MARCO DE

CIBERSEGURIDAD

Versión 4.1
SEGURIDAD DE LA INFORMACIÓN
Versión 4.1 – Noviembre 2019
Este documento ha sido elaborado por Agesic (Agencia para el Desarrollo del Gobierno de Gestión
Electrónica y la Sociedad de la Información y el Conocimiento).
El Marco de Ciberseguridad es un conjunto de requisitos (requisitos normativos y buenas prácticas)
que se entienden necesarios para la mejora de la seguridad de la información y la ciberseguridad.
Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento, así como
hacer obras derivadas, siempre y cuando tenga en cuenta citar la obra de forma específica.

2
1 Revisiones

Versión 1.0 (agosto 2016):

a. Versión inicial
Versión 2.0 (noviembre 2016):
a. Se realizan cambios menores de redacción.
Versión 3.0 (junio 2017):
a. Se realiza cambio de enfoque respecto al modelo de madurez propuesto en la
versión 1.0
Versión 4.0 (enero 2018):
a. Se neutraliza los términos para que el Marco se adapte a cualquier organización, no
solo a los organismos de la Administración central.
b. Se agrega referencias a la norma ISO/IEC 27799:2016.
c. En la subcategoría PR.PI-1 se elimina el requisito SO.8.
d. En la subcategoría ID.ER-4 se agrega el requisito CO.4.
e. En la subcategoría ID.GA-6 se agrega el requisito GA.1.
f. En la subcategoría DE.AE-4 se agrega el requisito SF.3 y se elimina el requisito GI.5.
g. En la subcategoría DE.MC-1 se agrega el requisito SF.3 y se elimina el requisito
SO.7.
h. En la subcategoría RE.AN-1 se agrega el requisito GI.5.
i. En la subcategoría ID.GA-1 se agrega el requisito OR.5.
j. En la subcategoría DE.MC-5 se elimina el requisito OR.5.
k. El modelo de madurez se adecua para ajustarse a los requisitos. Las siguientes
subcategorías han sufrido alguna modificación en la redacción sus niveles: ID.GA-1,
ID.GA-2, ID.GA-5, ID.AN-3, ID.AN-5, ID.GO-3, ID.ER-1, PR.CA-1, PR.CA-2, PR.CA-
5, PR.CF-1, PR.CF-4, PR.CF-5, PR.SD-2, PR.SD-3, PR.SD-4, PR.SD-6, PR.PI-9,
PR.PI-11, PR.PI-12, PR.TP-1, PR.TP-2, DE.AE-4, RE.PR-1, RE.CO-1, RE.CO-4,
RE.AN-2, RE.MI-1, RC.PR-1, RC.CO-1
Las modificaciones realizadas no cambian las valoraciones preexistentes.
Versión 4.1 (noviembre 2019):
a. Se elimina la norma ISO 27799:2016, de que los controles en ella mencionada se
mapean uno a uno con la norma ISO/IEC 27001:13
b. Se incluyen los controles referentes a todos los estándares mencionados en el CSF
de NIST.

3
c. Se agregó la nueva categoría “Cadena de Suministro” en la función Identificar.
d. Se agregaron dos nuevas Sub categorías PR.CA-6 y PR.CA-7 a la categoría “Control
de Acceso” en la función Proteger.
e. Se agregó una nueva Sub categorías PR.SD-8 a la categoría “Control de Acceso” en
la función Proteger.
f. Se agregó una nueva Sub categorías PR.TP-5 a la categoría “Tecnología de
Protección” en la función Proteger.
g. Se agregó una nueva Sub categorías RE.AN-5 a la categoría “Análisis” en la función
Responder.
h. Se revisan y adecuan los requisitos asociados en cada una de las subcategorías.
i. Se revisan y adecuan las prioridades asignadas a los perfiles de organización.
j. Se incorporan los modelos de madurez referidos a las nuevas subcategorías y a las
subcategorías que en la versión 4.0 tenían prioridad P4.
k. Se ajusta redacción del modelo de madurez para la subcategoría: ID.ER-3, PR.PI-10,
PR.SD-2, PR.PI-9, RE.MI-1, RC.CO-1.

4
2 Introducción

El uso de las Tecnologías de la Información y la Comunicación se ha incorporado de forma

generalizada a la vida cotidiana. Este nuevo escenario facilita un desarrollo sin precedentes
del intercambio de información y comunicaciones, pero, al mismo tiempo, conlleva nuevos
riesgos y amenazas que pueden afectar a la seguridad de los sistemas de información.
Es por esto que, en 2009, en el marco de la estrategia relacionada a la seguridad de la
información y protección de los activos críticos del Estado, se publicaron dos decretos que
establecen el marco de seguridad de la información en la Administración Central,
exhortando la adopción de las disposiciones establecidas también por parte de los
Gobiernos Departamentales, los Entes Autónomos, los Servicios Descentralizados y, en
general, a todos los órganos del Estado:

• Decreto 451/009: regula el funcionamiento y organización del CERTuy1.

• Decreto 452/009: regula la adopción de una política de seguridad de la información
para organismos de la Administración Pública.
En esta línea, y reforzando los esfuerzos ya realizados, es que en 2014 se aprobó el decreto
92/014 referente a ciberseguridad, con el objetivo de mejorar la seguridad de la información
y las infraestructuras tecnológicas que le dan soporte.
La Seguridad de la Información es un trabajo permanente, que exige un proceso de mejora
continua y sistematizada para minimizar la exposición y determinar posibles puntos que
puedan comprometer la integridad, disponibilidad o confidencialidad de los activos o la
información que estos gestionan; y además establece los criterios de seguridad que
permiten potenciar el servicio prestado de manera confiable y segura.
Continuando con los esfuerzos para mejorar las estrategias en ciberseguridad en Uruguay,
en agosto de 2016 se lanza el Marco de Ciberseguridad, cuyo principal objetivo es dar
lineamientos y buenas prácticas para un abordaje integral de la ciberseguridad.

1 CERTuy – Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (www.cert.uy)

5
3 Objetivo y alcance

El objetivo de este documento es presentar un Marco de Ciberseguridad organizado y con

referencias a estándares internacionales que contemplan la normativa nacional. Está
basado en el Marco de Ciberseguridad definido por el Instituto Nacional de Estándares y
Tecnología (NIST2 CSF) para la mejora de la ciberseguridad en infraestructuras críticas, y
contextualizado a las organizaciones que requieren:

• Gestionar los riesgos inherentes a la seguridad de la información y al uso de la

infraestructura tecnológica que le da soporte.
• Adoptar en forma urgente una política de gestión de seguridad de la información.
• Contar con una política de gestión de incidentes.
• Adoptar las medidas necesarias para lograr centros de datos seguros.
• Cumplir con la normativa vigente en materia de seguridad de la información:
decretos 451/009, 452/009, 92/014 y leyes N°18331, N°18381, entre otras.
El Marco provee un enfoque homogéneo para reducir el riesgo vinculado a las amenazas
cibernéticas que puedan comprometer la seguridad de la información. Se encuentra
alineado con las mejores prácticas internacionales, como ISO/IEC 27001:20133, COBIT 54
para Seguridad de la Información, NIST SP 800-53 rev.4 entre otros. Ha sido
contextualizado teniendo en cuenta la normativa vigente y las mejores prácticas sugeridas
por Agesic.
Se toma como referencia el marco definido por NIST con el cometido de que las respuestas
a las amenazas cibernéticas, la gestión de los riesgos y la gestión de la seguridad de la
información estén alineadas al nivel de estándares internacionales. Esto permite a las
organizaciones alinear sus procesos de gestión de seguridad informática a nivel
internacional en forma práctica y estableciendo objetivos claros. Cabe aclarar que el marco
es flexible y adaptable a diferentes realidades e industrias y no solamente es utilizable en
entornos de infraestructuras críticas.
El Marco puede ayudar a una organización a planificar su estrategia de gestión de riesgos
de ciberseguridad y desarrollarla a lo largo del tiempo en función de su actividad, tamaño y
otras características distintivas y elementos específicos. No es un documento estático, sino
que se irá modificando de acuerdo a los cambios tecnológicos, la evolución de las
amenazas y los cambios en las técnicas de gestión de riesgos.

2 NIST - National Institute of Standards and Technology (www.nist.gov)

3 International Organization for Standarization / International Electrotechnical Commission (http://www.iso.org/iso/home/standards/management-
standards/iso27001.htm)
4 Control Objectives for Information and related Technology (http://www.isaca.org/cobit/pages/default.aspx)

6
4 Características

El núcleo del Marco se basa en el ciclo de vida del proceso de gestión de la ciberseguridad
desde el punto de vista técnico y organizacional. Proporciona un conjunto de actividades
para lograr resultados específicos de ciberseguridad. Se divide en funciones, categorías y
subcategorías. Cada subcategoría tiene asociada referencias a normas y estándares de
seguridad internacionales.
En el proceso de contextualización se agregaron prioridades a las subcategorías, se les
asignaron requisitos y se elaboraron perfiles. Los requisitos fueron elaborados siguiendo los
lineamientos de la norma ISO/IEC 27001:2013, la normativa vigente y las mejores prácticas
internacionales en materia de seguridad de la información.

4.1 Ciclo de vida de la ciberseguridad

El ciclo de vida de la ciberseguridad se compone de funciones que permiten abstraer los

principales conceptos de la seguridad de la información, en particular de la ciberseguridad.
A continuación, se describen las funciones del Marco de Ciberseguridad.

7
Identificar
La función Identificar está vinculada a la comprensión del contexto de la organización, de los
activos que soportan los procesos críticos de las operaciones y los riesgos asociados
pertinentes. Esta comprensión permite definir los recursos y las inversiones de acuerdo con
la estrategia de gestión de riesgos y sus objetivos.
Las categorías dentro de esta función son: Gestión de activos; Ambiente del negocio;
Gobernanza; Evaluación de riesgos y Estrategia para la gestión de riesgos.

Proteger
Es una función vinculada a la aplicación de medidas para proteger los procesos y los activos
de la organización, independientemente de su naturaleza TI.
Las categorías dentro de esta función son: Control de acceso; Concientización y formación;
Seguridad de los datos; Procesos y procedimientos para la protección de la información;
Mantenimiento y Tecnología de protección.

Detectar
Está vinculada a la definición y ejecución de las actividades apropiadas dirigidas a la
identificación temprana de los incidentes de seguridad.
Las categorías dentro de esta función son: Anomalías y eventos; Monitoreo continuo de la
seguridad; Procesos de detección.

Responder
Está vinculada a la definición y ejecución de las actividades apropiadas para tomar medidas
en caso de detección de un evento de seguridad. El objetivo es reducir el impacto de un
potencial incidente de seguridad informática.
Las categorías dentro de esta función son: Planificación de la respuesta; Comunicaciones;
Análisis; Mitigación; Mejoras.

Recuperar
Está vinculada a la definición y ejecución de las actividades dirigidas a la gestión de los
planes y actividades para restaurar los procesos y servicios deficientes debido a un
incidente de seguridad. El objetivo es asegurar la resistencia de los sistemas e instalaciones
y, en caso de incidentes, apoyar la recuperación oportuna de las operaciones.
Las categorías dentro de esta función son: Planificación de la recuperación; Mejoras y
Comunicaciones.

4.2 Estructura del Marco de Ciberseguridad

8
A continuación, se describe el Marco de Ciberseguridad y su estructura.

PRIORIDAD
SUB MADUREZ
FUNCIÓN CATEGORÍA POR PERFIL REF. REQUISITOS
CATEGORÍA
B E A N1 N2 N3 N4

IDENTIFICAR

PROTEGER

DETECTAR

RESPONDER

RECUPERAR

Función
Es el nivel más alto en la estructura para organizar las actividades básicas de
ciberseguridad.

Categoría
Es la subdivisión de una función en grupos de resultados de ciberseguridad estrechamente
ligados a las necesidades funcionales y actividades particulares. Algunos ejemplos son:
“Gestión de activos”, “Evaluación de riesgos”, “Mantenimiento”.

Subcategoría
Divide una categoría en resultados concretos de las actividades técnicas y/o de gestión.
Proporcionan un conjunto de resultados que, aunque no de forma exhaustiva, ayudan al
logro de los resultados en cada categoría. Algunos ejemplos son: “La política de seguridad
de la información se encuentra establecida”, “Gestión de acceso remoto”, “Existe un plan de
gestión de vulnerabilidades”.

9
Perfil
Un perfil representa las necesidades de ciberseguridad, basadas en los objetivos de
negocio, considerando el riesgo percibido y la dependencia existente de las TIC. Cada
organización tendrá asignado un perfil sobre el cual trabajar.
Se han definido tres perfiles para poder priorizar y establecer el avance en ciberseguridad:
básico, estándar y avanzado.
▪ Básico (B): el riesgo percibido vinculado a ciberseguridad es bajo; una falla, disrupción o
incidente que pueda afectar los servicios propios, se recuperan al mejor esfuerzo, no
existiendo afectación directa a los objetivos del negocio.

▪ Estándar (E): el riesgo percibido vinculado a ciberseguridad es moderado, pero existe

alta dependencia de las TIC para el cumplimiento de los objetivos del negocio. La
continuidad de los servicios no soporta más de 48h corridas de indisponibilidad.

▪ Avanzado (A): el riesgo percibido vinculado a ciberseguridad es alto; una falla,

disrupción o incidente puede afectar servicios transversales y/o críticos propios o de
terceros. La continuidad de los servicios no soporta más de 24h corridas de
indisponibilidad.

Prioridad
Las subcategorías del Marco, dentro de un perfil (Básico - B, Estándar - E, Avanzado - A)
tienen asociado un nivel de prioridad de abordaje.
Las prioridades definidas son:
▪ P1: Subcategoría que forma parte de una línea base de ciberseguridad, de abordaje
inmediato y cumplimiento en el corto plazo (hasta 1 año).
▪ P2: Subcategoría que se requiere implementar a mediano plazo (de 1 a 2 años).
▪ P3: Subcategoría que se requiere implementar a largo plazo (de 2 a 3 años).
▪ N/A: Para esta versión del marco, no se han identificado requisitos que se ajusten a
la subcategoría.

10
Modelo de Madurez
El modelo de madurez propuesto para la evaluación consta de cinco niveles, que se
describen a continuación.
El modelo de madurez está definido para las subcategorías que tengan prioridad P1 en
alguno de los perfiles establecidos. En cada perfil se analiza el modelo de madurez para las
subcategorías que tengan prioridad P1.

Nivel 1 Nivel 2 Nivel 3 Nivel 4

Mejor esfuerzo. Extensión al resto Políticas y Mejora continua.

de la procedimientos Auditoria.
Centrado en el organización. formales.
centro de datos.

Los niveles de madurez en cada subcategoría serán descritos según sus requisitos.
▪ Nivel 0: Es el primer nivel del modelo de madurez donde las acciones vinculadas a
seguridad de la información y ciberseguridad son casi o totalmente inexistentes. La
organización no ha reconocido aún la necesidad de realizar esfuerzos en
ciberseguridad. Este nivel no es incluido en la tabla del modelo de madurez.

▪ Nivel 1: Es el segundo nivel del modelo. Existen algunas iniciativas sobre

ciberseguridad, aunque los esfuerzos se realizan en forma aislada. Se realizan
implementaciones con enfoques ad-hoc y existe alta dependencia del personal que
lleva a cabo las tareas que habitualmente no se encuentran documentadas. Existe
una actitud reactiva ante incidentes de seguridad.

▪ Nivel 2: Es el tercer nivel del modelo de madurez. Se han establecido ciertos

lineamientos o pautas para la ejecución de las tareas, pero aún existe dependencia
del conocimiento individual. Se ha avanzado en el desarrollo de los procesos y existe
cierta documentación para realizar las tareas.

▪ Nivel 3: Es el cuarto nivel del modelo de madurez y se caracteriza por la

formalización y documentación de políticas y procedimientos, así como
implementaciones de alta complejidad y/o automatizaciones que centralizan y
permiten iniciativas de gobernanza. Las políticas y procedimientos son difundidos,
facilitan la gestión y posibilitan establecer controles y métricas. Los esfuerzos en
ciberseguridad se enfocan en los procesos, las personas y la tecnología.

▪ Nivel 4: Es el último nivel del modelo de madurez. El Responsable de la Seguridad

de la Información (RSI) tiene un rol clave en el control y mejora del Sistema de
Gestión de Seguridad de la Información (SGSI) realizando o coordinando actividades
de control interno para verificar cumplimientos y desvíos. Se desarrollan las
lecciones aprendidas que, junto con los controles determinan las acciones para la
mejora continua. Las partes interesadas son informadas periódicamente, lo cual

11
 permite alinear los esfuerzos, estrategias y tecnologías de ciberseguridad con los
objetivos y estrategias de la organización.

Referencias
En esta columna se transcriben todas las referencias mencionadas el Marco de
Ciberseguridad de NIST para cada subcategoría.
Tal como se menciona en el CSF NIST, la información sobre las referencias informativas
descritas aquí, se pueden encontrar en los siguientes enlaces:
▪ Control Objectives for Information and Related Technology, (COBIT):
http://www.isaca.org/COBIT/Pages/default.aspx.
▪ CIS Critical Security Controls for Effective Cyber Defense, (CIS Controls):
https://www.cisecurity.org.
▪ American National Standards Institute/International Society of Automation
(ANSI/ISA)-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control
Systems: Establishing an Industrial Automation and Control Systems Security Program:
https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116731.
▪ ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control
Systems: System Security Requirements and Security Levels:
https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116785.
▪ ISO/IEC 27001, Information technology -Security techniques -Information security
management systems -Requirements: https://www.iso.org/standard/54534.html.
▪ NIST SP 800-53 Rev. 4-NIST Special Publication 800-53 Revision 4, Security and
Privacy Controls for Federal Information Systems and Organizations, abril de 2013
(incluidas las actualizaciones al 22 de enero de 2015).
https://doi.org/10.6028/NIST.SP.800-53r4. Las referencias informativas solo se asignan al
nivel de control, aunque cualquier mejora de control posiblemente puede resultar útil para
lograr un resultado de subcategoría.

Las Referencias no son exhaustivas, es decir que no todos los elementos (por ejemplo,
control, requisitos) de una Referencia dada se asignan a las Subcategorías del Marco de
trabajo.

Requisitos
Requisito o conjunto de requisitos mínimos incluidos en cada subcategoría. El detalle de
cada requisito podrá consultarse en la “Guía de implementación”.
Un requisito podrá mencionarse en más de una subcategoría, dependiendo de su enfoque.

12
5 Marco de Ciberseguridad

5.1 Función: IDENTIFICAR (ID)

Prioridad
Subcategoría x Perfil Referencias Requisitos relacionados
B E A

ID.GA Gestión de activos

Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se
identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de riesgo de la organización.

COBIT 5 BAI09.01, BAI09.02

GA.1 Identificar formalmente los activos de la
ID.GA-1. Los CIS CSC 1
organización junto con la definición de su
dispositivos físicos ISA 62443-2-1:2009 4.2.3.4
responsable.
y sistemas se P P P ISA 62443-3-3:2013 SR 7.8
encuentran 1 1 1 ISO/IEC 27001:2013 A.8.1.1,
GA.3 Pautar el uso aceptable de los activos.
inventariados. A.8.1.2
NIST SP 800-53 Rev. 4 CM-8,
OR.5 Pautar el uso de dispositivos móviles.
PM-5
CIS CSC 2
COBIT 5 BAI09.01, BAI09.02, GA.1 Identificar formalmente los activos de la
ID.GA-2. Las
BAI09.05 organización junto con la definición de su
plataformas de
ISA 62443-2-1:2009 4.2.3.4 responsable.
software y P P P
ISA 62443-3-3:2013 SR 7.8
aplicaciones se 1 1 1
ISO/IEC 27001:2013 A.8.1.1, GA.3 Pautar el uso aceptable de los activos.
encuentran
A.8.1.2, A.12.5.1
inventariadas.
NIST SP 800-53 Rev. 4 CM-8, CN.4 Gestionar las licencias de software.
PM-5
ID.GA-3. Se
utilizan medidas de CIS CSC 12
seguridad y COBIT 5 DSS05.02
procedimientos de ISA 62443-2-1:2009 4.2.3.4 SC.14 Mantener la seguridad de la información
P P P
gestión para ISO/IEC 27001:2013 A.13.2.1, durante su intercambio dentro o fuera de la
2 2 1
proteger y A.13.2.2 organización.
controlar el flujo de NIST SP 800-53 Rev. 4 AC-4,
información interna CA-3, CA-9, PL-8
y externa.
ID.GA-4. El
equipamiento y los
sistemas de
información CIS CSC 12
utilizados fuera de COBIT 5 APO02.02, APO10.04,
las instalaciones P P P DSS01.02
GA.3 Pautar el uso aceptable de los activos.
se encuentran 2 1 1 ISO/IEC 27001:2013 A.11.2.6
identificados y se NIST SP 800-53 Rev. 4 AC-20,
aplican medidas SA-9
para mantener la
seguridad de la
información.

13
ID.GA-5. Los
activos (por
ejemplo: hardware,
dispositivos, datos CIS CSC 13, 14
y software) se COBIT 5 APO03.03, APO03.04,
encuentran APO12.01, BAI04.02, BAI09.02 GA.2 Clasificar y proteger la información de
P P P
clasificados en ISA 62443-2-1:2009 4.2.3.6 acuerdo a la normativa y a los criterios de
2 2 1
función del tipo de ISO/IEC 27001:2013 A.8.2.1 valoración definidos.
información que NIST SP 800-53 Rev. 4 CP-2,
contienen o RA-2, SA-14, SC-6
procesan y en el
valor que poseen
para el negocio.
ID.GA-6. Los roles
CIS CSC 17, 19
y
COBIT 5 APO01.02, APO07.06, OR.1 Designar un Responsable de la Seguridad de
responsabilidades
APO13.01, DSS06.03 la Información.
de seguridad de la P P P
ISA 62443-2-1:2009 4.3.2.3.3
información y 1 1 1
ISO/IEC 27001:2013 A.6.1.1 OR.2 Conformar un Comité de Seguridad de la
ciberseguridad se
NIST SP 800-53 Rev. 4 CP-2, Información.
encuentran
PS-7, PM-11
asignados.

ID.AN. Ambiente del negocio

La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados. Esta información es
utilizada para informar a los recursos de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de
riesgos.

COBIT 5 APO08.01, APO08.04,

ID.AN-1. Se APO08.05, APO10.03,
identifica y APO10.04, APO10.05
N N
comunica el rol de N/ ISO/IEC 27001:2013 A.15.1.1,
/ / -
la organización en A A.15.1.2, A.15.1.3, A.15.2.1,
A A
la cadena de A.15.2.2
suministro. NIST SP 800-53 Rev. 4 CP-2,
SA-12
ID.AN-2. El lugar
que ocupa la
organización en la
COBIT 5 APO02.06, APO03.01
infraestructura N N
N/ ISO/IEC 27001:2013 Cláusula
crítica y en su / / -
A 4.1
sector de industria A A
NIST SP 800-53 Rev. 4 PM-8
se encuentra
identificado y
comunicado.
ID.AN-3. Se
establecen y se COBIT 5 APO02.01, APO02.06,
comunican las APO03.01
prioridades para la P P P ISA 62443-2-1:2009 4.2.2.1, PL.1 Establecer objetivos anuales con relación a la
misión de la 1 1 1 4.2.3.6 seguridad de la información.
organización, sus NIST SP 800-53 Rev. 4 PM-11,
objetivos y SA-14
actividades.
SF.2 Implementar controles ambientales en los
ID.AN-4. Se centros de datos y áreas relacionadas.
COBIT 5 APO10.01, BAI04.02,
establecen las
BAI09.02
dependencias y SF.3 Contar con un sistema de gestión y monitoreo
P P P ISO/IEC 27001:2013 A.11.2.2,
funciones centralizado capaz de alertar fallas en
3 2 1 A.11.2.3, A.12.1.3
fundamentales componentes críticos.
NIST SP 800-53 Rev. 4 CP-8,
para la entrega de
PE-9, PE-11, PM-8, SA-14
servicios críticos. SO.3 Gestionar la capacidad de los servicios y
recursos que se encuentran operativos.
ID.AN-5. Se
CO.1 Contar con componentes redundantes que
establecen COBIT 5 BAI03.02, SS04.02
contribuyan al normal funcionamiento del centro de
requisitos de ISO/IEC 27001:2013 A.11.1.4,
P P P datos.
resiliencia para A.17.1.1, A.17.1.2, A.17.2.1
3 2 1
soportar la entrega NIST SP 800-53 Rev. 4 CP-2,
CO.2 Los sistemas críticos de la infraestructura de
de servicios CP-11, SA-13, SA-14
telecomunicaciones, como el cableado, routers y
críticos.

