Función Categoría

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 1. Gestión de activos ([Link])

1. IDENTIFICAR (ID) 2. Entorno empresarial ([Link])

1. IDENTIFICAR (ID) 2. Entorno empresarial ([Link])

1. IDENTIFICAR (ID) 2. Entorno empresarial ([Link])

1. IDENTIFICAR (ID) 2. Entorno empresarial ([Link])

1. IDENTIFICAR (ID) 2. Entorno empresarial ([Link])

1. IDENTIFICAR (ID) 3. Gobernanza ([Link])

1. IDENTIFICAR (ID) 3. Gobernanza ([Link])

1. IDENTIFICAR (ID) 3. Gobernanza ([Link])

1. IDENTIFICAR (ID) 3. Gobernanza ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

1. IDENTIFICAR (ID) 4. Evaluación de riesgos ([Link])

5. Estrategia de gestión de riesgos

1. IDENTIFICAR (ID)
([Link])

5. Estrategia de gestión de riesgos

1. IDENTIFICAR (ID)
([Link])

5. Estrategia de gestión de riesgos

1. IDENTIFICAR (ID)
([Link])

6. Gestión del riesgo de la cadena

1. IDENTIFICAR (ID)
de suministro ([Link])

6. Gestión del riesgo de la cadena

1. IDENTIFICAR (ID)
de suministro ([Link])
 6. Gestión del riesgo de la cadena
1. IDENTIFICAR (ID)
de suministro ([Link])

6. Gestión del riesgo de la cadena

1. IDENTIFICAR (ID)
de suministro ([Link])

6. Gestión del riesgo de la cadena

1. IDENTIFICAR (ID)
de suministro ([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])
 1. Gestión de identidad,
2. PROTEGER (PR) autenticación y control de acceso
([Link])

2. Concienciación y capacitación
2. PROTEGER (PR)
([Link])

2. Concienciación y capacitación
2. PROTEGER (PR)
([Link])

2. Concienciación y capacitación
2. PROTEGER (PR)
([Link])

2. Concienciación y capacitación
2. PROTEGER (PR)
([Link])

2. Concienciación y capacitación
2. PROTEGER (PR)
([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

2. PROTEGER (PR) 3. Seguridad de los datos ([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])
4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])
 4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

4. Procesos y procedimientos de
2. PROTEGER (PR) protección de la información
([Link])

2. PROTEGER (PR) 5. Mantenimiento ([Link])

2. PROTEGER (PR) 5. Mantenimiento ([Link])

 6. Tecnología de protección
2. PROTEGER (PR)
([Link])

6. Tecnología de protección
2. PROTEGER (PR)
([Link])

6. Tecnología de protección
2. PROTEGER (PR)
([Link])

6. Tecnología de protección
2. PROTEGER (PR)
([Link])

6. Tecnología de protección
2. PROTEGER (PR)
([Link])

3. DETECTAR (DE) 1. Anomalías y Eventos ([Link])

3. DETECTAR (DE) 1. Anomalías y Eventos ([Link])

3. DETECTAR (DE) 1. Anomalías y Eventos ([Link])

3. DETECTAR (DE) 1. Anomalías y Eventos ([Link])

3. DETECTAR (DE) 1. Anomalías y Eventos ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])
 2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

