlador de 1 mes
Política de Cookies 1 entrega de aplicaciones
Implementación ADC de cifrado de
de tecnlogias 1 mes
3 meses 2 sesiones SSL/TSL. 1 mes
3 Configuración de métricas y dashboards 1 mes
4 Desarrollo de procedimientos 1 mes
5 Capacitación de personal 1 mes
Política de Protección de Datos. 1 Adquisición de tecnologia, sistema DLP. 2 mes
4 meses 2 Implementación de algoritmos de cifrados 1 mes
3 Configuración de plataformas y dashboard 2 mes
4 Definición de métricas de control y respuesta. 1 mes
5 Capacitación al personal. 1 mes
Política de Administración de Acceso
Privilegiado 1 Implementación de tecnlogias IDS Y MFA. 1 mes
2 meses 2 Desarrollo de procedimientos 1 mes
3 Definición de métricas 1 mes
Configuración de sistemas de monitoreo y
4 dashboard 1 mes
5 Formación
Adquisicióndel
de personal.
tecnología Scan Antimalware 1 mes
Politica de Acceso Remoto 1 Sophos 2 mes
4 meses 2 Instalación y configuración
Implementación de plataforma
de Procedimientos de cifrado de 2 mes
3 datos. 1 mes
4 Checklist de equipos con protección antimalware. 1 mes
Política de Uso de Adecuado de Activos de 5 Capacitación al personal. 1 mes
Software. 1 Adquisición
Desarrollo dedeprocedimientos
tecnlogía ContracSafe.
de aceptación de 1 mes
2 meses 2 contratos.
Implementación de métricas para cumplimiento 1 mes
3 de contratos o acuerdos. 1 mes
Política de Endurecimiento (Hardening) 4 Capacitación
Adquisición dedetecnologías
equipo legal.
Microsoft Intune y 1 mes
del Sistema. 1 Firewall Sophos
Desarrollo XGS.
de procedimiento de endurecimiento 2 mes
4 meses 2 del hardware.
Checklist de hadware con hardening 2 mes
3 implementado. 1 mes
4 Métricas para respuesta ante amenazas. 1 mes
5 Capacitación del personal 1 mes
Implementación de tecnologías para
Política de Contraseñas Seguras. 1 autenticación. 1 mes
Desarrollo de procedimientos de creación de
2 meses 2 contraseñas seguras. 1 mes
Definición de métricas para el nivel de seguridad
3 de contraseñas. 1 mes
4 Formación del personal. 1 mes
Política de Seguridad en Consultas SQL y
Limitación de Peticiones para APIs
Inicio Fin Responsables
Nov '23 Nov '23 Equipo de TI, Seguridad
Nov '23 Dic '23 Equipo de TI, Seguridad
Dic '23 Dic '23 Equipo de TI, Seguridad
Nov '23 Nov '23 Equipos de TI, Seguridad, Sistemas
Nov '23 Dic '23 Equipos de TI, Seguridad, Sistemas
Dic '23 Ene '24 Equipos de TI, Seguridad, Sistemas
Ene '24 Ene '24 Equipos de TI, Seguridad, Sistemas
Ene '24 Feb '24 Equipos de Seguridad, Sistemas, Soporte
Feb '24 Mar '24 Equipos de Seguridad, Sistemas, Soporte
Mar '24 Mar '24 Equipos de Seguridad, Sistemas, Soporte
Mar '24 May '24 Equipos de Seguridad, Sistemas, Soporte
May '24 Jun '24 Equipos de Seguridad, Sistemas, Soporte
Jun '24 Jul '24 Equipos de Seguridad, Sistemas, Soporte
Mar '24 Abr '24 Equipo de TI
Abr '24 May '24 Equipo de TI
May '24 May '24 Equipo de TI
May '24 Jul '24 Equipo de TI
Jul '24 Ago '24 Equipo de TI
Ago '24 Sep '24 Equipo de TI
May '24 Jul '24 Equipos de Redes y Seguridad
Jul '24 Jul '24 Equipos de Redes y Seguridad
Jul '24 Ago '24 Equipos de Redes y Seguridad
Ago '24 Oct '24 Equipos de Redes y Seguridad
Oct '24 Nov '24 Equipos de Redes y Seguridad
Nov '24 Dic '24 Equipos de Redes y Seguridad
Jun '24 Ago '24 Equipos de Redes, Sistemas, Seguridad
Ago '24 Oct '24 Equipos de Redes, Sistemas, Seguridad
Ago '24 Sep '24 Equipos de Desarrollo, Seguridad
Sep '24 Oct '24 Equipos de Desarrollo, Seguridad
Oct '24 Oct '24 Equipos de Desarrollo, Seguridad
Oct '24 Nov '24 Equipos de Desarrollo, Seguridad
Nov '24 Nov '24 Equipos de Desarrollo, Seguridad
Sep '24 Sep '24 Equipos Legal, Seguridad
Sep '24 Oct '24 Equipos Legal, Seguridad
Oct '24 Oct '24 Equipos Legal, Seguridad
Oct '24 Nov '24 Equipos Legal, Seguridad
Nov '24 Nov '24 Equipos Legal, Seguridad
nov ´23 dic ´23 Equipo de TI, Seguridad
dic ´23 ene '24 Equipo de TI, Seguridad
Nov ´23 Dic ´24 Equipo de TI, Redes, Seguridad
Dic '23 Ene '24 Equipo de TI, Redes, Seguridad
Ene '24 Feb '24 Equipo de TI, Redes, Seguridad
Nov ´24 Ene '24 Equipo de TI, Seguridad, Sistemas
Dic '23 Ene '24 Equipo de TI, Seguridad, Sistemas
Feb '24 Mar '24 Equipo de TI, Seguridad, Sistemas
nov ´23 Dic ´23 Equipo de TI, Seguridad, Redes
Dic ´23 Ene '24 Equipo de TI, Seguridad, Redes
nov ´23 Ene '24 Equipo de TI, Seguridad, Redes
Ene '24 Mar '24 Equipo de TI, Seguridad, Redes
Ene '24 Feb '24 Equipo de TI, Seguridad, Redes
Ene '24 Feb '24 Equipo de TI, Seguridad, Redes