14
 switches (LAN, SAN, etc.), deben contar con
redundancia.

CO.3 Establecer los medios necesarios para

garantizar la continuidad de las operaciones.

CO.4 Planificar la continuidad de las operaciones y

recuperación ante desastres.

CO.5 Definir las ventanas de tiempo soportadas

para la continuidad de las operaciones.

ID.GO. Gobernanza

Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y
operativos de la organización, son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.

CIS CSC 19
ID.GO-1. La COBIT 5 APO01.03, APO13.01,
política de EDM01.01, EDM01.02
seguridad de la P P P ISA 62443-2-1:2009 4.3.2.6 PS.1 Adoptar una Política de Seguridad de la
información se 1 1 1 ISO/IEC 27001:2013 A.5.1.1 Información.
encuentra NIST SP 800-53 Rev. 4-1
establecida. controles de todas las familias de
control de seguridad
ID.GO-2. Los roles
CIS CSC 19
y las
COBIT 5 APO01.02, APO10.03,
responsabilidades OR.1 Designar un Responsable de la Seguridad de
APO13.02, DSS05.04
de la seguridad de la Información.
P P P ISA 62443-2-1:2009 4.3.2.3.3
la información
1 1 1 ISO/IEC 27001:2013 A.6.1.1,
están coordinados OR.2 Conformar un Comité de Seguridad de la
A.7.2.1, A.15.1.1
y alineados con Información.
NIST SP 800-53 Rev. 4 PS-7,
roles internos y
PM1, PM-2
socios externos.
CN.1 Cumplir con los requisitos normativos.

SC.1 Los portales Web institucionales de los

organismos de la Administración Central y sus
dependencias deben identificarse con la extensión
“gub.uy” y “mil.uy”, según corresponda.

SC.2 Los portales Web institucionales de Unidades

Ejecutoras, aplicaciones, portales y sitios Web
correspondientes a proyectos y programas, sitios
promocionales y temáticos, incluyendo zonas
restringidas de acceso mediante usuario y
contraseña disponibles para ciudadanos y
CIS CSC 19 funcionarios del organismo (contenidos Web),
ID.GO-3. Los
COBIT 5 BAI02.01, MEA03.01, deberán ser subdominios del dominio del inciso
requisitos legales y
MEA03.04 correspondiente.
regulatorios sobre
ISA 62443-2-1:2009 4.4.3.7
la ciberseguridad,
P P P ISO/IEC 27001:2013 A.18.1.1, SC.3 El portal del organismo jerarca deberá hacer
incluyendo las
1 1 1 A.18.1.2, A.18.1.3, A.18.1.4, referencia a todos los dominios y subdominios que
obligaciones de
A.18.1.5 se correspondan con todos los contenidos Web que
privacidad, son
NIST SP 800-53 Rev. 4-1 le reporten.
comprendidos y se
controles de todas las familias de
gestionan.
control de seguridad SC.4 Los nombres de dominio del organismo o
dependencias serán sus iniciales, su acrónimo, o el
nombre con el cual se los conoce públicamente.
Deberá justificarse que la denominación elegida
sea la más representativa.

SC.5 La información de contacto de los

responsables de los dominios y subdominios
deberá ser comunicada a Agesic y actualizada en
períodos de seis meses.

SC.7 Los servidores de correo electrónico (MTA)

de dominios gubernamentales deben alojarse
dentro del territorio nacional, y no se permite su

15
 implementación sobre tecnologías que no
garanticen dicho requerimiento.

ID.GO-4. COBIT 5 EDM03.02, APO12.02,

Construcción de APO12.05, DSS04.02
procesos de ISA 62443-2-1:2009 4.2.3.1, GR.1 Adoptar una metodología de Evaluación de
gobernanza y 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, Riesgo alineada a las necesidades del SGSI.
P P P
administración de 4.3.2.4.3, 4.3.2.6.3
2 1 1
riesgos dirigidos a ISO/IEC 27001:2013 Cláusula 6 PL.1 Establecer objetivos anuales con relación a la
atender los NIST SP 800-53 Rev. 4 SA-2, Seguridad de la Información.
problemas de PM-3, PM-7, PM9, PM10, PM-11
ciberseguridad.

ID.ER. Evaluación de riesgos

La empresa comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.

CIS CSC 4
COBIT 5 APO12.01, APO12.02,
APO12.03, APO12.04,
ID.ER-1. Se DSS05.01, DSS05.02 SO.1 Gestionar las vulnerabilidades técnicas.
identifican y ISA 62443-2-1:2009 4.2.3,
P P P
documentan las 4.2.3.7, 4.2.3.9, 4.2.3.12 CN.3 Revisar regularmente los sistemas de
2 2 1
vulnerabilidades ISO/IEC 27001:2013 A.12.6.1, información mediante pruebas de intrusión (ethical
de los activos. A.18.2.3 hacking) y evaluación de vulnerabilidades.
NIST SP 800-53 Rev. 4 CA2,
CA-7, CA-8, RA-3, RA-5, SA-5,
SA-11, SI-2, SI-4, SI-5
ID.ER-2.
CIS CSC 4
Recepción de
COBIT 5 BAI08.01
información sobre
ISA 62443-2-1:2009 4.2.3,
amenazas y P P P OR.3 Definir los mecanismos para el contacto
4.2.3.9, 4.2.3.12
vulnerabilidades 2 2 1 formal con autoridades y equipo de respuesta.
ISO/IEC 27001:2013 A.6.1.4
por parte de
NIST SP 800-53 Rev. 4 SI-5,
grupos y fuentes
PM-15, PM-16
especializadas.
CIS CSC 4
COBIT 5 APO12.01, APO12.02,
ID.ER-3.
APO12.03, APO12.04
Identificación y
ISA 62443-2-1:2009 4.2.3,
documentación de P P P GR.2 Realizar de manera sistemática el proceso de
4.2.3.9, 4.2.3.12
las amenazas 1 1 1 evaluación de riesgos del SGSI.
ISO/IEC 27001:2013 Cláusula
internas y
6.1.2
externas.
NIST SP 800-53 Rev. 4 RA-3, SI-
5, PM-12, PM-16
CIS CSC 4
ID.ER-4. COBIT 5 DSS04.02 GR.2 Realizar de manera sistemática el proceso de
Identificación del ISA 62443-2-1:2009 4.2.3, evaluación de riesgos del SGSI.
impacto potencial P P P 4.2.3.9, 4.2.3.12
en el negocio y la 1 1 1 ISO/IEC 27001:2013 A.16.1.6, GI.6 Establecer los mecanismos que le permitan a
probabilidad de Cláusula 6.1.2 la organización aprender de los incidentes
ocurrencia. NIST SP 800-53 Rev. 4 RA-2, ocurridos.
RA-3, SA-14, PM-9, PM-11
ID.ER-5. Las
amenazas,
vulnerabilidades, CIS CSC 4
probabilidad de COBIT 5 APO12.02 GR.2 Realizar de manera sistemática el proceso de
P P P
ocurrencia e ISO/IEC 27001:2013 A.12.6.1 evaluación de riesgos del SGSI.
1 1 1
impactos se NIST SP 800-53 Rev. 4 RA-2,
utilizan para RA-3, PM-16
determinar el
riesgo.
ID.ER-6.
CIS CSC 4 GR.3 Tratamiento o un plan de acción correctivo
Identificación y
P P P COBIT 5 APO12.05, APO13.02 sobre los riesgos encontrados y, de acuerdo a su
priorización de las
2 1 1 ISO/IEC 27001:2013 Cláusula resultado, implementar las acciones correctivas y
respuestas a los
6.1.3 preventivas correspondientes.
riesgos.

16
 NIST SP 800-53 Rev. 4 PM-4,
PM-9

ID.GR. Estrategia para la gestión de riesgos

Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan para soportar
las decisiones de los riesgos operacionales.

ID.GR-1. Los
procesos de CIS CSC 4
gestión de riesgos COBIT 5 APO12.04, APO12.05,
se encuentran APO13.02, BAI02.03, BAI04.02
establecidos, P P P ISA 62443-2-1:2009 4.3.4.2 GR.1 Adoptar una metodología de Evaluación de
gestionados y 3 1 1 ISO/IEC 27001:2013 Cláusula Riesgo alineada a las necesidades del SGSI.
aprobados por 6.1.3, Cláusula 8.3,
todos los Cláusula 9.3
interesados de la NIST SP 800-53 Rev. 4 PM-9
organización.
ID.GR-2. Se
determina y se COBIT 5 APO12.06
GR.3 Tratamiento o un plan de acción correctivo
expresa de forma ISA 62443-2-1:2009 4.3.2.6.5
P P P sobre los riesgos encontrados y, de acuerdo a su
clara la tolerancia ISO/IEC 27001:2013 Cláusula
2 1 1 resultado, implementar las acciones correctivas y
al riesgo a nivel de 6.1.3, Cláusula 8.3
preventivas correspondientes.
toda la NIST SP 800-53 Rev. 4 PM-9
organización.
ID.GR-3. La
tolerancia al riesgo
de la organización
GR.2 Realizar de manera sistemática el proceso de
es determinada por
COBIT 5 APO12.02 evaluación de riesgos del SGSI.
su rol y
ISO/IEC 27001:2013 Cláusula
pertenencia a la P P P
6.1.3, Cláusula 8.3 GR.3 Tratamiento o un plan de acción correctivo
infraestructura 2 1 1
NIST SP 800-53 Rev. 4 SA-14, sobre los riesgos encontrados y, de acuerdo a su
crítica y por la
PM-8, PM-9, PM-11 resultado, implementar las acciones correctivas y
evaluación de
preventivas correspondientes.
riesgos específicos
del sector al que
pertenece.

ID.CS. Gestión de riesgos en la cadena de suministros

Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen y se utilizan para
respaldar las decisiones de riesgo asociadas con la gestión del riesgo de la cadena de suministro. La organización ha
establecido e implementado los procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro.

ID.CS-1. Los
CIS CSC 4
actores de la
COBIT 5 APO10.01, APO10.04,
organización
APO12.04, APO12.05,
identifican,
APO13.02, BAI01.03, BAI02.03,
establecen,
BAI04.02
evalúan, gestionan P P P RP.1 Definir acuerdos de niveles de servicio (SLA)
ISA 62443-2-1:2009 4.3.4.2
y acuerdan los 1 1 1 con los proveedores de servicios críticos.
ISO/IEC 27001:2013 A.15.1.1,
procesos de
A.15.1.2, A.15.1.3, A.15.2.1,
gestión del riesgo
A.15.2.2
de la cadena de
NIST SP 800-53 Rev. 4 SA-9,
suministro
SA12, PM-9
cibernética.
COBIT 5 APO10.01, APO10.02,
ID.CS-2. Los APO10.04, APO10.05,
proveedores y APO12.01, APO12.02,
socios externos de APO12.03, APO12.04,
los sistemas de APO12.05, APO12.06,
información, P P P APO13.02, BAI02.03 GR.2 Realizar de manera sistemática el proceso de
componentes y 1 1 1 ISA 62443-2-1:2009 4.2.3.1, evaluación de riesgos del SGSI.
servicios se 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6,
identifican, se 4.2.3.8, 4.2.3.9, 4.2.3.10,
priorizan y se 4.2.3.12, 4.2.3.13, 4.2.3.14
evalúan mediante ISO/IEC 27001:2013 A.15.2.1,
un proceso de A.15.2.2

17
evaluación de NIST SP 800-53 Rev. 4 RA2,
riesgos de la RA-3, SA-12, SA-14, SA-15, PM-
cadena de 9
suministro
cibernético.
ID.CS-3. Los
contratos con
proveedores y
socios externos se
utilizan para
implementar
COBIT 5 APO10.01, APO10.02,
medidas
APO10.03, APO10.04,
apropiadas
APO10.05
diseñadas para
ISA 62443-2-1:2009 4.3.2.6.4, RP.2 Establecer pautas, realizar seguimiento y
cumplir con los P P P
4.3.2.6.7 revisión de los servicios de los proveedores, y
objetivos del 2 1 1
ISO/IEC 27001:2013 A.15.1.1, gestionar sus cambios.
programa de
A.15.1.2, A.15.1.3
seguridad
NIST SP 800-53 Rev. 4 SA-9,
cibernética de una
SA-11, SA-12, PM-9
organización y el
plan de gestión de
riesgos de la
cadena de
suministro
cibernético.
ID.CS-4. Los
proveedores y los COBIT 5 APO10.01, APO10.03,
socios externos se APO10.04, APO10.05,
evalúan de forma MEA01.01, MEA01.02,
rutinaria mediante MEA01.03, MEA01.04,
auditorías, MEA01.05
RP.2 Establecer pautas, realizar seguimiento y
resultados de P P P ISA 62443-2-1:2009 4.3.2.6.7
revisión de los servicios de los proveedores, y
pruebas u otras 2 1 1 ISA 62443-3-3:2013 SR 6.1
gestionar sus cambios.
formas de ISO/IEC 27001:2013 A.15.2.1,
evaluación para A.15.2.2
confirmar que NIST SP 800-53 Rev. 4 AU-2,
cumplen con sus AU-6, AU-12, AU-16, PS-7, SA-
obligaciones 9, SA-12
contractuales.
CIS CSC 19, 20
ID.CS-5. Las COBIT 5 DSS04.04
pruebas y la ISA 62443-2-1:2009 4.3.2.5.7,
planificación de 4.3.4.5.11
P P P CO.4 Planificar la continuidad de las operaciones y
respuesta y ISA 62443-3-3:2013 SR 2.8, SR
3 2 1 recuperación ante desastres.
recuperación se 3.3, SR.6.1, SR 7.3, SR 7.4
llevan a cabo con ISO/IEC 27001:2013 A.17.1.3
proveedores. NIST SP 800-53 Rev. 4 CP-2,
CP-4, IR3, IR-4, IR6, IR8, IR-9

5.2 Función: Proteger (PR)

Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil

PR.CA. Control de acceso

El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y transacciones
autorizadas.

18
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
CIS CSC 1, 5, 15, 16
COBIT 5 DSS05.04, DSS06.03
ISA 62443-2-1:2009 4.3.3.5.1
PR.CA-1. Las ISA 62443-3-3:2013 SR 1.1, SR
identidades y 1.2, SR 1.3, SR 1.4, SR 1.5, SR
credenciales para 1.7, SR 1.8, SR 1.9 CA.1 Gestionar el acceso lógico.
P P P
usuarios y ISO/IEC 27001:2013 A.9.2.1,
1 1 1
dispositivos A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.6, CA.2 Revisar los privilegios de acceso lógico.
autorizados son A.9.3.1, A.9.4.2, A.9.4.3
gestionadas. NIST SP 800-53 Rev. 4 AC-1,
AC-2, IA-1, IA-2, IA-3, IA4, IA-5,
IA-6, IA-7, IA-8, IA-9, IA-10, IA-
11
COBIT 5 DSS01.04, DSS05.05
ISA 62443-2-1:2009 4.3.3.3.2,
4.3.3.3.8
ISO/IEC 27001:2013 A.11.1.1,
PR.CA-2. Se
A.11.1.2, A.11.1.3, SF.1 Implementar controles de acceso físico a las
gestiona y protege P P P
A.11.1.4, A.11.1.5, A.11.1.6, instalaciones y equipos ubicados en los centros de
el acceso físico a 1 1 1
A.11.2.1, datos y áreas relacionadas.
los activos.
A.11.2.3, A.11.2.5, A.11.2.6,
A.11.2.7, A.11.2.8
NIST SP 800-53 Rev. 4 PE-2,
PE-3, PE-4, PE-5, PE-6, PE8
CIS CSC 12
COBIT 5 APO13.01, DSS01.04,
DSS05.03
ISA 62443-2-1:2009 4.3.3.6.6
OR.6 Establecer controles para proteger la
ISA 62443-3-3:2013 SR 1.13, SR
PR.CA-3. Gestión P P P información a la que se accede de forma remota.
2.6
de acceso remoto. 2 1 1
ISO/IEC 27001:2013 A.6.2.1,
SC.6 Establecer acuerdos de no divulgación.
A.6.2.2, A.11.2.6, A.13.1.1,
A.13.2.1
NIST SP 800-53 Rev. 4 AC-1,
AC-17, AC-19, AC-20, SC-15
CIS CSC 3, 5, 12, 14, 15, 16, 18
PR.CA-4. Gestión COBIT 5 DSS05.04
de permisos de ISA 62443-2-1:2009 4.3.3.7.3
acceso, ISA 62443-3-3:2013 SR 2.1
incorporando los P P P ISO/IEC 27001:2013 A.6.1.2,
CA.1 Gestionar el acceso lógico.
principios de 1 1 1 A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4,
menor privilegio y A.9.4.5
segregación de NIST SP 800-53 Rev. 4 AC-1,
funciones. AC-2, AC-3, AC-5, AC-6, AC14,
AC16, AC24
CIS CSC 9, 14, 15, 18
COBIT 5 DSS01.05, DSS05.02
PR.CA-5.
ISA 62443-2-1:2009 4.3.3.4
Protección de la
ISA 62443-3-3:2013 SR 3.1, SR
integridad de la red
P P P 3.8 SC.13 Debe existir segregación a nivel de servicios
incorporando
2 2 1 ISO/IEC 27001:2013 A.13.1.1, de información.
segregación
A.13.1.3, A.13.2.1, A.14.1.2,
cuando es
A.14.1.3
apropiado.
NIST SP 800-53 Rev. 4 AC-4,
AC-10, SC-7

19
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
CIS CSC, 16
COBIT 5 DSS05.04, DSS05.05,
DSS05.07, DSS06.03
ISA 62443-2-1:2009 4.3.3.2.2,
PR.CA-6. Las
4.3.3.5.2, 4.3.3.7.2, 4.3.3.7.4
identidades son
ISA 62443-3-3:2013 SR 1.1, SR
verificadas y
P P P 1.2, SR 1.4, SR 1.5, SR 1.9, SR
vinculadas a CA.1 Gestionar el acceso lógico.
1 1 1 2.1
credenciales y
ISO/IEC 27001:2013, A.7.1.1,
afirmadas en las
A.9.2.1
interacciones.
NIST SP 800-53 Rev. 4 AC-1,
AC-2, AC-3, AC-16, AC-19, AC-
24, IA1, IA-2, IA-4, IA-5, IA-8,
PE-2, PS-3
PR.CA-7. Se CIS CSC 1, 12, 15, 16
autentican los COBIT 5 DSS05.04, DSS05.10,
usuarios, DSS06.10
dispositivos y otros ISA 62443-2-1:2009 4.3.3.6.1,
activos (por 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4,
ejemplo, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7,
autenticación de 4.3.3.6.8, 4.3.3.6.9
un solo factor o ISA 62443-3-3:2013 SR 1.1, SR CA.1 Gestionar el acceso lógico.
P P P
múltiples factores) 1.2, SR 1.5, SR 1.7, SR 1.8, SR
1 1 1
acorde al riesgo de 1.9, SR 1.10 CN.1 Cumplir con los requisitos normativos.
la transacción (por ISO/IEC 27001:2013 A.9.2.1,
ejemplo, riesgos A.9.2.4, A.9.3.1, A.9.4.2, A.9.4.3,
de seguridad y A.18.1.4
privacidad de NIST SP 800-53 Rev. 4 AC7,
individuos y otros AC-8, AC9, AC-11, AC-12, AC-
riesgos para las 14, IA1, IA-2, IA-3, IA-4, IA5, IA-
organizaciones). 8, IA-9, IA-10, IA11

PR.CF. Concientización y formación

El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre seguridad de la

información. Están adecuadamente entrenados para cumplir con sus obligaciones referentes a la seguridad de la
información y alineados con las políticas, procedimientos y acuerdos existentes.

CIS CSC 17, 18

PR.CF-1. Todos COBIT 5 APO07.03, BAI05.07
los usuarios se ISA 62443-2-1:2009 4.3.2.4.2 GH.2 Concientizar y formar en materia de
P P P
encuentran ISO/IEC 27001:2013 A.7.2.2, seguridad de la información a todo el personal.
1 2 1
entrenados e A.12.2.1
informados. NIST SP 800-53 Rev. 4 AT-2,
PM-13
CIS CSC 5, 17, 18
COBIT 5 APO07.02, DSS05.04,
PR.CF-2. Los
DSS06.03
usuarios
ISA 62443-2-1:2009 4.3.2.4.2,
privilegiados P P P GH.2 Concientizar y formar en materia de
4.3.2.4.3
comprenden sus 2 2 1 seguridad de la información a todo el personal.
ISO/IEC 27001:2013 A.6.1.1,
roles y
A.7.2.2
responsabilidades.
NIST SP 800-53 Rev. 4 AT-3,
PM-13
PR.CF-3. CIS CSC 17
Interesados COBIT 5 APO07.03, APO07.06,
externos APO10.04, APO10.05
(proveedores, P P P ISA 62443-2-1:2009 4.3.2.4.2 GH.2 Concientizar y formar en materia de
clientes, socios) 3 2 1 ISO/IEC 27001:2013 A.6.1.1, seguridad de la información a todo el personal.
comprenden sus A.7.2.1, A.7.2.2
roles y NIST SP 800-53 Rev. 4 PS-7,
responsabilidades. SA-9, SA-16
CIS CSC 17, 19
PR.CF-4. La
COBIT 5 EDM01.01, APO01.02,
gerencia ejecutiva
P P P APO07.03 GH.2 Concientizar y formar en materia de
comprende sus
1 1 1 ISA 62443-2-1:2009 4.3.2.4.2 seguridad de la información a todo el personal.
roles y
ISO/IEC 27001:2013 A.6.1.1,
responsabilidades.
A.7.2.2

20
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
NIST SP 800-53 Rev. 4 AT-3,
PM-13
PR.CF-5. El
CIS CSC 17
personal de
COBIT 5 APO07.03
seguridad física y
ISA 62443-2-1:2009 4.3.2.4.2
de seguridad de la P P P GH.2 Concientizar y formar en materia de
ISO/IEC 27001:2013 A.6.1.1,
información 2 2 1 seguridad de la información a todo el personal.
A.7.2.2
comprende sus
NIST SP 800-53 Rev. 4 AT-3, IR-
roles y
2, PM13
responsabilidades.

PR.SD. Seguridad de los datos

La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger la
confidencialidad, integridad y disponibilidad de la información.

