Marco de Ciberseguridad

DESARROLLANDO
EL URUGUAY DIGITAL
MARCO DE
CIBERSEGURIDAD
MARCO DE REFERENCIA
SEGURIDAD DE LA INFORMACIÓN
Versión 4.0 – Enero 2018
Este documento ha sido elaborado por Agesic (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y
la Sociedad de la Información y el Conocimiento).
El Marco de Ciberseguridad es un conjunto de requisitos (requisitos normativos y buenas prácticas) que se

entienden necesarios para la mejora de la seguridad de la información y la ciberseguridad.
Usted es libre de copiar, distribuir, comunicar y difundir públicamente este documento, así como hacer obras
derivadas, siempre y cuando tenga en cuenta citar la obra de forma específica.
1
1 Revisiones
Versión 1.0 (agosto 2016):

a. Versión inicial
Versión 2.0 (noviembre 2016):
a. Se realizan cambios menores de redacción.
Versión 3.0 (junio 2017):
a. Se realiza cambio de enfoque respecto al modelo de madurez propuesto en la
versión 1.0
Versión 4.0 (enero 2018):
a. Se neutraliza los términos para que el Marco se adapte a cualquier organización, no
solo a los organismos de la Administración central.
b. Se agrega referencias a la norma ISO/IEC 27799:2016.
c. En la subcategoría PR.PI-1 se elimina el requisito SO.8.
d. En la subcategoría ID.ER-4 se agrega el requisito CO.4.
e. En la subcategoría ID.GA-6 se agrega el requisito GA.1.
f. En la subcategoría DE.AE-4 se agrega el requisito SF.3 y se elimina el requisito GI.5.
g. En la subcategoría DE.MC-1 se agrega el requisito SF.3 y se elimina el requisito
SO.7.
h. En la subcategoría RE.AN-1 se agrega el requisito GI.5.
i. En la subcategoría ID.GA-1 se agrega el requisito OR.5.
j. En la subcatagoría DE.MC-5 se elimina el requisito OR.5.
k. El modelo de madurez se adecua para ajustarse a los requisitos. Las siguientes
subcategorias han sufrido alguna modificación en la redacción sus niveles: ID.GA-1,
ID.GA-2, ID.GA-5, ID.AN-3, ID.AN-5, ID.GO-3, ID.ER-1, PR.CA-1, PR.CA-2, PR.CA-
5, PR.CF-1, PR.CF-4, PR.CF-5, PR.SD-2, PR.SD-3, PR.SD-4, PR.SD-6, PR.PI-9,
PR.PI-11, PR.PI-12, PR.TP-1, PR.TP-2, DE.AE-4, RE.PR-1, RE.CO-1, RE.CO-4,
RE.AN-2, RE.MI-1, RC.PR-1, RC.CO-1
Las modificaciones realizadas no cambian las valoraciones preexistentes.
2
2 Introducción
El uso de las Tecnologías de la Información y la Comunicación se ha incorporado de forma

generalizada a la vida cotidiana. Este nuevo escenario facilita un desarrollo sin precedentes
del intercambio de información y comunicaciones pero, al mismo tiempo, conlleva nuevos
riesgos y amenazas que pueden afectar a la seguridad de los sistemas de información.
Es por esto que en 2009, en el marco de la estrategia relacionada a la seguridad de la
información y protección de los activos críticos del Estado, se publicaron dos decretos que
establecen el marco de seguridad de la información en la Administración Central,
exhortando la adopción de las disposiciones establecidas también por parte de los
Gobiernos Departamentales, los Entes Autónomos, los Servicios Descentralizados y, en
general, a todos los órganos del Estado:
 Decreto 451/009: regula el funcionamiento y organización del CERTuy1.

 Decreto 452/009: regula la adopción de una política de seguridad de la información
para organismos de la Administración Pública.
En esta línea, y reforzando los esfuerzos ya realizados, es que en 2014 se aprobó el decreto
92/014 referente a ciberseguridad, con el objetivo de mejorar la seguridad de la información
y las infraestructuras tecnológicas que le dan soporte.
Con la creación de la Plataforma de Historia Clinica Electrónica Nacional (HCEN), y siendo
ésta un activo de información crítico del Estado, surge la importancia de trabajar en los
aspectos de ciberseguridad que conlleva el proyecto. Es así que, ampliando la normativa
existente, se publicó el Decreto 242/017 donde se determina la obligatoriedad de las
instituciones de salud a llevar una historia clínica de cada persona y garantizar su seguridad,
siendo asimismo obligatorio el uso de la Plataforma HCEN. Por esta razón se actualiza el
Marco de Ciberseguridad para contemplar el escenario de las instituciones de salud.
La Seguridad de la Información es un trabajo permanente, que exige un proceso de mejora
continua y sistematizada para minimizar la exposición y determinar posibles puntos que
puedan comprometer la integridad, disponibilidad o confidencialidad de los activos o la
información que estos gestionan; y además estebalece los criterios de seguridad que
permiten potenciar el servicio prestado de manera confiable y segura.
1
CERTuy – Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (www.cert.uy)
3
3 Objetivo y alcance
El objetivo de este documento es presentar un Marco de Ciberseguridad organizado y con

referencias a estándares internacionales que contemplan la normativa nacional. Está
basado en el Marco de Ciberseguridad definido por el Instituto Nacional de Estándares y
Tecnología (NIST2 CSF) para la mejora de la ciberseguridad en infraestructuras críticas, y
contextualizado a las organizaciones que requieren:
 Gestionar los riesgos inherentes a la seguridad de la información y al uso de la

infraestructura tecnológica que le da soporte.
 Adoptar en forma urgente una política de gestión de seguridad de la información.
 Contar con una política de gestión de incidentes.
 Adoptar las medidas necesarias para lograr centros de datos seguros.
 Cumplir con la normativa vigente en materia de seguridad de la información:
decretos 451/009, 452/009, 92/014 y leyes N°18331, N°18381, entre otras.
El Marco provee un enfoque homogéneo para reducir el riesgo vinculado a las amenazas
cibernéticas que puedan comprometer la seguridad de la información. Se encuentra
alineado con las mejores prácticas internacionales, como ISO/IEC 27001:20133, COBIT 54
para Seguridad de la Información y NIST SP 800-53 rev.4. Ha sido contextualizado teniendo
en cuenta la normativa vigente y las mejores prácticas sugeridas por Agesic.
Se toma como referencia el marco definido por NIST con el cometido de que las respuestas
a las amenazas cibernéticas, la gestión de los riesgos y la gestión de la seguridad de la
información estén alineadas al nivel de estándares internacionales. Esto permite a las
organizaciones alinear sus procesos de gestión de seguridad informática a nivel
internacional en forma práctica y estableciendo objetivos claros. Cabe aclarar que el marco
es flexible y adaptable a diferentes realidades e industrias y no solamente es utilizable en
entornos de infraestructuras críticas.
El Marco puede ayudar a una organización a planificar su estrategia de gestión de riesgos
de ciberseguridad y desarrollarla a lo largo del tiempo en función de su actividad, tamaño y
otras características distintivas y elementos específicos. No es un documento estático, sino
que se irá modificando de acuerdo a los cambios tecnológicos, la evolución de las
amenazas y los cambios en las técnicas de gestión de riesgos.
2
NIST - National Institute of Standards and Technology (www.nist.gov)
3
International Organization for Standarization / International Electrotechnical Commission
(http://www.iso.org/iso/home/standards/management-standards/iso27001.htm)
4
Control Objectives for Information and related Technology (http://www.isaca.org/cobit/pages/default.aspx)
4
4 Características
El núcleo del Marco se basa en el ciclo de vida del proceso de gestión de la ciberseguridad
desde el punto de vista técnico y organizacional. Proporciona un conjunto de actividades
para lograr resultados específicos de ciberseguridad. Se divide en funciones, categorías y
subcategorías. Cada subcategoría tiene asociada referencias a normas y estándares de
seguridad internacionales.
En el proceso de contextualización se agregaron prioridades a las subcategorías, se les
asignaron requisitos y se elaboraron perfiles. Los requisitos fueron elaborados siguiendo los
lineamientos de la norma ISO/IEC 27001:2013, la normativa vigente y las mejores prácticas
internacionales en materia de seguridad de la información.
4.1 Ciclo de vida de la ciberseguridad
El ciclo de vida de la ciberseguridad se compone de funciones que permiten abstraer los

principales conceptos de la seguridad de la información, en particular de la ciberseguridad.
A continuación se describen las funciones.
5
4.1.1 Identificar
La función Identificar está vinculada a la comprensión del contexto de la organización, de los
activos que soportan los procesos críticos de las operaciones y los riesgos asociados
pertinentes. Esta comprensión permite definir los recursos y las inversiones de acuerdo con
la estrategia de gestión de riesgos y sus objetivos.
Las categorías dentro de esta función son: Gestión de activos; Ambiente del negocio;
Gobernanza; Evaluación de riesgos y Estrategia para la gestión de riesgos.
4.1.2 Proteger
Es una función vinculada a la aplicación de medidas para proteger los procesos y los activos
de la organización, independientemente de su naturaleza TI.
Las categorías dentro de esta función son: Control de acceso; Concientización y formación;
Seguridad de los datos; Procesos y procedimientos para la protección de la información;
Mantenimiento y Tecnología de protección.
4.1.3 Detectar
Está vinculada a la definición y ejecución de las actividades apropiadas dirigidas a la
identificación temprana de los incidentes de seguridad.
Las categorías dentro de esta función son: Anomalías y eventos; Monitoreo continuo de la
seguridad; Procesos de detección.
4.1.4 Responder
Está vinculada a la definición y ejecución de las actividades apropiadas para tomar medidas
en caso de detección de un evento de seguridad. El objetivo es reducir el impacto de un
potencial incidente de seguridad informática.
Las categorías dentro de esta función son: Planificación de la respuesta; Comunicaciones;
Análisis; Mitigación; Mejoras.
4.1.5 Recuperar
Está vinculada a la definición y ejecución de las actividades dirigidas a la gestión de los
planes y actividades para restaurar los procesos y servicios deficientes debido a un
incidente de seguridad. El objetivo es asegurar la resistencia de los sistemas e instalaciones
y, en caso de incidentes, apoyar la recuperación oportuna de las operaciones.
Las categorías dentro de esta función son: Planificación de la recuperación; Mejoras y
Comunicaciones.
6
4.2 Estructura del Marco de Ciberseguridad
A continuación se describe el Marco de Ciberseguridad y su estructura.
PRIORIDAD
SUB MADUREZ
POR PERFIL
FUNCIÓN CATEGORÍA CATEG REF. REQUISITOS
ORÍA
B E A N1 N2 N3 N4
IDENTIFICAR
PROTEGER
DETECTAR
RESPONDER
RECUPERAR
4.2.1 Función
Es el nivel más alto en la estructura para organizar las actividades básicas de
ciberseguridad.
4.2.2 Categoría
Es la subdivisión de una función en grupos de resultados de ciberseguridad estrechamente
ligados a las necesidades funcionales y actividades particulares. Algunos ejemplos son:
“Gestión de activos”, “Evaluación de riesgos”, “Mantenimiento”.
4.2.3 Subcategoría
Divide una categoría en resultados concretos de las actividades técnicas y/o de gestión.
Proporcionan un conjunto de resultados que, aunque no de forma exhaustiva, ayudan al
logro de los resultados en cada categoría. Algunos ejemplos son: “La política de seguridad
de la información se encuentra establecida”, “Gestión de acceso remoto”, “Existe un plan de
gestión de vulnerabilidades”.
4.2.4 Perfil
Un perfil representa las necesidades de ciberseguridad, basadas en los objetivos de
negocio, considerando el riesgo percibido y la dependencia existente de las TIC. Cada
organización tendrá asignado un perfil objetivo sobre el cual trabajar.
Se han definido tres perfiles para poder priorizar y establecer el avance en ciberseguridad:
básico, estándar y avanzado.
7
 Básico (B): utilización de TIC para el cumplimiento de los objetivos del negocio.
 Estándar (E): la percepción del riesgo vinculado a la ciberseguridad es moderado,
pero existe alta dependencia de las TIC para el cumplimiento de los objetivos del
negocio.
 Avanzado (A): el riesgo percibido vinculado a ciberseguridad es alto; una falla,
disrupción o incidente puede afectar servicios transversales y/o críticos.
4.2.5 Prioridad
Las subcategorías del Marco, dentro de un perfil (Básico - B, Estándar - E, Avanzado - A)
tienen asociado un nivel de prioridad de abordaje.
Las prioridades definidas son:
 P1: Subcategoría que forma parte de una línea base de ciberseguridad, de abordaje
inmediato y cumplimiento en el corto plazo.
 P2: Subcategoría que se requiere implementar a mediano plazo.
 P3: Subcategoría que se requiere implementar a largo plazo.
 P4: Subcategoría que aún no tiene establecido el conjunto de requisitos asociado,
pero se entiende necesario implementar a futuro.
 N/A: Para esta versión del marco, no se han identificado requisitos que se ajusten a
la subcategoría.
Plazos
 Corto plazo: hasta 1 año

 Mediano plazo: de 1 a 2 años
 Largo plazo: de 2 a 3 años
4.2.6 Modelo de Madurez

El modelo de madurez propuesto para la evaluación consta de cinco niveles, que se
describen a continuación.
El modelo de madurez está definido para las subcategorías que tengan prioridad P1 en
alguno de los perfiles establecidos. En cada perfil se analiza el modelo de madurez para las
subcategorías que tengan prioridad P1.
Los niveles de madurez en cada subcategoría serán descritos según sus requisitos.
Nivel 0
Es el primer nivel del modelo de madurez donde las acciones vinculadas a seguridad de la
información y ciberseguridad, son casi o totalmente inexistentes. La organización no ha
reconocido aún la necesidad de realizar esfuerzos en ciberseguridad. Este nivel no es
incluido en la tabla del modelo de madurez.
Nivel 1
Es el segundo nivel del modelo. Existen algunas iniciativas sobre ciberseguridad, aunque
los esfuerzos se realizan en forma aislada. Se realizan implementaciones con enfoques ad-
hoc y existe alta dependencia del personal que lleva a cabo las tareas que habitualmente no
se encuentran documentadas. Existe una actitud reactiva ante incidentes de seguridad.
8
Nivel 2
Es el tercer nivel del modelo de madurez. Se han establecido ciertos lineamientos o pautas
para la ejecución de las tareas, pero aún existe dependencia del conocimiento individual. Se
ha avanzado en el desarrollo de los procesos y existe cierta documentación para realizar las
tareas.
Nivel 3
Es el cuarto nivel del modelo de madurez y se caracteriza por la formalización y
documentación de políticas y procedimientos, así como implementaciones de alta
complejidad y/o automatizaciones que centralizan y permiten iniciativas de gobernanza. Las
políticas y procedimientos son difundidos, facilitan la gestión y posibilitan establecer
controles y métricas. Los esfuerzos en ciberseguridad se enfocan en los procesos, las
personas y la tecnología.
Nivel 4
Es el último nivel del modelo de madurez. El Responsable de la Seguridad de la Información
(RSI) tiene un rol clave en el control y mejora del Sistema de Gestión de Seguridad de la
Información (SGSI) realizando o coordinando actividades de control interno para verificar
cumplimientos y desvíos. Se desarrollan las lecciones aprendidas que, junto con los
controles determinan las acciones para la mejora continua. Las partes interesadas son
informadas periódicamente, lo cual permite alinear los esfuerzos, estrategias y tecnologías
de ciberseguridad con los objetivos y estrategias de la organización.
4.2.7 Referencias
En esta columna se mencionan las referencias a COBIT 5, ISO/IEC 27001:2013 y NIST SP
800-53 rev.4 que presenta el Marco de Ciberseguridad de NIST para cada subcategoría.
4.2.8 Requisitos
Requisito o conjunto de requisitos mínimos incluidos en cada subcategoría. El detalle de
cada requisito podrá consultarse en la “Guía de implementación”.
Un requisito podrá mencionarse en más de una subcategoría, dependiendo de su enfoque.
9
5 Marco de Ciberseguridad
Prioridad x
Función Subcategoría Perfil Referencias Requisitos relacionados
B E A
ID.GA Gestión de activos

IDENTIFICAR Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se identifican y gestionan en forma
(ID) consistente, en relación con los objetivos y la estrategia de riesgo de la organización.
COBIT 5 BAI09.01, BAI09.02 GA.1 Identificar formalmente los activos de la organización junto
con la definición de su responsable.
ID.GA-1. Los dispositivos ISO/IEC 27001:2013 A.8.1.1,
físicos y sistemas se A.8.1.2 GA.3 Pautar el uso aceptable de los activos.
P2 P1 P1
encuentran inventariados. ISO/IEC 27799:2016 A.8.1.1,
A.8.1.2 OR.5 Pautar el uso de dispositivos móviles.
NIST SP 800-53 Rev. 4 CM-8
COBIT 5 BAI09.01, BAI09.02,