ene '24 Feb '24 Equipo de TI, Seguridad, Redes
Nov ´23 Dic '23 Equipo de TI, Legal.
Dic ´23 Ene '24 Equipo de TI, Legal.
Nov '23 Ene '24 Equipo de TI, Sistemas, Redes, Seguridad
ene '24 Mar '24 Equipo de TI, Sistemas, Redes, Seguridad
Feb '24 Mar '24 Equipo de TI, Sistemas, Redes, Seguridad
ene '24 Mar '24 Equipo de TI, Sistemas, Redes, Seguridad
Feb '24 Mar '24 Equipo de TI, Sistemas, Redes, Seguridad
Nov '23 Dic '23 Equipo de TI, Seguridad
Dic '23 Ene '24 Equipo de TI, Seguridad
Control de la CEI Salvaguardia de la CEI Tipo de activo Función de seguridad
1
1 1.1 Dispositivos Identificar
1 1.2 Dispositivos Responder
1 1.3 Dispositivos Detectar
1 1.4 Dispositivos Identificar
2
2 2.1 Aplicaciones Identificar
2 2.3 Aplicaciones Responder
2 2.4 Aplicaciones Detectar
2 2.5 Aplicaciones Proteger
3
3 3.1 Datos Identificar
3 3.3 Datos Proteger
3 3.6 Dispositivos Proteger
3 3.12 Red Proteger
3 3.14 Datos Detectar
4
4 4.2 Red Proteger
4 4.3 Usuarios Proteger
4 4.6 Red Proteger
4 4.10 Dispositivos Responder
5
5 5.1 Usuarios Identificar
5 5.3 Usuarios Responder
6
7
8
8 8.1 Red Proteger
8 8.2 Red Detectar
8 8.3 Red Proteger
8 8.4 Red Proteger
8 8.5 Red Detectar
8 8.6 Red Detectar
8 8.7 Red Detectar
8 8.9 Red Detectar
8 8.10 Red Proteger
8 8.11 Red Detectar
9
9 9.2 Red Proteger
9 9.3 Red Proteger
9 9.5 Red Proteger
9 9.6 Red Proteger
9 9.7 Red Proteger
10
11
11 11.1 Datos Recuperar
12
12 12.1 Red Proteger
12 12.4 Red Identificar
13
13 13.1 Red Detectar
14
14 14.1 N/A Proteger
15
15 15.1 N/A Identificar
dieciséis
17
17 17.1 N/A Responder
17 17.7 N/A Recuperar
18
18 18.2 Red Identificar
Inventario y Control Título
de Activos
Empresariales
Establecer y mantener un inventario detallado
de activos empresariales
Abordar activos no autorizados
Utilice unadeherramienta
dinámica host (DHCP) depara
descubrimiento
actualizar elactivo
inventario
Utilice unade activos empresariales
herramienta de descubrimiento
pasivo de activos
Inventario y Control de Activos de Software
Establecer ydemantener
Asegúrese un inventario
que el software de software
autorizado sea
actualmente compatible
Abordar
Utilice el software no
herramientas de autorizado
inventario de software
automatizadas
Software autorizado en la lista de permitidos
Lista de bibliotecas autorizadas permitidas
Lista de scripts autorizados permitidos
Protecciónyde
Establecer Datos un proceso de gestión de
mantener
datos
Establecer y mantener un inventario de datos
Configurar listas de control de acceso a datos
Hacer cumplir la retención de datos
Eliminar datos de forma segura
Cifrar datosyen
Establecer dispositivos
mantener de usuario
un esquema de final
clasificación de datos
Flujos de datos de documentos
Cifrar datos en medios extraíbles
Cifrar datos confidenciales en tránsito
Cifrar datosel
Segmentar confidenciales
procesamiento enyreposo
almacenamiento
de datos según la sensibilidad
Implementar una solución de prevención de
pérdida de datos
Registrar accesosegura
Configuración a datosdeconfidenciales
activos y software
empresariales
Establecer y mantener un proceso de
configuración seguro para la infraestructura de
red
Configurar el bloqueo automático de sesiones
en activos empresariales
Implementar y administrar un firewall en
Servidores
Implementar y administrar un firewall en
dispositivos
Administre de deforma
usuario final los activos y el
segura
software empresarial
Administrar cuentas predeterminadas en
software y activos
Desinstalar empresariales
o deshabilitar servicios innecesarios
en softwareservidores
Configurar y activos empresariales
DNS confiables en activos
empresariales
Aplicar el bloqueo automático de dispositivos en
dispositivos
Aplicar portátilesde
la capacidad deborrado
usuarioremoto
final en
dispositivos
Espacios deportátiles de usuario final
trabajo empresariales separados en
dispositivos móviles de usuario final
Administración de cuentas
Establecer y mantener un inventario de cuentas
Utilice contraseñas únicas
Deshabilitar
Restringir loscuentas inactivas
privilegios de administrador a
cuentas de yadministrador
Establecer mantener un dedicadas
inventario de cuentas
de servicio
Centralizar la gestión de cuentas
Gestión de control de acceso
Establecer un proceso de concesión de acceso
Establecer
Requerir un proceso
MFA de revocación
para aplicaciones de acceso
expuestas
externamente
Requerir MFA para acceso remoto a la red
Requerir MFA
Establecer para acceso
y mantener administrativo
un inventario de sistemas
