Requisitos SGCI 2018

CENTRO DE CIBERSEGURIDAD INDUSTRIAL
REQUISITOS DEL SGCI

CONTENIDO
1. REQUISITOS DEL SGCI
2. REQUISITOS ISO 27001 / CONTROLES ISO 27002
3. REQUISITOS IEC 62443-2-1
4. OBJETIVOS DEL MODELO DE MADUREZ DEL CCI
www.CCI-es.org
1
Requisitos del
SGCI
Dominio Pg en ISO Objetivos
Sección Código Requisito CONTROLES ISO 27002 CONTROLES IEC62443
SGCI Guía 27001 Madurez CCI
1.Fundamentos del 1.1.1 Detallar Beneficios del SGCI para 25 4.Contexto 4.2.2.1 E03
negocio el Negocio
1.1.2 Establecimiento de Consecuencias 26 4.Contexto 4.3.2.6.5, 4.4.3.5 E02, E01

potenciales y riesgo asumible
1.1.3 Comprender la visión, misión, 26 4.Contexto 4.3.2.2.2 E03

D1: DEFINICIÓN DE UNA ESTRATEGIA DE CIBERSEGURIDAD INDUSTRIAL
metas, valores y estrategias de la

organización
1.1.4 Análisis del entorno externo 26 4.Contexto 6.1.3, 6.1.4, 11.1.4, 11.2.5, 11.2.6, 4.2.3.10, 4.3.2.6.4, 4.4.3.3, E02
13.2, 14.1.2, 15, 18.1.1, 18.1.2, 4.4.3.7
18.1.5
1.1.5 Análisis del entorno interno 26 4.Contexto 6.1.1, 6.1.2, 6.1.5, 15.1, 15.2, 4.2.3.2, 4.2.3.10, 4.4.3.3, E02
16.1.1, 18.1.4, 18.2.X 4.4.3.7
1.1.6 Identificar procesos y recursos clave 27 4.Contexto 6.1.1, 6.1.4 4.2.3.3, 4.2.3.12, 4.3.2.3.1, E01, A01, R09
4.3.2.3.1
1.1.7 Identificación y análisis de las partes 27 4.Contexto 6.1.3, 6.1.4 4.3.2.3.1 E02
interesadas
1.1.8 Identificación y análisis de los 27 4.Contexto 4.3.2.5.1, 4.3.2.5.3 E02

requisitos del negocio
1.1.9 Determinación de los criterios de 27 6. 4.3.4.3.3, 4.2.3.6 R02, R14

evaluación y de aceptación del riesgo Planificación
2.Alcance del SGCI 1.2.1 Definición del alcance 28 4.Contexto 4.3.2.2.1, 4.3.2.2.2, 4.3.2.6.1 E05
1.2.2 Planificación de recursos para la 30 6. 6.1.1 4.3.2.3.2, 4.3.2.3.3, 4.3.4.2.1 R07

implantación del SGCI Planificación
1.2.3 Identificación de recursos internos 30 7.1 Recursos 6.1.1 4.3.2.3.2, 4.3.2.3.3, 4.3.4.2.1, A01
y externos 4.3.4.2.2
3. Organización de la 1.3.1 Establecimiento de responsabilidades 31 5.3 Roles 6.1.1, 16.1.1 4.3.4.5.1, 4.3.2.2.2, 4.3.2.3.1, E07, E09, R05,
Ciberseguridad de la Dirección de la 4.3..4.5.1 R06, R08
organización
1.3.2 Establecimiento de responsabilidades 32 5.3 Roles 6.1.1, 6.1.3, 6.1.4, 8.1, 12.1, 16.1.1 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
del Comité del SGCI de la 4.3.4.5.1 R07
organización
1.3.3 Establecimiento de responsabilidades 32 5.3 Roles 6.1.1, 6.1.3, 6.1.4, 7.2.1, 8.1, 12.1, 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
del Director del Programa SGCI de la 16.1.1 4.3.3.2.5, 4.3.4.5.1 R07
organización
1.3.4 Establecimiento de responsabilidades 34 5.3 Roles 6.1.1, 8.1.2, 8.1, 9.3, 12.1, 16.1.1 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
de los usuarios de la 4.3.3.2.1, 4.3.3.2.4, 4.3.3.2.5, R07
organización 4.3.3.2.6, 4.3.4.5.1
4. Política de 1.4.1 Establecimiento de Política de 34 5.2 Política 5.1.1, 5.1.2, 6.2.1, 9.1.1, 10.1.1, 4.3.2.6.1 E06, E08
Ciberseguridad Ciberseguridad Industrial 11.2.9, 13.2.1, 14.2.1, 15.1.1
1.Objetivos y enfoque 2.1.1 Establecimiento del Enfoque de A.R 43 6.1 4.2.3.1, 4.2.3.2 A02,A04,A05,
del A.R y metodología Planificación A08,A10, C02
LA CIBERSEGURIDAD
LOS RIESGOS PARA
D2: GESTIÓN DE
2.Metodología y 2.2.1 Identificación y caracterización de 45 8.2 8.1.1, 8.1.2 4.2.3.4, 4.2.3.5, 4.2.3.6, 4.2.3.7 A01,A03, C02
INDUSTRIAL
Tratamiento del Riesgo activos
2.2.2 Identificación de amenazas, controles 47 6.1 4.2.3.8, 4.2.3.9, 4.2.3.12 R01, R02, R03
y vulnerabilidades Planificación
2.2.3 Cálculo y tratamiento del riesgo 48 8.3 15.1.2, 17.2.1, 12.2.1, 12.3.1 4.2.3.11, 4.2.3.13, 4.2.3.14 A11,A07, R03, R04,
R09, C01
1. Seguridad ligada 3.1.1 Establecimiento de la normativa de 61 7.1 7.2.1, 7.2.3 4.3.2.2.2, 4.3.2.3.2 A08, R07
a los recursos seguridad ligada a recursos humanos
3.1.2 Comprobación de antecedentes 61 7.1 7.1.1 4.3.3.2.1, 4.3.3.2.2 OR15

D3: PROMOCIÓN DE UNA CULTURA DE LA
3.1.3 Descripción de los puestos de trabajo 61 7.1 6.2.2, 7.3.1, 8.1.2, 8.1.3, 9.3.1, OR15
11.1.5, 11.2.1, 11.2.3, 11.2.8, 11.2.9
CIBERSEGURIDAD INDUSTRIAL
3.1.4 Establecimiento de responsabilidades 63 6.1.1, 6.1.5, 7.2.1, 16.1.1 4.3.2.3.1, 4.3.2.3.2, 4.3.2.5.4, CO05, CO06
de seguridad 4.3.2.5.5, 4.3.3.2.1, 4.3.3.2.4,
4.3.3.2.5, 4.3.3.2.6
3.1.5 Revisión periódica de permisos 63 9.2.5 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, AC10
4.3.3.5.8
3.1.6 Segregación de tareas 63 6.1.2, 6.1.3, 6,1,4 4.3.3.2.3, 4.3.3.2.7 OR02
3.1.7 Supervisión del uso de los sistemas 63 9.4.5, 11.1.2, 12.1.4, 12.7.1, 18.2.3 O21
3.1.8 Establecimiento del Uso aceptable 63 6.2.1, 6.2.2, 8.1.3,8.1.4, 8.2.2, 4.3.3.3.5 AC06
de recursos 8.2.3, 8.3.X, 9.3.1, 9.4.2, 9.4.3,
9.4.4, 10.1.1, 11.2.5, 11.2.6, 11.2.7,
11.2.8, 11.2.9, 12.4.1, 12.4.3
2. Formación y 3.2.1 Acciones de concienciación 65 7.2.2 4.3.2.4.1, 4.3.2.4.4 OR04

concienciación
3.2.2 Acciones formativas 67 7.2.2 4.3.2.3.3, 4.3.2.4.1, 4.3.2.4.2, OR04

4.3.2.4.3, 4.3.2.4.4, 4.3.2.4.5,
4.3.2.4.6, 4.3.2.6.6
Requisitos del SGCI

1. Clasificación y 4.1.1 Directrices de clasificación.Categorías 73 8.2.1, 8.2.2, 8.2.3, 14.3.1 4.3.4.4.2, 4.3.4.4.3
protección de datos de impacto y sensibilidad
4.1.2 Identificaciión de propietarios y 73 8.2.1, 9.2.5, 9.2.6 4.3.2.2.2 AC01, AC02