CIS CSC 13, 14

COBIT 5 APO01.06, BAI02.01, SO.6 Respaldar la información y realizar pruebas
PR.SD-1. Los BAI06.01, DSS04.07, DSS05.03, de restauración periódicas.
datos en reposo DSS06.06
P P P
(inactivos) se ISA 62443-3-3:2013 SR 3.4, SR CA.3 Establecer controles criptográficos.
2 2 1
encuentran 4.1
protegidos. ISO/IEC 27001:2013 A.8.2.3 CA.4 Establecer los controles para el uso de firma
NIST SP 800-53 Rev. 4 MP-8, electrónica.
SC-12, SC-28
CIS CSC 13, 14
COBIT 5 APO01.06, DSS05.02, SC.14 Mantener la seguridad de la información
DSS06.06 durante su intercambio dentro o fuera de la
PR.SD-2. Los ISA 62443-3-3:2013 SR 3.1, SR organización.
datos en tránsito P P P 3.8, SR 4.1, SR 4.2 ISO/IEC
se encuentran 2 2 1 27001:2013 A.8.2.3, A.13.1.1, CA.3 Establecer controles criptográficos.
protegidos. A.13.2.1, A.13.2.3, A.14.1.2,
A.14.1.3 CA.4 Establecer los controles para el uso de firma
NIST SP 800-53 Rev. 4 SC-8, electrónica.
SC-11, SC-12
CIS CSC 1
PR.SD-3. Los COBIT 5 BAI09.03
activos se ISA 62443-2-1:2009 4.3.3.3.9,
gestionan 4.3.4.4.1
formalmente a lo P P P ISA 62443-3-3:2013 SR 4.2 GA.5 Establecer los mecanismos para destruir la
largo de la 2 2 1 ISO/IEC 27001:2013 A.8.2.3, información y medios de almacenamiento.
eliminación, las A.8.3.1, A.8.3.2, A.8.3.3,
transferencias y A.11.2.5, A.11.2.7
disposición. NIST SP 800-53 Rev. 4 CM-8,
MP-6, PE-16
CIS CSC 1, 2, 13
PR.SD-4. Se COBIT 5 APO13.01, BAI04.04
mantiene una ISA 62443-3-3:2013 SR 7.1, SR
adecuada P P P 7.2 SO.3 Gestionar la capacidad de los servicios que
capacidad para 3 3 1 ISO/IEC 27001:2013 A.12.1.3, se encuentran operativos.
asegurar la A.17.2.1
disponibilidad. NIST SP 800-53 Rev. 4 AU-4,
CP-2, SC-5
CIS CSC 13
COBIT 5 APO01.06, DSS05.04,
DSS05.07, DSS06.02
ISA 62443-3-3:2013 SR 5.2
ISO/IEC 27001:2013 A.6.1.2,
GH.1 Establecer acuerdos contractuales con el
PR.SD-5. Se A.7.1.1, A.7.1.2, A.7.3.1, A.8.2.2,
personal donde figuren sus responsabilidades y las
implementan A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3,
P P P de la organización respecto a la seguridad de la
medidas de A.9.4.1, A.9.4.4, A.9.4.5,
2 1 1 información.
protección contra A.10.1.1, A.11.1.4,
fuga de datos. A.11.1.5, A.11.2.1, A.13.1.1,
SC.6 Establecer acuerdos de no divulgación.
A.13.1.3, A.13.2.1, A.13.2.3,
A.13.2.4, A.14.1.2, A.14.1.3
NIST SP 800-53 Rev. 4 AC-4,
AC-5, AC-6, PE-19, PS-3, PS-6,
SC-7, SC-8, SC-13, SC-31, SI-4

21
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
CIS CSC 2, 3
COBIT 5 APO01.06, BAI06.01,
PR.SD-6. Se
DSS06.02
realizan chequeos
ISA 62443-3-3:2013 SR 3.1, SR
de integridad para SO.5 Controlar software malicioso.
P P P 3.3, SR 3.4, SR 3.8
verificar software,
1 1 1 ISO/IEC 27001:2013 A.12.2.1,
firmware e SO.8 Gestionar la instalación de software.
A.12.5.1, A.14.1.2, A.14.1.3,
integridad de la
A.14.2.4
información.
NIST SP 800-53 Rev. 4 SC-16,
SI7
PR.SD-7. Los
entornos de
CIS CSC 18, 20
desarrollo y
P P P COBIT 5 BAI03.08, BAI07.04 SO.4 Definir entornos separados para desarrollo,
pruebas están
2 2 1 ISO/IEC 27001:2013 A.12.1.4 pruebas y producción.
separados del
NIST SP 800-53 Rev. 4 CM-2
entorno de
producción.
PR.SD-8. Se
utilizan
SF.2 Implementar controles ambientales en los
mecanismos de COBIT 5 BAI03.05
centros de datos y áreas relacionadas.
comprobación de ISA 62443-2-1:2009 4.3.4.4.4
P P P
la integridad para ISO/IEC 27001:2013 A.11.2.4
3 2 1 SF.3 Contar con un sistema de gestión y monitoreo
verificar la NIST SP 800-53 Rev. 4 SA-10,
centralizado capaz de alertar fallas en
integridad del SI-7
componentes críticos.
hardware.

PR.PI. Procesos y procedimientos para la protección de la información

Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de los
sistemas de información y los activos.

CIS CSC 3, 9, 11
COBIT 5 BAI10.01, BAI10.02,
BAI10.03, BAI10.05
PR.PI-1. Existe ISA 62443-2-1:2009 4.3.4.3.2,
una línea base de 4.3.4.3.3
la configuración de P P P ISA 62443-3-3:2013 SR 7.6
SO.2 Gestionar formalmente los cambios.
los sistemas de 3 3 1 ISO/IEC 27001:2013 A.12.1.2,
información que es A.12.5.1, A.12.6.2, A.14.2.2,
mantenida. A.14.2.3, A.14.2.4
NIST SP 800-53 Rev. 4 CM-2,
CM-3, CM-4, CM5, CM-6, CM-7,
CM-9, SA-10
PR.PI-2. Se
implementa el ciclo CIS CSC 18
de vida de COBIT 5 APO13.01, BAI03.01,
AD.1 Incluir requisitos de seguridad de la
desarrollo para BAI03.02, BAI03.03
información durante todo el ciclo de vida de los
gestionar los ISA 62443-2-1:2009 4.3.4.3.3
proyectos de desarrollo o adquisiciones de
sistemas. P P P ISO/IEC 27001:2013 A.6.1.5,
software.
2 2 1 A.14.1.1, A.14.2.1, A.14.2.5
NIST SP 800-53 Rev. 4 PL-8,
OR.4 Abordar la seguridad de la información en la
SA-3, SA-4, SA8, SA-10, SA-11,
gestión de los proyectos.
SA12, SA-15, SA-17, SI-12, SI-
13, SI14, SI-16, SI17

CIS CSC 3, 11
COBIT 5 BAI01.06, BAI06.01
ISA 62443-2-1:2009 4.3.4.3.2,
PR.PI-3. Existen
4.3.4.3.3
procesos de SO.2 Gestionar formalmente los cambios.
P P P ISA 62443-3-3:2013 SR 7.6
gestión del cambio
2 2 1 ISO/IEC 27001:2013 A.12.1.2,
en las SO.8 Gestionar la instalación de software.
A.12.5.1, A.12.6.2, A.14.2.2,
configuraciones.
A.14.2.3, A.14.2.4
NIST SP 800-53 Rev. 4 CM-3,
CM-4, SA-10

22
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
CIS CSC 10
COBIT 5 APO13.01, DSS01.01,
PR.PI-4. Se
DSS04.07
realizan y
ISA 62443-2-1:2009 4.3.4.3.9
mantienen
P P P ISA 62443-3-3:2013 SR 7.3, SR SO.6 Respaldar la información y realizar pruebas
respaldos de la
1 1 1 7.4 de restauración periódicas.
información y se
ISO/IEC 27001:2013 A.12.3.1,
testean
A.17.1.2, A.17.1.3, A.18.1.3
periódicamente.
NIST SP 800-53 Rev. 4 CP-4,
CP-6, CP-9
COBIT 5 DSS01.04, DSS05.05
PR.PI-5. Las ISA 62443-2-1:2009 4.3.3.3.1
SF.2 Implementar controles ambientales en los
políticas y 4.3.3.3.2, 4.3.3.3.3, 4.3.3.3.5,
centros de datos y áreas relacionadas.
reglamentos 4.3.3.3.6
P P P
relacionados con ISO/IEC 27001:2013 A.11.1.4,
2 2 1 SF.3 Contar con un sistema de gestión y monitoreo
el medio ambiente A.11.2.1, A.11.2.2, A.11.2.3
centralizado capaz de alertar fallas en
físico operativo se NIST SP 800-53 Rev. 4 PE-10,
componentes críticos.
cumplen. PE-12, PE13, PE-14, PE-15, PE-
18
COBIT 5 BAI09.03, DSS05.06
PR.PI-6. Los datos ISA 62443-2-1:2009 4.3.4.4.4
son eliminados de ISA 62443-3-3:2013 SR 4.2
P P P GA.5 Establecer los mecanismos para destruir la
acuerdo a las ISO/IEC 27001:2013 A.8.2.3,
2 2 1 información y medios de almacenamiento.
políticas de A.8.3.1, A.8.3.2,
seguridad. A.11.2.7
NIST SP 800-53 Rev. 4 MP-6
COBIT 5 APO11.06, APO12.06,
DSS04.05
ISA 62443-2-1:2009 4.4.3.1,
PR.PI-7. Existe
4.4.3.2, 4.4.3.3, 4.4.3.4, 4.4.3.5,
mejora continua de P P P PL.2 Revisión periódica y mejora continua del
4.4.3.6, 4.4.3.7, 4.4.3.8
los procesos de 3 2 1 SGSI.
ISO/IEC 27001:2013 A.16.1.6,
protección.
Cláusula 9, Cláusula 10
NIST SP 800-53 Rev. 4 CA2,
CA-7, CP-2, IR8, PL-2, PM-6
PR.PI-8. La
eficacia de las COBIT 5 BAI08.04, DSS03.04
GI.6 Establecer los mecanismos que le permitan a
tecnologías de P P P ISO/IEC 27001:2013 A.16.1.6
la organización aprender de los incidentes
protección se 3 2 1 NIST SP 800-53 Rev. 4 AC-21,
ocurridos.
comparten con las CA7, SI4
partes apropiadas.
PR.PI-9. Existen y
GI.1 Planificar la gestión de los incidentes de
se gestionan
seguridad de la información.
planes de
CIS CSC 19
respuesta a
COBIT 5 APO12.06, DSS04.03 GI.4 Registrar y reportar las violaciones a la
incidentes
ISA 62443-2-1:2009 4.3.2.5.3, seguridad de la información, confirmadas o
(respuesta a
4.3.4.5.1 sospechadas de acuerdo a los procedimientos
incidentes y P P P
ISO/IEC 27001:2013 A.16.1.1, correspondientes.
continuidad del 2 2 1
A.17.1.1, A.17.1.2, A.17.1.3
negocio) y planes
NIST SP 800-53 Rev. 4 CP-2, GI.5 Responder ante incidentes de seguridad de la
de recuperación
CP-7, CP-12, CP-13, IR-7, IR-8, información.
(recuperación de
IR-9, PE-17
incidentes y
CO.4 Planificar la continuidad de las operaciones y
recuperación de
recuperación ante desastres.
desastres).
CIS CSC 19, 20
PR.PI-10. Los COBIT 5 DSS04.04
CO.4 Planificar la continuidad de las operaciones y
planes de ISA 62443-2-1:2009 4.3.2.5.7,
recuperación ante desastres.
respuesta y P P P 4.3.4.5.11
recuperación se 3 2 1 ISA 62443-3-3:2013 SR 3.3
GI.5 Responder ante incidentes de seguridad de la
testean ISO/IEC 27001:2013 A.17.1.3
información.
regularmente. NIST SP 800-53 Rev. 4 CP-4,
IR3, PM-14
PR.PI-11. La
CIS CSC 5, 16 SC.6 Establecer acuerdos de no divulgación.
ciberseguridad se
P P P COBIT 5 APO07.01, APO07.02,
encuentra incluida
2 2 1 APO07.03, APO07.04, GH.1 Establecer acuerdos contractuales con el
en las prácticas de
APO07.05 personal donde figuren sus responsabilidades y las
RRHH.

23
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
ISA 62443-2-1:2009 4.3.3.2.1, de la organización respecto a la seguridad de la
4.3.3.2.2, 4.3.3.2.3 información.
ISO/IEC 27001:2013 A.7.1.1,
A.7.1.2, A.7.2.1, A.7.2.2, A.7.2.3,
A.7.3.1, A.8.1.4
NIST SP 800-53 Rev. 4 PS-1,
PS2, PS-3, PS-4, PS-5, PS6,
PS7, PS-8, SA-21
CIS CSC 4, 18, 20
COBIT 5 BAI03.10, DSS05.01,
PR.PI-12. Existe DSS05.02 SO.1 Gestionar las vulnerabilidades técnicas.
un plan de gestión P P P ISO/IEC 27001:2013 A.12.6.1,
de 2 2 1 A.14.2.3, A.16.1.3, A.18.2.2, CN.2 Realizar auditorías independientes de
vulnerabilidades. A.18.2.3 seguridad de la información.
NIST SP 800-53 Rev. 4 RA3,
RA-5, SI-2

PR.MA. Mantenimiento

El mantenimiento y las reparaciones de los componentes de los sistemas de información y de control industrial se lleva a
cabo en consonancia con las políticas y procedimientos.

PR.MA-1. El
mantenimiento y la
SF.1 Implementar controles de acceso físico a las
reparación de los COBIT 5 BAI03.10, BAI09.02,
instalaciones y equipos ubicados en los centros de
activos de la BAI09.03, DSS01.05
datos y áreas relacionadas.
organización se ISA 62443-2-1:2009 4.3.3.3.7
P P P
lleva a cabo y es ISO/IEC 27001:2013 A.11.1.2,
3 2 1 SF.3 Contar con un sistema de gestión y monitoreo
registrado en A.11.2.4, A.11.2.5, A.11.2.6
centralizado capaz de alertar fallas sobre el
forma oportuna NIST SP 800-53 Rev. 4 MA-2,
equipamiento y establecer el mantenimiento de los
con herramientas MA3, MA-5, MA-6
componentes críticos.
aprobadas y
controladas.
PR.MA-2. El
mantenimiento a SF.3 Contar con un sistema de gestión y monitoreo
CIS CSC 3, 5
distancia de los centralizado capaz de alertar fallas sobre el
COBIT 5 DSS05.04
activos de la equipamiento y establecer el mantenimiento de los
ISA 62443-2-1:2009 4.3.3.6.5,
organización se P P P componentes críticos.
4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8
aprueba, registra y 3 2 1
ISO/IEC 27001:2013 A.11.2.4,
lleva a cabo de RP.2 Establecer pautas, realizar seguimiento y
A.15.1.1, A.15.2.1
forma tal que se revisión de los servicios de los proveedores, y
NIST SP 800-53 Rev. 4 MA-4
impide el acceso gestionar sus cambios.
no autorizado.

PR.TP. Tecnología de protección

Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos de la
organización, en consonancia con las políticas, procedimientos y acuerdos.

CIS CSC 1, 3, 5, 6, 14, 15, 16

COBIT 5 APO11.04, BAI03.05,
DSS05.04, DSS05.07,
PR.TP-1. Los MEA02.01
registros de ISA 62443-2-1:2009 4.3.3.3.9,
auditoría (logs) se 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1,
documentan, P P P 4.4.2.2, 4.4.2.4 SO.7 Registrar y monitorear los eventos de los
implementan y se 2 2 1 ISA 62443-3-3:2013 SR 2.8, SR sistemas.
revisan de 2.9, SR 2.10, SR 2.11, SR 2.12
conformidad con la ISO/IEC 27001:2013 A.12.4.1,
política. A.12.4.2, A.12.4.3, A.12.4.4,
A.12.7.1
NIST SP 800-53 Rev. 4 Familia
AU
PR.TP-2. Los
CIS CSC 8, 13
medios extraíbles
P P P COBIT 5 APO13.01, DSS05.02,
se encuentran GA.4 Gestionar los medios de almacenamiento.
3 3 1 DSS05.06
protegidos y su
ISA 62443-3-3:2013 SR 2.3
uso se encuentra

24
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
restringido de ISO/IEC 27001:2013 A.8.2.1,
acuerdo con las A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3,
políticas. A.11.2.9
NIST SP 80053 Rev. 4 MP-2,
MP-3, MP-4, MP-5, MP-7, MP-8
CIS CSC 3, 11, 14
COBIT 5 DSS05.02, DSS05.05,
DSS06.06
ISA 62443-2-1:2009 4.3.3.5.1,
4.3.3.5.2, 4.3.3.5.3, 4.3.3.5.4,
4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7,
4.3.3.5.8, 4.3.3.6.1, 4.3.3.6.2,
PR.TP-3. El
4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5,
acceso a los
4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8,
sistemas y activos
P P P 4.3.3.6.9, 4.3.3.7.1, 4.3.3.7.2,
se controla CA.1 Gestionar el acceso lógico.
1 1 1 4.3.3.7.3, 4.3.3.7.4
incorporando el
ISA 62443-3-3:2013 SR 1.1, SR
principio de menor
1.2, SR 1.3, SR 1.4, SR 1.5, SR
privilegio.
1.6, SR 1.7, SR 1.8, SR 1.9, SR
1.10, SR 1.11, SR 1.12, SR 1.13,
SR 2.1, SR 2.2, SR 2.3, SR 2.4,
SR 2.5, SR 2.6, SR 2.7
ISO/IEC 27001:2013 A.9.1.2
NIST SP 80053 Rev. 4 AC-3,
CM-7
SC.8 Garantizar que los correos electrónicos en
tránsito entre dos MTAs, o entre un MUA y un MTA,
no comprometa la confidencialidad de la
información cuando esto sea posible.

SC.9 La implementación de canales de

comunicación cifrados entre MTA de dominios
gubernamentales es obligatoria y deberá
implementarse utilizando protocolos seguros. Los
MTA de dominios gubernamentales deberán
interrumpir el intento de entrega o recepción de
mensajes si este canal cifrado no se puede
negociar.

CIS CSC 8, 12, 15 SC.10 La implementación de canales de

COBIT 5 DSS05.02, APO13.01 comunicación cifrados con protocolos seguros
ISA 62443-3-3:2013 SR 3.1, SR entre MTA de dominios gubernamentales y un MTA
3.5, SR 3.8, SR 4.1, SR 4.3, SR de terceros deberá ser el método preferido de
5.1, SR 5.2, SR 5.3, SR 7.1, SR comunicación. Cuando el establecimiento de estos
PR.TP-4. Las 7.6 canales cifrados no sea posible, se podrá
redes y ISO/IEC 27001:2013 A.13.1.1, establecer un canal en texto claro.
P P P
comunicaciones se A.13.2.1, A.14.1.3
1 1 1
encuentran NIST SP 800-53 Rev. 4 AC-4, SC.11 La implementación de canales de
protegidas. AC17, AC18, CP8, SC7, SC-19, comunicación cifrados entre MUA y MTA de
SC-20, SC-21, SC-22, SC-23, dominios gubernamentales es mandatoria, y
SC24, SC-25, SC29, SC-32, SC- deberá implementarse utilizando protocolos
36, SC-37, SC38, SC39, SC-40, seguros. Los MTA de dominios gubernamentales
SC-41, SC-43 no deberán aceptar la descarga o entrega de
correos por parte de MUA si este canal cifrado no
se puede negociar. Los MTA no deberán aceptar la
descarga o consulta de correos electrónicos sobre
canales en texto claro.

SC.12 Los servicios de Webmail deben

implementarse sobre el protocolo HTTPS utilizando
un certificado de seguridad válido. Cuando la
información a transmitir vía email represente un
riesgo alto para la organización, se recomienda
implementar un modelo de cifrado a nivel de
mensaje.

SC.15 Todo sitio Web que contenga u oficie de

enlace a un trámite en línea debe tener un firewall

25
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
de aplicación Web (Web Application Firewall –
WAF).

PR.TP-5. Se
implementan COBIT 5 BAI04.01, BAI04.02,
mecanismos (por BAI04.03, BAI04.04, BAI04.05,
ejemplo, a prueba DSS01.05
de fallas, equilibrio ISA 62443-2-1:2009 4.3.2.5.2
CO.2 Los sistemas críticos de la infraestructura de
de carga, cambio ISA 62443-3-3:2013 SR 7.1, SR
P P P telecomunicaciones, como el cableado, routers y
en caliente o “hot 7.2
3 2 1 switches (LAN, SAN, etc.), deben contar con
swap”) para lograr ISO/IEC 27001:2013 A.17.1.2,
redundancia.
los requisitos de A.17.2.1
resiliencia en NIST SP 80053 Rev. 4 CP7, CP-
situaciones 8, CP-11, CP-13, PL-8, SA14,
normales y SC-6
adversas.

5.3 Función: DETECTAR (DE)

Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil

DE.AE. Anomalías y eventos

La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.

DE.AE-1. Se
establece y CIS CSC 1, 4, 6, 12, 13, 15, 16
gestiona una línea COBIT 5 DSS03.01
base de ISA 62443-2-1:2009 4.4.3.3
P P P SO.7 Registrar y monitorear los eventos de los
operaciones de red ISO/IEC 27001:2013 A.12.1.1,
3 3 2 sistemas.
y flujos de datos A.12.1.2, A.13.1.1, A.13.1.2
esperados para NIST SP 800-53 Rev. 4 AC-4,
usuarios y CA-3, CM-2, SI-4
sistemas.

26
 GI.2 Contar con mecanismos que permitan evaluar
CIS CSC 3, 6, 13, 15
los eventos de seguridad de la información y
COBIT 5 DSS05.07
DE.AE-2. Los decidir si se clasifican como incidentes de
ISA 62443-2-1:2009 4.3.4.5.6,
eventos seguridad de la información.
4.3.4.5.7, 4.3.4.5.8
detectados son
ISA 62443-3-3:2013 SR 2.8, SR
analizados para P P P SO.7 Registrar y monitorear los eventos de los
2.9, SR 2.10, SR 2.11, SR 2.12,
entender los 2 2 1 sistemas.
SR 3.9, SR 6.1, SR 6.2
objetivos y
ISO/IEC 27001:2013 A.12.4.1,
métodos de SC.15 Todo sitio Web que contenga u oficie de
A.16.1.1, A.16.1.4
ataque. enlace a un trámite en línea debe tener un firewall
NIST SP 800-53 Rev. 4 AU-6,
de aplicación Web (Web Application Firewall –
CA-7, IR-4, SI-4
WAF).
DE.AE-3. Los CIS CSC 1, 3, 4, 5, 6, 7, 8, 11,
datos de los 12, 13, 14, 15, 16
eventos se COBIT 5 BAI08.02
agrupan y P P P ISA 62443-3-3:2013 SR 6.1 SO.7 Registrar y monitorear los eventos de los
correlacionan 3 2 1 ISO/IEC 27001:2013 A.12.4.1, sistemas.
desde múltiples A.16.1.7
fuentes y NIST SP 800-53 Rev. 4 AU-6,
sensores. CA-7, IR-4, IR-5, IR-8, SI-4
GI.1 Planificar la gestión de los incidentes de
seguridad de la información.
CIS CSC 4, 6
DE.AE-4. Se
COBIT 5 APO12.06, DSS03.01 GR.2 Realizar de manera sistemática el proceso de
determina el P P P
ISO/IEC 27001:2013 A.16.1.4 evaluación de riesgos del SGSI.
impacto de los 3 2 1
NIST SP 800-53 Rev. 4 CP-2,
eventos.
IR4, RA-3, SI-4 SF.3 Contar con un sistema de gestión y monitoreo
centralizado capaz de alertar fallas en
componentes críticos.
GI.1 Planificar la gestión de los incidentes de
CIS CSC 6, 19 seguridad de la información.
DE.AE-5. Se COBIT 5 APO12.06, DSS03.01
establecen los P P P ISA 62443-2-1:2009 4.2.3.10 GI.5 Responder ante incidentes de seguridad de la
umbrales de alerta 3 2 1 ISO/IEC 27001:2013 A.16.1.4 información.
de incidentes. NIST SP 800-53 Rev. 4 IR4, IR-
5, IR-8 SO.7 Registrar y monitorear los eventos de los
sistemas.

