Cobertura

Cobertura de requisitos SGCI Proveedor ACCENTURE

Requisitos Capacidades Servicios/Soluciones Cobertura
D1.1.1 Detallar Beneficios del SGCI para el Negocio Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones
D1.1.2 Establecimiento de Consecuencias potenciales y riesgo asumible Gestión de Riesgos y Vulnerabilidades
D1.1.3 Comprender la visión, misión, metas, valores y estrategias de la organización Evaluación de ciberseguridad
D1.1.4 Análisis del entorno externo Gestión de Riesgos y Vulnerabilidades
D1.1.5 Análisis del entorno interno Gestión de Riesgos y Vulnerabilidades
D1.1.6 Identificar procesos y recursos clave Gestión de Riesgos y Vulnerabilidades
D1.1.7 Identificación y análisis de las partes interesadas Gestión de Riesgos y Vulnerabilidades
D1.1.8 Identificación y análisis de los requisitos del negocio Gestión de Riesgos y Vulnerabilidades
D1.1.9 Determinación de los criterios de evaluación y de aceptación del riesgo Gestión de Riesgos y Vulnerabilidades
D1.2.1 Definición del alcance Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades
D1.2.2 Planificación de recursos para la implantación del SGCI Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Soporte de respuesta a incidentes
D1.2.3 Identificación de recursos internos y externos Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones, Soporte de respuesta a incidentes
D1.3.1 Establecimiento de responsabilidades de la Dirección Cumplimiento, Gestión de Riesgos y Vulnerabilidades
D1.3.2 Establecimiento de responsabilidades del Comité del SGCI Cumplimiento, Plan de comunicaciones
D1.3.3 Establecimiento de responsabilidades del Director del Programa SGCI Cumplimiento
D1.3.4 Establecimiento de responsabilidades de los usuarios Concienciación y Capacitación, Cumplimiento, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones
D1.4.1 Establecimiento de Política de Ciberseguridad Industrial Cumplimiento, Gestión de Riesgos y Vulnerabilidades
D2.1.1 Establecimiento del Enfoque de análisis de riesgos y metodología Gestión de Riesgos y Vulnerabilidades
D2.2.1 Identificación y caracterización de activos Inventariado de hardware y software
D2.2.2 Identificación de amenazas, controles y vulnerabilidades Gestión de Riesgos y Vulnerabilidades
D2.2.3 Cálculo y tratamiento del riesgo Gestión de Riesgos y Vulnerabilidades
D3.1.1 Establecimiento de la normativa de seguridad ligada a recursos humanos Concienciación y Capacitación, Cumplimiento, Plan de comunicaciones, Política de control de acceso, Política de control de uso
D3.1.2 Comprobación de antecedentes Cumplimiento
D3.1.3Descripción de los puestos de trabajo Cumplimiento
D3.1.4 Establecimiento de responsabilidades de seguridad Cumplimiento, Plan de comunicaciones
D3.1.5 Revisión periódica de permisos Gestión de cuentas
D3.1.6 Segregación de tareas Acceso basado en roles
D3.1.7 Supervisión del uso de los sistemas Control de uso de equipos
D3.1.8 Establecimiento del Uso aceptable de recursos Control de uso de software
D3.2.1 Acciones de concienciación Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso
D3.2.2 Acciones formativas Concienciación y Capacitación, Plan de comunicaciones, Política de control de acceso
D4.1.1 Directrices de clasificación.Categorías de impacto y sensibilidad Política de control de uso, Protección de datos
D4.1.2 Identificaciión de propietarios y custodios Cumplimiento, Plan de comunicaciones
D4.2.1 Administración de cuentas Gestión de cuentas, Política de control de acceso, Política de control de uso
D4.2.2 Autenticación Control de acceso de usuarios básico, Control de acceso de usuarios con visualización oculta, Control de acceso de usuarios multifactor
D4.2.3 Autorización Acceso basado en roles, Política de control de uso
D4.3.1 Organización de la Seguridad Física Seguridad física en la instalación de dispositivos, Sistema de redundancia
D4.3.2 Protección de áreas físicas y control de acceso Claves de seguridad hardware, Control de acceso de usuarios básico, Control de uso de equipos, Seguridad física en la instalación de dispositivos, Sistema de redundancia, Sistema de respaldo
D4.3.3 Detección de intrusiones físicas Política de registro de actividad, Registro de seguridad
D4.4.1 Protección de las redes de comunicaciones en contexto industrial Análisis de correlación de eventos de red, Control de comunicaciones de red, Control de integridad de la red, Detectar ataques a redes industriales (basado en firmas) , Integración SIEM, Visualizacion de comunicaciones de red
D4.4.2 Segmentación de redes Diseño de red segura, Separación de entornos
