Marco Ciberseguridad v4.2 r202111213

MARCO de
CIBERSEGURIDAD
SEGURIDAD DE LA
INFORMACIÓN
Versión 4.2 – Diciembre 2021
Este documento ha sido elaborado por Agesic (Agencia para el

Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de
la Información y el Conocimiento).
El Marco de Ciberseguridad es un conjunto de requisitos

(requisitos normativos y buenas prácticas) que se entienden
necesarios para la mejora de la seguridad de la información y
la ciberseguridad.
Usted es libre de copiar, distribuir, comunicar y difundir

públicamente este documento, así como hacer obras derivadas,
siempre y cuando tenga en cuenta citar la obra de forma
específica.
2
1. Introducción
El uso de las Tecnologías de la Información y la Comunicación se ha
incorporado de forma generalizada a la vida cotidiana. Este nuevo escenario
facilita un desarrollo sin precedentes del intercambio de información y
comunicaciones, pero, al mismo tiempo, conlleva nuevos riesgos y amenazas
que pueden afectar a la seguridad de los sistemas de información.
Es por esto que, en 2009, en el marco de la estrategia relacionada a la

seguridad de la información y protección de los activos críticos del Estado, se
publicaron dos decretos que establecen el marco de seguridad de la
información en la Administración Central, exhortando la adopción de las
disposiciones establecidas también por parte de los Gobiernos
Departamentales, los Entes Autónomos, los Servicios Descentralizados y, en
general, a todos los órganos del Estado:
Decreto 451/009: regula el funcionamiento y organización del CERTuy1.
Decreto 452/009: regula la adopción de una política de seguridad de la

información para organismos de la Administración Pública.
En esta línea, y reforzando los esfuerzos ya realizados, es que en 2014 se aprobó

el decreto 92/014 referente a ciberseguridad, con el objetivo de mejorar la
seguridad de la información y las infraestructuras tecnológicas que le dan
soporte.
Continuando con los esfuerzos para mejorar las estrategias en ciberseguridad

en Uruguay, en agosto de 2016 se lanza el Marco de Ciberseguridad, cuyo
principal objetivo es dar lineamientos y buenas prácticas para un abordaje
integral de la ciberseguridad.
La Seguridad de la Información es un trabajo permanente que exige un proceso

de mejora continua y sistematizada para minimizar la exposición y determinar
posibles puntos que puedan comprometer la integridad, disponibilidad o
confidencialidad de los activos o la información que estos gestionan; y además
establece los criterios de seguridad que permiten potenciar el servicio prestado
de manera confiable y segura.
Continuando el camino iniciado, en el Artículo 84 de la Ley 19924 se

encomienda a Agesic “… a dirigir las políticas, metodologías y mejores prácticas,
y regular en materia de seguridad de la información y ciberseguridad a nivel
nacional, así como fiscalizar, auditar su cumplimiento y brindar apoyo en las
etapas de implementación de las mismas en todas las entidades públicas, y
además, en las entidades privadas vinculadas a servicios o sectores críticos del
país.”, es en estos cometidos donde se respalda al Marco de Ciberseguridad
para transformarse en la norma de referencia en todos los ámbitos, mejorando
aún más la postura de ciberseguridad del país.
1
CERTuy – Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (www.cert.uy)
3
2. Objetivo y alcance
El objetivo de este documento es presentar un Marco de Ciberseguridad
organizado y con referencias a estándares internacionales que contemplan la
normativa nacional. Está basado en el Marco de Ciberseguridad definido por el
Instituto Nacional de Estándares y Tecnología (NIST CSF) para la mejora de la
ciberseguridad en infraestructuras críticas, y contextualizado a las
organizaciones que requieren:
Gestionar los riesgos inherentes a la seguridad de la información y al uso

de la infraestructura tecnológica que le da soporte.
Adoptar en forma urgente una política de gestión de seguridad de la
información.
Contar con una política de gestión de incidentes.
Adoptar las medidas necesarias para lograr centros de datos seguros.
Cumplir con la normativa vigente en materia de seguridad de la
información: decretos 451/009, 452/009, 92/014 y leyes N°18331, N°18381,
entre otras.
El Marco provee un abordaje integral de la ciberseguridad para reducir el riesgo

vinculado a las amenazas que puedan comprometer la seguridad de la
información. Se encuentra alineado con las mejores prácticas internacionales,
como ISO/IEC 27001:2013 , COBIT 5 para Seguridad de la Información, NIST SP
800-53 rev.4 entre otros. Ha sido contextualizado teniendo en cuenta la
normativa vigente y las mejores prácticas sugeridas por Agesic.
Se toma como referencia el marco definido por NIST con el cometido de que
las respuestas a las amenazas cibernéticas, la gestión de los riesgos y la gestión
de la seguridad de la información estén alineadas al nivel de estándares
internacionales. Esto permite a las organizaciones alinear sus procesos de
gestión de seguridad informática a nivel internacional en forma práctica y
estableciendo objetivos claros. Cabe aclarar que el marco es flexible y adaptable
a diferentes realidades e industrias y no solamente es utilizable en entornos de
infraestructuras críticas.
El Marco puede ayudar a una organización a planificar su estrategia de gestión

de riesgos de ciberseguridad y desarrollarla a lo largo del tiempo en función de
su actividad, tamaño y otras características distintivas y elementos específicos.
No es un documento estático, sino que se irá modificando de acuerdo a los
cambios tecnológicos, la evolución de las amenazas y los cambios en las
técnicas de gestión de riesgos.
2
NIST - National Institute of Standards and Technology (www.nist.gov)
3
International Organization for Standarization / International Electrotechnical Commission (http://www.iso.org/iso/home/standards/management-standards/iso27001.htm)
4
Control Objectives for Information and related Technology (http://www.isaca.org/cobit/pages/default.aspx)
4
3. Características
El núcleo del Marco se basa en el ciclo de vida del proceso de gestión de la
ciberseguridad desde el punto de vista técnico y organizacional. Proporciona un
conjunto de actividades para lograr resultados específicos de ciberseguridad. Se
divide en funciones, categorías y subcategorías. Cada subcategoría tiene
asociada referencias a normas y estándares de seguridad internacionales.
En el proceso de contextualización se agregaron prioridades a las subcategorías,

se les asignaron requisitos y se elaboraron perfiles. Los requisitos fueron
elaborados siguiendo los lineamientos de la norma ISO/IEC 27001:2013, la
normativa vigente y las mejores prácticas internacionales en materia de
seguridad de la información.
3.1 Ciclo de vida de la ciberseguridad

Identificar
Comprender el contexto. Conocer los activos y los riesgos.
Proteger
Recuperar Aplicación de
Resiliencia y controles (técnicos,
recuperación ante políticas, procesos)
incidentes. para mitigar
riesgos.
Responder Detectar
Reducir el impacto de Control y monitoreo.
un potencial incidente.
Diagrama conceptual realizado por OEA/NIST
El ciclo de vida de la ciberseguridad se compone de funciones que permiten

abstraer los principales conceptos de la seguridad de la información, en
particular de la ciberseguridad.
A continuación, se describen las funciones del Marco de Ciberseguridad.
5
Identificar
La función Identificar está vinculada a la comprensión del contexto de la
organización, de los activos que soportan los procesos críticos de las operaciones
y los riesgos asociados pertinentes. Esta comprensión permite definir los
recursos y las inversiones de acuerdo con la estrategia de gestión de riesgos y sus
objetivos.
Las categorías dentro de esta función son: Gestión de activos; Ambiente del
negocio; Gobernanza; Evaluación de riesgos y Estrategia para la gestión de
riesgos.
Proteger
Es una función vinculada a la aplicación de medidas para proteger los procesos y
los activos de la organización, independientemente de su naturaleza TI.
Las categorías dentro de esta función son: Control de acceso; Concientización y

formación; Seguridad de los datos; Procesos y procedimientos para la protección
de la información; Mantenimiento y Tecnología de protección.
Detectar
Está vinculada a la definición y ejecución de las actividades apropiadas dirigidas
a la identificación temprana de los incidentes de seguridad.
Las categorías dentro de esta función son: Anomalías y eventos; Monitoreo

continuo de la seguridad; Procesos de detección.
6
Responder
Está vinculada a la definición y ejecución de las actividades apropiadas para

tomar medidas en caso de detección de un evento de seguridad. El objetivo es
reducir el impacto de un potencial incidente de seguridad informática.
Las categorías dentro de esta función son: Planificación de la respuesta;

Comunicaciones; Análisis; Mitigación; Mejoras.
Recuperar
Está vinculada a la definición y ejecución de las actividades dirigidas a la gestión

de los planes y actividades para restaurar los procesos y servicios deficientes
debido a un incidente de seguridad. El objetivo es asegurar la resistencia de los
sistemas e instalaciones y, en caso de incidentes, apoyar la recuperación
oportuna de las operaciones.
Las categorías dentro de esta función son: Planificación de la recuperación;

Mejoras y Comunicaciones.
7
3.2 Estructura del Marco de Ciberseguridad
A continuación, se describe el Marco de Ciberseguridad y su estructura.
PRIORIDAD
SUB MADUREZ
FUNCIÓN CATEGORÍA POR PERFIL REF. REQUISITOS
CATEGORÍA
B E A N1 N2 N3 N4
IDENTIFICAR
PROTEGER
DETECTAR
RESPONDER
RECUPERAR
Función
Es el nivel más alto en la estructura para organizar las actividades
básicas de ciberseguridad.
Categoría
Es la subdivisión de una función en grupos de resultados de
ciberseguridad estrechamente ligados a las necesidades funcionales y
actividades particulares. Algunos ejemplos son: “Gestión de activos”,
“Evaluación de riesgos”, “Mantenimiento”.
Subcategoría
Divide una categoría en resultados concretos de las actividades
técnicas y/o de gestión. Proporcionan un conjunto de resultados que,
aunque no de forma exhaustiva, ayudan al logro de los resultados en
cada categoría. Algunos ejemplos son: “La política de seguridad de la
información se encuentra establecida”, “Gestión de acceso remoto”,
“Existe un plan de gestión de vulnerabilidades”.
8
Perfil
Un perfil representa las necesidades de ciberseguridad, basadas en los objetivos
de negocio, considerando el riesgo percibido y la dependencia existente de las
TIC. Cada organización tendrá asignado un perfil sobre el cual trabajar.
Se han definido tres perfiles para poder priorizar y establecer el avance en

ciberseguridad: básico, estándar y avanzado.
Básico (B): el riesgo percibido vinculado a ciberseguridad es bajo; una falla,

disrupción o incidente que pueda afectar los servicios propios, se recuperan al
mejor esfuerzo, no existiendo afectación directa a los objetivos del negocio.
Estándar (E): el riesgo percibido vinculado a ciberseguridad es moderado,

pero existe alta dependencia de las TIC para el cumplimiento de los objetivos
del negocio. La continuidad de los servicios no soporta más de 48h corridas de
indisponibilidad.
Avanzado (A): el riesgo percibido vinculado a ciberseguridad es alto; una

falla, disrupción o incidente puede afectar servicios transversales y/o críticos
propios o de terceros. La continuidad de los servicios no soporta más de 24h
corridas de indisponibilidad.
Prioridad
Las subcategorías del Marco, dentro de un perfil (Básico - B, Estándar - E,
Avanzado - A) tienen asociado un nivel de prioridad de abordaje.
Las prioridades definidas son:
P1: Subcategoría que forma parte de una línea base de ciberseguridad, de

abordaje inmediato y cumplimiento en el corto plazo (hasta 1 año).
P2: Subcategoría que se requiere implementar a mediano plazo (de 1 a 2 años).
P3: Subcategoría que se requiere implementar a largo plazo (de 2 a 3 años).
N/A: Para esta versión del marco, no se han identificado requisitos que se
ajusten a la subcategoría.
9
Modelo de Madurez
El modelo de madurez propuesto para la evaluación consta de cinco niveles,
que se describen a continuación.
Nivel 1 Nivel 2 Nivel 3 Nivel 4
Mejor esfuerzo. Extensión al Políticas y Mejora

Centrado en el resto de la procedimientos continua.
centro de organización . formales. Auditoría.
datos.
Los niveles de madurez en cada subcategoría serán descritos según sus

requisitos.
Nivel 0: Es el primer nivel del modelo de madurez donde las acciones

vinculadas a seguridad de la información y ciberseguridad son casi o
totalmente inexistentes. La organización no ha reconocido aún la necesidad de
realizar esfuerzos en ciberseguridad. Este nivel no es incluido en la tabla del
modelo de madurez.
Nivel 1: Es el segundo nivel del modelo. Existen algunas iniciativas sobre

ciberseguridad, aunque los esfuerzos se realizan en forma aislada. Se realizan
implementaciones con enfoques ad-hoc y existe alta dependencia del personal
que lleva a cabo las tareas que habitualmente no se encuentran
documentadas. Existe una actitud reactiva ante incidentes de seguridad.
Nivel 2: Es el tercer nivel del modelo de madurez. Se han establecido ciertos

lineamientos o pautas para la ejecución de las tareas, pero aún existe
dependencia del conocimiento individual. Se ha avanzado en el desarrollo de
los procesos y existe cierta documentación para realizar las tareas.
Nivel 3: Es el cuarto nivel del modelo de madurez y se caracteriza por la

formalización y documentación de políticas y procedimientos, así como
implementaciones de alta complejidad y/o automatizaciones que centralizan y
permiten iniciativas de gobernanza. Las políticas y procedimientos son
difundidos, facilitan la gestión y posibilitan establecer controles y métricas. Los
esfuerzos en ciberseguridad se enfocan en los procesos, las personas y la
tecnología.
Nivel 4: Es el último nivel del modelo de madurez. El Responsable de la

Seguridad de la Información (RSI) tiene un rol clave en el control y mejora del
Sistema de Gestión de Seguridad de la Información (SGSI) realizando o
coordinando actividades de control interno para verificar cumplimientos y
desvíos. Se desarrollan las lecciones aprendidas que, junto con los controles
determinan las acciones para la mejora continua. Las partes interesadas son
informadas periódicamente, lo cual permite alinear los esfuerzos, estrategias y
tecnologías de ciberseguridad con los objetivos y estrategias de la organización.
10
Referencias
En esta columna se transcriben todas las referencias mencionadas el Marco de
Ciberseguridad de NIST para cada subcategoría.
Tal como se menciona en el CSF NIST, la información sobre las referencias
informativas descritas aquí, se pueden encontrar en los siguientes enlaces:
http://www.isaca.org/COBIT/Pages/default.aspx.
Control Objectives for Information and Related Technology, (COBIT).
https://www.cisecurity.org
CIS Critical Security Controls for Effective Cyber Defense, (CIS Controls).
American National Standards Institute/International Society of Automation

(ANSI/ISA)-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and
https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116731
Control Systems: Establishing an Industrial Automation and Control Systems
Security Program.
ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and

https://www.isa.org/templates/one-column.aspx?pageid=111294&productId=116785
Control Systems: System Security Requirements and Security Levels.
ISO/IEC 27001, Information technology - Security techniques -Information

https://www.iso.org/standard/54534.html
security management systems - Requirements.
NIST SP 800-53 Rev. 4-NIST Special Publication 800-53 Revision 4, Security

andhttps://doi.org/10.6028/NIST.SP.800-53r4
Privacy Controls for Federal Information Systems and Organizations, abril de
2013 (incluidas las actualizaciones al 22 de enero de 2015).
Las referencias informativas solo se asignan al nivel de control, aunque cualquier
mejora de control posiblemente puede resultar útil para lograr un resultado de
subcategoría.
Estándares Mínimos de Gestión (EMG), Banco Central del Uruguay (BCU),

hhttps://www.bcu.gub.uy/Servicios-Financieros-SSF/Paginas/Est%C3%A1ndares-M%C3%AD
junio de 2017.
Las Referencias no son exhaustivas, es decir que no todos los elementos (por
ejemplo, control, requisitos) de una Referencia dada se asignan a las
Subcategorías del Marco de trabajo.
Requisitos
Requisito o conjunto de requisitos mínimos incluidos en cada subcategoría. El
detalle de cada requisito podrá consultarse en la “Guía de implementación”.
Un requisito podrá mencionarse en más de una subcategoría, dependiendo de
su enfoque.
11
4. Marco de Ciberseguridad
4.1 Función: IDENTIFICAR (ID)
Prioridad x Perfil
Subcategoría Referencias Requisitos relacionados
B E A
ID.GA Gestión de activos
Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de
negocio, se identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de riesgo
de la organización.
ID.GA-1. Los P1 P1 P1 COBIT 5 BAI09.01, GA.1 Identificar formalmente los activos de la

dispositivos BAI09.02 organización junto con la definición de su
físicos y sistemas CIS CSC 1 responsable.
se encuentran ISA 62443-2-1:2009
inventariados. 4.2.3.4 GA.3 Pautar el uso aceptable de los a ctivos.
ISA 62443-3-3:2013 SR
7.8 OR.5 Pautar el uso de dispositivos móviles.
ISO/IEC 27001:2013
A.8.1.1, A.8.1.2
NIST SP 800-53 Rev. 4
CM-8, PM-5
ID.GA-2. Las P1 P1 P1 CIS CSC 2 GA.1 Identificar formalmente los activos de la
plataformas de COBIT 5 BAI09.01, organización junto con la definición de su
software y BAI09.02, BAI09.05 responsable.
aplicaciones se ISA 62443-2-1:2009
encuentran 4.2.3.4 GA.3 Pautar el uso aceptable de los activos.
inventariadas. ISA 62443-3-3:2013 SR
7.8 CN.4 Gestionar las licencias de s oftware.
ISO/IEC 27001:2013
A.8.1.1, A.8.1.2, A.12.5.1
CM-8, PM-5
imos.aspx EMG 63
ID.GA-3. Se P2 P2 P1 CIS CSC 12 SC.14 Mantener la seguridad de la
utilizan medidas COBIT 5 DSS05.02 información durante su intercambio dentro
de seguridad y ISA 62443-2-1:2009 o fuera de la organización.
procedimientos 4.2.3.4
de gestión para ISO/IEC 27001:2013
proteger y A.13.2.1, A.13.2.2
controlar el flujo NIST SP 800-53 Rev. 4
de información AC-4, CA-3, CA-9, PL-8
interna y externa.
ID.GA-4. El P2 P1 P1 CIS CSC 12 GA.3 Pautar el uso aceptable de los activos.
equipamiento y COBIT 5 APO02.02,
los sistemas de APO10.04, DSS01.02
información ISO/IEC 27001:2013
utilizados fuera A.11.2.6
de las NIST SP 800-53 Rev. 4
instalaciones se AC-20, SA-9
encuentran
identificados y se
aplican medidas
para mantener la
seguridad de la
información.
12
Prioridad
Prioridad x Perfil
Subcategoría
Subcategoría xBPerfil E Referencias
Referencias Requisitosrelacionados
Requisitos relacionados
A
ID.GA-5. Los P2 E P2 P1 CIS CSC 13, 14 GA.2 Clasificar y proteger la información de
activos (por COBIT 5 APO03.03, acuerdo a la normativa y a los criterios de
ejemplo: APO03.04, APO12.01, valoración definidos.
hardware, BAI04.02, BAI09.02
dispositivos, ISA 62443-2-1:2009
datos y software) 4.2.3.6
se encuentran ISO/IEC 27001:2013
clasificados en A.8.2.1
función del tipo NIST SP 800-53 Rev. 4
de información CP-2, RA-2, SA-14, SC-
que contienen o 6
procesan y en el EMG 63
valor que poseen
para el negocio.
ID.GA-6. Los roles P1 P1 P1 CIS CSC 17, 19 OR.1 Designar un Responsable de la
y COBIT 5 APO01.02, Seguridad de la Información.
responsabilidades APO07.06, APO13.01,
de seguridad DSS06.03 OR.2 Conformar un Comité de Seguridad de
de la ISA 62443-2-1:2009 la Información.
información y 4.3.2.3.3
ciberseguridad ISO/IEC 27001:2013
se encuentran A.6.1.1
asignados. NIST SP 800-53 Rev. 4
CP-2, PS-7, PM-11
EMG 3.7, 20, 21, 56.7, 57
ID.AN. Ambiente del negocio

