www.CCI-es.org
1
Requisitos del
SGCI
Dominio Pg en ISO Objetivos
Sección Código Requisito CONTROLES ISO 27002 CONTROLES IEC62443
SGCI Guía 27001 Madurez CCI
1.Fundamentos del 1.1.1 Detallar Beneficios del SGCI para 25 4.Contexto 4.2.2.1 E03
negocio el Negocio
1.1.4 Análisis del entorno externo 26 4.Contexto 6.1.3, 6.1.4, 11.1.4, 11.2.5, 11.2.6, 4.2.3.10, 4.3.2.6.4, 4.4.3.3, E02
13.2, 14.1.2, 15, 18.1.1, 18.1.2, 4.4.3.7
18.1.5
1.1.5 Análisis del entorno interno 26 4.Contexto 6.1.1, 6.1.2, 6.1.5, 15.1, 15.2, 4.2.3.2, 4.2.3.10, 4.4.3.3, E02
16.1.1, 18.1.4, 18.2.X 4.4.3.7
1.1.6 Identificar procesos y recursos clave 27 4.Contexto 6.1.1, 6.1.4 4.2.3.3, 4.2.3.12, 4.3.2.3.1, E01, A01, R09
4.3.2.3.1
1.1.7 Identificación y análisis de las partes 27 4.Contexto 6.1.3, 6.1.4 4.3.2.3.1 E02
interesadas
2.Alcance del SGCI 1.2.1 Definición del alcance 28 4.Contexto 4.3.2.2.1, 4.3.2.2.2, 4.3.2.6.1 E05
1.2.3 Identificación de recursos internos 30 7.1 Recursos 6.1.1 4.3.2.3.2, 4.3.2.3.3, 4.3.4.2.1, A01
y externos 4.3.4.2.2
3. Organización de la 1.3.1 Establecimiento de responsabilidades 31 5.3 Roles 6.1.1, 16.1.1 4.3.4.5.1, 4.3.2.2.2, 4.3.2.3.1, E07, E09, R05,
Ciberseguridad de la Dirección de la 4.3..4.5.1 R06, R08
organización
1.3.2 Establecimiento de responsabilidades 32 5.3 Roles 6.1.1, 6.1.3, 6.1.4, 8.1, 12.1, 16.1.1 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
del Comité del SGCI de la 4.3.4.5.1 R07
organización
1.3.3 Establecimiento de responsabilidades 32 5.3 Roles 6.1.1, 6.1.3, 6.1.4, 7.2.1, 8.1, 12.1, 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
del Director del Programa SGCI de la 16.1.1 4.3.3.2.5, 4.3.4.5.1 R07
organización
1.3.4 Establecimiento de responsabilidades 34 5.3 Roles 6.1.1, 8.1.2, 8.1, 9.3, 12.1, 16.1.1 4.3.4.5.1, 4.4.3.1, 4.3.2.2.2, E07, E09, R06, R08,
de los usuarios de la 4.3.3.2.1, 4.3.3.2.4, 4.3.3.2.5, R07
organización 4.3.3.2.6, 4.3.4.5.1
4. Política de 1.4.1 Establecimiento de Política de 34 5.2 Política 5.1.1, 5.1.2, 6.2.1, 9.1.1, 10.1.1, 4.3.2.6.1 E06, E08
Ciberseguridad Ciberseguridad Industrial 11.2.9, 13.2.1, 14.2.1, 15.1.1
1.Objetivos y enfoque 2.1.1 Establecimiento del Enfoque de A.R 43 6.1 4.2.3.1, 4.2.3.2 A02,A04,A05,
del A.R y metodología Planificación A08,A10, C02
LA CIBERSEGURIDAD
LOS RIESGOS PARA
D2: GESTIÓN DE
2.Metodología y 2.2.1 Identificación y caracterización de 45 8.2 8.1.1, 8.1.2 4.2.3.4, 4.2.3.5, 4.2.3.6, 4.2.3.7 A01,A03, C02
INDUSTRIAL
2.2.2 Identificación de amenazas, controles 47 6.1 4.2.3.8, 4.2.3.9, 4.2.3.12 R01, R02, R03
y vulnerabilidades Planificación
2.2.3 Cálculo y tratamiento del riesgo 48 8.3 15.1.2, 17.2.1, 12.2.1, 12.3.1 4.2.3.11, 4.2.3.13, 4.2.3.14 A11,A07, R03, R04,
R09, C01
1. Seguridad ligada 3.1.1 Establecimiento de la normativa de 61 7.1 7.2.1, 7.2.3 4.3.2.2.2, 4.3.2.3.2 A08, R07
a los recursos seguridad ligada a recursos humanos
3.1.3 Descripción de los puestos de trabajo 61 7.1 6.2.2, 7.3.1, 8.1.2, 8.1.3, 9.3.1, OR15
11.1.5, 11.2.1, 11.2.3, 11.2.8, 11.2.9
CIBERSEGURIDAD INDUSTRIAL