D4: ESTABLECIMIENTO DE MEDIDAS DE CIBERPROTECCIÓN EN INSTALACIONES INDUSTRIALES
custodios
2. Control de acceso 4.2.1 Administración de cuentas 75 9.2.1, 9.4.X, 10.1.2 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.4, AC01, AC02, AC08,
lógico 4.3.3.5.5, 4.3.3.5.8 AC10, AC12, AC13
4.2.2 Autenticación 77 9.2.4, 9.2.5, 9.4.3 4.3.3.5.7, 4.3.3.6.X AC01,AC02, AC08,

AC09, AC10, AC12,
AC13
4.2.3 Autorización 77 9.2.2, 9.2.3, 9.2.6 4.3.3.5.3, 4.3.3.5.6, 4.3.3.7.X, AC05, AC06, AC07,
AC11, AC13
3. Protección de 4.3.1 Organización de la Seguridad Física 79 9.1.1, 11.1.1, 11.1.5, 11.2.X 4.3.3.3.1 AC01, AC02
Seguridad Física y
del Entorno
4.3.2 Protección de áreas físicas y control 80 11.1.2, 11.1.3, 11.1.6 4.3.3.7.2, 4.3.3.3.2, 4.3.3.3.3, AC01, AC02, AC03,
de acceso 4.3.3.3.4, 4.3.3.3.5, 4.3.3.3.6, AC04, AC08, AC12
4.3.3.3.7, 4.3.3.3.10
4.3.3 Detección de intrusiones físicas 81 11.1.4 4.3.3.3.8, 4.3.3.3.9 AC09
3. Protección de 4.4.1 Protección de las redes de 83 9.1.2, 13.1.1, 13.1.2,12.2.1, 14.1.3 4.3.3.4.3 AC01, AC02, AC03,
redes comunicaciones en contexto AC04, AC08, AC12
industrial
4.4.2 Segmentación de redes 84 13.1.3 4.3.3.4.X AC04, AC07,AC08
4.4.3 Plan de direccionamiento 89 13.1.2 AC04, AC07,AC08
4.4.4 Protección de redes inalámbricas 89 13.1.1 4.3.3.4.3 AC04, AC07,AC08
4. Protección del 4..5.1 Identificar aplicaciones y proveedores 89 14.1.1, 14.2.1 4.3.4.3.1 AC04, AC07,AC08,
software de software O01,O10
4..5.2 Establecimiento de estrategia y 89 12.5.1 4.3.4.3.1, 4.3.4.3.3 AC04, AC07,AC08,

plan de actualización para proteger O01,O10
software
4..5.3 Establecimiento de Pruebas de 89 12.6.1, 14.2.5, 14.2.8, 14.2.9 C02, C03
seguridad y análisis de código
4..5.4 Establecimiento de medidas 89 12.6.2, 12.2.1, 14.2.6 4.3.4.3.4 O01,O10

compensatorias del solftware no
actualizables
4..5.5 Establecimiento de Gestión de 89 12.5.1, 14.2.2, 14.2.3, 14.2.4 4.3.4.3.2, 4.3.4.3.3, 4.3.4.3.5, C01, C02, C03, C04,
cambios del software 4.3.4.3.6, 4.3.4.3.7, 4.3.4.3.8, C05, C06
12.1.2
4..5.6 Establecimiento de SLAs sobre la 89 15.1.2, 14.2.6 4.3.4.3.8 E10, OR07
evolucióin del software
5. Ciberseguridad 4.6.1 Establecimiento de responsabilidades 93 16.1.1, 6.1.1 C05, A01, OR07

en la relación con
terceros
4.6.2 Definición de requisitos de 97 15.1.3 C05, O08, A01, OR07
ciberseguridad en las tareas de
externalización
1. Organización 5.1.1 Establecimiento de alcance y política 105 17.1.1 4.3.2.5.1, 4.3.2.5.3 CO01, CO07
Resiliencia y de resiliencia y continuidad
Continuidad
D5: GARANTÍA DE RESILIENCIA Y CONTINUIDAD DE LOS
5.1.2 Definición de objetivos y métricas 105 17.1.3 4.3.2.5.1 E14,E15, CO09, CO01
5.1.3 Establecimiento de responsabilidades 106 17.1.2 4.3.2.5.4 CO06
5.1.4 Definición del comité de expertos 108 17.1.2 4.3.2.5.4 CO04
2. Análisis de 5.2.1 Establecimiento de escenarios de 108 17.1.2 4.2.3.3, 4.2.3.12 CO02

SISTEMAS DE OPERACIÓN
impacto riesgo
5.2.2 Análisis de impacto 111 17.1.1 4.2.3.6, 4.3.2.5.2 A09,A10,CO02
5.2.3 Definición de la estrategia de 111 17.1.1, 12.1.3 4.3.2.5.3 A09, A12, A13, C02,
resiliencia y continuidad C03
3. Procedimientos 5.3.1 Proceso de respuesta ante incidentes 114 16.1, 12.1.3 4.3.4.5.1, 4.3.4.5.6, 4.3.4.5.7, C02, C03
de resiliencia y 4.3.4.5.8, 4.3.4.5.10, 4.3.4.5.11
continuidad
5.3.2 Definición del plan de comunicación 115 16.1.2, 16.1.3 4.3.4.5.2, 4.3.4.5.3, 4.3.4.5.5, CO06
4.3.4.5.9, 4.3.2.5.4
5.3.3 Definición del plan de formación y 116 16.1.6 4.3.4.5.4 CO08

concienciación
5.3.4 Definición del plan de recuperación 116 16.1.5, 12.3.1 4.3.4.5.6, 4.3.2.5.1 CO03, CO07,
5.3.5 Definición del plan de continuidad 117 17.1.1 4.3.2.5.3, 4.3.2.5.6 CO08, CO11
5.3.6 Definición del plan de pruebas 118 17.1.1 4.3.4.5.11, 4.3.2.5.6 CO08, CO11
Requisitos del SGCI

1. Desarrollo y 6.1.1 Establecimiento de requisitos de 125 18.2.1 4.4.2.6, 4.4.2.5 A08, R07
Mantenimiento del SGCI competencias para recursos humanos
6.1.2 Establecimiento de requisitos 125 7.5 Información documentada 4.3.4.4.1, 4.4.2.5, 4.4.3.6 E12
documentales
6.1.3 Establecimiento de requisitos de 125 7.4 Comunicación 4.4.2.5 E13

comunicación
2. Definición 6.2.1 Existencia de documentación del sistema 125 18.1.3, 12.1.1 4.3.4.4.1, 4.3.4.4.5, 4.4.2.5 E12
Documental adecuada y controlada
D6: GESTIÓN, REVISIÓN, MEJORA Y SOSTENIBILIDAD DEL SGCI
6.2.2 Existencia de mecanismos de protección 125 18.1.3, 12.4.2, 12.4.4 4.3.4.4.1, 4.3.4.4.2, 4.3.4.4.3, R10, R11, R12, R14,
de la documentación del sistema 4.3.4.4.4, 4.3.4.4.6 R15, C03, C04
3. Evaluación y 6.3.1 Evaluación del desempeño en la gestión 126 18.2.1, 18.2.2, 18.2.3 4.4.2.5, 4.4.3.2, 4.4.3.5, R10, R11, R12,
Seguimiento de riesgos 4.4.3.6, 4.4.3.7, 4.4.3.8 R14, R15
6.3.2 Establecimiento de indicadores 126 18.2.3 4.4.2.4, 4.4.3.3 O21
6.3.3 Revisión de los registros de entradas 126 18.2.1, 18.2.2 4.4.2.5, 4.3.2.6.7, 4.3.4.4.7 R10
y salidas
4. Auditoría interna 6.4.1 Establecimiento del Alcance de la 126 18.2.1, 18.2.3 4.4.3.5 O10, R13, O18
auditoría
6.4.2 Planificación e implementación de 127 18.2.3 4.4.2.1, 4.4.2.1, 4.4.3.5 O10, R13, O18
auditoría
6.4.3 Existencia de documentación de 127 18.2.3 4.4.2.5 OR03, CO05