La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados. Esta
información es utilizada para informar a los recursos de ciberseguridad sobre responsabilidades y decisiones
relacionadas a la gestión de riesgos.
ID.AN-1. Se N/A N/A N/A COBIT 5 APO08.01, -

identifica y APO08.04, APO08.05,
comunica el rol APO10.03, APO10.04,
de la APO10.05
organización en ISO/IEC 27001:2013
la cadena de A.15.1.1, A.15.1.2, A.15.1.3,
suministro. A.15.2.1, A.15.2.2
CP-2, SA-12
ID.AN-2. El lugar N/A N/A N/A COBIT 5 APO02.06, -
que ocupa la APO03.01
organización en ISO/IEC 27001:2013
la infraestructura Cláusula 4.1
crítica y en su NIST SP 800-53 Rev. 4
sector de PM-8
industria se
encuentra
identificado y
comunicado.
ID.AN-3. Se P1 P1 P1 COBIT 5 APO02.01, PL.1 Establecer objetivos anuales con
establecen y se APO02.06, APO03.01 relación a la seguridad de la información.
comunican las ISA 62443-2-1:2009
prioridades para 4.2.2.1, 4.2.3.6
la misión de la NIST SP 800-53 Rev. 4
organ ización, sus PM-11, SA-14
objetivos y EMG 3.7, 56.7, 57
actividades.
13
Prioridad
Prioridad x Perfil
Subcategoría
Subcategoría xBPerfil E Referencias
Referencias Requisitosrelacionados
Requisitos relacionados
A
ID.AN-4. Se P3 E P2 P1 COBIT 5 APO10.01, SF.2 Implementar co ntroles ambientales en
establecen las BAI04.02, BAI09.02 los centros de datos y áreas relacionadas.
dependencias y ISO/IEC 27001:2013
funciones A.11.2.2, A.11.2.3, A.12.1.3 SF.3 Contar con un sistema de gestión y
fundamentales NIST SP 800-53 Rev. 4 monitoreo centralizado capaz de alertar
para la entrega CP-8, PE-9, PE-11, PM- fallas en componentes críticos.
de 8, SA-14
servicios críticos. SO.3 Gestionar la capacidad de los servicios y
recursos que se encuentran op erativos.
ID.AN-5. Se P3 P2 P1 COBIT 5 BAI03.02, CO.1 Contar con componentes redundantes
establecen SS04.02 que contribuyan al normal funcionamiento
requisitos de ISO/IEC 27001:2013 del centro de datos.
resiliencia para A.11.1.4, A.17.1.1, A.17.1.2,
soportar la A.17.2.1 CO.2 Los sistemas críticos de la
entrega de NIST SP 800-53 Rev. 4 infraestructura de telecomunicaciones,
servicios críticos. CP-2, CP-11, SA-13, SA- como el cableado, routers y switches (LAN,
14 SAN, etc.), deben contar con redundancia.
EMG 62
CO.3 Establecer los medios necesarios para
garantizar la continuidad de las operaciones.
CO.4 Planificar la continuidad de las

operaciones y recuperación ante desastres.
CO.5 Definir las ventanas de tiempo

soportadas para la continuidad de las
operaciones.
ID.GO. Gobernanza
Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales,
ambientales y operativos de la organización, son comprendidos y se informa a las gerencias sobre los riesgos
de ciberseguridad.
ID.GO-1. La P1 P1 P1 CIS CSC 19 PS.1 Adoptar una Política de Seguridad de la
política de COBIT 5 APO01.03, Información.
seguridad de la APO13.01, EDM01.01,
información se EDM01.02
encuentra ISA 62443-2-1:2009
4.3.2.6
establecida.
ISO/IEC 27001:2013
A.5.1.1
NIST SP 800-53 Rev.
4-1 controles de todas
las familias de control
de seguridad
EMG 3.7, 56.7, 57
ID.GO-2. Los P1 P1 P1 CIS CSC 19 OR.1 Designar un Responsable de la

roles y las COBIT 5 APO01.02, Seguridad de la Información.
responsabilidades APO10.03, APO13.02,
de la seguridad DSS05.04 OR.2 Conformar un Comité de Seg uridad de
de la ISA 62443-2-1:2009 la Información.
información 4.3.2.3.3
están ISO/IEC 27001:2013
coordinados y A.6.1.1, A.7.2.1, A.15.1.1
alineados con NIST SP 800-53 Rev. 4
roles internos y PS-7, PM1, PM -2
socios externos. EMG 3.7, 56.7, 57
ID.GO-3. Los P1 P1 P1 CIS CSC 19 CN.1 Cumplir con los requisitos normativos.
requisitos legales COBIT 5 BAI02.01,
y regulatorios MEA03.01, MEA03.04 SC.1 Los portales Web institucionales de los
sobre la ISA 62443-2-1:2009 organismos d e la Administración Central y
ciberseguridad, 4.4 .3.7 sus dependencias deben identificarse con la
incluyendo las
14
Prioridad x Perfil
B E A
obligaciones de ISO/IEC 27001:2013 extensión “gub.uy” y “mil.uy”, según
privacidad, son A.18.1.1, A.18.1.2, A.18.1.3, corresponda.
comprendidos y A.18.1.4, A.18.1.5
se gestionan. NIST SP 800-53 Rev. SC.2 Los portales Web institucionales de
4-1 controles de todas Unidades Ejecutoras, aplicaciones, portales y
las familias de control sitios Web correspondientes a proyectos y
de seguridad. programas, sitios promocionales y temáticos,
EMG 20, 2 1, 63 incluyendo zonas restringidas de acceso
mediante usuario y contraseña disponibles
para ciudadanos y funcionarios del
organismo (contenidos Web), deberán ser
subdominios del dominio del inciso
correspondiente.
SC.3 El portal del organismo jerarca deberá

hacer referencia a todos los dominios y
subdominios que se correspondan con
todos los contenidos Web que le reporten.
SC.4 Los nombres de dominio del organismo

o dependencias serán sus iniciales, su
acrónimo, o el nombre con el cual se los
conoce públicamente. Deberá justificarse
que la denominación elegida sea la más
representativa.
SC.5 La información de contacto de los

responsables de los dominios y subdominios
deberá ser comunicada a Agesic y
actualizada en períodos de seis meses.
SC.7 Los servidores de correo electrónico

(MTA) de dominios gubernamentales deben
alojarse dentro del territorio nacional, y no se
permite su implementación sobre
tecnologías que no garanticen dicho
requerimiento.
ID.GO-4. P2 P1 P1 COBIT 5 EDM03.02, GR.1 Adoptar una metodología de
Construcci ón de APO12.02, APO12.05, Evaluación de Riesgo alineada a las
procesos de DSS04.02 necesidades del SGSI.
gobernanza y ISA 62443-2-1:2009
administración 4.2.3.1, 4.2.3.3, 4.2.3.8, PL.1 Establecer objetivos anuales con
de riesgos 4.2.3.9, 4.2.3.11, 4.3.2.4.3, relación a la Seguridad de la Información.
dirigidos a 4.3.2.6.3
atender los ISO/IEC 27001:2013
problemas de Cláusula 6
ciberseguridad. NIST SP 800-53 Rev. 4
SA-2, PM-3, PM-7,
PM9, PM10, PM-11
EMG 3.7, 6.8, 6.9, 15.6,
56.7, 57
ID.ER. Evaluación de riesgos
La empresa comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
ID.ER-1. Se P2 P2 P1 CIS CSC 4 SO.1 Gestionar las vulnerabilidades técnicas.

identifican y COBIT 5 APO12.01,
documentan las APO12.02, APO12.03, CN.3 Revisar regularmente los sistemas de
vulnerabilidades APO12.04, DSS05.01, información mediante pruebas de intrusión
de los activos. DSS05.02 (ethical hacking) y evaluación de
ISA 62443-2-1:2009 vulnerabilidades.
4.2.3, 4.2.3.7, 4.2.3.9,
4.2.3.12
15
Prioridad x Perfil
B E A
ISO/IEC 27001:2013
A.12.6.1, A.18.2.3
CA2, CA-7, CA-8, RA-3,
RA-5, SA-5, SA-11, SI-2,
SI-4, SI-5
EMG 63
ID.ER-2. P2 P2 P1 CIS CSC 4 OR.3 Definir los mecanismos para el

Recepción de COBIT 5 BAI08.01 contacto formal con autoridades y equipo de
información ISA 62443-2-1:2009 respuesta.
sobre amenazas 4.2.3, 4.2.3.9, 4.2.3.12
y ISO/IEC 27001:2013
vulnerabilidades A.6.1.4
por parte de NIST SP 800-53 Rev. 4
grupos y fuentes SI-5, PM-15, PM-16
especializadas. EMG 63
ID.ER-3. P1 P1 P1 CIS CSC 4 GR.2 Realizar de manera sistemática el
Identificación y COBIT 5 APO12.01, proceso de evaluación de riesgos del SGSI.
documentación APO12.02, APO12.03,
de las amenazas APO12.04
internas y ISA 62443-2-1:2009
externas. 4.2.3, 4.2.3.9, 4.2.3.12
ISO/IEC 27001:2013
Cláusula 6.1.2
RA-3, SI-5, PM - 12, PM-16
EMG 63
ID.ER-4. P1 P1 P1 CIS CSC 4 GR.2 Realizar de manera sistemática el
Identificación del COBIT 5 DSS04.02 proceso de evaluación de riesgos del SGSI.
impacto ISA 62443-2-1:2009
potencial en el 4.2.3, 4.2.3.9, 4.2.3.12 GI.6 Establecer los mecanismos que le
negocio y la ISO/IEC 27001:2013 permitan a la organización aprender de l os
probabilidad de A.16.1.6, Cláusula 6.1.2 incidentes ocurridos.
ocurrencia. NIST SP 800-53 Rev. 4
RA-2, RA-3, SA-14, PM -
9, PM-11
EMG 6.8, 6.9, 15.6
ID.ER-5. Las P1 P1 P1 CIS CSC 4 GR.2 Realizar de manera sistemática el
amenazas, COBIT 5 APO12.02 proceso de evaluación de riesgos del SGSI.
vulnerabilidades, ISO/IEC 27001:2013
probabilidad de A.12.6.1
ocurrencia e NIST SP 800-53 Rev. 4
impactos se RA-2, RA-3, PM-16
utilizan para EMG 6.8, 6.9, 15.6
determinar el
riesgo.
ID.ER-6. P2 P1 P1 CIS CSC 4 GR.3 Tratamiento o un plan de acción
Identificación y COBIT 5 APO12.05, correctivo sobre los riesgos encontrados y,
priorización de APO13.02 de acuerdo a su resultado, implementar las
las respuestas a ISO/IEC 27001:2013 acciones correctivas y preventivas
los riesgos. Cláusula 6.1.3 correspondientes.
EMG 6.8, 6.9, 15.6
PM-4, PM -9
ID.GR. Estrategia para la gestión de riesgos
Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se utilizan
para soportar las decisiones de los riesgos operacionales.
16
Prioridad x Perfil
B E A
ID.GR-1. Los P3 P1 P1 CIS CSC 4 GR.1 Adoptar una meto dología de
procesos de COBIT 5 APO12.04, Evaluación de Riesgo alineada a las
gestión de APO12.05, APO13.02, necesidades del SGSI.
riesgos se BAI02.03, BAI04.02
encuentran ISA 62443-2-1:2009
establecidos, 4.3.4.2
gestionados y ISO/IEC 27001:2013
aprobados por Cláusula 6.1.3,
todos los Cláusula 8.3,Cláusula 9.3
interesados de la NIST SP 800 -53 Rev. 4
organización. PM-9
EMG 6.8, 6.9, 15.6
ID.GR-2. Se P2 P1 P1 COBIT 5 APO12.06 GR.3 Tratamiento o un plan de acción
determina y se ISA 62443-2-1:2009 correctivo sobre los riesgos encontrados y,
expresa de 4.3.2.6.5 de acuerdo a su resultado, implementar las
forma clara la ISO/IEC 27001:2013 acciones correctivas y preventivas
tolerancia al Cláusula 6.1.3, Cláusula 8.3 correspondientes.
riesgo a nivel de NIST SP 800-53 Rev. 4
toda la PM-9
EMG 6.8, 6.9, 15.6
organización.
ID.GR-3. La P2 P1 P1 COBIT 5 APO12.02 GR.2 Realizar de manera sistemática el
tolerancia al ISO/IEC 27001:2013 proceso de evaluación de riesgos del SGSI.
riesgo de la Cláusula 6.1.3,
organización es Cláusula 8.3 GR.3 Tratamiento o un plan de acción
determinada por NIST SP 800-53 Rev. 4 correctivo sobre los riesgos encontrados y,
su rol y SA-14, PM -8, PM-9, de acuerdo a su resultado, implementar las
pertenencia a la PM-11 acciones correctivas y preventivas
infraestructura EMG 6.8, 6.9, 15.6 correspondientes.
crítica y por la
evaluación de
riesgos
específicos del
sector al que
pertenece.
ID.CS. Gestión de riesgos en la cadena de suministros
Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen y se utilizan

para respaldar las decisiones de riesgo aso ciadas con la gestión del riesgo de la cadena de suministro. La
organización ha establecido e implementado los procesos para identificar, evaluar y gestionar los riesgos de la
cadena de suministro.
ID.CS-1. Los P1 P1 P1 CIS CSC 4 RP.1 Definir acuerdos de niveles de servicio

actores de la COBIT 5 APO10.01, (SLA) con los proveedores de servicios
organización APO10.04, APO12.04, críticos.
identifican, APO12.05, APO13.02,
establecen, BAI01.03, BAI02.03,
evalúan, BAI04.02
gestionan y ISA 62443-2-1:2009
acuerdan los 4.3.4.2
procesos de ISO/IEC 27001:2013
gestión del A.15.1.1, A.15.1.2, A.15.1.3,
riesgo de la A.15.2.1, A.15.2.2
cadena de NIST SP 800-53 Rev. 4
suministro SA-9, SA12, PM-9
cibernética.
ID.CS-2. Los P1 P1 P1 COBIT 5 APO10.01, GR.2 Realizar de manera sistemática el
proveedores y APO10.02, APO10.04, proceso de evaluación de riesgos del SGSI.
socios externos APO10.05, APO12.01,
de los sistem as APO12.02, APO12.03,
de información, APO12.04, APO12.05,
componentes y APO12.06, APO13.02,
BAI02.03
17
Prioridad x Perfil
B E A
servicios se ISA 62443-2-1:2009
identifican, se 4.2.3.1, 4.2.3.2, 4.2.3.3,
priorizan y se 4.2.3.4, 4.2.3.6, 4.2.3.8,
evalúan 4.2.3.9, 4.2.3.10, 4.2.3.12,
mediante un 4.2.3.13, 4.2.3.14
proceso de ISO/IEC 27001:2013
evaluación de A.15.2.1, A.15.2.2
riesgos de la NIST SP 800-53 Rev. 4
cadena de RA2, RA-3, SA-12, SA-
suministro 14, SA-15, PM-9
cibernético.
ID.CS-3. Los P2 P1 P1 COBIT 5 APO10.01, RP.2 Establecer pautas, realizar seguimiento
contratos con APO10.02, APO10.03, y revisión de los servicios de los proveedores,
proveedores y APO10.04, APO10.05 y gestionar sus cambios.
socios externos ISA 62443-2-1:2009
se utilizan para 4.3.2.6.4, 4.3.2.6.7
implementar ISO/IEC 27001:2013
medidas A.15.1.1, A.15.1.2, A.15.1.3
apropiadas NIST SP 800-53 Rev. 4
diseñadas para SA-9, SA-11, SA-12, PM-
cumplir con los 9
objetivos del
progra ma de
seguridad
cibernética de
una organización
y el plan de
gestión de
riesgos de la
cadena de
suministro
cibernético.
ID.CS-4. Los P2 P1 P1 COBIT 5 APO10.01, RP.2 Establecer pautas, realizar seguimiento
proveedores y los APO10.03, APO10.04, y revisión de los servicios de los proveedores,
socios externos APO10.05, MEA01.01, y gestionar sus cambios.
se evalúan de MEA01.02, MEA01.03,
forma ruti naria MEA01.04, MEA01.05
mediante ISA 62443-2-1:2009
auditorías, 4.3.2.6.7
resultados de ISA 62443-3-3:2013 SR
pruebas u otras 6.1
formas de ISO/IEC 27001:2013
evaluación para A.15.2.1, A.15.2.2
confirmar que NIST SP 800-53 Rev. 4
cumplen con sus AU-2, AU-6, AU-12, AU-
obligaciones 16, PS-7, SA-9, SA-12
contractuales.
ID.CS-5. Las P3 P2 P1 CIS CSC 19, 20 CO.4 Planificar la continuidad de las
pruebas y la COBIT 5 DSS04.04 operaciones y recuperación ante desastres.
planificación de ISA 62443-2-1:2009
respuesta y 4.3.2.5.7, 4.3.4.5.11
recuperación se ISA 62443-3-3:2013 SR
llevan a cabo con 2.8, SR 3.3, SR.6.1, SR
proveedores. 7.3, SR 7.4
ISO/IEC 27001:2013
A.17.1.3
CP-2, CP-4, IR3, IR-4,
IR6, IR8, IR-9
18
4.2 Función: Proteger (PR)
Prioridad
x Perfil
PR.CA. Control de acceso
El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y transacciones
autorizadas.
PR.CA-1. Las P1 P1 P1 CIS CSC 1, 5, 15, 16 CA.1 Gestionar el acceso lógico.