de autenticación y autorización.
Centralizar
Definir el control
y mantener el de acceso
control de acceso basado
en roles
Gestión continua
Establecer y mantenerde vulnerabilidades
un proceso de gestión de
vulnerabilidades
Establecer y mantener un proceso de
remediación
Realizar una gestión automatizada de parches
del sistema
Realice una operativo
gestión automatizada de parches de
aplicaciones
vulnerabilidades de los activos internos de la
empresa
vulnerabilidades de activos empresariales
expuestos externamente
Remediar las vulnerabilidades detectadas
Gestión deyregistros
Establecer mantenerde un auditoría
proceso de gestión de
registros de auditoría
Recopilar registros
Garantizar de auditoría adecuado de los
un almacenamiento
registros de auditoría
Estandarizar la sincronización horaria
Recopile registros
Recopilar registrosde deauditoría
auditoríadetallados
de consultas de
DNS
Recopilar registros de auditoría de solicitudes de
URL
Recopilar registros de auditoría de línea de
comandos
Centralizar registros de auditoría
Conservar registros de auditoría
Realizar revisiones de registros de auditoría
Recopilar registros
Protecciones del proveedor
de correo de servicios
electrónico y
navegador
clientes web electrónico totalmente
de correo
compatibles
Utilice servicios
Mantener de filtros
y aplicar filtradodeDNS
URL basados en la
red
Restringir extensiones de navegador y cliente de
correo electrónico innecesarias o no autorizadas
Implementar DMARC
Bloquear tipos
Implementar de archivos
y mantener innecesarios
protecciones
antimalware del servidor de correo electrónico
Defensas contra malware
Implementar
Configurar y mantener software
actualizaciones antimalware
automáticas de
firmas antimalware
Deshabilite la ejecución automática y la
reproducción
Configurar automática
el análisis para medios
antimalware extraíbles
automático de
medios extraíbles
Habilitar funciones antiexplotación
Administre
Utilice centralmente
software antimalware el software
basado antimalware
en el
comportamiento
Recuperación
Establecer de datos
y mantener un proceso de
recuperación de datos
Realizar copias de seguridad automatizadas
Proteger losy datos
Establecer mantenerde recuperación
una instancia aislada de
datos de recuperación
Recuperación de datos de prueba
Gestión dede
Asegúrese infraestructura de red de red esté
que la infraestructura
actualizada
Establecer y mantener una arquitectura de red
segura
Administre de forma segura la infraestructura de
red
Establecer y mantener diagramas de
arquitectura
Centralice la autenticación, autorización y
auditoría
Uso de la red (AAA)
de protocolos de comunicación y gestión de
red segura
utilicen una VPN y se conecten a la
infraestructura
Establecer y mantenerAAA de recursos
una empresa informáticos
dedicados para todo el trabajo administrativo
Monitoreo y Defensa de Redes
Centralice lasuna
Implementar alertas de eventos
solución de seguridad
de detección de
intrusiones basada en host
Implementar una solución de detección de
intrusiones
Realizar en lade
filtrado redtráfico entre segmentos de
red
Administrar el control de acceso para activos
remotos
Recopile registros
Implementar de flujo de prevención
una solución tráfico de redde
intrusiones basada
Implementar en hostde prevención de
una solución
intrusiones en la red
Implementar control de acceso a nivel de puerto
Realizarlos
Ajustar filtrado
umbralesde capa de aplicación
de alerta de eventos de
seguridad
Concientización sobre seguridad y
capacitación
Establecer en habilidades
y mantener un programa de
concientización
Capacite sobre la seguridad
a los miembros de la fuerza laboral
para
Capacite a los miembros dede
reconocer los ataques ingeniería
la fuerza social
laboral
sobre las amejores
Capacite la fuerza prácticas
laboral de
sobreautenticación
las mejores
prácticas
sobre las en
causasel manejo de datos involuntaria
de la exposición
de datos
sobre cómo reconocer y reportar incidentes de
seguridad
empresariales les faltan actualizaciones de
seguridad
conectarse y transmitir datos empresariales a
través de redes sobre
concientización inseguras
seguridad para roles
específicos
Gestión deyproveedores
Establecer de servicios
mantener un inventario de
proveedores
Establecer de servicios
y mantener una política de gestión de
proveedores de servicios
Clasificar proveedores
proveedores de servicios de incluyan
serviciosrequisitos de
seguridad
Evaluar proveedores de servicios
Monitorear proveedores