responsabilidades y requisitos
6.4.4 Comunicación de los resultados 127 18.2.3 AC03,
5. Supervisión y Mejora 6.5.1 Análisis de eventos monitorizados 127 18.2.2 4.4.3.2, 4.4.3.5, 4.4.3.8 A09
6.5.2 Establecimiento de acciones correctivas 127 18.2.3 4.4.2.6, 4.4.3.3, 4.4.3.3

o preventivas
6.5.3 Gestión de la revisión por la Dirección 128 18.2.2 4.3.2.6.8
6. Comunicación 6.6.1 Definición de contenido a comunicar 129 18.2.3 4.4.3.3
6.6.2 Planificación de la comunicación 129 18.2.3
6.6.3 Establecimiento de procesos de 129 18.2.3 4.4.3.3, 4.3.3.2.5, 4.3.2.6.6 R08

comunicación
7. Integración con otros 6.7.1 Definición de integración de 129

sistemas responsabilidades y funciones
6.7.2 Integración de politicas, documentación 129 4.3.2.6.1

y actividades
Requisitos del SGCI

2
Requisitos ISO 27001
Controles ISO 27002
CÓDIGO REQUISITO
Dominio: 5. POLÍTICAS DE SEGURIDAD

Sección: 5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información.
5.1.2 Revisión de las políticas para la seguridad de la información.
Dominio: 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Sección: 6.1 Organización interna.
6.1.1 Asignación de responsabilidades para la segur. de la información.
6.1.2 Segregación de tareas.
6.1.3 Contacto con las autoridades.
6.1.4 Contacto con grupos de interés especial.
6.1.5 Seguridad de la información en la gestión de proyectos.
Sección: 6.2 Organización interna.

6.2.1 Política de uso de dispositivos para movilidad.
6.2.2 Teletrabajo
Dominio: 7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

Sección: 7.1 Antes de la contratación
7.1.1 Investigación de antecedentes.
7.1.2 Términos y condiciones de contratación.
Sección: 7.2 Duración de la contratación

7.2.1 Responsabilidades de gestión
7.2.2 Concienciación, educación y capacitación en segur. de la informac
7.2.3 Proceso disciplinario
Sección: 7.3 Cese o cambio de puesto de trabajo.

7.3.1 Cese o cambio de puesto de trabajo
Dominio: 8. GESTIÓN DE ACTIVOS

Sección: 8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos.
Sección: 8.2 Clasificación de la información

8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.2.3 Manipulación de activos.
Sección: 8.3 Manejo de los soportes de almacenamiento

Código Requisito
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes.
8.3.3 Soportes físicos en tránsito.
Requisitos ISO 27001 / Controles ISO 27002

CÓDIGO REQUISITO
Dominio: 9. CONTROL DE ACCESOS

Sección: 9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
Sección: 9.2 Gestión de acceso de usuario.

9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.4 Gestión de información confidencial de autenticación de usuarios.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
Sección: 9.3 Responsabilidades del usuario

9.3.1 Uso de información confidencial para la autenticación.
Sección: 9.4 Control de acceso a sistemas y aplicaciones.

9.4.1 Restricción del acceso a la información
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas.
Dominio: 10. CIFRADO

Sección: 10.1 Controles criptográficos
10.1.1 Política de uso de los controles criptográficos.
10.1.2 Gestión de claves.
Dominio: 11. SEGURIDAD FÍSICA Y AMBIENTAL

Sección: 11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga
Sección: 11.2 Áreas seguras.

11.2.1 Emplazamiento y protección de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
11.2.5 Salida de activos fuera de las dependencias de la empresa
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento
11.2.8 Equipo informático de usuario desatendido
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla

CÓDIGO REQUISITO
Dominio: 12. SEGURIDAD EN LA OPERATIVA

Sección: 12.1 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación.
12.1.2 Gestión de cambios.
12.1.3 Gestión de capacidades.
12.1.4 Separación de entornos de desarrollo, prueba y producción
Sección: 12.2 Protección contra código malicioso.

12.2.1 Controles contra el código malicioso.
Sección: 12.3 Copias de seguridad.

12.3.1 Copias de seguridad de la información.
Sección: 12.4 Registro de actividad y supervisión.

12.4.1 Registro y gestión de eventos de actividad.
12.4.2 Protección de los registros de información.
12.4.3 Registros de actividad del administrador y operador del sistema.
12.4.4 Sincronización de relojes.
Sección: 12.5 Control del software en explotación

12.5.1 Instalación del software en sistemas en producción.
Sección: 12.6 Gestión de la vulnerabilidad técnica.

12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software.
Sección: 12.7 Consideraciones de las auditorías de los sistemas de información.

12.7.1 Controles de auditoría de los sistemas de información.
Dominio: 13. SEGURIDAD EN LAS TELECOMUNICACIONES

Sección: 13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
Sección: 13.2 Intercambio de información con partes externas

13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto.
Dominio: 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

DE INFORMACIÓN
Sección: 14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de los requisitos de seguridad.
14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes PÚBLICAS
14.1.3 Protección de las transacciones por redes telemáticas.
Sección: 14.2 Seguridad en los procesos de desarrollo y soporte.

14.2.1 Política de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los sistemas
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniería en protección de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalización del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación.
Sección: 14.3 Datos de prueba.

14.3.1 Protección de los datos utilizados en pruebas.
Dominio: 15. RELACIONES CON SUMINISTRADORES

Sección: 15.1 Seguridad de la información en las relaciones con suministradores
CÓDIGO REQUISITO
15.1.1 Política de seguridad de la información para suministradores.
15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores.
15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones.
Sección: 15.2 Gestión de la prestación del servicio por suministradores

15.2.1 Supervisión y revisión de los servicios prestados por terceros.
15.2.2 Gestión de cambios en los servicios prestados por terceros.
Dominio: 16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN

Sección: 16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Notificación de los eventos de seguridad de la información.
16.1.3 Notificación de puntos débiles de la seguridad.
16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la información.
16.1.7 "Recopilación de evidencias."
Dominio: 17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Sección: 17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información.
17.1.2 Implantación de la continuidad de la seguridad de la información
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información.
Sección: 17.2 Redundancias

17.2.1 Disponibilidad de instalaciones para el procesamiento de la información
Dominio: 18. CUMPLIMIENTO

Sección: 18.1 Cumplimiento de los requisitos legales y contractuales.
18.1.1 Identificación de la legislación aplicable.
18.1.2 Derechos de propiedad intelectual (DPI).
18.1.3 Protección de los registros de la organización.
18.1.4 Protección de datos y privacidad de la información personal.
18.1.5 Regulación de los controles criptográficos.
Sección: 18.2 Revisiones de la seguridad de la información.

18.2.1 Revisión independiente de la seguridad de la información
18.2.2 Cumplimiento de las políticas y normas de seguridad.
18.2.3 Comprobación del cumplimiento.

3
Requisitos
IEC 62443-2-1
Nivel cumplimiento mínimo
Sección Código Objetivo Requisito
exigido para Certificación*
Área: ORGANIZACIÓN
¿La organización ha desarrollado una lógica de negocio base para conocer el esfuerzo en gestionar la
4.2.2.1 Lógica de negocio Nivel 1 - Requisito básico
seguridad de IACS?
4.2.3.1 ¿La organización ha seleccionado una metodología de A.R? Nivel 2 - Requisito gestionado
¿La organización ha identificado a los participantes en el A.R y formado antes de analizar los riesgos a los
4.2.3.2 Nivel 2 - Requisito gestionado
participantes?
4.2.3.3 ¿Se ha realizado una evaluación de riesgos de alto nivel para conocer consecuencias HSE…etc? Nivel 2 - Requisito gestionado
¿Se ha identificado el alcance del A.R?¿Cuales serán los sistemas de automatización, agrupación,
caracterización de los riesgos?
4.2.3.5 ¿Se ha elaborado una arquitectura simple de la red? Nivel 1 - Requisito básico
ANÁLISIS DE RIESGOS
4.2.3.6 ¿Se dispone de tablas con criterios objetivos para la valoración del impacto? Nivel 2 - Requisito gestionado
4.2.3.7 ¿Se ha realizado un análisis de vulnerabilidades detallado de los activos IACS? Nivel 1 - Requisito básico
Identificar y clasificar activos
4.2.3.8 ¿La organización dispone de una metodología para priorizar la reducción de vulnerabilidades? Nivel 1 - Requisito básico
4.2.3.9 ¿La organización ha realizado una evaluación de vulnerabilidades? Nivel 1 - Requisito básico
Identificación de la frecuencia de reevaluación y de criterio de disparo de cambios en la tecnologia,