3.1.4 Establecimiento de responsabilidades 63 6.1.1, 6.1.5, 7.2.1, 16.1.1 4.3.2.3.1, 4.3.2.3.2, 4.3.2.5.4, CO05, CO06
de seguridad 4.3.2.5.5, 4.3.3.2.1, 4.3.3.2.4,
4.3.3.2.5, 4.3.3.2.6
3.1.5 Revisión periódica de permisos 63 9.2.5 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, AC10
4.3.3.5.8
3.1.7 Supervisión del uso de los sistemas 63 9.4.5, 11.1.2, 12.1.4, 12.7.1, 18.2.3 O21
3.1.8 Establecimiento del Uso aceptable 63 6.2.1, 6.2.2, 8.1.3,8.1.4, 8.2.2, 4.3.3.3.5 AC06
de recursos 8.2.3, 8.3.X, 9.3.1, 9.4.2, 9.4.3,
9.4.4, 10.1.1, 11.2.5, 11.2.6, 11.2.7,
11.2.8, 11.2.9, 12.4.1, 12.4.3
custodios
2. Control de acceso 4.2.1 Administración de cuentas 75 9.2.1, 9.4.X, 10.1.2 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.4, AC01, AC02, AC08,
lógico 4.3.3.5.5, 4.3.3.5.8 AC10, AC12, AC13
3. Protección de 4.3.1 Organización de la Seguridad Física 79 9.1.1, 11.1.1, 11.1.5, 11.2.X 4.3.3.3.1 AC01, AC02
Seguridad Física y
del Entorno
4.3.2 Protección de áreas físicas y control 80 11.1.2, 11.1.3, 11.1.6 4.3.3.7.2, 4.3.3.3.2, 4.3.3.3.3, AC01, AC02, AC03,
de acceso 4.3.3.3.4, 4.3.3.3.5, 4.3.3.3.6, AC04, AC08, AC12
4.3.3.3.7, 4.3.3.3.10
4.3.3 Detección de intrusiones físicas 81 11.1.4 4.3.3.3.8, 4.3.3.3.9 AC09
3. Protección de 4.4.1 Protección de las redes de 83 9.1.2, 13.1.1, 13.1.2,12.2.1, 14.1.3 4.3.3.4.3 AC01, AC02, AC03,
redes comunicaciones en contexto AC04, AC08, AC12
industrial
4.4.2 Segmentación de redes 84 13.1.3 4.3.3.4.X AC04, AC07,AC08
4. Protección del 4..5.1 Identificar aplicaciones y proveedores 89 14.1.1, 14.2.1 4.3.4.3.1 AC04, AC07,AC08,
software de software O01,O10
1. Organización 5.1.1 Establecimiento de alcance y política 105 17.1.1 4.3.2.5.1, 4.3.2.5.3 CO01, CO07
Resiliencia y de resiliencia y continuidad
Continuidad
D5: GARANTÍA DE RESILIENCIA Y CONTINUIDAD DE LOS
5.1.2 Definición de objetivos y métricas 105 17.1.3 4.3.2.5.1 E14,E15, CO09, CO01
impacto riesgo
5.2.3 Definición de la estrategia de 111 17.1.1, 12.1.3 4.3.2.5.3 A09, A12, A13, C02,
resiliencia y continuidad C03
3. Procedimientos 5.3.1 Proceso de respuesta ante incidentes 114 16.1, 12.1.3 4.3.4.5.1, 4.3.4.5.6, 4.3.4.5.7, C02, C03
de resiliencia y 4.3.4.5.8, 4.3.4.5.10, 4.3.4.5.11
continuidad
5.3.2 Definición del plan de comunicación 115 16.1.2, 16.1.3 4.3.4.5.2, 4.3.4.5.3, 4.3.4.5.5, CO06
4.3.4.5.9, 4.3.2.5.4
5.3.4 Definición del plan de recuperación 116 16.1.5, 12.3.1 4.3.4.5.6, 4.3.2.5.1 CO03, CO07,
5.3.5 Definición del plan de continuidad 117 17.1.1 4.3.2.5.3, 4.3.2.5.6 CO08, CO11
5.3.6 Definición del plan de pruebas 118 17.1.1 4.3.4.5.11, 4.3.2.5.6 CO08, CO11
6.1.2 Establecimiento de requisitos 125 7.5 Información documentada 4.3.4.4.1, 4.4.2.5, 4.4.3.6 E12
documentales
2. Definición 6.2.1 Existencia de documentación del sistema 125 18.1.3, 12.1.1 4.3.4.4.1, 4.3.4.4.5, 4.4.2.5 E12
Documental adecuada y controlada
D6: GESTIÓN, REVISIÓN, MEJORA Y SOSTENIBILIDAD DEL SGCI
6.2.2 Existencia de mecanismos de protección 125 18.1.3, 12.4.2, 12.4.4 4.3.4.4.1, 4.3.4.4.2, 4.3.4.4.3, R10, R11, R12, R14,
