Basándonos en la Triada de Seguridad nosotros debemos monitorear:

Disponibilidad

• En este punto, lo que se busca monitorear, es todo lo que pudiese afectar la disponibilidad de un servicio o elemento que lo compone, donde vigilaremos si se apaga, se reinicia, no responde, esta inestable, tiempo de respuesta y el no tener la capacidad para soportar más solicitudes (CPU, Memoria, Disco o por restricciones en la configuración) siendo esto de los más popular.

Integridad

• Aquí lo que vamos a buscar es contar con herramientas que nos permitan monitorear si agregan o hacen cambios en los archivos críticos del sistema o de configuración de un aplicativo (ya sea derivado de una escalación de privilegios o acceso no autorizado, cambiaron las contraseñas, agregaron usuarios, grupos, agregaron o cambiaron algún archivo).

Confidencialidad

• Aquí nosotros necesitamos contar con herramientas que nos permitan monitorear los ataques a la autenticidad de un usuario y sus permisos (ataques de fuerza bruta, múltiples autenticaciones fallidas, cambios de permisos, creación de cuentas, etc.).

¿Qué debo de considerar?

Es una de las preguntas más comunes y que a la vista pudiera ser fácil de contestar y aquí están nuestras 9 recomendaciones:

1. Identificar los dispositivos críticos
2. Definir las políticas de monitoreo
   • ¿Qué se va a monitorear?
   • ¿Con que frecuencia?
   • ¿Qué tipos de alertas se generarán?
   • ¿Cuándo se activará?
   • ¿A quién se le notificará?
   • ¿Qué acciones se pueden automatizar?
3. Establezca un periodo para reconocimiento y estabilización de alertas para ajustar las excepciones
4. Analice el comportamiento de los usuarios y de la red (UEBA)
5. Busque no inundarse de alertas, monitoree solo lo más importante
6. Cree un plan para cada alerta que reciba
7. Cuente con un equipo que analice y vigile estas alertas
8. Retención de bitácoras de históricos mínimo 3 meses (depende de su política)
9. Asociar los monitoreos a los riesgos identificados