2. Monitoreo Continuo de la
3. DETECTAR (DE)
Seguridad ([Link])

3. DETECTAR (DE) 3. Procesos de Detección ([Link])

3. DETECTAR (DE) 3. Procesos de Detección ([Link])

3. DETECTAR (DE) 3. Procesos de Detección ([Link])

3. DETECTAR (DE) 3. Procesos de Detección ([Link])

3. DETECTAR (DE) 3. Procesos de Detección ([Link])

1. Planificación de la Respuesta
4. RESPONDER (RS)
([Link])

4. RESPONDER (RS) 2. Comunicaciones ([Link])

4. RESPONDER (RS) 2. Comunicaciones ([Link])

4. RESPONDER (RS) 2. Comunicaciones ([Link])

4. RESPONDER (RS) 2. Comunicaciones ([Link])

4. RESPONDER (RS) 2. Comunicaciones ([Link])

4. RESPONDER (RS) 3. Análisis ([Link])

4. RESPONDER (RS) 3. Análisis ([Link])

4. RESPONDER (RS) 3. Análisis ([Link])

4. RESPONDER (RS) 3. Análisis ([Link])

4. RESPONDER (RS) 3. Análisis ([Link])

4. RESPONDER (RS) 4. Mitigación ([Link])

4. RESPONDER (RS) 4. Mitigación ([Link])

4. RESPONDER (RS) 4. Mitigación ([Link])

4. RESPONDER (RS) 5. Mejoras ([Link])

4. RESPONDER (RS) 5. Mejoras ([Link])

1. Planificación de la
5. RECUPERAR (RC)
recuperación ([Link])

5. RECUPERAR (RC) 2. Mejoras ([Link])

5. RECUPERAR (RC) 2. Mejoras ([Link])

5. RECUPERAR (RC) 3. Comunicaciones ([Link])

5. RECUPERAR (RC) 3. Comunicaciones ([Link])

5. RECUPERAR (RC) 3. Comunicaciones ([Link])

Descripción categoría Subcategoría

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-1
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-2
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-3
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-4
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-5
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.

Los datos, el personal, los dispositivos, los sistemas y

las instalaciones que permiten a la organización
alcanzar los objetivos empresariales se identifican y se
[Link]-6
administran de forma coherente con su importancia
relativa para los objetivos organizativos y la estrategia
de riesgos de la organización.
Se entienden y se priorizan la misión, los objetivos, las
partes interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, [Link]-1
responsabilidades y decisiones de gestión de los
riesgos de seguridad cibernética.
Se entienden y se priorizan la misión, los objetivos, las
partes interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, [Link]-2
responsabilidades y decisiones de gestión de los
riesgos de seguridad cibernética.
 Se entienden y se priorizan la misión, los objetivos, las
partes interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, [Link]-3
responsabilidades y decisiones de gestión de los
riesgos de seguridad
Se entienden cibernética.
y se priorizan la misión, los objetivos, las
partes interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, [Link]-4
responsabilidades y decisiones de gestión de los
riesgos de seguridad cibernética.

Se entienden y se priorizan la misión, los objetivos, las

partes interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, [Link]-5
responsabilidades y decisiones de gestión de los
riesgos de seguridad cibernética.

Las políticas, los procedimientos y los procesos para

administrar y monitorear los requisitos regulatorios,
legales, de riesgo, ambientales y operativos de la [Link]-1
organización se comprenden y se informan a la gestión
del riesgo de seguridad cibernética.

Las políticas, los procedimientos y los procesos para

administrar y monitorear los requisitos regulatorios,
legales, de riesgo, ambientales y operativos de la [Link]-2
organización se comprenden y se informan a la gestión
del riesgo de seguridad cibernética.

Las políticas, los procedimientos y los procesos para

administrar y monitorear los requisitos regulatorios,
legales, de riesgo, ambientales y operativos de la [Link]-3
organización se comprenden y se informan a la gestión
del riesgo de seguridad cibernética.

Las políticas, los procedimientos y los procesos para

administrar y monitorear los requisitos regulatorios,
legales, de riesgo, ambientales y operativos de la [Link]-4
organización se comprenden y se informan a la gestión
del riesgo de seguridad cibernética.

La organización comprende el riesgo de seguridad

cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-1
reputación), los activos de la organización y las
personas.

La organización comprende el riesgo de seguridad

cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-2
reputación), los activos de la organización y las
personas.
 La organización comprende el riesgo de seguridad
cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-3
reputación), los activos de la organización y las
personas.

La organización comprende el riesgo de seguridad

cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-4
reputación), los activos de la organización y las
personas.

La organización comprende el riesgo de seguridad

cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-5
reputación), los activos de la organización y las
personas.

La organización comprende el riesgo de seguridad

cibernética para las operaciones de la organización
(incluida la misión, las funciones, la imagen o la [Link]-6
reputación), los activos de la organización y las
personas.

Se establecen las prioridades, restricciones, tolerancias

de riesgo y suposiciones de la organización y se usan [Link]-1
para respaldar las decisiones de riesgos operacionales.

Se establecen las prioridades, restricciones, tolerancias

de riesgo y suposiciones de la organización y se usan [Link]-2
para respaldar las decisiones de riesgos operacionales.

Se establecen las prioridades, restricciones, tolerancias

de riesgo y suposiciones de la organización y se usan [Link]-3
para respaldar las decisiones de riesgos operacionales.