GA.1 Identificar formalmente los activos de la organización junto
BAI09.05
con la definición de su responsable.
ID.GA-2. Las plataformas de
ISO/IEC 27001:2013 A.8.1.1,
software y aplicaciones se P2 P1 P1 GA.3 Pautar el uso aceptable de los activos.
A.8.1.2
encuentran inventariadas.
ISO/IEC 27799:2016 A.8.1.1,
CN.4 Gestionar las licencias de software.
A.8.1.2
ID.GA-3. Se utilizan COBIT 5 DSS05.02

medidas de seguridad y P4 P4 P4 -
procedimientos de gestión ISO/IEC 27001:2013 A.13.2.1
10
Prioridad x
B E A
para proteger y controlar el ISO/IEC 27799:2016 A.13.2.1
flujo de información interna
y externa. NIST SP 800-53 Rev. 4 AC-4,
CA-3, CA-9, PL-8
ID.GA-4. El equipamiento y COBIT 5 APO02.02
los sistemas de información
utilizados fuera de las ISO/IEC 27001:2013 A.11.2.6
instalaciones se encuentran P4 P4 P4 ISO/IEC 27799:2016 A.11.2.6 -
identificados y se aplican
medidas para mantener la NIST SP 800-53 Rev. 4 AC-
seguridad de la información. 20, SA-9
ID.GA-5. Los activos (por
COBIT 5 APO03.03,
ejemplo: hardware,
APO03.04, BAI09.02
dispositivos, datos y
software) se encuentran
ISO/IEC 27001:2013 A.8.2.1 GA.2 Clasificar y proteger la información de acuerdo a la
clasificados en función del P2 P2 P1
ISO/IEC 27799:2016 A.8.2.1 normativa y a los criterios de valoración definidos.
tipo de información que
contienen o procesan y en el
NIST SP 800-53 Rev. 4 CP-2,
valor que poseen para el
RA-2, SA-14
negocio.
COBIT 5 APO01.02, OR.1 Designar un Responsable de la Seguridad de la

ID.GA-6. Los roles y DSS06.03 Información.
responsabilidades de
seguridad de la información P1 P1 P1 ISO/IEC 27001:2013 A.6.1.1 OR.2 Conformar un Comité de Seguridad de la Información.
y ciberseguridad se
encuentran asignados. NIST SP 800-53 Rev. 4 CP-2, GA.1 Identificar formalmente los activos de la organización junto
PS-7, PM-11 con la definición de su responsable.
11
Prioridad x
B E A
ID.AN. Ambiente del negocio

La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados. Esta información es utilizada para informar a los
recursos de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de riesgos.
COBIT 5 APO08.04,
APO08.05, APO10.03,
APO10.04, APO10.05
ID.AN-1. Se identifica y
comunica el rol de la
N/A N/A N/A ISO/IEC 27001:2013 A.15.1.3, -
organización en la cadena
A.15.2.1, A.15.2.2
de suministro.
SA-12
ID.AN-2. El lugar que ocupa
la organización en la COBIT 5 APO02.06,
infraestructura crítica y en APO03.01
N/A N/A N/A -
su sector de industria se
encuentra identificado y NIST SP 800-53 Rev. 4 PM-8
comunicado.
ID.AN-3. Se establecen y se COBIT 5 APO02.01,
comunican las prioridades APO02.06, APO03.01
PL.1 Establecer objetivos anuales con relación a la seguridad de
para la misión de la P1 P1 P1
la información.
organización, sus objetivos NIST SP 800-53 Rev. 4 PM-
y actividades. 11, SA-14
ISO/IEC 27001:2013 A.11.2.2,

ID.AN-4. Se definen las A.11.2.3, A.12.1.3
dependencias y funciones ISO/IEC 27799:2016 A.11.2.3
P4 P4 P4 -
críticas para la entrega de
los servicios críticos. NIST SP 800-53 Rev. 4 CP-8,
PE-9, PE-11, PM-8, SA-14
12
Prioridad x
B E A
CO.1 Contar con componentes redundantes que contribuyan al
normal funcionamiento del centro de datos.
COBIT 5 DSS04.02 CO.2 Los sistemas críticos de la infraestructura de

telecomunicaciones, como el cableado, routers y switches (LAN,
ISO/IEC 27001:2013 A.11.1.4, SAN, etc.), deben contar con redundancia.
ID.AN-5. Se establecen
A.17.1.1, A.17.1.2, A.17.2.1
requisitos de resiliencia para
P2 P2 P1 ISO/IEC 27799:2016 A.17.1.1, CO.3 Establecer los medios necesarios para garantizar la
soportar la entrega de
A.17.1.2 continuidad de las operaciones.
servicios críticos.
NIST SP 800-53 Rev. 4 CP-2, CO.4 Planificar la continuidad de las operaciones y recuperación
CP-11, SA-14 ante desastres.
CO.5 Definir las ventanas de tiempo soportadas para la

continuidad de las operaciones.
ID.GO. Gobernanza
Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y operativos de la organización,
son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.
COBIT 5 APO01.03,
EDM01.01, EDM01.02
ID.GO-1. La política de
ISO/IEC 27001:2013 A.5.1.1
seguridad de la información P1 P1 P1 PS.1 Adoptar una Política de Seguridad de la Información.
ISO/IEC 27799:2016 A.5.1.1
se encuentra establecida.
NIST SP 800-53 Rev. 4 -1
controles de todas las familias
COBIT 5 APO13.12
ID.GO-2. Los roles y las
ISO/IEC 27001:2013 A.6.1.1,
responsabilidades de la OR.1 Designar un Responsable de la Seguridad de la
A.7.2.1
seguridad de la información Información.
P1 P1 P1 ISO/IEC 27799:2016 A.6.1.1,
están coordinados y
A.7.2.1
alineados con roles internos OR.2 Conformar un Comité de Seguridad de la Información.
y socios externos.
NIST SP 800-53 Rev. 4 PM-1,
PS-7
13
Prioridad x
B E A
CN.1 Cumplir con los requisitos normativos.
SC.1 Los portales Web institucionales de los organismos de la

Administración Central y sus dependencias deben identificarse
con la extensión “gub.uy” y “mil.uy”, según corresponda.
SC.2 Los portales Web institucionales de Unidades Ejecutoras,

aplicaciones, portales y sitios Web correspondientes a proyectos
y programas, sitios promocionales y temáticos, incluyendo zonas
restringidas de acceso mediante usuario y contraseña
disponibles para ciudadanos y funcionarios del organismo
COBIT 5 MEA03.01, (contenidos Web), deberán ser subdominios del dominio del
ID.GO-3. Los requisitos MEA03.04 inciso correspondiente.
legales y regulatorios sobre
la ciberseguridad, ISO/IEC 27001:2013 A.18.1 SC.3 El portal del organismo jerarca deberá hacer referencia a
incluyendo las obligaciones P1 P1 P1 ISO/IEC 27799:2016 A.18.1 todos los dominios y subdominios que se correspondan con
de privacidad, son todos los contenidos Web que le reporten.
comprendidos y se NIST SP 800-53 Rev. 4 -1
gestionan. controles de todas las familias SC.4 Los nombres de dominio del organismo o dependencias
(excepto PM-1) serán sus iniciales, su acrónimo, o el nombre con el cual se los
conoce públicamente. Deberá justificarse que la denominación
elegida sea la más representativa.
SC.5 La información de contacto de los responsables de los

dominios y subdominios deberá ser comunicada a Agesic y
actualizada en períodos de seis meses.
SC.7 Los servidores de correo electrónico (MTA) de dominios

gubernamentales deben alojarse dentro del territorio nacional, y
no se permite su implementación sobre tecnologías que no
garanticen dicho requerimiento.
14
Prioridad x
B E A
ID.GO-4. Construcción de
procesos de gobernanza y COBIT 5 DSS04.02
administración de riesgos
P4 P4 P4 -
dirigidos a atender los NIST SP 800-53 Rev. 4 PM-9,
problemas de PM-11
ciberseguridad.
ID.ER. Evaluación de riesgos
La empresa comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
COBIT 5 APO12.01,
APO12.02, APO12.03,
SO.1 Gestionar las vulnerabilidades técnicas.
APO12.04
ID.ER-1. Se identifican y CN.2 Realizar auditorías independientes de seguridad de la
ISO/IEC 27001:2013 A.12.6.1,
documentan las información.
P2 P2 P1 A.18.2.3
vulnerabilidades de los
ISO/IEC 27799:2016 A.18.2.3
activos. CN.3 Revisar regularmente los sistemas de información
mediante pruebas de intrusión (ethical hacking) y evaluación de
NIST SP 800-53 Rev. 4 CA-2,
vulnerabilidades.
CA-7, CA-8, RA-3, RA-5, SA-
5, SA-11, SI-2, SI-4, SI-5
OR.3 Definir los mecanismos para el contacto formal con

ID.ER-2. Recepción de
autoridades y equipo de respuesta.
información sobre ISO/IEC 27001:2013 A.6.1.4
amenazas y
P2 P2 P1 GH.2 Concientizar y formar en materia de seguridad de la
vulnerabilidades por parte NIST SP 800-53 Rev. 4 PM-
información a todo el personal.
de grupos y fuentes 15, PM-16, SI-5
especializadas.
ID.ER-3. Identificación y COBIT 5 APO12.01, GR.1 Desarrollar un proceso de evaluación y tratamiento de
documentación de las APO12.02, APO12.03, riesgos de seguridad y, de acuerdo a su resultado, implementar
P1 P1 P1
amenazas internas y APO12.04 las acciones correctivas y preventivas correspondientes, así
externas. como elaborar y actualizar el plan de acción.
15
Prioridad x
B E A
NIST SP 800-53 Rev. 4 RA-3,
SI-5, PM-12, PM-16
GR.1 Desarrollar un proceso de evaluación y tratamiento de

riesgos de seguridad y, de acuerdo a su resultado, implementar
ID.ER-4. Identificación del COBIT 5 DSS04.02
las acciones correctivas y preventivas correspondientes, así
impacto potencial en el
P1 P1 P1 como elaborar y actualizar el plan de acción.
negocio y la probabilidad de NIST SP 800-53 Rev. 4 RA-2,
ocurrencia. RA-3, PM-9, PM-11, SA-14
CO.4 Planificar la continuidad de las operaciones y recuperación
ante desastres.
COBIT 5 APO12.02
ID.ER-5. Las amenazas,
vulnerabilidades,
ISO/IEC 27001:2013 A.12.6.1 riesgos de seguridad y, de acuerdo a su resultado, implementar
probabilidad de ocurrencia e P1 P1 P1
impactos, se utilizan para
NIST SP 800-53 Rev. 4 RA-2, como elaborar y actualizar el plan de acción.
determinar el riesgo.
RA-3, PM-16
COBIT 5 APO12.05,
ID.ER-6. Identificación y APO13.02
riesgos de seguridad y, de acuerdo a su resultado, implementar
priorización de las P1 P1 P1
respuestas a los riesgos. NIST SP 800-53 Rev. 4 PM-4,
como elaborar y actualizar el plan de acción.
PM-9
ID.GR. Estrategia para la gestión de riesgos
Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan para soportar las decisiones de los riesgos
operacionales.
ID.GR-1. Los procesos de
COBIT 5 APO12.04,
gestión de riesgos se
APO12.05, APO13.02,
encuentran establecidos,
P4 P4 P4 BAI02.03, BAI04.02 -
gestionados y aprobados
por todos los interesados de
NIST SP 800-53 Rev. 4 PM-9
la organización.
ID.GR-2. Se determina y se
COBIT 5 APO12.06
expresa de forma clara la
P4 P4 P4 -
tolerancia al riesgo a nivel
NIST SP 800-53 Rev. 4 PM-9
de toda la organización.
16
Prioridad x
B E A
ID.GR-3. La tolerancia al
riesgo de la organización es
determinada por su rol y
pertenencia a la
infraestructura crítica y por NIST SP 800-53 Rev. 4 PM-8,
P4 P4 P4 -
la evaluación de riesgos PM-9, PM-11, SA-14
específicos del sector al que
pertenece.
PR.CA. Control de acceso

PROTEGER El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y transacciones autorizadas.
(PR)
COBIT 5 DSS05.04,
DSS06.03
ISO/IEC 27001:2013 A.9.2.1,

PR.CA-1. Las identidades y
A.9.2.2, A.9.2.4, A.9.3.1, CA.1 Gestionar el acceso lógico.
credenciales para usuarios y
P1 P1 P1 A.9.4.2, A.9.4.3
dispositivos autorizados son
ISO/IEC 27799:2016 A.9.2.1, CA.2 Revisar los privilegios de acceso lógico.
gestionadas.
A.9.2.2, A.9.2.4, A.9.3.1
NIST SP 800-53 Rev. 4 AC-2,

Familia IA
17
Prioridad x
B E A
COBIT 5 DSS01.04,
DSS05.05
ISO/IEC 27001:2013 A.11.1.1,

PR.CA-2. Se gestiona y A.11.1.2, A.11.1.4, A.11.1.6,
SF.1 Implementar controles de acceso físico a las instalaciones y
protege el acceso físico a P1 P1 P1 A.11.2.3
equipos ubicados en los centros de datos y áreas relacionadas.
los activos. ISO/IEC 27799:2016 A.11.1.1,
A.11.1.2, A.11.6, A.11.2.3
NIST SP 800-53 Rev. 4 PE-2,

PE-3, PE-4, PE-5, PE-6, PE-9
COBIT 5 APO13.01,
DSS01.04, DSS05.03
ISO/IEC 27001:2013 A.6.2.2, OR.6 Establecer controles para proteger la información a la que
PR.CA-3. Gestión de A.13.1.1, A.13.2.1 se accede de forma remota.
P2 P1 P1
acceso remoto. ISO/IEC 27799:2016 A.6.2.2,
A.13.2.1 SC.6 Establecer acuerdos de no divulgación.
NIST SP 800-53 Rev. 4

AC‑17, AC-19, AC-20
ISO/IEC 27001:2013 A.6.1.2,
A.9.1.2, A.9.2.3, A.9.4.1,
PR.CA-4. Gestión de
A.9.4.4
permisos de acceso,
ISO/IEC 27799:2016 A.6.1.2,
incorporando los principios P1 P1 P1 CA.1 Gestionar el acceso lógico.
A.9.2.3, A.9.4.1
de menor privilegio y
segregación de funciones.
AC-3, AC-5, AC-6, AC-16
18
Prioridad x
B E A
ISO/IEC 27001:2013 A.13.1.1,
A.13.1.3, A.13.2.1
PR.CA-5. Protección de la
ISO/IEC 27799:2016
integridad de la red SC.13 Debe existir segregación a nivel de servicios de
P2 P2 P1 A.13.2.1
incorporando segregación información.
cuando es apropiado.
SC-7
PR.CF. Concientización y formación
El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre seguridad de la información. Están
adecuadamente entrenados para cumplir con sus obligaciones referentes a la seguridad de la información y alineados con las políticas, procedimientos
y acuerdos existentes.
COBIT 5 APO07.03, BAI05.07
ISO/IEC 27001:2013 A.7.2.2

PR.CF-1. Todos los GH.2 Concientizar y formar en materia de seguridad de la
ISO/IEC 27799:2016
usuarios se encuentran P1 P1 P1 información a todo el personal.
A.7.2.2
entrenados e informados.
NIST SP 800-53 Rev. 4 AT-2,
PM-13
COBIT 5 APO07.02,
DSS06.03
PR.CF-2. Los usuarios ISO/IEC 27001:2013 A.6.1.1,

GH.2 Concientizar y formar en materia de seguridad de la
privilegiados comprenden A.7.2.2
P2 P2 P1 información a todo el personal.
sus roles y ISO/IEC 27799:2016
responsabilidades. A.7.2.2

PM-13
COBIT 5 APO07.03,
PR.CF-3. Interesados
APO10.04, APO10.05
externos (proveedores,
clientes, socios) P4 P4 P4 -
ISO/IEC 27001:2013 A.6.1.1,
comprenden sus roles y
A.7.2.2
responsabilidades.
ISO/IEC 27799:2016
19
Prioridad x
B E A
A.7.2.2
NIST SP 800-53 Rev. 4 PS-7,

SA-9
COBIT 5 APO07.03
ISO/IEC 27001:2013 A.6.1.1,

PR.CF-4. La gerencia A.7.2.2 GH.2 Concientizar y formar en materia de seguridad de la
ejecutiva comprende sus P1 P1 P1 ISO/IEC 27799:2016 información a todo el personal.
roles y responsabilidades. A.7.2.2

