D1.1.1 Detallar Beneficios del SGCI para el Negocio |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
D1.1.2 Establecimiento de Consecuencias potenciales y riesgo asumible |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.3 Comprender la visión, misión, metas, valores y estrategias de la organización |
Evaluación de ciberseguridad |
|
|
D1.1.4 Análisis del entorno externo |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.5 Análisis del entorno interno |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.6 Identificar procesos y recursos clave |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.7 Identificación y análisis de las partes interesadas |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.8 Identificación y análisis de los requisitos del negocio |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.1.9 Determinación de los criterios de evaluación y de aceptación del riesgo |
Gestión de Riesgos y Vulnerabilidades |
|
|
D1.2.1 Definición del alcance |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades |
|
|
D1.2.2 Planificación de recursos para la implantación del SGCI |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
D1.2.3 Identificación de recursos internos y externos |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
D1.3.1 Establecimiento de responsabilidades de la Dirección |
Cumplimiento, Gestión de Riesgos y Vulnerabilidades |
|
|
D1.3.2 Establecimiento de responsabilidades del Comité del SGCI |
Cumplimiento, Plan de comunicaciones |
|
|
D1.3.3 Establecimiento de responsabilidades del Director del Programa SGCI |
Cumplimiento |
|
|
D1.3.4 Establecimiento de responsabilidades de los usuarios |
Concienciación y Capacitación, Cumplimiento, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
D1.4.1 Establecimiento de Política de Ciberseguridad Industrial |
Cumplimiento, Gestión de Riesgos y Vulnerabilidades |
|
|
D2.1.1 Establecimiento del Enfoque de análisis de riesgos y metodología |
Gestión de Riesgos y Vulnerabilidades |
|
|
D2.2.1 Identificación y caracterización de activos |
Inventariado de hardware y software |
|
|
D2.2.2 Identificación de amenazas, controles y vulnerabilidades |
Gestión de Riesgos y Vulnerabilidades |
|
|
D2.2.3 Cálculo y tratamiento del riesgo |
Gestión de Riesgos y Vulnerabilidades |
|
|
D3.1.1 Establecimiento de la normativa de seguridad ligada a recursos humanos |
Concienciación y Capacitación, Cumplimiento, Plan de comunicaciones, Política de control de acceso, Política de control de uso |
Ascent Look Out |
Cobertura parcial |
D3.1.2 Comprobación de antecedentes |
Cumplimiento |
|
|
D3.1.3Descripción de los puestos de trabajo |
Cumplimiento |
|
|
D3.1.4 Establecimiento de responsabilidades de seguridad |
Cumplimiento, Plan de comunicaciones |
|
|
D3.1.5 Revisión periódica de permisos |
Gestión de cuentas |
Ascent Look Out |
Cobertura completa |
D3.1.6 Segregación de tareas |
Acceso basado en roles |
|
|
D3.1.7 Supervisión del uso de los sistemas |
Control de uso de equipos |
|
|
D3.1.8 Establecimiento del Uso aceptable de recursos |
Control de uso de software |
|
|
D3.2.1 Acciones de concienciación |
Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
D3.2.2 Acciones formativas |
Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
D4.1.1 Directrices de clasificación.Categorías de impacto y sensibilidad |
Política de control de uso, Protección de datos |
Ascent Look Out |
Cobertura parcial |
D4.1.2 Identificaciión de propietarios y custodios |
Cumplimiento, Plan de comunicaciones |
|
|
D4.2.1 Administración de cuentas |
Gestión de cuentas, Política de control de acceso, Política de control de uso |
Ascent Look Out |
Cobertura parcial |
D4.2.2 Autenticación |
Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta, Control de acceso de usuarios multifactor |
|
|
D4.2.3 Autorización |
Acceso basado en roles, Política de control de uso |
Ascent Look Out |
Cobertura parcial |
D4.3.1 Organización de la Seguridad Física |
Seguridad física en la instalación de dispositivos, Sistema de redundancia |
|
|
D4.3.2 Protección de áreas físicas y control de acceso |
Claves de seguridad hardware, Control de acceso de usuarios básico, Control de uso de equipos, Seguridad física en la instalación de dispositivos, Sistema de redundancia, Sistema de respaldo |
|
|
D4.3.3 Detección de intrusiones físicas |
Política de registro de actividad, Registro de seguridad |
Ascent Look Out |
Cobertura parcial |
Servicio de pruebas |
Cobertura parcial |
prueba1apps |
Cobertura parcial |
D4.4.1 Protección de las redes de comunicaciones en contexto industrial |
Análisis de correlación de eventos de red, Control de comunicaciones de red, Control de integridad de la red, Detectar ataques a redes industriales (basado en firmas) , Integración SIEM, Visualizacion de comunicaciones de red |
Ascent Look Out |
Cobertura parcial |
D4.4.2 Segmentación de redes |
Diseño de red segura, Separación de entornos |
prueba1apps |
Cobertura parcial |
D4.4.3 Plan de direccionamiento |
Análisis de correlación de eventos de red, Detectar ataques a redes industriales (basado en firmas) , Diseño de red segura, Visualizacion de comunicaciones de red |