Las prioridades, limitaciones, tolerancias de riesgo y

suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo
asociadas con la gestión del riesgo de la cadena de [Link]-1
suministro. La organización ha establecido e
implementado loslimitaciones,
Las prioridades, procesos para identificar,
tolerancias deevaluar
riesgo yy
gestionar los riesgos de la cadena de suministro.
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo
asociadas con la gestión del riesgo de la cadena de [Link]-2
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar y
gestionar los riesgos de la cadena de suministro.
 Las prioridades, limitaciones, tolerancias de riesgo y
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo
asociadas con la gestión del riesgo de la cadena de [Link]-3
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar y
gestionar los riesgos de la cadena de suministro.
Las prioridades, limitaciones, tolerancias de riesgo y
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo
asociadas con la gestión del riesgo de la cadena de [Link]-4
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar y
gestionar los riesgos de la cadena de suministro.
Las prioridades, limitaciones, tolerancias de riesgo y
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo
asociadas con la gestión del riesgo de la cadena de [Link]-5
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar y
gestionar los riesgos de la cadena de suministro.

El acceso a los activos físicos y lógicos y a las

instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-1
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.
El acceso a los activos físicos y lógicos y a las
instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-2
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.

El acceso a los activos físicos y lógicos y a las

instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-3
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.
El acceso a los activos físicos y lógicos y a las
instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-4
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.
El acceso a los activos físicos y lógicos y a las
instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-5
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.

El acceso a los activos físicos y lógicos y a las

instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-6
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.
 El acceso a los activos físicos y lógicos y a las
instalaciones asociadas está limitado a los usuarios,
procesos y dispositivos autorizados, y se administra de [Link]-7
forma coherente con el riesgo evaluado de acceso no
autorizado a actividades autorizadas y transacciones.

El personal y los socios de la organización reciben

educación de concienciación sobre la seguridad
cibernética y son capacitados para cumplir con sus
deberes y responsabilidades relacionados con la [Link]-1
seguridad cibernética, en conformidad con las políticas,
los procedimientos y los acuerdos relacionados al
campo.

El personal y los socios de la organización reciben

educación de concienciación sobre la seguridad
cibernética y son capacitados para cumplir con sus
deberes y responsabilidades relacionados con la [Link]-2
seguridad cibernética, en conformidad con las políticas,
los procedimientos y los acuerdos relacionados al
campo.

El personal y los socios de la organización reciben

educación de concienciación sobre la seguridad
cibernética y son capacitados para cumplir con sus
deberes y responsabilidades relacionados con la [Link]-3
seguridad cibernética, en conformidad con las políticas,
los procedimientos y los acuerdos relacionados al
campo.

El personal y los socios de la organización reciben

educación de concienciación sobre la seguridad
cibernética y son capacitados para cumplir con sus
deberes y responsabilidades relacionados con la [Link]-4
seguridad cibernética, en conformidad con las políticas,
los procedimientos y los acuerdos relacionados al
campo.

El personal y los socios de la organización reciben

educación de concienciación sobre la seguridad
cibernética y son capacitados para cumplir con sus
deberes y responsabilidades relacionados con la [Link]-5
seguridad cibernética, en conformidad con las políticas,
los procedimientos y los acuerdos relacionados al
campo.
La información y los registros (datos) se gestionan en
función de la estrategia de riesgo de la organización
[Link]-1
para proteger la confidencialidad, integridad y
disponibilidad
La informacióndeylalosinformación.
registros (datos) se gestionan en
función de la estrategia de riesgo de la organización
[Link]-2
para proteger la confidencialidad, integridad y
disponibilidad de la información.
La información y los registros (datos) se gestionan en
función de la estrategia de riesgo de la organización
[Link]-3
para proteger la confidencialidad, integridad y
La información y los registros (datos) se gestionan en
disponibilidad de la información.
función de la estrategia de riesgo de la organización
[Link]-4
para proteger la confidencialidad, integridad y
disponibilidad de la información.
 La información y los registros (datos) se gestionan en
función de la estrategia de riesgo de la organización
[Link]-5
para proteger la confidencialidad, integridad y
disponibilidad de la información.

La información y los registros (datos) se gestionan en

función de la estrategia de riesgo de la organización
[Link]-6
para proteger la confidencialidad, integridad y
disponibilidad de la información.