PM-13
COBIT 5 APO07.03
PR.CF-5. El personal de ISO/IEC 27001:2013 A.6.1.1,

seguridad física y de A.7.2.2 GH.2 Concientizar y formar en materia de seguridad de la
seguridad de la información P2 P2 P1 ISO/IEC 27799:2016 información a todo el personal.
comprende sus roles y A.7.2.2
responsabilidades.
PM-13
PR.SD. Seguridad de los datos
La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y
disponibilidad de la información.
20
Prioridad x
B E A
COBIT 5 APO01.06,
BAI02.01, BAI06.01,
SO.6 Respaldar la información y realizar pruebas de restauración
DSS06.06
periódicas.
PR.SD-1. Los datos en
reposo (inactivos) se P2 P2 P1 ISO/IEC 27001:2013 A.8.2.3
CA.3 Establecer controles criptográficos.
encuentran protegidos. ISO/IEC 27799:2016
A.8.2.3
CA.4 Establecer los controles para el uso de firma electrónica.
NIST SP 800-53 Rev. 4 SC-28
COBIT 5 APO01.06,
DSS06.06
SC.14 Mantener la seguridad de la información durante su
ISO/IEC 27001:2013 A.8.2.3,
intercambio dentro o fuera de la organización.
PR.SD-2. Los datos en A.13.1.1, A.13.2.1, A.13.2.3,
tránsito se encuentran P2 P2 P1 A.14.1.2, A.14.1.3
CA.3 Establecer controles criptográficos.
protegidos. ISO/IEC 27799:2016
A.8.2.3, A.13.2.1, A.13.2.3,
CA.4 Establecer los controles para el uso de firma electrónica.
A.14.1.2
NIST SP 800-53 Rev. 4 SC-8
COBIT 5 BAI09.03
ISO/IEC 27001:2013 A.8.2.3,

A.8.3.1, A.8.3.2, A.8.3.3,
PR.SD-3. Los activos se
A.11.2.7
gestionan formalmente a lo GA.5 Establecer los mecanismos para destruir la información y
P2 P2 P1 ISO/IEC 27799:2016
largo de la eliminación, las medios de almacenamiento.
A.8.2.3, A.8.3.1, A.8.3.2,
transferencias y disposición.
A.11.2.7
NIST SP 800-53 Rev. 4 CM-8,

MP-6, PE-16
PR.SD-4. Se mantiene una COBIT 5 APO13.01

SO.3 Gestionar la capacidad de los servicios que se encuentran
adecuada capacidad para P3 P3 P1
operativos.
asegurar la disponibilidad. ISO/IEC 27001:2013 A.12.3.1
21
Prioridad x
B E A
ISO/IEC 27799:2016
A.12.3.1
NIST SP 800-53 Rev. 4 AU-4,

CP-2, SC-5
COBIT 5 APO01.06
ISO/IEC 27001:2013 A.6.1.2,

A.7.1.1, A.7.1.2,
A.7.3.1, A.8.2.2, A.8.2.3,
A.9.1.1, A.9.1.2,
A.9.2.3, A.9.4.1, A.9.4.4,
A.9.4.5, A.13.1.3,
A.13.2.1, A.13.2.3, A.13.2.4, GH.1 Establecer acuerdos contractuales con el personal donde
PR.SD-5. Se implementan A.14.1.2, A.14.1.3 figuren sus responsabilidades y las de la organización respecto a
medidas de protección P2 P1 P1 ISO/IEC 27799:2016 la seguridad de la información.
contra fuga de datos. A.6.1.2, A.7.1.1, A.7.1.2,
A.7.3.1, A.8.2.2, A.9.1.1, SC.6 Establecer acuerdos de no divulgación.
A.9.2.3, A.9.4.1,
A.13.2.1, A.13.2.3, A.13.2.4,
A.14.1.2

AC-5, AC-6, PE-19, PS-3, PS-
6, SC-7, SC-8, SC-13, SC-31,
SI-4
ISO/IEC 27001:2013 A.12.2.1,
PR.SD-6. Se realizan A.12.5.1,
chequeos de integridad para A.14.1.2, A.14.1.3 SO.5 Controlar software malicioso.
verificar software, firmware P3 P3 P1 ISO/IEC 27799:2016
e integridad de la A.12.2.1, A.14.1.2 SO.8 Gestionar la instalación de software.
información.
NIST SP 800-53 Rev. 4 SI-7
PR.SD-7. Los entornos de COBIT 5 BAI07.04 SO.4 Definir entornos separados para desarrollo, pruebas y
P2 P2 P1
desarrollo y pruebas están producción.
22
Prioridad x
B E A
separados del entorno de ISO/IEC 27001:2013 A.12.1.4
producción. ISO/IEC 27799:2016
A.12.1.4

PR.PI. Procesos y procedimientos para la protección de la información
Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de los sistemas de información y los
activos.
COBIT 5 BAI10.01, BAI10.02,
BAI10.03,
BAI10.05
ISO/IEC 27001:2013 A.12.1.2,

PR.PI-1. Existe una línea A.12.5.1,
base de la configuración de A.12.6.2, A.14.2.2, A.14.2.3, SO.2 Gestionar formalmente los cambios.
P3 P3 P1
los sistemas de información A.14.2.4
que es mantenida. ISO/IEC 27799:2016
A.12.1.2

CM-3, CM-4, CM-5, CM-6,
CM-7, CM-9, SA-10
COBIT 5 APO13.01
AD.1 Incluir requisitos de seguridad de la información durante
ISO/IEC 27001:2013 A.6.1.5,
todo el ciclo de vida de los proyectos de desarrollo o
PR.PI-2. Se implementa el A.14.1.1,
adquisiciones de software.
ciclo de vida de desarrollo P2 P2 P1 A.14.2.1, A.14.2.5
para gestionar los sistemas.
OR.4 Abordar la seguridad de la información en la gestión de los
NIST SP 800-53 Rev. 4 SA-3,
proyectos.
SA-4, SA-8, SA-10, SA-11,
SA-12, SA-15, SA-17, PL-8
23
Prioridad x
B E A
COBIT 5 BAI06.01, BAI01.06
ISO/IEC 27001:2013 A.12.1.2,

A.12.5.1, A.12.6.2, A.14.2.2, SO.2 Gestionar formalmente los cambios.
PR.PI-3. Existen procesos
A.14.2.3, A.14.2.4
de gestión del cambio en las P2 P2 P1
ISO/IEC 27799:2016 SO.8 Gestionar la instalación de software.
configuraciones.
A.12.1.2

CM-4, SA-10
COBIT 5 APO13.01
ISO/IEC 27001:2013 A.12.3.1,

PR.PI-4. Se realizan y
A.17.1.2, A.17.1.3, A.18.1.3
mantienen respaldos de la SO.6 Respaldar la información y realizar pruebas de restauración
P1 P1 P1 ISO/IEC 27799:2016
información y se testean periódicas.
A.12.3.1, A.17.1.2
periódicamente.
CP-6, CP-9
COBIT 5 DSS01.04,
DSS05.05
ISO/IEC 27001:2013 A.11.1.4, SF.2 Implementar controles ambientales en los centros de datos
PR.PI-5. Las políticas y
A.11.2.1, A.11.2.2, A.11.2.3 y áreas relacionadas.
reglamentos relacionados
P2 P1 P1 ISO/IEC 27799:2016
con el medio ambiente físico
A.11.2.1, A.11.2.3 SF.3 Contar con un sistema de gestión y monitoreo centralizado
operativo se cumplen.
capaz de alertar fallas en componentes críticos.
NIST SP 800-53 Rev. 4 PE-
10, PE-12, PE-13, PE-14, PE-
15, PE-18
COBIT 5 BAI09.03
PR.PI-6. Los datos son
GA.5 Establecer los mecanismos para destruir la información y
eliminados de acuerdo a las P3 P3 P1 ISO/IEC 27001:2013 A.8.2.3,
medios de almacenamiento.
políticas de seguridad. A.8.3.1, A.8.3.2, A.11.2.7
ISO/IEC 27799:2016
24
Prioridad x
B E A
A.8.2.3, A.8.3.1, A.8.3.2,
A.11.2.7
NIST SP 800-53 Rev. 4 MP-6

COBIT 5 APO11.06,
PR.PI-7. Existe mejora DSS04.05
continua de los procesos de P4 P4 P4 -
protección. NIST SP 800-53 Rev. 4 CA-2,
CA-7, CP-2, IR-8, PL-2, PM-6
PR.PI-8. La eficacia de las ISO/IEC 27001:2013 A.16.1.6
tecnologías de protección se
P4 P4 P4 -
comparten con las partes NIST SP 800-53 Rev. 4 AC-
apropiadas. 21, CA-7, SI-4
GI.1 Planificar la gestión de los incidentes de seguridad de la
PR.PI-9. Existen y se COBIT 5 DSS04.03 información.
gestionan planes de
respuesta a incidentes ISO/IEC 27001:2013 A.16.1.1, GI.4 Registrar y reportar las violaciones a la seguridad de la
(respuesta a incidentes y A.17.1.1, A.17.1.2 información, confirmadas o sospechadas de acuerdo a los
continuidad del negocio) y P2 P2 P1 ISO/IEC 27799:2016 procedimientos correspondientes.
planes de recuperación A.17.1.1, A.17.1.2
(recuperación de incidentes GI.5 Responder ante incidentes de seguridad de la información.
y recuperación de NIST SP 800-53 Rev. 4 CP-2,
desastres). IR-8 CO.4 Planificar la continuidad de las operaciones y recuperación
ante desastres.
ISO/IEC 27001:2013 A.17.1.3 CO.4 Planificar la continuidad de las operaciones y recuperación
PR.PI-10. Los planes de
ante desastres.
respuesta y recuperación se P2 P2 P1
NIST SP 800-53 Rev.4 CP-4,
testean regularmente.
IR-3, PM-14 GI.5 Responder ante incidentes de seguridad de la información.
25
Prioridad x
B E A
COBIT 5 APO07.01,
APO07.02, APO07.03,
APO07.04, APO07.05
SC.6 Establecer acuerdos de no divulgación.
PR.PI-11. La ciberseguridad ISO/IEC 27001:2013 A.7.1.1,
GH.1 Establecer acuerdos contractuales con el personal donde
se encuentra incluida en las P3 P3 P1 A.7.3.1, A.8.1.4
figuren sus responsabilidades y las de la organización respecto a
prácticas de RRHH. ISO/IEC 27799:2016
la seguridad de la información.
A.7.1.1, A.7.3.1, A.8.1.4

Familia PS
ISO/IEC 27001:2013 A.12.6.1,

PR.PI-12. Existe un plan de
P2 P2 P1 A.18.2.2NIST SP 800-53 Rev. SO.1 Gestionar las vulnerabilidades técnicas.
gestión de vulnerabilidades.
4 RA-3, RA-5, SI-2
PR.MA. Mantenimiento
El mantenimiento y las reparaciones de los componentes de los sistemas de información y de control industrial se lleva a cabo en consonancia con las
políticas y procedimientos.
COBIT 5 BAI09.03
PR.MA-1. El mantenimiento
y las reparaciones de los ISO/IEC 27001:2013 A.11.1.2,
activos de la organización A.11.2.4, A.11.2.5
se lleva a cabo y es P4 P4 P4 ISO/IEC 27799:2016 -
registrado en forma A.11.1.2, A.11.2.4, A.11.2.5
oportuna con herramientas
aprobadas y controladas. NIST SP 800-53 Rev. 4 MA-2,
MA-3, MA-5
26
Prioridad x
B E A
COBIT 5 DSS05.04
PR.MA-2. El mantenimiento
ISO/IEC 27001:2013 A.11.2.4,
a distancia de los activos de
A.15.1.1,
la organización se aprueba,
P4 P4 P4 A.15.2.1 -
registra y lleva a cabo de
ISO/IEC 27799:2016
forma tal que se impide el
A.11.2.4, A.15.1.1
acceso no autorizado.
NIST SP 800-53 Rev. 4 MA-4
PR.TP. Tecnología de protección
Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos de la organización, en
consonancia con las políticas, procedimientos y acuerdos.
COBIT 5 APO11.04
ISO/IEC 27001:2013 A.12.4.1,

PR.TP-1. Los registros de A.12.4.2,
auditoría (logs) se A.12.4.3, A.12.4.4, A.12.7.1
SO.7 Registrar y monitorear los eventos de los sistemas.
documentan, implementan y P1 P1 P1 ISO/IEC 27799:2016
se revisan de conformidad A.12.4.1, A.12.4.2,
con la política. A.12.4.4

Familia AU
COBIT 5 DSS05.02,
APO13.01
PR.TP-2. Los medios ISO/IEC 27001:2013 A.8.2.2,

extraíbles se encuentran A.8.2.3, A.8.3.1,
protegidos y su uso se P3 P3 P1 A.8.3.3, A.11.2.9 GA.4 Gestionar los medios de almacenamiento.
encuentra restringido de ISO/IEC 27799:2016
acuerdo con las políticas. A.8.2.3, A.8.3.1, A.11.2.9
NIST SP 800-53 Rev. 4 MP-2,

MP-4, MP-5, MP-7
27
Prioridad x
B E A
COBIT 5 DSS05.02
PR.TP-3. El acceso a los
sistemas y activos se ISO/IEC 27001:2013 A.9.1.2
P1 P1 P1 CA.1 Gestionar el acceso lógico.
controla incorporando el
principio de menor privilegio. NIST SP 800-53 Rev. 4 AC-3,
CM-7
SC.8 Garantizar que los correos electrónicos en tránsito entre
dos MTAs, o entre un MUA y un MTA, no comprometa la
confidencialidad de la información cuando esto sea posible.
SC.9 La implementación de canales de comunicación cifrados

entre MTA de dominios gubernamentales es obligatoria y deberá
implementarse utilizando protocolos seguros. Los MTA de
dominios gubernamentales deberán interrumpir el intento de
entrega o recepción de mensajes si este canal cifrado no se
puede negociar.
COBIT 5 DSS05.02,
APO13.01
con protocolos seguros entre MTA de dominios gubernamentales
ISO/IEC 27001:2013 A.13.1.1,
PR.TP-4. Las redes y y un MTA de terceros deberá ser el método preferido de
A.13.2.1
comunicaciones se P1 P1 P1 comunicación. Cuando el establecimiento de estos canales
ISO/IEC 27799:2016
encuentran protegidas. cifrados no sea posible, se podrá establecer un canal en texto
A.13.2.1
claro.
AC-17, AC-18, CP-8, SC-7
entre MUA y MTA de dominios gubernamentales es mandatoria,
y deberá implementarse utilizando protocolos seguros. Los MTA
de dominios gubernamentales no deberán aceptar la descarga o
entrega de correos por parte de MUA si este canal cifrado no se
puede negociar. Los MTA no deberán aceptar la descarga o
consulta de correos electrónicos sobre canales en texto claro.
SC.12 Los servicios de Webmail deben implementarse sobre el

protocolo HTTPS utilizando un certificado de seguridad válido.
Cuando la información a transmitir vía email represente un riesgo
28
Prioridad x
B E A
alto para la organización, se recomienda implementar un modelo
de cifrado a nivel de mensaje.
SC.15 Todo sitio Web que contenga u oficie de enlace a un

trámite en línea debe tener un firewall de aplicación Web (Web
Application Firewall – WAF).
DE.AE. Anomalías y eventos
DETECTAR
La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.
(DE)
DE.AE-1. Se establece y
COBIT 5 DSS03.01
gestiona una línea base de
operaciones de red y flujos P4 P4 P4 -
de datos esperados para
CA-3, CM-2, SI-4
usuarios y sistemas.
GI.2 Contar con mecanismos que permitan evaluar los eventos
ISO/IEC 27001:2013 A.16.1.1, de seguridad de la información y decidir si se clasifican como
A.16.1.4 incidentes de seguridad de la información.
DE.AE-2. Los eventos
ISO/IEC 27799:2016
detectados son analizados
P1 P1 P1 A.16.1.4 SO.7 Registrar y monitorear los eventos de los sistemas.
para entender los objetivos
y métodos de ataque.
NIST SP 800-53 Rev. 4 AU-6, SC.15 Todo sitio Web que contenga u oficie de enlace a un
CA-7, IR-4, SI- 4 trámite en línea debe tener un firewall de aplicación Web (Web
Application Firewall – WAF).
DE.AE-3. Los datos de los
eventos se agrupan y
correlacionan desde P4 P4 P4 -
CA-7, IR-4, IR-5, IR-8, SI-4
múltiples fuentes y
sensores.
29
Prioridad x
B E A
información.
COBIT 5 APO12.06 GR.1 Desarrollar un proceso de evaluación y tratamiento de

DE.AE-4. Se determina el riesgos de seguridad y, de acuerdo a su resultado, implementar
P3 P3 P1
impacto de los eventos. NIST SP 800-53 Rev. 4 CP-2, las acciones correctivas y preventivas correspondientes, así
IR-4, RA-3, SI-4 como elaborar y actualizar el plan de acción.
SF.3 Contar con un sistema de gestión y monitoreo centralizado

información.
GI.5 Responder ante incidentes de seguridad de la información.