Proveedores de serviciosde deservicios
desmantelamiento
seguro
Seguridad ydel
Establecer software
mantener unde aplicaciones
proceso de desarrollo
de aplicaciones
Establecer seguro un proceso para aceptar
y mantener
y abordaranálisis
Realizar vulnerabilidades
de causa raízde software
de
vulnerabilidades de seguridad
Establecer y gestionar un inventario de terceros-
Componentes
Utilice de software
componentes para fiestas
de software de terceros
actualizados de
clasificación y confiables
gravedad para las
vulnerabilidades
Utilice plantillas dedeconfiguración
las aplicacionesde refuerzo
estándar
Sistemas separados de producciónaplicaciones
para la infraestructura de y no
producción
Capacite a los desarrolladores en conceptos de
seguridad
Aplicar de aplicaciones
principios de diseñoy seguro
codificación
en segura
arquitecturas
para de aplicaciones
los componentes de seguridad de las
aplicaciones
Implementar controles de seguridad a nivel de
código
Realizar pruebas de penetración de aplicaciones
Realizar modelos de amenazas
Gestión de
Designar respuesta
personal paraagestionar
incidentes el manejo de
incidentes
Establecer y mantener información de contacto
para informar
Establecer incidentesundeproceso
y mantener seguridad
empresarial
para informar
Establecer incidentesun proceso de respuesta
y mantener
a incidentes
Asignarmecanismos
Definir funciones y responsabilidades clave la
de comunicación durante
respuestaejercicios
Realizar a incidentes
de rutina de respuesta a
incidentes
Realizar revisiones
Establecer y mantener posteriores
umbralesalde incidente
incidentes
de seguridad
Pruebas dey penetración
Establecer mantener un programa de pruebas
de penetración
Realizar pruebas periódicas de penetración
externa
Remediar los resultados de las pruebas de
penetración
Validar medidas
Realizar pruebasde seguridad
periódicas de penetración
interna
identificar activos no autorizados Descripción
y no administrados para eliminarlos o IG1 IG2 IG3
remediarlos.
actualice el inventario de todos los activos de la empresa cada dos años o con
mayor frecuencia.
semanalmente. La empresa puede optar por eliminar el activo de la red, X X X
negarle la conexión remota a la red o ponerlo en
descubrimiento activo para que se ejecute diariamente o con mayor cuarentena. X X X
frecuencia.
inventario de activos de la empresa. Revise y utilice registros para actualizar X X
el inventario de activos de la empresa al semanalmente o con mayor
menos semanalmente frecuencia.
o con mayor X X
frecuencia.
software no autorizado y no administrado y se impida su instalación o X
ejecución.
mecanismo de implementación y la fecha de desmantelamiento. Revise y
actualice
Revise la el inventario
lista de software
de software cada dos
para verificar años odel
el soporte consoftware
mayor frecuencia.
al menos una X X X
vez al mes o con
empresariales mayoruna
o reciba frecuencia.
excepción documentada. Revise mensualmente o X X X
con mayorpara
empresa frecuencia.
automatizar el descubrimiento y la documentación del software X X X
instalado.
garantizar que solo se pueda ejecutar o acceder al software autorizado. X X
Reevaluar
en un procesocadadel dos años o Bloquee
sistema. con mayor frecuencia.
la carga de bibliotecas no autorizadas en X X
un proceso
archivos .ps1,del.py,
sistema. Reevaluar cada
etc. específicos. Bloquea doslaaños o con mayor
ejecución frecuencia.
de scripts no X X
autorizados. procesos
Desarrollar Reevaluarycada dos años
controles o con mayor
técnicos frecuencia.clasificar,
para identificar, X
manejar, retener y eliminar datos de forma segura.
documentación anualmente o cuando se produzcan cambios empresariales
importantes
mínimo. que puedan
Revisar afectar
y actualizar esta Salvaguarda.
el inventario anualmente, como mínimo, dando X X X
prioridad a como
conocidas los datos sensibles.
permisos de acceso, a sistemas de archivos, bases de datos X X X
y aplicaciones
Conservar locales
los datos dey acuerdo
remotos.con el proceso de gestión de datos de la X X X
empresa. La retención de datos debe incluir plazos mínimos
gestión de datos de la empresa. Asegúrese de que el proceso y el método de y máximos. X X X
eliminación sean
confidenciales. proporcionales
Las implementaciones a la sensibilidad
de ejemplode los datos.
pueden incluir: Windows X X X
yBitLocker®,
actualizar el Apple FileVault®,
esquema linux®dm-cripta.
de clasificación anualmente, o cuando ocurran X X X
cambios empresariales