de la documentación del sistema 4.3.4.4.4, 4.3.4.4.6 R15, C03, C04
3. Evaluación y 6.3.1 Evaluación del desempeño en la gestión 126 18.2.1, 18.2.2, 18.2.3 4.4.2.5, 4.4.3.2, 4.4.3.5, R10, R11, R12,
Seguimiento de riesgos 4.4.3.6, 4.4.3.7, 4.4.3.8 R14, R15
6.3.3 Revisión de los registros de entradas 126 18.2.1, 18.2.2 4.4.2.5, 4.3.2.6.7, 4.3.4.4.7 R10
y salidas
4. Auditoría interna 6.4.1 Establecimiento del Alcance de la 126 18.2.1, 18.2.3 4.4.3.5 O10, R13, O18
auditoría
6.4.2 Planificación e implementación de 127 18.2.3 4.4.2.1, 4.4.2.1, 4.4.3.5 O10, R13, O18
auditoría
5. Supervisión y Mejora 6.5.1 Análisis de eventos monitorizados 127 18.2.2 4.4.3.2, 4.4.3.5, 4.4.3.8 A09
6.2.2 Teletrabajo
14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
Área: ORGANIZACIÓN
¿La organización ha desarrollado una lógica de negocio base para conocer el esfuerzo en gestionar la
4.2.2.1 Lógica de negocio Nivel 1 - Requisito básico
seguridad de IACS?
4.2.3.1 ¿La organización ha seleccionado una metodología de A.R? Nivel 2 - Requisito gestionado
¿La organización ha identificado a los participantes en el A.R y formado antes de analizar los riesgos a los
4.2.3.2 Nivel 2 - Requisito gestionado
participantes?
4.2.3.3 ¿Se ha realizado una evaluación de riesgos de alto nivel para conocer consecuencias HSE…etc? Nivel 2 - Requisito gestionado
¿Se ha identificado el alcance del A.R?¿Cuales serán los sistemas de automatización, agrupación,
4.2.3.4 Nivel 2 - Requisito gestionado
caracterización de los riesgos?
4.2.3.5 ¿Se ha elaborado una arquitectura simple de la red? Nivel 1 - Requisito básico
ANÁLISIS DE RIESGOS
4.2.3.6 ¿Se dispone de tablas con criterios objetivos para la valoración del impacto? Nivel 2 - Requisito gestionado
4.2.3.7 ¿Se ha realizado un análisis de vulnerabilidades detallado de los activos IACS? Nivel 1 - Requisito básico
Identificar y clasificar activos
4.2.3.8 ¿La organización dispone de una metodología para priorizar la reducción de vulnerabilidades? Nivel 1 - Requisito básico
4.2.3.9 ¿La organización ha realizado una evaluación de vulnerabilidades? Nivel 1 - Requisito básico
4.2.3.14 ¿Se mantiene registro de la evaluación de vulnerabilidades para cada activo? Nivel 1 - Requisito básico
POLÍTICAS Y
4.3.2.2.1 ¿Existe un alcance formal del programa de gestión de ciberseguridad? Nivel 1 - Requisito básico
PROCEDI-
MIENTOS
Alcance
4.3.2.2.2 ¿Se describen en el alcance los objetivos estratégicos, los propietarios y responsables de los activos? Nivel 1 - Requisito básico
4.3.2.3.1 ¿El programa de gestión de ciberseguridad está apoyado realmente por la dirección de la organización? Nivel 2 - Requisito gestionado
RESPONSABILI-
ESTRUCTURA Y
DADES
¿Se ha identificado a las partes interesadas en proteger los IACS y la estructura para soportar el riesgo de
4.3.2.3.2 Roles y soporte Nivel 2 - Requisito gestionado
ciberseguridad de los IACs?
¿El equipo de interesados (comité) reúne las habilidades y capacidades suficientes para dirigir la seguridad
4.3.2.3.3 Nivel 2 - Requisito gestionado
de los IACS?