identidades y COBIT 5 DSS05.04, DSS06.03
credenciales ISA 62443-2-1:2009 4.3.3.5.1 CA.2 Revisar los privilegios de acceso lógico.
se emiten, ISA 62443-3-3:2013 SR 1.1, SR
se administran, 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.7,
se verifican, SR 1.8, SR 1.9
se revocan ISO/IEC 27001:2013 A.9.2.1,
y se auditan para A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.6,
los dispositivos, A.9.3.1, A.9.4.2, A.9.4.3
usuarios NIST SP 800-53 Rev. 4 AC-1,
y procesos AC-2, IA-1, IA-2, IA-3, IA4, IA-5,
autorizados. IA-6, IA-7, IA-8, IA-9, IA-10, IA-11
EMG 20, 21, 63
PR.CA-2. Se P1 P1 P1 COBIT 5 DSS01.04, DSS05.05 SF.1 Implementar controles de acceso físico a
gestiona y ISA 62443-2-1:2009 4.3.3.3.2, las instalaciones y equipos ubicados en los
protege el 4.3.3.3.8 centros de datos y áreas relacionadas.
acceso físico a los ISO/IEC 27001:2013 A.11.1.1,
activos. A.11.1.2, A.11.1.3, A.11.1.4, A.11.1.5,
A.11.1.6, A.11.2.1, A.11.2.3, A.11.2.5,
A.11.2.6, A.11.2.7, A.11.2.8
NIST SP 800-53 Rev. 4 PE-2,
PE-3, PE-4, PE-5, PE-6, PE8
EMG 20, 21, 63
PR.CA-3. Gestión P2 P1 P1 CIS CSC 12 OR.6 Establecer controles para proteger la
de acceso COBIT 5 APO13.01, DSS01.04, información a la que se ac cede de forma
remoto. DSS05.03 remota.
ISA 62443-2-1:2009 4.3.3.6.6
ISA 62443-3-3:2013 SR 1.13, SR 2.6 SC.6 Establecer acuerdos de no divulgación.
ISO/IEC 27001:2013 A.6.2.1,
A.6.2.2, A.11.2.6, A.13.1.1, A.13.2.1
NIST SP 800-53 Rev. 4 AC-1,
AC-17, AC-19, AC-20, SC-15
EMG 63
PR.CA-4. Gestión P1 P1 P1 CIS CSC 3, 5, 12, 14, 15, 16, 18 CA.1 Gestionar el acceso lógico.
de permisos de COBIT 5 DSS05.04
acceso, ISA 62443-2-1:2009 4.3.3.7.3
incorporando los ISA 62443-3-3:2013 SR 2.1
principios de ISO/IEC 27001:2013 A.6.1.2,
menor privilegio A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4,
y segregación de A.9.4.5
funciones. NIST SP 800-53 Rev. 4 AC-1,
AC-2, AC-3, AC-5, AC-6, AC14,
AC16, AC24
PR.CA-5. P2 P2 P1 CIS CSC 9, 14, 15, 18 SC.13 Debe existir segregación a nivel de
Protección de la COBIT 5 DSS01.05, DSS05.02 servicios de información.
integridad de la ISA 62443-2-1:2009 4.3.3.4
red ISA 62443-3-3:2013 SR 3.1, SR 3.8
incorporando ISO/IEC 27001:2013 A.13.1.1,
segregación A.13.1.3, A.13.2.1, A.14.1.2, A.14.1.3
cuando es NIST SP 800-53 Rev. 4 AC-4,
apropiado. AC-10, SC-7
EMG 61, 78
19
Prioridad
x Perfil
PR.CA-6. Las P1 P1 P1 CIS CSC, 16 CA.1 Gestionar el acceso lógico.
identidades son COBIT 5 DSS05.04,
verificadas y DSS05.05, DSS05.07,
vinculadas a DSS06.03
credenciales y ISA 62443-2-1:2009 4.3.3.2.2,
afirmadas en las 4.3.3.5.2, 4.3.3.7.2, 4.3.3.7.4
interacciones. ISA 62443-3-3:2013 SR 1.1, SR
1.2, SR 1.4, SR 1.5, SR 1.9, SR 2.1
ISO/IEC 27001:2013, A.7.1.1,
A.9.2.1
AC-2, AC-3, AC-16, AC-19, AC-
24, IA1, IA-2, IA-4, IA-5, IA-8,
PE-2, PS-3
PR.CA-7. Se P1 P1 P1 CIS CSC 1, 12, 15, 16 CA.1 Gestionar el acceso lógico.
autentican los COBIT 5 DSS05.04, DSS05.10,
usuarios, DSS06.10 CN.1 Cumplir con los requisitos normativos.
dispositivos y ISA 62443-2-1:2009 4.3.3.6.1,
otros activos (por 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4,
ejemplo, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7,
autenticación de 4.3.3.6.8, 4.3.3.6.9
un solo factor o ISA 62443-3-3:2013 SR 1.1, SR
múltiples 1.2, SR 1.5, SR 1.7, SR 1.8, SR 1.9,
factores) acorde SR 1.10
al riesgo de la ISO/IEC 27001:2013 A.9.2.1,
transacción (por A.9.2.4, A.9.3.1, A.9.4.2, A.9.4.3,
ejemplo, riesgos A.18.1.4
de seguridad y NIST SP 800-53 Rev. 4 AC7,
privacidad de AC-8, AC9, AC-11, AC-12, AC14,
individuos y otros IA1, IA-2, IA-3, IA-4, IA5, IA-8,
riesgos para las IA-9, IA-10, IA11
organizaciones).
PR.CF. Concientización y formación
El personal de la organización y socios de negocios, reciben entrenamiento y concientización sobre segur idad de la
información. Están adecuadamente entrenados para cumplir con sus obligaciones referentes a la seguridad de la
información y alineados con las políticas, procedimientos y acuerdos existentes.
PR.CF -1. Todos P1 P1 P1 CIS CSC 17, 18 GH.2 Concientizar y formar en materia de
los usuarios se COBIT 5 APO07.03, BAI05.07 seguridad de la información a todo el perso nal.
encuentran ISA 62443-2-1:2009 4.3.2.4.2
entrenados e ISO/IEC 27001:2013 A.7.2.2,
informados. A.12.2.1
NIST SP 800-53 Rev. 4 AT-2,
PM-13
EMG 20, 21, 63
PR.CF -2. Los P1 P1 P1 CIS CSC 5, 17, 18 GH.2 Concientizar y formar en materia de
usuarios COBIT 5 APO07.02, seguridad de la información a todo el personal.
privilegiados DSS05.04, DSS06.03
comprenden sus ISA 62443-2-1:2009 4.3.2.4.2,
roles y 4.3.2.4.3
responsabilidades . ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
NIST SP 800-53 Rev. 4 AT-3,
PM-13
EMG 63
PR.CF -3. P1 P1 P1 CIS CSC 17 GH.2 Concientizar y formar en materia de
Interesados COBIT 5 APO07.03, seguridad de la información a todo el personal.
externos APO07.06, APO10.04,
(proveedores, APO10.05
clientes, socios) ISA 62443-2-1:2009 4.3.2.4.2
comprenden sus ISO/IEC 27001:2013 A.6.1.1,
A.7.2.1, A.7.2.2
20
Prioridad
x Perfil
roles y NIST SP 800-53 Rev. 4 PS-7,
responsabilidades. SA-9, SA-16
PR.CF -4. La P1 P1 P1 CIS CSC 17, 19 GH.2 Concientizar y formar en materia de

gerencia COBIT 5 EDM01.01, APO01.02, seguridad de la información a todo el personal.
ejecutiva APO07.03
comprende sus ISA 62443-2-1:2009 4.3.2.4.2
roles y ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
responsabilidades. NIST SP 800-53 Rev. 4 AT-3,
PM-13
EMG 63
PR.CF -5. El P2 P2 P1 CIS CSC 17 GH.2 Concientizar y formar en materia de
personal de COBIT 5 APO07.03 seguridad de la información a todo el personal.
seguridad física y ISA 62443-2-1:2009 4.3.2.4.2
de seguridad de ISO/IEC 27001:2013 A.6.1.1,
la información A.7.2.2
comprende sus NIST SP 800-53 Rev. 4 AT-3,
roles y IR-2, PM13
responsabilidades. EMG 63
PR.SD. Seguridad de los datos
La información y registros (datos) se gestionan en función de la estrategia de riesgo de la organización para proteger
la confidencialidad, integridad y disponibilidad de la información.
PR.SD-1. Los P2 P2 P1 CIS CSC 13, 14 SO.6 Respaldar la información y realizar

datos en reposo COBIT 5 APO01.06, pruebas de restauración periódicas.
(inactivos) se BAI02.01, BAI06.01,
encuentran DSS04.07, DSS05.03, CA.3 Establecer controles criptográficos.
protegidos. DSS06.06
ISA 62443-3-3:2013 SR 3.4, CA.4 Establecer los controle s para el uso de
SR 4.1 firma electrónica.
ISO/IEC 27001:2013 A.8.2.3
NIST SP 800-53 Rev. 4 MP-
8, SC-12, SC-28
PR.SD-2. Los P2 P2 P1 CIS CSC 13, 14 SC.14 Mantener la seguridad de la información
datos en tránsito COBIT 5 APO01.06, durante su intercambio dentro o fuera de la
se encuentran DSS05.02, DSS06.06 organización.
protegidos. ISA 62443-3-3:2013 SR 3.1,
SR 3.8, SR 4.1, SR 4.2 ISO/IEC CA.3 Establecer controles criptográficos.
27001:2013 A.8.2.3, A.13.1.1,
A.13.2.1, A.13.2.3, A.14.1.2, CA.4 Establecer los controles para el uso de
A.14.1.3 firma electrónica.
NIST SP 800-53 Rev. 4 SC-8,
SC-11, SC-12
PR.SD-3. Los P2 P2 P1 CIS CSC 1 GA.5 Establecer los mecanismos para destruir
activos se COBIT 5 BAI09.03 la información y medios de almacenamiento.
gestionan ISA 62443-2-1:2009 4.3.3.3.9,
formalmente a lo 4.3.4.4.1
largo de la ISA 62443-3-3:2013 SR 4.2
eliminación, las ISO/IEC 27001:2013 A.8.2.3,
transferencias y A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.5,
disposición. A.11.2.7
NIST SP 800-53 Rev. 4 CM-
8, MP-6, PE-16
PR.SD-4. Se P3 P3 P1 CIS CSC 1, 2, 13 SO.3 Gestionar la capacidad de los servicios
mantiene una COBIT 5 APO13.01, BAI04.04 que se encuentran operativos .
adecuada ISA 62443-3-3:2013 SR 7.1,
capacidad para SR 7.2
21
Prioridad
x Perfil
asegurar la ISO/IEC 27001:2013 A.12.1.3, A.17.2.1
disponibilidad. NIST SP 800-53 Rev. 4 AU-4,
CP-2, SC-5
EMG 61, 78
PR.SD-5. Se P2 P1 P1 CIS CSC 13 GH.1 Establecer acuerdos contractuales con el
implementan COBIT 5 APO01.06, personal donde figuren sus responsabilidades
medidas de DSS05.04, DSS05.07, y las de la organización respecto a la seguridad
protección DSS06.02 de la información.
contra fuga de ISA 62443-3-3:2013 SR 5.2
datos. ISO/IEC 27001:2013 A.6.1.2, SC.6 Establecer acuerdos de no divulgación.
A.7.1.1, A.7.1.2, A.7.3.1, A.8.2.2,
A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3,
A.9.4.1, A.9.4.4, A.9.4.5,
A.10.1.1, A.11.1.4,
A.11.1.5, A.11.2.1, A.13.1.1, A.13.1.3,
A.13.2.1, A.13.2.3, A.13.2.4,
A.14.1.2, A.14.1.3
AC-5, AC-6, PE-19, PS-3, PS-
6, SC-7, SC-8, SC-13, SC-31, SI-4
EMG 63
PR.SD-6. Se P1 P1 P1 CIS CSC 2, 3 SO.5 Controlar software malicioso.
realizan COBIT 5 APO01.06,
chequeos de BAI06.01, DSS06.02 SO.8 Gestionar la instalación de software.
integridad para ISA 62443-3-3:2013 SR 3.1,
verificar software , SR 3.3, SR 3.4, SR 3.8
firmware e ISO/IEC 27001:2013 A.12.2.1,
integridad de la A.12.5.1, A.14.1.2, A.14.1.3, A.14.2.4
información. NIST SP 800-53 Rev. 4 SC-
16, SI7
EMG 61, 78
PR.SD-7. Los P2 P2 P1 CIS CSC 18, 20 SO.4 Definir entornos separados para
entornos de COBIT 5 BAI03.08, BAI07.04 desarrollo, pruebas y producción.
desarrollo y ISO/IEC 27001:2013 A.12.1.4
pruebas están NIST SP 800-53 Rev. 4 CM-2
separados del
entorno de
producción.
PR.SD-8. Se P3 P2 P1 COBIT 5 BAI03.05 SF.2 Implementar controles ambientales en los
utilizan ISA 62443-2-1:2009 4.3.4.4.4 centros de datos y áreas relacionadas.
mecanismos de ISO/IEC 27001:2013 A.11.2.4
comprobación NIST SP 800-53 Rev. 4 SA- SF.3 Contar con un sistema de gestión y
de la integridad 10, SI-7 monitoreo centralizado capaz de alertar fallas
para verificar la en componente s críticos.
integridad del
hardware.
PR.PI. Procesos y procedimientos para la protección de la información
Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de
los sistemas de información y los activos.
PR.PI -1. Existe P3 P3 P1 CIS CSC 3, 9, 11 SO.2 Gestionar formalmente los cambios.
una línea base COBIT 5 BAI10.01, BAI10.02,
de la BAI10.03, BAI10.05
configuración de ISA 62443-2-1:2009 4.3.4.3.2,
los sistemas de 4.3.4.3.3
información que ISA 62443-3-3:2013 SR 7.6
es mantenida. ISO/IEC 27001:2013 A.12.1.2,
A.12.5.1, A.12.6.2, A.14.2.2,
A.14.2.3, A.14.2.4
22
Prioridad
x Perfil
NIST SP 800-53 Rev. 4 CM-
2, CM-3, CM-4, CM 5, CM-6,
CM-7, CM-9, SA-10
PR.PI -2. Se P2 P2 P1 CIS CSC 18 AD.1 Incluir requisitos de seguridad de la

implementa el COBIT 5 APO13.01, BAI03.01, información durante todo el ciclo de vida de los
ciclo de vida de BAI03.02, BAI03.03 proyectos de desarrollo o adquisiciones de
desarrollo para ISA 62443-2-1:2009 4.3.4.3.3 software.
gestionar los ISO/IEC 27001:2013 A.6.1.5,
sistemas. A.14.1.1, A.14.2.1, A.14.2.5 OR.4 Abordar la seguridad de la información
NIST SP 800-53 Rev. 4 PL -8, en la gestión de los proyectos.
SA-3, SA-4, SA8, SA-10, SA-11,
SA12, SA-15, SA-17, SI-12, SI-
13, SI14, SI-16, SI17
EMG 61, 78
PR.PI-3. Existen P2 P2 P1 CIS CSC 3, 11 SO.2 Gestionar formalmente los cambios.
procesos de COBIT 5 BAI01.06, BAI06.01
gestión del cambio ISA 62443-2-1:2009 4.3.4.3.2, SO.8 Gestionar la instalación de software.
en las 4.3.4.3.3
configuraciones. ISA 62443-3-3:2013 SR 7.6
ISO/IEC 27001:2013 A.12.1.2,
A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
A.14.2.4
NIST SP 800-53 Rev. 4 CM-3,
CM-4, SA-10
EMG 61, 78
PR.PI -4. Se P1 P1 P1 CIS CSC 10 SO.6 Respaldar la información y realizar
realizan y COBIT 5 APO13.01, DSS01.01, pruebas de restauración periódicas .
mantienen DSS04.07
respaldos de la ISA 62443-2-1:2009 4.3.4.3.9
información y se ISA 62443-3-3:2013 SR 7.3, SR 7.4
testean ISO/IEC 27001:2013 A.12.3.1,
periódicamente. A.17.1.2, A.17.1.3, A.18.1.3
NIST SP 800-53 Rev. 4 CP-4,
CP-6, CP-9
EMG 62
PR.PI -5. Las P2 P2 P1 COBIT 5 DSS01.04, DSS05.05 SF.2 Implementar controles ambientales en los
políticas y ISA 62443-2-1:2009 4.3.3.3.1 centros de datos y áreas relacionadas.
reglamentos 4.3.3.3.2, 4.3.3.3.3, 4.3.3.3.5,
relacionados con 4.3.3.3.6 SF.3 Contar con un sistema de gestión y
el medio ISO/IEC 27001:2013 A.11.1.4, monitoreo centralizado capaz de alertar fallas
ambiente físico A.11.2.1, A.11.2.2, A.11.2.3 en componentes críticos.
operativo se NIST SP 800-53 Rev. 4 PE-10,
cumplen. PE-12, PE13, PE-14, PE-15, PE18
EMG 61, 78
PR.PI -6. Los P2 P2 P1 COBIT 5 BAI09.03, GA.5 Establecer los mecanismos para destruir
datos son DSS05.06 la información y medios de almacenamiento.
eliminados de ISA 62443-2-1:2009 4.3.4.4.4
acuerdo a las ISA 62443-3-3:2013 SR 4.2
políticas de ISO/IEC 27001:2013 A.8.2.3,
seguridad. A.8.3.1, A.8.3.2,
A.11.2.7
NIST SP 800-53 Rev. 4 MP-6
PR.PI -7. Existe P3 P2 P1 COBIT 5 APO11.06, PL.2 Revisión periódica y mejora continua del
mejora continua APO12.06, DSS04.05 SGSI.
de los procesos ISA 62443-2-1:2009 4.4.3.1,
de protección. 4.4.3.2, 4.4. 3.3, 4.4.3.4,
4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8
23
Prioridad
x Perfil
ISO/IEC 27001:2013 A.16.1.6,
Cláusula 9, Cláusula 10
NIST SP 800-53 Rev. 4 CA2,
CA-7, CP-2, IR8, PL -2, PM-6
PR.PI -8. La P3 P2 P1 COBIT 5 BAI08.04, GI.6 Establecer los mecanismos que le
eficacia de las DSS03.04 permitan a la organización aprender de los
tecnologías d e ISO/IEC 27001:2013 A.16.1.6 incidentes ocur ridos.
protección se NIST SP 800-53 Rev. 4 AC-
comparten con 21, CA7, SI4
las partes
apropiadas.
PR.PI -9. Existen y P2 P2 P1 CIS CSC 19 GI.1 Planificar la gestión de los incidentes de
se gestionan COBIT 5 APO12.06, seguridad de la información.
planes de DSS04.03
respuesta a ISA 62443-2-1:2009 4.3.2.5.3, GI.4 Reg istrar y reportar las violaciones a la
incidentes 4.3.4.5.1 seguridad de la información, confirmadas o
(respuesta a ISO/IEC 27001:2013 A.16.1.1, sospechadas de acuerdo a los procedimientos
incidentes y A.17.1.1, A.17.1.2, A.17.1.3 correspondientes.
continuidad del NIST SP 800-53 Rev. 4 CP-2,
negocio) y planes CP-7, CP-12, CP-13, IR-7, IR- GI.5 Responder ante incidentes de seguridad
de recuperación 8, IR-9, PE-17 de la información.
(recuperación de EMG 62
incidentes y CO.4 Planificar la continuidad de las
recuperación de operaciones y recuperación ante desastres.
desastres).
PR.PI -10. Los P3 P2 P1 CIS CSC 19, 20 CO.4 Planificar la continuidad de las
planes de COBIT 5 DSS04.04 operaciones y recuperación ante desastres.
respuesta y ISA 62443-2-1:2009 4.3.2.5.7,
recuperación se 4.3.4.5.11 GI.5 Responder ante incidentes de seguridad
testean ISA 62443-3-3:2013 SR 3.3 de la información.
regularmente. ISO/IEC 27001:2013 A.17.1.3
NIST SP 800-53 Rev. 4 CP-4,
IR3, PM-14
EMG 62
PR.PI -11. La P2 P2 P1 CIS CSC 5, 16 SC.6 Establecer acuerdos de no divulgación.