DE.MC. Monitoreo continuo de la seguridad

Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de seguridad
cibernética y verificar la eficacia de las medidas de protección.

CIS CSC 1, 7, 8, 12, 13, 15, 16

DE.MC-1. Se
COBIT 5 DSS01.03, DSS03.05,
monitorea la red
DSS05.07 SF.3 Contar con un sistema de gestión y monitoreo
para detectar P P P
ISA 62443-3-3:2013 SR 6.2 centralizado capaz de alertar fallas en
potenciales 2 2 1
NIST SP 800-53 Rev. 4 AC-2, componentes críticos.
eventos de
AU-12, CA-7, CM3, SC5, SC-7,
ciberseguridad.
SI-4
DE.MC-2. Se SF.1 Implementar controles de acceso físico a las
COBIT 5 DSS01.04, DSS01.05
monitorea el instalaciones y equipos ubicados en los centros de
ISA 62443-2-1:2009 4.3.3.3.8
ambiente físico datos y áreas relacionadas.
P P P ISO/IEC 27001:2013 A.11.1.1,
para detectar
2 2 1 A.11.1.2
potenciales SF.3 Contar con un sistema de gestión y monitoreo
NIST SP 80053 Rev. 4 CA-7,
eventos de centralizado capaz de alertar fallas en
PE-3, PE-6, PE-20
ciberseguridad. componentes críticos.
DE.MC-3. Se CIS CSC 5, 7, 14, 16
monitorea la COBIT 5 DSS05.07
actividad del ISA 62443-3-3:2013 SR 6.2
personal para P P P ISO/IEC 27001:2013 A.12.4.1, SO.7 Registrar y monitorear los eventos de los
detectar 2 2 1 A.12.4.3 sistemas.
potenciales NIST SP 80053 Rev. 4 AC-2,
eventos de AU-12, AU-13, CA-7, CM10, CM-
ciberseguridad. 11
CIS CSC 4, 7, 8, 12
DE.MC-4. Se COBIT 5 DSS05.01
P P P
detecta el código ISA 62443-2-1:2009 4.3.4.3.8 SO.5 Controlar software malicioso.
1 1 1
malicioso. ISA 62443-3-3:2013 SR 3.2
ISO/IEC 27001:2013 A.12.2.1

27
 NIST SP 80053 Rev. 4 SI3, SI8
CIS CSC 7, 8
COBIT 5 DSS05.01
DE.MC-5. Se
ISA 62443-3-3:2013 SR 2.4
detecta el código P P P
ISO/IEC 27001:2013 A.12.5.1, SO.8 Gestionar la instalación de software.
móvil no 3 3 2
A.12.6.2
autorizado.
NIST SP 80053 Rev. 4 SC18, SI-
4, SC-44
DE.MC-6. Se
controla la RP.1 Definir acuerdos de niveles de servicio (SLA)
COBIT 5 APO07.06, APO10.05
actividad de los con los proveedores de servicios críticos.
ISO/IEC 27001:2013 A.14.2.7,
proveedores de P P P
A.15.2.1
servicios externos 2 1 1 RP.2 Establecer pautas, realizar seguimiento y
NIST SP 800-53 Rev. 4 CA-7,
para detectar revisión de los servicios de los proveedores, y
PS-7, SA-4, SA- 9, SI-4
posibles eventos gestionar sus cambios.
de ciberseguridad.
CIS CSC 1, 2, 3, 5, 9, 12, 13, 15,
DE.MC-7. Se 16
realiza monitoreo COBIT 5 DSS05.02, DSS05.05
para personas, P P P ISO/IEC 27001:2013 A.12.4.1, SO.7 Registrar y monitorear los eventos de los
conexiones, 2 2 1 A.14.2.7, A.15.2.1 sistemas.
dispositivos y NIST SP 80053 Rev. 4 AU-12,
software. CA-7, CM-3, CM8, PE-3, PE-6,
PE-20, SI-4
CIS CSC 4, 20
DE.MC-8. Se COBIT 5 BAI03.10, DSS05.01
CN.3 Revisar regularmente los sistemas de
realizan escaneos P P P ISA 62443-2-1:2009 4.2.3.1,
información mediante pruebas de intrusión (ethical
de 2 2 1 4.2.3.7
hacking) y evaluación de vulnerabilidades.
vulnerabilidades. ISO/IEC 27001:2013 A.12.6.1
NIST SP 80053 Rev. 4 RA-5

DE.PD. Procesos de detección

Se mantienen procesos, procedimientos de detección y prueba para asegurar el conocimiento oportuno y adecuado de los
eventos anómalos.

DE.PD-1. Los roles CIS CSC 19

y las COBIT 5 APO01.02, DSS05.01,
responsabilidades DSS06.03
de detección se P P P ISA 62443-2-1:2009 4.4.3.1 SO.7 Registrar y monitorear los eventos de los
encuentran 2 2 1 ISO/IEC 27001:2013 A.6.1.1, sistemas.
definidos para A.7.2.2
asegurar NIST SP 80053 Rev. 4 CA-2,
responsabilidades. CA7, PM-14
COBIT 5 DSS06.01, MEA03.03,
DE.PD-2. Las
MEA03.04
actividades de
ISA 62443-2-1:2009 4.4.3.2
detección cumplen P P P
ISO/IEC 27001:2013 A.18.1.4, CN.1 Cumplir con los requisitos normativos.
con todos los 3 2 1
A.18.2.2, A.18.2.3
requisitos
NIST SP 80053 Rev. 4 AC-25,
aplicables.
CA-2, CA7, SA-18, SI4, PM-1
COBIT 5 APO13.02, DSS05.02
DE.PD-3 Los ISA 62443-2-1:2009 4.4.3.2 AD.1 Incluir requisitos de seguridad de la
procesos de P P P ISA 62443-3-3:2013 SR 3.3 información durante todo el ciclo de vida de los
detección son 3 2 1 ISO/IEC 27001:2013 A.14.2.8 proyectos de desarrollo o adquisiciones de
probados. NIST SP 80053 Rev. 4 CA-2, software.
CA7, PE3, SI3, SI-4, PM-14
OR.3 Definir los para el contacto formal con
autoridades y equipo de respuesta.
CIS CSC 19
COBIT 5 APO08.04, APO12.06,
DE.PD-4. La GI.2 Contar con mecanismos que permitan evaluar
DSS02.05
información de la los eventos de seguridad de la información y
ISA 62443-2-1:2009 4.3.4.5.9
detección de P P P decidir si se clasifican como incidentes de
ISA 62443-3-3:2013 SR 6.1
eventos es 2 2 1 seguridad de la información.
ISO/IEC 27001:2013 A.16.1.2,
comunicada a las
A.16.1.3
partes pertinentes. GI.3 Informar de forma completa e inmediata la
NIST SP 80053 Rev. 4 AU-6,
existencia de un potencial incidente de seguridad
CA-2, CA-7, RA-5, SI-4
informática al CERTuy o equipo de respuesta
externo correspondiente.

28
 GI.4 Registrar y reportar las violaciones a la
seguridad de la información, confirmadas o
sospechadas de acuerdo a los procedimientos
correspondientes.

SO.7 Registrar y monitorear los eventos de los

sistemas.
COBIT 5 APO11.06, APO12.06,
DE.PD-5. Los
DSS04.05
procesos de GI.6 Establecer los mecanismos que le permitan a
P P P ISA 62443-2-1:2009 4.4.3.4
detección son la organización aprender de los incidentes
3 2 2 ISO/IEC 27001:2013 A.16.1.6
mejorados ocurridos.
NIST SP 80053 Rev. 4, CA-2,
continuamente.
CA-7, PL-2, RA5, SI4, PM-14

5.4 Función: RESPONDER (RE)

RE.PR. Planificación de la respuesta

Los procesos y procedimientos de respuesta se ejecutan y se mantienen garantizando una respuesta oportuna para
detectar eventos de ciberseguridad.

CIS CSC 19
RE.PR-1. El plan
COBIT 5 APO12.06, BAI01.10
de respuesta se
P P P ISA 62443-2-1:2009 4.3.4.5.1 GI.5 Responder ante incidentes de seguridad de la
ejecuta durante o
2 1 1 ISO/IEC 27001:2013 A.16.1.5 información.
luego de un
NIST SP 800-53 Rev. 4 CP-2, CP-
evento.
10, IR-4, IR-8

RE.CO. Comunicaciones

Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según corresponda.

GH.2 Concientizar y formar en materia de

seguridad de la información a todo el personal.
CIS CSC 19
RE.CO-1. El
COBIT 5 EDM03.02, APO01.02, GI.1 Planificar la gestión de los incidentes de
personal conoce
APO12.03 seguridad de la información.
sus roles y el
ISA 62443-2-1:2009 4.3.4.5.2,
orden de P P P
4.3.4.5.3, 4.3.4.5.4 GI.3 Informar de forma completa e inmediata la
operaciones 2 1 1
ISO/IEC 27001:2013 A.6.1.1, existencia de un potencial incidente de seguridad
cuando es
A.7.2.2, A.16.1.1 informática al CERTuy o equipo de respuesta
necesaria una
NIST SP 800-53 Rev. 4 CP-2, CP- externo correspondiente.
respuesta.
3, IR3, IR-8
GI.5 Responder ante incidentes de seguridad de la
información.
OR.3 Definir los mecanismos para el contacto
formal con autoridades y equipo de respuesta.
CIS CSC 19
RE.CO-2. Los
COBIT 5 DSS01.03
eventos son GI.1 Planificar la gestión de los incidentes de
ISA 62443-2-1:2009 4.3.4.5.5
reportados P P P seguridad de la información.
ISO/IEC 27001:2013 A.6.1.3,
consistentemente 2 2 1
A.16.1.2
con los criterios GI.4 Registrar y reportar las violaciones a la
NIST SP 800-53 Rev. 4 AU-6, IR-
establecidos. seguridad de la información, confirmadas o
6, IR8
sospechadas de acuerdo a los procedimientos
correspondientes.
CIS CSC 19
RE.CO-3. La
COBIT 5 DSS03.04
información se P P P GI.5 Responder ante incidentes de seguridad de la
ISA 62443-2-1:2009 4.3.4.5.2
comparte 2 1 1 información.
ISO/IEC 27001:2013 A.16.1.2,
consistentemente
Cláusula 7.4, Cláusula 16.1.2

29
con los planes de NIST SP 800-53 Rev. 4 CA2, CA-
respuesta. 7, CP-2, IR4, IR-8, PE6, RA-5, SI-4
RE.CO-4. La OR.3 Definir los mecanismos para el contacto
coordinación con CIS CSC 19 formal con autoridades y equipo de respuesta.
las partes COBIT 5 DSS03.04
interesadas se P P P ISA 62443-2-1:2009 4.3.4.5.5 GI.1 Planificar la gestión de los incidentes de
realiza 2 1 1 ISO/IEC 27001:2013 Cláusula 7.4 seguridad de la información.
consistentemente NIST SP 800-53 Rev. 4 CP-2, IR4,
con los planes de IR-8 GI.5 Responder ante incidentes de seguridad de la
respuesta. información.
RE.CO-5. Se
realiza intercambio
de información
CIS CSC 19
voluntaria con
COBIT 5 BAI08.04
partes interesadas P P P OR.3 Definir los mecanismos para el contacto
ISO/IEC 27001:2013 A.6.1.4
externas para 3 1 1 formal con autoridades y equipo de respuesta.
NIST SP 800-53 Rev. 4 SI-5, PM-
alcanzar una
15
conciencia de
ciberseguridad
más amplia.

RE.AN. Análisis

Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de recuperación.

GI.2 Contar con mecanismos que permitan evaluar

CIS CSC 4, 6, 8, 19
los eventos de seguridad de la información y
COBIT 5 DSS02.04, DSS02.07
decidir si se clasifican como incidentes de
RE.AN-1. Se ISA 62443-2-1:2009 4.3.4.5.6,
seguridad de la información.
investigan las 4.3.4.5.7, 4.3.4.5.8 ISA 62443-3-
P P P
notificaciones de 3:2013 SR 6.1
2 2 1 GI.5 Responder ante incidentes de seguridad de la
los sistemas de ISO/IEC 27001:2013 A.12.4.1,
información.
detección. A.12.4.3, A.16.1.5
NIST SP 800-53 Rev. 4 AU-6, CA-
SO.7 Registrar y monitorear los eventos de los
7, IR-4, IR-5, PE-6, SI-4
sistemas.
GI.2 Contar con mecanismos que permitan evaluar
COBIT 5 DSS02.02
los eventos de seguridad de la información y
RE.AN-2. El ISA 62443-2-1:2009 4.3.4.5.6,
decidir si se clasifican como incidentes de
impacto del P P P 4.3.4.5.7, 4.3.4.5.8
seguridad de la información.
incidente es 2 1 1 ISO/IEC 27001:2013 A.16.1.4,
comprendido. A.16.1.6
GI.5 Responder ante incidentes de seguridad de la
NIST SP 800-53 Rev. 4 CP-2, IR4
información.
COBIT 5 APO12.06, DSS03.02,
DSS05.07
RE.AN-3. Se ISA 62443-3-3:2013 SR 2.8, SR
P P P GI.5 Responder ante incidentes de seguridad de la
realiza análisis 2.9, SR 2.10, SR
2 1 1 información.
forense. 2.11, SR 2.12, SR 3.9, SR 6.1
ISO/IEC 27001:2013 A.16.1.7
NIST SP 800-53 Rev. 4 AU-7, IR-4
RE.AN-4. Los CIS CSC 19
incidentes son COBIT 5 DSS02.02 GI.2 Contar con mecanismos que permitan evaluar
categorizados P P P ISA 62443-2-1:2009 4.3.4.5.6 los eventos de seguridad de la información y
consistentemente 2 2 1 ISO/IEC 27001:2013 A.16.1.4 decidir si se clasifican como incidentes de
con los planes de NIST SP 800-53 Rev. 4 CP-2, IR4, seguridad de la información.
respuesta. IR-5, IR-8
RE-AN-5. Se
establecen
procesos para
recibir, analizar y
responder a las
CIS CSC 4, 19
vulnerabilidades
COBIT 5 EDM03.02, DSS05.07
divulgadas a la P P P GI.5 Responder ante incidentes de seguridad de la
NIST SP 800-53 Rev. 4 SI-5, PM-
organización 2 1 1 información.
15
desde fuentes
internas y externas
(por ejemplo,
pruebas internas,
boletines de
seguridad o

30
investigadores de
seguridad).

RE.MI. Mitigación

Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.

CIS CSC 19
COBIT 5 APO12.06
ISA 62443-2-1:2009 4.3.4.5.6
RE.MI-1. Se logra
P P P ISA 62443-3-3:2013 SR 5.1, SR GI.5 Responder ante incidentes de seguridad de la
contener los
2 1 1 5.2, SR 5.4 información.
incidentes.
ISO/IEC 27001:2013 A.12.2.1,
A.16.1.5
NIST SP 800-53 Rev. 4 IR4
CIS CSC 4, 19
COBIT 5 APO12.06
RE.MI-2. Se logra ISA 62443-2-1:2009 4.3.4.5.6,
P P P GI.5 Responder ante incidentes de seguridad de la
mitigar los 4.3.4.5.10
2 1 1 información.
incidentes. ISO/IEC 27001:2013 A.12.2.1,
A.16.1.5
NIST SP 800-53 Rev. 4 IR4
RE.MI-3. Las
nuevas
CIS CSC 4 COBIT 5 APO12.06
vulnerabilidades
P P P ISO/IEC 27001:2013 A.12.6.1
identificadas se SO.1 Gestionar las vulnerabilidades técnicas.
2 2 1 NIST SP 800-53 Rev. 4 CA7, RA-
mitigan o
3, RA-5
documentan como
riesgos aceptados.

RE.ME. Mejoras

Las actividades de respuesta de la organización son mejoradas por la incorporación de lecciones aprendidas de las
actividades de detección y respuesta actuales y anteriores.

COBIT 5 BAI01.13
RE.ME-1. Los
ISA 62443-2-1:2009 4.3.4.5.10,
planes de
4.4.3.4 GI.6 Establecer los mecanismos que le permitan a
respuesta P P P
ISO/IEC 27001:2013 A.16.1.6, la organización aprender de los incidentes
incorporan 3 2 1
Cláusula 10 ocurridos.
lecciones
NIST SP 800-53 Rev. 4 CP-2, IR4,
aprendidas.
IR-8
COBIT 5 BAI01.13, DSS04.08
RE.ME-2. Las
ISO/IEC 27001:2013 A.16.1.6,
estrategias de P P P GI.5 Responder ante incidentes de seguridad de la
Cláusula 10
respuesta se 2 1 1 información.
NIST SP 800-53 Rev. 4 CP-2, IR4,
actualizan.
IR-8

5.5 Función: RECUPERAR (RC)

Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil

RC.PR. Planificación de la recuperación

Los procesos y procedimientos de recuperación son ejecutados y mantenidos para asegurar la restauración oportuna de los
sistemas o activos afectados por eventos de ciberseguridad.

31
 Prioridad
Subcategoría Referencias Requisitos relacionados
x Perfil
GI.5 Responder ante incidentes de seguridad de la
información.
CIS CSC 10
RC.PR-1. El plan
COBIT 5 APO12.06, DSS02.05,
de recuperación se GI.6 Establecer los mecanismos que le permitan a
P P P DSS03.04
ejecuta durante o la organización aprender de los incidentes
2 1 1 ISO/IEC 27001:2013 A.16.1.5
luego de un ocurridos.
NIST SP 800-53 Rev. 4 CP-10,
evento.
IR-4, IR-8
CO.4 Planificar la continuidad de las operaciones y
recuperación ante desastres.

RC.ME. Mejoras

Se mejoran los planes y procesos de recuperación incorporando las lecciones aprendidas en actividades futuras.

COBIT 5 APO12.06, BAI05.07,

RC.ME-1. Los
DSS04.08
planes de
ISA 62443-2-1:2009 4.4.3.4 GI.6 Establecer los mecanismos que le permitan a
recuperación P P P
ISO/IEC 27001:2013 A.16.1.6, la organización aprender de los incidentes
incorporan 3 2 1
Cláusula 10 ocurridos.
lecciones
NIST SP 800-53 Rev. 4 CP-2,
aprendidas.
IR4, IR-8
COBIT 5 APO12.06, BAI07.08
RC.ME-2 Las
ISO/IEC 27001:2013 A.16.1.6,
estrategias de P P P PL.2 Revisión periódica y mejora continua del
Cláusula 10
recuperación se 2 1 1 SGSI.
NIST SP 800-53 Rev. 4 CP-2,
actualizan.
IR4, IR-8

RC.CO. Comunicaciones

Las actividades de recuperación se coordinan con las partes interesadas internas y externas, como centros de
coordinación, proveedores de servicios de Internet, propietarios de los sistemas afectados, las víctimas, otros CSIRT y
vendedores.

RC.CO-1. Se
COBIT 5 EDM03.02
gestionan las P P P CO.6 Definir los mecanismos de comunicación e
ISO/IEC 27001:2013 A.6.1.4,
relaciones 3 2 1 interlocutores válidos.
Cláusula 7.4
públicas.
RC.CO-2. Se
COBIT 5 MEA03.02
repara la P P P CO.6 Definir los mecanismos de comunicación e
ISO/IEC 27001:2013 Cláusula
reputación luego 3 2 1 interlocutores válidos.
7.4
del evento.
RC.CO-3. Se
comunican las
COBIT 5 APO12.06
actividades de
ISO/IEC 27001:2013 Cláusula
recuperación a los P P P CO.6 Definir los mecanismos de comunicación e
7.4
interesados 3 2 1 interlocutores válidos.
NIST SP 800-53 Rev. 4 CP-2,
internos y a los
IR4
equipos ejecutivos
y de gestión.

32
6 Modelo de madurez
El modelo de madurez propuesto incluye 5 niveles (del 0 al 4), donde este último es el más
alto. Cada nivel superior incluye los niveles inferiores, por lo tanto, cumplir con las pautas
del nivel 4 implica cumplir también con las pautas del nivel 1, 2 y 3.
El nivel 0 de madurez (que no se incluye en el presente modelo de madurez) indica que las
acciones vinculadas a seguridad de la información y ciberseguridad son casi o totalmente
inexistentes.

6.1 Función: IDENTIFICAR (ID)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

ID.GA. Gestión de activos

Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de
negocio, se identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de
riesgo de la organización.

ID.GA-1. Los Se confeccionan y Se incluyen en el Los procesos y Se realizan

dispositivos mantienen inventario los procedimientos de actividades
físicos y inventarios de los dispositivos físicos actualización de periódicas de control
sistemas se dispositivos físicos (PC, inventario se interno para verificar
encuentran (servidores, racks, almacenamiento encuentran el cumplimiento y
inventariados. dispositivos de extraíble, documentados y alineación con los
networking, UPS, dispositivos de están basados en procedimientos
etc.) del centro de networking, software de establecidos.
datos. impresoras, otro inventario. Se
tipo de automatiza el
equipamiento proceso cuando
utilizado, etc.) y esto es posible.
sistemas de otras
áreas de la
organización.
ID.GA-2. Las Se confeccionan y Se incluyen en el Ver ID.GA-1 (nivel Ver ID.GA-1 (nivel 4)
plataformas de mantienen inventario las 3)
software y inventarios de plataformas de Además, se lleva
aplicaciones se software de base y software y control del
encuentran software de aplicaciones de licenciamiento de
inventariadas. aplicación del otras áreas de la software de equipos
centro de datos. organización. personales.
Se lleva control
del licenciamiento
de software de
equipos
servidores.