COBIT 5 APO12.06
DE.AE-5. Se establecen los
umbrales de alerta de P3 P3 P1 GR.1 Desarrollar un proceso de evaluación y tratamiento de
NIST SP 800-53 Rev. 4 IR-4,
incidentes. riesgos de seguridad y, de acuerdo a su resultado, implementar
IR-5, IR-8
como elaborar y actualizar el plan de acción.

DE.MC. Monitoreo continuo de la seguridad
Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de seguridad cibernética y verificar la
eficacia de las medidas de protección.
COBIT 5 DSS05.07
DE.MC-1. Se monitorea la
red para detectar
P2 P2 P1 NIST SP 800-53 Rev. 4 AC-2, capaz de alertar fallas en componentes críticos.
potenciales eventos de
AU-12, CA-7, CM-3, SC-5,
ciberseguridad.
SC-7, SI-4
SF.1 Implementar controles de acceso físico a las instalaciones y
DE.MC-2. Se monitorea el
equipos ubicados en los centros de datos y áreas relacionadas.
ambiente físico para NIST SP 800-53 Rev. 4 CA-7,
P2 P2 P1
detectar potenciales eventos PE-3, PE-6, PE-20
de ciberseguridad.
30
Prioridad x
B E A
ISO/IEC 27001:2013 A.12.4.1
ISO/IEC 27799:2016
DE.MC-3. Se monitorea la
A.12.4.1
actividad del personal para
P2 P2 P1 SO.7 Registrar y monitorear los eventos de los sistemas.
detectar potenciales eventos
de ciberseguridad.
AU-12, AU-13, CA-7, CM-10,
CM-11
COBIT 5 DSS05.01
ISO/IEC 27001:2013 A.12.2.1

DE.MC-4. Se detecta el
P1 P1 P1 ISO/IEC 27799:2016 SO.5 Controlar software malicioso.
código malicioso.
A.12.2.1
NIST SP 800-53 Rev. 4 SI-3

ISO/IEC 27001:2013 A.12.5.1
DE.MC-5. Se detecta el
P3 P3 P2 SO.8 Gestionar la instalación de software.
código móvil no autorizado. NIST SP 800-53 Rev. 4 SC-
18, SI-4. SC-44
COBIT 5 APO07.06
DE.MC-6. Se controla la RP.1 Definir acuerdos de niveles de servicio (SLA) con los
actividad de los proveedores ISO/IEC 27001:2013 A.14.2.7, proveedores de servicios críticos.
de servicios externos para P2 P1 P1 A.15.2.1
detectar posibles eventos de RP.2 Establecer pautas, realizar seguimiento y revisión de los
ciberseguridad. NIST SP 800-53 Rev. 4 CA-7, servicios de los proveedores, y gestionar sus cambios.
PS-7, SA-4, SA- 9, SI-4
DE.MC-7. Se realiza
NIST SP 800-53 Rev. 4 AU-
monitoreo para personas,
P4 P4 P4 12, CA-7, CM-3, CM-8, PE-3, -
conexiones, dispositivos y
PE-6, PE-20, SI-4
software.
COBIT 5 BAI03.10
DE.MC-8. Se realizan CN.3 Revisar regularmente los sistemas de información
escaneos de P2 P2 P1 ISO/IEC 27001:2013 A.12.6.1 mediante pruebas de intrusión (ethical hacking) y evaluación de
vulnerabilidades. vulnerabilidades.
NIST SP 800-53 Rev. 4 RA-5
31
Prioridad x
B E A
DE.PD. Procesos de detección
Se mantienen procesos,procedimientos de detección y prueba para asegurar el conocimiento oportuno y adecuado de los eventos anómalos.
COBIT 5 DSS05.01
DE.PD-1. Los roles y las
ISO/IEC 27001:2013 A.6.1.1
responsabilidades de
ISO/IEC 27799:2016
detección se encuentran P3 P3 P1 SO.7 Registrar y monitorear los eventos de los sistemas.
A.6.1.1
definidos para asegurar
responsabilidades.
CA-7, PM-14
ISO/IEC 27001:2013 A.18.1.4
DE.PD-2. Las actividades ISO/IEC 27799:2016
de detección cumplen con A.18.1.4
P4 P4 P4 -
todos los requisitos
aplicables. NIST SP 800-53 Rev. 4 CA-2,
CA-7, PM-14, SI-4
COBIT 5 APO13.02
DE.PD-3. Los procesos de
P4 P4 P4 ISO/IEC 27001:2013 A.14.2.8 -
detección son probados.
CA-7, PE-3, PM-14, SI-3, SI-4
COBIT 5 APO12.06 GI.2 Contar con mecanismos que permitan evaluar los eventos
de seguridad de la información y decidir si se clasifican como
DE.PD-4. La información de ISO/IEC 27001:2013 A.16.1.2 incidentes de seguridad de la información.
la detección de eventos es ISO/IEC 27799:2016
P2 P2 P1
comunicada a las partes A.16.1.2 GI.3 Informar de forma completa e inmediata la existencia de un
pertinentes. potencial incidente de seguridad informática al CERTuy o equipo
NIST SP 800-53 Rev. 4 AU-6, de respuesta externo correspondiente.
CA-2, CA-7, RA-5, SI-4
GI.4 Registrar y reportar las violaciones a la seguridad de la
información, confirmadas o sospechadas de acuerdo a los
procedimientos correspondientes.
32
Prioridad x
B E A

COBIT 5 APO11.06,
DSS04.05
DE.PD-5. Los procesos de
ISO/IEC 27001:2013 A.16.1.6
detección son mejorados P4 P4 P4 -
continuamente.
NIST SP 800-53 Rev. 4, CA-2,
CA-7, PL-2, RA-5, SI-4, PM-
14
RE.PR. Planificación de la respuesta
RESPONDER Los procesos y procedimientos de respuesta se ejecutan y se mantienen garantizando una respuesta oportuna para detectar eventos de
(RE) ciberseguridad.
COBIT 5 BAI01.10
RE.PR-1. El plan de
respuesta se ejecuta ISO/IEC 27001:2013 A.16.1.5 GI.5 Responder ante incidentes de seguridad de la información.
P1 P1 P1
durante o luego de un
evento. NIST SP 800-53 Rev. 4 CP-2,
CP-10, IR-4, IR-8
RE.CO. Comunicaciones
Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según corresponda.
GH.2 Concientizar y formar en materia de seguridad de la
información a todo el personal.
ISO/IEC 27001:2013 A.6.1.1,
A.16.1.1 GI.1 Planificar la gestión de los incidentes de seguridad de la
RE.CO-1. El personal
ISO/IEC 27799:2016 información.
conoce sus roles y el orden
P1 P1 P1 A.6.1.1
de operaciones cuando es
GI.3 Informar de forma completa e inmediata la existencia de un
necesaria una respuesta.
NIST SP 800-53 Rev. 4 CP-2, potencial incidente de seguridad informática al CERTuy o equipo
CP-3, IR-3, IR-8 de respuesta externo correspondiente.
33
Prioridad x
B E A
ISO/IEC 27001:2013 A.6.1.3, autoridades y equipo de respuesta.
A.16.1.2
RE.CO-2. Los eventos son
ISO/IEC 27799:2016 GI.1 Planificar la gestión de los incidentes de seguridad de la
reportados
P2 P2 P1 A.16.1.2 información.
consistentemente con los
criterios establecidos.
NIST SP 800-53 Rev. 4 AU-6, GI.4 Registrar y reportar las violaciones a la seguridad de la
IR-6, IR-8 información, confirmadas o sospechadas de acuerdo a los
procedimientos correspondientes.
ISO/IEC 27001:2013 A.16.1.2
ISO/IEC 27799:2016
RE.CO-3. La información se A.16.1.2
comparte consistentemente P4 P4 P4 -
con los planes de respuesta. NIST SP 800-53 Rev. 4 CA-2,
CA-7, CP-2, IR- 4, IR-8, PE-6,
RA-5, SI-4
RE.CO-4. La coordinación
con las partes interesadas NIST SP 800-53 Rev. 4 CP-2,
P3 P3 P1 GI.1 Planificar la gestión de los incidentes de seguridad de la
se realiza consistentemente IR-4, IR-8
información.
con los planes de respuesta.
RE.CO-5. Se realiza
intercambio de información
voluntaria con partes NIST SP 800-53 Rev. 4 PM-
P4 P4 P4 -
interesadas externas para 15, SI-5
alcanzar una conciencia de
ciberseguridad más amplia.
RE.AN. Análisis
Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de recuperación.
COBIT 5 DSS02.07 GI.2 Contar con mecanismos que permitan evaluar los eventos
RE.AN-1. Se investigan las
notificaciones de los P2 P2 P1
ISO/IEC 27001:2013 A.12.4.1, incidentes de seguridad de la información.
sistemas de detección.
A.12.4.3, A.16.1.5
34
Prioridad x
B E A
ISO/IEC 27799:2016 GI.5 Responder ante incidentes de seguridad de la información.
A.12.4.1
CA-7, IR-4, IR-5, PE-6, SI-4
GI.2 Contar con mecanismos que permitan evaluar los eventos
ISO/IEC 27001:2013 A.16.1.6
RE.AN-2. El impacto del
P1 P1 P1 incidentes de seguridad de la información.
incidente es comprendido. NIST SP 800-53 Rev. 4 CP-2,
IR-4
ISO/IEC 27001:2013 A.16.1.7
ISO/IEC 27799:2016
RE.AN-3. Se realiza análisis A.16.1.7
P4 P4 P4 -
forense.
IR-4
ISO/IEC 27001:2013 A.16.1.4
RE.AN-4. Los incidentes ISO/IEC 27799:2016
son categorizados A.16.1.4
P4 P4 P4 -
consistentemente con los
planes de respuesta. NIST SP 800-53 Rev. 4 CP-2,
IR-4, IR-5, IR-8
RE.MI. Mitigación
Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.
ISO/IEC 27001:2013 A.16.1.5
RE.MI-1. Se logra contener
P1 P1 P1 GI.5 Responder ante incidentes de seguridad de la información.
los incidentes.
NIST SP 800-53 Rev. 4 IR-4
ISO/IEC 27001:2013 A.12.2.1,
A.16.1.5
RE.MI-2. Se logra mitigar ISO/IEC 27799:2016
P1 P1 P1 GI.5 Responder ante incidentes de seguridad de la información.
los incidentes. A.12.2.1
NIST SP 800-53 Rev. 4 IR-4
35
Prioridad x
B E A
RE.MI-3. Las nuevas
ISO/IEC 27001:2013 A.12.6.1
vulnerabilidades
-
identificadas se mitigan o P4 P4 P4
documentan como riesgos
RA-3, RA-5
aceptados.
RE.ME. Mejoras
Las actividades de respuesta de la organización son mejoradas por la incorporación de lecciones aprendidas de las actividades de detección y
respuesta actuales y anteriores.
COBIT 5 BAI01.13
RE.ME-1. Los planes de
ISO/IEC 27001:2013 A.16.1.6
respuesta incorporan P4 P4 P4 -
lecciones aprendidas.
IR-4, IR-8
RE.ME-2. Las estrategias NIST SP 800-53 Rev. 4 CP-2,

P4 P4 P4 -
de respuesta se actualizan. IR-4, IR-8
RC.PR. Planificación de la recuperación
RECUPERAR Los procesos y procedimientos de recuperación son ejecutados y mantenidos para asegurar la restauración oportuna de los sistemas o activos
(RC) afectados por eventos de ciberseguridad.
COBIT 5 DSS02.05,
DSS03.04
RC.PR-1. El plan de GI.6 Establecer los mecanismos para recuperarse luego de un
recuperación se ejecuta incidente.
P2 P2 P1 ISO/IEC 27001:2013 A.16.1.5
durante o luego de un
evento. CO.4 Planificar la continuidad de las operaciones y recuperación
NIST SP 800-53 Rev. 4 CP-
ante desastres.
10, IR-4, IR-8
RC.ME. Mejoras
Se mejoran los planes y procesos de recuperación incorporando las lecciones aprendidas en actividades futuras.
36
Prioridad x
B E A
COBIT 5 BAI05.07
RC.ME-1. Los planes de
recuperación incorporan P4 P4 P4 -
IR-4, IR-8
COBIT 5 BAI07.08
RC.ME-2 Las estrategias de
P4 P4 P4 -
recuperación se actualizan. NIST SP 800-53 Rev. 4 CP-2,
IR-4, IR-8
RC.CO. Comunicaciones
Las actividades de recuperación se coordinan con las partes interesadas internas y externas, como centros de coordinación, proveedores de servicios
de Internet, propietarios de los sistemas afectados, las víctimas, otros CSIRT y vendedores.
RC.CO-1. Se gestionan las CO.6 Definir los mecanismos de comunicación e interlocutores
P2 P2 P1 COBIT 5 EDM03.02
relaciones públicas. válidos.
RC.CO-2. Se repara la
P4 P4 P4 COBIT 5 MEA03.02 -
reputación luego del evento.
RC.CO-3. Se comunican las
actividades de recuperación
a los interesados internos y P4 P4 P4 -
IR-4
a los equipos ejecutivos y de
gestión.
37
5.1 Modelo de madurez
El modelo de madurez propuesto incluye 5 niveles (del 0 al 4), donde este último es el más alto. Cada nivel superior incluye los niveles
inferiores, por lo tanto, cumplir con las pautas del nivel 4 implica cumplir también con las pautas del nivel 1, 2 y 3.
El nivel 0 de madurez (que no se incluye en el presente modelo de madurez) indica que las acciones vinculadas a seguridad de la información
y ciberseguridad son casi o totalmente inexistentes.
El modelo de madurez está definido para las subcategorías que tengan prioridad P1 en alguno de los perfiles establecidos. En cada perfil se
analiza el modelo de madurez para las subcategorías que tengan prioridad P1, señaladas en el marco con “X”, según se corresponda.
Perfil
Función Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4
B E A
ID.GA. Gestión de activos
IDENTIFICAR Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se identifican y gestionan en forma
(IR) consistente, en relación con los objetivos y la estrategia de riesgo de la organización.
Se incluyen en el Los procesos y