La información y los registros (datos) se gestionan en

función de la estrategia de riesgo de la organización
[Link]-7
para proteger la confidencialidad, integridad y
disponibilidad
La informacióndeylalosinformación.
registros (datos) se gestionan en
función de la estrategia de riesgo de la organización
[Link]-8
para proteger la confidencialidad, integridad y
Se mantienen ydeselautilizan
disponibilidad políticas de seguridad (que
información.
abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-1
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.
Se mantienen y se utilizan políticas de seguridad (que
abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-2
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-3
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.
Se mantienen y se utilizan políticas de seguridad (que
abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-4
coordinación entre las entidades de la organización),
Se mantienen
procesos y se utilizan para
y procedimientos políticas de seguridad
gestionar (que
la protección
abordan el propósito,
de los sistemas el alcance,y los
de información los roles,
[Link]
responsabilidades, el compromiso de la jefatura y la
[Link]-5
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.
Se mantienen y se utilizan políticas de seguridad (que
abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-6
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.
 Se mantienen y se utilizan políticas de seguridad (que
abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-7
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-8
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-9
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-10
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-11
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

Se mantienen y se utilizan políticas de seguridad (que

abordan el propósito, el alcance, los roles, las
responsabilidades, el compromiso de la jefatura y la
[Link]-12
coordinación entre las entidades de la organización),
procesos y procedimientos para gestionar la protección
de los sistemas de información y los activos.

El mantenimiento y la reparación de los componentes

del sistema de información y del control industrial se
[Link]-1
realizan de acuerdo con las políticas y los
procedimientos.
El mantenimiento y la reparación de los componentes
del sistema de información y del control industrial se
[Link]-2
realizan de acuerdo con las políticas y los
procedimientos.
Las soluciones técnicas de seguridad se gestionan para
garantizar la seguridad y la capacidad de recuperación
[Link]-1
de los sistemas y activos, en consonancia con las
políticas, procedimientos y acuerdos relacionados.

Las soluciones técnicas de seguridad se gestionan para

garantizar la seguridad y la capacidad de recuperación
[Link]-2
de los sistemas y activos, en consonancia con las
políticas, procedimientos y acuerdos relacionados.

Las soluciones técnicas de seguridad se gestionan para

garantizar la seguridad y la capacidad de recuperación
[Link]-3
de los sistemas y activos, en consonancia con las
políticas, procedimientos y acuerdos relacionados.
Las soluciones técnicas de seguridad se gestionan para
garantizar la seguridad y la capacidad de recuperación
[Link]-4
de los sistemas y activos, en consonancia con las
políticas, procedimientos
Las soluciones y acuerdos
técnicas de seguridadrelacionados.
se gestionan para
garantizar la seguridad y la capacidad de recuperación
[Link]-5
de los sistemas y activos, en consonancia con las
políticas, procedimientos y acuerdos relacionados.
Se detecta actividad anómala y se comprende el
[Link]-1
impacto potencial de los eventos
Se detecta actividad anómala y se comprende el
[Link]-2
impacto potencial de los eventos
Se detecta actividad anómala y se comprende el
[Link]-3
impacto potencial de los eventos
Se detecta actividad anómala y se comprende el
[Link]-4
impacto potencial de los eventos
Se detecta actividad anómala y se comprende el
[Link]-5
impacto potencial de los eventos

El sistema de información y los activos son

monitoreados a fin de identificar eventos de seguridad
[Link]-1
cibernética y verificar la eficacia de las medidas de
protección

El sistema de información y los activos son

monitoreados a fin de identificar eventos de seguridad
[Link]-2
cibernética y verificar la eficacia de las medidas de
protección
El sistema de información y los activos son
monitoreados a fin de identificar eventos de seguridad
[Link]-3
cibernética y verificar la eficacia de las medidas de
protección
El sistema de información y los activos son
monitoreados a fin de identificar eventos de seguridad
[Link]-4
cibernética y verificar la eficacia de las medidas de
protección
El sistema de información y los activos son
monitoreados a fin de identificar eventos de seguridad
[Link]-5
cibernética y verificar la eficacia de las medidas de
protección
 El sistema de información y los activos son
monitoreados a fin de identificar eventos de seguridad
[Link]-6
cibernética y verificar la eficacia de las medidas de
protección