ciberseguridad COBIT 5 APO07.01, APO07.02,
se encuentra APO07.03, APO07.04, APO07.05 GH.1 Establecer acuerdos contractuales con el
incluida en las ISA 62443-2-1:2009 4.3.3.2.1, personal donde figuren sus responsabilidades
prácticas de 4.3.3.2.2, 4.3.3.2.3 y las de la organización respecto a la seguridad
RRHH. ISO/IEC 27001:2013 A.7.1.1, A.7.1.2, de la información.
A.7.2.1, A.7.2.2, A.7.2.3, A.7.3.1,
A.8.1.4
NIST SP 800-53 Rev. 4 PS-1, PS2,
PS-3, PS-4, PS-5, PS6, PS7, PS-8,
SA-21
EMG 63
PR.PI -12. Existe P2 P2 P1 CIS CSC 4, 18, 20 SO.1 Gestionar las vulnerabilidades t écnicas.
un plan de COBIT 5 BAI03.10, DSS05.01,
gestión de DSS05.02 CN.2 Realizar auditorías independientes de
vulnerabilidades. ISO/IEC 27001:2013 A.12.6.1, seguridad de la información.
A.14.2.3, A.16.1.3, A.18.2.2, A.18.2.3
NIST SP 800-53 Rev. 4 RA3,
RA-5, SI-2
EMG 63
PR.MA. Mantenimiento
El mantenimiento y las reparaciones de los componentes de los sistemas de información y de control industrial
se lleva a cabo en consonancia con las políticas y procedimientos.
PR.MA-1. El P3 P2 P1 COBIT 5 BAI03.10, BAI09.02, SF.1 Implementar controles de acceso físico a
mantenimiento y BAI09.03, DSS01.05 las instalaciones y equipos ubicados en los
la reparación de ISA 62443-2-1:2009 4.3.3.3.7 centros de datos y áreas relacionadas.
los activos de la
24
Prioridad
x Perfil
organización se ISO/IEC 27001:2013 A.11.1.2, SF.3 Contar con un sistema de gestión y
lleva a cabo y es A.11.2.4, A.11.2.5, A.11.2.6 monitoreo centralizado capaz de alertar fallas
registrado en NIST SP 800-53 Rev. 4 MA-2, sobre el equipamiento y establecer el
forma oportuna MA3, MA-5, MA-6 mantenimiento de los componentes críticos.
con herramientas
aprobadas y
controladas.
PR.MA-2. El P3 P2 P1 CIS CSC 3, 5 SF.3 Contar con un sistema de gestión y
mantenimiento a COBIT 5 DSS05.04 monitoreo centralizado capaz de alertar fallas
distancia de los ISA 62443-2-1:2009 4.3.3.6.5, sobre el equipamiento y establecer el
activos de la 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8 mantenimiento de los componentes críticos.
organización se ISO/IEC 27001:2013 A.11.2.4,
aprueba, registra y A.15.1.1, A.15.2.1 RP.2 Establecer pautas, realizar seguimiento y
lleva a cabo de NIST SP 800-53 Rev. 4 MA-4 revisión de los servicios de los proveedores,
forma tal que se y gestionar sus cambios.
impide el acceso
no autorizado.
PR.TP. Tecnología de protección
Las soluciones técnicas de seguridad se gestionan para garantizar la seguridad y resistencia de los sistemas y activos
de la organización, en consonancia con las políticas, procedimientos y acuerdos.
PR.TP-1. Los P2 P2 P1 CIS CSC 1, 3, 5, 6, 14, 15, 16 SO.7 Registrar y monitorear los eventos de los
registros de COBIT 5 APO11.04, BAI03.05, sistemas..
auditoría (logs) se DSS05.04, DSS05.07,
documentan, MEA02.01
implementan y se ISA 62443-2-1:2009 4.3.3.3.9,
revisan de confor- 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
midad con la 4.4.2.4
política. ISA 62443-3-3:2013 SR 2.8,
SR 2.9, SR 2.10, SR 2.11, SR 2.12
ISO/IEC 27001:2013 A.12.4.1,
A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
Familia AU
EMG 20, 21
PR.TP-2. Los P3 P3 P1 CIS CSC 8, 13 GA.4 Gestionar los medios de almacenamiento.
medios extraíbles COBIT 5 APO13.01, DSS05.02,
se encuentran DSS05.06
protegidos y su ISA 62443-3-3:2013 SR 2.3
uso se encuentra ISO/IEC 27001:2013 A.8.2.1,
restringido de A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3,
acuerdo con las A.11.2.9
políticas. NIST SP 80053 Rev. 4 MP-2,
MP-3, MP-4, MP-5, MP-7, MP-8
PR.TP-3. El acceso P1 P1 P1 CIS CSC 3, 11, 14 CA.1 Gestionar el acceso lógico.
a los sistemas y COBIT 5 DSS05.02, DSS05.05,
activos se controla DSS06.06
incorporando el ISA 62443-2-1:2009 4.3.3.5.1,
principio de 4.3.3.5.2, 4.3.3.5.3, 4.3.3.5.4,
menor privilegio. 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7,
4.3.3.5.8, 4.3.3.6.1, 4.3.3.6.2,
4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5,
4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8,
4.3.3.6.9, 4.3.3.7.1, 4.3.3.7.2,
4.3.3.7.3, 4.3.3.7.4
ISA 62443-3-3:2013 SR 1.1,
SR 1.2, SR 1.3, SR 1.4, SR 1.5,
SR 1.6, SR 1.7, SR 1.8, SR 1.9,
SR 1.10, SR 1.11, SR 1.12, SR 1.13,
SR 2.1, SR 2.2, SR 2.3, SR 2.4,
SR 2.5, SR 2.6, SR 2.7
ISO/IEC 27001:2013 A.9.1.2
NIST SP 80053 Rev. 4 AC-3,
CM-7
25
Prioridad
x Perfil
PR.TP -4. Las P1 P1 P1 CIS CSC 8, 12, 15 SC.8 Garantizar que los correos electrónicos
redes y COBIT 5 DSS05.02, APO13.01 en tránsito entre dos MTAs, o entre un MUA
comunicaciones ISA 62443-3-3:2013 SR 3.1, y un MTA, no comprometa la confidencialidad
se encuentran SR 3.5, SR 3.8, SR 4.1, SR 4.3, de la información cuando esto sea posible.
protegidas. SR 5.1, SR 5.2, SR 5.3, SR 7.1,
SR 7.6 SC.9 La implementación de canales de
ISO/IEC 27001:2013 A.13.1.1, comunicación cifrados entre MTA de dominios
A.13.2.1, A.14.1.3 gubernamentales es obligatoria y deberá
NIST SP 800-53 Rev. 4 AC-4, implementarse utilizando protocolos seguros.
AC17, AC18, CP8, SC7, SC-19, Los MTA de dominios gubernamentales deberán
SC-20, SC-21, SC-22, SC-23, interrumpir el intento de entrega o recepción
SC24, SC-25, SC29, SC-32, de mensajes si este canal cifrado no se puede
SC-36, SC-37, SC38, SC39, negociar.
SC-40, SC-41, SC-43
EMG 61, 78 SC.10 La implementación de canales de
comunicación cifrados con protocolos seguros
entre MTA de dominios gubernamentales y un
MTA de terceros deberá ser el método preferido
de comunicación. Cuando el establecimiento
de estos canales cifrados no sea posible,
se podrá establecer un canal en texto claro.
SC.11 La implementación de canales de

comunicación cifrados entre MUA y MTA
de dominios gubernamentales es mandatorio,
y deberá implementarse utilizando protocolos
seguros. Los MTA de dominios gubernamentales
no deberán aceptar la descarga o entrega de
correos por parte de MUA si este canal cifrado
no se puede negociar. Los MTA no deberán
aceptar la descarga o consulta de correos
electrónicos sobre canales en texto claro.
SC.12 Los servicios de Webmail deben

implementarse sobre el protocolo HTTPS
utilizando un certificado de seguridad válido.
Cuando la información a transmitir vía email
represente un riesgo alto para la organización,
se recomienda implementar un modelo de
cifrado a nivel de mensaje.
SC.15 Todo sitio Web que contenga u oficie

de enlace a un trámite en línea debe tener un
firewall de aplicación Web (Web Application
Firewall – WAF).
PR.TP -5. Se P3 P2 P1 COBIT 5 BAI04.01, BAI04.02, CO.2 Los sistemas críticos de la infraestructura
implementan BAI04.03, BAI04.04, de telecomunicaciones, como el cableado,
mecanismos (por BAI04.05, DSS01.05 routers y switches (LAN, SAN, etc.), deben
ejemplo, a ISA 62443-2-1:2009 4.3.2.5.2 contar con redundancia.
prueba de fallas, ISA 62443-3-3:2013 SR 7.1, SR
equilibrio de 7.2
carga, cambio en ISO/IEC 27001:2013 A.17.1.2,
caliente o “hot A.17.2.1
swap”) para NIST SP 80053 Rev. 4 CP7,
lograr los CP-8, CP-11, CP-13, PL-8, SA14,
requisitos de SC-6
resiliencia en
situaciones
normales y
adversas.
26
4.3 Función: Detectar (DE)
Prioridad x
Perfil
DE.AE. Anomalías y eventos
La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es comprendido.
DE.AE-1. Se P3 P3 P2 CIS CSC 1, 4, 6, 12, 13, 15, SO.7 Registrar y monitorear los eventos de los
establece y 16 sistemas.
gestiona una COBIT 5 DSS03.01
línea base de ISA 62443-2-1:2009
operaciones 4.4.3.3
de red y flujos ISO/IEC 27001:2013
de datos A.12.1.1, A.12.1.2, A.13.1.1,
esperados A.13.1.2
para usuarios y NIST SP 800-53 Rev. 4
sistemas. AC-4, CA-3, CM-2, SI-4
DE.AE-2. Los P2 P2 P1 CIS CSC 3, 6, 13, 15 GI.2 Contar con mecanismos que permitan evaluar los
eventos COBIT 5 DSS05.07 eventos de seguridad de la información y decidir si se
detectados ISA 62443-2-1:2009 clasifican como incidentes de seguridad de la
son analizados 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8 información.
para entender ISA 62443-3-3:2013 SR 2.8,
los objetivos y SR 2.9, SR 2.10, SR 2.11, SO.7 Registrar y monitorear los eventos de los
métodos de SR 2.12, SR 3.9, SR 6.1, sistemas.
ataque. SR 6.2
ISO/IEC 27001:2013 SC.15 Todo sitio Web que contenga u oficie de enlace a
A.12.4.1, A.16.1.1, A.16.1.4 un trámite en línea debe tener un firewall de
NIST SP 800-53 Rev. 4 aplicación Web (Web Application Firewall – WAF).
AU-6, CA-7, IR-4, SI-4
EMG 63
DE.AE-3. Los P3 P2 P1 CIS CSC 1, 3, 4, 5, 6, 7, 8, SO.7 Registrar y monitorear los eventos de los
datos de los 11, 12, 13, 14, 15, 16 sistemas.
eventos se COBIT 5 BAI08.02
agrupan y ISA 62443-3-3:2013 SR
correlacionan 6.1
desde ISO/IEC 27001:2013
múltiples A.12.4.1, A.16.1.7
fuentes y NIST SP 800-53 Rev. 4
sensores. AU-6, CA-7, IR-4, IR-5,
IR-8, SI-4
DE.AE-4. Se P3 P2 P1 CIS CSC 4, 6 GI.1 Planificar la gestión de los incidentes de seguridad
determina el COBIT 5 APO12.06, de la información.
impacto de los DSS03.01
eventos. ISO/IEC 27001:2013 GR.2 Realizar de manera sistemática el proceso de
A.16.1.4 evaluación de riesgos del SGSI.
CP-2, IR4, RA-3, SI-4 SF.3 Contar con un sistema de ge stión y monitoreo
EMG 63 centralizado capaz de alertar fallas en componentes
críticos.
DE.AE-5. Se P3 P2 P1 CIS CSC 6, 19 GI.1 Planificar la gestión de los incidentes de seguridad
establecen los COBIT 5 APO12.06, de la información.
umbrales de DSS03.01
alerta de ISA 62443-2-1:2009 GI.5 Responder ante incidentes de seguridad de la
incidentes. 4.2.3.10 información.
ISO/IEC 27001:2013 A.16.1.4
NIST SP 800-53 Rev. 4 SO.7 Registrar y monitorear los eventos de los
IR4, IR-5, IR-8 sistemas.
EMG 63
27
Prioridad x
Perfil
DE.MC. Monitoreo co ntinuo de la seguridad
Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar eventos de
seguridad cibernética y verificar la eficacia de las medidas de protección.
DE.MC -1. Se P2 P2 P1 CIS CSC 1, 7, 8, 12, 13, 15, 16 SF.3 Contar con un sistema de gestión y monito reo
monitorea la COBIT 5 DSS01.03, centralizado capaz de alertar fallas en componentes
red para DSS03.05, DSS05.07 críticos.
detectar ISA 62443-3-3:2013 SR 6.2
potenciales NIST SP 800-53 Rev. 4
eventos de AC-2, AU-12, CA-7, CM3,
ciberseguridad. SC5, SC-7, SI-4
EMG 63
DE.MC -2. Se P2 P2 P1 COBIT 5 DSS01.04, SF.1 Implementar controles de acceso físico a las
monitorea el DSS01.05 instalaciones y equipos ubicados en los centros de
ambiente ISA 62443-2-1:2009 4.3.3.3.8 datos y áreas relacionadas.
físico para ISO/IEC 27001:2013 A.11.1.1,
detectar A.11.1.2 SF.3 Contar con un sistema de gestión y monitoreo
potenciales NIST SP 80053 Rev. 4 centralizado capaz de alertar fallas en componentes
eventos de CA-7, PE-3, PE-6, PE-20 críticos.
ciberseguridad. EMG 63
DE.MC -3. Se P2 P2 P1 CIS CSC 5, 7, 14, 16 SO.7 Registrar y monitorear los eventos de los
monitorea la COBIT 5 DSS05.07 sistemas.
actividad del ISA 62443-3-3:2013 SR 6.2
personal para ISO/IEC 27001:2013 A.12.4.1,
detectar A.12.4.3
potenciales NIST SP 80053 Rev. 4
eventos de AC-2, AU-12, AU-13, CA-7,
ciberseguridad. CM10, CM-11
EMG 63
DE.MC -4. Se P1 P1 P1 CIS CSC 4, 7, 8, 12 SO.5 Controlar software malicioso.
detecta el COBIT 5 DSS05.01
código ISA 62443-2-1:2009
malicioso. 4.3.4.3.8
ISA 62443-3-3:2013 SR 3.2
ISO/IEC 27001:2013 A.12.2.1
NIST SP 80053 Rev. 4 SI3,
SI8
EMG 63
DE.MC -5. Se P3 P3 P2 CIS CSC 7, 8 SO.8 Gestionar la instalación de software.