Se confeccionan y inventario los dispositivos procedimientos de Se realizan actividades
ID.GA-1. Los
mantienen inventarios de físicos (PC, actualización de inventario periódicas de control
dispositivos físicos
los dispositivos físicos almacenamiento extraíble, se encuentran interno para verificar el
y sistemas se
- X X (servidores, racks, dispositivos de networking, documentados y están cumplimiento y
encuentran
dispositivos de impresoras, otro tipo de basados en software de alineación con los
inventariados.
networking, UPS, etc.) equipamiento utilizado, inventario. Se automatiza procedimientos
del centro de datos. etc.) y sistemas de otras el proceso cuando esto es establecidos.
áreas de la organización. posible.
ID.GA-2. Las
Se confeccionan y Se incluyen en el Ver ID.GA-1 (nivel 3)
plataformas de
mantienen inventarios de inventario las plataformas Además, se lleva control
software y
- X X software de base y de software y aplicaciones del licenciamiento de Ver ID.GA-1 (nivel 4)
aplicaciones se
software de aplicación de otras áreas de la software de equipos
encuentran
del centro de datos. organización. personales.
inventariadas.
38
Perfil
B E A
Se lleva control del
licenciamiento de software
de equipos servidores.
ID.GA-5. Los
La clasificación de la
activos (por
información es parte
ejemplo: hardware,
integral de la gestión de
dispositivos, datos Se identifican los activos Se clasifican los activos de
Ver ID.GA-1 (nivel 3) los activos.
y software) se (servidores, PC, acuerdo a los criterios de
Además, el software de Se realizan actividades
encuentran dispositivos móviles o de clasificación de la
inventario gestiona la periódicas de control
clasificados en - - X almacenamiento) que información establecidos
clasificación de la interno, o cuando el
función del tipo de contienen la información (alineados a la normativa
información contenida en negocio así lo requiere,
información que más crítica de la vigente) y a la valoración
los activos. para verificar que el
contienen o organización. de esta.
inventario de activos se
procesan y en el
encuentra clasificado y
valor que poseen
actualizado.
para el negocio.
Se definen formalmente y
documentan las
responsabilidades del RSI
y del CSI.
Se definen otros roles y
responsabilidades de Se realizan actividades
seguridad de la de control interno para
ID.GA-6. Los roles Se ha designado al RSI
información que incluyen, verificar la segregación
y responsabilidades y al CSI.
El CSI sesiona por ejemplo, responsable de roles en conflicto y
de seguridad de la Se definen los
periódicamente y se por la gestión de riesgos áreas de
información y X X X propietarios de los
registran las reuniones. de seguridad, responsable responsabilidad.
ciberseguridad se activos, los cuales son
de la gestión de El resultado de estas
encuentran responsables por su
incidentes, responsable de actividades son
asignados. protección.
la gestión de comunicadas al RSI y
vulnerabilidades y demás interesados.
parches, responsable de
monitoreo, entre otros. Los
roles y responsabilidades
se encuentran
documentados.
39
Perfil
B E A
ID.AN. Ambiente del negocio
La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados; esta información es utilizada para informar a los
roles de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de riesgos.
Los objetivos de
seguridad de la
Se establecen objetivos
Se difunden los objetivos información se llevan a
ID.AN-3. Se anuales en relación con
anuales de seguridad de cabo mediante proyectos
establecen y se la seguridad de la
Los objetivos de seguridad la información al personal formales de seguridad de
comunican las información,
de la información se llevan y/o partes interesadas. la información.
prioridades para la documentados y
X X X a cabo mediante un plan Se trabaja en el plan de Se define una estrategia
misión de la discutidos a nivel del
de acción. acción de forma articulada de seguridad de la
organización, sus CSI. Se establecen
con actores de la información y
objetivos y acciones para lograr el
organización para cumplir ciberseguridad alineada
actividades. cumplimiento de los
con los objetivos. a la estrategia a
objetivos.
mediano-largo plazo y
ésta es difundida.
Se han definido las
ventanas de tiempo Se definen y ejecutan
máximo soportadas por el pruebas al plan de
El centro de datos Se cuenta con un plan de
negocio sin poder operar. contingencia y
cuenta con UPS y contingencia y
ID.AN-5. Se El centro de datos cuenta recuperación. Todos los
componentes recuperación aprobado
establecen con generador eléctrico involucrados están
redundantes en lo que por la Dirección. Su
requisitos de capaz de alimentar a todos interiorizados en el plan y
refiere a conexión alcance está asociado al
resiliencia para - - X los componentes críticos. su ejecución.
eléctrica, componentes menos a los procesos
soportar la entrega La Dirección apoya la Las pruebas son
de acondicionamiento críticos de la organización.
de servicios planificación de la tomadas como insumo
térmico e infraestructura Se comienzan las pruebas
críticos. contingencia, por ejemplo, para las lecciones
de comunicaciones. del plan para uno o varios
facilitando la participación aprendidas y
de los procesos críticos.
de recursos humanos y retroalimentan la toma de
proveyendo los recursos decisiones.
materiales necesarios.
ID.GO. Gobernanza
Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, ambientales y operativos de la organización,
son comprendidos y se informa a las gerencias sobre los riesgos de ciberseguridad.
ID.GO-1. La política Se cuenta con una Se definen formalmente La política de seguridad de Se ha desarrollado un
X X X
de seguridad de la política de seguridad de políticas sobre temas la información y las conjunto razonable de
40
Perfil
B E A
información se la información aprobada específicos que dan políticas específicas son políticas y
encuentra por la Dirección. La soporte a la política de revisadas cuando ocurren procedimientos
establecida. política de seguridad de seguridad de la cambios significativos específicos alineados al
la información se difunde información. (ambiente de negocio, Marco de Ciberseguridad
al personal. ambiente técnico, y a la guía de
normativa, etc.) para implementación
analizar su vigencia, conformando un SGSI.
idoneidad y pertinencia, Se definen indicadores
siendo deseable que las para medir la efectividad
mismas sean revisadas del SGSI y se planifica y
formalmente a intervalos realiza la revisión formal
regulares. El resultado de de éste por parte del CSI.
estas revisiones de
documentan y comunican
al CSI y demás partes
interesadas.
El RSI es referente de la
ID.GO-2. Los roles temática ante su El RSI coordina las
El RSI, o quien este
y las El RSI coordina las organización y participa en actividades del plan
determine, coordina las
responsabilidades actividades de seguridad la gestión de incidentes y anual (las cuales se
tareas de gestión de
de la seguridad de de la información de su la gestión de riesgos de documentan) con los
riesgos con los
la información X X X organización. seguridad. principales actores
responsables de gestión
están coordinados El RSI, o quien este involucrados de su
de riesgos de seguridad y
y alineados con determine, oficia como organización (directores
con los propietarios de los
roles internos y punto de contacto con el de área, gerentes, otros
activos de información.
socios externos. CERTuy o CSIRT según RSI, etc.).
corresponda.
ID.GO-3. Los Se identifican los Se realizan actividades
Las pautas que ha
requisitos legales y requisitos normativos Se realizan revisiones de control interno para
definido la organización
regulatorios sobre relacionados a seguridad basadas en la normativa verificar el cumplimiento
relacionadas con
la ciberseguridad, de la información y aplicable para detectar del SGSI.
seguridad de la
incluyendo las X X X ciberseguridad, desvíos de cumplimiento. Los resultados de las
información están
obligaciones de protección de datos El resultado es revisiones se utilizan
alineadas o hacen
privacidad son personales, acceso a la comunicado a la RSI y/o al para la mejora continua
referencia a la normativa
comprendidos y se información pública y CSI. del SGSI y apoyan a la
vigente en la materia.
gestionan. propiedad intelectual. toma de decisiones.
41
Perfil
B E A
ID.ER. Evaluación de riesgos
La organización comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
Existe un procedimiento
documentado y un
responsable de la gestión
de vulnerabilidades y
Se cuenta con un
El software de base y parches.
ambiente para pruebas de
aplicaciones críticas se Las pruebas de intrusión
los parches previo a su
encuentran actualizados (ethical hacking) y
puesta en producción. Se realizan auditorías
y con los últimos parches evaluación de
ID.ER-1. Se Se realizan pruebas de independientes en forma
que les correspondan. vulnerabilidades de los
identifican y intrusión (ethical hacking) periódica. Las mismas
Se tienen identificados sistemas críticos se
documentan las - - X y evaluación de son tomadas como
aquellos activos que por realizan con una
vulnerabilidades de vulnerabilidades de los insumo para la toma de
su tecnología no pueden periodicidad establecida,
los activos. sistemas críticos de la decisiones y la mejora
ser actualizados, alineada a las
organización. El resultado continua del SGSI.
detallando los controles necesidades de la
de las pruebas y el plan de
compensatorios organización. Como
acción se comunican a las
implementados. mínimo se realiza un un
partes interesadas.
escaneo de
vulnerabilidades semestral
y una prueba de intrusión
anual.
Se ha definido un Existe sinergia entre el
procedimiento personal de seguridad de
documentado de contacto la información de la
El personal de seguridad
ID.ER-2. Recepción El personal de seguridad con autoridades internas y organización y el
de la información y/o de
de información de la información y/o de TI externas (contemplando personal que oficia como
TI se mantiene
sobre amenazas y recibe algún tipo de especialmente los centros punto de contacto con
actualizado sobre las
vulnerabilidades - - X entrenamiento periódico de respuesta a incidentes autoridades, por medio
últimas amenazas y
por parte de grupos sobre amenazas y de seguridad que existan, de reuniones periódicas
vulnerabilidades que
y fuentes vulnerabilidades. por ejemplo, DCSIRT, u otros mecanismos,
surgen para sus
especializadas. CSIRT Antel, CERTuy, donde se tratan temas de
sistemas y plataformas.
CSIRT Ceibal, etc.). actualidad sobre
El punto de contacto (RSI amenazas y
o quien este determine) y vulnerabilidades.
42
Perfil
B E A
demás personal de La sinergia debe
seguridad de la contemplar al equipo de
información, forman parte respuesta a incidentes
de grupos especializados que corresponda.
que participan al menos
una vez por año en
eventos y conferencias
sobre seguridad.
Se ha definido un
responsable de la gestión
de los riesgos de
seguridad de la
información que trabaja
Se cuenta con un en forma coordinada con
Se han identificado las inventario de riesgos de Se define una política de el RSI, los propietarios
amenazas y seguridad de la gestión de riesgos. de los activos de
ID.ER-3.
vulnerabilidades de los información que Los riesgos se revisan con información y el CSI.
Identificación y
activos de información incluye riesgos asociados una frecuencia al menos El resultado de la
documentación de X X X
del centro de datos. La a otros activos de semestral. La revisión se revisión de los riesgos se
las amenazas
revisión de los riesgos información que no se documenta formalmente y eleva formalmente al
internas y externas
se realiza ad-hoc y sin encuentran en el alcance es comunicada al CSI y CSI, a la Dirección de la
periodicidad establecida. del centro de datos. demás partes interesadas. organización y demás
partes interesadas. Se
realizan actividades de
control interno para
verificar el cumplimiento
con la política
establecida.
La identificación de los Se cuenta con un Los riesgos se revisan con Se cuenta con el BIA
ID.ER-4. principales riesgos inventario de riesgos de una frecuencia al menos definido, considerando al
Identificación del incluye el impacto seguridad de la semestral. La revisión se menos el impacto a nivel
impacto potencial potencial en el negocio información que incluye el docuementa formalmente. de imagen, económico y
X X X
en el negocio y la determinado de forma impacto potencial en el Se trabaja en la en los usuarios.
probabilidad de cualitativa (por ejemplo: negocio, determinado al elaboración de un BIA. Se ha definido un
ocurrencia. alto, medio-alto, medio y menos en forma Este análisis incluye la responsable de la gestión
bajo) y la probabilidad de cualitativa. identificación de los de los riesgos de
43
Perfil
B E A
ocurrencia (por ejemplo: procesos críticos y seguridad de la
alta, media, baja). sistemas de información información que trabaja
que los soportan. en forma coordinada con
el RSI, los responsables
de los activos de
información y el CSI.
El responsable de
gestión de riesgos de
seguridad de la
información identifica los
riesgos de seguridad de
la información de todos
los activos de
información de la
organización.
El resultado de la
revisión de los riesgos se
eleva formalmente al
CSI, a la Dirección y
demás partes
interesadas. La revisión
periódica de los riesgos y
del BIA aporta
información para la toma
de decisiones.
ID.ER-5. Las
amenazas,
vulnerabilidades,
probabilidad de
ocurrencia e X X X Ver ID.ER-4 (nivel 1) Ver ID.ER-4 (nivel 2) Ver ID.ER-4 (nivel 3) Ver ID.ER-4 (nivel 4)
impactos, se
utilizan para
determinar el
riesgo.
ID.ER-6. Se han definido Las respuestas a los Las respuestas a los La implementación de los
X X X
Identificación y controles para la riesgos se incluyen en el riesgos se revisan con una controles se realiza de
44
Perfil
B E A
priorización de las mitigación de riesgos y inventario de riesgos de frecuencia al menos acuerdo a la prioridad
respuestas a los respuesta a las seguridad de la semestral y la revisión se explícita y formal
riesgos. principales amenazas información. documenta formalmente y establecida por la
identificadas. Se agregan respuestas a es comunicada al CSI y a Dirección.
Los controles podrán ser riesgos de seguridad de la las otras partes Se ha definido un
físicos, lógicos o información que se interesadas. responsable de la gestión
administrativos. encuentran fuera del de los riesgos de
alcance del centro de seguridad de la
datos. información que trabaja
en forma coordinada con
el RSI, los propietarios
de los activos de
información y el CSI.
PR.CA. Control de acceso

PROTEGER
El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y transacciones autorizadas.
(PR)
45
Perfil
B E A
Se realizan revisiones
proactivas periódicas de
los privilegios de acceso
de los usuarios,
especialmente los
privilegiados, según un
Se define una política y
procedimiento formal.
procedimiento de acceso
Los resultados de las
lógico a redes, recursos y
revisiones se
Existen controles de sistemas de información.
PR.CA-1. Las Existen pautas definidas documentan formalmente
acceso lógico a redes, La gestión de identidades
identidades y para la realización de y se comunican al RSI, a
recursos y sistemas de y credenciales se realiza
credenciales para altas, bajas y las gerencias y demás
información basados en en forma centralizada, al
usuarios y X X X modificaciones de acceso partes interesadas.
usuarios nominados. menos en forma
dispositivos lógico que además Existe sinergia entre las
administrativa.
autorizados son incluyen aprobaciones. áreas de gestión
La revisión de privilegios
gestionadas. humana, las gerencias y
se realiza en forma
los responsables de la
reactiva frente a un
revisión de privilegios
cambio o baja, al menos
para obtener en tiempo y
para los sistemas críticos.
forma la información para
las revisiones. Se
realizan actividades de
verificar la realización de
revisiones de privilegios.
46
Perfil
B E A
Se revisan
periódicamente los
registros de accesos
Existen controles de realizados a los centros
acceso físico a las Se cuenta con una política de datos y áreas
Existen controles de
instalaciones de los de control de acceso seguras, según un
PR.CA-2. Se acceso físico para otras
centros de datos. Se físico. Se establecen procedimiento formal.
gestiona y protege áreas definidas como
X X X gestionan las perímetros de seguridad al La revisión periódica de
el acceso físico a seguras y se gestionan las
autorizaciones de centro de datos y áreas accesos retroalimenta la
los activos. autorizaciones de acceso.
acceso al centro de seguras. Se realizan gestión del acceso físico.
datos. revisiones reactivas. Se realizan actividades
de control interno para
de los procedimientos
establecidos.
periódicas de los
documentado de solicitud
usuarios con acceso
de acceso remoto. Existe
remoto.
un responsable para la
Las revisiones periódicas
Existen acuerdos de no asignación de permisos de
de accesos remotos
divulgación firmados por el acceso remoto.
incluyen la revisión de los
personal de la Los proveedores tienen
registros de acceso
El acceso remoto se organización con permisos permisos de acceso
remoto. Esta información
realiza mediante el uso de acceso remoto y para remoto que caducan luego
PR.CA-3. Gestión retroalimenta la gestión
- X X de comunicaciones y proveedores que lo de realizada la actividad (o
de acceso remoto. del acceso remoto y
mecanismos de requieran. de una fecha establecida)
proporciona información
autenticación seguros. Se otorga el acceso para la cual se les otorgó
para la toma de
remoto con base en una el acceso.
decisiones de mejora
lista blanca de todos los Se implementa el doble
continua. Se realizan
recursos disponibles. factor de autenticación
actividades de control
para el acceso remoto.
interno para verificar el
Se centraliza el acceso
cumplimiento de los
remoto al menos en forma
procedimientos
administrativa.
establecidos.
47
Perfil
B E A
Se define un
Se define una política de procedimiento
acceso lógico que incluye documentado de revisión
el uso de usuarios periódica de derechos de
Se incorpora los principios
privilegiados. acceso de los usuarios
de menor privilegio y
Se define una política de incluyendo los
segregación de funciones.
gestión de usuarios y privilegiados. El
Se identifican los casos
contraseñas, y se instruye resultado de las
PR.CA-4. Gestión El acceso a la red y los que requieren una fuerte
al personal para su uso revisiones se comunica
de permisos de sistemas cuentan con, al autenticación y verificación
correcto. formalmente a las
acceso, menos, usuario y de identidad para
Se cuenta con un gerencias y otras partes
incorporando los contraseña con usuarios determinar métodos
X X X procedimiento para el interesadas. Existe
principios de menor nominados. El uso de alternativos (token, factor
ABM de usuarios. Los sinergia entre las áreas
privilegio y usuarios genéricos y/o de doble autenticación,
derechos de acceso son de gestión humana, las
segregación de privilegiados se etc.). La gestión de
autorizados y se cuenta gerencias y las áreas de
funciones. encuentra controlado. usuarios y permisos de
con registro de tales tecnología encargadas
acceso se realiza en forma
acciones. de habilitar técnicamente
centralizada, al menos del
Se realizan revisiones de los derechos de acceso y
punto de vista
los derechos de acceso de se logra actuar
administrativo.
los usuarios y se cuenta proactivamente frente a
con registro de tales cambios relacionados
acciones. con el personal (altas,
bajas, modificaciones).
48
Perfil
B E A
Se conoce y se analiza el documentado de
tráfico en los diferentes monitoreo de los
Se identifican los posibles
dominios de la red. Se diferentes segmentos
dominios de red en
La red se encuentra protegen las apoyado, si es viable, por
función de las
segmentada al menos en comunicaciones entrantes herramientas
necesidades de la
redes con contacto y salientes entre los automatizadas.
PR.CA-5. organización.
directo con redes diferentes segmentos. Se El procedimiento de
Protección de la Se establece la
externas (por ejemplo, trabaja en la definición de contención de incidentes
integridad de la red segmentación de las redes
Internet) y redes controles de detección de se encuentra alineado
incorporando - - X en función de los dominios
privadas de la amenazas. con la política de gestión
segregación definidos para proteger la
organización. Existe un Se definen alertas cuando de incidentes. Se
cuando es infraestructura y los
diagrama de red el tráfico no autorizado es registran los incidentes
apropiado. servicios de red.
actualizado. bloqueado o detectado. que se detectan en los
Se genera una postura de
Se define un diferentes segmentos
manejo de tráfico por
procedimiento de para aprender de ellos y
defecto entre segmentos.
contención de incidentes retroalimentar las
en el segmento cuando se lecciones aprendidas
detectan las amenazas. facilitando la toma de
decisiones.
PR.CF. Concientización y formación
El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre seguridad de la información. Están adecuadamente
entrenados para cumplir con sus obligaciones referentes a la seguridad de la información en alineación con las políticas, procedimientos y acuerdos
existentes.
Las campañas de
Se realizan actividades
Se comienza a trabajar concientización son
en actividades propias Se trabaja en la aprobadas y se determina
verificar el desarrollo de
de difusión de elaboración de campañas cómo se medirá su éxito.
PR.CF-1. Todos los las campañas.
información relacionada de concientización para el Se planifica un
usuarios se Se evalúa el nivel de
con seguridad de la personal. cronograma para la
encuentran X X X conocimiento adquirido
información, incluyendo Se cuenta formalmente realización de las
entrenados e por el personal mediante
la difusión de las con los recursos para campañas.
informados. actividades de
políticas y mecanismos llevarla adelante. Se definen actores
evaluación periódicas.
de protección. críticos, objetivos,
Estas actividades son
estrategias, tácticas y
aprobadas por el CSI y
audiencia.
49
Perfil
B E A
Se elabora el material apoyadas por la
educativo necesario. Dirección.
Se define un plan de
capacitación y
entrenamiento en
seguridad de la
información teniendo en
cuenta los perfiles e
PR.CF-2. Los Los usuarios intereses de grupos
usuarios privilegiados demuestran Se realizan actividades de Los usuarios privilegiados considerados
privilegiados conocimiento respecto a concientización para son capacitados a través estratégicos. El plan está
- - X
comprenden sus la importancia de sus usuarios privilegiados con de cursos o talleres aprobado por la
roles y roles y cierta periodicidad. relevantes. Dirección que se
responsabilidades. responsabilidades. compromete con su
aplicación. El plan es
revisado y actualizado
periódicamente y se
realizan acciones de
mejora incorporando
La Dirección conoce y
comprende los riesgos de
PR.CF-4. La
La Gerencia conoce y seguridad de la La Dirección tiene una
gerencia ejecutiva
comprende los riesgos información. participación activa en las
comprende sus X X X Ver PR.CF-2 (nivel 4)
de seguridad de la La Gerencia tiene una instancias de
roles y
información. participación activa en las concientización.
responsabilidades.
iniciativas de
concientización.
PR.CF-5. El El personal de seguridad
Se realizan con cierta
personal de física y de seguridad de
perioricidad actividades de El personal de seguridad
seguridad física y la información
concientización para el física y seguridad de la
de seguridad de la demuestra
- - X personal de seguridad información es capacitado Ver PR.CF-2 (nivel 4)
información concientización respecto
física y seguridad de la a través de cursos o
comprende sus a la importancia de sus
información. talleres relevantes.
roles y roles y
responsabilidades. responsabilidades.
50
Perfil
B E A
PR.SD. Seguridad de los datos