El sistema de información y los activos son

monitoreados a fin de identificar eventos de seguridad
[Link]-7
cibernética y verificar la eficacia de las medidas de
protección
El sistema de información y los activos son
monitoreados a fin de identificar eventos de seguridad
[Link]-8
cibernética y verificar la eficacia de las medidas de
protección
Se mantienen y se aprueban los procesos y
procedimientos de detección para garantizar el [Link]-1
conocimiento de los eventos anómalos.
Se mantienen y se aprueban los procesos y
procedimientos de detección para garantizar el [Link]-2
conocimiento de los eventos anómalos.
Se mantienen y se aprueban los procesos y
procedimientos de detección para garantizar el [Link]-3
conocimiento de los eventos anómalos.
Se mantienen y se aprueban los procesos y
procedimientos de detección para garantizar el [Link]-4
conocimiento de los eventos anómalos.
Se mantienen y se aprueban los procesos y
procedimientos de detección para garantizar el [Link]-5
conocimiento de los eventos anómalos.
Los procesos y procedimientos de respuesta se
ejecutan y se mantienen a fin de garantizar la respuesta [Link]-1
a los incidentes de seguridad cibernética detectados.
Las actividades de respuesta se coordinan con las
partes interesadas internas y externas (por ejemplo, el
[Link]-1
apoyo externo de organismos encargados de hacer
cumplir la ley).
Las actividades de respuesta se coordinan con las
partes interesadas internas y externas (por ejemplo, el
[Link]-2
apoyo externo de organismos encargados de hacer
cumplir la ley).
Las actividades de respuesta se coordinan con las
partes interesadas internas y externas (por ejemplo, el
[Link]-3
apoyo externo de organismos encargados de hacer
cumplir la ley).
Las actividades de respuesta se coordinan con las
partes interesadas internas y externas (por ejemplo, el
[Link]-4
apoyo externo de organismos encargados de hacer
cumplir la ley).

Las actividades de respuesta se coordinan con las

partes interesadas internas y externas (por ejemplo, el
[Link]-5
apoyo externo de organismos encargados de hacer
cumplir la ley).
 Se lleva a cabo el análisis para garantizar una
respuesta eficaz y apoyar las actividades de [Link]-1
recuperación.

Se lleva a cabo el análisis para garantizar una

respuesta eficaz y apoyar las actividades de [Link]-2
recuperación.
Se lleva a cabo el análisis para garantizar una
respuesta eficaz y apoyar las actividades de [Link]-3
recuperación.
Se lleva a cabo el análisis para garantizar una
respuesta eficaz y apoyar las actividades de [Link]-4
recuperación.

Se lleva a cabo el análisis para garantizar una

respuesta eficaz y apoyar las actividades de [Link]-5
recuperación.

Se realizan actividades para evitar la expansión de un

[Link]-1
evento, mitigar sus efectos y resolver el incidente.
Se realizan actividades para evitar la expansión de un
[Link]-2
evento, mitigar sus efectos y resolver el incidente.
Se realizan actividades para evitar la expansión de un
[Link]-3
evento, mitigar sus efectos y resolver el incidente.
Las actividades de respuesta de la organización se
mejoran al incorporar las lecciones aprendidas de las [Link]-1
actividades de detección y respuesta actuales y previas.
Las actividades de respuesta de la organización se
mejoran al incorporar las lecciones aprendidas de las [Link]-2
actividades de detección y respuesta actuales y previas.

Los procesos y procedimientos de recuperación se

ejecutan y se mantienen para asegurar la restauración
[Link]-1
de los sistemas o activos afectados por incidentes de
seguridad cibernética.

La planificación y los procesos de recuperación se

mejoran al incorporar en las actividades futuras las [Link]-1
lecciones aprendidas.
La planificación y los procesos de recuperación se
mejoran al incorporar en las actividades futuras las [Link]-2
lecciones aprendidas.
 Las actividades de restauración se coordinan con
partes internas y externas (por ejemplo, centros de
coordinación, proveedores de servicios de Internet, [Link]-1
propietarios de sistemas
Las actividades de ataque,
de restauración víctimas, otros
se coordinan con
CSIRT y vendedores).
partes internas y externas (por ejemplo, centros de
coordinación, proveedores de servicios de Internet, [Link]-2
propietarios de sistemas de ataque, víctimas, otros
CSIRT y vendedores).
Las actividades de restauración se coordinan con
partes internas y externas (por ejemplo, centros de
coordinación, proveedores de servicios de Internet, [Link]-3
propietarios de sistemas de ataque, víctimas, otros
CSIRT y vendedores).
Descripción Subcategoría Respuesta/comentario Valoración % cumplimiento

Los dispositivos y sistemas físicos dentro de la organización

están inventariados.

