CONTROL DESCRIPCIÓN FRECUENCIA

ID.AM-1 Los dispositivos yUsa una solución de administración Mensual

ID.AM-2 Las plataformas dUsa una solución de administración dMensual
ID.AM-3 La comunicaciónc) o Cataloga cada flujo de datos, y asegúrate
Mensual que sean flujos aprobados por el director del área de don
ID.AM-4 Los sistemas de ic) Cataloga cada flujo de datos, y asegúrate
Mensual que sean flujos aprobados por el director del área de don
ID.AM-5 Los recursos (porCalifica los activos de acuerdo al im Trimestral
ID.AM-6 Los roles y las re Define categorías de usuarios, y qué Trimestral
ID.BE-1 Se identifica y se El objetivo de este control es identi Semestral
ID.BE-2 Se identifica y se El objetivo de este control es identi Semestral
ID.BE-3 Se establecen y seEn base a lo establecido en los contr Semestral
ID.BE-4 Se establecen las En base al análisis de criticidad, d Semestral
ID.BE-5 Los requisitos de Agrega al análisis de criticidad req Semestral
ID.GV-1 Se establece y se Revisa el plan de seguridad informáti Anual
ID.GV-2 Los roles y las re b. Crea una versión del plan de seguridad
Anualinformática con los procesos y controles relevantes para p
ID.GV-3 Se comprenden yIdentifica
se todas las regulaciones gu Mensual
ID.GV-4 Los procesos de gSi tu organización
Accesos remotos tiene un área de Mensual
ID.RA-1 Se identifican y s Falta de control de acceso físico Soluciones:
SemestralSoftware de higiene digital
ID.RA-2 La inteligencia d Utiliza
- Sitios servicios gratuitos y de paga Mensual
web maliciosos
ID.RA-3 Se identifican y - Empleados maliciosos Soluciones: Ciberinteligencia,Proceso
Mensual manual
ID.RA-4 Se identifican los Para cada una de las ciberamenazas qMensual
ID.RA-5 Se utilizan las am Determina cuál es el nivel de riesgo Mensual
ID.RA-6 Se identifican y prEn base a lo determinado en ID.RA-5,Mensual
ID.RM-1 Los actores de laDocumenta todo lo determinado en ID Semestral
ID.RM-2 La tolerancia al Determina cuánta tolerancia al riesg Semestral
ID.RM-3 La determinaciónToma de en cuenta este control a la ho Semestral
ID.SC-1 Los actores de la El objetivo de la gestión de riesgo Mensual
ID.SC-2 Los proveedores yComo primer paso, identifica a todos Mensual
ID.SC-3: Los contratos co b) Si tu empresa desarrolla código, analiza
Mensualqué paquetes de software se están integrando al software
ID.SC-4 Los proveedores yRealiza una auditoría con la frecuen Mensual
ID.SC-5 Las pruebas y la pDiseña un plan de respuesta a incide Trimestral
PR.AC-1 Las identidades yl) Asegúrate que no haya contraseñasMensual
de fábrica (default passwords) en los aparatos y paquetes de
PR.AC-2 Se gestiona y se prm) Revisa que los racks de servidoresMensual
estén bajo llave, y que tengan alarma de apertura, con notifica
PR.AC-3 Se gestiona el ac k) Implementa un sistema de seguridad Mensual
móvil, y no permitas que celulares que no sean administrado
PR.AC-4 Se gestionan los d) Revisa que la autorización de acceso Mensual
a sistemas tenga una doble autorización, tanto por el gerente
PR.AC-5 Se protege la integ) Asegura el sistema de DNS. Soluciones:
Mensual
Firewalls,Administración unificada de amenazas,Seguridad
PR.AC-6 Las identidades soRevisa que todas las cuentas de acce Mensual
PR.AC-7: Se autentican losj) No utilices DHCP, solo IP estáticas. Mantén
Mensualun record de qué IP está asignada a qué hardware. Solu
PR.AT-1 Todos los usuariob) Implementa cursos de concientización Mensual
sobre procesos de seguridad informática para todos los em
PR.AT-2 Los usuarios priv Crea un curso en línea para entrenar Mensual
PR.AT-3 Los terceros inte b) No permitas el acceso hasta que noMensual