4.3.2.4.1 ¿Se ha diseñado e implementado un programa de concienciación y formación en ciberseguridad? Nivel 2 - Requisito gestionado
FORMACIÓN Y CAPACITACIÓN
4.3.2.4.4 ¿Se ha validado la efectividad de sesiones de concienciación y formación en ciberseguridad IACS? Nivel 2 - Requisito gestionado
4.3.2.4.5 Validación ¿Se revisa y actualiza el programa de formación para contemplar nuevas amenazas y vulnerabilidades…? Nivel 2 - Requisito gestionado
4.3.2.4.6 ¿Se mantiene un registro de las personas capacitadas? Nivel 2 - Requisito gestionado
4.3.2.5.1 ¿Se han especificado objetivos de recuperación para los sistemas imprescindibles para el negocio? Nivel 1 - Requisito básico
4.3.2.5.5 ¿Se han establecido los canales de comunicacion teniendo en cuenta los roles y responsabilidades? Nivel 1 - Requisito básico
Comprobación
4.3.2.5.6 ¿Se ha establecido un calendario de pruebas del plan de continuidad? Nivel 1 - Requisito básico
¿Existen políticas y procedimientos aprobados por la dirección relacionados con el alcance definido para
4.3.2.6.1 Nivel 1 - Requisito básico
proteger los IACS?
POLÍTICAS Y PROCEDIMIENTOS
4.3.2.6.3 ¿Las políticas y procedimientos son coherentes con otros sistemas de gestión de riesgos (HSE, financieros)? Nivel 1 - Requisito básico
¿Las políticas y procedimientos utilizados cumplen con la legislación aplicable al funcionamiento de los
4.3.2.6.4 Nivel 2 - Requisito gestionado
IACS?
(CONT.)
Gestión de la ciberseguridad
4.3.2.6.5 IACS ¿Se ha definido y documentado la tolerancia al riesgo de los IACS? Nivel 2 - Requisito gestionado
4.3.2.6.6 ¿Las políticas y procedimientos han sido comunicados al personal apropiado? Nivel 1 - Requisito básico
4.3.2.6.7 ¿Se ha revisado y validado regularmente las políticas y procedimientos? Nivel 2 - Requisito gestionado
4.3.2.6.8 ¿La dirección apoya las políticas y participa en comites de seguridad? Nivel 2 - Requisito gestionado
Área: CONTRAMEDIDAS
¿Existe una política de seguridad para el personal (empleados, futuros empleados, contratistas terceros)
4.3.3.2.1 Nivel 1 - Requisito básico
clara donde se establecen las responsabilidades ?
¿El personal con acceso físico o lógico a los IACS y puestos sensibles, incluidas las nuevas contrataciones
4.3.3.2.2 Nivel 2 - Requisito gestionado
se someten a validaciones de identidad y chequeos?
Responsabilidades laborales
4.3.3.2.3 ¿Se comprueba la existencia de conflicto de intereses de los empleados en la realización de sus funciones? Nivel 2 - Requisito gestionado
PERSONAL
¿Se han establecido las responsabilidades del personal desde su reclutamiento hasta la extinción del
4.3.3.2.4 Nivel 1 - Requisito básico
contrato?
¿Se han documentado claramente los requisitos y responsabilidades de seguridad del personal y se les
4.3.3.2.5 Nivel 1 - Requisito básico
comunica regularmente?
¿Los terminos y condiciones de los contratos de empleados y terceros indican claramente sus
4.3.3.2.6 Revisión Nivel 1 - Requisito básico
responsabilidades en ciberseguridad, extendiendose un tiempo adecuado despues de cesar en el empleo?
¿Existe una segregación de funciones que garantice que ningún individuo tiene control total para cambiar la
4.3.3.2.7 Nivel 1 - Requisito básico
operación funcional del IACS?
4.3.3.3.1 ¿Las políticas y procedimientos de seguridad cubren la parte física y cibernética? Nivel 2 - Requisito gestionado
4.3.3.3.2 Perimetro ¿Existen barreras para proteger el acceso no autorizado a los activos en los perimetros existentes? Nivel 2 - Requisito gestionado
4.3.3.3.3 ¿Existen controles apropiados en cada una de las barreras que protegen el perímetro? Nivel 2 - Requisito gestionado
¿Los activos estarán protegidos contra el impacto de riesgos para el medio ambiente, daños frente a
SEGURIDAD FÍSICA Y AMBIENTAL
4.3.3.3.9 ¿Se establecen procedimientos de gestión de cambios en los activos y se audita su cumplimiento? Nivel 2 - Requisito gestionado
¿Se establecen procedimientos para asegurar la protección de los componentes críticos durante la
4.3.3.3.10 interrupción de las operaciones, por ejemplo, debido a un incendio, o la entrada de agua o cualquier otro Nivel 2 - Requisito gestionado
tipo de desastre?
