ID.AM-1 Inventario de los dispositivos y sistemas físicos dentro de la organización |
Control de integridad de la red, Inventariado de hardware y software |
|
|
ID.AM-2 Inventario de plataformas y aplicaciones dentro de la organización. |
Inventariado de hardware y software, Verificación de integridad de código software y hardware |
|
|
ID.AM-3 Se establece la comunicación organizacional y los flujos de datos |
Control de comunicaciones de red, DPI industrial para detección de anomalías, Visualizacion de comunicaciones de red |
|
|
ID.AM-4 Catalogar los sistemas de información externos |
Inventariado de hardware y software |
|
|
ID.AM-5 Los recursos (por ejemplo, hardware, dispositivos, datos, tiempo y software) se priorizan según su clasificación, criticidad y valor comercial. |
Gestión de Riesgos y Vulnerabilidades, Política de control de acceso, Política de control de uso |
|
|
ID.AM-6 Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza laboral y las partes interesadas de terceros (por ejemplo, proveedores, clientes, socios). |
Acceso basado en roles, Plan de comunicaciones, Política de control de acceso, Reporte de eventos y comunicación a partes responsables |
|
|
DE.AE-1 Se establece y gestiona una línea de base de operaciones de red y flujos de datos esperados para usuarios y sistemas. |
DPI industrial para detección de anomalías |
|
|
DE.AE-2 Los eventos detectados se analizan para comprender los objetivos y métodos de los ataques. |
Análisis de correlación de eventos de red, Integración SIEM, Política de registro de actividad, Reporte de eventos y comunicación a partes responsables |
|
|
DE.AE-3 Los datos de eventos se agregan y correlacionan desde múltiples fuentes y sensores |
Análisis de correlación de eventos de red, Integración SIEM |
|
|
DE.AE-4 Se determina el impacto de los eventos |
Política de registro de actividad |
|
|
DE.AE-5 Se establecen umbrales de alerta de incidentes |
Política de registro de actividad, Reporte de eventos y comunicación a partes responsables |
|
|
DE.CM-1 La red se monitorea para detectar posibles eventos de ciberseguridad |
Control WI-FI, Control de comunicaciones de red, DPI industrial para detección de anomalías, Deteccion avanzada de anomalias en la capa IP, Detectar ataques a redes industriales (basado en firmas) , Visualizacion de comunicaciones de red |
|
|
DE.CM-2 Se monitoriza el entorno físico para detectar posibles eventos de ciberseguridad |
Política de registro de actividad, Registro de seguridad |
|
|
DE.CM-3 Se monitoriza la actividad del personal para detectar posibles eventos de ciberseguridad |
Gestión de Riesgos y Vulnerabilidades, Inspeccionar registros endpoint, Integración SIEM, Política de registro de actividad, Registro de eventos de redes industriales (análisis forense), Registro de seguridad |
|
|
DE.CM-4 Detección de código malicioso |
Antimalware avanzado, Control de uso de equipos, Soporte de pruebas de actualizaciones |
|
|
DE.CM-5 Detección de código móvil no autorizado |
Antimalware avanzado, Gestión de Riesgos y Vulnerabilidades |
|
|
DE.CM-6 Monitorizar la actividad del proveedor de servicios externos para detectar posibles eventos de ciberseguridad |
Control de comunicaciones de red, Diseño de red segura, Gestión de Riesgos y Vulnerabilidades, Política de registro de actividad |
|
|
DE.CM-7 Monitorización de personal, conexiones, dispositivos y software no autorizados |
Inspeccionar registros endpoint, Integración SIEM, Política de registro de actividad, Registro de eventos de redes industriales (análisis forense), Registro de seguridad |
|
|
DE.CM-8 Realizar análisis de vulnerabilidades |
Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades |
Ciberseguridad en los vehículos conectados |
Cobertura parcial |
Ciberseguridad en dispositivos electrónicos |
Cobertura parcial |
DE.DP-1 Funciones y responsabilidades de detección están bien definidas para garantizar la rendición de cuentas |
Concienciación y Capacitación, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
DE.DP-2 Actividades de detección cumplen con todos los requisitos aplicables |
Cumplimiento, Gestión de Riesgos y Vulnerabilidades |
|
|
DE.DP-3 Pruebas de los procesos de detección |
Gestión de Riesgos y Vulnerabilidades, Soporte de respuesta a incidentes |
|
|
DE.DP-4 Información de detección de eventos se comunica a las partes apropiadas |
Concienciación y Capacitación, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
DE.DP-5 Los procesos de detección se mejoran continuamente |
Concienciación y Capacitación, Gestión de Riesgos y Vulnerabilidades |
|
|
ID.BE-1 Se identifica y comunica el papel de la organización en la cadena de suministro |
Plan de comunicaciones, Reporte de eventos y comunicación a partes responsables, Soporte de respuesta a incidentes |
|
|
ID.BE-2 Se identifica y comunica el lugar de la organización en la infraestructura crítica y su sector industrial. |
Plan de comunicaciones |
|
|
ID.BE-3: Se establecen y comunican las prioridades para la misión, los objetivos y las actividades de la organización. |
