La respuesta a incidentes es la familia de controles que es mitad configuración y mitad papeleo, y el papeleo es la parte que los evaluadores aprietan. NIST 800-171 quiere una capacidad operativa, y DFARS 7012 agrega un reloj duro de 72 horas para reportar un incidente cibernético.
Enruta las alertas de seguridad a tus responsables (3.6.1)
NIST 800-171 3.6.1 exige una capacidad operativa de manejo de incidentes, que empieza porque las alertas de verdad lleguen a una persona. En el portal de Defender, configura las notificaciones de alerta a tu lista de distribución de seguridad, y asigna responsables y severidades para que nada quede sin trabajar.
Documenta tu plan de IR y la vía de 72 horas (3.6.1 a 3.6.3, DFARS 7012)
NIST 800-171 3.6.1 a 3.6.3 y DFARS 7012 exigen un plan de respuesta a incidentes y reportar un incidente cibernético a DIBNet dentro de 72 horas. Escribe el plan: roles, severidades, contención y escalamiento. Documenta la vía de reporte DIBNet de 72 horas para que nadie la esté averiguando durante un incidente real, y corre al menos un tabletop para que el plan se haya probado una vez antes de necesitarlo.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