100%

Las plataformas de software y las aplicaciones dentro de la

organización están inventariadas.

100%

La comunicación organizacional y los flujos de datos están

mapeados.

100%

Los sistemas de información externos están catalogados.

100%

Los recursos (por ejemplo, hardware, dispositivos, datos,

tiempo, personal y software) se priorizan en función de su
clasificación, criticidad y valor comercial.

100%

Los roles y las responsabilidades de la seguridad cibernética

para toda la fuerza de trabajo y terceros interesados (por
ejemplo, proveedores, clientes, socios) están establecidas.

80%

Se identifica y se comunica la función de la organización en

la cadena de suministro.
50%

Se identifica y se comunica el lugar de la organización en la

infraestructura crítica y su sector industrial.

80%
 Se establecen y se comunican las prioridades para la misión,
los objetivos y las actividades de la organización.
90%

Se establecen las dependencias y funciones fundamentales

para la entrega de servicios críticos.
100%

Los requisitos de resiliencia para respaldar la entrega de

servicios críticos se establecen para todos los estados
operativos (p. ej. bajo coacción o ataque, durante la
recuperación y operaciones normales).

100%

Se establece y se comunica la política de seguridad

cibernética organizacional.

33%

Los roles y las responsabilidades de seguridad cibernética

están coordinados y alineados con roles internos y socios
externos.

50%

Se comprenden y se gestionan los requisitos legales y

regulatorios con respecto a la seguridad cibernética,
incluidas las obligaciones de privacidad y libertades civiles.

40%

Los procesos de gobernanza y gestión de riesgos abordan

los riesgos de seguridad cibernética.

30%

Se identifican y se documentan las vulnerabilidades de los

activos.
80%

La inteligencia de amenazas cibernéticas se recibe de foros

y fuentes de intercambio de información.
30%
 Se identifican y se documentan las amenazas, tanto internas
como externas.
100%

Se identifican los impactos y las probabilidades del negocio.

100%

Se utilizan las amenazas, las vulnerabilidades, las

probabilidades y los impactos para determinar el riesgo.
40%

Se identifican y priorizan las respuestas al riesgo.

100%

Los actores de la organización establecen, gestionan y

acuerdan los procesos de gestión de riesgos.

100%
La tolerancia al riesgo organizacional se determina y se
expresa claramente. 100%

La determinación de la tolerancia del riesgo de la

organización se basa en parte en su rol en la infraestructura
crítica y el análisis del riesgo específico del sector.
25%

Los actores de la organización identifican, establecen,

evalúan, gestionan y acuerdan los procesos de gestión del
riesgo de la cadena de suministro cibernética.
80%
Los proveedores y socios externos de los sistemas de
información, componentes y servicios se identifican, se
priorizan y se evalúan mediante un proceso de evaluación de
riesgos de la cadena de suministro cibernético. 100%
 Los contratos con proveedores y socios externos se utilizan
para implementar medidas apropiadas diseñadas para
cumplir con los objetivos del programa de seguridad
cibernética de una organización y el plan de gestión de
riesgos de la cadena de suministro cibernético.

100%
Los proveedores y los socios externos se evalúan de forma
rutinaria mediante auditorías, resultados de pruebas u otras
formas de evaluación para confirmar que cumplen con sus
obligaciones contractuales.
100%

Las pruebas y la planificación de respuesta y recuperación

se llevan a cabo con proveedores.

80%
Las identidades y credenciales se emiten, se administran, se
verifican, se revocan y se auditan para los dispositivos,
usuarios y procesos autorizados.
100%

Se gestiona y se protege el acceso físico a los activos.

0%

Se gestiona el acceso remoto.

0%
Se gestionan los permisos y autorizaciones de acceso con
incorporación de los principios de menor privilegio y
separación de funciones. 0%

Se protege la integridad de la red (por ejemplo, segregación

de la red, segmentación de la red).

0%

Las identidades son verificadas y vinculadas a credenciales

y afirmadas en las interacciones.

0%
 Se autentican los usuarios, dispositivos y otros activos (por
ejemplo, autenticación de un solo factor o múltiples factores)
acorde al riesgo de la transacción (por ejemplo, riesgos de
seguridad y privacidad de individuos y otros riesgos para las
organizaciones).
0%

Todos los usuarios están informados y capacitados.