hayan pasado el examen de certificación en línea. Soluciones:
PR.AT-4 Los ejecutivos su b) No permitas el acceso hasta que noMensual
hayan pasado el examen de certificación en línea. Soluciones:
PR.AT-5 El personal de se b) No permitas el acceso hasta que noMensual
hayan pasado el examen de certificación en línea. Soluciones:
PR.DS-1 Los datos en repoImplementa un firewall de base de datos. Mensual
Soluciones: Respaldo de Datos,Encriptación de datos,Firew
PR.DS-2 Los datos en tránd) Encripta todos los datos subidos a la Mensual
nube. Soluciones: Uso de protocolos de comunicación seguro
PR.DS-3 Los activos se gese) Establece un procedimiento para borrar
Mensualen forma segura los datos de equipos que se vayan a ven
PR.DS-4 Se mantiene una e) c Establece un mecanismo para soportar Mensualataque de denegación de servicio (DOS). Soluciones: Softw
PR.DS-5 Se implementan pr h) Implementa una firewall de bases de Mensual
datos. Soluciones: Sistemas de prevención de intrusión,Segu
PR.DS-6 Se utilizan mecaniRevisa que el hash de un paquete de Mensual
software sea el correcto de acuerdo a la compañía que lo produ
PR.DS-7 Los entornos de dCrea una área de red separada para l Mensual
PR.DS-8 Se utilizan mecanRevisa la integridad del firmware de Mensual
PR.IP-1 Se crea y se mantiEstablece una configuración estánda Mensual
PR.IP-2 Se implementa unImplementa
c un ciclo e vida de desar Trimestral
PR.IP-3 Se encuentran este) Mantén una bitácora de todos los cambios
Mensualrealizados. Soluciones: Sistema de control de configura
PR.IP-4 Se realizan, se m f) Realiza una prueba de restoración de Mensual
datos, para asegurarte que el proceso esté funcionando corr
PR.IP-5 Se cumplen las regh) Implementa métodos para prevenirSemestralinundaciones en el cuarto de equipos de cómputo. Soluciones
PR.IP-6 Los datos son elimb) Detecta los datos que no se hayan Mensual
utilizado en cierto tiempo, haz una copia de seguridad separad
PR.IP-7 Se mejoran los pr f) Haz pruebas de ingeniería social porMensual
teléfono y en persona. Soluciones: Hacking ético automatizad
PR.IP-8 Se comparte la efeGenera y publica un reporte con tod Mensual
PR.IP-9 Se encuentran esti) Asegúrate que el Plan de RespuestaTrimestral
a Incidentes y Continuidad de Negocios esté disponible en pap
PR.IP-10 Se prueban los pb) Analiza los resultados, y ajusta el plan
Semestral
de ser necesario. Soluciones: Proceso manual
PR.IP-11 La seguridad inf e) Asegúrate que el área de recursos humanos
Trimestralle comunique a los empleados los requerimientos de
PR.IP-12 Se desarrolla y s m) Si tu organización desarrolla código,Mensual
implementa un proceso de análisis de código. Soluciones: Ad
PR.MA-1 El mantenimiento h) Una vez que el equipo de diagnóstico Mensual
y reparación haya sido utilizado, revisa que no contenga info
PR.MA-2 El mantenimiento b) Analiza todo el flujo de datos entreMensual
el equipo de diagnóstico y reparación y el equipo en mantenim
PR.PT-1 Los registros de l) Implementa una cadena de custodiaTrimestral
de las bitácoras. Soluciones: Administración de eventos,Anális
PR.PT-2 Los medios extraíb h) Etiqueta todo equipo de medio extraíble
Mensual indicando quién es el responsable del equipo, y su núme
PR.PT-3 Se incorpora el p f) Utiliza un sistema de administraciónMensual
de identidad y acceso para proveer funcionalidad mínima nec
PR.PT-4 Las redes de comum) Implementa un sistema de seguridad Mensual
de email. Soluciones: Firewalls,Análisis de reglas de firewall
PR.PT-5 Se implementan me b) Establece un procedimiento para lanzar
Mensual máquinas virtuales de emergencia en caso de falla o satur