33
ID.GA-3 Se Ver PR.SD-2 (nivel Ver PR.SD-2 Ver PR.SD-2 (nivel Ver PR.SD-2 (nivel 4)
utilizan medidas 1) (nivel 2) 3)
de seguridad y
procedimientos
de gestión para
proteger y
controlar el flujo
de información
interna y
externa.
ID.GA-4. El Los equipos Los activos Se han definido una Las medidas de
equipamiento y portátiles y móviles informáticos de la política para el uso protección
los sistemas de de la organización organización a los adecuado de los implementadas en los
información que serán usados que acceden los activos informáticos activos informáticos
utilizados fuera fuera de las usuarios cuentan y de los sistemas de se monitorean de
de las instalaciones se con un información que son forma proactiva 7x24.
instalaciones se encuentran responsable usados fuera de las Los sistemas de
encuentran inventariados, así identificado. Se instalaciones de la cifrado de los activos
identificados y como las limita el organización. manejan clave única
se aplican aplicaciones y almacenamiento Se cuenta con un a nivel de la
medidas para sistemas instalados de información programa de organización, además
mantener la en dichos sensible en el capacitación a los utilizan una clave de
seguridad de la dispositivos. Estos activo, o la misma usuarios que hacen cifrado personal.
información. activos cuentan con cuenta con uso de los activos.
al menos un factor controles Se realiza un
de autenticación adicionales (por control periódico de
para acceder a la ejemplo, cifrado los activos que
información. de la información). contienen
Los equipos información
móviles cuentan sensible y existe un
con un sistema de plan de respuesta
borrado del en caso de pérdida
dispositivo en caso o robo de los
extravió o robo. Los mismos.
equipos portátiles Los activos de
cuentan con información
medidas mínimas identificados como
de protección física críticos son
(como por ejemplo accedidos con
linga de seguridad). doble factor de
autenticación.
ID.GA-5. Los Se identifican los Se clasifican los Ver ID.GA-1 (nivel La clasificación de la
activos (por activos (servidores, activos de 3) información es parte
ejemplo: PC, dispositivos acuerdo a los Además, el software integral de la gestión
hardware, móviles o de criterios de de inventario de los activos.
dispositivos, almacenamiento) clasificación de la gestiona la Se realizan
datos y que contienen la información clasificación de la actividades
software) se información más establecidos información periódicas de control
encuentran crítica de la (alineados a la contenida en los interno, o cuando el
clasificados en organización. normativa vigente) activos. negocio así lo
función del tipo y a la valoración requiere, para
de información de esta. verificar que el
que contienen o inventario de activos
procesan y en el se encuentra
valor que clasificado y
poseen para el actualizado.
negocio.
ID.GA-6. Los Se ha designado al El CSI sesiona Se definen Se realizan
roles y RSI y al CSI. periódicamente y formalmente y actividades de control
responsabilidad Se definen los se registran las documentan las interno para verificar
es de seguridad propietarios de los reuniones. responsabilidades la segregación de
de la activos, los cuales del RSI y del CSI. roles en conflicto y

34
información y son responsables Se definen otros áreas de
ciberseguridad por su protección. roles y responsabilidad.
se encuentran responsabilidades El resultado de estas
asignados. de seguridad de la actividades es
información que comunicado al RSI y
incluyen, por demás interesados.
ejemplo,
responsable por la
gestión de riesgos
de seguridad,
responsable de la
gestión de
incidentes,
responsable de la
gestión de
vulnerabilidades y
parches,
responsable de
monitoreo, entre
otros. Los roles y
responsabilidades
se encuentran
documentados.

ID.AN. Ambiente del negocio

La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados; esta
información es utilizada para informar a los roles de ciberseguridad sobre responsabilidades y decisiones
relacionadas a la gestión de riesgos.

ID.AN-3. Se Se establecen Los objetivos de Se difunden los Los objetivos de

establecen y se objetivos anuales seguridad de la objetivos anuales seguridad de la
comunican las en relación con la información se de seguridad de la información se llevan
prioridades para seguridad de la llevan a cabo información al a cabo mediante
la misión de la información, mediante un plan personal y/o partes proyectos formales de
organización, documentados y de acción. interesadas. seguridad de la
sus objetivos y discutidos a nivel Se trabaja en el información.
actividades. del CSI. Se plan de acción de Se define una
establecen forma articulada estrategia de
acciones para con actores de la seguridad de la
lograr el organización para información y
cumplimiento de los cumplir con los ciberseguridad
objetivos. objetivos. alineada a la
estrategia a mediano-
largo plazo y ésta es
difundida.
ID.AN-4. Se Se identifican los Se identifican las Se documentan, Se documenta y
establecen las servicios críticos de dependencias de aprueban y prioriza el manejo de
dependencias y la organización y los componentes gestionan los los servicios críticos
funciones cuáles son los prioritarios y se cambios en los de toda la
fundamentales componentes establecen planes componentes infraestructura
para la entrega prioritarios del de mantenimiento prioritarios y sus tecnológica, haciendo
de servicios centro de datos para los mismos. dependencias énfasis en los
críticos. para la entrega de Se determina los (actualización, componentes
los mismos. niveles de mantenimiento y prioritarios para el
Se define el capacidad mínima reemplazo) funcionamiento de la
tratamiento para poder vinculados a los organización, los
proactivo para garantizar la servicios críticos. cuales son
atender eventos e entrega de los Se realizan las monitoreados de
incidentes de servicios críticos. notificaciones manera
ciberseguridad. Se realiza gestión pertinentes a todas automatizada.
de capacidad.

35
 las partes Se envían alertas del
interesadas. estado de los
Periódicamente se componentes ante los
valida y formaliza la cambios de entorno.
gestión de Se realiza una
capacidad y forma gestión de capacidad
parte de la a largo plazo (más de
gobernanza de 3 años).
ciberseguridad.
ID.AN-5. Se El centro de datos Se han definido Se cuenta con un Se definen y ejecutan
establecen cuenta con UPS y las ventanas de plan de pruebas al plan de
requisitos de componentes tiempo máximo contingencia y contingencia y
resiliencia para redundantes en lo soportadas por el recuperación recuperación. Todos
soportar la que refiere a negocio sin poder aprobado por la los involucrados
entrega de conexión eléctrica, operar. Dirección. Su están interiorizados
servicios componentes de El centro de datos alcance está en el plan y su
críticos. acondicionamiento cuenta con asociado al menos ejecución.
térmico e generador a los procesos Las pruebas son
infraestructura de eléctrico capaz de críticos de la tomadas como
comunicaciones. alimentar a todos organización. Se insumo para las
los componentes comienzan las lecciones aprendidas
críticos. La pruebas del plan y retroalimentan la
Dirección apoya la para uno o varios toma de decisiones.
planificación de la de los procesos
contingencia, por críticos.
ejemplo,
facilitando la
participación de
recursos humanos
y proveyendo los
recursos
materiales
necesarios.

ID.GO. Gobernanza

Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales,
ambientales y operativos de la organización, son comprendidos y se informa a las gerencias sobre los
riesgos de ciberseguridad.

ID.GO-1. La Se cuenta con una Se definen La política de Se ha desarrollado un

política de política de formalmente seguridad de la conjunto razonable
seguridad de la seguridad de la políticas sobre información y las de políticas y
información se información temas específicos políticas específicas procedimientos
encuentra aprobada por la que dan soporte a son revisadas específicos alineados
establecida. Dirección. La la política de cuando ocurren al Marco de
política de seguridad de la cambios Ciberseguridad y a la
seguridad de la información. significativos guía de
información se (ambiente de implementación
difunde al personal. negocio, ambiente conformando un
técnico, normativa, SGSI. Se definen
etc.) para analizar indicadores para
su vigencia, medir la efectividad
idoneidad y del SGSI y se
pertinencia, siendo planifica y realiza la
deseable que las revisión formal de
mismas sean éste por parte del
revisadas CSI.
formalmente a
intervalos regulares.
El resultado de

36
 estas revisiones de
documentan y
comunican al CSI y
demás partes
interesadas.
ID.GO-2. Los El RSI coordina las El RSI es El RSI, o quien este El RSI coordina las
roles y las actividades de referente de la determine, coordina actividades del plan
responsabilidad seguridad de la temática ante su las tareas de anual (las cuales se
es de la información de su organización y gestión de riesgos documentan) con los
seguridad de la organización. participa en la con los principales actores
información gestión de responsables de involucrados de su
están incidentes y la gestión de riesgos organización
coordinados y gestión de riesgos de seguridad y con (directores de área,
alineados con de seguridad. los propietarios de gerentes, otros RSI,
roles internos y El RSI, o quien los activos de etc.).
socios externos. este determine, información.
oficia como punto
de contacto con el
CERTuy o CSIRT
según
corresponda.
ID.GO-3. Los Se identifican los Las pautas que ha Se realizan Se realizan
requisitos requisitos definido la revisiones basadas actividades de control
legales y normativos organización en la normativa interno para verificar
regulatorios relacionados a relacionadas con aplicable para el cumplimiento del
sobre la seguridad de la seguridad de la detectar desvíos de SGSI.
ciberseguridad, información y información están cumplimiento. Los resultados de las
incluyendo las ciberseguridad, alineadas o hacen El resultado es revisiones se utilizan
obligaciones de protección de datos referencia a la comunicado a la para la mejora
privacidad son personales, acceso normativa vigente RSI y/o al CSI. continua del SGSI y
comprendidos y a la información en la materia. apoyan a la toma de
se gestionan. pública y propiedad decisiones.
intelectual.
ID.GO-4. El área responsable Se establece un Se establece la La gestión de riesgos
Construcción de de del centro de responsable de la política de gestión está en línea con los
procesos de datos realiza las gestión de riesgo, de riesgo. objetivos de negocio.
gobernanza y actividades de el cual se encarga El proceso de Se elaboran informes
administración gestión de riesgo de desarrollar una gestión de riesgos y reportes que sirven
de riesgos para apoyar sus metodología se encuentra que permiten elaborar
dirigidos a procesos en base a unificada para la centralizado, por lo métricas e
atender los su experiencia y evaluación de que se analiza de indicadores de
problemas de apreciación de la riesgos de forma integral los cumplimiento de la
ciberseguridad. ciberseguridad. ciberseguridad de riesgos de organización,
la organización. ciberseguridad ayudando a reducir
Los riesgos de (operativos, de los efectos no
ciberseguridad negocio, etc.) de deseados de los
son evaluados todas las áreas de riesgos evaluados.
para toda la la organización. Se retroalimenta el
organización. proceso con
Se incorporan los auditorías internas o
actores críticos de externas que ayudan
cada área, que a evitar desviación en
serán los el proceso.
encargados de
implementar los
controles
definidos.

ID.ER. Evaluación de riesgos

La organización comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.

37
ID.ER-1. Se El software de base Se cuenta con un Existe un Se realizan auditorías
identifican y y aplicaciones ambiente para procedimiento independientes en
documentan las críticas se pruebas de los documentado y un forma periódica. Las
vulnerabilidades encuentran parches previo a responsable de la mismas son tomadas
de los activos. actualizados y con su puesta en gestión de como insumo para la
los últimos parches producción. vulnerabilidades y toma de decisiones y
que les Se realizan parches. la mejora continua del
correspondan. pruebas de Las pruebas de SGSI.
Se tienen intrusión (ethical intrusión (ethical
identificados hacking) y hacking) y
aquellos activos evaluación de evaluación de
que por su vulnerabilidades vulnerabilidades de
tecnología no de los sistemas los sistemas críticos
pueden ser críticos de la se realizan con una
actualizados, organización. El periodicidad
detallando los resultado de las establecida,
controles pruebas y el plan alineada a las
compensatorios de acción se necesidades de la
implementados. comunican a las organización. Como
partes mínimo se realiza
interesadas. un escaneo de
vulnerabilidades
semestral y una
prueba de intrusión
anual.
ID.ER-2. El personal de El personal de Se ha definido un Existe sinergia entre
Recepción de seguridad de la seguridad de la procedimiento el personal de
información información y/o de información y/o de documentado de seguridad de la
sobre amenazas TI se mantiene TI recibe algún contacto con información de la
y actualizado sobre tipo de autoridades organización y el
vulnerabilidades las últimas entrenamiento internas y externas personal que oficia
por parte de amenazas y periódico sobre (contemplando como punto de
grupos y fuentes vulnerabilidades amenazas y especialmente los contacto con
especializadas. que surgen para vulnerabilidades. centros de autoridades, por
sus sistemas y respuesta a medio de reuniones
plataformas. incidentes de periódicas u otros
seguridad que mecanismos, donde
existan, por se tratan temas de
ejemplo, DCSIRT, actualidad sobre
CSIRT Antel, amenazas y
CERTuy, CSIRT vulnerabilidades.
Ceibal, etc.). La sinergia debe
El punto de contemplar al equipo
contacto (RSI o de respuesta a
quien este incidentes que
determine) y demás corresponda.
personal de
seguridad de la
información, forman
parte de grupos
especializados que
participan al menos
una vez por año en
eventos y
conferencias sobre
seguridad.
ID.ER-3. Se han identificado Se cuenta con un Se define una El responsable de la
Identificación y las amenazas y inventario de política de gestión gestión de los riesgos
documentación vulnerabilidades de riesgos de de riesgos. de seguridad de la
de las los activos de seguridad de la Los riesgos se información trabaja
amenazas información del información que revisan en forma coordinada
centro de datos. La incluye riesgos periódicamente. La con el RSI, los

38
internas y revisión de los asociados a otros revisión se propietarios de los
externas riesgos se realiza activos de documenta activos de
ad-hoc y sin información que formalmente y es información y el CSI.
periodicidad no se encuentran comunicada al CSI El resultado de la
establecida. en el alcance del y demás partes revisión de los
centro de datos. interesadas. riesgos se eleva
Se define un formalmente al CSI, a
responsable de la la Dirección de la
gestión de riesgos organización y demás
de la partes interesadas.
ciberseguridad. Se realizan
actividades de control
interno para verificar
el cumplimiento con
la política establecida.
ID.ER-4. La identificación de Se cuenta con un Los riesgos se Se cuenta con el BIA
Identificación del los principales inventario de revisan con una definido,
impacto riesgos incluye el riesgos de frecuencia al menos considerando al
potencial en el impacto potencial seguridad de la semestral. La menos el impacto a
negocio y la en el negocio información que revisión se nivel de imagen,
probabilidad de determinado de incluye el impacto documenta económico y en los
ocurrencia. forma cualitativa potencial en el formalmente. usuarios.
(por ejemplo: alto, negocio, Se trabaja en la Se ha definido un
medio-alto, medio y determinado al elaboración de un responsable de la
bajo) y la menos en forma BIA. Este análisis gestión de los riesgos
probabilidad de cualitativa. incluye la de seguridad de la
ocurrencia (por identificación de los información que
ejemplo: alta, procesos críticos y trabaja en forma
media, baja). sistemas de coordinada con el
información que los RSI, los responsables
soportan. de los activos de
información y el CSI.
El responsable de
gestión de riesgos de
seguridad de la
información identifica
los riesgos de
seguridad de la
información de todos
los activos de
información de la
organización.
El resultado de la
revisión de los
riesgos se eleva
formalmente al CSI, a
la Dirección y demás
partes interesadas.
La revisión periódica
de los riesgos y del
BIA aporta
información para la
toma de decisiones.
ID.ER-5. Las Ver ID.ER-4 (nivel Ver ID.ER-4 (nivel Ver ID.ER-4 (nivel Ver ID.ER-4 (nivel 4)
amenazas, 1) 2) 3)
vulnerabilidades
, probabilidad de
ocurrencia e
impactos se
utilizan para
determinar el
riesgo.

39
ID.ER-6. Se han definido Las respuestas a Las respuestas a La implementación de
Identificación y controles para la los riesgos se los riesgos se los controles se
priorización de mitigación de incluyen en el revisan con una realiza de acuerdo a
las respuestas a riesgos y respuesta inventario de frecuencia al menos la prioridad explícita y
los riesgos. a las principales riesgos de semestral y la formal establecida
amenazas seguridad de la revisión se por la Dirección.
identificadas. información. documenta Se ha definido un
Los controles Se agregan formalmente y es responsable de la
podrán ser físicos, respuestas a comunicada al CSI gestión de los riesgos
lógicos o riesgos de y a las otras partes de seguridad de la
administrativos. seguridad de la interesadas. información que
información que trabaja en forma
se encuentran coordinada con el
fuera del alcance RSI, los propietarios
del centro de de los activos de
datos. información y el CSI.

ID.GR. Estrategia para la gestión de riesgos

Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan

para soportar las decisiones de los riesgos operacionales.

ID.GR-1. Los Se cuenta con un Se cuenta con Ver ID.ER-3 (nivel Ver ID.ER-3 (nivel 4).
procesos de proceso para la una metodología 3).
gestión de gestión de riesgos de gestión de
riesgos se de los componentes riesgo que
encuentran del centro de datos permite evaluar
establecidos, y servicios críticos los riesgos de
gestionados y de forma ciberseguridad de
aprobados por independiente. forma periódica.
todos los Se establece un
interesados de plan de trabajo
la organización. para el
tratamiento del
riesgo.
Se ha definido un
responsable de la
gestión de riesgos
de la
ciberseguridad.
ID.GR-2. Se Se define la Se establece La metodología de La tolerancia
determina y se tolerancia de los claramente los gestión de riesgo establecida se revisa
expresa de riesgos inherentes umbrales de permite delimitar las periódicamente y se
forma clara la que pueden afectar tolerancia al tolerancias que modifica ante
tolerancia al los activos que se riesgo, basados puede soportar la cambios o las
riesgo a nivel de encuentran en el en análisis de organización en necesidades del
toda la centro de datos y riesgo o análisis base a sus negocio, la cual es
organización. que soportan los de impacto del objetivos, RTO, apoyada por todas las
servicios críticos negocio (BIA) RPO y BIA entre partes interesadas,
para el para las áreas otros. Los niveles dirección y gerencias.
funcionamiento de vinculadas a de servicios de los
la organización. tecnología. proveedores se
ajustan conforme la
gestión de riesgo de
la organización.
Se define la
tolerancia al riesgo
para todos los
procesos
considerados

40
 críticos para la
organización.
ID.GR-3. La La tolerancia al Ver ID.GR-2 (nivel Ver ID.GR-2 (nivel Ver ID.GR-2 (nivel 4)
tolerancia al riesgo es 2) 3)
riesgo de la determinada por la
organización es posición de la
determinada por organización con
su rol y respecto a la
pertenencia a la entrega de los
infraestructura servicios que
crítica y por la suministran y que
evaluación de puedan afectar el
riesgos desempeño de
específicos del otras
sector al que organizaciones (en
pertenece. particular la que se
hayan identificado
como prioritarias o
críticas para el
sector) que estén
interconectadas y
dependan de sus
servicios.

ID.CS. Gestión de riesgos en la cadena de suministros

Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen y se

utilizan para respaldar las decisiones de riesgo asociadas con la gestión del riesgo de la cadena de
suministro. La organización ha establecido e implementado los procesos para identificar, evaluar y gestionar
los riesgos de la cadena de suministro.

ID.CS-1. Los Se identifica los Se implementan Se cuenta con una Los procesos de
actores de la participantes de la modelos de política y gestión de riesgo se
organización cadena de identificación para procedimiento que utilizan en la
identifican, suministro de los abordar la gestión define la gestión de adquisición de
establecen, activos y servicios de riesgo riesgos, la cual productos y servicios,
evalúan, críticos del centro asociado a los debe contemplar y se mantiene en todo
gestionan y de datos de la participantes de la toda la cadena de el ciclo de vida de los
acuerdan los organización. cadena de suministro mismos. Esta gestión
procesos de suministro de los (incluyendo de riesgos es
gestión del activos y servicios proveedores y utilizada para la
riesgo de la críticos de la demás servicios evaluación de los
cadena de organización. subcontratados). proveedores en base
suministro Se definen Se define la a servicio brindado en
cibernética. métricas e periodicidad de las relación a las
indicadores para evaluaciones de los necesidades del
el seguimiento y proveedores. negocio. Las
control. evaluaciones son
tomadas en cuenta
para las
actualizaciones de
contratos y las futuras
adquisiciones.
ID.CS-2. Los Los proveedores y Se identifican y Se cuenta con una Los procesos de
proveedores y demás partes priorizan todos los política y adquisición cuentan
socios externos externas que proveedores de la metodología para la con todos los
de los sistemas forman parte de la cadena de gestión de riesgo, aspectos de
de información, cadena de suministro de las que contemplan evaluación de
componentes y suministro de los servicios críticos en su evaluación de seguridad de la
servicios se servicios críticos de de la riegos a los información y
identifican, se la organización, organización. proveedores de la ciberseguridad
priorizan y se vinculados al centro cadena de durante todo el ciclo

41
evalúan de datos, son Se definen suministro de los de vida desde la
mediante un identificados, aspectos de servicios críticos. contratación de un
proceso de priorizados y seguridad de la servicio o sistema,
evaluación de evaluados en el información y hasta su culminación
riesgos de la análisis de riesgos, ciberseguridad ya sea por cambios
cadena de considerando su para identificar las de entorno u
suministro impacto en el acciones obsolescencia,
cibernético. negocio. permitidas y no permitiendo que el
permitidas por lo proceso de gestión de
proveedores. riesgo evalúe cada
fase a fin de
satisfacer las
necesidades de
seguridad de la
organización.
ID.CS-3. Los Se cuenta con un Informar a los Se cuenta con una Se realizan auditorias
contratos con inventario de proveedores de política de gestión periódicas para la
proveedores y proveedores, su participación de proveedores. evaluación de los
socios externos identificando en en el alcance de Se realizan gestión proveedores. La
se utilizan para cada caso su los objetivos de de cambios de los misma es utilizada
implementar participación en la negocio de la proveedores para ajustar los
medidas cadena de organización, conforme las servicios de los
apropiadas suministro de los determinando los necesidades de proveedores en base
diseñadas para servicios críticos. roles y adecuación del a las necesidades del
cumplir con los El proceso de responsabilidades negocio. Se revisan negocio.
objetivos del adquisición de en cada caso. periódicamente los
programa de soluciones y Los contratos y niveles de servicios
seguridad servicios establece SLA con los de los proveedores
cibernética de requisitos mínimos proveedores en relación con el
una de seguridad de la contemplan la SLA acordado. Los
organización y información. política de desvíos son
el plan de seguridad y gestionados.
gestión de demás medidas
riesgos de la pertinentes que le
cadena de exigen su la
suministro alineación a la
cibernético. estrategia de
seguridad del
negocio.
ID.CS-4. Los Las áreas Se verifica que el La política de la Las auditorías
proveedores y tecnológicas que trabajo realizado seguridad de la externas a
los socios mantienen el centro por los información (o proveedores se
externos se de datos cuentan proveedores está vinculada) realizan
evalúan de con un proceso, ajustado a los establece la sistemáticamente
forma rutinaria que se ajusta a parámetros ejecución de conforme el apetito
mediante parámetros esperados según auditorías externas de riesgo de la
auditorías, determinados en los los términos e independientes organización.
resultados de contratos pautados en los sobre aquellos Se establece un
pruebas u otras establecidos entre contratos. proveedores monitoreo
formas de las partes, para la Se establecen catalogados como permanente de los
evaluación para evaluación de reuniones críticos para las servicios brindados
confirmar que desempeño de periódicas, o a operaciones de la por los proveedores.
cumplen con proveedores y solicitud de la organización. Se realiza
sus obligaciones demás partes organización, para Los desvíos seguimiento de los
contractuales. externas vinculadas contrastar los identificados en la planes de acciones
a la cadena de acuerdos evaluación de correctivas y se mide
suministro de los establecidos proveedores su efectividad.
servicios críticos de contra los cuentan con un plan Lo antes mencionado
la organización. resultados de la de acciones está integrado a la
evaluación del correctivas para evaluación de riesgos
proveedor, minimizar su y es utilizado para
permitiendo afectación a los ajustar los SLA

42
 apoyar los objetivos del conforme a las
procesos de negocio. Cada necesidades del
gestión de riesgo acción está negocio.
en la cadena de priorizada cuenta
suministro. con un plazo de
Se deja registro ejecución alineado
de las reuniones, a las necesidades
de los desvíos y del negocio.
de las acciones
correctivas.
ID.CS-5. Las Ver PR.PI-10 (nivel Ver PR.PI-10 Ver PR.PI-10 (nivel Ver PR.PI-10 (nivel 4)
pruebas y la 1) (nivel 2) 3)
planificación de
respuesta y
recuperación se
llevan a cabo
con
proveedores.

43
6.2 Función PROTEGER (PR)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

PR.CA. Control de acceso

El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y

transacciones autorizadas.