detecta el COBIT 5 DSS05.01
código móvil ISA 62443-3-3:2013 SR
no autorizado. 2.4
ISO/IEC 27001:2013
A.12.5.1, A.12.6.2
NIST SP 80053 Rev. 4
SC18, SI-4, SC-44
DE.MC -6. Se P2 P1 P1 COBIT 5 APO07.06, RP.1 Definir acuerdos de niveles de servicio (SLA) con
controla la APO10.05 los proveedores de servicios críticos.
actividad de ISO/IEC 27001:2013
los A.14.2.7, A.15.2.1 RP.2 Establecer pautas, realizar seguimiento y revisión
proveedores NIST SP 800-53 Rev. 4 de los servicios de los proveedores, y gestionar sus
de servicios CA-7, PS-7, SA-4, SA- 9, cambios.
externos para SI-4
detectar EMG 61, 63, 78
posibles
eventos de
ciberseguridad.
28
Prioridad x
Perfil
DE.MC -7. Se P2 P2 P1 CIS CSC 1, 2, 3, 5, 9, 12, 13, SO.7 Registrar y monitorear los eventos de los
realiza 15, 16 sistemas.
monitoreo COBIT 5 DSS05.02,
para personas, DSS05.05
conexiones, ISO/IEC 27001:2013
dispositivos y A.12.4.1, A.14.2.7, A.15.2.1
software. NIST SP 80053 Rev. 4
AU-12, CA-7, CM-3, CM8,
PE-3, PE-6, PE-20, SI-4
DE.MC -8. Se P2 P2 P1 CIS CSC 4, 20 CN.3 Revisar regularmente los sistemas de
realizan COBIT 5 BAI03.10, información mediante pruebas de intrusión (ethical
escaneos de DSS05.01 hacking) y evaluación de vulnerabilidades.
vulnerabilida- ISA 62443-2-1:2009 4.2.3.1,
des. 4.2.3.7
ISO/IEC 27001:2013 A.12.6.1
RA-5
EMG 63
DE.PD. Procesos de detección
Se mantienen procesos, procedimientos de detección y prueba para asegurar el conocimiento oportuno y adecuado
de los eventos anómalos.
DE.PD -1. Los P2 P2 P1 CIS CSC 19 SO.7 Registrar y monitorear los eventos de los
roles y las COBIT 5 APO01.02, sistemas.
responsabilida- DSS05.01, DSS06.03
des de ISA 62443-2-1:2009
detección se 4.4.3.1
encuentran ISO/IEC 27001:2013
definidos para A.6.1.1, A.7.2.2
asegurar NIST SP 80053 Rev. 4
responsabilida- CA-2, CA7, PM-14
des. EMG 63
DE.PD -2. Las P3 P2 P1 COBIT 5 DSS06.01, CN.1 Cumplir con los requisitos nor mativos.
actividades de MEA03.03, MEA03.04
detección ISA 62443-2-1:2009
cumplen con 4.4.3.2
todos los ISO/IEC 27001:2013
requisitos A.18.1.4, A.18.2.2, A.18.2.3
aplicables. NIST SP 80053 Rev. 4
AC-25, CA-2, CA7, SA-18,
SI4, PM -1
DE.PD -3 Los P3 P2 P1 COBIT 5 APO13.02, AD.1 Incluir requi sitos de seguridad de la información
procesos de DSS05.02 durante todo el ciclo de vida de los proyectos de
detección son ISA 62443-2-1:2009 desarrollo o adquisiciones de software.
probados. 4.4.3.2
ISA 62443-3-3:2013 SR
3.3
ISO/IEC 27001:2013
A.14.2.8
CA-2, CA7, PE3, SI3, SI-
4, PM -14
DE.PD -4. La P2 P2 P1 CIS CSC 19 OR.3 Definir los para el contacto formal con
información COBIT 5 APO08.04, autoridades y equipo de respuesta.
de la APO12.06, DSS02.05
detección de ISA 62443-2-1:2009 GI.2 Contar con mecanismos que permitan evaluar los
eventos es 4.3.4.5.9 eventos de seguridad de la información y decidir si se
comunicada a ISA 62443-3-3:2013 SR clasifican como incidentes de seguridad de la
las partes 6.1 información.
pertinentes. ISO/IEC 27001:2013
A.16.1.2, A.16.1.3
29
Prioridad x
Perfil
NIST SP 80053 Rev. 4 GI.3 Informar de forma completa e inmediata la
AU-6, CA-2, CA-7, RA-5, existencia de un potencial incidente de segur idad
SI-4 informática al CERTuy o equipo de respuesta externo
EMG 63 correspondiente.
GI.4 Registrar y reportar las violaciones a la seguridad

de la información, confirmadas o sospechadas de
acuerdo a los procedimientos correspondientes.
SO.7 Registrar y monitorear los eventos de los

sistemas.
DE.PD -5. Los P3 P2 P2 COBIT 5 APO11.06, GI.6 Establecer los mecanismos que le permitan a la
procesos de APO12.06, DSS04.05 organización aprender de los incidentes ocurridos.
detección son ISA 62443-2-1:2009
mejorados 4.4.3.4
continuamente. ISO/IEC 27001:2013
A.16.1.6
NIST SP 80053 Rev. 4,
CA-2, CA-7, PL -2, RA5,
SI4, PM -14
30
4.4 Función: RESPONDER (RE)
Prioridad x
Perfil
RE.PR. Planificación de la respuesta
Los procesos y p rocedimientos de respuesta se ejecutan y se mantienen garantizando una respuesta oportuna para
detectar eventos de ciberseguridad.
RE.PR-1. El plan P1 P1 P1 CIS CSC 19 GI.5 Responder ante incidentes de seguridad de la

de respuesta se COBIT 5 APO12.06, información.
ejecuta durante BAI01.10
o luego de un ISA 62443-2-1:2009
evento. 4.3.4.5.1
ISO/IEC 27001:2013 A.16.1.5
CP-2, CP-10, IR-4, IR-8
EMG 20, 21, 63
RE.CO. Comunicaciones
Las actividades de respuesta se coordinan con las partes interes adas internas y externas, según corresponda.
RE.CO-1. El P2 P1 P1 CIS CSC 19 GH.2 Concientizar y formar en materia de seguridad de

personal COBIT 5 EDM03.02, la información a todo el personal.
conoce sus APO01.02, APO12.03
roles y el orden ISA 62443-2-1:2009 GI.1 Planificar la gestión de los incidentes de seguridad
de operaciones 4.3.4.5.2, 4.3.4.5.3, de la información.
cuando es 4.3.4.5.4
necesaria una ISO/IEC 27001:2013 GI.3 Informar de forma completa e inmediata la
respuesta. A.6.1.1, A.7.2.2, A.16.1.1 existencia de un potencial incidente de seguridad
NIST SP 800-53 Rev. 4 informática al CERTuy o equipo de respuesta externo
CP-2, CP-3, IR3, IR-8 correspondiente.
EMG 63
GI.5 Responder ante incidentes de seguridad de la
información.
RE.CO-2. Los P2 P2 P1 CIS CSC 19 OR.3 Definir los mecanismos para el contact o formal
eventos son COBIT 5 DSS01.03 con autoridades y equipo de respuesta.
reportados ISA 62443-2-1:2009
consistenteme 4.3.4.5.5 GI.1 Planificar la gestión de los incidentes de seguridad
nte con los ISO/IEC 27001:2013 de la información.
criterios A.6.1.3, A.16.1.2
establecidos. NIST SP 800-53 Rev. 4 GI.4 Registrar y reportar las violaciones a la seguridad de
AU-6, IR-6, IR8 la información, confirmadas o sospechadas de acuerdo
EMG 63 a los procedimientos correspondientes.
RE.CO-3. La P2 P1 P1 CIS CSC 19 GI.5 Responder ante incidentes de seguridad de la
información se COBIT 5 DSS03.04 información.
comparte ISA 62443-2-1:2009
consistente- 4.3.4.5.2
mente con los ISO/IEC 27001:2013
planes de A.16.1.2, Cláusula 7.4,
respuesta. Cláusula 16.1.2
CA2, CA-7, CP-2, IR4,
IR-8, PE6, RA-5, SI-4
RE.CO-4. La P2 P1 P1 CIS CSC 19 OR.3 Definir los mecanismos para el contacto formal
coordinación COBIT 5 DSS03.04 con autoridades y equipo de respuesta.
con las partes ISA 62443-2-1:2009
interesadas se 4.3.4.5.5 GI.1 Planificar la gestión de los incidentes de segurida d
realiza ISO/IEC 27001:2013 de la información.
consistente- Cláusula 7.4
mente con los
31
Prioridad x
Perfil
planes de NIST SP 800-53 Rev. 4 GI.5 Responder ante incidentes de seguridad de la
respuesta. CP-2, IR4, IR-8 información.
EMG 63
RE.CO-5. Se P3 P1 P1 CIS CSC 19 OR.3 Definir los mecanismos para el contacto formal
realiza COBIT 5 BAI08.04 con autoridades y equipo de respuesta.
intercambio de ISO/IEC 27001:2013
información A.6.1.4
voluntaria con NIST SP 800-53 Rev. 4
partes SI-5, PM-15
interesadas
externas para
alcanzar una
conciencia de
ciberseguridad
más amplia.
RE.AN. Análisis
Se efectúa análisis para asegurar una respuesta adecuada y dar so porte a las actividades de recuperación.
RE.AN-1. Se P2 P2 P1 CIS CSC 4, 6, 8, 19 GI.2 Contar con mecanismos que permitan evaluar los
investigan las COBIT 5 DSS02.04, eventos de seguridad de la información y decidir si se
notificaciones DSS02.07 clasifican como incidentes de seguridad de la
de los sistemas ISA 62443-2-1:2009 información.
de detección. 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
ISA 62443-3-3:2013 SR 6.1 GI.5 Responder ante incidentes de seguridad de la
ISO/IEC 27001:2013 información.
A.12.4.1, A.12.4.3, A.16.1.5
NIST SP 800-53 Rev. 4 SO.7 Registrar y monitorear los eventos de los sistemas.
AU-6, CA-7, IR-4, IR-5,
PE-6, SI-4
EMG 63
RE.AN-2. El P2 P1 P1 COBIT 5 DSS02.02 GI.2 Contar con mecanismos que permitan evaluar los
impacto del ISA 62443-2-1:2009 eventos de seguridad de la información y decidir si se
incidente es 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8 clasifican como incidentes de seguridad de la
comprendido. ISO/IEC 27001:2013 información.
A.16.1.4, A.16.1.6
NIST SP 800-53 Rev. 4 GI.5 Responder ante incidentes de seguridad de la
CP-2, IR4 información.
EMG 63
RE.AN-3. Se P2 P1 P1 COBIT 5 APO12.06, GI.5 Responder ante incidentes de seguridad de la
realiza análisis DSS03.02, DSS05.07 información.
forense. ISA 62443-3-3:2013 SR
2.8, SR 2.9, SR 2.10, SR
2.11, SR 2.12, SR 3.9, SR
6.1
ISO/IEC 27001:2013
A.16.1.7
AU-7, IR-4
RE.AN-4. Los P2 P2 P1 CIS CSC 19 GI.2 Contar con mecanismos que permitan evaluar los
incidentes son COBIT 5 DSS02.02 eventos de seguridad de la información y decidir si se
categorizados ISA 62443-2-1:2009 clasifican como incidentes de seguridad de la
consistente- 4.3.4.5.6 información.
mente con los ISO/IEC 27001:2013
planes de A.16.1.4
respuesta. NIST SP 800-53 Rev. 4
CP-2, IR4, IR-5, IR-8
RE-AN-5. Se P2 P1 P1 CIS CSC 4, 19 GI.5 Responder ante incidentes de seguridad de la
establecen COBIT 5 EDM03.02, información.
procesos para DSS05.07
recibir, analizar y NIST SP 800-53 Rev. 4
responder a las SI-5, PM-15
32
Prioridad x
Perfil
vulnerabilidades
divulgadas a
la organización
desde fuentes
internas y
externas (por
ejemplo,
pruebas
internas,
boletines de
seguridad o
investigadores
de seguridad).
RE.MI. Mitigación
Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.
RE.MI-1. Se P2 P1 P1 CIS CSC 19 GI.5 Responder ante incidentes de seguridad de la

logra contener COBIT 5 APO12.06 información.
los incidentes. ISA 62443-2-1:2009
4.3.4.5.6
ISA 62443-3-3:2013 SR 5.1,
SR 5.2, SR 5.4
ISO/IEC 27001:2013
A.12.2.1, A.16.1.5
NIST SP 800-53 Rev. 4 IR4
EMG 63
RE.MI-2. Se P2 P1 P1 CIS CSC 4, 19 GI.5 Responder ante incidentes de seguridad de la
logra mitigar COBIT 5 APO12.06 información.
los incidentes. ISA 62443-2-1:2009
4.3.4.5.6, 4.3.4.5.10
ISO/IEC 27001:2013
A.12.2.1, A.16.1.5
NIST SP 800-53 Rev. 4 IR4
EMG 63
RE.MI-3. Las P2 P2 P1 CIS CSC 4 COBIT 5 SO.1 Gestionar las vulnerabilidades t écnicas.
nuevas APO12.06
vulnerabilidades ISO/IEC 27001:2013
identificadas A.12.6.1
se mitigan o NIST SP 800-53 Rev. 4
documentan CA7, RA-3, RA-5
como riesgos
aceptados.
RE.ME. Mejoras
Las actividades de respuesta de la organización son mejoradas por la incorporación de lecciones aprendidas de las
actividades de detección y respuesta actuales y anteriores.
RE.ME-1. Los P3 P2 P1 COBIT 5 BAI01.13 GI.6 Establecer los mecanismos que le permitan a la
planes de ISA 62443-2-1:2009 organización aprender de los incidentes oc urridos.
respuesta 4.3.4.5.10, 4.4.3.4
incorporan ISO/IEC 27001:2013
lecciones A.16.1.6, Cláusula 10
aprendidas. NIST SP 800-53 Rev. 4
CP-2, IR4, IR-8
RE.ME-2. Las P2 P1 P1 COBIT 5 BAI01.13, GI.5 Responder ante incidentes de seguridad de la
estrategias de DSS04.08 información.
respuesta se ISO/IEC 27001:2013
actualizan. A.16.1.6, Cláusula 10
CP-2, IR4, IR-8
33
4.5 Función: RECUPERAR (RC)
Prioridad x
Perfil
RC.PR. Planificación de la recuperación
Los procesos y procedimientos de recuperación son ejecutados y mantenidos para asegurar la restauración
oportuna de los sistema s o activos afectados por eventos de ciberseguridad.
RC.PR-1. El plan P2 P1 P1 CIS CSC 10 GI.5 Responder ante incidentes de seguridad de la

de recuperación COBIT 5 APO12.06, información.
se ejecuta DSS02.05, DSS03.04
durante o luego ISO/IEC 27001:2013 A.16.1.5 GI.6 Establecer los mecanismos que le permitan a
de un evento. NIST SP 800-53 Rev. 4 la organización aprender de los incidentes
CP-10, IR-4, IR-8 ocurridos.
EMG 62
CO.4 Planificar la continuidad de las operaciones y
recuperación ante desastres.
RC.ME. Mejoras
Se mejoran los planes y procesos de recuperación incorporando las lecciones aprendidas en actividades futuras.
RC.ME-1. Los P3 P2 P1 COBIT 5 APO12.06, GI.6 Establecer los mecanismos que le permitan a
planes de BAI05.07, DSS04.08 la organización aprender de los incidentes
recuperación ISA 62443-2-1:2009 4.4.3.4 ocurridos.
incorporan ISO/IEC 27001:2013
lecciones A.16.1.6, Cláusula 10
aprendidas. NIST SP 800-53 Rev. 4
CP-2, IR4, IR-8
RC.ME-2 Las P2 P1 P1 COBIT 5 APO12.06, PL.2 Revisión periódica y mejora continua del SGSI.
estrategias de BAI07.08
recuperación se ISO/IEC 27001:2013
actualizan. A.16.1.6, Cláusula 10
CP-2, IR4, IR-8
RC.CO. Comunicaciones
Las actividades de recuperación se coordinan con las partes i nteresadas internas y externas, como centros de
coordinación, proveedores de servicios de Internet, propietarios de los sistemas afectados, las víctimas, otros CSIRT y
vendedores.
RC.CO-1. Se P3 P2 P1 COBIT 5 EDM03.02 CO.6 Definir los mecanismos de comunicación e

gestionan las ISO/IEC 27001:2013 A.6.1.4, interlocutores válidos.
relaciones Cláusula 7.4
públicas. EMG 62
RC.CO-2. Se P3 P2 P1 COBIT 5 MEA03.02 CO.6 Definir los mecanismos de comun icación e
repara la ISO/IEC 27001:2013 interlocutores válidos.
reputación luego Cláusula 7.4
del evento.
RC.CO-3. Se P3 P2 P1 COBIT 5 APO12.06 CO.6 Definir los mecanismos de comunicación e
comunican las ISO/IEC 27001:2013 interlocutores válidos.
actividades de Cláusula 7.4
recuperación a NIST SP 800-53 Rev. 4
los interesados CP-2, IR4
internos y a los
equipos
ejecutivos y de
gestión.
34
5. Modelo de madurez
El modelo de madurez propuesto incluye 5 niveles (del 0 al 4), donde este
último es el más alto. Cada nivel superior incluye los niveles inferiores, por lo
tanto, cumplir con las pautas del nivel 4 implica cumplir también con las pautas
del nivel 1, 2 y 3.
El nivel 0 de madurez (que no se incluye en el presente modelo de madurez)

indica que las acciones vinculadas a seguridad de la información y
ciberseguridad son casi o totalmente inexistentes.
5.1 Función: IDENTIFICAR (ID)

Subcategoría Nivel 1 Nivel 2 Nivel 3 Nivel 4
ID.GA. Gestión de activos
Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los
objetivos de negocio, se ide ntifican y gestionan en forma consistente, en relación con los objetivos
y la estrategia de riesgo de la organización.
ID.GA-1. Los Se confeccionan Se incluyen en Los procesos y Se realizan actividades

dispositivos y mantienen el inventario los procedimientos periódicas de control
físicos y inventarios de los dispositivos de actualización interno para verificar el
sistemas se dispositivos físicos (PC, de inventario se cumplimiento y
encuentran físicos almacenamient encuentran alineación con los
inventariados. (servidores, racks, o extraíble, documentados y procedimientos
dispositivos de dispositivos de están basados en establecidos.
networking, UPS, networking, software de
etc.) del centro impresoras, inventario. Se
de datos. otro tipo de automatiza el
equipamiento proceso cuando
utilizado, etc.) y esto es posible.
sistemas de
otras áreas de
la organización.
ID.GA-2. Las Se confeccionan Se incluyen en Ver ID.GA -1 Ver ID.GA -1 (nivel 4)
plataformas y mantienen el inventario las (nivel 3)
de software y inventarios de plataformas de Además, se lleva
aplicaciones software de base software y control del
se encuentran y software de aplicaciones de licenciamiento
inventariadas. aplicación del otras áreas de de software de
centro de datos. la organización. equipos
Se lleva control personales.
del
licenciamiento
de software de
equipos
servidores.
35
ID.GA-3 Se Ver PR.SD -2 Ver PR.SD -2 Ver PR.SD -2 Ver PR.SD -2
utilizan (nivel 1) (nivel 2) (nivel 3) (nivel 4)
medidas de
seguridad y
procedimientos
de gestión
para proteger
y controlar el
flujo de
información
interna y
externa.
ID.GA-4. El Los equipos Los activos Se han definido Las medida s de
equipamiento portátiles y informáticos de una política para protección
y los sistemas móviles de la la organización el uso adecuado implementadas en
de organización que a los que de los activos los activos
información serán usados acceden los informáticos y de informáticos se
utilizados fuera de las usuarios los sistemas de monitorean de
fuera de las instalaciones se cuentan con un información que forma proactiva
instalaciones encuentran responsable son usados fuera 7x24.
se encuentran inventariados, así identificado. Se de las Los sistemas de
identificados y como las limita el instalaciones de cifrado de los
se aplican aplicaciones y almacenamiento la organización. activos manejan
medidas para sistemas de información Se cuenta con un clave única a nivel
mantener la instalados en sensible en el programa de de la organización,
seguridad de dichos activo, o la capacitación a los además utilizan
la información. dispositivos. Estos misma cuenta usuarios que una clave de
activos cuentan con controles hacen uso de los cifrado personal.
con al menos un adicionales (por activos.
factor de ejemplo, cifrado Se realiza un
autenticación de la control periódico
para acceder a la información). de los activos que
información. contienen
Los equipos información
móviles cuentan sensible y existe
con un sistema un plan de
de borrado del respuesta en caso
dispositivo en de pérdida o robo
caso extravió o de los mismos.
robo. Los equipos Los activos de
portátiles información
cuentan con identificados
medidas mínimas como críticos son
de protección accedidos con
física (como por doble factor de
ejemplo linga de autenticación.
seguridad).
ID.GA-5. Los Se identifican los Se clasifican los Ver ID.GA -1 La clasificación de
activos (p or activos activos de (nivel 3) la información es
ejemplo: (servidores, PC, acuerdo a los Además, el parte integral de la
hardware, dispositivos criterios de software de gestión de los
dispositivos, móviles o de clasificación de inventario activos.
datos y almacenamiento) la información gestiona la Se realizan
software) se que contienen la establecidos clasificación de la actividades
encuentran información más (alineados a la información periódicas de
clasificados en crítica de la normativa contenida en los control interno, o
función del organización. vigente) y a la activos. cuando el negocio
tipo de así lo requiere, para
36
información valoración de verificar que el
que contienen esta. inventario de
o procesan y activos se
en el valor que encuentra
poseen para el clasificado y
negocio. actualizado.
ID.GA-6. Los Se ha designado El CSI sesiona Se definen Se realizan
roles y al RSI y al CSI. periódicamente formalmente y actividades de
responsabilida- Se definen los y se registra n las documentan las control interno
des de propietarios de reuniones. responsabilidades para verificar la
seguridad de los activos, los del RSI y del CSI. segregac ión de
la información cuales son Se definen otros roles en conflicto y
y responsables por roles y áreas de
ciberseguridad su protección. responsabilidades responsabilidad.
se de seguridad de El resultado de
encuentran la información estas actividades es
asignados. que incluyen, por comunicado al RSI
ejemplo, y demás
responsable por interesados.
la gestión de
riesgos de
seguridad,
responsa ble de la
gestión de
incidentes,
responsable de la
gestión de
vulnerabilidades y
parches,
responsable de
monitoreo, entre
otros. Los roles y
responsabilidades
se encuentran
documentados.
ID.AN. Ambiente del negocio
La misión de la organización, sus objetivos, interesados y actividades son comprendidos y