¿Existe una estrategia de contramedida de segmentación de la red con zonas de seguridad para los
SEGMENTACIÓN
¿Los privilegios de acceso implementados para cuentas de acceso se establecen de acuerdo con la política
CONTROL DE ACCESO: GESTIÓN DE CUENTAS
Alineación ¿Los controles de las cuentas de acceso se establecen teniendo en cuenta las amenazas, riesgos y
4.3.3.5.2 Nivel 2 - Requisito gestionado
vulnerabilidades, incluyendo riesgos de HSE y requisito para la rendición de cuentas?
4.3.3.5.3 ¿Los cambios en las cuentas de acceso se establecen con la autorización del responsable? Nivel 2 - Requisito gestionado
¿Se mantiene un registro de todas las cuentas de acceso, incluidos los detalles de la persona (s) y los
4.3.3.5.4 Nivel 2 - Requisito gestionado
dispositivos autorizados para utilizar l a cuenta, sus permisos, y el gerente de autorización?
¿Se suspenden o eliminan las cuentas de acceso en el momento en que ya no son necesarios (por ejemplo,
4.3.3.5.5 Nivel 2 - Requisito gestionado
cambio de trabajo o rol)?
Auditoría ¿Se revisan todas las cuentas de acceso establecidas regularmente para asegurarse de que se tiene sólo el
4.3.3.5.6 Nivel 2 - Requisito gestionado
mínimo de permisos requerido?
4.3.3.5.7 ¿Las contraseñas por defecto para las cuentas se cambian antes que los IACS se pongan en servicio? Nivel 2 - Requisito gestionado
4.3.3.5.8 ¿Se revisa periodicamente el cumplimiento de la política de acceso? Nivel 2 - Requisito gestionado
4.3.3.6.1 ¿Se dispone de una estrategia de autenticación o enfoque que define el método(s) de autenticación a usar? Nivel 2 - Requisito gestionado
¿Los usuarios son autenticados antes de utilizar las aplicaciones, o en los casos que no es posible, existen
4.3.3.6.2 Nivel 2 - Requisito gestionado
CONTROL DE ACCESO: AUTENTICACIÓN
4.3.3.6.4 ¿Existen archivos de log de acceso y se revisan periodicamente? Nivel 2 - Requisito gestionado
¿La organización utiliza un esquema de autenticación con un nivel adecuado para identificar positivamente
4.3.3.6.5 Nivel 2 - Requisito gestionado
a un usuario remoto?
¿Se dispone de direccionamiento específico para la sesión remota por usuario y / o conexiones remotas
4.3.3.6.6 (por ejemplo, conexiones-tarea a tarea) y se ha definido un sistema de respuesta a intentos de acceso no Nivel 2 - Requisito gestionado
autorizados a los sistema de control?
Acceso remoto ¿Después de un número de intentos de conexión fallidos por un usuario remoto, el sistema deshabilita el
4.3.3.6.7 Nivel 2 - Requisito gestionado
acceso a la cuenta durante una cierto período de tiempo?
¿Después de un período de inactividad definido, los usuario remotos deben estar obligados a volver a
4.3.3.6.8 Nivel 2 - Requisito gestionado
autenticarse antes de que él o ella pueda volver a acceder al sistema?
4.3.3.6.9 ¿Los sistemas emplean esquemas de autenticación adecuada entre aplicaciones y dispositivos? Nivel 2 - Requisito gestionado
¿Están definidas y documentadas en una política de autorización las reglas que definen los privilegios de
CONTROL DE ACCESO:
¿Se establecen permisos para acceder a los dispositivos de la IACS lógicos (reglas que otorgan o niegan el
4.3.3.7.2 acceso a los usuarios en función de sus roles), físicos (cerraduras, cámaras y otros controles que restringen Nivel 2 - Requisito gestionado
Roles el acceso a una consola activa ordenador), o ambos?
4.3.3.7.3 ¿Se utilizan multiples métodos de autorización en el acceso a los IACS que controlan entornos críticos? Nivel 2 - Requisito gestionado
Área: IMPLEMENTACIÓN
¿La organización dispone de un marco de gestión de riesgos que contempla la selección e implementación
4.3.4.2.1 Nivel 2 - Requisito gestionado
GESTIÓN
RIESGO
Gestión
¿Se ha definido y aplicado un conjunto de medidas físicas y de ciberseguridad para hacer frente a los
4.3.4.2.2 Nivel 2 - Requisito gestionado
riesgos de forma integral?
¿Las funciones y capacidades de seguridad de cada nuevo componente IACS se definen, se solicitan en la contratación
4.3.4.3.1 Nivel 2 - Requisito gestionado
DESARROLLO Y MANTENIMIENTO DEL SISTEMA
y se prueban con el resto de componentes de tal modo que cumplen con el perfil de seguridad deseado?