anualmente o cuando sesignificativos
produzcan cambiosque puedan afectar esta
empresariales Salvaguarda.
importantes que X X
puedan afectar esta Salvaguarda. X X
Cifrar datos
pueden en Transport
incluir: medios extraíbles.
Layer Security (TLS) y Open Secure Shell X X
(OpenSSH).
de almacenamiento de datos no permite el acceso a los datos de texto sin X X
formato.
sensibilidad de los datos. No procese datos confidenciales en activos X X
empresariales destinados a datos de menor sensibilidad.
proveedor de servicios remoto, y actualizar los datos confidenciales de la X X
empresa.elinventario.
Registre acceso a datos confidenciales, incluida la modificación y X
eliminación.
móviles; dispositivos de red; dispositivos no informáticos/IoT; y X
servidores)cambios
produzcan y software (sistemasimportantes
empresariales operativos que y aplicaciones).
puedan afectar esta
Salvaguarda.
produzcan cambios empresariales importantes que puedan afectar esta X X X
Salvaguarda.
dispositivos móviles de usuario final, el período no debe exceder los 2 X X X
minutos.
compatible. Las implementaciones de ejemplo incluyen un firewall virtual, un X X X
firewall del sistema
denegación operativoque
predeterminada o unelimine
agentetodo de firewall deexcepto
el tráfico terceros.aquellos X X X
servicios y puertos que están explícitamente permitidos.
gestión inseguros, como Telnet (Teletype Network) y HTTP, a menos que sea X X X
esencial desde elLas
preconfiguradas. punto de vista operativo.
implementaciones de ejemplo pueden incluir: X X X
deshabilitar
empresa, comocuentas predeterminadas
un servicio de intercambio o hacerlas inutilizables.
de archivos, un módulo de X X X
aplicación web
servidores DNSocontrolados
una funciónpor de laservicio
empresa no utilizados.
y/o servidores DNS acreditados X X
accesibles externamente.
implementaciones de ejemplo incluyen Microsoft® InTune Device Lock y X X
Apple®
como Configuration
dispositivos Profileo maxFailedAttempts.
perdidos robados, o cuando un individuo ya no brinde X X
soporte o
Apple® a un
la empresa.
perfil de trabajo de Android™ para separar las aplicaciones y los X X
datos empresariales de las aplicaciones y los datos personales. X
de administrador, así como cuentas de servicio, para activos y software
empresariales.
cuentas activas estén autorizadas, de forma recurrente como mínimo
trimestralmente
de 8 caracteres o concuentas
para mayor frecuencia.
que usan MFA y una contraseña de 14 X X X
caracteres
Elimine para cuentas
o deshabilite que nocuenta
cualquier usan MFA.inactiva después de un período de 45 X X X
días de inactividad, cuando sea posible.
generales, como navegación por Internet, correo electrónico y uso del paquete X X X
de productividad,
que todas las cuentas desde la cuenta
activas estén principal sin privilegios
autorizadas, del usuario.recurrente
en un cronograma X X X
como mínimo
Centralice trimestralmente
la gestión de cuentas o con mayor
a través defrecuencia.
un directorio o servicio de X X
identidad.
revocar credenciales de acceso y privilegios para cuentas de usuario, X X
administrador
acceso a los activos y servicio para activos
de la empresa y software
tras una empresariales.
nueva contratación, concesión de
derechos
de rol de uno cambio
usuario.dePuederol deser
un necesario
usuario. deshabilitar cuentas, en lugar de X X X
eliminarlas,
través de unpara preservar
servicio los registros
de directorio de auditoría.
o proveedor de SSO es una X X X
implementación satisfactoria de esta Salvaguarda. X X X
Requiere MFA
compatible, en para
todosacceso remoto
los activos a la red.
empresariales, ya sea administrados en el X X X
sitio o a través
proveedor de un proveedor
de servicios externo.y actualizar el inventario, como
remoto. Revisar X X X
mínimo, anualmente
Centralice el control de o con mayor
acceso frecuencia.
para todos los activos empresariales a través X X
de un servicio de
empresariales paradirectorio o proveedor
validar que todos losde SSO, cuando
privilegios esténsea compatible.
autorizados, en un X X
cronograma recurrente como mínimo anualmente
industria pública y privada en busca de nueva información sobre o con mayor frecuencia. X
amenazas y vulnerabilidades.
documentación anualmente o cuando se produzcan cambios empresariales
importantes que
documentada enpuedan
un proceso afectar esta Salvaguarda.
de remediación, con revisiones mensuales o X X X
más frecuentes.
través de la gestión automatizada de parches mensualmente o con mayor X X X