priorizados; esta información es utilizada para informar a los roles de ciberseguridad sobre
responsabilidades y decisiones relacionadas a la gestión de riesgos.
ID.AN-3. Se Se establecen Los objetivos de Se difunden los Los objetivos de

establecen y objetivos anuales seguridad de la objetivos anuales seguridad de la
se comunican en relación con la información se de seguridad de información se
las prioridades seguridad de la llevan a cabo la información al llevan a cabo
para la misión información, mediante un personal y/o mediante
de la documentados y plan de acción. partes proyectos formales
organización, discutidos a nivel interesadas. de seguridad de la
sus obje tivos y del CSI. Se Se trabaja en el información.
actividades. establecen plan de acción de Se define una
acciones para forma articulada estrategia de
lograr el con actores de la seguridad de la
cumplimiento de organización para información y
los objetivos. cumplir con los ciberseguridad
objetivos. alineada a la
estrategia a
mediano-largo
37
plazo y ésta es
difundida.
ID.AN-4. Se Se identifican los Se identifican Se documentan, Se documenta y
establecen las servicios críticos las aprueban y prioriza el manejo
dependencias de la dependencias gestionan los de los servicios
y funciones organización y de los cambios en los críticos de toda la
fundamentales cuáles son los componentes componentes infraestructura
para la componentes prioritarios y se prioritarios y sus tecnológica,
entrega de prioritarios del establecen dependencias haciendo énfasis en
servicios centro de datos planes de (actualización, los componentes
críticos. para la entrega mantenimiento mantenimiento y prioritarios para el
de los mismos. para los reemplazo) funcionamiento de
Se define el mismos. vinculados a los la organización, los
tratamiento Se determina servicios críticos. cuales son
proactivo para los niveles de Se realizan las monitoreados de
atender eventos e capacidad notificaciones manera
incidentes de mínima para pertinentes a automatizada.
ciberseguridad. poder todas las partes Se envían alertas
garantizar la interesadas. del estado de los
entrega de los Periódicamente componentes a nte
servicios críticos. se valida y los cambios de
Se realiza formaliza la entorno.
gestión de gestión de Se realiza una
capacidad. capacidad y gestión de
forma parte de la capacidad a largo
gobernanza de plazo (más de 3
ciberseguridad. años).
ID.AN-5. Se El centro de datos Se han definido Se cuenta con un Se definen y
establecen cuenta con UPS y las ventanas de plan de ejecutan pruebas al
requisitos de componentes tiempo máximo continge ncia y plan de
resiliencia para redundantes e n soportadas por recuperación contingencia y
soportar la lo que refiere a el negocio sin aprobado por la recuperación.
entrega de conexión poder operar. Dirección. Su Todos los
servicios eléctrica, El centro de alcance está involucrados están
críticos. componentes de datos cuenta asociado al interiorizados en el
acondicionamien- con generador menos a los plan y su ejecución.
to térmico e eléctrico capaz procesos críticos Las pruebas son
infraestructura de de alimentar a de la tomadas como
comunicaciones. todos los organización. Se insumo para las
componentes comienzan las lecciones
críticos. La pruebas del plan aprendidas y
Dirección apoya para uno o varios retroalimentan la
la planificación de los procesos toma de
de la críticos. decisiones.
contingencia,
por ejemplo,
facilitando la
participación de
recursos
humanos y
proveyendo los
recursos
materiales
necesarios.
38
ID.GO. Gobernanza
Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios,
legales, ambientales y operativos de la organización, son comprendidos y se informa a las
gerencias sobre los riesgos de ciberseguridad.
ID.GO-1. La Se cuenta con Se definen La política de Se ha desarrollado

política de una política de formalmente seguridad de la un conjunto
seguridad de seguridad de la políticas sobre información y las razonable de
la información información temas políticas políticas y
se encuentra aprobada por la específicos que específicas son procedimientos
establecida. Dirección. La dan soporte a la revisadas cuando específicos
política de política de ocurren cambios alineados al Marco
seguridad de la seguridad de la significativos de Ciberseguridad
información se información. (ambiente de y a la guía de
difunde al negocio, implementación
personal. ambiente técnico, conformando un
normativa, etc.) SGSI. Se definen
para analizar su indicadores para
vigencia, medir la efectividad
idoneidad y del SGSI y se
pertinencia, planifica y realiza la
siendo deseable revisión formal de
que las mismas éste por parte del
sean revisadas CSI.
formalmente a
intervalos
regulares. El
resultado de estas
revisiones de
documentan y
comunican al CSI
y demás partes
interesadas.
ID.GO-2. Los El RSI coordina El RSI es El RSI, o quien El RSI coordina las
roles y las las actividades de referente de la este determine, actividades del
responsabilida seguridad de la temática ante coordina las plan anual (las
des de la información de su su organiz ación tareas de gestión cuales se
seguridad de organización. y participa en la de riesgos con los documentan) con
la información gestión de responsables de los principales
están incidentes y la gestión de riesgos actores
coordinados y gestión de de seguridad y involucrados de su
alineados con riesgos de con los organización
roles internos seguridad. propietarios de (directores de área,
y socios El RSI, o quien los activos de gerentes, otros RSI,
externos. este determine, información. etc.).
oficia como
punto de
contacto con el
CERTuy o CSIRT
según
corresponda.
39
ID.GO-3. Los Se identifican los Las pautas que Se realizan Se realizan
requisitos requisitos ha definido la revisiones actividades de
legales y normativos organización basadas en la control interno
regulatorios relacionados a relacionadas normativa para verificar el
sobre la seguridad de la con seguridad aplicable para cumplimiento del
ciberseguridad, información y de la detectar desvíos SGSI.
incluyendo las ciberseguridad, información de cumplimiento. Los resultados de
obligaciones protección de están alineadas El resultado es las revisiones se
de privacidad datos personales, o hacen comunicado a la utilizan para la
son acceso a la referencia a la RSI y/o al CSI. mejora continua
comprendidos información normativa del SGSI y apoyan a
y se gestionan. pública y vigente en la la toma de
propiedad materia. decisiones.
intelectual.
ID.GO-4. El área Se establece un Se establece la La gestión de
Construcción responsable de responsable de política de riesgos está en
de procesos del centro de la gestión de gestión de riesgo. línea con los
de datos realiza las riesgo, el cual se El proceso de objetivos de
gobernanza y actividades de encarga de gestión de riesgos negocio. Se
administración gestión de riesgo desarrollar una se encuentra elaboran informes
de riesgos para apoyar sus metodología centralizado, por y reportes que
dirigidos a procesos en base unificada para la lo que se analiza sirven que
atender los a su experiencia y evaluación de de forma integral permiten elaborar
problemas de apreciación de la riesgos de los riesgos de métricas e
ciberseguridad. ciberseguridad. ciberseguridad ciberseguridad indicadores de
de la (operativos, de cumplimiento de la
organización. negocio, etc.) de organización,
Los riesgos de todas las áreas de ayudando a reducir
ciberseguridad la organización. los efectos no
son evaluados deseados de los
para toda la riesgos evaluados.
organización. Se retroalimenta el
Se incorporan proceso con
los actores auditorías internas
críticos de cada o externas que
área, que serán ayudan a evitar
los encargados desviación en el
de implementar proceso.
los controles
definidos.
ID.ER. Evaluación de riesgos
La organización comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
ID.ER-1. Se El software de Se cuenta con Existe un Se realizan

identifican y base y un ambiente procedimiento auditorías
documentan aplicaciones para pruebas de documentado y independientes en
las críticas se los parches un responsable forma periódica.
vulnerabilidad encuentran previo a su de la gestión de Las mismas son
es de los actualizados y puesta en vulnerabilidades y tomadas como
activos. con los últimos producción. parches. insumo para la
parches que les Se realizan Las pruebas de toma de decisiones
correspondan. pruebas de intrusión (ethic al y la mejora
Se tienen intrusión hacking) y continua del SGSI.
identificados (ethical hacking) evaluación de
aquellos activos y evaluación de vulnerabilidades
que por su vulnerabilidades de los sistemas
40
tecnología no de los sistemas críticos se realizan
pueden ser críticos de la con una
actualizados, organización. El periodicidad
detallando los resultado de las establecida,
controles pruebas y el alineada a las
compensatorios plan de acción necesidades de la
implementados. se comunican a organización.
las partes Como mínimo se
interesa das. realiza un
escaneo de
vulnerabilidades
semestral y una
prueba de
intrusión anual.
ID.ER-2. El personal de El personal de Se ha definido un Existe sinergia
Recepción de seguridad de la seguridad de la procedimiento entre el personal
información información y/o información y/o documentado de de seguridad de la
sobre de TI se mantiene de TI recibe contacto con información de la
amenazas y actualizado sobre algún tipo de autoridades organización y el
vulnerabilidad las últimas entrenamiento internas y personal que oficia
es por parte de amenazas y periódico sobre externas como punto de
grupos y vulnerabilidades amenazas y (contemplando contacto con
fuentes que surgen para vulnerabilidades especialmente los autoridades, por
especializadas. sus sistemas y . centros de medio de
plataformas. respuesta a reuniones
incidentes de periódicas u otros
seguridad que mecanismos,
existan, por donde se tratan
ejemplo, DCSIRT, temas de
CSIRT Antel, actualidad sobre
CERTuy, CSIRT amenazas y
Ceibal, etc.). vulnerabilidades.
El punto de La sinergia debe
contacto (RSI o contemplar al
quien este equipo de
determine) y respuesta a
demás personal incidentes que
de seguridad de corresponda.
la información,
forman parte de
grupos
especializados
que participan al
menos una vez
por año en
eventos y
conferencias
sobre seguridad.
ID.ER-3. Se han Se cuenta con Se define una El responsable de
Identificación identificado las un inventario de política de la gestión de los
y amenazas y riesgos de gestión de riesgos de
documentación vulnerabilidades seguridad de la riesgos. seguridad de la
de las de los activos de información que Los riesgos se información trabaja
amenazas información del incluye riesgos revisan en forma
internas y centro de datos. asociados a periódicamente. coordinada con el
externas La revisión de los otros activos de La revisión se RSI, los propietarios
riesgos se realiza información que documenta de los activos de
ad-hoc y sin no se formalmente y es
41
periodicidad encuentran en comunicada al información y el
establecida. el alcance del CSI y demás CSI.
centro de datos. partes El resultado de la
Se define un interesadas. revisión de los
responsable de riesgos se elev a
la gestión de formalmente al CSI,
riesgos de la a la Dirección de la
ciberseguridad. organización y
demás partes
interesadas. Se
realizan actividades
de control interno
para verificar el
cumplimiento con
la política
establecida.
ID.ER-4. La identificación Se cuenta con Los riesgos se Se cuenta con el BIA
Identificación de los principales un inventario de revisan con una definido,
del impacto riesgos incluye el riesgos de frecuencia al considerando al
potencial en el impacto seguridad de la menos semestral. menos el impacto a
negocio y la potencial en el información que La revisión se nivel de imagen,
probabilidad negocio incluye el documenta económico y en los
de ocurrencia. determinado de impacto formalmente. usuarios.
forma cualitativa potencial en el Se trabaja en la Se ha definido un
(por ejemplo: alto, negocio, elaboración de un responsable de la
medio-alto, determinado al BIA. Este análisis gestión de los riesgos
medio y bajo) y la menos en forma incluye la de seguridad de la
probabilidad de cualitativa. identificación de información que
ocurrencia (por los procesos trabaja en forma
ejemplo: alta, críticos y sistemas coordinada con el
media, baja). de información RSI, los responsable
que los soportan. de los activos de
información y el CSI.
El responsable de
gestión de riesgos de
seguridad de la
información
identifica los riesgos
de seguridad de la
información de todos
los activos de
información de la
organización.
El resultado de la
revisión de los
riesgos se eleva
formalmente al CSI,
a la Dirección
y demás partes
interesadas.
La revisión periódica
de los riesgos y del
BIA aporta
información para la
toma de decisiones.
42
ID.ER-5. Las Ver ID.ER -4 Ver ID.ER -4 Ver ID.ER -4 Ver ID.ER -4
amenazas, (nivel 1) (nivel 2) (nivel3) (nivel 4)
vulnerabilida-
des,
probabilidad
de ocurrencia
e impactos se
utilizan para
determinar el
riesgo.
ID.ER-6. Se han definido Las respuestas a Las respuestas a La implementación

Identificación controles para la los riesgos se los riesgos se de los controles se
y priorización mitigación de incluyen en el revisan con una realiza de acuerdo
de las riesgos y inventario de frecuencia al a la prioridad
respuestas a respuesta a las riesgos de menos semestral explícita y formal
los riesgos. principales seguridad de la y la revisión se establecida por la
amenazas información. documenta Dirección.
identificadas. Se agregan formalmente y es Se ha definido un
Los controles respuestas a comunicada al responsable de la
podrán ser físicos, riesgos de CSI y a las otras gestión de los
lógicos o seguridad de la partes riesgos de
administrativos. información que interesadas. seguridad de la
se encuentran información que
fuera del trabaja en forma
alcance del coordinada con el
centro de datos. RSI, los propietarios
de los activos de
información y el
CSI.
ID.GR. Estrategia para la gestión de riesgos
Se establecen las prioridades, restricciones, tolerancia al riesgo y supuestos de la organización y se

utilizan para soportar las decisiones de los riesgos operacionales.
ID.GR-1. Los Se cuenta con un Se cuenta con Ver ID.ER -3 Ver ID.ER -3
procesos de proceso para la una (nivel 3). (nivel 4).
gestión de gestión de riesgos metodología de
riesgos se de los gestión de
encuentran componentes del riesgo que
establecidos, centro de datos y permite evaluar
gestionados y servicios críticos los riesgos de
aprobados por de forma ciberseguridad
todos los independiente. de forma
interesados de periódica.
la Se establece un
organización. plan de trabajo
para el
tratamiento de l
riesgo.
Se ha definido
un responsable
de la gestión de
riesgos de la
ciberseguridad.
43
ID.GR-2. Se Se define la Se establece La metodología La tolerancia
determina y se tolerancia de los claramente los de gestión de establecida se
expresa de riesgos umbrales de riesgo permite revisa
forma clara la inherentes que tolerancia al delimitar las periódicamente y
tolerancia al pueden afectar riesgo, basad os tolerancias que se modifica ante
riesgo a nivel los activos que se en análisis de puede soportar la cambios o las
de toda la encuentran en el riesgo o análisis organización en necesidades del
organización. centro de datos y de impacto del base a sus negocio, la cual es
que soportan los negocio (BIA) objetivos, RTO, apoyada por todas
servicios críticos para las áreas RPO y BIA entre las partes
para el vinculadas a otros. Los niveles interesadas,
funcionamiento tecnología. de servicios de los dirección y
de la proveedores se gerencias.
organización. ajustan conforme
la gestión de
riesgo de la
organización.
Se define la
tolerancia al
riesgo para todos
los procesos
considerados
críticos para la
organización.
ID.GR-3. La La tolerancia al Ver ID.GR -2 Ver ID.GR -2 Ver ID.GR -2
tolerancia al riesgo es (nivel 2) (nivel 3) (nivel 4)
riesgo de la determinada por
organización la posición de la
es organización con
determinada respecto a la
por su rol y entrega de los
pertenencia a servicios que
la suministran y que
infraestructur a puedan afectar el
crítica y por la desempeño de
evaluación de otras
riesgos organizaciones
específicos del (en particular la
sector al que que se hayan
pertenece. identificado como
prioritarias o
críticas para el
sector) que estén
interconectadas y
dependan de sus
servicios.
ID.CS. Gestión de riesgo s en la cadena de suministros
Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen

y se utilizan para respaldar las decisiones de riesgo asociadas con la gestión del riesgo de la
cadena de suministro. La org anización ha establecido e implementado los procesos para
identificar, evaluar y gestionar los riesgos de la cadena de suministro.
ID.CS-1. Los Se identifica los Se Se cuenta con Los procesos de