DE.AE-1 Se establece y se j) Analiza todo el tráfico de salida, y analiza
Trimestral
con qué servidores externos se están conectando las máq
DE.AE-2 Se analizan los e d) Pon a prueba el sistema de orquestación
Mensual y automatización de incidentes creando incidentes de pr
DE.AE-3 Los datos de los eUtiliza el sistema de administración Mensual
DE.AE-4 Se determina el iAnaliza cada evento y determina el i Mensual
DE.AE-5 Se establecen umb b) Asegúrate que el nivel de atenciónMensual
a los incidentes sea el adecuado al nivel de riesgo presentado p
DE.CM-1 Se monitorea la d) r Utiliza un sistema de análisis de tráfico
Mensualpara detectar ataques de denegación de servicio que pued
DE.CM-2 Se monitorea el R eevisa los procedimientos de acceso Mensual
DE.CM-3 Se monitorea la c) a Implementa un sistema de control Mensual
de acceso a la nube para detectar comportamiento anómalo de
DE.CM-4 Se detecta el códc) Implementa un sistema de control Mensual
de acceso a aplicaciones para bloquear la ejecución de softwar
DE.CM-5 Se detecta el códImplementa una plataforma de seguriMensual
DE.CM-6 Se monitorea la Iamplementa un sistema de análisis d Mensual
DE.CM-7 Se realiza el monUtiliza un sistema de análisis de trá Mensual
DE.CM-8 Se realizan escand) Remedia las vulnerabilidades bajasMensualdurante el trimestre. Soluciones: Administración de vulnerabil
DE.DP-1 Los roles y los deEstablece responsables para cada in Mensual
DE.DP-2 Las actividades dAsegúrate que todos los responsable Trimestral
DE.DP-3 Se prueban los p Haz las pruebas necesarias para medirMensual la velocidad de respuesta del equipo de trabajo a cada indicad
DE.DP-4 Se comunica la inGenera un reporte de desempeño deMensual l
DE.DP-5 los procesos de Realiza un análisis de causa y efecto para Mensualcada deficiencia y corrige los procesos. Soluciones: Proceso
RS.CO-1 El personal conocHaz un examen de conocimiento al per Trimestral
RS.CO-2 Los incidentes se Revisa los incidentes ocurridos en el Trimestral
RS.CO-3 La información seRevisa los incidentes en el periodo, Trimestral
RS.CO-4 La coordinación cRevisa los incidentes en el periodo, Trimestral
RS.CO-5 El intercambio vob) Establece un programa de entrenamiento
Trimestral
de seguridad informática para el personal del área, y as
RS.AN-1 Se investigan las Audita el sistema de orquestación y Mensual
RS.AN-2 Se comprende el Genera un reporte de lecciones aprenMensual
RS.AN-3 Se realizan análisRealiza un análisis forense de los inc Mensual
RS.AN-4 Los incidentes seAsegúrate que el nivel de riesgo de Mensual
RS.AN-5 Se establecen procb) Asegúrate que las notificaciones delMensual
servicio de ciberinteligencia se tomen en cuenta para modific
RS.MI-1 Los incidentes soRevisa los incidentes ocurridos en e Mensual
RS.MI-2 Los incidentes soRevisa los incidentes del periodo que Mensual
RS.MI-3 Las vulnerabilida Revisa las vulnerabilidades detectad Mensual
RS.IM-1 Los planes de resIncorpora los reportes de lecciones Mensual
RS.IM-2 Se actualizan las Revisa el Plan de Respuesta a Incide Trimestral
RC.RP-1: El plan de recup Revisa los incidentes del periodo, y Mensual
RC.IM-1: Los planes de re Asegúrate que las lecciones aprendi Mensual
RC.IM-2: Se actualizan lasAsegúrate de que el Plan de RecuperaMensual
RC.CO-1 Se gestionan las rCoordina con el área de marketing o Trimestral
RC.CO-2 La reputación se Coordina con el área de marketing o Trimestral
RC.CO-3 Las actividades dAsegúrate que los planes establecid Trimestral
RESPONSABLE FECHA DE INICIO FECHA DE COMPLECIÓN
FASE
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
Pendiente