0%

Los usuarios privilegiados comprenden sus roles y

responsabilidades.

0%

Los terceros interesados (por ejemplo, proveedores, clientes,

socios) comprenden sus roles y responsabilidades.

0%

Los ejecutivos superiores comprenden sus roles y

responsabilidades.

0%

El personal de seguridad física y cibernética comprende sus

roles y responsabilidades.

0%
Los datos en reposo están protegidos. 0%

Los datos en tránsito están protegidos.

0%
Los activos se gestionan formalmente durante la
eliminación, las transferencias y la disposición. 90%
Se mantiene una capacidad adecuada para asegurar la
disponibilidad. 100%
Se implementan protecciones contra las filtraciones de
datos.
90%

Se utilizan mecanismos de comprobación de la integridad

para verificar el software, el firmware y la integridad de la
información.
50%

Los entornos de desarrollo y prueba(s) están separados del

entorno de producción.
100%
Se utilizan mecanismos de comprobación de la integridad
para verificar la integridad del hardware. 50%
Se crea y se mantiene una configuración de base de los
sistemas de control industrial y de tecnología de la
información con incorporación de los principios de
seguridad (por ejemplo, el concepto de funcionalidad
mínima). 90%

Se implementa un ciclo de vida de desarrollo del sistema

para gestionar los sistemas.

100%

Se encuentran establecidos procesos de control de cambio

de la configuración.

50%
Se realizan, se mantienen y se prueban copias de seguridad
de la información. 10%

Se cumplen las regulaciones y la política con respecto al

entorno operativo físico para los activos organizativos
50%

Los datos son eliminados de acuerdo con las políticas.

100%
Se mejoran los procesos de protección.

90%

Se comparte la efectividad de las tecnologías de protección.

50%

Se encuentran establecidos y se gestionan planes de

respuesta (Respuesta a Incidentes y Continuidad del
Negocio) y planes de recuperación (Recuperación de
Incidentes y Recuperación de Desastres).

10%

Se prueban los planes de respuesta y recuperación.

25%

La seguridad cibernética se encuentra incluida en las

prácticas de recursos humanos (por ejemplo,
desaprovisionamiento, selección del personal).

100%

Se desarrolla y se implementa un plan de gestión de las

vulnerabilidades.

85%
El mantenimiento y la reparación de los activos de la
organización se realizan y están registrados con herramientas
aprobadas y controladas.
50%
El mantenimiento remoto de los activos de la organización
se aprueba, se registra y se realiza de manera que evite el
acceso no autorizado.
100%
 Los registros de auditoría o archivos se determinan, se
documentan, se implementan y se revisan en conformidad
con la política.
100%

Los medios extraíbles están protegidos y su uso se encuentra

restringido de acuerdo con la política.
100%

Se incorpora el principio de menor funcionalidad mediante

la configuración de los sistemas para proporcionar solo las
capacidades esenciales.
100%
Las redes de comunicaciones y control están protegidas. 90%
Se implementan mecanismos (por ejemplo, a prueba de
fallas, equilibrio de carga, cambio en caliente o “hot swap”)
para lograr los requisitos de resiliencia en situaciones
normales y adversas. 10%
Se establece y se gestiona una base de referencia para
operaciones de red y flujos de datos esperados para los 100%
usuarios y sistemas.
Se analizan los eventos detectados para comprender los
objetivos y métodos de ataque. 90%
Cos datos de los eventos se recopilan y se correlacionan de
múltiples fuentes y sensores. 50%
Se determina el impacto de los eventos.
50%
Se establecen umbrales de alerta de incidentes.
80%

Se monitorea la red para detectar posibles eventos de

seguridad cibernética.

100%

Se monitorea el entorno físico para detectar posibles eventos

de seguridad cibernética.
80%

Se monitorea la actividad del personal para detectar posibles

eventos de seguridad cibernética.
100%

Se detecta el código malicioso.

90%

Se detecta el código móvil no autorizado.

100%
 Se monitorea la actividad de los proveedores de servicios
externos para detectar posibles eventos de seguridad
cibernética.
75%

Se realiza el monitoreo del personal, conexiones,

dispositivos y software no autorizados.
100%
Se realizan escaneos de vulnerabilidades. 50%
Los roles y los deberes de detección están bien definidos
para asegurar la responsabilidad.
100%
Las actividades de detección cumplen con todos los
requisitos aplicables.
50%

Se prueban los procesos de detección.