Diseño y Desarrollo
¿Se ha desarrollado un sistema de gestión de cambios para el entorno IACS siguiendo los principios de
4.3.4.3.2 Nivel 2 - Requisito gestionado
segragación de funciones que impidan conflicto de intereses?
¿Se utilizan criterios claramente definidos por profesionales con conocimientos de la operación industrial
4.3.4.3.3 Nivel 2 - Requisito gestionado
para establecer los riesgos HSE y de ciberseguridad al realizar cambios?
¿Cuándo se instala un nuevo sistema IACS se cumplen los requisitos establecidos en la politica de
4.3.4.3.4 Nivel 2 - Requisito gestionado
seguridad para la zona donde se instala?
¿Los procedimientos de gestión de cambios con requisitos de ciberseguridad están integrados con la PSM
4.3.4.3.5 Nivel 2 - Requisito gestionado
(Process Safety Management)?
Diseño y Desarrollo
4.3.4.3.6 ¿Las políticas y procedimientos de operación y gestión de cambios se revisan y mantienen actualizados? Nivel 2 - Requisito gestionado
4.3.4.3.7 ¿Existe un procedimiento de gestión de parches que se aplica y revisa? Nivel 2 - Requisito gestionado
4.3.4.3.8 ¿Existe un procedimiento anti malware que se aplica y revisa? Nivel 2 - Requisito gestionado
4.3.4.3.9 ¿Existe un procedimiento de gestión de copias de seguridad que se aplica y revisa? Nivel 2 - Requisito gestionado
4.3.4.4.1 ¿Existe un ciclo de vida del proceso de gestión de documentación e información de los IACS? Nivel 2 - Requisito gestionado
GESTIÓN DE DATOS Y DOCUMENTACIÓN
¿Se ha definido una clasificación de la información (confidencial, restringida y pública) que establece las
4.3.4.4.2 medidas necesarias de control de acceso, compartición, copiado, transmisión y destrucción en función de Nivel 2 - Requisito gestionado
su clasificación?
¿Los activos lógicos (diagrama de red, programa de operación,..) del alcance definido se clasifican para
4.3.4.4.3 establecer las medidas de protección necesaria de acuerdo con sus consecuencias de divulgación o Nivel 2 - Requisito gestionado
modificación?
Documentación ¿Las políticas y procedimientos que contienen información restringida o confidencial disponen de las
4.3.4.4.4 Nivel 2 - Requisito gestionado
medidas de protección necesarias?
¿Existen medidas que permiten retener los datos durante largos periodos de tiempo, según se haya
4.3.4.4.5 Nivel 2 - Requisito gestionado
establecido en la política de retención de información?
¿Se revisa periodicamente el acceso y tratamiento de la información sensible para comprobar la eficacia de
4.3.4.4.6 Nivel 2 - Requisito gestionado
los controles?
¿Se revisa periodicamente el cumplimiento de las políticas y procedimientos establecidos para la gestión
4.3.4.4.7 Nivel 2 - Requisito gestionado
segura de información?
¿La organización dispone de un plan de respuesta ante incidentes donde se identifica al personal
4.3.4.5.1 Nivel 2 - Requisito gestionado
responsable y se definen las acciones designadas a cada persona?
¿El plan de respuesta ante incidentes se ha comunicado a las personas adecuadas dentro de la
4.3.4.5.2 Nivel 2 - Requisito gestionado
organización?
¿La organización dispone de un procedimiento de notificacion de actividades inusuales y eventos que
PLAN DE RESPUESTA A INCIDENTES
4.3.4.5.5 ¿Se reportan los incidentes de ciberseguridad adecuadamente? Nivel 2 - Requisito gestionado
¿Si se identifica un incidente, la organización responde con prontitud, de conformidad con los
4.3.4.5.6 Nivel 2 - Requisito gestionado
procedimientos establecidos?
4.3.4.5.7 Identificar ¿Se dispone de procedimientos para identificar brechas de ciberseguridad? Nivel 2 - Requisito gestionado
4.3.4.5.8 ¿Se documentan los detalles de los incidentes, la respuesta y lecciones aprendidas? Nivel 2 - Requisito gestionado
¿Se comunican los detalles de los incidentes al personal apropiado en la organización (ingenieria de
4.3.4.5.9 Nivel 2 - Requisito gestionado
automatización y control, gestión, TI, HSE, Prevención)?