4.2.3.10 Nivel 1 - Requisito básico
organización y operación industrial
¿Se ha integrado los resultados de los riesgos de seguridad física, HSE y Ciberseguridad para comprender
el riesgo?
¿La evaluación de riesgos se ha realizado a través del ciclo de vida tecnológico, diseño, implantación,
cambios y retirada?
4.2.3.13 ¿Se ha documentado la evaluación de riesgos y su resultado? Nivel 1 - Requisito básico
4.2.3.14 ¿Se mantiene registro de la evaluación de vulnerabilidades para cada activo? Nivel 1 - Requisito básico
POLÍTICAS Y
4.3.2.2.1 ¿Existe un alcance formal del programa de gestión de ciberseguridad? Nivel 1 - Requisito básico
PROCEDI-
MIENTOS
Alcance
4.3.2.2.2 ¿Se describen en el alcance los objetivos estratégicos, los propietarios y responsables de los activos? Nivel 1 - Requisito básico
4.3.2.3.1 ¿El programa de gestión de ciberseguridad está apoyado realmente por la dirección de la organización? Nivel 2 - Requisito gestionado
RESPONSABILI-
ESTRUCTURA Y
DADES
¿Se ha identificado a las partes interesadas en proteger los IACS y la estructura para soportar el riesgo de
4.3.2.3.2 Roles y soporte Nivel 2 - Requisito gestionado
ciberseguridad de los IACs?
¿El equipo de interesados (comité) reúne las habilidades y capacidades suficientes para dirigir la seguridad
4.3.2.3.3 Nivel 2 - Requisito gestionado
de los IACS?
4.3.2.4.1 ¿Se ha diseñado e implementado un programa de concienciación y formación en ciberseguridad? Nivel 2 - Requisito gestionado
FORMACIÓN Y CAPACITACIÓN
¿Se ha facilitado información y normas de ciberseguridad en IACS a empleados internos, subcontratados y

4.3.2.4.2 Capacitación Nivel 1 - Requisito básico
proveedores?
¿El personal que gestiona riesgos, ingenieros de IACS, administradores de IACS han sido formados en los
objetivos y tareas para proteger los IACS?
4.3.2.4.4 ¿Se ha validado la efectividad de sesiones de concienciación y formación en ciberseguridad IACS? Nivel 2 - Requisito gestionado
4.3.2.4.5 Validación ¿Se revisa y actualiza el programa de formación para contemplar nuevas amenazas y vulnerabilidades…? Nivel 2 - Requisito gestionado
4.3.2.4.6 ¿Se mantiene un registro de las personas capacitadas? Nivel 2 - Requisito gestionado
4.3.2.5.1 ¿Se han especificado objetivos de recuperación para los sistemas imprescindibles para el negocio? Nivel 1 - Requisito básico
¿Se ha determinado el impacto de la interrupción de cada sistema y las consecuencias asociadas a la

PLAN DE CONTINUIDAD
4.3.2.5.2 Nivel 1 - Requisito básico

perdida de uno o más de los sistemas?
Recuperación
¿Se ha desarrollado e implementado el plan de continidad para garantizar que los procesos de negocio
puedan recuperarse de acuerdo a los objetivos fijados?
¿Está constituido un equipo de continuidad de negocio que incluya a los propietarios y que pueda
establecer prioridades de actuación?
4.3.2.5.5 ¿Se han establecido los canales de comunicacion teniendo en cuenta los roles y responsabilidades? Nivel 1 - Requisito básico
Comprobación
4.3.2.5.6 ¿Se ha establecido un calendario de pruebas del plan de continuidad? Nivel 1 - Requisito básico
Requisitos IEC 62443-2-1

¿Existen políticas y procedimientos aprobados por la dirección relacionados con el alcance definido para
proteger los IACS?
POLÍTICAS Y PROCEDIMIENTOS
4.3.2.6.3 ¿Las políticas y procedimientos son coherentes con otros sistemas de gestión de riesgos (HSE, financieros)? Nivel 1 - Requisito básico
¿Las políticas y procedimientos utilizados cumplen con la legislación aplicable al funcionamiento de los
IACS?
(CONT.)
Gestión de la ciberseguridad
4.3.2.6.5 IACS ¿Se ha definido y documentado la tolerancia al riesgo de los IACS? Nivel 2 - Requisito gestionado
4.3.2.6.6 ¿Las políticas y procedimientos han sido comunicados al personal apropiado? Nivel 1 - Requisito básico
4.3.2.6.7 ¿Se ha revisado y validado regularmente las políticas y procedimientos? Nivel 2 - Requisito gestionado
4.3.2.6.8 ¿La dirección apoya las políticas y participa en comites de seguridad? Nivel 2 - Requisito gestionado
Área: CONTRAMEDIDAS
¿Existe una política de seguridad para el personal (empleados, futuros empleados, contratistas terceros)
clara donde se establecen las responsabilidades ?
¿El personal con acceso físico o lógico a los IACS y puestos sensibles, incluidas las nuevas contrataciones
se someten a validaciones de identidad y chequeos?
Responsabilidades laborales
4.3.3.2.3 ¿Se comprueba la existencia de conflicto de intereses de los empleados en la realización de sus funciones? Nivel 2 - Requisito gestionado
PERSONAL
¿Se han establecido las responsabilidades del personal desde su reclutamiento hasta la extinción del
contrato?
¿Se han documentado claramente los requisitos y responsabilidades de seguridad del personal y se les
comunica regularmente?
¿Los terminos y condiciones de los contratos de empleados y terceros indican claramente sus
4.3.3.2.6 Revisión Nivel 1 - Requisito básico
responsabilidades en ciberseguridad, extendiendose un tiempo adecuado despues de cesar en el empleo?
¿Existe una segregación de funciones que garantice que ningún individuo tiene control total para cambiar la
operación funcional del IACS?
4.3.3.3.1 ¿Las políticas y procedimientos de seguridad cubren la parte física y cibernética? Nivel 2 - Requisito gestionado
4.3.3.3.2 Perimetro ¿Existen barreras para proteger el acceso no autorizado a los activos en los perimetros existentes? Nivel 2 - Requisito gestionado
4.3.3.3.3 ¿Existen controles apropiados en cada una de las barreras que protegen el perímetro? Nivel 2 - Requisito gestionado
¿Los activos estarán protegidos contra el impacto de riesgos para el medio ambiente, daños frente a
SEGURIDAD FÍSICA Y AMBIENTAL

amenazas como el fuego, el agua, el humo, el polvo, la radiación, la corrosión?
¿Se exige a los empleados seguir y cumplir los procedimientos de seguridad física que han sido
establecidas?
¿Están las conexiones bajo el control de la organización y se protegen adecuadamente frente a la
alteración o daño?
¿ Los bienes de equipo, incluidos los auxiliares equipo ambiental, están debidamente mantenidos para
Equipos y comunicaciones asegurar una operación adecuada?
¿Se han establecido procedimientos para el seguimiento y notificación cuando la seguridad física o
4.3.3.3.8 medioambiental se ha Nivel 2 - Requisito gestionado
comprometido?
4.3.3.3.9 ¿Se establecen procedimientos de gestión de cambios en los activos y se audita su cumplimiento? Nivel 2 - Requisito gestionado
¿Se establecen procedimientos para asegurar la protección de los componentes críticos durante la
4.3.3.3.10 interrupción de las operaciones, por ejemplo, debido a un incendio, o la entrada de agua o cualquier otro Nivel 2 - Requisito gestionado
tipo de desastre?
¿Existe una estrategia de contramedida de segmentación de la red con zonas de seguridad para los
SEGMENTACIÓN

dispositivos IACS basada en su nivel de riesgo?
Segmentación y comunica- ¿Los dispositivos IACS de alto riesgo estan aislados o emplean un dispositivo de barrera para separarlo de
ciones otras zonas con diferentes niveles de seguridad?
¿Los dispositivos de barrera bloquean todos los accesos no imprescindibles dentro y fuera de la zona de
seguridad que contiene los equipos críticos de control?