100%

Se comunica la información de la detección de eventos.

50%

los procesos de detección se mejoran continuamente.

100%
El plan de respuesta se ejecuta durante o después de un
incidente. 100%

El personal conoce sus roles y el orden de las operaciones

cuando se necesita una respuesta.
100%

Los incidentes se informan de acuerdo con los criterios

establecidos.
100%

La información se comparte de acuerdo con los planes de

respuesta.
100%

La coordinación con las partes interesadas se realiza en

consonancia con los planes de respuesta.
0%

El intercambio voluntario de información se produce con las

partes interesadas externas para lograr una mayor conciencia
situacional de seguridad cibernética.

0%
sSe investigan las notificaciones de los sistemas de
detección.
0%

Se comprende el impacto del incidente.

0%

Se realizan análisis forenses.

0%
Los incidentes se clasifican de acuerdo con los planes de
respuesta.
0%

Se establecen procesos para recibir, analizar y responder a

las vulnerabilidades divulgadas a la organización desde
fuentes internas y externas (por ejemplo, pruebas internas,
boletines de seguridad o investigadores de seguridad).

0%
Los incidentes son contenidos.
50%
Los incidentes son mitigados. 50%
Las vulnerabilidades recientemente identificadas son
mitigadas o se documentan como riesgos aceptados. 50%
Los planes de respuesta incorporan las lecciones aprendidas. 50%

Se actualizan las estrategias de respuesta.

100%

El plan de recuperación se ejecuta durante o después de un

incidente de seguridad cibernética.

60%

Los planes de recuperación incorporan las lecciones

aprendidas.
60%

Se actualizan las estrategias de recuperación.

80%
Se gestionan las relaciones públicas.
90%
La reputación se repara después de un incidente.
100%

Las actividades de recuperación se comunican a las partes

interesadas internas y externas, así como también a los
equipos ejecutivos y de administración.

40%
Función Average - Valoración % cumplimiento
1. IDENTIFICAR (ID) Total 79%
2. PROTEGER (PR) 48%
3. DETECTAR (DE) 81%
1. IDENTIFICAR (ID)
4. RESPONDER (RS) 44%
100%
5. RECUPERAR (RC) 72%
Total Result 2. PROTEGER (PR)
Total Result 63%
50%
Average - Valoración %
cumplimiento
0%

5. RECUPERAR (RC) 3. DETECTAR (DE)

4. RESPONDER (RS)
Función
1. IDENTIFICAR (ID)

2. PROTEGER (PR)

3. DETECTAR (DE)

4. RESPONDER (RS)

5. RECUPERAR (RC)

Total Result
Categoría Subcategoría Average - Valoración % cumplimiento
79%
1. Gestión de activos ([Link]) 97%
[Link]-1 100%
[Link]-2 100%
[Link]-3 100%
[Link]-4 100%
[Link]-5 100%
[Link]-6 80%
2. Entorno empresarial ([Link]) 84%
3. Gobernanza ([Link]) 38%
4. Evaluación de riesgos ([Link]) 75%
5. Estrategia de gestión de riesgos ([Link]) 75%
6. Gestión del riesgo de la cadena de suministro ([Link]) 92%
48%
1. Gestión de identidad, autenticación y control de acces 14%
2. Concienciación y capacitación ([Link]) 0%
3. Seguridad de los datos ([Link]) 60%
4. Procesos y procedimientos de protección de la informa 63%
5. Mantenimiento ([Link]) 75%
6. Tecnología de protección ([Link]) 80%
81%
1. Anomalías y Eventos ([Link]) 74%
2. Monitoreo Continuo de la Seguridad ([Link]) 87%
3. Procesos de Detección ([Link]) 80%
44%
1. Planificación de la Respuesta ([Link]) 100%
2. Comunicaciones ([Link]) 60%
3. Análisis ([Link]) 0%
4. Mitigación ([Link]) 50%
5. Mejoras ([Link]) 75%
72%
1. Planificación de la recuperación ([Link]) 60%
[Link]-1 60%
2. Mejoras ([Link]) 70%
3. Comunicaciones ([Link]) 77%
[Link]-1 90%
[Link]-2 100%
[Link]-3 40%
63%