D4.4.3 Plan de direccionamiento Análisis de correlación de eventos de red, Detectar ataques a redes industriales (basado en firmas) , Diseño de red segura, Visualizacion de comunicaciones de red
D4.4.4 Protección de redes inalámbricas Control WI-FI, Control de comunicaciones de red, Control de integridad de la red, Detectar ataques a redes industriales (basado en firmas) , Visualizacion de comunicaciones de red
D4.5.1 Identificar aplicaciones y proveedores de software Actualizaciones confiables, Certificación de los principales proveedores de ICS, Control de uso de software, Política de control de uso
D4.5.2 Establecimiento de estrategia y plan de actualización para proteger software Actualizaciones confiables, Antimalware avanzado, Control de uso de software, Cortafuegos basado en host
D4.5.3 Establecimiento de Pruebas de seguridad y análisis de código Soporte de pruebas de actualizaciones
D4.5.4 Establecimiento de medidas compensatorias del solftware no actualizables Lista blanca en modo de detección, Lista blanca en modo de prevención
D4.5.5 Establecimiento de Gestión de cambios del software Actualizaciones confiables, Control de configuración, Control de uso de software, Soporte de pruebas de actualizaciones
D4.5.6 Establecimiento de SLAs sobre la evolucióin del software Certificación de los principales proveedores de ICS, Control de uso de equipos, Control de uso de software
D4.6.1 Establecimiento de responsabilidades de terceros Certificación de los principales proveedores de ICS, Cumplimiento
D4.6.2 Definición de requisitos de ciberseguridad en las tareas de externalización Certificación de los principales proveedores de ICS, Cumplimiento
D5.1.1 Establecimiento de alcance y política de resiliencia y continuidad Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades, Plan de comunicaciones
D5.1.2 Definición de objetivos y métricas de resiliencia Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades
D5.1.3 Establecimiento de responsabilidades en resiliencia Cumplimiento
D5.1.4 Definición del comité de expertos en resiliencia Cumplimiento
D5.2.1 Establecimiento de escenarios de riesgo Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades
D5.2.2 Análisis de impacto Evaluación de ciberseguridad, Gestión de Riesgos y Vulnerabilidades
D5.2.3 Definición de la estrategia de resiliencia y continuidad Concienciación y Capacitación, Plan de comunicaciones, Política de respaldo
D5.3.1 Proceso de respuesta ante incidentes Soporte de respuesta a incidentes
D5.3.2 Definición del plan de comunicación Plan de comunicaciones
D5.3.3 Definición del plan de formación y concienciación Concienciación y Capacitación
D5.3.4 Definición del plan de recuperación Política de respaldo, Sistema de respaldo
D5.3.5 Definición del plan de continuidad Sistema de redundancia, Sistema de respaldo
D5.3.6 Definición del plan de pruebas Soporte de respuesta a incidentes
D6.1.1 Establecimiento de requisitos de competencias para recursos humanos Cumplimiento
D6.1.2 Establecimiento de requisitos documentales Cumplimiento
D6.1.3 Establecimiento de requisitos de comunicación Plan de comunicaciones
D6.2.1 Existencia de documentación del sistema adecuada y controlada Cumplimiento, Protección de datos
D6.2.2 Existencia de mecanismos de protección de la documentación del sistema Protección de datos
D6.3.1 Evaluación del desempeño en la gestión de riesgos Gestión de Riesgos y Vulnerabilidades
D6.3.2 Establecimiento de indicadores Cumplimiento
D6.3.3 Revisión de los registros de entradas y salidas Política de registro de actividad
D6.4.1 Establecimiento del Alcance de la auditoría Política de registro de actividad
D6.4.2 Planificación e implementación de auditoría Política de registro de actividad
D6.4.3 Existencia de documentación de responsabilidades y requisitos Cumplimiento
D6.4.4 Comunicación de los resultados Plan de comunicaciones
D6.5.1 Análisis de eventos monitorizados Análisis de correlación de eventos de red, DPI industrial para detección de anomalías, Integración SIEM, Registro de seguridad
D6.5.2 Establecimiento de acciones correctivas o preventivas Gestión de Riesgos y Vulnerabilidades
D6.5.3 Gestión de la revisión por la Dirección Gestión de Riesgos y Vulnerabilidades
D6.6.1 Definición de contenido a comunicar Plan de comunicaciones
D6.6.2 Planificación de la comunicación Plan de comunicaciones
D6.6.3 Establecimiento de procesos de comunicación Plan de comunicaciones
D6.7.1 Definición de integración de responsabilidades y funciones Cumplimiento
D6.7.2 Integración de politicas, documentación y actividades Política de registro de actividad