La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y
disponibilidad de la información.
Se identifican los datos Se define una política de periódicas sobre los
históricos y respaldos uso de controles respaldos y datos
PR.SD-1. Los datos que deben ser criptográficos para históricos para garantizar
Los respaldos y/o datos
en reposo protegidos mediante respaldos y datos que se encuentran
históricos offline se
(inactivos) se - - X mecanismos seguros. históricos. Se determinan protegidos según lo
almacenan en forma
encuentran Se establecen al menos los responsables de la determinado en la
cifrada.
protegidos. mecanismos de control generación de las claves política. Los resultados
de acceso lógico y que abarca todo su ciclo de estas revisiones son
físicos. de vida. registrados e informados
al RSI.
Se define una política de
uso de controles
Los datos en tránsito de criptográficos que
todas las aplicaciones y determina los lineamientos
PR.SD-2. Los datos Se implementa algún
sistemas se encuentran de protección necesaria
en tránsito se control criptográfico para
- - X protegidos mediante un de la información en Ver PR.SD-1 (nivel 4)
encuentran asegurar la protección
mismo conjunto reducido tránsito. Se determinan los
protegidos. de los datos en tránsito.
de tecnologías y prácticas responsables de la
criptográficas. generación de las claves
que abarca todo su ciclo
de vida.
PR.SD-3. Los Se definen pautas para Se realizan actividades
Se definen puntos de
activos se la disposición final y Se define una política de de control interno sobre
disposición de los medios.
gestionan borrado seguro de destrucción de la los procedimientos de
La disposición y/o borrado
formalmente a lo medios de información y existe un eliminación y de los
- - X seguro de medios de
largo de la almacenamiento. procedimiento lugares de disposición de
almacenamiento se lleva a
eliminación, las El personal está documentado alineado medios. Se informan los
cabo mediante actividades
transferencias y informado de la con la política. resultados al RSI y
coordinadas.
disposición. importancia de la demás partes
51
Perfil
B E A
eliminación de medios interesadas. En caso de
de almacenamientos que desvíos se toman las
no se utilizarán más, acciones correctivas
para preservar la correspondientes.
confidencialidad de la
información contenida en
ellos.
Se cuenta con un plan de
capacidad formal.
Se toman en cuenta las
Se define un proceso de
necesidades de capacidad
Se planifica y define el estimación de la
La capacidad actual al momento de
PR.SD-4. Se proceso de gestión de la capacidad que
instalada para la dimensionar los servicios
mantiene una capacidad actual. Se acompaña al plan.
prestación de los críticos que se hayan
adecuada identifica al responsable La información se utiliza
- - X servicios críticos es identificado, de acuerdo a
capacidad para del proceso de gestión de para generar pronósticos.
suficiente. las necesidades actuales
asegurar la la capacidad, sus roles y El plan se revisa a
del negocio.
disponibilidad. responsabilidades. intervalos regulares.
Se realizan mediciones
Se proponen acciones
objetivas para detectar
para la mejora continua
problemas de capacidad.
de la gestión de la
capacidad.
Los acuerdos Se revisan los contratos
contractuales con el y procedimientos de
personal y proveedores desvinculación de forma
reflejan las periódica para verificar el
responsabilidades de cumplimiento. Se registra
Se firman acuerdos de
PR.SD-5. Se Se extiende la firma de seguridad de la el resultado de las
no divulgación para los
implementan acuerdos de no información según el rol revisiones y se utilizan
nuevos proveedores de
medidas de - X X divulgación que ocupen en la para la mejora de los
servicios y para los
protección contra progresivamente a toda la organización. procesos y
nuevos ingresos de
fuga de datos organización. Existe un procedimiento procedimientos, así como
personal.
documentado para la para la mejora continua
desvinculación del de acuerdos y contratos.
personal que incorpora la Se registran y revisan los
revocación de accesos desvíos e
físicos y lógicos. Se incumplimientos con los
52
Perfil
B E A
establecen las acuerdos de no
responsabilidades y divulgación y otras
acuerdos de no obligaciones
divulgación indicando el contractuales
tiempo por el cual relacionadas a seguridad
continuarán siendo válidos de la información.
estos aspectos. El resultado de las
revisiones se comunica
al RSI y demás partes
interesadas.
Se cuenta con listas de
software autorizado y/o
prohibido, revisadas por
La posibilidad de instalar el RSI. Todos los
software en los equipos Se trabaja en la servidores cuentan con
queda restringida a los elaboración de listas de algún tipo de protección
Se definen pautas para usuarios que se software autorizado y o detección de malware.
la instalación de encuentran autorizados prohibido. Se cuenta con Se realizan actividades
PR.SD-6. Se
software. para ese fin. Se define un una solución antivirus de control interno sobre
realizan chequeos
Los equipos del personal procedimiento y los centralizada y existe un la solución antivirus y
de integridad para
cuentan con protección responsables para la responsable de ella. Se sobre el software
verificar software, - - X
antivirus. instalación de software en define una política de instalado con el fin de
firmware e
Se realizan tareas de producción. Los servidores protección contra software determinar el
integridad de la
concientización sobre que ofician de malicioso. Se cuenta con cumplimiento con las
información.
prevención ante software distribuidores de archivos algún mecanismo de políticas y
malicioso. (por ejemplo, servidores control de acceso a sitios procedimientos. Los
de archivos o correo Web maliciosos y/o no resultados de estas
electrónico), cuentan con autorizados. revisiones son enviados
una solución antivirus. al RSI y demás partes
interesadas. En caso de
desvíos se determinan
las acciones correctivas.
53
Perfil
B E A
separación de entornos y
Los responsables de la
un procedimiento
gestión de entornos
documentado para su
participan desde el inicio
gestión. .
en los proyectos.
Se definen responsables
Se toman los recaudos
para la gestión de los
Se cuenta con plataformas necesarios para el
El entorno de producción ambientes existentes, y
PR.SD-7. Los adecuadas e manejo de información
se encuentra separado para los pasajes a
entornos de independientes que según su clasificación
del resto de los entornos producción.
desarrollo y soportan el ciclo de vida durante las pruebas.
y su uso es exclusivo Durante la realización de
pruebas están - - X de desarrollo de los Se realizan auditorías de
para las aplicaciones las pruebas se registra la
separados del sistemas. cumplimiento y control
que dan soporte a los información del entorno
entorno de Se implementan controles interno de la política de
servicios críticos que (características,
producción para el pasaje entre los separación de entornos y
brinda la organización. información de los datos
ambientes. procedimientos
de prueba, etc.) y esta
relacionados.
información es conservada
Se registran los
para asegurar la calidad
resultados y se toman
de los resultados de las
acciones correctivas en
pruebas y lograr replicar a
casos de desvíos.
futuro las condiciones en
las que se efectúan.
PR.PI. Procesos y procedimientos para la protección de la información
Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de los sistemas de información y los
activos.
Se define una política de Se cuenta con
gestión de cambios que herramientas para dar
contempla también los soporte a la gestión de
PR.PI-1. Existe una Se define versionado y
cambios de emergencia los cambios. Se realizan
línea base de la Existen medidas para líneas base de
en el ámbito tecnológico. actividades de control
configuración de comunicar y autorizar los configuración de los
- - X Se cuenta con un interno para revisar el
los sistemas de cambios en el ámbito productos de software que
procedimiento cumplimiento con los
información que es tecnológico. permiten la trazabilidad de
documentado para la procedimientos actuales.
mantenida. los cambios.
gestión de los cambios. El resultado de estas
Los cambios a las líneas actividades es
base se registran. comunicado al RSI y
54
Perfil
B E A
demás partes
interesadas. Se toman
medidas correctivas ante
desvíos.
Se utilizan lineamientos
La seguridad de la Se realizan actividades
generales para el
información se toma en Se define un de control interno para
desarrollo de los
cuenta en la procedimiento determinar el nivel de
sistemas incluyendo
PR.PI-2. Se especificación de documentado de pruebas, cumplimiento con la
principios básicos de la
implementa el ciclo requisitos. contemplando la metodología y
gestión de proyectos
de vida de Se incorporan principios participación de usuarios , procedimientos definidos.
- - X (ágiles, tradicionales o
desarrollo para de desarrollo seguro de directa o mediante algún El resultado de estas
ambas).
gestionar los sistemas. rol que los represente. actividades se comunica
Los usuarios participan
sistemas. Se controlan las versiones Se definen los criterios de al RSI y demás partes
directamente o mediante
de software. aceptación de los interesadas. Se toman
algún rol que los
Se sistematizan las productos. acciones correctivas
represente en el ciclo de
actividades de pruebas. frente a desvíos.
vida de los sistemas.
PR.PI-3. Existen
procesos de Ver PR.PI-1 (nivel 1)
gestión del cambio - - X Ver PR.PI-1 (nivel 2) Ver PR.PI-1 (nivel 3) Ver PR.PI-1 (nivel 4)
en las
configuraciones
Los respaldos son
La política y el
probados regularmente.
procedimiento de
Se ha determinado el uso
Se cuenta con soluciones respaldo se encuentran
Se realizan respaldos de almacenamiento
PR.PI-4. Se automatizadas para asistir alineados al plan de
periódicos de al menos externo para copias de
realizan y en la realización de los contingencia y al plan de
los activos de respaldos.
mantienen respaldos. recuperación, los cuales
información del centro Existe una política y
respaldos de la X X X Los respaldos se aseguran que resuelven
de datos (aplicaciones, procedimiento
información y se almacenan en lugares los requisitos de
bases de datos, documentado de
testean seguros y con acceso recuperación de la
máquinas virtuales, etc.). respaldos y de pruebas de
periódicamente. restringido. organización ante un
recuperación, que incluye
evento anormal.
las frecuencias. Se
La política y
establece el grado
procedimiento de
(completo, diferencial,
55
Perfil
B E A
etc.) y los requisitos de respaldos se revisan con
retención de los respaldos. regularmente.
El procedimiento de
respaldos se actualiza
ante cambios de
requerimientos del
negocio o cambios de
infraestructura o sistemas
que requieran acciones de
respaldo.
PR.PI-5. Las seguridad del
Se implementan de la política y
políticas y equipamiento.
Existen medidas de herramientas procedimientos
reglamentos Se cuenta con un
control del medio automatizadas que asociados. Los
relacionados con el - X X procedimiento
ambiente físico en los apoyan el monitoreo de resultados del monitoreo
medio ambiente documentado de
centros de datos. los controles relacionados son utilizados para
físico operativo se monitoreo que incluye el
al medio ambiente físico. mejorar los
cumplen. uso de herramientas
procedimientos y
automatizadas.
retroalimentación de las
PR.PI-6. Los datos
son eliminados de
acuerdo a las - - X Ver PR.SD-3 (nivel 1) Ver PR.SD-3 (nivel 2) Ver PR.SD-3 (nivel 3) Ver PR.SD-3 (nivel 4)
políticas de
seguridad.
PR.PI-9. Existen y Se define una política de Se ha definido el
Los incidentes de Se cuenta con ciertas
se gestionan gestión de incidentes de responsable de la
seguridad se reportan medidas de contingencia y
planes de seguridad de la respuesta a incidentes
internamente de acuerdo recuperación (por ejemplo,
respuesta a información y se difunde. que opera
a lineamientos pre respaldos de la
incidentes - - X Se define un plan de coordinadamente con el
establecidos. información, entre otros).
(respuesta a respuesta para la gestión RSI.
Se instruye al personal Se conocen los procesos
incidentes y de incidentes. El responsable de la
sobre los mecanismos críticos del negocio.
continuidad del Se cuenta con respuesta a incidentes
de reporte de incidentes.
negocio) y planes herramientas que apoyan opera de forma
56
Perfil
B E A
de recuperación Los incidentes se la gestión de los coordinada con el
(recuperación de registran. incidentes. CERTuy o CSIRT que
incidentes y Se define un plan de corresponda.
recuperación de contingencia y de Se ha definido el o los
desastres). recuperación. responsables del
Se realizan pruebas mantenimiento del plan
puntuales de los planes. de contingencia y de
recuperación.
El plan de contingencia y
de recuperación y el plan
de respuesta a incidentes
son probados
anualmente. Se realizan
actividades de control
interno para verificar el
cumplimiento con la
política y procedimientos
relacionados. El
resultado de estas
actividades se informa al
RSI y se toman acciones
correctivas frente a
desvíos y para la mejora
continua.
El plan de respuesta a
El plan de respuesta a
incidentes se encuentra
incidentes se encuentra
alineado al plan de
documentado.
PR.PI-10. Los contingencia y
El personal conoce las Existen evidencias de
planes de Se cuenta con un plan de recuperación, y se
actividades básicas escenarios de falla o
respuesta y respuesta a incidentes y realizan pruebas al
- - X necesarias que deben incidentes en los que se
recuperación se se instruye al personal menos anuales de
realizar si se detecta o ejecutaron las actividades
testean sobre su uso. ambos.
sospecha un incidente. del procedimiento de
regularmente. Se registran las pruebas.
acuerdo al caso o se
El resultado de las
diseñaron escenarios
pruebas retroalimenta las
simulados para ello.
lecciones aprendidas y
57
Perfil
B E A
Se registran los resultados sirven para la mejora
en todos los casos. continua de los planes y
procedimientos.
PR.PI-11. La
ciberseguridad se
Ver PR.SD-5 (nivel 3) Ver PR.SD-5 (nivel 4)
encuentra incluida - - X Ver PR.SD-5 (nivel 1) Ver PR.SD-5 (nivel 2)
en las prácticas de
RRHH.
Se realizan revisiones de
Las responsabilidades de
Se define un plan control interno sobre el
gestión de
documentado para la plan de gestión de
vulnerabilidades están
gestión de las vulnerabilidades. El
establecidas.
Se gestionan las vulnerabilidades y resultado de las
Se incorporan como
PR.PI-12. Existe un vulnerabilidades técnicas parches. revisiones se comunica
fuentes de notificación:
plan de gestión de - - X mediante, al menos, la Se reciben notificaciones al RSI.
escaneos de
vulnerabilidades. gestión de parches. de vulnerabilidades por Se documentan
infraestructura y
parte del CERTuy u otras lecciones aprendidas que
aplicaciones. Existe un
organizaciones y se aportan a la mejora de
ambiente para pruebas de
analizan. futuras resoluciones
parches previo a su puesta
frente a vulnerabilidades
en producción.
similares.
PR.TP. Tecnología de protección
Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos de la organización, en
consonancia con las políticas, procedimientos y acuerdos.
PR.TP-1. Los Los registros de auditoría Se define una política y Se establecen los
registros de se centralizan. procedimientos de requisitos de retención
Se configuran los
auditoría (logs) se La revisión de los registros auditoría y registro de de los registros y se
registros de auditoría
documentan, se realiza en forma ad- eventos. implementan.
para todos los sistemas
implementan y son hoc. Los registros están Los registros de auditoría Se toman medidas para
X X X definidos como críticos.
revisados de protegidos contra accesos se respaldan fuera de facilitar el análisis de
Los registros son
conformidad con la no autorizados y posibles línea en forma periódica y grandes volúmenes de
utilizados para tratar
política. alteraciones. se revisan periódicamente información.
situaciones puntuales.
Se tiene en cuenta los con herramientas de Se cuenta con
requisitos de apoyo automatizadas. mecanismos para revisar
58
Perfil
B E A
confidencialidad de la Los relojes de todos los las actividades de los
información y protección sistemas deben estar administradores. Se
de la privacidad de los sincronizados (servidores, realizan actividades de
datos contenidos en los aplicaciones, etc.). control interno para
registros. verificar el cumplimiento
con la política y los
procedimientos. El
resultado de las
revisiones se comunica
al RSI y demás partes
interesadas.
control interno sobre el
cumplimiento de las
PR.TP-2. Los Se identifican los tipos de
pautas de uso de medios
medios extraíbles medios extraíbles
Se realiza el reporte de extraíbles y del
se encuentran Existe difusión sobre la autorizados.
hurto, pérdida o daño del procedimiento. Los
protegidos y su uso importancia de la Se establecen pautas para
- - X medio y su eliminación al resultados de las
se encuentra protección y uso de los el uso de medios
final de su vida útil. revisiones son utilizados
restringido de medios extraíbles. extraíbles y son
para la mejora del
acuerdo con las comunicadas a todo el
procedimiento y se
políticas. personal.
comunican al RSI y
demás partes
interesadas.
PR.TP-3. El acceso
a los sistemas y
activos se controla,
X X X Ver PR.CA-4 (nivel 1) Ver PR.CA-4 (nivel 2) Ver PR.CA-4 (nivel 3) Ver PR.CA-4 (nivel 4)
incorporando el
principio de menor
privilegio.
PR.TP-4. Las redes [AC]Los servicios del [AC]Todos los servicios se
[AC]La mayoría de los [AC]La comunicación
y comunicaciones organismo son encuentran en territorio
servicios se encuentran en entre MTAs de dominios
se encuentran prestados con nacional.
X X X territorio nacional, y los gubernamentales se
protegidas. infraestructura dentro del
restantes están en encuentra cifrada en
territorio nacional, o al El WAF de producción ha
proceso de migración forma mandatoria.
menos se cuenta con evolucionado de modo
59
Perfil
B E A
una planificación para la conforme a la planificación detección a modo El organismo envía un
migración de todos los realizada. bloqueo. reporte mensual al
servicios que están fuera Se cuenta con un WAF CERTuy sobre
de él. Todas las aplicaciones instalado en ambiente de estadísticas de la
Web disponibles en prueba para la realización actividad detectada en el
La comunicación entre Internet se encuentran de pruebas funcionales y WAF. El organismo
MTAs se encuentra protegidas mediante el otro WAF en ambiente de colabora con el CERTuy
cifrada como método uso de WAF, al menos producción donde se en la centralización de
preferido de configurados en modo impactan las reglas registros de WAF a nivel
comunicación. “detección”. actualizadas luego de ser nacional.
Los servicios de probadas.
Webmail se encuentran Los registros de los WAF El análisis de los
implementados sobre el se encuentran registros del WAF incluye
protocolo HTTPS centralizados. automatismos que
utilizando un certificado favorecen las actividades
válido. de revisión. Se establece
un procedimiento para la
preservación y gestión de
los registros del WAF.
DE.AE. Anomalías y eventos
DETECTAR (DE) La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.
La revisión de los
eventos se realiza a
auditoría y registro de
Se registran los eventos intervalos regulares y
eventos.
de los sistemas y redes. Se revisan los eventos de cuando se detecta
Existen procedimientos
Los eventos irregulares los sistemas y redes, y de actividad anormal para
DE.AE-2. Los documentados para la
detectados configuración y uso de detectar objetivos,
eventos detectados revisión y gestión de los
puntualmente se WAF. métodos de ataque,
son analizados eventos de los sistemas y
X X X analizan. Se cuenta con patrones, etc.,
para entender los redes y de configuración y
Se contacta al CERTuy o herramientas de apoyo permitiendo orientar y
objetivos y métodos uso de WAF.
CSIRT que corresponda automatizadas para el optimizar las estrategias
de ataque. Los procedimientos
en los casos que sea monitoreo de los eventos, y/o esfuerzos en
incluyen la gestión de
necesario contar con excepciones y fallas. ciberseguridad. La
anomalías en alineación a
asistencia. periodicidad de las
la política y procedimiento
revisiones se establece
de gestión de incidentes.
en los procedimientos y
60
Perfil
B E A
se informa al RSI y
demás partes
interesadas sobre los
resultados de la revisión.
Las actividades de
identificación de impacto y
determinación de
Se identifican los activos Se realizan actividades
umbrales están contenidas
Se analiza el impacto de afectados tomando como de control interno para
en el procedimiento de
los eventos que afectan base el inventario de verificar el cumplimiento
detección y monitoreo.
a los sistemas y activos críticos del centro con el procedimiento de
DE.AE-4. Se Se automatizan las alertas
servicios más críticos, de datos. Se establecen detección y monitoreo.
determina el ante incidentes
- - X dentro o fuera del centro los umbrales tolerables de Los resultados de estas
impacto de los correspondientes con los
de datos. La detección los activos (por ejemplo, actividades se utilizan
eventos. umbrales de tolerancia
es reactiva. tiempo de espera tolerable para la mejora del
para los activos críticos del
para una aplicación Web). procedimiento y se
centro de datos.
Se automatizan algunas retroalimentan las
Se clasifican las alertas
alertas ante incidentes. lecciones aprendidas.
ante incidentes tomando
en cuenta el riesgo
asociado.
DE.AE-5. Se
establecen los Ver DE.AE-4 (nivel 3)
- - X Ver DE.AE-4 (nivel 1) Ver DE.AE-4 (nivel 2) Ver DE.AE-4 (nivel 4)
umbrales de alerta
de incidentes.
DE.MC. Monitoreo continuo de la seguridad

Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de seguridad cibernética y verificar la
eficacia de las medidas de protección.
En el centro de datos se
Se monitorea de forma Se monitorean todos los
DE.MC-1. Se implementan alertas sobre
Se monitorea de forma automatizada los activos activos de información
monitorea la red anomalías que podrían
reactiva o esporádica los críticos del centro de del centro de datos, con
para detectar - - X transformarse en
sistemas o servicios más datos, generando alertas cruzamiento de
potenciales eventos problemas para los activos
críticos. ante la detección de información de diversas
de ciberseguridad. críticos. Estas alertas
problemas. fuentes, contemplando,
notifican cuando se
61
Perfil
B E A
comienzan a dar las entre otros, alertas
casuísticas que pueden preventivas y reactivas.
derivar en un incidente Se cuenta con un
aún no concretado. mecanismo alternativo
de monitoreo, al menos
manual, ante fallas del
principal.
Se cuenta con una política
de control de acceso
físico. Se cuenta con los
sensores instalados y se
recolecta la información.
Existen controles de
Se define dónde se
acceso físico a las
almacena la información
instalaciones del centro Existen funciones Se cuenta con un
de los sensores. Se
de datos. Se definen integradas en los sistema de monitoreo
determina la estrategia de
alertas reactivas (in-situ) dispositivos que permiten inteligente que
DE.MC-2. Se recolección que sea más
de control en los el monitoreo de las proporciona información
monitorea el adecuada, siempre
dispositivos físicos del amenazas típicas histórica útil para la
ambiente físico evitando un punto único
- - X centro de datos. (alimentación eléctrica, generación de informes.
para detectar de falla.
Se monitorean enfriamiento, etc.). Se Los informes son
potenciales eventos Se trabaja en la
esporádicamente los definen notificaciones de utilizados para evaluar el
de ciberseguridad. identificación de otro tipo
dispositivos para alertas (correo, sms, etc.) centro de datos y tomar
de amenazas físicas
detectar amenazas al personal designado. acciones correctivas o
(personas, sustancias
sobre ellos (alimentación preventivas.
suspendidas en el aire,
eléctrica, enfriamiento,
humedad, filtración de
etc.).
líquidos, temperatura del
aire, etc.) y en el
establecimiento de
sensores para capturar la
información.
DE.MC-3. Se Se registran los eventos Se realizan revisiones de Se han definido las Se realizan actividades
monitorea la relevantes de los los eventos registrados en responsabilidades del de control interno para
actividad del - - X usuarios que suceden en forma reactiva. monitoreo. Se ha definido verificar el cumplimiento
personal para los sistemas o Los resultados de las un procedimiento de con el procedimiento de
detectar aplicaciones críticas. revisiones son utilizados revisión periódica de monitoreo.
62
Perfil
B E A
potenciales eventos para la evaluación de registros que cubre al Se genera información
de ciberseguridad. potenciales incidentes. menos inicios de sesión que se utiliza con fines
fallidos y acceso y uso de estadísticos y de mejora
Internet. de los servicios.
La información generada Los resultados de estas
se reporta a la gerencia revisiones se utilizan
que corresponda y/o para la mejora del
demás partes interesadas procedimiento y se
para la toma de retroalimentan las
decisiones. lecciones aprendidas.
Se implementan
controles para evitar el
acceso a sitios Web
maliciosos y/o no
autorizados.
Los servidores que ofician La protección ante
de distribuidores de software malicioso se
archivos (por ejemplo, extiende a otros
servidores de archivos o dispositivos móviles y se
correo electrónico), refleja en la política de
Se define una política y
Los equipos del personal cuentan con una solución protección contra
procedimientos para el
cuentan con protección antivirus. Se configuran software malicioso.
DE.MC-4. Se manejo de software
antivirus. Las soluciones chequeos periódicos en Existen procedimientos
detecta el código X X X malicioso.
a los problemas los equipos del personal. documentados para la
malicioso. Se cuenta con una
detectados se realizan Las actividades de detección de equipos que
solución centralizada de
en forma ad-hoc. concientización al se encuentran
antivirus.
personal contienen temas desprotegidos y se
específicos sobre riesgos realizan las acciones
y problemas derivados del necesarias para
software malicioso. subsanar la situación.
Se cuenta con un registro
estadístico de
infecciones por software
malicioso que aporta a la
toma de decisiones y
alimenta las lecciones
63
Perfil
B E A
aprendidas que se usan
para la mejora continua.
Existen SLA con los
proveedores de servicios
críticos del centro de datos
donde se establece el Se realiza una revisión
Existen SLA con
DE.MC-6. Se régimen de cobertura para periódica de los contratos
proveedores de servicios
controla la actividad los servicios críticos y SLA de los
Se toman acciones ante críticos del centro de
de los proveedores conforme las necesidades proveedores de servicios
desvíos detectados en el datos.
de servicios de la organización. En críticos para evaluar la
- X X servicio de un proveedor En los contratos con los
externos para todos los contratos se adherencia a los
de un servicio crítico del proveedores de servicios
detectar posibles incluyen cláusulas de acuerdos.
centro de datos. críticos, se incluyen
eventos de seguridad de la La información que surge
cláusulas de seguridad de
ciberseguridad. información. de la revisión apoya a la
la información.
Los contratos con los toma de decisiones.
proveedores son
revisados ante cambios
del servicio.
Los resultados de las
Se define un responsable revisiones internas y
y un procedimiento externas se utilizan para
documentado para la la mejora continua de la
revisión periódica interna seguridad de los
Se realizan revisiones de de vulnerabilidades con sistemas.
seguridad de los sistemas alcance a los sistemas Se realizan actividades
DE.MC-8. Se en forma periódica o como base y de aplicación. Se de control interno para
puntuales de los
realizan escaneos parte de un cambio cuenta con el apoyo de verificar el cumplimiento
- - X sistemas de información
de significativo en ellos, con revisiones externas de con el procedimiento de
con recursos propios o
vulnerabilidades. recursos propios o con vulnerabilidades y hackeo revisión periódica de
con apoyo externo.
apoyo externo. ético. vulnerabilidades. El
Los resultados de las procedimiento de
revisiones internas y revisión de
externas se utilizan para la vulnerabilidades se
detección y corrección de encuentra incorporado en
vulnerabilidades. las actividades de
seguridad de la
64
Perfil
B E A
información y se decide
su realización con una
frecuencia mayor, ante
cualquier cambio de
magnitud (previo análisis
de riesgo) o cada vez
que se considera
necesario.
DE.PD. Procesos de detección
Se mantienen procesos y procedimientos de detección y pruebas para asegurar el conocimiento oportuno y adecuado de los eventos anómalos.
Se ha definido un
responsable para las
tareas de monitoreo de Se realizan actividades
eventos y existe un de control interno de
DE.PD-1. Los roles
procedimiento cumplimiento con el
y las
documentado para la procedimiento de
responsabilidades Se define la participación
gestión de las actividades monitoreo de eventos. El
de detección se Existe personal con de roles de TI para las
de monitoreo. resultado de las
encuentran tareas asignadas para la actividades de monitoreo
Se realizan pruebas actividades se comunica
definidos para - - X detección de eventos a basado en herramientas
periódicas al al RSI y demás partes
asegurar nivel de sistemas base y automatizadas. Se revisan
procedimiento de interesadas, se utiliza
responsabilidades. de protección perimetral. los registros de eventos.
monitoreo. Este para mejorar el
procedimiento define las procedimiento y las
actividades de pruebas y se
comunicación formales retroalimentan las
que deben realizarse. lecciones aprendidas.
Se definen los escenarios
a probar y los ambientes.
Existe un procedimiento El responsable del
Al detectar eventos
DE.PD-4. La Existen mecanismos de de monitoreo que contiene monitoreo de eventos
anómalos o
información de la comunicación definidos actividades de trabaja en forma
potencialmente
detección de ante la detección de comunicación. coordinada con el RSI.
- - X anómalos, se comunica
eventos es eventos anómalos, y estos Dentro de las pruebas Se realizan revisiones de
a algún referente o
comunicada a las son ejecutados cuando realizadas al control interno de
autoridad con capacidad
partes pertinentes. efectivamente se detectan. procedimiento de cumplimiento con el
de articular soluciones.
monitoreo, se incluyen procedimiento de
65
Perfil
B E A
pruebas a las actividades monitoreo y de las
de comunicación. actividades de
comunicación. El
resultado de las
revisiones se utiliza para
mejorar el procedimiento
y las pruebas. Se
retroalimentan las
RE.PR. Planificación de la respuesta
RESPONDER Los procesos y procedimientos de respuesta se ejecutan y se mantienen garantizando una respuesta oportuna para detectar eventos de
(RE) ciberseguridad.
El plan y/o procedimiento
de respuesta es ajustado
según la política de
gestión de incidentes. Se
del plan y/o
Los mecanismos de define un responsable de
procedimiento de
respuesta a incidentes se la respuesta a incidentes.
Se establecen los respuesta.
documentan en un plan Se trabaja en la mejora de
mecanismos de La Dirección, el RSI y el
y/o procedimiento que son los procesos operativos
RE.PR-1. El plan respuesta a incidentes. CSI reciben información
difundidos a todos los postincidentes de
de respuesta se Se informa al CERTuy o periódica sobre
X X X interesados. seguridad de la
ejecuta durante o CSIRT que corresponda, incidentes de seguridad
Los incidentes y la información lo cual se ve
luego de un evento. sobre los incidentes de la información. Dicha
respuesta realizada se reflejado a nivel de
detectados. información apoya la
registran. Se informa a las política, plan y/o
toma de decisiones y se
gerencias involucradas procedimientos.
registran lecciones
sobre los incidentes. El responsable de la
aprendidas que son
respuesta trabaja
utilizadas para la mejora
activamente con el
continua de la respuesta
CERTuy o CSIRT
a incidentes.
correspondiente.
RE.CO. Comunicaciones
Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según corresponda.
66
Perfil
B E A
Existe una política de
gestión de incidentes que
Se realizan pruebas del
ha sido difundida al
Se determina el plan y/o plan de respuesta,
personal.
RE.CO-1. El procedimiento de incluyendo a usuarios
En las actividades de
personal conoce respuesta a incidentes. Se clave para reforzar sus
concientización y
sus roles y el orden Ver RE.PR-1 han definido y realizado conocimientos sobre sus
capacitación se incluyen
de operaciones X X X actividades de roles. Se realizan
temas que abarcan las
cuando es concientización en actividades de control
actividades del plan y/o
necesaria una seguridad de la interno para verificar el
procedimiento de
respuesta información. cumplimiento del plan y/o
respuesta y el
procedimiento de
procedimiento de reporte
respuesta.
de incidentes en función
de cada rol.
Existe una política de
Existe un único punto de gestión de incidentes y se
de control interno de
contacto interno a la ha definido un plan y/o
cumplimiento con el
organización. procedimiento alineado a
RE.CO-2. Los procedimiento de reporte
El punto de contacto ella, que contiene
eventos son y gestión de incidentes.
reporta los incidentes de actividades de
reportados El resultado de las
- - X Ver PR.PI-9 seguridad informática al comunicación con
consistentemente actividades se utiliza
CERTuy o equipo de interesados.
con los criterios para mejorar el
respuesta que El reporte de eventos y la
establecidos. procedimiento de reporte
corresponda de acuerdo a gestión de incidentes se
y gestión de incidentes y
los criterios establecidos apoyan en herramientas
se retroalimentan las
por éste. automatizadas.
67
Perfil
B E A
Se ha definido un
responsable que
coordina la respuesta
ante incidentes.
Se mantiene contacto
Se identifican los Existe una política de Se realizan actividades
RE.CO-4. La con actores clave
potenciales actores gestión de incidentes y se de control interno de
coordinación con internos y externos
internos y externos ante ha definido un plan y/o cumplimiento con el
las partes durante la gestión de
un incidente y se registran procedimiento alineado a procedimiento de reporte
interesadas se incidentes. Se escalan
- - X sus datos de contacto. ella, que contiene y gestión de incidentes, y
realiza las necesidades
Se determina y documenta actividades de plan de respuesta. El
consistentemente puntuales, por ejemplo,
el mecanismo de comunicación con resultado de las
con los planes de al CERTuy o CSIRT del
escalamiento de interesados. actividades se utiliza
respuesta. sector.
incidentes. para mejorar el
procedimiento y los
planes. Se
retroalimentan las
RE.AN. Análisis
Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de recuperación.
El procedimiento
incorpora mejores
Se definen pautas Se define una política de prácticas que incluyen
generales para el registro auditoría y registro de actividades de análisis
Los sistemas registran
de eventos y los nuevos eventos. forense y custodia de la
RE.AN-1. Se eventos y/o envían
sistemas se despliegan de Existe un procedimiento información.
investigan las notificaciones de
acuerdo a ellas. documentado y alineado a Se realizan actividades
notificaciones de - - X seguridad que se
Se determina cuando un la política. de control interno de
los sistemas de analizan reactivamente y
evento o notificación Se define si se escala un cumplimiento del
detección. se escalan cuando
conforma un incidente y se incidentes considerando: procedimiento. El
corresponde.
clasifica según su activos afectados, resultado de las
criticidad y severidad. criticidad y severidad. actividades se utiliza
para el proceso de
mejora continua.
68
Perfil
B E A
La respuesta a incidentes
El procedimiento
se realiza dentro del
incorpora mejores
marco del plan y/o
prácticas que incluyen
procedimiento de
Se llevan a cabo actividades de análisis
respuesta, alineado a la
actividades de análisis forense y custodia de la
política de gestión de
de impacto y actividades Existen pautas para la información, así como
incidentes.
RE.AN-2. El de respuesta en forma clasificación de incidentes, también actividades a
impacto del ad-hoc. que son utilizadas en la realizar post-incidente.
X X X de gestión de incidentes
incidente es Se informa al CERTuy o gestión de todos los Se sistematizan las
que incluye las tareas de
comprendido. CSIRT que corresponda, incidentes. lecciones aprendidas,
análisis de impacto. Se
sobre los incidentes que son utilizadas para la
cuenta con herramientas
detectados. mejora de los
automatizadas para el
procedimientos, los
registro de incidentes
procesos y las
alineadas con el plan y/o
estrategias de mitigación
procedimiento de
y respuesta.
respuesta definido.
RE.MI. Mitigación
Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.
Existen mecanismos de Existe una política de
respuesta a incidentes, gestión de incidentes que
especialmente para ha sido difundida al
contenerlos. personal y se ha definido
Se han definido pautas
Se atiende y se mitigan un plan y/o procedimiento
para contener el daño y
RE.MI-1. Se logra las consecuencias de los alineado a ella.
minimizar el riesgo en el
contener los X X X incidentes. Se mantiene Se cuenta con Ver RE.AN-2 (nivel 4)
entorno operativo.
incidentes. un registro de los herramientas
Se informa a las gerencias
incidentes. automatizadas para el
sobre los incidentes.
Se informa al CERTuy o registro de incidentes,
CSIRT que corresponda, alineadas con el plan de
sobre los incidentes respuesta definido.
detectados.
RE.MI-2. Se logra
mitigar los X X X Ver RE.MI-1 (nivel 1) Ver RE.MI-1 (nivel 2) Ver RE.MI-1 (nivel 3) Ver RE.MI-1 (nivel 4)
incidentes.
69
Perfil
B E A
RC.PR. Planificación de la recuperación
RECUPERAR Los procesos y procedimientos de recuperación son ejecutados y mantenidos para asegurar la restauración oportuna de los sistemas o activos
(RC) afectados por eventos de ciberseguridad.
Se define un responsable
de respuesta a incidentes
que lleva adelante las
Existen medidas de
tareas de recuperación
continuidad en el centro
en coordinación con los
de datos (alimentación
actores involucrados.
redundante de energía
El plan y/o procedimiento
eléctrica, medidas de Se trabaja en la
de respuesta y el plan de
control ambiental y elaboración de un plan y/o Existe un plan de
contingencia y
redundancia en las procedimiento de contingencia y
RC.PR-1. El plan recuperación son
telecomunicaciones) que respuesta a incidentes. recuperación. Se realizan
de recuperación se probados anualmente.
- - X favorecen a la Existen lineamientos algunas pruebas (que se
ejecuta durante o Los resultados de las
recuperación luego de establecidos para la registran) al plan de
luego de un evento. pruebas son
un evento de ejecución de actividades contingencia y
comunicados a la
ciberseguridad. de recuperación ante recuperación.
Dirección y otras partes
Se informa al CERTuy o incidentes.
interesadas.
CSIRT que corresponda
La información de las
sobre los incidentes
pruebas retroalimentan
detectados.
las lecciones aprendidas
que se utilizan para la
mejora continua de los
planes y procedimientos.
RC.CO. Comunicaciones
Las actividades de recuperación se coordinan con las partes interesadas internas y externas, como centros de coordinación, proveedores de servicios
de Internet, propietarios de los sistemas afectados, las víctimas, otros CSIRT y vendedores.
70
Perfil
B E A
Se realizan ensayos de
crisis poniendo en
práctica el plan y el
procedimiento de
Se ha definido un único
La comunicación externa Se ha definido un plan de comuniación.
interlocutor (vocero)
de las situaciones de comunicaciones ante crisis Se realizan revisiones de
autorizado a comunicar
crisis o incidentes es junto con un control interno para
una situación de crisis o
llevada a cabo procedimiento que cubre verificar el cumplimiento
situación que afecta la
exclusivamente por la la evaluación del evento, del plan y procedimiento
ciberseguridad o
RC.CO-1. Se Dirección o por quien las notificaciones, nivel de de comunicaciones ante
seguridad de la
gestiona las - - X ésta haya determinado. comunicación requerido, crisis.
información de la
relaciones públicas. Las áreas técnicas no mensajes, audiencia, Los resultados de las
organización.
realizan comunicación interesados y monitoreo revisiones se registran y
Se difunde al personal
externa salvo de las comunicaciones. se utilizan para la mejora
quién es el vocero y cuál
autorización expresa. El plan y el procedimiento continua.
es la vía de contacto.
son difundidos a los La Dirección participa
actores correspondientes. activamente en las
actualizaciones del plan,
en especial, en la
aprobación y modo de
difusión de los mensajes.
71
6 Glosario
6.1 Abreviaturas
ABM Altas Bajas Modificaciones