Plan de comunicaciones |
|
|
ID.BE-4 Se establecen las dependencias y funciones críticas para la prestación de servicios críticos |
Seguridad física en la instalación de dispositivos, Sistema de redundancia, Soporte de respuesta a incidentes |
|
|
ID.BE-5 Se establecen requisitos de resiliencia para respaldar la prestación de servicios críticos para todos los estados operativos (por ejemplo, bajo coacción / ataque, durante la recuperación, operaciones normales) |
Detectar ataques a redes industriales (basado en firmas) , Reporte de eventos y comunicación a partes responsables, Soporte de respuesta a incidentes |
|
|
ID.GV-1 Se establece la política de seguridad de la información de la organización |
Gestión centralizada de políticas de seguridad, Política de control de acceso, Política de registro de actividad, Política de respaldo |
|
|
ID.GV-2 Las funciones y responsabilidades de seguridad de la información están coordinadas y alineadas con las funciones internas y los socios externos. |
Acceso basado en roles, Cumplimiento, Plan de comunicaciones, Reporte de eventos y comunicación a partes responsables |
|
|
ID.GV-3 Se comprenden y gestionan los requisitos legales y reglamentarios relacionados con la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles. |
Cumplimiento, Plan de comunicaciones |
|
|
ID.GV-4 Los procesos de gobernanza y gestión de riesgos abordan los riesgos de ciberseguridad |
Cumplimiento, Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RA-1 Las vulnerabilidades de los activos se identifican y documentan |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RA-2 La inteligencia sobre amenazas cibernéticas y la información sobre vulnerabilidades se reciben de fuentes y foros de intercambio de información. |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Reporte de eventos y comunicación a partes responsables |
|
|
ID.RA-3 Las amenazas, tanto internas como externas, se identifican y documentan |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RA-4 Se identifican los posibles impactos y probabilidades comerciales |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RA-5 Las amenazas, vulnerabilidades, probabilidades e impactos se utilizan para determinar el riesgo. |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RA-6 Se identifican y priorizan las respuestas al riesgo |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RM-1 Los procesos de gestión de riesgos son establecidos, gestionados y acordados por las partes interesadas de la organización. |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RM-2 La tolerancia al riesgo organizacional está determinada y claramente expresada |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.RM-3 La determinación de la tolerancia al riesgo de la organización se basa en su papel en la infraestructura crítica y el análisis de riesgo específico del sector. |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
ID.SC-1 Los procesos de gestión de riesgos de la cadena de suministro cibernético son identificados, establecidos, evaluados, gestionados y acordados por las partes interesadas de la organización. |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.SC-2 Identificar, priorizar y evaluar proveedores y socios de sistemas, componentes y servicios de información críticos mediante un proceso de evaluación de riesgos de la cadena de suministro cibernético. |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.SC-3 Los proveedores y socios están obligados por contrato a implementar las medidas apropiadas diseñadas para cumplir con los objetivos del programa de Seguridad de la Información o el Plan de Gestión de Riesgos de la Cadena de Suministro Cibernético. |
Gestión de Riesgos y Vulnerabilidades |
|
|
ID.SC-4 Se monitoriza a los proveedores y socios para confirmar que han cumplido con sus obligaciones. Se llevan a cabo auditorías, resúmenes de los resultados de las pruebas u otras evaluaciones equivalentes de proveedores. |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones |
|
|
ID.SC-5 La planificación y las pruebas de respuesta y recuperación se llevan a cabo con proveedores y proveedores críticos |
Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Política de registro de actividad, Política de respaldo, Reporte de eventos y comunicación a partes responsables, Sistema de redundancia, Sistema de respaldo |
|
|
PR.AC-1 Las identidades y credenciales se emiten, administran, revocan y auditan para dispositivos, usuarios y procesos autorizados. |
Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta, Gestión de cuentas, Política de control de acceso |
|
|
PR.AC-2 El acceso físico a los activos se gestiona y protege |
Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta |
|
|
PR.AC-3 Gestión del acceso remoto |
Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta, Control de acceso de usuarios multifactor, Política de control de acceso |
|
|
