Capacidades del Proveedor CCI
Nombre |
Descripción |
Cumplimiento |
Gestión de los requisitos normativos y legales de manera centralizada. Identificación de las responsabilidades y los responsables de seguimiento y cumplimiento de las normas y leyes vigentes aplicables. Definición de funciones y requisitos de competencias y documentales. Definición de comités necesarios. Identificación y establecimiento de propietarios y custodios. Comprogación de antecedentes y definición del puesto de trabajo exigido. |
Concienciación y Capacitación |
Plan de concienciación de empleados, de directivos, de proveedores y de clientes. Plan de capacitación del personal técnico. Plan de formación del personal clave. Pruebas o evaluaciones de nivel de madurez sobre la concienciación y formación de los empleados. Indicadores de evolución y de mejora continua del conocimiento y formación (interna y de la cadena de suministro). |
Diseño de red segura |
Proporcionar especificaciones de diseño seguro de red, segmentación, direccionamiento y protocolos de comunicación |
Evaluación de ciberseguridad |
Proporcionar evaluación de ciberseguridad industrial minimamente invasiva. Primer paso en el establecimiento de requisitos de seguridad dentro del contexto de las necesidades operativas, esto también puede proporcionar información significativa sobre los niveles de seguridad, incluso un menor despliegue de tecnologías de protección |
Política de control de acceso |
Política de usuarios y grupo que definirán accesos para cada tipo de información establecido y asignación de permisos por perfiles y grupos |
Gestión de Riesgos y Vulnerabilidades |
Gestión del riesgo tecnológico y operacional, análisis de impacto de los procesos o de la operación del negocio. Análisis y gestión de vulnerabilidades, seguimiento histórico de Vulnerabilidades. Identificación y planificación de recursos, procesos y responsabilidades necesarias. Definición de enfoque y metodología de riesgos. Gestión de la revisión por la dirección. |
Visualizacion de comunicaciones de red |
Sistema de monitorización de comunicaciones de dispositivos de red , identificando protocolos industriales utilizados, uso ancho de banda y puntos finales en mapa de red con capacidad de categorizar por niveles en purdue |
Política de control de uso |
Política de control de uso de equipos (portátiles, dispositivos móviles…) con procedimientos de restricciones de conexiones y acceso, así como procedimientos de uso de software y servicios. Gestión de cambio y actualizaciones. Procedimientos para eliminar definitivamente datos de los dispositivos que se den de baja. Procedimientos del uso de cifrado en datos y comunicaciones. Cambio de contraseña de usuario por defecto. |
Política de registro de actividad |
Política que establecerá el tipo de información y eventos a registrar, vigencia para guardar los datos, mecanismos de auditoría y capacidad de almacenamiento para el registro de eventos. Definición de alertas de salud y de seguridad de los dispositivos, y de los umbrales para cada caso según criticidad. Definición de mecanismos de no repudio (timestamp, firma electrónica...) frente a cambios de configuración, permisos o actividad de usuarios |
Política de respaldo |
Política que define el tipo de copias y la periodicidad de las mismas, su etiquetado, así como los soportes en las que se deben realizar y las ubicaciones de los centros de respaldo donde se guardan las copias de seguridad. En está política también se definirá pruebas periódicas de restauración |
Plan de comunicaciones |
Proceso de escalado, proceso de gestión de medios, proceso de comunicación interna, proceso de comunicación con terceros (clientes, socios, proveedores, accionistas, inversores, etc.) |
Soporte de respuesta a incidentes |
Manejo de soporte de estado para eventos durante la respuesta a incidentes. Campos adicionales para completar con información sobre el evento |
Inventariado de hardware y software |
Obtener datos de los equipos tanto del Hardware como del Software a fin de conformar un inventario dinámico. Gestionar un inventario de hardware y software ya sea automatizado o manual. |