Ascent Look Out |
Cobertura parcial |
D4.4.4 Protección de redes inalámbricas |
Control WI-FI, Control de comunicaciones de red, Control de integridad de la red, Detectar ataques a redes industriales (basado en firmas) , Visualizacion de comunicaciones de red |
Ascent Look Out |
Cobertura parcial |
D4.5.1 Identificar aplicaciones y proveedores de software |
Actualizaciones confiables, Certificación de los principales proveedores de ICS, Control de uso de software, Política de control de uso |
Ascent Look Out |
Cobertura parcial |
D4.5.2 Establecimiento de estrategia y plan de actualización para proteger software |
Actualizaciones confiables, Antimalware avanzado, Control de uso de software, Cortafuegos basado en host |
|
|
D4.5.3 Establecimiento de Pruebas de seguridad y análisis de código |
Soporte de pruebas de actualizaciones |
|
|
D4.5.4 Establecimiento de medidas compensatorias del solftware no actualizables |
Lista blanca en modo de detección, Lista blanca en modo de prevención |
|
|
D4.5.5 Establecimiento de Gestión de cambios del software |
Actualizaciones confiables, Control de configuración, Control de uso de software, Soporte de pruebas de actualizaciones |
|
|
D4.5.6 Establecimiento de SLAs sobre la evolucióin del software |
Certificación de los principales proveedores de ICS, Control de uso de equipos, Control de uso de software |
|
|
D4.6.1 Establecimiento de responsabilidades de terceros |
Certificación de los principales proveedores de ICS, Cumplimiento |
|
|
D4.6.2 Definición de requisitos de ciberseguridad en las tareas de externalización |
Certificación de los principales proveedores de ICS, Cumplimiento |
|
|
D5.1.1 Establecimiento de alcance y política de resiliencia y continuidad |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
D5.1.2 Definición de objetivos y métricas de resiliencia |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades |
|
|
D5.1.3 Establecimiento de responsabilidades en resiliencia |
Cumplimiento |
|
|
D5.1.4 Definición del comité de expertos en resiliencia |
Cumplimiento |
|
|
D5.2.1 Establecimiento de escenarios de riesgo |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades |
|
|
D5.2.2 Análisis de impacto |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades |
|
|
D5.2.3 Definición de la estrategia de resiliencia y continuidad |
Concienciación y Capacitación, Plan de comunicaciones, Política de respaldo |
Servicio de pruebas |
Cobertura parcial |
D5.3.1 Proceso de respuesta ante incidentes |
Soporte de respuesta a incidentes |
|
|
D5.3.2 Definición del plan de comunicación |
Plan de comunicaciones |
|
|
D5.3.3 Definición del plan de formación y concienciación |
Concienciación y Capacitación |
|
|
D5.3.4 Definición del plan de recuperación |
Política de respaldo, Sistema de respaldo |
Servicio de pruebas |
Cobertura parcial |
D5.3.5 Definición del plan de continuidad |
Sistema de redundancia, Sistema de respaldo |
|
|
D5.3.6 Definición del plan de pruebas |
Soporte de respuesta a incidentes |
|
|
D6.1.1 Establecimiento de requisitos de competencias para recursos humanos |
Cumplimiento |
|
|
D6.1.2 Establecimiento de requisitos documentales |
Cumplimiento |
|
|
D6.1.3 Establecimiento de requisitos de comunicación |
Plan de comunicaciones |
|
|
D6.2.1 Existencia de documentación del sistema adecuada y controlada |
Cumplimiento, Protección de datos |
|
|
D6.2.2 Existencia de mecanismos de protección de la documentación del sistema |
Protección de datos |
|
|
D6.3.1 Evaluación del desempeño en la gestión de riesgos |
Gestión de Riesgos y Vulnerabilidades |
|
|
D6.3.2 Establecimiento de indicadores |
Cumplimiento |
|
|
D6.3.3 Revisión de los registros de entradas y salidas |
Política de registro de actividad |
Ascent Look Out |
Cobertura completa |
D6.4.1 Establecimiento del Alcance de la auditoría |
Política de registro de actividad |
Ascent Look Out |
Cobertura completa |
D6.4.2 Planificación e implementación de auditoría |
Política de registro de actividad |
Ascent Look Out |
Cobertura completa |
D6.4.3 Existencia de documentación de responsabilidades y requisitos |
Cumplimiento |
|
|
D6.4.4 Comunicación de los resultados |
Plan de comunicaciones |
|
|
D6.5.1 Análisis de eventos monitorizados |
Análisis de correlación de eventos de red, DPI industrial para detección de anomalías, Integración SIEM, Registro de seguridad |
prueba1apps |
Cobertura parcial |
D6.5.2 Establecimiento de acciones correctivas o preventivas |
Gestión de Riesgos y Vulnerabilidades |
|
|
D6.5.3 Gestión de la revisión por la Dirección |
Gestión de Riesgos y Vulnerabilidades |
|
|
D6.6.1 Definición de contenido a comunicar |
Plan de comunicaciones |
|
|
D6.6.2 Planificación de la comunicación |
Plan de comunicaciones |
|
|
D6.6.3 Establecimiento de procesos de comunicación |
Plan de comunicaciones |
|
|
D6.7.1 Definición de integración de responsabilidades y funciones |
Cumplimiento |
|
|
D6.7.2 Integración de politicas, documentación y actividades |
Política de registro de actividad |
Ascent Look Out |
Cobertura completa |