PR.AC-4 Gestión de permisos y autorizaciones de acceso, incorporando los principios de privilegio mínimo y separación de funciones |
Acceso basado en roles, Control de acceso de usuarios básico, Control de acceso de usuarios multifactor, Gestión de cuentas, Política de control de acceso |
|
|
PR.AC-5 La integridad de la red está protegida, incorporando la segregación de la red cuando corresponda |
Control de comunicaciones de red, Control de integridad de la red, Diseño de red segura, Separación de entornos |
|
|
PR.AC-6 Las identidades se prueban y se vinculan a las credenciales, y se afirman en interacciones cuando sea apropiado |
Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta, Gestión de cuentas, Política de control de acceso |
|
|
PR.AT-1 Todas las usuarias están informadas y capacitadas |
Concienciación y Capacitación |
|
|
PR.AT-2 Los usuarios privilegiados comprenden los roles y responsabilidades |
Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
PR.AT-3 Las partes interesadas de terceros (por ejemplo, proveedores, clientes, socios) comprenden los roles y responsabilidades |
Certificación de los principales proveedores de ICS, Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
PR.AT-4 Los altos ejecutivos comprenden los roles y responsabilidades |
Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
PR.AT-5 El personal de seguridad física y de la información comprende las funciones y responsabilidades |
Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
PR.DS-1 Los datos en reposo están protegidos |
Claves de seguridad hardware, Control de uso de equipos, Política de uso de certificados, Protección de datos |
Ciberseguridad en dispositivos electrónicos |
Cobertura parcial |
PR.DS-2 Los datos en tránsito están protegidos |
Infraestructura PKI, Política de uso de certificados, Protección de datos |
|
|
PR.DS-3 Los activos se gestionan formalmente durante la eliminación, las transferencias y la disposición. |
Control de uso de equipos, Inventariado de hardware y software, Protección de datos, Seguridad física en la instalación de dispositivos |
|
|
PR.DS-4 Capacidad adecuada para garantizar que se mantenga la disponibilidad |
Sistema de redundancia |
|
|
PR.DS-5 Se implementan protecciones contra fugas de datos |
Concienciación y Capacitación, Control de uso de equipos, Cumplimiento, Protección de datos |
|
|
PR.DS-6 Los mecanismos de verificación de integridad se utilizan para verificar la integridad del software, el firmware y la información. |
Control de uso de software, Supervisión de la integridad de los archivos, Verificación de integridad de código software y hardware, Verificar integridad del PLC |
|
|
PR.DS-7 El (los) entorno (s) de desarrollo y prueba están separados del entorno de producción |
Acceso basado en roles, Protección de datos, Separación de entornos |
|
|
PR.DS-8 Los mecanismos de verificación de integridad se utilizan para verificar la integridad del hardware |
Verificación de integridad de código software y hardware, Verificar integridad del PLC |
|
|
PR.IP-1 Se crea y mantiene una configuración básica de tecnología de la información / sistemas de control industrial incorporando principios de seguridad apropiados (por ejemplo, el concepto de funcionalidad mínima) |
Control de configuración, Detección de uso de contraseñas predeterminadas |
|
|
PR.IP-2 Se implementa un ciclo de vida de desarrollo de sistemas para administrar sistemas |
Concienciación y Capacitación, Control de configuración, Gestión centralizada de políticas de seguridad, Gestión de Riesgos y Vulnerabilidades, Separación de entornos |
|
|
PR.IP-3 Se han implementado procesos de control de cambios de configuración |
Control de configuración, Política de registro de actividad |
|
|
PR.IP-4 Se realizan, mantienen y prueban copias de seguridad de la información periódicamente. |
Política de respaldo, Protección de datos, Sistema de respaldo |
|
|
PR.IP-5 Se cumplen las políticas y regulaciones con respecto al entorno operativo físico para los activos de la organización. |
Cumplimiento, Seguridad física en la instalación de dispositivos |
|
|
PR.IP-6 Los datos se destruyen de acuerdo con la política |
Cumplimiento, Protección de datos |
|
|
PR.IP-7 Los procesos de protección se mejoran continuamente |
Gestión centralizada de políticas de seguridad, Gestión de Riesgos y Vulnerabilidades |
|
|
PR.IP-8 La eficacia de las tecnologías de protección se comparte con las partes apropiadas |
Certificación de los principales proveedores de ICS, Concienciación y Capacitación, Plan de comunicaciones |
|
|
PR.IP-9 Planes de respuesta ante incidentes continuidad y planes de recuperación implementados y gestionados |
Certificación de los principales proveedores de ICS, Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso |
|
|
PR.IP-10 Se prueban los planes de respuesta y recuperación |
Concienciación y Capacitación, Plan de comunicaciones, Política de respaldo, Sistema de respaldo |
|
|
PR.IP-11 La ciberseguridad está incluida en las prácticas de recursos humanos (por ejemplo, desaprovisionamiento, selección de personal) |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