frecuencia.
Realice actualizaciones de aplicaciones en activos empresariales a través de X X X
ylanogestión automatizada
autenticados de parches
utilizando mensualmente
una herramienta o conde
de análisis mayor frecuencia.
vulnerabilidades X X X
compatible con SCAP.
vulnerabilidades compatible con SCAP. Realice exploraciones mensualmente X X
yo herramientas
con mayor frecuencia.
mensualmente o con mayor frecuencia, según el proceso de X X
remediación.
Recopile, alerte, revise y conserve registros de auditoría de eventos que X X
podrían
se ayudar
produzcan a detectar,
cambios comprender
empresariales o recuperarse
importantes de unafectar
que puedan ataque.
esta
Salvaguarda.
proceso de gestión de registros de auditoría de la empresa, se haya habilitado X X X
en todos los
adecuado activos
para cumplirde la
conempresa.
el proceso de gestión de registros de auditoría de X X X
la empresa.
hora sincronizadas en todos los activos empresariales, cuando sea X X X
compatible.
direcciones de destino y otros elementos útiles que podrían ayudar en una X X
investigación
Recopile forense.
registros de auditoría de consultas de DNS sobre los activos X X
empresariales,
Recopile registroscuando sea apropiado
de auditoría y sea compatible.
de solicitudes de URL sobre los activos X X
empresariales, cuando corresponda y sea compatible.
implementaciones de ejemplo incluyen la recopilación de registros de X X
auditoría deen
Centralice, PowerShell®,
la medida deGOLPE™y
lo posible, terminales administrativas
la recopilación y retención remotas.
de registros X X
de auditoría
Conserve losen todos los
registros deactivos
auditoríaempresariales.
de los activos empresariales durante un X X
mínimo de
eventos 90 días. que podrían indicar una amenaza potencial. Realice
anormales X X
revisiones semanalmente
autenticación y autorización, o con mayordefrecuencia.
eventos creación y eliminación de datos y X X
eventos
para quedelosgestión
atacantes de usuarios.
manipulen el comportamiento humano mediante X
el compromiso
únicamente directo.
la última versión de los navegadores y clientes de correo
electrónico
Utilice proporcionada
servicios de filtrado a través
DNS del proveedor.
en todos los activos empresariales para X X X
bloquear
categorías, el filtrado basado en reputaciónconocidos.
el acceso a dominios maliciosos o mediante el uso de listas de X X X
bloqueo. Aplique
extensión filtroscomplementaria
y aplicación para todos los activos empresariales.
no autorizada o innecesaria del X X
navegador o del
comenzando porcliente de correo
implementar electrónico. Sender Policy Framework (SPF)
los estándares X X
y DomainKeys Identified Mail (DKIM). X X
Bloquee tipos de archivos innecesarios que intenten ingresar al portal de
correo electrónico
Implemente de la empresa.
y mantenga protecciones antimalware del servidor de correo X X
electrónico,ocomo
Prevenga escaneo
controle de archivos
la instalación, adjuntos y/o yzona
propagación de pruebas.
ejecución de X
aplicaciones,
Implemente códigos osoftware
y mantenga scripts antimalware
maliciosos en en activos
todos losempresariales.
activos
empresariales.
Configure actualizaciones automáticas para archivos de firmas antimalware X X X
en todos loslaactivos
Deshabilite empresariales.
funcionalidad de ejecución automática y reproducción X X X
automáticaelpara
Configure medios
software extraíbles.para escanear automáticamente los medios
antimalware X X X
extraíbles.
Windows® Defender Exploit Guard (WDEG) o Apple® System Integrity X X
Protection (SIP) y Gatekeeper™. X X
Administre centralmente el software antimalware. X X
Utilicerestaurar
para software los antimalware basado en el comportamiento.
activos empresariales dentro del alcance a un estado X X
confiable la
actualizar y previo al incidente.
documentación anualmente o cuando se produzcan cambios
empresariales importantes
dentro del alcance. Realice copias que puedan afectar esta
de seguridad Salvaguarda.
semanalmente o con mayor X X X
frecuencia,
Proteja segúnde
los datos la recuperación
sensibilidad de con loscontroles
datos. equivalentes a los datos X X X
originales.aCifrado
versiones través de referencia
sistemas ooservicios
separación dede
fuera datos, según
línea, en larequisitos.
nube o X X X
externos.
frecuencia para obtener una muestra de los activos empresariales dentro del X X X
alcance.
corrija) dispositivos de red para evitar que los atacantes exploten X X
