🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →

Dominio ADR

ADR - Análisis, Detección y Respuesta de Ciberseguridad

Controles ADR

ADR-01 - Protección contra Aplicaciones Maliciosas ADR-02 - Gestión, Identificación y Remediación de Vulnerabilidades ADR-03 - Retención y Monitoreo de Registros ADR-04 - Atención de Eventos y/o Incidentes de Ciberseguridad

Herramientas ADR

ADR-04 - Atención de Eventos y/o Incidentes de Ciberseguridad

Control de respuesta y gestión de incidentes de seguridad

🎯 Objetivo del Control

Establecer un proceso estructurado y efectivo para detectar, analizar, contener, erradicar y recuperarse de eventos e incidentes de ciberseguridad, minimizando el impacto al negocio.

📋 Descripción

Este control define el programa de respuesta a incidentes que incluye:

Detección y clasificación de eventos de seguridad
Escalamiento según severidad
Respuesta coordinada y documentada
Análisis forense y lecciones aprendidas

🛡️ Controles Requeridos

Preparación

Equipo de respuesta a incidentes (CSIRT/SOC)
Procedimientos documentados de respuesta
Herramientas de investigación y contención
Contactos de escalamiento y comunicación
Ejercicios y simulacros periódicos

Detección e Identificación

Monitoreo continuo de alertas de seguridad
Clasificación de eventos (verdadero/falso positivo)
Categorización de incidentes:
- P1 (Crítico): afectación masiva
- P2 (Alto): sistema crítico comprometido
- P3 (Medio): amenaza contenida
- P4 (Bajo): evento menor

Contención

Aislamiento de sistemas afectados
Preservación de evidencia forense
Implementación de controles temporales
Comunicación a partes interesadas

Erradicación

Eliminación de causa raíz
Limpieza de malware/persistencia
Cierre de vulnerabilidades explotadas
Validación de erradicación completa

Recuperación

Restauración de servicios
Validación de integridad de sistemas
Monitoreo post-incidente
Retorno a operaciones normales

Lecciones Aprendidas

Documentación detallada del incidente
Análisis de causa raíz
Identificación de mejoras
Actualización de procedimientos

📊 Métricas e Indicadores

MTTD (Mean Time To Detect)
MTTR (Mean Time To Respond)
MTTC (Mean Time To Contain)
Número de incidentes por categoría
Efectividad de respuesta (% de éxito)
Costo promedio por incidente

🔗 Herramientas Recomendadas

SOAR: Cortex XSOAR, Splunk SOAR, IBM Resilient
EDR/XDR: CrowdStrike, SentinelOne, Microsoft Defender XDR
Forensics: Volatility, Autopsy, FTK, Velociraptor
Ticketing: ServiceNow, Jira Service Management
Comunicación: PagerDuty, Slack, MS Teams

📚 Referencias

Plan de Respuesta a Incidentes
Política de Gestión de Incidentes
Registro de Incidentes y Lecciones Aprendidas
Proceso de Investigación Forense Digital
NIST SP 800-61 - Computer Security Incident Handling Guide
ISO 27035 - Information Security Incident Management

✅ Checklist de Implementación

Equipo de respuesta definido y capacitado
Procedimientos de respuesta documentados
Matriz de escalamiento definida
Herramientas de respuesta implementadas
Contactos de comunicación actualizados
Plantillas de documentación preparadas
Ejercicios de simulación programados
Integración con legal/comunicaciones
Post-mortem template definido
KPIs y métricas en dashboard

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

ADR-03 - Retención y Monitoreo de Registros

Control de gestión de logs y monitoreo de eventos de seguridad

Herramientas

Mecanismos de mejorar la Ciberseguridad

On this page

🎯 Objetivo del Control 📋 Descripción 🛡️ Controles Requeridos Preparación Detección e Identificación Contención Erradicación Recuperación Lecciones Aprendidas 📊 Métricas e Indicadores 🔗 Herramientas Recomendadas 📚 Referencias ✅ Checklist de Implementación