RP1 Implementar eventos y alertas de seguridad, configurando los parámetros relacionados, siguiendo especificaciones recibidas de la persona responsable de la administración de los sistemas, para garantizar su seguridad, según normas y procedimientos de la entidad responsable.

• CR1.1: Los eventos de sistemas recolectados en el sistema de monitorización se parametrizan configurándolos de modo que se asegure que la información que proporciona es completa y precisa para facilitar su posterior tratamiento.
• CR1.2: Las reglas de tratamiento de los eventos normalizados se implementan, configurándolas en función de su severidad para la generación de alertas.
• CR1.3: Las reglas de correlación entre eventos normalizados y alertas se implementan, configurándolas en función de su severidad para la generación de alertas.
• CR1.4: Las reglas de agregación de eventos normalizados y alertas se implementan, configurando métricas y elementos para su agrupación.
• CR1.5: Los mecanismos de remediación automática o semiautomática de las alertas son implementados, de acuerdo con las condiciones de remediación.
• CR1.6: La documentación de las alertas y reglas de normalización, agregación y correlación realizados se confecciona, siguiendo los modelos internos establecidos por la organización, recogiendo las configuraciones y/o acciones aplicadas y archivándola para su control, trazabilidad y uso posterior.

RP2 Ejecutar procedimientos frente alertas de seguridad, identificando parámetros, origen y condiciones y comunicando a las personas responsables de su gestión, para subsanar incidencias de seguridad, según normas y procedimientos de la entidad responsable.

• CR2.1: El procedimiento operativo de seguridad a aplicar ante las alertas generadas por el sistema de monitorización se selecciona, interpretando cada alerta y consultando el maestro de alertas y procedimientos establecido por la organización.
• CR2.2: Los procedimientos de seguridad se aplican, de acuerdo con las condiciones de entorno de la alerta específica, identificando parámetros relacionados tales como direcciones IP origen y destino, puerto accedido, tipo de evento, entre otros.
• CR2.3: El escalado de alertas se ejecuta, comunicándolas a la persona o personas responsables de su gestión, junto con información tal como resultado del evento, IP origen y destino y puertos, entre otros datos.
• CR2.4: Las alertas gestionadas se cierran, indicando si se trata de una alerta real o un falso positivo, el mecanismo de resolución y grado de afectación.
• CR2.5: La documentación relativa a las alertas gestionadas se confecciona, siguiendo los modelos internos establecidos por la organización, recogiendo las configuraciones y/o acciones aplicadas y archivándola para su control, trazabilidad y uso posterior.

RP3 Colaborar en la definición de procedimientos de respuesta a alertas de seguridad, recabando requisitos, condiciones de entorno y objetivos, definiéndolos y registrándolos, para preparar la respuesta ante incidencias, según normas y procedimientos de la entidad responsable.

• CR3.1: Las alertas sin procedimiento asociado se marcan en la documentación para su uso posterior, utilizando el maestro de alertas y procedimientos operativos e identificando aquellas alertas no recogidas en él.
• CR3.2: Los requisitos, condiciones de entorno y objetivos de remediación para cada alerta se recaban, previa identificación, documentándolos según modelos internos establecidos por la organización, para su control, uso y trazabilidad.
• CR3.3: Los procedimientos de seguridad, considerando la alerta, las condiciones de entorno, los objetivos de remediación y los requisitos de remediación decididos por la persona responsable, se redactan, indicando las acciones a realizar y prestando especial atención a los requisitos de continuidad de negocio definidas por la organización.
• CR3.4: Los procedimientos de seguridad se prueban, verificando su aplicación y aprobándolos y registrándolos de acuerdo con el modelo definido por la organización.
• CR3.5: La documentación de los procesos realizados se confecciona, siguiendo los modelos internos establecidos por la organización, recogiendo las configuraciones y/o acciones aplicadas y archivándola para su control, trazabilidad y uso posterior.