actores de la participantes de implementan una política y gestión de riesgo
organización la cadena de modelos de procedimiento se utilizan en la
identifican, suministro de los identificación que define la adquisición de
44
establecen, activos y servicios para abordar la gestión de productos y
evalúan, críticos del centro gestión de riesgos, la cual servicios, y se
gestionan y de datos de la riesg o asociado debe contemplar mantiene en todo
acuerdan los organización. a los toda la cadena de el ciclo de vida de
procesos de participantes de suministro los mismos. Esta
gestión del la cadena de (incluyendo gestión de riesgos
riesgo de la suministro de proveedores y es utilizada para la
cadena de los activos y demás servicios evaluación de los
suministro servicios críticos subcontratados). proveedores en
cibernética. de la Se define la base a servicio
organización. periodicidad de brindado en
Se definen las evaluaciones relación a las
métricas e de los necesidades del
indicadores proveedores. negocio. Las
para el evaluaciones son
seguimiento y tomadas en cuenta
control. para las
actualizaciones de
contratos y las
futuras
adquisiciones.
ID.CS-2. Los Los proveedores y Se identifican y Se cuenta con Los procesos de
proveedores y demás partes priorizan todos una política y adquisición
socios externas que los proveedores metodología para cuentan con todos
externos de los forman parte de de la cadena de la gestión de los aspectos de
sistemas de la cadena de suministro de riesgo, las que evaluación de
información, suministro de los servicios críticos contemplan en su seguridad de la
componentes servicios críticos de la evaluación de información y
y servicios se de la organización. riegos a los ciberseguridad
identifican, se organización, Se definen proveedores de la durante todo el
priorizan y se vinculados al aspectos de cadena de ciclo de vida desde
evalúan centro de datos, seguridad de la suministro de los la contratación de
mediante un son identificados, información y servicios críticos. un servicio o
proceso de priorizados y ciberseguridad sistema, hasta su
evaluación de evaluados en el para identificar culminación ya sea
riesgos de la análisis de las acciones por cambios de
cadena de riesgos, permitidas y no entorno u
suministro considerando su permitidas por obsolescencia,
cibernético. impacto en el lo proveedores. permitiendo que el
negocio. proceso de gestión
de riesgo evalúe
cada fase a fin de
satisfacer las
necesidades de
seguridad de la
organización.
ID.CS-3. Los Se cuenta con un Informar a los Se cuenta con Se realizan
contratos con inventario de proveedores de una política de auditorias
proveedores y proveedores, su participación gestión de periódicas para la
socios identificando en en el alcance de proveedores. evaluación de los
externos se cada caso su los objetivos de Se realizan proveedores. La
utilizan para participación en negocio de la gestión de misma es utilizada
implementar la cadena de organizació n, cambios de los para ajustar los
medidas suministro de los determinando proveedores servicios de los
apropiadas servicios críticos. los roles y conforme las proveedores en
diseñadas El proceso de responsabilida- necesidades de base a las
para cumplir adquisición de des en cada caso. adecuación del necesidades del
con los soluciones y negocio. negocio.
45
objetivos del servicios Los contratos y Se revisan
programa de establece SLA con los periódicamente
seguridad requisitos proveedores los niveles de
cibernética de mínimos de contemplan la servicios de los
una seguridad de la política de proveedores en
organización y información. seguridad y relación con el
el plan de demás medidas SLA acordado. Los
gestión de pertinentes que desvíos son
riesgos de la le exigen su la gestionados.
cadena de alineación a la
suministro estrategia de
cibernético. seguridad del
negocio.
ID.CS-4. Los Las áreas Se verifica que La política de la Las auditorías
proveedores y tecnológicas que el trabajo seguridad de la externas a
los socios mantienen el realizado por los información (o proveedores se
externos se centro de datos proveedores vinculada) realizan
evalúan de cuentan con un está ajustado a establece la sistemáticamente
forma rutinaria proceso, que se los parámetros ejecución de conforme el apetito
mediante ajusta a esperados auditorías de riesgo de la
auditorías, parámetros según los externas e organización.
resultados de determinados en términos independientes Se establece un
pruebas u los contratos pautados en los sobre aquellos monitoreo
otras formas establecidos contratos. proveedores permanente de los
de evaluación entre las partes, Se establecen catalogados servicios brindados
para confirmar para la evaluación reuniones como críticos por los
que cumplen de desempeño periódicas, o a para las proveedores.
con sus de proveedores y solicitud de la operaciones de la Se realiza
obligaciones demás partes organización, organización. seguimiento de los
contractuales. externas para contrastar Los desvíos planes de acciones
vinculadas a la los acuerdos identificados en la correctivas y se
cadena de establecidos evaluación de mide su
suministro de los contra los proveedores efectividad.
servicios críticos resultados de la cuentan con un Lo antes
de la evaluación del plan de acciones mencionado está
organización. proveedor, correctivas para integrado a la
permitiendo minimizar su evaluación de
apoyar los afectación a los riesgos y es
procesos de objetivos del utilizado para
gestión de negocio. Cada ajustar los SLA
riesgo en la acción está conforme a las
cadena de priorizada cuenta necesidades del
suministro. con un plazo de negocio.
Se deja registro ejecución
de las alineado a las
reuniones, de necesidades del
los desvíos y de negocio.
las acciones
correctivas.
ID.CS-5. Las Ver PR.PI -10 Ver PR.PI -10 Ver PR.PI -10 Ver PR.PI -10
pruebas y la (nivel 1) (nivel 2) (nivel 3) (nivel 4)
planificación
de respuesta y
recuperación
se llevan a
cabo con
proveedores.
46
5.2 Función: PROTEGER (PR)
PR.CA. Control de acceso
El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y

transacciones autorizadas.
PR.CA-1. Las Existen controles Existen pautas Se define una Se realizan

identidades y de acceso lógico definidas para la política y revisiones
credenciales se a redes, recursos realización de procedimiento de proactivas
emiten, se y sistemas de altas, bajas y acceso lógico a periódicas de los
administran, información modificaciones redes, recursos y privilegios de
se verifican, basados en de acceso lógico sistemas de acceso de los
se revocan y usuarios que además información. usuarios,
se auditan para nominados. incluyen La gestión de especialmente los
los dispositivos, aprobaciones. identidades y privilegiados,
usuarios y credenciales se según un
procesos realiza en forma procedimiento
autorizados. centralizada, al formal. Los
menos en forma resultados de las
administrativa. revisiones se
La revisión de documentan
privilegios se formalmente y se
realiza en forma comunican al RSI, a
reactiva frente a las gerencias y
un cambio o baja, demás partes
al menos para los interesadas.
sistemas críticos. Existe sinergia
entre las áreas de
gestión humana,
las gerencias y los
responsables de la
revisión de
privilegios para
obtener en tiempo
y forma la
información para
las revisiones. Se
de control interno
para verificar la
realización de
revisiones de
privilegios.
47
PR.CA-2. Se Existen controles Existen Se cuenta con Se revisan

gestiona y de acceso físico a controles de una política de periódicamente los
protege el las instalaciones acceso físico control de acceso registros de
acceso físico a de los centros de para otras áreas físico. Se accesos realizados
los activos. datos. Se definidas como establecen a los centros de
gestionan las seguras y se perímetros de datos y áreas
autorizaciones de gestionan las seguridad al seguras, según un
acceso al centro autorizaciones centro de datos y procedimiento
de datos. de acceso. áreas segu ras. Se formal.
realizan revisiones La revisión
reactivas. periódica de
accesos
retroalimenta la
gestión del acceso
físico. Se realizan
actividades de
control interno
para verificar el
cumplimiento de
los procedimientos
establecidos.
PR.CA-3. El acceso remoto Existen Existe un Se realizan
Gestión de se realiza acuerdos de no procedimiento revisiones
acceso mediante el uso divulgación documentado de periódicas de los
remoto. de firmados por el solicitud de usuarios con
comunicaciones y personal de la acceso remoto. acceso remoto.
mecanismos de organización Existe un Las revisiones
autenticación con permisos de responsable para periódicas de
seguros. acceso remoto y la asignación de accesos remotos
para permisos de incluyen la revisión
proveedores acceso remoto. de los registros de
que lo Los proveedores acceso remoto.
requieran. tienen permisos Esta información
Se otorga el de acceso remoto retroalimenta la
acceso remoto que caducan gestión del acceso
con base en una luego de remoto y
lista blanca de realizada la proporciona
todos los actividad (o de información para la
recursos una fecha toma de decisiones
disponibles. establecida) para de mejora
la cual se les continua. Se
otorgó el acceso. realizan actividades
Se implementa el de control interno
doble factor de para verificar el
autenticación cumplimiento de
para el acceso los procedimientos
remoto. establecidos.
Se centraliza el
acceso remoto al
menos en forma
administrativa.
48
PR.CA-4. El acceso a la red Se incorpora los Se define una Se define un

Gestión de y los sistemas principios de política de acceso procedimiento
permisos de cuentan con, al menor privilegio lógico que incluye documentado de
acceso, menos, usuario y y segregación el uso de usuarios revisión periódica
incorporando contraseña con de funciones. privilegiados. de derechos de
los principios usuarios Se identifican Se define una acceso de los
de menor nominados. El los casos que política de usuarios
privilegio y uso de usuarios requieren una gestión de incluyendo los
segregación genéricos y/o fuerte usuarios y privilegiados. El
de funciones. privilegiados se autenticación y contraseñas, y se resultado de las
encuentra verificación de instruye al revisiones se
controlado. identidad para personal para su comunica
determinar uso correcto. formalmente a las
métodos Se cuenta con un gerencias y otras
alternativos procedimiento partes interesadas.
(token, factor de para el ABM de Existe sinergia
doble usuarios. Los entre las áreas de
autenticación, derechos de gestión humana,
etc.). La gestión acceso son las gerencias y las
de usuarios y autorizados y se áreas de tecnología
permisos de cuenta con encargadas de
acceso se realiza registro d e tales habilitar
en forma acciones. técnicamente los
centralizada, al Se realizan derechos de acceso
menos del revisiones de los y se logra actuar
punto de vista derechos de proactivamente
administrativo. acceso de los frente a cambios
usuarios y se relacionados con el
cuenta con personal (altas,
registro de tales bajas,
acciones. modificaciones).
49
PR.CA-5. La red se Se identifican Se conoce y se Existe un

Protección de encuentra los posibles analiza el tráfico procedimiento
la integridad segmentada al dominios de red en los diferentes documentado de
de la red menos en redes en función de dominios de la monitoreo de los
incorporando con contacto las necesidades red. Se protegen diferentes
segregación directo con redes de la las segmentos
cuando es externas (por organización. comunicaciones apoyado, si es
apropiado. ejemplo, Internet) Se establece la entrantes y viable, por
y redes privadas segmentación salientes entre los herramientas
de la de las redes en diferentes automatizadas.
organización. función de los segmentos. Se El procedimiento
Existe un dominios trabaja en la de contención de
diagrama de red definidos para definición de incidentes se
actualizado. proteger la controles de encuentra alineado
infraestructura y detección de con la política de
los servicios de amenazas. gestión de
red. Se definen alertas incidentes. Se
Se genera una cuando el tráfico registran los
postura de no autorizado es incidentes que se
manejo de bloqueado o detectan en los
tráfico por detectado. diferentes
defecto entre Se define un segmentos para
segmentos. procedimiento de aprender de ellos y
contención de retroalimentar las
incidentes en el lecciones
segmento aprendidas
cuando se facilitando la toma
detectan las de decisiones.
amenazas.
PR.CA-6. Las Existe Todos los Existen y se Ver PR.CA -1
identidades segregación de usuarios aplican (nivel 4)
son verificadas los distintos roles nominados que procedimientos
y vinculadas a o perfiles del ingresan a los formales de
credenciales y personal que sistemas de la revisión de
afirmadas en accede al centro organización y permisos que
las de datos, y se en especial a los abarcan todo el
interacciones. generan y que contienen ciclo de vida (alta,
almacenan los información baja y
registros de las catalogada modificación) de
actividades que como sensible los usuarios
desempeñan. conocen y nominados y
entienden sus genéricos de los
responsabilida- sistemas de
des en base a la información.
seguridad de la
información y
están
notificados de
las medidas de
auditoría
implementadas
en los sistemas.
50
PR.CA-7. Se Todos los Se realiza Se define un Se establecen

autentican los sistemas control sobre los procedimiento de procesos de
usuarios, requieren usuarios acceso lógico a revisiones y
dispositivos y autenticación. privilegiados de las redes, auditorias continua
otros activos Todos los usuarios los sistemas y sistemas, recursos para verificar que
(por ejemplo, son nominados aplicaciones y dispositivos. las redes, sistemas,
autenticación conforme la (por ejemplo: Se disponen de recursos y
de un solo política de control bases de datos, controles de dispositivos están
factor o de acceso servidores, etc.). autenticación funcionando con la
múltiples definida por la Los accesos diferenciados, así autenticación y
factores) organización. remotos a como también configuración
acorde al La autenticación aplicaciones autenticación de requerida y
riesgo de la de dispositivos críticas del dispositivos, acordada por la
transacción para conexión y negocio se conforme la organización a fin
(por ejemplo, uso está realizar clasificación de la de mantener
riesgos de autorizada. utilizando más información a ser confidencialidad,
seguridad y de un control de accedida. integridad y
privacidad de autenticación. El Las medidas disponibilidad de la
individuos y uso de implementadas información. Al
otros riesgos dispositivos para el acceso realizar estos
para las externos están procedimientos de
organizaciones). requiere directamente revisión continua,
identificación asociadas al se consideran las
(inventariado y análisis de riesgos políticas, normas,
responsable) y sobre el acceso a estándares y
autentificación la información. regulaciones
(permiso de Se aplica el aplicables a la
acceso por el rol criterio de menor organización en
del usurario o privilegio para la relación a la
algún otro asignación de protección de
método). permisos. datos y privacidad
de la información.
PR.CF. Co ncientización y formación
El personal de la organización y socios de negocios, reciben entrenamiento y concientización

sobre seguridad de la información. Están adecuadamente entrenados para cumplir con sus
obligaciones referentes a la seguridad de la info rmación en alineación con las políticas,
procedimientos y acuerdos existentes.
PR.CF -1. Todos Se comienza a Se trabaja en la Las campañas de Se realizan

los usuarios se trabajar en elaboración de concientización actividades de
encuentran actividades campañas de son aprobadas y control interno
entrenados e propias de concientización se determina para verificar el
informados. difusión de para el personal. cómo se medirá desarrollo de las
información Se cuenta su éxito. campañas.
relacionada con formalmente Se planifica un Se evalúa el nivel
seguridad de la con los recursos cronograma para de conocimiento
información, para llevarla la realización de adquirido por el
incluyendo la adelante. las campañas. personal mediante
difusión de las Se definen actividades de
políticas y actores críticos, evaluación
mecanismos de objetivos, periódicas.
protección. estrategias, Estas actividades
son aprobadas por
51
tácticas y el CSI y apoyadas

audiencia. por la Dirección.
Se elabora el
material
educativo
necesario.
PR.CF -2. Los Los usuarios Se realizan Los usuarios Se define un plan
usuarios privilegiados actividades de privilegiados son de capacitación y
privilegiados demuestran concientización capacitados a entrenamiento en
comprenden conocimiento para usuarios través de cursos o seguridad de la
sus roles y respecto a la privilegiados talleres información
responsabilida- importancia de con cierta relevantes. teniendo en cuenta
des. sus roles y periodicidad. los perfiles e
responsabilidades. intereses de grupos
considerados
estratégicos. El
plan está aprobado
por la Dirección
que se
compromete con
su aplicación. El
plan es revisado y
actualizado
periódicamente y
se realizan acciones
de mejora
incorporando
lecciones
aprendidas.
PR.CF -3. Se han pautado Se realizan Los interesados Ver PR.CF -2
Interesados los roles y iniciativas de externos (nivel 4)
externos responsabilidades concientización comprenden sus
(proveedores, de los interesados para interesados roles y
clientes, socios)
externos. externos. responsa bilidades.
comprenden
sus roles y
responsabilida-
des.
PR.CF -4. La La Gerencia La Dirección La Dirección tiene Ver PR.CF -2
gerencia conoce y conoce y una participación (nivel 4)
ejecutiva comprende los comprende los activa en las
comprende riesgos de riesgos de instancias de
sus roles y seguridad de la seguridad de la concientización.
responsabilida- información. información.
des. La Gerencia
tiene una
participación
activa en las
iniciativas de
concientización.
PR.CF -5. El El personal de Se realizan con El personal de Ver PR.CF -2
personal de seguridad física y cierta seguridad física y (nivel 4)
seguridad de seguridad de periodicidad seguridad de la
física y de la información actividades de información es
seguridad de demuestra concientización capacitado a
52
la información concientización para el personal través de cursos o

comprende respecto a la de seguridad talleres
sus roles y importancia de física y relevantes.
responsabilida- sus roles y seguridad de la
des. responsabilidades. información.
PR.SD. Seguridad de los datos
La información y registros (datos) se gestionan en función de la estrategia de riesgo de la

organización para proteger la confidencialidad, integridad y disponibilidad de la información.
PR.SD-1. Los Se identifican los Los respaldos Se define una Se realizan

datos en datos históricos y y/o datos política de uso de revisiones
reposo respaldos que históricos offline controles periódicas sobre los
(inactivos) se deben ser se almacenan criptográficos respaldos y datos
encuentran protegidos en forma para respaldos y históricos para
protegidos. mediante cifrada. datos históricos. garantizar que se
mecanismos Se determinan los encuentran
seguros. responsables de protegidos según
Se establecen al la generación de lo determinado en
menos las claves que la política. Los
mecanismos de abarca todo su resultados de estas
control de acceso ciclo de vida. revisiones son
lógico y físicos. registrados e
informados al RSI.
PR.SD-2. Los Se implementa Los datos en Se define una Se realizan
datos en algún control tránsito de política de uso de revisiones
tránsito se criptográfico para todas las controles periódicas sobre los
encuentran asegurar la aplicaciones y criptográficos que controles
protegidos. protección de los sistemas se determina los criptográ ficos
datos en tránsito. encuentran lineamientos de utilizados para
protegidos protección asegurar la
mediante un necesaria de la protección de los
mismo conjunto información en datos que son
reducido de tránsito. Se enviados y
tecnologías y determinan los recibidos por los
prácticas responsables de diferentes sistemas
criptográficas. la generación de y aplicaciones. Los
las claves que resultados de estas
abarca todo su revisiones son
ciclo de vida. registrados e
informados al RSI.
PR.SD-3. Los Se definen pautas Se definen Se define una Se realizan
activos se para la puntos de política de actividades de
gestionan disposición final y disposición de destrucción de la control interno
formalmente a borrado seguro los medios. La información y sobre los
lo largo de la de medios de disposición y/o existe un procedimientos de
eliminación, almacenamiento. borrado seguro procedimiento eliminación y de los
las El personal está de medios de documentado lugares de
transferencias informado de la almacenamiento alineado con la disposición de
y disposición. importancia de la se lleva a cabo política. medios. Se
eliminación de mediante informan los
medios de actividades resulta dos al RSI y
almacenamientos coordinadas. demás partes
53
que no se interesadas. En
utilizarán más, caso de desvíos se
para preservar la toman las acciones
confidencialidad correctivas
de la información correspondientes.
contenida en
ellos.
PR.SD-4. Se La capacidad Se toman en Se planifica y Se cuenta con un
mantiene una actual instalada cuenta las define el proceso plan de capacidad
adecuada para la prestación necesidades de de gestión de la formal.
capacidad de los servicios capacidad al capacidad actual. Se define un
para asegurar críticos es momento de Se identifica al proceso de
la suficiente. dimensionar los responsable del estimación de la
disponibilidad. servicios críticos proceso de capacidad que
que se hayan gestión de la acompaña al plan.
identificado, de capacidad, sus La información se
acuerdo a las roles y utiliza para generar
necesidades responsabilidades. pronósticos.
actuales del El plan se revisa a
negocio. intervalos
Se realizan regulares.
mediciones Se proponen
objetivas para acciones para la
detectar mejora continua de
problemas de la gestión de la
capacidad. capacidad.
PR.SD-5. Se Se firman Se extiende la Los acuerdos Se revisan los
implementan acuerdos de no firma de contractu ales con contratos y
medidas de divulgación para acuerdos de no el personal y procedimientos de
protección los nuevos divulgación proveedores desvinculación de
contra fuga de proveedores de progresivamente reflejan las forma periódica
datos. servicios y para a toda la responsabilidades para verificar el
los nuevos organización. de seguridad de cumplimiento. Se
ingresos de la información registra el
personal. según el rol que resultado de las
ocupen en la revisiones y se
organización. utilizan para la
Existe un mejora de los
procedimiento procesos y
documentado procedimientos, así
para la como para la
desvinculación mejora continua d e
del personal que acuerdos y
incorpora la contratos.
revocación de Se registran y
accesos físicos y revisan los desvíos
lógicos. Se e incumplimientos
establecen las con los acuerdos de
responsabilidades no divulgación y
y acuerdos de no otras obligaciones
divulgación contractuales
indicando el relacionadas a
tiempo por el cual seguridad de la
continuarán información.
siendo válidos
54
estos aspectos. Se El resultado de las