¿Los privilegios de acceso implementados para cuentas de acceso se establecen de acuerdo con la política
CONTROL DE ACCESO: GESTIÓN DE CUENTAS

de seguridad de la organización?
Alineación ¿Los controles de las cuentas de acceso se establecen teniendo en cuenta las amenazas, riesgos y
vulnerabilidades, incluyendo riesgos de HSE y requisito para la rendición de cuentas?
4.3.3.5.3 ¿Los cambios en las cuentas de acceso se establecen con la autorización del responsable? Nivel 2 - Requisito gestionado
¿Se mantiene un registro de todas las cuentas de acceso, incluidos los detalles de la persona (s) y los
dispositivos autorizados para utilizar l a cuenta, sus permisos, y el gerente de autorización?
¿Se suspenden o eliminan las cuentas de acceso en el momento en que ya no son necesarios (por ejemplo,
cambio de trabajo o rol)?
Auditoría ¿Se revisan todas las cuentas de acceso establecidas regularmente para asegurarse de que se tiene sólo el
mínimo de permisos requerido?
4.3.3.5.7 ¿Las contraseñas por defecto para las cuentas se cambian antes que los IACS se pongan en servicio? Nivel 2 - Requisito gestionado
4.3.3.5.8 ¿Se revisa periodicamente el cumplimiento de la política de acceso? Nivel 2 - Requisito gestionado
4.3.3.6.1 ¿Se dispone de una estrategia de autenticación o enfoque que define el método(s) de autenticación a usar? Nivel 2 - Requisito gestionado
¿Los usuarios son autenticados antes de utilizar las aplicaciones, o en los casos que no es posible, existen
CONTROL DE ACCESO: AUTENTICACIÓN
medidas compensatorias tecnológicas o administrativas de control de entrada?

Acceso local
4.3.3.6.3 ¿Se utiliza autenticación fuerte para el acceso a las aplicaciones críticas y de administración de cuentas? Nivel 2 - Requisito gestionado
4.3.3.6.4 ¿Existen archivos de log de acceso y se revisan periodicamente? Nivel 2 - Requisito gestionado
¿La organización utiliza un esquema de autenticación con un nivel adecuado para identificar positivamente
a un usuario remoto?
¿Se dispone de direccionamiento específico para la sesión remota por usuario y / o conexiones remotas
4.3.3.6.6 (por ejemplo, conexiones-tarea a tarea) y se ha definido un sistema de respuesta a intentos de acceso no Nivel 2 - Requisito gestionado
autorizados a los sistema de control?
Acceso remoto ¿Después de un número de intentos de conexión fallidos por un usuario remoto, el sistema deshabilita el
acceso a la cuenta durante una cierto período de tiempo?
¿Después de un período de inactividad definido, los usuario remotos deben estar obligados a volver a
autenticarse antes de que él o ella pueda volver a acceder al sistema?
4.3.3.6.9 ¿Los sistemas emplean esquemas de autenticación adecuada entre aplicaciones y dispositivos? Nivel 2 - Requisito gestionado
¿Están definidas y documentadas en una política de autorización las reglas que definen los privilegios de
CONTROL DE ACCESO:

acceso para el personal en base a los roles de trabajo?
AUTORIZACIÓN
¿Se establecen permisos para acceder a los dispositivos de la IACS lógicos (reglas que otorgan o niegan el
4.3.3.7.2 acceso a los usuarios en función de sus roles), físicos (cerraduras, cámaras y otros controles que restringen Nivel 2 - Requisito gestionado
Roles el acceso a una consola activa ordenador), o ambos?
4.3.3.7.3 ¿Las cuentas de acceso se basan en roles? Nivel 2 - Requisito gestionado
4.3.3.7.3 ¿Se utilizan multiples métodos de autorización en el acceso a los IACS que controlan entornos críticos? Nivel 2 - Requisito gestionado
Área: IMPLEMENTACIÓN
¿La organización dispone de un marco de gestión de riesgos que contempla la selección e implementación
GESTIÓN
RIESGO
de IACS y contramedidas para llevar el riesgo a un nivel acceptable?

DEL
Gestión
¿Se ha definido y aplicado un conjunto de medidas físicas y de ciberseguridad para hacer frente a los
riesgos de forma integral?
¿Las funciones y capacidades de seguridad de cada nuevo componente IACS se definen, se solicitan en la contratación
DESARROLLO Y MANTENIMIENTO DEL SISTEMA
y se prueban con el resto de componentes de tal modo que cumplen con el perfil de seguridad deseado?
Diseño y Desarrollo
¿Se ha desarrollado un sistema de gestión de cambios para el entorno IACS siguiendo los principios de
segragación de funciones que impidan conflicto de intereses?
¿Se utilizan criterios claramente definidos por profesionales con conocimientos de la operación industrial
para establecer los riesgos HSE y de ciberseguridad al realizar cambios?
¿Cuándo se instala un nuevo sistema IACS se cumplen los requisitos establecidos en la politica de
seguridad para la zona donde se instala?
¿Los procedimientos de gestión de cambios con requisitos de ciberseguridad están integrados con la PSM
(Process Safety Management)?
Diseño y Desarrollo
4.3.4.3.6 ¿Las políticas y procedimientos de operación y gestión de cambios se revisan y mantienen actualizados? Nivel 2 - Requisito gestionado
4.3.4.3.7 ¿Existe un procedimiento de gestión de parches que se aplica y revisa? Nivel 2 - Requisito gestionado
4.3.4.3.8 ¿Existe un procedimiento anti malware que se aplica y revisa? Nivel 2 - Requisito gestionado
4.3.4.3.9 ¿Existe un procedimiento de gestión de copias de seguridad que se aplica y revisa? Nivel 2 - Requisito gestionado

4.3.4.4.1 ¿Existe un ciclo de vida del proceso de gestión de documentación e información de los IACS? Nivel 2 - Requisito gestionado
GESTIÓN DE DATOS Y DOCUMENTACIÓN
¿Se ha definido una clasificación de la información (confidencial, restringida y pública) que establece las
4.3.4.4.2 medidas necesarias de control de acceso, compartición, copiado, transmisión y destrucción en función de Nivel 2 - Requisito gestionado
su clasificación?
¿Los activos lógicos (diagrama de red, programa de operación,..) del alcance definido se clasifican para
4.3.4.4.3 establecer las medidas de protección necesaria de acuerdo con sus consecuencias de divulgación o Nivel 2 - Requisito gestionado
modificación?
Documentación ¿Las políticas y procedimientos que contienen información restringida o confidencial disponen de las
medidas de protección necesarias?
¿Existen medidas que permiten retener los datos durante largos periodos de tiempo, según se haya
establecido en la política de retención de información?
¿Se revisa periodicamente el acceso y tratamiento de la información sensible para comprobar la eficacia de
los controles?
¿Se revisa periodicamente el cumplimiento de las políticas y procedimientos establecidos para la gestión
segura de información?
¿La organización dispone de un plan de respuesta ante incidentes donde se identifica al personal
responsable y se definen las acciones designadas a cada persona?
¿El plan de respuesta ante incidentes se ha comunicado a las personas adecuadas dentro de la
organización?
¿La organización dispone de un procedimiento de notificacion de actividades inusuales y eventos que
PLAN DE RESPUESTA A INCIDENTES

podrían ser incidentes de ciberseguridad?
Gestionar incidentes
¿Los empleados han recibido educación respecto a su responsabilidad y metodología en la notificación de
incidentes de ciberseguridad?
4.3.4.5.5 ¿Se reportan los incidentes de ciberseguridad adecuadamente? Nivel 2 - Requisito gestionado
¿Si se identifica un incidente, la organización responde con prontitud, de conformidad con los
procedimientos establecidos?
4.3.4.5.7 Identificar ¿Se dispone de procedimientos para identificar brechas de ciberseguridad? Nivel 2 - Requisito gestionado
4.3.4.5.8 ¿Se documentan los detalles de los incidentes, la respuesta y lecciones aprendidas? Nivel 2 - Requisito gestionado
¿Se comunican los detalles de los incidentes al personal apropiado en la organización (ingenieria de
automatización y control, gestión, TI, HSE, Prevención)?
Documentar y comunicar
4.3.4.5.10 ¿Existe una metodologia para la identificación y corrección de los incidentes? Nivel 2 - Requisito gestionado
4.3.4.5.11 ¿Se emplean los incidentes acontecidos para comprobar el programa de respuesta ante incidentes? Nivel 2 - Requisito gestionado
Área: MONITORIZACIÓN Y MEJORA