Documentar y comunicar
4.3.4.5.10 ¿Existe una metodologia para la identificación y corrección de los incidentes? Nivel 2 - Requisito gestionado
4.3.4.5.11 ¿Se emplean los incidentes acontecidos para comprobar el programa de respuesta ante incidentes? Nivel 2 - Requisito gestionado
4.4.2.4 ¿Se han definido indicadores de rendimiento para monitorizar el cumplimiento del CSMS (SGCI)? Nivel 2 - Requisito gestionado
Indicadores y registros
4.4.2.5 ¿Existe un listado de documentos e informes necesarios para establecer un registro de auditoría? Nivel 2 - Requisito gestionado
4.4.2.6 ¿Se identifican las no conformidades y las acciones planificadas correspondientes? Nivel 2 - Requisito gestionado
Capacitación y planficación
4.4.2.7 ¿La labor de auditoría cumple con el nivel de independencia y competencia necesarios? Nivel 2 - Requisito gestionado
¿Se ha definido responsable de coordinación y gestión de cambios. Así como un método para la toma de
4.4.3.1 Nivel 2 - Requisito gestionado
decisiones e implementación de cambios?
4.4.3.2 ¿Se evalua periodicamente el cumplimiento de objetivos del CSMS? Nivel 2 - Requisito gestionado
REVISIÓN, MEJORA Y MANTENIMIENTO
¿Se ha definido una lista de disparadores con los umbrales fijados, para una revisión de elementos
relacionados de los CSMS y estos desencadenantes incluyen como mínimo: ocurrencia de incidentes
4.4.3.3 Nivel 2 - Requisito gestionado
graves de seguridad, legales y
cambios en la regulación, los cambios en el riesgo y se basan en la tolerancia al riesgo?
¿Se identifican y ponen en práctica acciones correctivas y oportunidades de mejora para cumplir con los
4.4.3.4 Definir Nivel 2 - Requisito gestionado
objetivos de seguridad?
¿Se revisa la tolerancia de la organización al riesgo cuando hay cambios importantes en la organización, la
4.4.3.5 Nivel 2 - Requisito gestionado
tecnología o los objetivos del negocio?
¿Los propietarios del sistema de gestión de la seguridad revisan las mejores prácticas en cuanto a
4.4.3.6 Nivel 2 - Requisito gestionado
evaluación de riesgos, mitigación y aplicabilidad?
¿Se incorporan las sugerencias de las partes interesadas y se reportan para gestionar las deficiencias y
4.4.3.8 Nivel 2 - Requisito gestionado
oportunidades de mejora?
Niveles Descripción
Nivel 0 - Requisito inmaduro El requisito no tiene una implementación efectiva de los procesos
Nivel 2 - Requisito gestionado Se gestionan los procesos y los productos de trabajo se establecen, controlan y mantienen
Nivel 4 - Requisito optimizando Se mejoran continuamente los procesos para cumplir los objetivos de negocio
Estandarizado (N3) Establecer indicadores de la consecución de objetivos (Key Goal indicators, KGI) E14
Presentar a los Directivos de negocio los riesgos tecnológicos y su impacto en los objetivos estraté-
Inicial (N1) E01
gicos de la organización, así como las alternativas estratégicas para gestionar los riesgos.
2. Comunicación Gestionado (N2) Hacer visible y activo el compromiso del programa de ciberseguridad por parte de la alta dirección E08
para terceros…
Estandarizado (N3) Hacer campañas de divulgación de la política entre los principales grupos de personas relacionadas E13
4. Desarrollo Gestionado (N2) Desarrollo del plan estratégico de ciberseguridad de la organización E04
5. Auditoría Estandarizado (N3) Revisión de la estrategia de ciberseguridad para ajustar los objetivos E11
2. Comunicación Gestionado (N2) Comunicación del inventario de activos a los propietarios para su validación A04
Establecer reuniones con responsables y propietarios de activos para valoración de activos incluyen-
Gestionado (N2) A02
do sesión de concienciación sobre los riesgos
Gestionado (N2) Establecer prioridades en el tratamiento de los activos según su importancia A05
3. Asignación
Asignar recursos adecuados (personas, tecnología y procedimientos) para la gestión de activos y
Estandarizado (N3) A08
2. ACTIVOS
Estandarizado (N3) Establecimiento de procedimientos de autorización frente a cambios sobre activos A11
Preparación de inventario de activos incluyendo al menos los siguientes atributos ( ubicación, tecno-
logía, versiones, propietario de los activos, responsables de la operación del activo, responsables de
Gestionado (N2) A03
la seguridad del activo, requisitos de seguridad aplicables, dependencias de servicio, acuerdos de
nivel de servicio, y conformidad de los bienes con las normas pertinentes de la industria)
4. Desarrollo
Documentación en inventario de cualquier cambio en activos, por configuración, nueva implementa-
Estandarizado (N3) A07
ción o cambio de propietario