servicios decompatibles.
actualmente red y puntosRevise de acceso vulnerables.
las versiones de software mensualmente o
con segura
red mayor frecuencia
debe abordar para la verificar la compatibilidad
segmentación, del software.
los privilegios mínimos y la X X X
disponibilidad,
de ejemplo incluyen como infraestructura
mínimo. como código controlada por versión y el X X
uso de protocolos de red seguros,
se produzcan cambios empresariales importantes como SSH y HTTPS.que puedan afectar esta X X
Salvaguarda. X X
Centralizar
Utilice red AAA.
protocolos de comunicación y administración de red seguros (por X X
ejemplo, 802.1X,
administrados porWi-Fi Protected
la empresa Access
antes 2 (WPA2)
de acceder a losEnterprise
recursos o superior).
empresariales X X
en los dispositivos de los usuarios finales.
segmentados de la red principal de la empresa y no se les debe permitir el X X
acceso
y defensaa Internet.
integral de la red contra amenazas de seguridad en toda la X
infraestructura
de de red ycon
registros configurada la base
alertasdede usuarios de la
correlación empresa.para la
relevantes
seguridad también
Implementar cumplede
una solución con esta protección.
detección de intrusiones basada en host en los X X
activos
incluyen el uso de un sistema de detección dey/o
empresariales, cuando sea apropiado admitido.en la red (NIDS) o
intrusiones X X
un servicio de proveedor de servicios en la nube (CSP) equivalente. X X
Realizardefiltrado
segura de tráfico
la empresa entre segmentos
y garantía de red, cuando
de que el sistema operativo corresponda.
y las X X
aplicaciones
Recopile estén de
registros actualizados.
flujo de tráfico de red y/o tráfico de red para revisarlos y X X
alertarlos
implementaciones de ejemplodeincluyen
desde dispositivos red. el uso de un cliente de detección y X X
respuesta de puntos
corresponda. finales (EDR) o de
Las implementaciones un ejemplo
agente IPS basado
incluyen en host.
el uso de un sistema X
prevención
de puerto utilizade802.1x
intrusiones en la red
o protocolos de(NIPS)
controlodeunacceso
servicioaCSPla redequivalente.
similares, X
como certificados,
incluyen un proxy de y puede
filtrado, incorporar
un firewall autenticación de usuariooy/o
de capa de aplicación unadispositivo.
puerta de X
enlace.
Ajuste los umbrales de alertas de eventos de seguridad mensualmente o con X
mayor
sea frecuencia.
consciente de la seguridad y tenga las habilidades adecuadas para X
reducir los riesgos
anualmente o cuandodeseciberseguridad
produzcan cambios paraempresariales
la empresa. importantes que
puedan afectar
ataques esta Salvaguarda.
de ingeniería social, como el phishing, los mensajes de texto previos X X X
yautenticación.
el tailgating. Los temas de ejemplo incluyen MFA, composición de X X X
contraseñas
cuando y administración
se alejan de su activo de credenciales.
empresarial, borrar pizarras físicas y virtuales al X X X
final de las portátil
dispositivo reuniones y almacenar
de usuario final odatos y activos de
la publicación de forma
datos segura.
a audiencias no X X X
deseadas. X X X
Capacite a los miembros de la fuerza laboral para que puedan reconocer un
incidente
al personal potencial
de TI sobrey poder informarlo.
cualquier falla en los procesos y herramientas X X X
automatizados.
orientación para garantizar que todos los usuarios configuren de forma segura X X X
su infraestructura
OWASP® de red doméstica.
para desarrolladores de aplicaciones web y capacitación avanzada X X X
en concientización sobre
proveedores estén protegiendo esas ingeniería social para roles de
plataformas alto perfil.
y datos de manera X X
adecuada.
produzcan cambios empresariales importantes que puedan afectar esta
Salvaguarda.
servicios. Revisar y actualizar la política anualmente o cuando se produzcan X X X
cambios empresariales
anualmente o cuando seimportantes
produzcan que puedan
cambios afectar estaimportantes
empresariales Salvaguarda. que X X
puedan afectar esta Salvaguarda.
empresa. Revise los contratos de los proveedores de servicios anualmente X X
para asegurarse
rigurosos. Reevaluarde que noproveedores
a los falten requisitos de seguridad.
de servicios anualmente, como X X
mínimo, o el
servicios, con contratosdenuevos
monitoreo las notasy renovados.
de la versión del proveedor de servicios y X
el monitoreo
de servicio, lade la web oscura.
terminación de flujos de datos y la eliminación segura de datos X
empresariales dentro de