4.4.2.1 ¿Existe metodología para la realización de auditorías? Nivel 2 - Requisito gestionado
Auditoría
¿Se establecen auditorías periódicas para comprobar que las políticas y procedimientos de seguridad se
están realizando según lo previsto?
CONFORMIDAD
4.4.2.4 ¿Se han definido indicadores de rendimiento para monitorizar el cumplimiento del CSMS (SGCI)? Nivel 2 - Requisito gestionado
Indicadores y registros
4.4.2.5 ¿Existe un listado de documentos e informes necesarios para establecer un registro de auditoría? Nivel 2 - Requisito gestionado
4.4.2.6 ¿Se identifican las no conformidades y las acciones planificadas correspondientes? Nivel 2 - Requisito gestionado
Capacitación y planficación
4.4.2.7 ¿La labor de auditoría cumple con el nivel de independencia y competencia necesarios? Nivel 2 - Requisito gestionado
¿Se ha definido responsable de coordinación y gestión de cambios. Así como un método para la toma de
decisiones e implementación de cambios?
4.4.3.2 ¿Se evalua periodicamente el cumplimiento de objetivos del CSMS? Nivel 2 - Requisito gestionado
REVISIÓN, MEJORA Y MANTENIMIENTO
¿Se ha definido una lista de disparadores con los umbrales fijados, para una revisión de elementos
relacionados de los CSMS y estos desencadenantes incluyen como mínimo: ocurrencia de incidentes
graves de seguridad, legales y
cambios en la regulación, los cambios en el riesgo y se basan en la tolerancia al riesgo?
¿Se identifican y ponen en práctica acciones correctivas y oportunidades de mejora para cumplir con los
4.4.3.4 Definir Nivel 2 - Requisito gestionado
objetivos de seguridad?
¿Se revisa la tolerancia de la organización al riesgo cuando hay cambios importantes en la organización, la
tecnología o los objetivos del negocio?
¿Los propietarios del sistema de gestión de la seguridad revisan las mejores prácticas en cuanto a
evaluación de riesgos, mitigación y aplicabilidad?
4.4.3.7 ¿Se identifican cambios en la legislación aplicable? Nivel 2 - Requisito gestionado
¿Se incorporan las sugerencias de las partes interesadas y se reportan para gestionar las deficiencias y
oportunidades de mejora?

*Descripción del Nivel cumplimiento mínimo exigido para Certificación:
Niveles Descripción
Nivel 0 - Requisito inmaduro El requisito no tiene una implementación efectiva de los procesos
Nivel 1 - Requisito básico Se implementa y alcanza los objetivos de los procesos
Nivel 2 - Requisito gestionado Se gestionan los procesos y los productos de trabajo se establecen, controlan y mantienen
Nivel 3 - Requisito establecido Se utilizan procesos adaptados basados en estándares
Nivel 4 - Requisito optimizando Se mejoran continuamente los procesos para cumplir los objetivos de negocio

4
Objetivos del modelo
de madurez del CCI
Área Actividad Nivel de Madurez Objetivo Código
Identificar objetivos estratégicos de la organización, requisitos regulatorios y de cliente para definir
Inicial (N1) E03
objetivos de cumplimiento
1. Definición
Gestionado (N2) Definir la estrategia de ciberseguridad para gestionar los riesgos tecnológicos de la organización E05
Estandarizado (N3) Establecer indicadores de la consecución de objetivos (Key Goal indicators, KGI) E14
Presentar a los Directivos de negocio los riesgos tecnológicos y su impacto en los objetivos estraté-
Inicial (N1) E01
gicos de la organización, así como las alternativas estratégicas para gestionar los riesgos.
Gestionado (N2) Publicar la política de ciberseguridad de la organización E06
2. Comunicación Gestionado (N2) Hacer visible y activo el compromiso del programa de ciberseguridad por parte de la alta dirección E08
Referenciar la política de ciberseguridad en procedimientos de calidad, HSI, de procesos de negocio,

Estandarizado (N3) E10
1. ESTRATEGIA
para terceros…
Estandarizado (N3) Hacer campañas de divulgación de la política entre los principales grupos de personas relacionadas E13
Gestionado (N2) Establecer las responsabilidades en la estrategia de ciberseguridad de la organización E07

3. Asignación
Establecer las responsabilidades en la estrategia de ciberseguridad de la organización a todos los
Gestionado (N2) E09
niveles de la organización
Identificación y análisis de amenazas y debilidades tecnológicas en procesos industriales (diagnostico
técnico de seguridad, análisis gap con respecto a estándares aplicables, análisis de riesgos,
Inicial (N1) E02
evaluación de madurez en capacidad para afrontar los riesgos tecnológicos) para preparar el plan
estratégico de ciberseguridad de la organización
4. Desarrollo Gestionado (N2) Desarrollo del plan estratégico de ciberseguridad de la organización E04
Optimizado (N4) Uso de la información de KPI y KGI en la toma de decisiones E15
Documentar procedimientos de revisión, desarrollo y documentación del plan estratégico de ciberse-

Optimizado (N4) E12
guridad de la organización
5. Auditoría Estandarizado (N3) Revisión de la estrategia de ciberseguridad para ajustar los objetivos E11
Identificación de activos TI y TO (tecnológicos, organizativos, personal interno y externo, información),

Inicial (N1) propietarios y responsables de activos, así como la definición de criterios objetivos para valorar su A01
1. Definición importancia en cuanto a disponibilidad, integridad y confidencialidad).
Definición de sistema de gestión en tiempo real de flujo de autorizaciones de cambios y monitoriza-

Optimizado (N4) A12
ción de activos tecnológicos
2. Comunicación Gestionado (N2) Comunicación del inventario de activos a los propietarios para su validación A04
Establecer reuniones con responsables y propietarios de activos para valoración de activos incluyen-
Gestionado (N2) A02
do sesión de concienciación sobre los riesgos
Gestionado (N2) Establecer prioridades en el tratamiento de los activos según su importancia A05
3. Asignación
Asignar recursos adecuados (personas, tecnología y procedimientos) para la gestión de activos y
Estandarizado (N3) A08
2. ACTIVOS
adopción de estándares aplicables
Estandarizado (N3) Establecimiento de procedimientos de autorización frente a cambios sobre activos A11
Preparación de inventario de activos incluyendo al menos los siguientes atributos ( ubicación, tecno-
logía, versiones, propietario de los activos, responsables de la operación del activo, responsables de
Gestionado (N2) A03
la seguridad del activo, requisitos de seguridad aplicables, dependencias de servicio, acuerdos de
nivel de servicio, y conformidad de los bienes con las normas pertinentes de la industria)
4. Desarrollo
Documentación en inventario de cualquier cambio en activos, por configuración, nueva implementa-
ción o cambio de propietario
Implantación de sistema de gestión en tiempo real de flujo de autorizaciones de cambios y monitori-
Optimizado (N4) A13
zación de activos tecnológicos
Establecer un registro de cambios en el inventario de activos, definición de frecuencia de revisión
Gestionado (N2) A06
periódica y garantizar su actualización antes de cualquier nueva implementación
Definición y monitorización de los activos a lo largo de su ciclo de vida (diseño, implementación,
5. Auditoría Estandarizado (N3) A09
operación y mantenimiento)
Definición de mecanismos para la comprobación del impacto de ciberseguridad de los activos antes
de realizar cambios
Objetivos del modelo de madurez del CCI

Identificación de amenazas y vulnerabilidades para establecer riesgos de ciberseguridad, impacto y
Inicial (N1) R01
probabilidad (Análisis de riesgos) de la organización
Definición de las responsabilidades sobre la ejecución del plan y se planifican las acciones
Gestionado (N2) correspondientes, así como las dotaciones presupuestarias para los recursos necesarios y su R06
1. Definición mantenimiento
Estandarizado (N3) Definición de criterios para la revisión del plan de gestión de riesgos de ciberseguridad R10
Optimizado (N4) Definición de los mecanismos para automatizar la gestión del riesgo y su evolución R14
Presentación a la dirección de los resultados de diagnósticos y análisis de riesgos con una propuesta
Inicial (N1) R05
de plan de tratamiento de riesgos (base para el plan estratégico de ciberseguridad)
2. Comunicación
Notificación a los responsables de cada acción y se inicia el proceso de implantación del plan de
Gestionado (N2) R08
acción
Asignación de las responsabilidades sobre cada una de las acciones y se asignan los recursos para
Gestionado (N2) R07
3. RIESGOS
abordar las acciones del plan, así como su revisión