Implantación de sistema de gestión en tiempo real de flujo de autorizaciones de cambios y monitori-
Optimizado (N4) A13
zación de activos tecnológicos
Establecer un registro de cambios en el inventario de activos, definición de frecuencia de revisión
Gestionado (N2) A06
periódica y garantizar su actualización antes de cualquier nueva implementación
Definición y monitorización de los activos a lo largo de su ciclo de vida (diseño, implementación,
5. Auditoría Estandarizado (N3) A09
operación y mantenimiento)
Definición de mecanismos para la comprobación del impacto de ciberseguridad de los activos antes
Estandarizado (N3) A10
de realizar cambios
Estandarizado (N3) Definición de criterios para la revisión del plan de gestión de riesgos de ciberseguridad R10
Optimizado (N4) Definición de los mecanismos para automatizar la gestión del riesgo y su evolución R14
Presentación a la dirección de los resultados de diagnósticos y análisis de riesgos con una propuesta
Inicial (N1) R05
de plan de tratamiento de riesgos (base para el plan estratégico de ciberseguridad)
2. Comunicación
Notificación a los responsables de cada acción y se inicia el proceso de implantación del plan de
Gestionado (N2) R08
acción
Asignación de las responsabilidades sobre cada una de las acciones y se asignan los recursos para
Gestionado (N2) R07
3. RIESGOS
Inicial (N1) Análisis gap respecto a estándares aplicables y elaboración de acciones recomendadas R03
Se revisan periódicamente las actividades, así como las habilidades de los encargados de realizar la
Estandarizado (N3) R12
diferentes funciones del proceso
Optimizado (N4) Se implantan los mecanismos para automatizar la gestión del riesgo y su evolución. R15
La autorización de los propietarios de los activos se basa en la definición de criterios de riesgo AC11
Implantación del proceso de identificación y gestión de acceso, tanto a nivel organizativo (políticas,
Inicial (N1) AC04
normas y responsabilidades), como técnico (configuraciones y tecnologías)
1. Definición Las prácticas de gestión de cambio forman parte del ciclo de vida de los activos (adquisición,
Gestionado (N2) C06
despliegue, operación y retirada)
Optimizado (N4) Normalización del proceso de auditoría de la gestión de configuraciones y cambios C12
2. Comunicación Inicial (N1) Implantación del proceso de notificación de requerimiento de cambios y su planificación C03
Inicial (N1) Implantación del proceso de evaluación y gestión de cambio en activos inventariados C04
4. Desarrollo Gestionado (N2) Implantación de herramientas y procedimientos de gestión de configuración y cambio C08
Estandarizado (N3) Establecimiento de métricas e indicadores (Key Performance Indicators, KPI) alineados con KGI O21
Inicial (N1) Asignación de un punto de contacto responsable de la gestión de los eventos de ciberseguridad O05
3. Asignación
Identificación y asignación de las actividades necesarias para mantener las operaciones mínimas de
Gestionado (N2) O09
operación
Gestionado (N2) Implantación de un plan de respuesta a incidentes que incluya responsabilidades O13
4. Desarrollo
Definición y desarrollo de procedimientos de respuesta a incidentes que cubra el ciclo de vida del
O14
incidente
Análisis y utilización de la información proporcionada por los indicadores KGI y KPI O21
Optimizado (N4)
Normalización del proceso de auditoría de la gestión de incidentes O19
5. Auditoría Estandarizado (N3) Correlación de eventos para el análisis de información de incidentes O15
Inicial (N1) Inclusión del concepto de ciberseguridad en la especificación de nuevas instalaciones y proyectos. OR20
2. Comunicación Inicial (N1) Comunicación de las responsabilidades que han sido definidas claramente. OR03
Evaluación del programa de concienciación y formación, así como del proceso de acciones discipli-
5. Auditoría Estandarizado (N3) OR17
narias
Inicial (N1) Definición de objetivos de recuperación para activos imprescindibles para el negocio CO01
1. Definición Gestionado (N2) Establecer planificación para realizar pruebas del plan de continuidad CO07
Definición de un proceso formal que incorpore actividades relativas al plan de continuidad en los
Estandarizado (N3) CO10
procedimientos de operación
2. Comunicación Gestionado (N2) Establecimiento de los canales de comunicación teniendo en cuenta los roles y responsabilidades CO06
Identificación y asignación del impacto de la interrupción de cada activo y las consecuencias asocia-
8. CONTINUIDAD
Optimizado (N4) Documentar procedimientos de revisión, desarrollo y documentación de gestión de crisis CO12
5. Auditoría Gestionado (N2) Revisión de pruebas del plan de continuidad y actualización del plan CO09