PR.CA-1. Las Existen controles de Existen pautas Se define una Se realizan revisiones
identidades y acceso lógico a definidas para la política y proactivas periódicas
credenciales redes, recursos y realización de procedimiento de de los privilegios de
para usuarios y sistemas de altas, bajas y acceso lógico a acceso de los
dispositivos información modificaciones de redes, recursos y usuarios,
autorizados son basados en acceso lógico que sistemas de especialmente los
gestionadas. usuarios además incluyen información. privilegiados, según
nominados. aprobaciones. La gestión de un procedimiento
identidades y formal. Los
credenciales se resultados de las
realiza en forma revisiones se
centralizada, al documentan
menos en forma formalmente y se
administrativa. comunican al RSI, a
La revisión de las gerencias y
privilegios se realiza demás partes
en forma reactiva interesadas.
frente a un cambio Existe sinergia entre
o baja, al menos las áreas de gestión
para los sistemas humana, las
críticos. gerencias y los
responsables de la
revisión de privilegios
para obtener en
tiempo y forma la
información para las
revisiones. Se
realizan actividades
de control interno
para verificar la
realización de
revisiones de
privilegios.

44
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

PR.CA-2. Se Existen controles de Existen controles Se cuenta con una Se revisan

gestiona y acceso físico a las de acceso físico política de control periódicamente los
protege el instalaciones de los para otras áreas de acceso físico. Se registros de accesos
acceso físico a centros de datos. definidas como establecen realizados a los
los activos. Se gestionan las seguras y se perímetros de centros de datos y
autorizaciones de gestionan las seguridad al centro áreas seguras, según
acceso al centro de autorizaciones de de datos y áreas un procedimiento
datos. acceso. seguras. Se formal.
realizan revisiones La revisión periódica
reactivas. de accesos
retroalimenta la
gestión del acceso
físico. Se realizan
actividades de control
interno para verificar
el cumplimiento de
los procedimientos
establecidos.
PR.CA-3. El acceso remoto Existen acuerdos Existe un Se realizan revisiones
Gestión de se realiza mediante de no divulgación procedimiento periódicas de los
acceso remoto. el uso de firmados por el documentado de usuarios con acceso
comunicaciones y personal de la solicitud de acceso remoto.
mecanismos de organización con remoto. Existe un Las revisiones
autenticación permisos de responsable para la periódicas de
seguros. acceso remoto y asignación de accesos remotos
para proveedores permisos de acceso incluyen la revisión
que lo requieran. remoto. de los registros de
Se otorga el Los proveedores acceso remoto. Esta
acceso remoto tienen permisos de información
con base en una acceso remoto que retroalimenta la
lista blanca de caducan luego de gestión del acceso
todos los recursos realizada la remoto y proporciona
disponibles. actividad (o de una información para la
fecha establecida) toma de decisiones
para la cual se les de mejora continua.
otorgó el acceso. Se realizan
Se implementa el actividades de control
doble factor de interno para verificar
autenticación para el cumplimiento de
el acceso remoto. los procedimientos
Se centraliza el establecidos.
acceso remoto al
menos en forma
administrativa.

45
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

PR.CA-4. El acceso a la red y Se incorpora los Se define una Se define un

Gestión de los sistemas principios de política de acceso procedimiento
permisos de cuentan con, al menor privilegio y lógico que incluye el documentado de
acceso, menos, usuario y segregación de uso de usuarios revisión periódica de
incorporando los contraseña con funciones. privilegiados. derechos de acceso
principios de usuarios Se identifican los Se define una de los usuarios
menor privilegio nominados. El uso casos que política de gestión incluyendo los
y segregación de usuarios requieren una de usuarios y privilegiados. El
de funciones. genéricos y/o fuerte contraseñas, y se resultado de las
privilegiados se autenticación y instruye al personal revisiones se
encuentra verificación de para su uso comunica
controlado. identidad para correcto. formalmente a las
determinar Se cuenta con un gerencias y otras
métodos procedimiento para partes interesadas.
alternativos el ABM de usuarios. Existe sinergia entre
(token, factor de Los derechos de las áreas de gestión
doble acceso son humana, las
autenticación, autorizados y se gerencias y las áreas
etc.). La gestión cuenta con registro de tecnología
de usuarios y de tales acciones. encargadas de
permisos de Se realizan habilitar técnicamente
acceso se realiza revisiones de los los derechos de
en forma derechos de acceso acceso y se logra
centralizada, al de los usuarios y se actuar
menos del punto cuenta con registro proactivamente frente
de vista de tales acciones. a cambios
administrativo. relacionados con el
personal (altas, bajas,
modificaciones).
PR.CA-5. La red se encuentra Se identifican los Se conoce y se Existe un
Protección de la segmentada al posibles dominios analiza el tráfico en procedimiento
integridad de la menos en redes de red en función los diferentes documentado de
red con contacto directo de las dominios de la red. monitoreo de los
incorporando con redes externas necesidades de la Se protegen las diferentes segmentos
segregación (por ejemplo, organización. comunicaciones apoyado, si es viable,
cuando es Internet) y redes Se establece la entrantes y por herramientas
apropiado. privadas de la segmentación de salientes entre los automatizadas.
organización. Existe las redes en diferentes El procedimiento de
un diagrama de red función de los segmentos. Se contención de
actualizado. dominios trabaja en la incidentes se
definidos para definición de encuentra alineado
proteger la controles de con la política de
infraestructura y detección de gestión de incidentes.
los servicios de amenazas. Se registran los
red. Se definen alertas incidentes que se
Se genera una cuando el tráfico no detectan en los
postura de autorizado es diferentes segmentos
manejo de tráfico bloqueado o para aprender de
por defecto entre detectado. ellos y retroalimentar
segmentos. Se define un las lecciones
procedimiento de aprendidas facilitando
contención de la toma de
incidentes en el decisiones.
segmento cuando
se detectan las
amenazas.

46
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

PR.CA-6. Las Existe segregación Todos los Existen y se aplican Ver PR.CA-1 (nivel 4)
identidades son de los distintos usuarios procedimientos
verificadas y roles o perfiles del nominados que formales de revisión
vinculadas a personal que ingresan a los de permisos que
credenciales y accede al centro de sistemas de la abarcan todo el
afirmadas en las datos, y se generan organización y en ciclo de vida (alta,
interacciones. y almacenan los especial a los que baja y modificación)
registros de las contienen de los usuarios
actividades que información nominados y
desempeñan. catalogada como genéricos de los
sensible conocen sistemas de
y entienden sus información.
responsabilidades
en base a la
seguridad de la
información y
están notificados
de las medidas de
auditoria
implementadas en
los sistemas.
PR.CA-7. Se Todos los sistemas Se realiza control Se define un Se establecen
autentican los requieren sobre los usuarios procedimiento de procesos de
usuarios, autenticación. privilegiados de acceso lógico a las revisiones y
dispositivos y Todos los usuarios los sistemas y redes, sistemas, auditorias continua
otros activos son nominados aplicaciones (por recursos y para verificar que las
(por ejemplo, conforme la política ejemplo: bases de dispositivos. redes, sistemas,
autenticación de de control de datos, servidores, Se disponen de recursos y
un solo factor o acceso definida por etc.). Los accesos controles de dispositivos están
múltiples la organización. remotos a autenticación funcionando con la
factores) acorde La autenticación de aplicaciones diferenciados, así autenticación y
al riesgo de la dispositivos para críticas del como también configuración
transacción (por conexión y uso está negocio se autenticación de requerida y acordada
ejemplo, riesgos autorizada. realizar utilizando dispositivos, por la organización a
de seguridad y más de un control conforme la fin de mantener
privacidad de de autenticación. clasificación de la confidencialidad,
individuos y El uso de información a ser integridad y
otros riesgos dispositivos accedida. disponibilidad de la
para las externos requiere Las medidas información. Al
organizaciones). identificación implementadas realizar estos
(inventariado y para el acceso procedimientos de
responsable) y están directamente revisión continua, se
autentificación asociadas al consideran las
(permiso de análisis de riesgos políticas, normas,
acceso por el rol sobre el acceso a la estándares y
del usurario o información. regulaciones
algún otro Se aplica el criterio aplicables a la
método). de menor privilegio organización en
para la asignación relación a la
de permisos. protección de datos y
privacidad de la
información.

47
PR.CF. Concientización y formación

El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre

seguridad de la información. Están adecuadamente entrenados para cumplir con sus obligaciones referentes
a la seguridad de la información en alineación con las políticas, procedimientos y acuerdos existentes.

PR.CF-1. Todos Se comienza a Se trabaja en la Las campañas de Se realizan

los usuarios se trabajar en elaboración de concientización son actividades de control
encuentran actividades propias campañas de aprobadas y se interno para verificar
entrenados e de difusión de concientización determina cómo se el desarrollo de las
informados. información para el personal. medirá su éxito. campañas.
relacionada con Se cuenta Se planifica un Se evalúa el nivel de
seguridad de la formalmente con cronograma para la conocimiento
información, los recursos para realización de las adquirido por el
incluyendo la llevarla adelante. campañas. personal mediante
difusión de las Se definen actores actividades de
políticas y críticos, objetivos, evaluación
mecanismos de estrategias, tácticas periódicas.
protección. y audiencia. Estas actividades son
Se elabora el aprobadas por el CSI
material educativo y apoyadas por la
necesario. Dirección.
PR.CF-2. Los Los usuarios Se realizan Los usuarios Se define un plan de
usuarios privilegiados actividades de privilegiados son capacitación y
privilegiados demuestran concientización capacitados a entrenamiento en
comprenden sus conocimiento para usuarios través de cursos o seguridad de la
roles y respecto a la privilegiados con talleres relevantes. información teniendo
responsabilidad importancia de sus cierta en cuenta los perfiles
es. roles y periodicidad. e intereses de grupos
responsabilidades. considerados
estratégicos. El plan
está aprobado por la
Dirección que se
compromete con su
aplicación. El plan es
revisado y
actualizado
periódicamente y se
realizan acciones de
mejora incorporando
lecciones aprendidas.
PR.CF-3. Se han pautado los Se realizan Los interesados Ver PR.CF-2 (nivel 4)
Interesados roles y iniciativas de externos
externos responsabilidades concientización comprenden sus
(proveedores, de los interesados para interesados roles y
clientes, socios)
externos. externos. responsabilidades.
comprenden sus
roles y
responsabilidades.
PR.CF-4. La La Gerencia conoce La Dirección La Dirección tiene Ver PR.CF-2 (nivel 4)
gerencia y comprende los conoce y una participación
ejecutiva riesgos de comprende los activa en las
comprende sus seguridad de la riesgos de instancias de
roles y información. seguridad de la concientización.
responsabilidad información.
es. La Gerencia tiene
una participación
activa en las
iniciativas de
concientización.
PR.CF-5. El El personal de Se realizan con El personal de Ver PR.CF-2 (nivel 4)
personal de seguridad física y cierta periodicidad seguridad física y

48
seguridad física de seguridad de la actividades de seguridad de la
y de seguridad información concientización información es
de la demuestra para el personal capacitado a través
información concientización de seguridad de cursos o talleres
comprende sus respecto a la física y seguridad relevantes.
roles y importancia de sus de la información.
responsabilidad roles y
es. responsabilidades.

PR.SD. Seguridad de los datos

La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para

proteger la confidencialidad, integridad y disponibilidad de la información.

PR.SD-1. Los Se identifican los Los respaldos y/o Se define una Se realizan revisiones
datos en reposo datos históricos y datos históricos política de uso de periódicas sobre los
(inactivos) se respaldos que offline se controles respaldos y datos
encuentran deben ser almacenan en criptográficos para históricos para
protegidos. protegidos forma cifrada. respaldos y datos garantizar que se
mediante históricos. Se encuentran
mecanismos determinan los protegidos según lo
seguros. responsables de la determinado en la
Se establecen al generación de las política. Los
menos mecanismos claves que abarca resultados de estas
de control de todo su ciclo de revisiones son
acceso lógico y vida. registrados e
físicos. informados al RSI.
PR.SD-2. Los Se implementa Los datos en Se define una Se realizan revisiones
datos en tránsito algún control tránsito de todas política de uso de periódicas sobre los
se encuentran criptográfico para las aplicaciones y controles controles
protegidos. asegurar la sistemas se criptográficos que criptográficos
protección de los encuentran determina los utilizados para
datos en tránsito. protegidos lineamientos de asegurar la
mediante un protección protección de los
mismo conjunto necesaria de la datos que son
reducido de información en enviados y recibidos
tecnologías y tránsito. Se por los diferentes
prácticas determinan los sistemas y
criptográficas. responsables de la aplicaciones. Los
generación de las resultados de estas
claves que abarca revisiones son
todo su ciclo de registrados e
vida. informados al RSI.
PR.SD-3. Los Se definen pautas Se definen puntos Se define una Se realizan
activos se para la disposición de disposición de política de actividades de control
gestionan final y borrado los medios. La destrucción de la interno sobre los
formalmente a lo seguro de medios disposición y/o información y existe procedimientos de
largo de la de almacenamiento. borrado seguro de un procedimiento eliminación y de los
eliminación, las El personal está medios de documentado lugares de
transferencias y informado de la almacenamiento alineado con la disposición de
disposición. importancia de la se lleva a cabo política. medios. Se informan
eliminación de mediante los resultados al RSI
medios de actividades y demás partes
almacenamientos coordinadas. interesadas. En caso
que no se utilizarán de desvíos se toman
más, para preservar las acciones
la confidencialidad correctivas
de la información correspondientes.
contenida en ellos.

49
PR.SD-4. Se La capacidad actual Se toman en Se planifica y define Se cuenta con un
mantiene una instalada para la cuenta las el proceso de plan de capacidad
adecuada prestación de los necesidades de gestión de la formal.
capacidad para servicios críticos es capacidad al capacidad actual. Se define un proceso
asegurar la suficiente. momento de Se identifica al de estimación de la
disponibilidad. dimensionar los responsable del capacidad que
servicios críticos proceso de gestión acompaña al plan.
que se hayan de la capacidad, La información se
identificado, de sus roles y utiliza para generar
acuerdo a las responsabilidades. pronósticos.
necesidades El plan se revisa a
actuales del intervalos regulares.
negocio. Se proponen
Se realizan acciones para la
mediciones mejora continua de la
objetivas para gestión de la
detectar capacidad.
problemas de
capacidad.
PR.SD-5. Se Se firman acuerdos Se extiende la Los acuerdos Se revisan los
implementan de no divulgación firma de acuerdos contractuales con el contratos y
medidas de para los nuevos de no divulgación personal y procedimientos de
protección proveedores de progresivamente proveedores desvinculación de
contra fuga de servicios y para los a toda la reflejan las forma periódica para
datos nuevos ingresos de organización. responsabilidades verificar el
personal. de seguridad de la cumplimiento. Se
información según registra el resultado
el rol que ocupen en de las revisiones y se
la organización. utilizan para la mejora
Existe un de los procesos y
procedimiento procedimientos, así
documentado para como para la mejora
la desvinculación continua de acuerdos
del personal que y contratos.
incorpora la Se registran y revisan
revocación de los desvíos e
accesos físicos y incumplimientos con
lógicos. Se los acuerdos de no
establecen las divulgación y otras
responsabilidades y obligaciones
acuerdos de no contractuales
divulgación relacionadas a
indicando el tiempo seguridad de la
por el cual información.
continuarán siendo El resultado de las
válidos estos revisiones se
aspectos. Se comunica al RSI y
implementan demás partes
sistemas DLP para interesadas.
controlar los datos,
según los objetivos
del negocio y
normativa actual.
PR.SD-6. Se Se definen pautas La posibilidad de Se trabaja en la Se cuenta con listas
realizan para la instalación instalar software elaboración de de software
chequeos de de software. en los equipos listas de software autorizado y/o
integridad para Los equipos del queda restringida autorizado y prohibido, revisadas
verificar personal cuentan a los usuarios que prohibido. Se por el RSI. Todos los
software, con protección se encuentran cuenta con una servidores cuentan
firmware e antivirus. autorizados para solución antivirus con algún tipo de
integridad de la Se realizan tareas ese fin. Se define centralizada y protección o
información. de concientización un procedimiento existe un detección de

50
 sobre prevención y los responsable de ella. malware. Se realizan
ante software responsables para Se define una actividades de control
malicioso. la instalación de política de interno sobre la
software en protección contra solución antivirus y
producción. Los software malicioso. sobre el software
servidores que Se cuenta con instalado con el fin de
ofician de algún mecanismo determinar el
distribuidores de de control de cumplimiento con las
archivos (por acceso a sitios Web políticas y
ejemplo, maliciosos y/o no procedimientos. Los
servidores de autorizados. resultados de estas
archivos o correo revisiones son
electrónico), enviados al RSI y
cuentan con una demás partes
solución antivirus. interesadas. En caso
de desvíos se
determinan las
acciones correctivas.
PR.SD-7. Los El entorno de Se cuenta con Se define una Los responsables de
entornos de producción se plataformas política de la gestión de entornos
desarrollo y encuentra separado adecuadas e separación de participan desde el
pruebas están del resto de los independientes entornos y un inicio en los
separados del entornos y su uso que soportan el procedimiento proyectos.
entorno de es exclusivo para ciclo de vida de documentado para Se toman los
producción las aplicaciones que desarrollo de los su gestión. recaudos necesarios
dan soporte a los sistemas. Se definen para el manejo de
servicios críticos Se implementan responsables para información según su
que brinda la controles para el la gestión de los clasificación durante
organización. pasaje entre los ambientes las pruebas.
ambientes. existentes, y para Se realizan auditorías
los pasajes a de cumplimiento y
producción. control interno de la
Durante la política de separación
realización de las de entornos y
pruebas se registra procedimientos
la información del relacionados.
entorno Se registran los
(características, resultados y se toman
información de los acciones correctivas
datos de prueba, en casos de desvíos.
etc.) y esta
información es
conservada para
asegurar la calidad
de los resultados de
las pruebas y lograr
replicar a futuro las
condiciones en las
que se efectúan.
PR.SD-8. Se Ver DE.MC-1 (nivel Ver DE.MC-1 Ver DE.MC-1 (nivel Ver DE.MC-1 (nivel 4)
utilizan 1) (nivel 2) 3)
mecanismos de
comprobación
de la integridad
para verificar la
integridad del
hardware.

PR.PI. Procesos y procedimientos para la protección de la información

Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la
protección de los sistemas de información y los activos.

51
PR.PI-1. Existe Existen medidas Se define Se define una Se cuenta con
una línea base para comunicar y versionado y política de gestión herramientas para dar
de la autorizar los líneas base de de cambios que soporte a la gestión
configuración de cambios en el configuración de contempla también de los cambios. Se
los sistemas de ámbito tecnológico. los productos de los cambios de realizan actividades
información que software que emergencia en el de control interno
es mantenida. permiten la ámbito tecnológico. para revisar el
trazabilidad de los Se cuenta con un cumplimiento con los
cambios. procedimiento procedimientos
documentado para actuales. El resultado
la gestión de los de estas actividades
cambios. Los es comunicado al RSI
cambios a las líneas y demás partes
base se registran. interesadas. Se
toman medidas
correctivas ante
desvíos.
PR.PI-2. Se Se utilizan La seguridad de la Se define un Se realizan
implementa el lineamientos información se procedimiento actividades de control
ciclo de vida de generales para el toma en cuenta en documentado de interno para
desarrollo para desarrollo de los la especificación pruebas, determinar el nivel de
gestionar los sistemas de requisitos. contemplando la cumplimiento con la
sistemas. incluyendo Se incorporan participación de metodología y
principios básicos principios de usuarios, directa o procedimientos
de la gestión de desarrollo seguro mediante algún rol definidos. El
proyectos (ágiles, de sistemas. que los represente. resultado de estas
tradicionales o Se controlan las Se definen los actividades se
ambas). versiones de criterios de comunica al RSI y
Los usuarios software. aceptación de los demás partes
participan Se sistematizan productos. interesadas. Se
directamente o las actividades de toman acciones
mediante algún rol pruebas. correctivas frente a
que los represente desvíos.
en el ciclo de vida
de los sistemas.
PR.PI-3. Existen Ver PR.PI-1 (nivel Ver PR.PI-1 (nivel Ver PR.PI-1 (nivel Ver PR.PI-1 (nivel 4)
procesos de 1) 2) 3)
gestión del
cambio en las
configuraciones
PR.PI-4. Se Se realizan Se cuenta con Los respaldos son La política y el
realizan y respaldos soluciones probados procedimiento de
mantienen periódicos de al automatizadas regularmente. respaldo se
respaldos de la menos los activos para asistir en la Se ha determinado encuentran alineados
información y se de información del realización de los el uso de al plan de
testean centro de datos respaldos. almacenamiento contingencia y al plan
periódicamente. (aplicaciones, Los respaldos se externo para copias de recuperación, los
bases de datos, almacenan en de respaldos. cuales aseguran que
máquinas virtuales, lugares seguros y Existe una política y resuelven los
etc.). con acceso procedimiento requisitos de
restringido. documentado de recuperación de la
respaldos y de organización ante un
pruebas de evento anormal.
recuperación, que La política y
incluye las procedimiento de
frecuencias. Se respaldos se revisan
establece el grado con regularmente.
(completo,
diferencial, etc.) y
los requisitos de
retención de los
respaldos.

52
 El procedimiento de
respaldos se
actualiza ante
cambios de
requerimientos del
negocio o cambios
de infraestructura o
sistemas que
requieran acciones
de respaldo.
PR.PI-5. Las Existen medidas de Se implementan Se define una Se realizan
políticas y control del medio herramientas política de actividades de control
reglamentos ambiente físico en automatizadas seguridad del interno para verificar
relacionados los centros de que apoyan el equipamiento. el cumplimiento de la
con el medio datos. monitoreo de los Se cuenta con un política y
ambiente físico controles procedimiento procedimientos
operativo se relacionados al documentado de asociados. Los
cumplen. medio ambiente monitoreo que resultados del
físico. incluye el uso de monitoreo son
herramientas utilizados para
automatizadas. mejorar los
procedimientos y
retroalimentación de
las lecciones
aprendidas.
PR.PI-6. Los Ver PR.SD-3 (nivel Ver PR.SD-3 Ver PR.SD-3 (nivel Ver PR.SD-3 (nivel 4)
datos son 1) (nivel 2) 3)
eliminados de
acuerdo a las
políticas de
seguridad.
PR.PI-7 Existe Los procesos de Los procesos de Se deja registro de La revisión periódica
mejora continua protección de los protección de los los cambios aporta a la mejora
de los procesos activos críticos del activos y servicios realizados a los continua del SGSI.
de protección. centro de datos se de la organización procesos (por
revisan se revisan ejemplo,
periódicamente. periódicamente y configuración de
se comunican a sistemas de
todas las partes protección). Se
interesadas realiza la gestión de
conforme a las cambio en los
necesidades del mismos.
negocio para
ajustar o mejorar
los procesos
usados para la
protección.
PR.PI-8. La Se establece una Se establece una Las lecciones Las lecciones
eficacia de las sistemática que sistemática que aprendidas se aprendidas son
tecnologías de permite aprender de permite aprender registran y analizadas para
protección se los incidentes de de los incidentes contemplan para mejorar el SGSI de la
comparten con seguridad de la de seguridad de la mejorar los planes organización y
las partes información información de respuesta a retroalimenta el
apropiadas. ocurridos en el ocurridos en la incidentes. Además, análisis de riesgos.
centro de datos. organización. Las son utilizadas para Se definen
Las lecciones lecciones mejorar los canales indicadores para
aprendidas son aprendidas son de comunicación poder medir la
registradas. difundidas a las establecidos con las efectividad de los
partes partes involucradas controles.
interesadas. y los procesos de
escalamiento.