3. Asignación
Estandarizado (N3) Establecimiento de los periodos de revisión y asignación de responsables de la misma R11
Diagnóstico técnico de ciberseguridad para identificar las debilidades actuales de la organización

R02
documentando vulnerabilidades y acciones recomendadas para minimizar el impacto
Inicial (N1) Análisis gap respecto a estándares aplicables y elaboración de acciones recomendadas R03
Desarrollo de propuesta de plan de tratamiento de riesgos R04

4. Desarrollo
Gestionado (N2) Gestión del proceso según el plan de acción R09
Se revisan periódicamente las actividades, así como las habilidades de los encargados de realizar la
Estandarizado (N3) R12
diferentes funciones del proceso
Optimizado (N4) Se implantan los mecanismos para automatizar la gestión del riesgo y su evolución. R15
5. Auditoría Estandarizado (N3) Se auditará el proceso de gestión de riesgos R13
Identificación de personal, ubicaciones físicas y lógicas (repositorios, servicios, aplicaciones) con

acceso a los activos, así como los requisitos de acceso necesario y los responsables de autorización AC01
Inicial (N1) y de gestión
Definición del proceso de identificación de caducidad de acceso y mecanismos de restricción de
AC02
acceso lógico y físico
Identificación de repositorios a revisar para comprobar que las autorizaciones de acceso son las
AC05
establecidas
Gestionado (N2)
1. Definición Identificación de recursos y herramientas para comprobar autorizaciones y notificar accesos no
AC06
autorizados
Los criterios de riesgo determinan la definición de los niveles de acceso de las credenciales, así
AC10
como las medidas de verificación y control establecidos
Estandarizado (N3)
4. ACCESO
La autorización de los propietarios de los activos se basa en la definición de criterios de riesgo AC11
Normalización del proceso de auditoría de responsabilidades asignadas en la autorización y gestión

Optimizado (N4) AC13
de identidades
Comunicación del proceso de autorización y acceso a los activos, así como de notificación de actua-
2. Comunicación Inicial (N1) AC03
ción a los responsables de la autorización y a los responsables de su gestión
3. Asignación Estandarizado (N3) Se establecen políticas de control de acceso formales AC12
Implantación del proceso de identificación y gestión de acceso, tanto a nivel organizativo (políticas,
Inicial (N1) AC04
normas y responsabilidades), como técnico (configuraciones y tecnologías)
4. Desarrollo Implantación de herramientas para gestión de identidades y autorizaciones AC07

Gestionado (N2)
Documentación de buenas practicas para gestionar identidades y control de acceso AC08
Implantación de mecanismos de auditoría y procedimientos para la revisión de autorizaciones y

5. Auditoría Gestionado (N2) AC9
especialmente de usuarios con altos privilegios de administración

Definir la configuración de ciberseguridad base de cada tipo de activo, en función de su clasificación
C01
y riesgo
Inicial (N1)
Definición del proceso de notificación y evaluación de activos inventariados antes de realizar un
C02
cambio de configuración, así como el registro de los cambios
Se identifican a los actores que intervienen en las actividades de inventariado, configuración y
C05
gestión de cambio
1. Definición Las prácticas de gestión de cambio forman parte del ciclo de vida de los activos (adquisición,
Gestionado (N2) C06
despliegue, operación y retirada)
Identificación de recursos y herramientas para gestionar configuración y cambio C07

5. CONFIGURACIÓN
Estandarizado (N3) Definición de procedimientos de documentación de cambios de configuración C10
Optimizado (N4) Normalización del proceso de auditoría de la gestión de configuraciones y cambios C12
2. Comunicación Inicial (N1) Implantación del proceso de notificación de requerimiento de cambios y su planificación C03
3. Asignación Estandarizado (N3) Asignación de responsabilidades en la gestión de cambio C11
Inicial (N1) Implantación del proceso de evaluación y gestión de cambio en activos inventariados C04
4. Desarrollo Gestionado (N2) Implantación de herramientas y procedimientos de gestión de configuración y cambio C08
Implantación de un procedimiento para documentar los cambios y establecimiento de políticas que

Estandarizado (N3) C12
dirijan la gestión de cambio
5. Auditoría Estandarizado (N3) Monitorización de cambios de configuración C09
Clasificación de la información, identificando las ubicaciones físicas y lógicas (repositorios, medios)

donde se almacena la información y los datos identificados como activos, así como la categorización
O01
de sus niveles de confidencialidad. Incluyendo usuarios y aplicaciones con su nivel de autorización
al operar.
Inicial (N1)
Definición de los procedimientos de operación de SCI deben estar documentados, mantenidos y
O02
estar disponibles para los usuarios autorizados.
1. Definición
Definición del proceso de gestión de incidentes de ciberseguridad (definir criterios, notificación,
O06
registro, escalado, revisión y tratamiento)
Gestionado (N2) Definición de planes de respuesta a incidentes O12
Estandarizado (N3) Establecimiento de métricas e indicadores (Key Performance Indicators, KPI) alineados con KGI O21
Comunicación de política de clasificación de información y responsabilidades sobre los activos de

2. Comunicación Inicial (N1) O04
información.
Inicial (N1) Asignación de un punto de contacto responsable de la gestión de los eventos de ciberseguridad O05
3. Asignación
Identificación y asignación de las actividades necesarias para mantener las operaciones mínimas de
Gestionado (N2) O09
operación
Establecimiento de la política de clasificación de la información de negocio y operación O03

6. OPERACIÓN
Inicial (N1) Implantación del proceso de gestión de incidentes de ciberseguridad O07
Desarrollo de informe de incidentes (internos y externos) O08
Implantación de repositorio de incidentes según los criterios de detección establecidos y priorizados

O11
en función de su impacto
Gestionado (N2) Implantación de un plan de respuesta a incidentes que incluya responsabilidades O13
4. Desarrollo
Definición y desarrollo de procedimientos de respuesta a incidentes que cubra el ciclo de vida del
O14
incidente
Análisis de la causa raíz de los incidentes y eventos de ciberseguridad O16

Estandarizado (N3)
Coordinación con organismos gubernamentales en la gestión de incidentes O17
Análisis y utilización de la información proporcionada por los indicadores KGI y KPI O21
Optimizado (N4)
Normalización del proceso de auditoría de la gestión de incidentes O19
Establecimiento de criterios para detectar incidentes de ciberseguridad (Activación de registros,

Gestionado (N2) O10
comprobaciones en log, configuraciones, aplicaciones, ..)
5. Auditoría Estandarizado (N3) Correlación de eventos para el análisis de información de incidentes O15
Estandarizado (N3) Comprobación de la eficacia de los planes de respuesta a incidentes O18

Definición del plan de concienciación y formación para el personal con responsabilidad en ciberse-
Inicial (N1) OR04
guridad
Definición de acuerdos de confidencialidad y no revelación que reflejen las necesidades de protec-
ción de la organización y que deberán formar parte del contrato con empleados y terceros con los OR07
que se requiera.
Gestionado (N2)
Documentación de responsabilidades en ciberseguridad OR09
1. Definición
Identificación de gaps en ciberseguridad, tanto en conocimiento, como en perfiles. OR10
Definir formalmente y aprobar un mapa de responsabilidades de cibersegurdiad a todos los niveles

Estandarizado (N3) OR13
de la organización
Inicial (N1) Inclusión del concepto de ciberseguridad en la especificación de nuevas instalaciones y proyectos. OR20
2. Comunicación Inicial (N1) Comunicación de las responsabilidades que han sido definidas claramente. OR03
Incorporar la gestión de riesgos en sistemas de control industrial en el esquema de seguridad y

OR01
gobierno de la organización, asignando responsabilidades.
Inicial (N1)
Establecer las responsabilidades de coordinación de las actividades de seguridad SCI en las diferen-
OR02
7. ORGANIZACIÓN
tes partes de la organización con roles y funciones relevantes.