alojado o adquirido internamente los sistemas del prevenir,
para proveedordetectar
de servicios.
y remediar las X
debilidades
actualizar de seguridad antes
la documentación de queopuedan
anualmente cuando afectar a la empresa.
se produzcan cambios
empresariales
considerar estoimportantes
como una política que puedanexterna afectar esta Salvaguarda.
que ayuda a establecer X X
expectativas
los equipos de para las partes
desarrollo interesadas
ir más externas. solucionar las
allá de simplemente X X
vulnerabilidades individuales a
cambio o actualización de estos componentes medida que surgen.
y valide que el componente X X
aún sea la
brinden compatible.
seguridad adecuada. Adquiera estos componentes de fuentes X X
confiables que
garantizar o evalúe el software
los errores en busca
más graves se de vulnerabilidades
solucionen primero.antes
Revisarde yusarlo. X X
yactualizar el sistema
componentes SaaS.y No el proceso
permita anualmente.
que el software desarrollado internamente X X
debilite el endurecimiento de la configuración.
Mantenga entornos separados para los sistemas de producción y no X X
producción.
seguridad dentro del equipo de desarrollo y cree una cultura de seguridad X X
entre los innecesarios
archivos desarrolladores. y cambiar el nombre o eliminar cuentas X X
predeterminadas.
sistemas operativos también proporcionan mecanismos para crear y mantener X X
registros de auditoría seguros.
Aplique herramientas de análisis estáticas y dinámicas dentro del ciclo de vida X X
aplicacióndel
de la habilidad para verificar para
evaluador que se sigan prácticas
manipular de codificación
manualmente segura.
una aplicación X
como
El usuario
objetivo autenticado
es mapear y no autenticado.
la aplicación, la arquitectura y la infraestructura de una X
manera
roles estructurada
definidos, para comprender
capacitación sus debilidades.
y comunicaciones) para preparar, detectar X
y responder rápidamente a un ataque.
se produzcan cambios empresariales importantes que puedan afectar esta
Salvaguarda.
interesadas. Verifique los contactos anualmente para asegurarse de que la X X X
información
Revisar esté actualizada.
anualmente o cuando se produzcan cambios empresariales X X X
importantes
Revisar que puedan
anualmente afectar
o cuando seesta Salvaguarda.
produzcan cambios empresariales X X X
importantes que puedan afectar esta Salvaguarda.
analistas, según corresponda. Revisar anualmente o cuando se produzcan X X
cambios
se empresariales
produzcan importantes que
cambios empresariales puedan afectar
importantes esta Salvaguarda.
que puedan afectar esta X X
Salvaguarda.
Los ejercicios deben probar los canales de comunicación, la toma de X X
decisionesayudan
incidente y los flujos de trabajo.
a prevenir Realizar pruebas
la recurrencia anualmente,
de incidentes mediante como
la mínimo. X X
identificación de lecciones aprendidas y acciones
anualmente o cuando ocurran cambios empresariales importantes que de seguimiento. X X
puedan afectar
procesos esta Salvaguarda.
y tecnología) y la simulación de los objetivos y acciones de un X
atacante.
información del punto de contacto; remediación, como por ejemplo cómo se
dirigirán internamente
experiencia especializadaslos hallazgos; y requisitos
y deben realizarse retrospectivos.
a través de una persona X X
calificada.
Corrija los resultados de las pruebas de penetración segúncaja
La prueba puede ser de caja transparente o de opaca.de la
la política X X
empresa
se paranecesario,
considera el alcancemodifique
y la priorización de la corrección.
los conjuntos de reglas y las capacidades X X
paraprograma,
del detectar las técnicas
al menos una utilizadas
vez al año. durante las pruebas.
La prueba puede ser de caja X
transparente o de caja opaca. X

Matriz Nist en Framework de Cis Proyecto Final

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Nist en Framework de Cis Proyecto Final

Cargado por

Copyright:

Formatos disponibles

RIESGOS IDENTIFICADOS RIESGO INHERENTE

Nº RIESGO IMPACTO DE NIVEL DE RIESGO NIVEL DE RIESGO

Falta de definición de Debido a la falta de perfiles y

Ausencia de filtrado de trafico Acceso no autorizado debido a la

Intentos repetidos de acceso con

Establecer un procedimiento de altas,

Habilitar/deshabilitar las operaciones de

Realiza pruebas de penetración regulares

18.4 Red/Proteger Se recomienda parametrizar las consultar a fin de

Reducir el índice de perdida de datos

Aumentar la seguridad en las

También podría gustarte