53
PR.PI-9. Existen Los incidentes de Se cuenta con Se define una Se ha definido el
y se gestionan seguridad se ciertas medidas política de gestión responsable de la
planes de reportan de contingencia y de incidentes de respuesta a
respuesta a internamente de recuperación. seguridad de la incidentes que opera
incidentes acuerdo a Se conocen los información y se coordinadamente con
(respuesta a lineamientos procesos críticos difunde. el RSI.
incidentes y preestablecidos. del negocio. Se define un plan El responsable de la
continuidad del Se instruye al Se cuenta con de respuesta para respuesta a
negocio) y personal sobre los herramientas que la gestión de incidentes opera de
planes de mecanismos de apoyan la gestión incidentes. forma coordinada con
recuperación reporte de de los incidentes. Se define un plan el CERTuy o CSIRT
(recuperación incidentes. Los de contingencia y que corresponda.
de incidentes y incidentes se de recuperación. Se ha definido el o los
recuperación de registran. Se realizan pruebas responsables del
desastres). Se cuenta con puntuales de los mantenimiento del
ciertas medidas de planes. plan de contingencia
contingencia y y de recuperación.
recuperación para El plan de
los sistemas que contingencia y de
dan soporte a los recuperación y el plan
servicios críticos. de respuesta a
incidentes son
probados
anualmente. Se
realizan actividades
de control interno
para verificar el
cumplimiento con la
política y
procedimientos
relacionados. El
resultado de estas
actividades se
informa al RSI y se
toman acciones
correctivas frente a
desvíos y para la
mejora continua.
PR.PI-10. Los El personal conoce Se cuenta con un El plan de El plan de respuesta
planes de las actividades plan de respuesta respuesta a a incidentes se
respuesta y básicas necesarias a incidentes y con incidentes y el plan encuentra alineado al
recuperación se que deben realizar un plan de de recuperación plan de contingencia
testean si se detecta o recuperación. Los (DRP) se y recuperación, y se
regularmente. sospecha un involucrados encuentran realizan pruebas al
incidente. Se han están entrenados documentado. menos anuales de
identificado los en su uso. Existen evidencias ambos.
proveedores que de escenarios de Se registran las
dan soporte a los falla o incidentes en pruebas.
servicios críticos. los que se El resultado de las
ejecutaron las pruebas retroalimenta
actividades del las lecciones
procedimiento de aprendidas y sirven
acuerdo al caso o para la mejora
se diseñaron continua de los
escenarios planes y
simulados para ello. procedimientos.
Se registran los
resultados en todos
los casos.
PR.PI-11. La Ver PR.SD-5 (nivel Ver PR.SD-5 Ver PR.SD-5 (nivel Ver PR.SD-5 (nivel 4)
ciberseguridad 1) (nivel 2) 3)
se encuentra

54
incluida en las
prácticas de
RRHH.
PR.PI-12. Existe Se gestionan las Se define un plan Las Se realizan revisiones
un plan de vulnerabilidades documentado responsabilidades de control interno
gestión de técnicas mediante, para la gestión de de gestión de sobre el plan de
vulnerabilidades al menos, la gestión las vulnerabilidades gestión de
. de parches. vulnerabilidades y están establecidas. vulnerabilidades. El
parches. Se incorporan como resultado de las
Se reciben fuentes de revisiones se
notificaciones de notificación: comunica al RSI.
vulnerabilidades escaneos de Se documentan
por parte del infraestructura y lecciones aprendidas
CERTuy u otras aplicaciones. Existe que aportan a la
organizaciones y un ambiente para mejora de futuras
se analizan. pruebas de parches resoluciones frente a
previo a su puesta vulnerabilidades
en producción. similares.

PR.MA. Mantenimiento

El mantenimiento y las reparaciones de los componentes de los sistemas de información y de control

industrial se lleva a cabo en consonancia con las políticas y procedimientos.

PR.MA-1. El El área de Se establecen los Se cuenta con un Se implementa los

mantenimiento y tecnología gestiona planes anuales de procedimiento, procesos control de
la reparación de y/o realiza el mantenimiento, donde se cambio, la
los activos de la mantenimiento gestionando el estandariza la documentación
organización se sobre los activos acceso a los planificación requerida y la
lleva a cabo y es del centro de datos, usuarios preventiva y aprobación por parte
registrado en en función de los autorizados para correctiva de la del CSI, con el fin de
forma oportuna requerimientos realizar las tareas plataforma que todos estos
con técnicos. de mantenimiento tecnológica de la requerimientos de
herramientas programado. organización. mantenimiento estén
aprobadas y Se conservan los acordados por las
controladas. registros del partes y que los
mantenimiento, mismos no impacten
fallos y cambios la entrega de
realizados sobre servicios críticos.
los activos. Se cuenta con un
proceso de control
interno para la
verificación de
cumplimiento de los
procedimientos de
mantenimiento del
equipamiento.

55
PR.MA-2. El El área de El RSI realiza la Se cuenta con un Se realiza una
mantenimiento a tecnología aprueba gestión de procedimiento que revisión periódica de
distancia de los la alta y baja de los aprobación de los contempla que logs de acceso y
activos de la usuarios (internos o usuarios para todos los eventos actividades de los
organización se externos) que conexión remota a de conexión remota usuarios a la
aprueba, realizan los sistemas y a los activos plataforma de la
registra y lleva a mantenimiento de activos de la informáticos organización.
cabo de forma forma remota a los organización, generan alertas de
tal que se activos informáticos cumpliendo con el forma automática;
impide el acceso del centro de datos. plan anual de las mismas
no autorizado. mantenimiento permiten identificar
aprobado por las y trazar las
partes. Se lleva a actividades de los
cabo el registro de usuarios que se han
los eventos de conectado para
accesos de cada validar que todas
usuario, exigiendo las acciones de
el estricto mantenimiento
cumplimiento de corresponden con
las cláusulas de las acciones
confidencialidad, esperadas o alertar
integridad y de una posible
disponibilidad de desviación.
la información.

PR.TP. Tecnología de protección

Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas
y activos de la organización, en consonancia con las políticas, procedimientos y acuerdos.

PR.TP-1. Los Se configuran los Los registros de Se define una Se establecen los
registros de registros de auditoría se política y requisitos de
auditoría (logs) auditoría para todos centralizan. procedimientos de retención de los
se documentan, los sistemas La revisión de los auditoría y registro registros y se
implementan y definidos como registros se de eventos. implementan.
son revisados críticos. Los realiza en forma Los registros de Se toman medidas
de conformidad registros son ad-hoc. Los auditoría se para facilitar el
con la política. utilizados para registros están respaldan fuera de análisis de grandes
tratar situaciones protegidos contra línea en forma volúmenes de
puntuales. accesos no periódica y se información.
autorizados y revisan Se cuenta con
posibles periódicamente con mecanismos para
alteraciones. herramientas de revisar las
Se tiene en apoyo actividades de los
cuenta los automatizadas. administradores. Se
requisitos de Los relojes de todos realizan actividades
confidencialidad los sistemas deben de control interno
de la información estar sincronizados para verificar el
y protección de la (servidores, cumplimiento con la
privacidad de los aplicaciones, etc.). política y los
datos contenidos procedimientos. El
en los registros. resultado de las
revisiones se
comunica al RSI y
demás partes
interesadas.
PR.TP-2. Los Existe difusión Se identifican los Se realiza el reporte Se realizan revisiones
medios sobre la importancia tipos de medios de hurto, pérdida o de control interno
extraíbles se de la protección y extraíbles daño del medio y su sobre el cumplimiento
encuentran uso de los medios autorizados. eliminación al final de las pautas de uso
protegidos y su extraíbles. Se establecen de su vida útil. de medios extraíbles
uso se pautas para el uso y del procedimiento.

56
encuentra de medios Los resultados de las
restringido de extraíbles y son revisiones son
acuerdo con las comunicadas a utilizados para la
políticas. todo el personal. mejora del
procedimiento y se
comunican al RSI y
demás partes
interesadas.
PR.TP-3. El Ver PR.CA-4 (nivel Ver PR.CA-4 Ver PR.CA-4 (nivel Ver PR.CA-4 (nivel 4)
acceso a los 1) (nivel 2) 3)
sistemas y
activos se
controla,
incorporando el
principio de
menor privilegio.
PR.TP-4. Las [AC]Los servicios [AC]La mayoría [AC]Todos los [AC]La comunicación
redes y del organismo son de los servicios se servicios se entre MTAs de
comunicaciones prestados con encuentran en encuentran en dominios
se encuentran infraestructura territorio nacional, territorio nacional. gubernamentales se
protegidas. dentro del territorio y los restantes encuentra cifrada en
nacional, o al están en proceso El WAF de forma mandatoria.
menos se cuenta de migración producción ha El organismo envía
con una conforme a la evolucionado de un reporte mensual al
planificación para la planificación modo detección a CERTuy sobre
migración de todos realizada. modo bloqueo. estadísticas de la
los servicios que Se cuenta con un actividad detectada
están fuera de él. Todas las WAF instalado en en el WAF. El
aplicaciones Web ambiente de prueba organismo colabora
La comunicación disponibles en para la realización con el CERTuy en la
entre MTAs se Internet se de pruebas centralización de
encuentra cifrada encuentran funcionales y otro registros de WAF a
como método protegidas WAF en ambiente nivel nacional.
preferido de mediante el uso de producción
comunicación. de WAF, al menos donde se impactan El análisis de los
Los servicios de configurados en las reglas registros del WAF
Webmail se modo “detección”. actualizadas luego incluye automatismos
encuentran de ser probadas. que favorecen las
implementados Los registros de los actividades de
sobre el protocolo WAF se encuentran revisión. Se establece
HTTPS utilizando centralizados. un procedimiento
un certificado para la preservación y
válido. gestión de los
registros del WAF.
PR.TP-5. Se Los componentes Se cuenta con un Se documenta la Se cuenta con
implementan críticos del centro centro de datos implementación y redundancia en todos
mecanismos de datos cuentan alterno donde los pruebas de los los componentes que
(por ejemplo, a con redundancia componentes y mecanismos para dan soporte a los
prueba de fallas, para la entrega de activos que tolerar fallos en servicios críticos. Se
equilibrio de servicios y para soportan los sistemas y activos trabaja en la mejora
carga, cambio tolerar los fallos en servicios críticos de información continua de los
en caliente o situaciones pueden alcanzar críticos del centro procesos basado en
“hot swap”) para adversas, según los los requisitos de de datos principal. las pruebas
lograr los requisitos de resiliencia del También se cuenta periódicas, lo que
requisitos de resiliencia negocio para la con una estructura permite calibrar los
resiliencia en establecidas por el prolongación de pruebas activos en base a la
situaciones negocio. operativa. periódicas sobre el necesidad del
normales y centro de datos negocio.
adversas. alterno para
constatar que los
sistemas se
encuentran

57
 configurado de
forma correcta.

6.3 Función: DETECTAR (DE)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

DE.AE. Anomalías y eventos

La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.

DE.AE-1. Se Se definen y Se definen y Se documenta la La configuración de la

establece y gestionan los gestionan los línea base. Se línea base es
gestiona una parámetros parámetros define el revisada
línea base de esperables para esperables de procedimiento de periódicamente o
operaciones de usuarios todos los usuarios monitoreo y ante cambios
red y flujos de privilegiados y y sistemas actuación antes tecnológicos y/o de
datos esperados sistemas críticos del asociados a desvíos. Se los objetivos de
para usuarios y centro de datos. servicios críticos generan negocio.
sistemas. de la indicadores y Los indicadores son
organización, así métricas sobre los utilizados para la
como aquellos eventos mejora continua y
sistemas de monitoreados. apoyar a la gestión de
soporte u otros la línea base.
que deban ser
monitoreados. Los
desvíos son
reportados al RSI.
DE.AE-2. Los Se registran los Se revisan los Se define una La revisión de los
eventos eventos de los eventos de los política de auditoría eventos se realiza a
detectados son sistemas y redes. sistemas y redes, y registro de intervalos regulares y
analizados para Los eventos y de configuración eventos. cuando se detecta
entender los irregulares y uso de WAF. Existen actividad anormal
objetivos y detectados Se cuenta con procedimientos para detectar
métodos de puntualmente se herramientas de documentados para objetivos, métodos de
ataque. analizan. apoyo la revisión y gestión ataque, patrones,
Se contacta al automatizadas de los eventos de etc., permitiendo
CERTuy o CSIRT para el monitoreo los sistemas y redes orientar y optimizar
que corresponda en de los eventos, y de configuración y las estrategias y/o
los casos que sea excepciones y uso de WAF. esfuerzos en
necesario contar fallas. Los procedimientos ciberseguridad. La
con asistencia. incluyen la gestión periodicidad de las
de anomalías en revisiones se
alineación a la establece en los
política y procedimientos y se
procedimiento de informa al RSI y
gestión de demás partes
incidentes. interesadas sobre los
resultados de la
revisión.
DE.AE-3. Los Se revisan los Los sistemas que Se cuenta con Se implementan
datos de los eventos locales soportan los procesos, procesos
eventos se generados por el servicios críticos procedimientos y automatizados que
agrupan y equipamiento y emiten alertas de herramientas para permiten
correlacionan eventos de forma correlacionar

58
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

desde múltiples activos del centro independiente, la centralización de información,

fuentes y de datos. basados en las logs. pudiendo tomar
sensores. Se deja registro de pautas Se emiten alertas acciones de forma
la revisión. establecidas por que permita tomar automatizada.
el apetito de acciones para Se realiza una
riesgo de la salvaguardar la revisión periódica de
organización. confidencialidad, los procedimientos, y
Se cuenta con un integridad y la misma se utiliza
sistema de disponibilidad de los para la mejora
centralización de sistemas de continua.
logs. información.
DE.AE-4. Se Se analiza el Se identifican los Las actividades de Se realizan
determina el impacto de los activos afectados identificación de actividades de control
impacto de los eventos que afectan tomando como impacto y interno para verificar
eventos. a los sistemas y base el inventario determinación de el cumplimiento con
servicios más de activos críticos umbrales están el procedimiento de
críticos, dentro o del centro de contenidas en el detección y
fuera del centro de datos. Se procedimiento de monitoreo.
datos. La detección establecen los detección y Los resultados de
es reactiva. umbrales monitoreo. estas actividades se
tolerables de los Se automatizan las utilizan para la mejora
activos (por alertas ante del procedimiento y
ejemplo, tiempo incidentes se retroalimentan las
de espera correspondientes lecciones aprendidas.
tolerable para una con los umbrales de
aplicación Web). tolerancia para los
Se automatizan activos críticos del
algunas alertas centro de datos.
ante incidentes. Se clasifican las
alertas ante
incidentes tomando
en cuenta el riesgo
asociado.
DE.AE-5. Se Ver DE.AE-4 (nivel Ver DE.AE-4 Ver DE.AE-4 (nivel Ver DE.AE-4 (nivel 4)
establecen los 1) (nivel 2) 3)
umbrales de
alerta de
incidentes.

DE.MC. Monitoreo continuo de la seguridad

Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de
seguridad cibernética y verificar la eficacia de las medidas de protección.

DE.MC-1. Se Se monitorea de Se monitorea de En el centro de Se monitorean todos

monitorea la red forma reactiva o forma datos se los activos de
para detectar esporádica los automatizada los implementan alertas información del
potenciales sistemas o servicios activos críticos del sobre anomalías centro de datos, con
eventos de más críticos. centro de datos, que podrían cruzamiento de
ciberseguridad. generando alertas transformarse en información de
ante la detección problemas para los diversas fuentes,
de problemas. activos críticos. contemplando, entre
Estas alertas otros, alertas
notifican cuando se preventivas y
comienzan a dar las reactivas.
casuísticas que Se cuenta con un
pueden derivar en mecanismo
un incidente aún no alternativo de
concretado. monitoreo, al menos

59
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

manual, ante fallas

del principal.
DE.MC-2. Se Existen controles de Existen funciones Se cuenta con una Se cuenta con un
monitorea el acceso físico a las integradas en los política de control sistema de monitoreo
ambiente físico instalaciones del dispositivos que de acceso físico. Se inteligente que
para detectar centro de datos. Se permiten el cuenta con los proporciona
potenciales definen alertas monitoreo de las sensores instalados información histórica
eventos de reactivas (ínsita) de amenazas típicas y se recolecta la útil para la generación
ciberseguridad. control en los (alimentación información. de informes. Los
dispositivos físicos eléctrica, Se define dónde se informes son
del centro de datos. enfriamiento, almacena la utilizados para
Se monitorean etc.). Se definen información de los evaluar el centro de
esporádicamente notificaciones de sensores. Se datos y tomar
los dispositivos para alertas (correo, determina la acciones correctivas
detectar amenazas SMS, etc.) al estrategia de o preventivas.
sobre ellos personal recolección que sea
(alimentación designado. más adecuada,
eléctrica, siempre evitando un
enfriamiento, etc.). punto único de falla.
Se trabaja en la
identificación de
otro tipo de
amenazas físicas
(personas,
sustancias
suspendidas en el
aire, humedad,
filtración de
líquidos,
temperatura del
aire, etc.) y en el
establecimiento de
sensores para
capturar la
información.
DE.MC-3. Se Se registran los Se realizan Se han definido las Se realizan
monitorea la eventos relevantes revisiones de los responsabilidades actividades de control
actividad del de los usuarios que eventos del monitoreo. Se interno para verificar
personal para suceden en los registrados en ha definido un el cumplimiento con
detectar sistemas o forma reactiva. procedimiento de el procedimiento de
potenciales aplicaciones Los resultados de revisión periódica monitoreo.
eventos de críticas. las revisiones son de registros que Se genera
ciberseguridad. utilizados para la cubre al menos información que se
evaluación de inicios de sesión utiliza con fines
potenciales fallidos y acceso y estadísticos y de
incidentes. uso de Internet. mejora de los
La información servicios.
generada se reporta Los resultados de
a la gerencia que estas revisiones se
corresponda y/o utilizan para la mejora
demás partes del procedimiento y
interesadas para la se retroalimentan las
toma de decisiones. lecciones aprendidas.
DE.MC-4. Se Los equipos del Los servidores Se define una Se implementan
detecta el personal cuentan que ofician de política y controles para evitar
código con protección distribuidores de procedimientos el acceso a sitios
malicioso. antivirus. Las archivos (por para el manejo de Web maliciosos y/o
soluciones a los ejemplo, software malicioso. no autorizados.
problemas servidores de

60
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

detectados se archivos o correo Se cuenta con una La protección ante

realizan en forma electrónico), solución software malicioso se
ad-hoc. cuentan con una centralizada de extiende a otros
solución antivirus. antivirus. dispositivos móviles y
Se configuran se refleja en la
chequeos política de protección
periódicos en los contra software
equipos del malicioso.
personal. Existen
Las actividades procedimientos
de concientización documentados para
al personal la detección de
contienen temas equipos que se
específicos sobre encuentran
riesgos y desprotegidos y se
problemas realizan las acciones
derivados del necesarias para
software subsanar la situación.
malicioso. Se cuenta con un
registro estadístico de
infecciones por
software malicioso
que aporta a la toma
de decisiones y
alimenta las lecciones
aprendidas que se
usan para la mejora
continua.
DE.MC-5. Se Ver DE.MC-4 (nivel Ver DE.MC-4 Ver DE.MC-4 (nivel Ver DE.MC-4 (nivel 4)
detecta el código 1) (nivel 2) 3)
móvil no
autorizado.
DE.MC-6. Se Se toman acciones Existen SLA con Existen SLA con los Se realiza una
controla la ante desvíos proveedores de proveedores de revisión periódica de
actividad de los detectados en el servicios críticos servicios críticos del los contratos y SLA
proveedores de servicio de un del centro de centro de datos de los proveedores
servicios proveedor de un datos. En los donde se establece de servicios críticos
externos para servicio crítico del contratos con los el régimen de para evaluar la
detectar centro de datos. proveedores de cobertura para los adherencia a los
posibles eventos servicios críticos, servicios críticos acuerdos.
de se incluyen conforme las La información que
ciberseguridad. cláusulas de necesidades de la surge de la revisión
seguridad de la organización. En apoya a la toma de
información. todos los contratos decisiones.
se incluyen
cláusulas de
seguridad de la
información.
Los contratos con
los proveedores son
revisados ante
cambios del
servicio.
DE.MC-7. Se Se establece el Se utilizan reglas Se definen políticas El sistema de
realiza monitoreo de los para los sistemas y procedimientos recolección de log
monitoreo para logs generados por de forma que definen los centralizado o
personas, los sistemas del independiente, términos y sensores dispuestos
conexiones, control de acceso, a que permiten condiciones del en la red de la
nivel físico y lógico, alertar cuando los monitoreo de organización,

61
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

dispositivos y dentro del centro de usuarios realizan personas, recolectan y emiten

software. datos. conexiones fuera conexiones, alertas relacionadas a
de la dispositivos y las acciones no
organización, y la software. permitidas por los
conexión e Se amplía el usuarios sobre la
instalación de monitoreo a todos infraestructura y
dispositivos o los equipos de la sistemas de la
software no organización. organización.
autorizado en
equipos de la
organización.
DE.MC-8. Se Se realizan Se realizan Se define un Los resultados de las
realizan revisiones revisiones de responsable y un revisiones internas y
escaneos de puntuales de los seguridad de los procedimiento externas se utilizan
vulnerabilidades sistemas de sistemas en forma documentado para para la mejora
. información con periódica o como la revisión periódica continua de la
recursos propios o parte de un interna de seguridad de los
con apoyo externo. cambio vulnerabilidades sistemas.
significativo en con alcance a los Se realizan
ellos, con sistemas base y de actividades de control
recursos propios o aplicación. Se interno para verificar
con apoyo cuenta con el apoyo el cumplimiento con
externo. de revisiones el procedimiento de
externas de revisión periódica de
vulnerabilidades y vulnerabilidades. El
hackeo ético. procedimiento de
Los resultados de revisión de
las revisiones vulnerabilidades se
internas y externas encuentra
se utilizan para la incorporado en las
detección y actividades de
corrección de seguridad de la
vulnerabilidades. información y se
decide su realización
con una frecuencia
mayor, ante cualquier
cambio de magnitud
(previo análisis de
riesgo) o cada vez
que se considera
necesario.

DE.PD. Procesos de detección

Se mantienen procesos y procedimientos de detección y pruebas para asegurar el conocimiento oportuno y

adecuado de los eventos anómalos.