PR.IP-12 Se desarrolla e implementa un plan de gestión de vulnerabilidades. |
Gestión de Riesgos y Vulnerabilidades |
|
|
PR.MA-1 El mantenimiento y reparación de los activos de la organización se realiza y registra de manera oportuna, con herramientas aprobadas y controladas. |
Política de control de uso, Política de registro de actividad, Registro de seguridad , Seguridad física en la instalación de dispositivos |
|
|
PR.MA-2 El mantenimiento y reparación de los activos de la organización se realiza y registra de manera oportuna, con herramientas aprobadas y controladas. |
Control del dispositivo, Política de control de uso, Política de registro de actividad, Registro de seguridad |
|
|
PR.PT-1 Los registros de auditoría / registro se determinan, documentan, implementan y revisan de acuerdo con la política. |
Diagnóstico de protección de equipos, Inspeccionar registros endpoint, Integración SIEM, Política de registro de actividad, Registro de eventos de redes industriales (análisis forense), Registro de seguridad , Reporte de eventos y comunicación a partes responsables |
|
|
PR.PT-2 Los medios extraíbles están protegidos y su uso restringido de acuerdo con la política. |
Control del dispositivo, Monitorizar acceso USB, Política de registro de actividad, Reporte de eventos y comunicación a partes responsables |
|
|
PR.PT-3 El principio de funcionalidad mínima se incorpora configurando sistemas para proporcionar solo capacidades esenciales |
Control de configuración, Control de uso de equipos |
|
|
PR.PT-4 Las redes de comunicaciones y control están protegidas |
Control WI-FI, Control de comunicaciones de red, Control de integridad de la red, DPI industrial para detección de anomalías, Deteccion avanzada de anomalias en la capa IP, Detectar ataques a redes industriales (basado en firmas) , Diseño de red segura, Infraestructura PKI, Visualizacion de comunicaciones de red |
|
|
PR.PT-5 Los sistemas operan en estados funcionales predefinidos para lograr disponibilidad (por ejemplo, bajo coacción, bajo ataque, durante la recuperación, operaciones normales). |
Diseño de red segura, Reglas de control de proceso avanzado |
|
|
RS.RP-1 El plan de respuesta se ejecuta durante o después de un evento |
Concienciación y Capacitación, Soporte de respuesta a incidentes |
|
|
RS.CO-1 El personal conoce sus roles y el orden de las operaciones cuando se necesita una respuesta |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
RS.CO-2 Los eventos se notifican de acuerdo con los criterios establecidos |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
RS.CO-3 La información se comparte de acuerdo con los planes de respuesta. |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
RS.CO-4 La coordinación con las partes interesadas se produce de forma coherente con los planes de respuesta. |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
RS.CO-5 El intercambio voluntario de información se produce con las partes interesadas externas para lograr una conciencia más amplia de la situación de la ciberseguridad. |
Concienciación y Capacitación, Plan de comunicaciones |
|
|
RS.AN-1 Se investigan las notificaciones de los sistemas de detección |
Concienciación y Capacitación, Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
RS.AN-2 Se entiende el impacto del incidente |
Concienciación y Capacitación, Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
RS.AN-3 Se realizan análisis forenses |
Registro de eventos de redes industriales (análisis forense), Soporte de respuesta a incidentes |
|
|
RS.AN-4 Los incidentes se clasifican de acuerdo con los planes de respuesta |
Plan de comunicaciones, Soporte de respuesta a incidentes |
|
|
RS.MI-1 Los incidentes están contenidos |
Soporte de respuesta a incidentes |
|
|
RS.MI-2 Se mitigan los incidentes |
Soporte de respuesta a incidentes |
|
|
RS.MI-3 Las vulnerabilidades identificadas recientemente se mitigan o documentan como riesgos aceptados |
Gestión de Riesgos y Vulnerabilidades |
|
|
RS.IM-1 Los planes de respuesta incorporan lecciones aprendidas |
Concienciación y Capacitación, Cumplimiento, Política de respaldo |
|
|
RS.IM-2 Se actualizan las estrategias de respuesta |
Cumplimiento |
|
|
RC.RP-1 El plan de recuperación se ejecuta durante o después de un evento |
Política de respaldo, Sistema de redundancia, Sistema de respaldo |
|
|
RC.IM-1 Los planes de recuperación incorporan lecciones aprendidas |
Concienciación y Capacitación, Cumplimiento, Política de respaldo |
|
|
RC.IM-2 Se actualizan las estrategias de recuperación |
Concienciación y Capacitación, Cumplimiento, Plan de comunicaciones, Política de respaldo |
|
|
RC.CO-1 Se gestionan las relaciones públicas |
Plan de comunicaciones |
|
|
RC.CO-2 Reputación después de que se repara un evento |
Plan de comunicaciones |
|
|
RC.CO-3 Las actividades de recuperación se comunican a las partes interesadas internas y a los equipos ejecutivos y de gestión. |
Plan de comunicaciones |
|
|