BIA Business Impact Analysis
CSI Comité de Seguridad de la Información

CSIRT Computer Security Incident Response Team (Equipo de Respuesta ante Incidentes de Seguridad Informática)
RSI Responsable de la Seguridad de la Información
SGSI Sistema de Gestión de Seguridad de la Información
SLA Service Level Agreement (Acuerdo de Nivel de Servicio)
TI Tecnología de la Información
WAF Web Application Firewall
72
6.2 Definiciones
B
BIA (del inglés Business Impact Analysis)
Un análisis de impacto en el negocio está orientado a identificar qué procesos de negocio podrían verse afectados y de qué forma, ante la
materialización de los riesgos identificados. Sus objetivos principales son identificar los procesos críticos del negocio y definir su prioridad en
función del impacto relacionado a una interrupción (organizacional, financiero, de imagen, etc.) para la organización.
C
CERTuy
El CERTuy es el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay. Un CERT (del inglés Computer
Emergency Response Team / Coordination Center) es un equipo de respuesta y un centro de coordinación de emergencias informáticas. [Sitio
oficial del CERTuy: www.cert.uy]
Código móvil
Programas de software o partes de programas obtenidos de sistemas de información remoto, transmitidos a través de una red y ejecutados en
un sistema de información local sin instalación o ejecución explícita por parte del destinatario (por ejemplo, un agente o una macro de un
documento). [NIST SP 800-53 Rev. 4 - “Mobile code” p93]
E
Evento de seguridad informática
Es una ocurrencia identificada de un estado de un sistema, servicio o red que indica que una posible violación de la política de seguridad de la
información, la falla de medidas de seguridad o una situación previamente desconocida, que pueda ser relevante para la seguridad. [Decreto
N° 451/009 de 28 de Setiembre 2009 – Art.3 Definiciones]
73
Incidente de seguridad informática
Es una violación o una amenaza inminente de violación a una política de seguridad de la información implícita o explícita, así como un hecho
que compromete la seguridad de un sistema (confidencialidad, integridad o disponibilidad). [Decreto N° 451/009 de 28 de Setiembre 2009-
Art.3 Definiciones]
Incidente de seguridad de la información

Un incidente de seguridad de la información es indicado por un único o una serie de eventos indeseados o inesperados de seguridad de la
información que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la
información. [ISO/IEC 27035:2011]
L
Línea base
Una especificación o producto que se ha revisado formalmente y sobre los que se ha llegado a un acuerdo, y que de ahí en adelante sirve
como base para un desarrollo posterior y que puede cambiarse solamente a través de procedimientos formales de control de cambios. [IEEE
610.12/1990]
P
Propietario de activos
El término propietario identifica un individuo o entidad que ha probado habilidades de gestión para controlar la producción, desarrollo,
mantenimiento, uso y seguridad de un activo. El término propietario no significa que la persona tiene efectivamente derechos de propiedad
sobre el activo. [Agesic (políticas marco, políticas del SGSI, políticas de Presidencia – Manual de Políticas de Seguridad de la Información /
Gestión de Activos / Responsabilidad sobre los activos]
Plan de respuesta a incidentes

Este documento contiene, además del procedim iento de respuesta a incidentes, la planificación de la respuesta, por ejemplo: introducción,
roles y responsabilidades, metodología, fases de las respuestas a incidentes, plan de comunicación, documentación, etc.
74
S
SLA (del inglés Service Level Agreement)
Acuerdo negociado entre dos partes, una cliente y otra proveedora, donde se definen puntos comunes de entendimiento sobre servicios,
prioridades, responsabilidades y garantías. Incluye elementos tales como definición de los servicios, garantías y finalización del acuerdo,
medición del rendimiento, gestión de problemas, obligaciones de las partes, entre otros.
Software de aplicación
Programa informático diseñado como herramienta para permitir a un usuario realizar uno o diversos tipos de trabajos.
Software de base
Software que sirve para controlar e interactuar con el sistema operativo, proporcionando control sobre el hardware y dando soporte a otros
programas, incluyendo el propio sistema operativo.
W
WAF (del inglés Web Application Firewall)
Un Firewall de Aplicaciones Web es un dispositivo de hardware o software que permite proteger los servidores de aplicaciones Web de
determinados ataques específicos en Internet.
75

Marco de Ciberseguridad

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Marco de Ciberseguridad

Enviado por

Direitos autorais:

Formatos disponíveis

DESARROLLANDO

El Marco de Ciberseguridad es un conjunto de requisitos (requisitos normativos y buenas prácticas) que se

Versión 1.0 (agosto 2016):

El uso de las Tecnologías de la Información y la Comunicación se ha incorporado de forma

 Decreto 451/009: regula el funcionamiento y organización del CERTuy1.

El objetivo de este documento es presentar un Marco de Ciberseguridad organizado y con

 Gestionar los riesgos inherentes a la seguridad de la información y al uso de la

4.1 Ciclo de vida de la ciberseguridad

El ciclo de vida de la ciberseguridad se compone de funciones que permiten abstraer los

A continuación se describe el Marco de Ciberseguridad y su estructura.

 Corto plazo: hasta 1 año

4.2.6 Modelo de Madurez

ID.GA Gestión de activos

NIST SP 800-53 Rev. 4 CM-8

COBIT 5 BAI09.01, BAI09.02,

ID.GA-3. Se utilizan COBIT 5 DSS05.02

COBIT 5 APO01.02, OR.1 Designar un Responsable de la Seguridad de la

ID.AN. Ambiente del negocio

ISO/IEC 27001:2013 A.11.2.2,

COBIT 5 DSS04.02 CO.2 Los sistemas críticos de la infraestructura de

CO.5 Definir las ventanas de tiempo soportadas para la

SC.1 Los portales Web institucionales de los organismos de la

SC.2 Los portales Web institucionales de Unidades Ejecutoras,

SC.5 La información de contacto de los responsables de los

SC.7 Los servidores de correo electrónico (MTA) de dominios

OR.3 Definir los mecanismos para el contacto formal con

GR.1 Desarrollar un proceso de evaluación y tratamiento de

PR.CA. Control de acceso

ISO/IEC 27001:2013 A.9.2.1,

NIST SP 800-53 Rev. 4 AC-2,

ISO/IEC 27001:2013 A.11.1.1,

NIST SP 800-53 Rev. 4 PE-2,

NIST SP 800-53 Rev. 4

ISO/IEC 27001:2013 A.7.2.2

PR.CF-2. Los usuarios ISO/IEC 27001:2013 A.6.1.1,

NIST SP 800-53 Rev. 4 AT-3,

NIST SP 800-53 Rev. 4 PS-7,

ISO/IEC 27001:2013 A.6.1.1,

NIST SP 800-53 Rev. 4 AT-3,

PR.CF-5. El personal de ISO/IEC 27001:2013 A.6.1.1,

NIST SP 800-53 Rev. 4 SC-8

ISO/IEC 27001:2013 A.8.2.3,

NIST SP 800-53 Rev. 4 CM-8,

PR.SD-4. Se mantiene una COBIT 5 APO13.01

NIST SP 800-53 Rev. 4 AU-4,

ISO/IEC 27001:2013 A.6.1.2,

NIST SP 800-53 Rev. 4 AC-4,

NIST SP 800-53 Rev. 4 CM-2

ISO/IEC 27001:2013 A.12.1.2,

NIST SP 800-53 Rev. 4 CM-2,

ISO/IEC 27001:2013 A.12.1.2,

NIST SP 800-53 Rev. 4 CM-3,

ISO/IEC 27001:2013 A.12.3.1,

NIST SP 800-53 Rev. 4 MP-6

NIST SP 800-53 Rev. 4

ISO/IEC 27001:2013 A.12.6.1,

ISO/IEC 27001:2013 A.12.4.1,

NIST SP 800-53 Rev. 4

PR.TP-2. Los medios ISO/IEC 27001:2013 A.8.2.2,

NIST SP 800-53 Rev. 4 MP-2,

SC.9 La implementación de canales de comunicación cifrados

SC.12 Los servicios de Webmail deben implementarse sobre el

SC.15 Todo sitio Web que contenga u oficie de enlace a un

COBIT 5 APO12.06 GR.1 Desarrollar un proceso de evaluación y tratamiento de