DE.PD-1. Los Existe personal con Se define la Se ha definido un Se realizan

roles y las tareas asignadas participación de responsable para actividades de control
responsabilidad para la detección de roles de TI para las tareas de interno de
es de detección eventos a nivel de las actividades de monitoreo de cumplimiento con el
se encuentran sistemas base y de monitoreo basado eventos y existe un procedimiento de
definidos para protección en herramientas procedimiento monitoreo de
asegurar perimetral. automatizadas. documentado para eventos. El resultado
responsabilidad Se revisan los la gestión de las de las actividades se
es. registros de actividades de comunica al RSI y
eventos. monitoreo. demás partes
Se realizan pruebas interesadas, se utiliza
periódicas al para mejorar el

62
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

procedimiento de procedimiento y las

monitoreo. Este pruebas y se
procedimiento retroalimentan las
define las lecciones aprendidas.
actividades de
comunicación
formales que deben
realizarse.
Se definen los
escenarios a probar
y los ambientes.
DE.PD-2 Las La información Se utilizan los Los procedimientos De forma periódica se
actividades de contenida en los datos y actividades de controla el
detección logs es utilizada recolectados de detección son cumplimiento de los
cumplen con conforme a los acuerdo con la revisados ante requisitos aplicables
todos los requisitos regulación y cambios en los sobre el monitoreo y
requisitos aplicables, en normativa del requisitos las actividades
aplicables. particular los sector que aplicables. relacionadas.
requisitos legales. corresponda, por
ejemplo,
protección de
datos.
DE.PD-3 Los Se realizan pruebas Se realizan Existen Las lecciones
procesos de de los procesos de pruebas de los procedimientos que aprendidas son
detección son detección y procesos de establecen la utilizadas para la
probados. monitoreo (físico y detección y periodicidad y los mejora del SGSI,
lógico) de los monitoreo (físico y criterios para la particularmente para
activos del centro lógico) de los realización de la gestión de riesgos.
de datos. activos y usuarios pruebas de
de la detección.
organización. Las pruebas se
apoyan en la
automatización del
proceso para la
detección de
desvíos.
Las pruebas se
documentan y se
realiza la gestión de
cambios.
Se identifican las
lecciones
aprendidas.
DE.PD-4. La Al detectar eventos Existen Existe un El responsable del
información de anómalos o mecanismos de procedimiento de monitoreo de eventos
la detección de potencialmente comunicación monitoreo que trabaja en forma
eventos es anómalos, se definidos ante la contiene coordinada con el
comunicada a comunica a algún detección de actividades de RSI. Se realizan
las partes referente o eventos comunicación. revisiones de control
pertinentes. autoridad con anómalos, y estos Dentro de las interno de
capacidad de son ejecutados pruebas realizadas cumplimiento con el
articular soluciones. cuando al procedimiento de procedimiento de
efectivamente se monitoreo, se monitoreo y de las
detectan. incluyen pruebas a actividades de
las actividades de comunicación. El
comunicación. resultado de las
revisiones se utiliza
para mejorar el
procedimiento y las

63
Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

pruebas. Se
retroalimentan las
lecciones aprendidas.
DE.PD-5. Los Toda incorporación Toda Se define el Ver DE.PD-4 (nivel 4)
procesos de o modificación de incorporación o procedimiento
detección son los sistemas críticos modificación de monitoreo de los
mejorados e infraestructuras los sistemas del activos de
continuamente. del centro de datos negocio son información de la
son reflejados en el reflejados en el organización. Se
monitoreo. monitoreo. correlacionan los
eventos de los
distintos sistemas
de monitoreo. Se
automatizan las
alertas ante
desvíos.

6.4 Función: RESPONDER (RE)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

RE.PR. Planificación de la respuesta

Los procesos y procedimientos de respuesta se ejecutan y se mantienen garantizando una respuesta

oportuna para detectar eventos de ciberseguridad.

RE.PR-1. El Se establecen los Los mecanismos El plan y/o Se realizan revisiones

plan de mecanismos de de respuesta a procedimiento de de control interno
respuesta se respuesta a incidentes se respuesta es para verificar el
ejecuta durante incidentes. documentan en ajustado según la cumplimiento del plan
o luego de un Se informa al un plan y/o política de gestión y/o procedimiento de
evento. CERTuy o CSIRT procedimiento que de incidentes. Se respuesta.
que corresponda, son difundidos a define un La Dirección, el RSI y
sobre los incidentes todos los responsable de la el CSI reciben
detectados. interesados. respuesta a información periódica
Los incidentes y la incidentes. sobre incidentes de
respuesta Se trabaja en la seguridad de la
realizada se mejora de los información. Dicha
registran. Se procesos operativos información apoya la
informa a las post incidentes de toma de decisiones y
gerencias seguridad de la se registran lecciones
involucradas información lo cual aprendidas que son
sobre los se ve reflejado a utilizadas para la
incidentes. nivel de política, mejora continua de la
plan y/o respuesta a
procedimientos. incidentes.
El responsable de
la respuesta trabaja
activamente con el
CERTuy o CSIRT
correspondiente.

64
RE.CO. Comunicaciones

Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según
corresponda.

RE.CO-1. El Ver RE.PR-1 (nivel Se determina el Existe una política Se realizan pruebas
personal conoce 1) plan y/o de gestión de del plan de respuesta,
sus roles y el procedimiento de incidentes que ha incluyendo a usuarios
orden de respuesta a sido difundida al clave para reforzar
operaciones incidentes. Se han personal. sus conocimientos
cuando es definido y En las actividades sobre sus roles. Se
necesaria una realizado de concientización y realizan actividades
respuesta actividades de capacitación se de control interno
concientización en incluyen temas que para verificar el
seguridad de la abarcan las cumplimiento del plan
información. actividades del plan y/o procedimiento de
y/o procedimiento respuesta.
de respuesta y el
procedimiento de
reporte de
incidentes en
función de cada rol.
RE.CO-2. Los Ver PR.PI-9 (nivel Existe un único Existe una política Se realizan
eventos son 1) punto de contacto de gestión de actividades de control
reportados interno a la incidentes y se ha interno de
consistentement organización. definido un plan y/o cumplimiento con el
e con los El punto de procedimiento procedimiento de
criterios contacto reporta alineado a ella, que reporte y gestión de
establecidos. los incidentes de contiene incidentes. El
seguridad actividades de resultado de las
informática al comunicación con actividades se utiliza
CERTuy o equipo interesados. para mejorar el
de respuesta que El reporte de procedimiento de
corresponda de eventos y la gestión reporte y gestión de
acuerdo a los de incidentes se incidentes y se
criterios apoyan en retroalimentan las
establecidos por herramientas lecciones aprendidas.
éste. automatizadas.
RE.CO-3. La Ver PR.PI-9 (nivel Ver PR.PI-9 (nivel Ver PR.PI-9 (nivel Ver PR.PI-9 (nivel 4)
información se 1) 2) 3)
comparte
consistentement
e con los planes
de respuesta.

65
RE.CO-4. La Se mantiene Se identifican los Existe una política Se ha definido un
coordinación contacto con potenciales de gestión de responsable que
con las partes actores clave actores internos y incidentes y se ha coordina la respuesta
interesadas se internos y externos externos ante un definido un plan y/o ante incidentes.
realiza durante la gestión incidente y se procedimiento Se realizan
consistentement de incidentes. Se registran sus alineado a ella, que actividades de control
e con los planes escalan las datos de contacto. contiene interno de
de respuesta. necesidades Se determina y actividades de cumplimiento con el
puntuales, por documenta el comunicación con procedimiento de
ejemplo, al CERTuy mecanismo de interesados. reporte y gestión de
o CSIRT del sector. escalamiento de incidentes, y plan de
incidentes. respuesta. El
resultado de las
actividades se utiliza
para mejorar el
procedimiento y los
planes. Se
retroalimentan las
lecciones aprendidas.
RE.CO-5. Se Ver RE.CO-4 (nivel Ver RE.CO-4 Ver RE.CO-4 (nivel Ver RE.CO-4 (nivel 4)
realiza 1) (nivel 2) 3)
intercambio de
información
voluntaria con
partes
interesadas
externas para
alcanzar una
conciencia de
ciberseguridad
más amplia.

RE.AN. Análisis

Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de recuperación.

RE.AN-1. Se Los sistemas Se definen pautas Se define una El procedimiento

investigan las registran eventos generales para el política de auditoría incorpora mejores
notificaciones y/o envían registro de y registro de prácticas que
de los sistemas notificaciones de eventos y los eventos. incluyen actividades
de detección. seguridad que se nuevos sistemas Existe un de análisis forense y
analizan se despliegan de procedimiento custodia de la
reactivamente y se acuerdo a ellas. documentado y información.
escalan cuando Se determina alineado a la Se realizan
corresponde. cuando un evento política. actividades de control
o notificación Se define si se interno de
conforma un escala un incidente cumplimiento del
incidente y se considerando: procedimiento. El
clasifica según su activos afectados, resultado de las
criticidad y criticidad y actividades se utiliza
severidad. severidad. para el proceso de
mejora continua.

66
RE.AN-2. El Se llevan a cabo Existen pautas La respuesta a El procedimiento
impacto del actividades de para la incidentes se incorpora mejores
incidente es análisis de impacto clasificación de realiza dentro del prácticas que
comprendido. y actividades de incidentes, que marco del plan y/o incluyen actividades
respuesta en forma son utilizadas en procedimiento de de análisis forense y
ad-hoc. la gestión de respuesta, alineado custodia de la
Se informa al todos los a la política de información, así como
CERTuy o CSIRT incidentes. gestión de también actividades a
que corresponda, incidentes. realizar post
sobre los incidentes Existe un incidente.
detectados. procedimiento de Se sistematizan las
gestión de lecciones aprendidas,
incidentes que que son utilizadas
incluye las tareas para la mejora de los
de análisis de procedimientos, los
impacto. Se cuenta procesos y las
con herramientas estrategias de
automatizadas para mitigación y
el registro de respuesta.
incidentes
alineadas con el
plan y/o
procedimiento de
respuesta definido.
RE.AN-3. Se Ante un incidente Ante un incidente Todos los El resultado del
realiza análisis de seguridad de la de seguridad de la procedimientos análisis forense es
forense. información en el información, la vinculados al utilizado para la
centro de datos, la organización análisis forense se mejora continua del
organización realiza realiza un análisis encuentran SGSI de la
un análisis forense forense o contacta documentados. La organización; en
o contacta a su a su CSIRT de documentación es particular para la
CSIRT de referencia para realizada por gestión de riesgos de
referencia para llevarlo adelante. personal calificado. seguridad de la
llevarlo adelante. Se tienen pautas información.
establecidas para
garantizar la
cadena de
custodia.
Se generan los
informes
pertinentes y se
distribuyen a las
partes
interesadas.
RE.AN-4. Los Se han definido Se determinan las Se define una La categorización de
incidentes son lineamientos para la acciones y política de gestión incidentes y los
categorizados categorización de tiempos de de incidentes de planes de respuesta
consistentement los incidentes respuesta seguridad de la se revisan
e con los planes según su tipo y asociados a cada información y se periódicamente,
de respuesta. criticidad. categoría según difunde. considerando las
severidad. Se define un plan necesidades del
de respuesta para negocio y las
la gestión de tendencias de
incidentes. Las amenazas.
acciones asociadas Se realizan
a cada categoría estadísticas utilizando
están alineadas al las categorizaciones,
plan de respuesta. los resultados son
Se cuenta con utilizados para
herramientas que mejorar o incrementar
apoyan la gestión los controles
de los incidentes. existentes.

67
RE-AN-5. Se Se establecen Se establecen Se define una Las fuentes de datos
establecen canales de canales de metodología para la son revisadas
procesos para comunicación y comunicación y gestión de periódicamente.
recibir, analizar fuentes de fuentes de vulnerabilidades, La metodología se
y responder a información para información para así como los adecua conforme las
las alertar las posibles alertar las procedimientos necesidades del
vulnerabilidades vulnerabilidades posibles necesarios para su negocio y su
divulgadas a la que puedan afectar vulnerabilidades implementación. contexto.
organización los activos y que puedan Se cuenta con La gestión de
desde fuentes servicios críticos del afectar los activos herramientas que vulnerabilidades es
internas y centro de datos. y servicios críticos apoyan la gestión utilizada para la
externas (por de la de vulnerabilidades. mejora continua del
ejemplo, organización. SGSI.
pruebas Se establece un
internas, mecanismo de
boletines de acción en base a
seguridad o la criticidad de las
investigadores vulnerabilidades.
de seguridad).

RE.MI. Mitigación

Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.

RE.MI-1. Se Existen Se han definido Existe una política Ver RE.AN-2 (nivel 4)
logra contener mecanismos de pautas para de gestión de
los incidentes. respuesta a contener el daño y incidentes que ha
incidentes, minimizar el sido difundida al
especialmente para riesgo en el personal y se ha
contenerlos. entorno operativo. definido un plan y/o
Se atiende y se Se informa a las procedimiento
mitigan las gerencias sobre alineado a ella.
consecuencias de los incidentes. Se cuenta con
los incidentes. Se Se cuenta con herramientas
mantiene un planes de automatizadas para
registro de los remediación de el registro de
incidentes. los incidentes. incidentes,
Se informa al alineadas con el
CERTuy o CSIRT plan de respuesta
que corresponda, definido.
así como a otras
partes interesadas,
sobre los incidentes
detectados.
RE.MI-2. Se Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel 4)
logra mitigar los 1) 2) 3)
incidentes.
RE.MI-3. Las Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel Ver RE.MI-1 (nivel 4)
nuevas 1) 2) 3)
vulnerabilidades
identificadas se
mitigan o
documentan
como riesgos
aceptados.

RE.ME. Mejoras

Las actividades de respuesta de la organización son mejoradas por la incorporación de lecciones aprendidas
de las actividades de detección y respuesta actuales y anteriores.

68
RE.ME-1. Los Se identifican las Se identifican las Las lecciones Las lecciones
planes de lecciones lecciones aprendidas son aprendidas son
respuesta aprendidas de los aprendidas de los puestas a utilizadas para la
incorporan incidentes de incidentes de disposición y mejora del SGSI, en
lecciones seguridad de la seguridad de la comunicadas a particular para la
aprendidas. información información en todas las partes gestión de riesgos de
vinculados al centro toda la interesadas. seguridad de la
de datos. organización. Se cuenta con información.
herramientas que Se generan
dan soporte a su indicadores para
registro y gestión. seguimiento y control.
RE.ME-2. Las Se revisan Se revisan Se cuenta con Las mejoras
estrategias de periódicamente las periódicamente pautas o políticas identificadas en las
respuesta se estrategias de las estrategias de documentadas para revisiones de
actualizan. respuesta del respuesta de los llevar adelante las estrategia son
centro de datos, o procesos de la revisiones de las utilizadas para su
ante cambios en las organización que estrategias de ajuste, así como para
necesidades del afecten los respuesta. la mejora del SGSI,
negocio. servicios críticos. en particular para la
gestión de riesgos de
seguridad de la
información.
Se generan
indicadores para
seguimiento y control.

69
6.5 Función: RECUPERAR (RC)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4

RC.PR. Planificación de la recuperación

Los procesos y procedimientos de recuperación son ejecutados y mantenidos para asegurar la restauración
oportuna de los sistemas o activos afectados por eventos de ciberseguridad.

RC.PR-1. El Existen medidas de Se trabaja en la Existe un plan de Se define un

plan de continuidad en el elaboración de un contingencia y responsable de
recuperación se centro de datos plan y/o recuperación. Se respuesta a
ejecuta durante (alimentación procedimiento de realizan algunas incidentes que lleva
o luego de un redundante de respuesta a pruebas (que se adelante las tareas de
evento. energía eléctrica, incidentes. registran) al plan de recuperación en
medidas de control Existen contingencia y coordinación con los
ambiental y lineamientos recuperación. actores involucrados.
redundancia en las establecidos para El plan y/o
telecomunicaciones la ejecución de procedimiento de
) que favorecen a la actividades de respuesta y el plan de
recuperación luego recuperación ante contingencia y
de un evento de incidentes. recuperación son
ciberseguridad. probados
Se informa al anualmente. Los
CERTuy o CSIRT resultados de las
que corresponda pruebas son
sobre los incidentes comunicados a la
detectados. Dirección y otras
partes interesadas.
La información de las
pruebas,
retroalimentan las
lecciones aprendidas
que se utilizan para la
mejora continua de
los planes y
procedimientos.

70
RC.ME. Mejoras

Se mejoran los planes y procesos de recuperación incorporando las lecciones aprendidas en actividades
futuras.

RC.ME-1. Los Ver RE.ME-1 (nivel Ver RE.ME-1 Ver RE.ME-1 (nivel Ver RE.ME-1 (nivel 4)
planes de 1) (nivel 2) 3)
recuperación
incorporan
lecciones
aprendidas.
RC.ME-2 Las Se revisan Se revisan Se cuenta con Ver RE.ME-2 (nivel 4)
estrategias de periódicamente las periódicamente pautas o políticas
recuperación se estrategias de las estrategias de documentadas para
actualizan. recuperación del recuperación de llevar adelante las
centro de datos, o los procesos de la revisiones de las
ante cambios en las organización, en estrategias de
necesidades del particular de los recuperación en
negocio. servicios críticos. base a los cambios
Las estrategias que son
son comunicadas determinados por el
a toda la BIA.
organización y se
hace énfasis en
aquellas que por
su relación con el
funcionamiento de
los servicios
críticos requieren
apoyar la
recuperación.

RC.CO. Comunicaciones

Las actividades de recuperación se coordinan con las partes interesadas internas y externas, como centros
de coordinación, proveedores de servicios de Internet, propietarios de los sistemas afectados, las víctimas,
otros CSIRT y vendedores.

71
RC.CO-1. Se La comunicación Se ha definido un Se ha definido un Se realizan ensayos
gestiona las externa de las único interlocutor plan de de crisis poniendo en
relaciones situaciones de crisis (vocero) comunicaciones práctica el plan y el
públicas. o incidentes autorizado a ante crisis junto con procedimiento de
mayores es llevada comunicar una un procedimiento comunicación.
a cabo situación de crisis que cubre la Se realizan revisiones
exclusivamente por o situación que evaluación del de control interno
la Dirección o por afecta la evento, las para verificar el
quien ésta haya ciberseguridad o notificaciones, nivel cumplimiento del plan
determinado. Las seguridad de la de comunicación y procedimiento de
áreas técnicas no información de la requerido, comunicaciones ante
realizan organización. mensajes, crisis.
comunicación Se difunde al audiencia, Los resultados de las
externa salvo personal quién es interesados y revisiones se
autorización el vocero y cuál es monitoreo de las registran y se utilizan
expresa. la vía de contacto. comunicaciones. para la mejora
El plan y el continua.
procedimiento son La Dirección participa
difundidos a los activamente en las
actores actualizaciones del
correspondientes. plan, en especial, en
la aprobación y modo
de difusión de los
mensajes.
RC.CO-2. Se Ver RC.CO-1 (nivel Ver RC.CO-1 Ver RC.CO-1 (nivel Ver RC.CO-1 (nivel 4)
repara la 1) (nivel 2) 3)
reputación luego
del evento.

RC.CO-3. Se Ver RC.CO-1 (nivel Ver RC.CO-1 Ver RC.CO-1 (nivel Ver RC.CO-1 (nivel 4)
comunican las 1) (nivel 2) 3)
actividades de
recuperación a
los interesados
internos y a los
equipos
ejecutivos y de
gestión.

72
7 Glosario

7.1 Abreviaturas

ABM Altas Bajas Modificaciones

BIA Business Impacto Analysis
DLP Data Loss Prevention
EMG Estándar Mínimo de Gestión (Banco Central de Uruguay)
CPD Centro de Procesamiento de Datos. Centro de datos. Data center.

CSI Comité de Seguridad de la Información

CSIRT Computer Security Incident Response Team (Equipo de Respuesta ante
Incidentes de Seguridad Informática)

RSI Responsable de la Seguridad de la Información

SGSI Sistema de Gestión de Seguridad de la Información

SLA Service Level Agreement (Acuerdo de Nivel de Servicio)

TI Tecnología de la Información

WAF Web Application Firewall

73
7.2 Definiciones

A
Amenaza
Causa potencial de un incidente no deseado, que puede dar lugar a daños en un sistema o
en una organización. [ISO/IEC 27000:2009]

B
BIA (del inglés Business Impact Analysis)
Un análisis de impacto en el negocio está orientado a identificar qué procesos de negocio
podrían verse afectados y de qué forma, ante la materialización de los riesgos identificados.
Sus objetivos principales son identificar los procesos críticos del negocio y definir su
prioridad en función del impacto relacionado a una interrupción (organizacional, financiero,
de imagen, etc.) para la organización.

C
CERTuy
El CERTuy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del
Uruguay. Un CERT (del inglés Computer Emergency Response Team / Coordination
Center) es un equipo de respuesta y un centro de coordinación de emergencias
informáticas. [Sitio oficial del CERTuy: www.cert.uy]

Código móvil
Programas de software o partes de programas obtenidos de sistemas de información
remoto, transmitidos a través de una red y ejecutados en un sistema de información local sin
instalación o ejecución explícita por parte del destinatario (por ejemplo, un agente o una
macro de un documento). [NIST SP 800-53 Rev. 4 - “Mobile code” p93]

Cadena de suministro
Sistema organizacional, personas, actividades, información y recursos, posiblemente de
alcance internacional, que proporciona productos o servicios a los consumidores. [NIST SP
800-53 Rev. 4 - “Supply Chain” Page B-19]

E
Evento de seguridad informática
Es una ocurrencia identificada de un estado de un sistema, servicio o red que indica que
una posible violación de la política de seguridad de la información, la falla de medidas de
seguridad o una situación previamente desconocida, que pueda ser relevante para la
seguridad. [Decreto N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones]

74
I
Incidente de seguridad informática
Es una violación o una amenaza inminente de violación a una política de seguridad de la
información implícita o explícita, así como un hecho que compromete la seguridad de un
sistema (confidencialidad, integridad o disponibilidad). [Decreto N° 451/009 de 28 de
Setiembre 2009- Art.3 Definiciones]

Incidente de seguridad de la información

Un incidente de seguridad de la información es indicado por un único o una serie de eventos
indeseados o inesperados de seguridad de la información que tienen una probabilidad
significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la
información. [ISO/IEC 27035:2011]

L
Línea base
Una especificación o producto que se ha revisado formalmente y sobre los que se ha
llegado a un acuerdo, y que de ahí en adelante sirve como base para un desarrollo posterior
y que puede cambiarse solamente a través de procedimientos formales de control de
cambios. [IEEE 610.12/1990]

P
Propietario de activos
El término propietario identifica un individuo o entidad que ha probado habilidades de
gestión para controlar la producción, desarrollo, mantenimiento, uso y seguridad de un
activo. El término propietario no significa que la persona tiene efectivamente derechos de
propiedad sobre el activo. [Agesic (políticas marco, políticas del SGSI, políticas de
Presidencia – Manual de Políticas de Seguridad de la Información / Gestión de Activos /
Responsabilidad sobre los activos]

Plan de respuesta a incidentes

Este documento contiene, además del procedimiento de respuesta a incidentes, la
planificación de la respuesta, por ejemplo: introducción, roles y responsabilidades,
metodología, fases de las respuestas a incidentes, plan de comunicación, documentación,
etc.

R
Remediación de incidente
Consiste en las actividades necesarias de reparación o mitigación realizadas para subsanar
la causa raíz que viabilizó un incidente o vulnerabilidad detectadas en sistemas o procesos.

75
S
SLA (del inglés Service Level Agreement)
Acuerdo negociado entre dos partes, una cliente y otra proveedora, donde se definen puntos
comunes de entendimiento sobre servicios, prioridades, responsabilidades y garantías.
Incluye elementos tales como definición de los servicios, garantías y finalización del
acuerdo, medición del rendimiento, gestión de problemas, obligaciones de las partes, entre
otros.

Software de aplicación
Programa informático diseñado como herramienta para permitir a un usuario realizar uno o
diversos tipos de trabajos.

Software de base
Software que sirve para controlar e interactuar con el sistema operativo, proporcionando
control sobre el hardware y dando soporte a otros programas, incluyendo el propio sistema
operativo.

U
Usuario privilegiado
Es aquel que tiene autorización administrativa. Usuario con rol administrador.

V
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una amenaza. [ISO/IEC
27000:2009]

W
WAF (del inglés Web Application Firewall)
Un Firewall de Aplicaciones Web es un dispositivo de hardware o software que permite
proteger los servidores de aplicaciones Web de determinados ataques específicos en
Internet.

76