3. Asignación
Establecer un proceso de autorización para procesar la nueva información de SCI que tendrá que
Gestionado (N2) OR06
definirse e implementarse.
Las responsabilidades en ciberseguridad son incluidas en los criterios de evaluación de rendimiento
Estandarizado (N3) OR14
del trabajo
Inicial (N1) Implantación del plan de concienciación y formación en ciberseguridad OR05
Establecimiento de acuerdos de confidencialidad y no revelación que reflejen las necesidades de

protección de la organización y que deberán formar parte del contrato con empleados y terceros con OR08
los que se requiera.
Gestionado (N2)
Ampliación del plan de concienciación y formación para cubrir los gaps en ciberseguridad. OR11
Revisión y aplicación de estándares y buenas prácticas en ciberseguridad, participación en foros. OR12

4. Desarrollo
Investigación de antecedentes para todos las posiciones (empleados, proveedores y contratistas) que
OR15
tienen relación con los activos y su riesgo
Estandarizado (N3)
Establecimiento de un proceso formal que incluya acciones disciplinarias por el incumplimiento de
OR16
normas y políticas
Documentar procedimientos de revisión, desarrollo y documentación de acuerdos de confidenciali-
Optimizado (N4) OR18
dad, concienciación y formación, así como del proceso de acciones disciplinarias
A partir de los resultados de auditoría se desarrolla un plan de acción que identifica las acciones a
Inicial (N1) OR19
realizar tanto para la solución de incidencias como para la mejora de aspectos existentes.
Evaluación del programa de concienciación y formación, así como del proceso de acciones discipli-
5. Auditoría Estandarizado (N3) OR17
narias
Inicial (N1) Definición de objetivos de recuperación para activos imprescindibles para el negocio CO01
1. Definición Gestionado (N2) Establecer planificación para realizar pruebas del plan de continuidad CO07
Definición de un proceso formal que incorpore actividades relativas al plan de continuidad en los
Estandarizado (N3) CO10
procedimientos de operación
2. Comunicación Gestionado (N2) Establecimiento de los canales de comunicación teniendo en cuenta los roles y responsabilidades CO06
Identificación y asignación del impacto de la interrupción de cada activo y las consecuencias asocia-
8. CONTINUIDAD
Inicial (N1) CO02

das a la perdida de cada uno de ellos
Constitución de un equipo de continuidad de negocio para garantizar que los procesos de negocio
3. Asignación CO04
puedan recuperarse de acuerdo a los objetivos fijados
Gestionado (N2)
Identificación y asignación de responsabilidades incluyendo a los propietarios de los activos en el
CO05
plan de continuidad
Desarrollo de un plan de continuidad para garantizar que los procesos de negocio puedan recuperar-
CO03
se de acuerdo a los objetivos fijados
Gestionado (N2)
Ejecución de pruebas del plan de continuidad CO08
4. Desarrollo
Estandarizado (N3) Implementación de actividades relativas al plan de continuidad en los procedimientos de operación CO11
Optimizado (N4) Documentar procedimientos de revisión, desarrollo y documentación de gestión de crisis CO12
5. Auditoría Gestionado (N2) Revisión de pruebas del plan de continuidad y actualización del plan CO09

Requisitos SGCI 2018

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Requisitos SGCI 2018

Diunggah oleh

Hak Cipta:

Format Tersedia

CENTRO DE CIBERSEGURIDAD INDUSTRIAL

REQUISITOS DEL SGCI

1.1.2 Establecimiento de Consecuencias 26 4.Contexto 4.3.2.6.5, 4.4.3.5 E02, E01

1.1.3 Comprender la visión, misión, 26 4.Contexto 4.3.2.2.2 E03

metas, valores y estrategias de la

1.1.8 Identificación y análisis de los 27 4.Contexto 4.3.2.5.1, 4.3.2.5.3 E02

1.1.9 Determinación de los criterios de 27 6. 4.3.4.3.3, 4.2.3.6 R02, R14

1.2.2 Planificación de recursos para la 30 6. 6.1.1 4.3.2.3.2, 4.3.2.3.3, 4.3.4.2.1 R07

Tratamiento del Riesgo activos

3.1.2 Comprobación de antecedentes 61 7.1 7.1.1 4.3.3.2.1, 4.3.3.2.2 OR15

3.1.6 Segregación de tareas 63 6.1.2, 6.1.3, 6,1,4 4.3.3.2.3, 4.3.3.2.7 OR02

2. Formación y 3.2.1 Acciones de concienciación 65 7.2.2 4.3.2.4.1, 4.3.2.4.4 OR04

3.2.2 Acciones formativas 67 7.2.2 4.3.2.3.3, 4.3.2.4.1, 4.3.2.4.2, OR04

Requisitos del SGCI

4.1.2 Identificaciión de propietarios y 73 8.2.1, 9.2.5, 9.2.6 4.3.2.2.2 AC01, AC02

4.2.2 Autenticación 77 9.2.4, 9.2.5, 9.4.3 4.3.3.5.7, 4.3.3.6.X AC01,AC02, AC08,

4.4.3 Plan de direccionamiento 89 13.1.2 AC04, AC07,AC08

4.4.4 Protección de redes inalámbricas 89 13.1.1 4.3.3.4.3 AC04, AC07,AC08

4..5.2 Establecimiento de estrategia y 89 12.5.1 4.3.4.3.1, 4.3.4.3.3 AC04, AC07,AC08,

4..5.4 Establecimiento de medidas 89 12.6.2, 12.2.1, 14.2.6 4.3.4.3.4 O01,O10

5. Ciberseguridad 4.6.1 Establecimiento de responsabilidades 93 16.1.1, 6.1.1 C05, A01, OR07

5.1.3 Establecimiento de responsabilidades 106 17.1.2 4.3.2.5.4 CO06

5.1.4 Definición del comité de expertos 108 17.1.2 4.3.2.5.4 CO04

2. Análisis de 5.2.1 Establecimiento de escenarios de 108 17.1.2 4.2.3.3, 4.2.3.12 CO02

5.2.2 Análisis de impacto 111 17.1.1 4.2.3.6, 4.3.2.5.2 A09,A10,CO02

5.3.3 Definición del plan de formación y 116 16.1.6 4.3.4.5.4 CO08

Requisitos del SGCI

6.1.3 Establecimiento de requisitos de 125 7.4 Comunicación 4.4.2.5 E13

6.3.2 Establecimiento de indicadores 126 18.2.3 4.4.2.4, 4.4.3.3 O21

6.4.3 Existencia de documentación de 127 18.2.3 4.4.2.5 OR03, CO05

6.4.4 Comunicación de los resultados 127 18.2.3 AC03,

6.5.2 Establecimiento de acciones correctivas 127 18.2.3 4.4.2.6, 4.4.3.3, 4.4.3.3

6.5.3 Gestión de la revisión por la Dirección 128 18.2.2 4.3.2.6.8

6. Comunicación 6.6.1 Definición de contenido a comunicar 129 18.2.3 4.4.3.3

6.6.2 Planificación de la comunicación 129 18.2.3

6.6.3 Establecimiento de procesos de 129 18.2.3 4.4.3.3, 4.3.3.2.5, 4.3.2.6.6 R08

7. Integración con otros 6.7.1 Definición de integración de 129

6.7.2 Integración de politicas, documentación 129 4.3.2.6.1

Requisitos del SGCI

Dominio: 5. POLÍTICAS DE SEGURIDAD

5.1.1 Conjunto de políticas para la seguridad de la información.

5.1.2 Revisión de las políticas para la seguridad de la información.

Dominio: 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

6.1.1 Asignación de responsabilidades para la segur. de la información.

6.1.2 Segregación de tareas.

6.1.3 Contacto con las autoridades.

6.1.4 Contacto con grupos de interés especial.

6.1.5 Seguridad de la información en la gestión de proyectos.

Sección: 6.2 Organización interna.

Dominio: 7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

7.1.2 Términos y condiciones de contratación.

Sección: 7.2 Duración de la contratación

7.2.2 Concienciación, educación y capacitación en segur. de la informac

7.2.3 Proceso disciplinario

Sección: 7.3 Cese o cambio de puesto de trabajo.

Dominio: 8. GESTIÓN DE ACTIVOS

8.1.2 Propiedad de los activos.

8.1.3 Uso aceptable de los activos

8.1.4 Devolución de activos.

Sección: 8.2 Clasificación de la información

8.2.2 Etiquetado y manipulado de la información.

8.2.3 Manipulación de activos.

Sección: 8.3 Manejo de los soportes de almacenamiento

8.3.1 Gestión de soportes extraíbles.