implementan revisiones se
sistemas DLP comunica al RSI y
para controlar los demás partes
datos, según los interesadas.
objetivos del
negocio y
normativa act ual.
PR.SD-6. Se Se definen pautas La posibilidad Se trabaja en la Se cuenta con listas
realizan para la instalación de instalar elaboración de de software
chequeos de de software. software en los listas de software autorizado y/o
integridad Los equipos del equipos queda autorizado y prohibido,
para verificar personal cuentan restringida a los prohibido. Se revisadas por el RSI.
software, con protección usuarios que se cuenta con una Todos los
firmware e antivirus. encuentran solución antivirus servidores cuentan
integridad de Se realizan tareas autorizados centralizada y con algún tipo de
la información. de para ese fin. Se existe un protección o
concientización define un responsable de detección de
sobre prevención procedimiento y ella. Se define una malware. Se
ante software los responsables política de realizan actividades
malicioso. para la protección contra de control interno
instalación de software sobre la solución
software en malicioso. Se antivirus y sobre el
producción. Los cuenta con algún software instalado
servidores que mecanismo de con el fin de
ofician de control de acceso determinar el
distribuidores a sitios Web cumplimiento con
de archivos (por maliciosos y/o no las políticas y
ejemplo, autorizados. procedimientos.
servidores de Los resultados de
archivos o estas revisiones son
correo enviados al RSI y
electrónico), demás partes
cuentan con interesadas. En
una solución caso de desvíos se
antivirus. determinan las
acciones
correctivas.
PR.SD-7. Los El entorno de Se cuenta con Se define una Los responsables
entornos de producción se plataformas política de de la gestión de
desarrollo y encuentra adecuadas e separación de entornos participan
pruebas están separado del independientes entornos y un desde el inicio en
separados del resto de los que soportan el procedimiento los proyectos.
entorno de entornos y su uso ciclo de vida de documentado Se toman los
producción. es exclusivo para desarrollo de los para su gestión. recaudos
las aplicaciones sistemas. Se definen necesarios para e l
que dan soporte a Se responsables para manejo de
los servicios implementan la gestión de los información según
críticos que controles para el ambientes su clasificación
brinda la pasaje entre los existentes, y para durante las
organización. ambientes. los pasajes a pruebas.
producción. Se realizan
Durante la auditorías de
realización de las cumplimiento y
pruebas se control interno de
55
registra la la política de
información del separación de
entorno entornos y
(características, procedimientos
información de relacionados.
los datos de Se registran los
prueba, etc.) y resultados y se
esta información toman acciones
es conserv ada correctivas en
para asegurar la casos de desvíos.
calidad de los
resultados de las
pruebas y lograr
replicar a futuro
las condiciones
en las que se
efectúan.
PR.SD-8. Se Ver DE.MC -1 Ver DE.MC -1 Ver DE.MC -1 Ver DE.MC -1
utilizan (nivel 1) (nivel 2) (nivel 3) (nivel 4)
mecanismos
de
comprobación
de la
integridad
para verificar
la integridad
del hardware.
PR.PI. Procesos y procedimientos pa ra la protección de la información
Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para

gestionar la protección de los sistemas de información y los activos.
PR.PI -1. Existe Existen medidas Se define Se define una Se cuenta con
una línea base para comunicar y versionado y política de herramientas para
de la autorizar los líneas base de gestión de dar soporte a la
configuración cambios en el configuración cambios que gestión de los
de los ámbito de los productos contempla cambios. Se
sistemas de tecnológico. de software que también los realizan actividades
información permiten la cambios de de control interno
que es trazabilidad de emergencia en el para revisar el
mantenida. los cambios. ámbito cumplimiento con
tecnológico. los procedimientos
Se cuenta con un actuales. El
procedimiento resultado de estas
documentado actividades es
para la gestión de comunicado al RSI
los cambios. Los y demás partes
cambios a las interesadas. Se
líneas base se toman medidas
registran. correctivas ante
desvíos.
PR.PI -2. Se Se utilizan La seguridad de Se define un Se realizan
implementa el lineamientos la información procedimiento actividades de
ciclo de vida generales para el se toma en documentado de control interno
de desarrollo desarrollo de los cuenta en la pruebas, para determinar el
56
para gestionar sistemas especificación contemplando la nivel de

los sistemas. incluyendo de requisitos. participación de cumplimiento con
principios básicos Se incorporan usuarios, directa o la metodología y
de la gestión de principios de mediante algún procedimientos
proyectos (ágiles, desarrollo rol que los definidos. El
tradicionales o seguro de represente. resultado de estas
ambas). sistemas. Se definen los actividades se
Los usuarios Se controlan las criterios de comunica al RSI y
participan versiones de aceptación de los demás partes
directamente o software. productos. interesadas. Se
mediante algún Se sistematizan toman acciones
rol que los las actividades correctivas frente a
represente en el de pruebas. desvíos.
ciclo de vida de
los sistemas.
PR.PI -3. Ver PR.PI -1 Ver PR.PI -1 Ver PR.PI -1 Ver PR.PI -1
Existen (nivel 1) (nivel 2) (nivel 3) (nivel 4)
procesos de
gestión del
cambio en las
configuraciones.
PR.PI -4. Se Se realizan Se cuenta con Los respaldos son La política y el

realizan y respaldos soluciones probados procedimiento de
mantienen periódicos de al automatizadas regularmente. respaldo se
respaldos de la menos los activos para asistir en la Se ha encuentran
información y de información realización de determinado el alineados al plan de
se testean del centro de los respaldos. uso de contingencia y al
periódicamente. datos Los respaldos se almacenamiento plan de
(aplicaciones, almacenan en externo para recuperación, los
bases de datos, lugares seguros copias de cuales aseguran
máquinas y con acceso respaldos. que resuelven los
virtuales, etc.). restringido. Existe una política requisitos de
y procedimiento recuperación de la
documentado de organización ante
respaldos y de un evento anormal.
pruebas de La política y
recuperación, que procedimiento de
incluye las respaldos se
frecuencias. Se revisan con
establece el regularmente.
grado (completo,
diferencial, etc.) y
los requisitos de
retención de los
respaldos.
El procedimiento
de respaldos se
actualiza ante
cambios de
requerimientos
del negocio o
cambios de
infraestructura o
sistemas que
57
requieran
acciones de
respaldo.
PR.PI -5. Las Existen medidas Se Se define una Se realizan
políticas y de control del implementan política de actividades de
reglamentos medio ambiente herramientas seguridad del control interno
relacionados físico en los automatizadas equipamiento. para verificar el
con el medio centros de datos. que apoyan el Se cuenta con un cumplimiento de la
ambiente monitoreo de procedimiento política y
físico operativo los controles documentado de procedimientos
se cumplen. relacionados al monitoreo que asociados. Los
medio incluye el uso de resultados del
ambiente físico. herramientas monitoreo son
automatizadas. utilizados para
mejorar los
procedimientos y
retroalimentación
de las lecciones
aprendidas.
PR.PI -6. Los Ver PR.SD -3 Ver PR.SD -3 Ver PR.SD -3 Ver PR.SD -3
datos son (nivel 1) (nivel 2) (nivel 3) (nivel 4)
eliminados de
acuerdo a las
políticas de
seguridad.
PR.PI -7 Existe Los procesos de Los procesos de Se deja registro La revisión
mejora protección de los protección de de los cambios periódica aporta a
continua de activos críticos del los activos y realizados a los la mejora continua
los procesos centro de datos servicios de la procesos (por del SGSI.
de protección. se revisan organización se ejemplo,
periódicamente. revisan configuración de
periódicamente sistemas de
y se comunican protección). Se
a todas las realiza la gestión
partes de cambio en los
interesadas mismos.
conforme a las
necesidades del
negocio para
ajustar o
mejorar los
procesos usados
para la
protección.
PR.PI -8. La Se establece una Se establece Las lecciones Las lecciones
eficacia de las sistemática que una sistemática aprendidas se aprendidas son
tecnologías de permite aprender que permite registran y analizadas para
protección se de los incidentes aprender de los contemplan para mejorar el SGSI de
comparten de segur idad de incidentes de mejorar los la organización y
con las partes la información seguridad de la planes de retroalimenta el
apropiadas. ocurridos en el información respuesta a análisis de riesgos.
centro de datos. ocurridos en la incidentes. Se definen
Las lecciones organización. Además, son indicadores para
aprendidas son Las lecciones utilizadas para poder medir la
registradas. aprendidas son mejorar los
58
difundidas a las canales de efectividad de los

partes comunicación controles.
interesadas. establecidos con
las partes
involucradas y los
procesos de
escalamiento.
PR.PI -9. Los incidentes de Se cuenta con Se define una Se ha definido el
Existen y se seguridad se ciertas medidas política de responsable de la
gestionan reportan de contingencia gestión de respuesta a
planes de internamente de y recuperación. incidentes de incidentes que
respuesta a acuerdo a Se conocen los seguridad de la opera
incidentes lineamientos procesos críticos información y se coordinadamente
(respuesta a preestablecidos. del negocio. difunde. con el RSI.
incidentes y Se instruye al Se cuenta con Se define un plan El responsable de
continuidad personal sobre los herramientas de respuesta para la respuesta a
del negocio) y mecanismos de que apoyan la la gestión de incidentes opera
planes de reporte de gestión de los incidentes. de forma
recuperación incidentes. Los incidentes. Se define un plan coordinada con el
(recuperación incidentes se de contingencia y CERTuy o CSIRT
de incidentes registran. de recuperación. que corresponda.
y recuperación Se cuenta con Se realizan Se ha definido el o
de desastres). ciertas medidas pruebas los responsables
de contingencia y puntuales de los del mantenimiento
recuperación planes. del plan de
para los sistemas contingencia y de
que dan soporte a recuperación.
los servicios El plan de
críticos. contingencia y de
recuperación y el
plan de respuesta a
incidentes son
probados
anualmente. Se
de control interno
para verificar el
cumplimiento con
la política y
procedimientos
relacionados. El
resultado de estas
actividades se
informa al RSI y se
toman acciones
correctivas frente a
desvíos y para la
mejora continua.
PR.PI -10. Los El personal Se cuenta con El plan de El plan de
planes de conoce las un plan de respuesta a respuesta a
respuesta y actividades respuesta a incidentes y el incidentes se
recuperación básicas incidentes y con plan de encuentra alineado
se testean necesarias que un plan de recuperación al plan de
regularmente. deben realizar si recuperación. (DRP) se contingencia y
se detecta o recuperación, y se
59
sospecha un Los involucrados encuentran realizan pruebas al

incidente. Se han están documentado. menos anuales de
identificado los entrenados en Existen ambos.
proveedores que su uso. evidencias de Se registran las
dan soporte a los escenarios de falla pruebas.
servicios críticos. o incidentes en El resultado de las
los que se pruebas
ejecutaron las retroalimenta las
actividades del lecciones
procedimiento de aprendidas y sirven
acuerdo al caso o para la mejora
se diseñaron continua de los
escenarios planes y
simulados para procedimientos.
ello.
Se registran los
resultados en
todos los casos.
PR.PI -11. La Ver PR.SD -5 Ver PR.SD -5 Ver PR.SD -5 Ver PR.SD -5
ciberseguridad (nivel 1) (nivel 2) (nivel 3) (nivel 4)
se encuentra
incluida en las
prácticas de
RRHH.
PR.PI -12. Existe Se gestionan las Se define un Las Se realizan
un plan de vulnerabilidades plan responsabilidades revisio nes de
gestión de técnicas documentado de gestión de control interno
vulnerabilida- mediante, al para la gestión vulnerabilidades sobre el plan de
des. menos, la gestión de las están gestión de
de parches. vulnerabilidades establecidas. vulnerabilidades. El
y parches. Se incorporan resultado de las
Se reciben como fuentes de revisiones se
notificaciones notificación: comunica al RSI.
de escaneos de Se documentan
vulnerabilidades infraestructura y lecciones
por parte del aplicaciones. aprendidas que
CERTuy u otras Existe un aportan a la mejora
organizaciones ambiente para de futuras
y se analizan. pruebas de resoluciones frente
parches previo a a vulnerabilidades
su puesta en similares.
producción.
PR.MA. Manteni miento
El mantenimiento y las reparaciones de los componentes de los sistemas de información y de

control industrial se lleva a cabo en consonancia con las políticas y procedimientos.
PR.MA-1. El El área de Se establecen Se cuenta con un Se implementa los

mantenimiento tecnología los planes procedimiento, procesos control de
y la reparación gestiona y/o anuales de donde se cambio, la
de los activos realiza el mantenimiento, estandariza la documentación
de la mantenimiento gestionando el planificación requerida y la
organ ización sobre los activos acceso a los preventiva y aprobación por
del centro de usuarios correctiva de la parte del CSI, con el
60
se lleva a cabo datos, en función autorizados plataforma fin de que todos

y es registrado de los para realizar las tecnológica de la estos
en forma requerimientos tareas de organización. requerimientos de
oportuna con técnicos. mantenimiento mantenimiento
herramientas programado. estén acordados
aprobadas y Se conservan los por las partes y que
controladas. registros del los mismos no
mantenimiento, impacten la
fallos y cambios entrega de
realizados sobre servicios críticos.
los activos. Se cuenta con un
proceso de control
interno para la
verificación de
cumplimiento de
los procedimientos
de mantenimiento
del equipamiento.
PR.MA-2. El El área de El RSI realiza la Se cuenta con un Se realiza una
mantenimiento tecnología gestión de procedimiento revisión periódica
a distancia aprueba la alta y aprobación de que contempla de logs de acceso y
de los activos baja de los los usuarios que todos los actividades de los
de la usuarios (internos para conexión eventos de usuarios a la
organización o externos) que remota a los conexión remota plataforma de la
se aprueba, realizan sistemas y a los activos organización.
registra y lleva mantenimiento activos de la informáticos
a cabo de de forma remota organización, generan alertas
forma tal que a los activos cumpliendo con de forma
se impide el informáticos del el plan anual de automática; las
acceso no centro de datos. mantenimie nto mismas permiten
autorizado. aprobado por identificar y trazar
las partes. Se las actividades de
lleva a cabo el los usuarios que
registro de los se han conectado
eventos de para validar que
accesos de cada todas las acciones
usuario, de
exigiendo el mantenim iento
estricto corresponden
cumplimiento con las acciones
de las cláusulas esperadas o
de alertar de una
confidencialidad, posible
integridad y desviación.
disponibilidad
de la
información.
PR.TP. Tecnología de protección
Las soluciones técni cas de seguridad se gestionan para garantizar la seguridad y resistencia de
los sistemas y activos de la organización, en consonancia con las políticas, procedimientos y
acuerdos.
61
PR.TP -1. Los Se configuran los Los registros de Se define una Se establecen los
registros de registros de auditoría se política y requisitos de
auditoría (logs) auditoría para centralizan. procedimientos retención de los
se todos los sistemas La revisión de de auditoría y registros y se
documentan, definidos como los registros se registro de implementan.
implementan críticos. Los realiza en forma eventos. Se toman medidas
y son revisados registros son ad-hoc. Los Los registros de para facilitar el
de utilizados para registros están auditoría se análisis de grandes
conformidad tratar situaciones protegidos respaldan fuera volúmenes de
con la política. puntuales. contra accesos de línea en forma información.
no autorizados y periódica y se Se cuenta con
posibles revisan mecanismo s para
alteraciones. periódicamente revisar las
Se tiene en con herramientas actividades de los
cuenta los de apoyo administradores. Se
requisitos de automatizadas. realizan actividades
confidencialidad Los relojes de de control interno
de la todos los sistemas para verificar el
información y deben estar cumplimiento con
protección de la sincronizados la política y los
privacidad de (servidores, procedimientos. El
los datos aplicaciones, etc.). resultado de las
contenidos en revisiones se
los registros. comunica al RSI y
demás partes
interesadas.
PR.TP -2. Los Existe difusión Se identifican Se realiza el Se realizan
medios sobre la los tipos de reporte de hurto, revisiones de
extraíbles se importancia de la medios pérdida o daño control interno
encuentran protección y uso extraíbles del medio y su sobre el
protegidos y de los medios autorizados. eliminación al cumplimiento de
su uso se extraíbles. Se establecen final de su vida las pautas de uso
encuentra pautas para el útil. de medios
restringido de uso de medios extraíbles y del
acuerdo con extraíbles y son procedimiento. Los
las políticas. comunicadas a resultados de las
todo el personal. revisiones son
utilizados para la
mejora del
procedimiento y se
comunican al RSI y
demás partes
interesadas.
PR.TP -3. El Ver PR.CA -4 Ver PR.CA -4 Ver PR.CA -4 Ver PR.CA -4
acceso a los (nivel 1) (nivel 2) (nivel 3) (nivel 4)
sistemas y
activos se
controla,
incorporando
el principio de
menor
privilegio.
PR.TP -4. Las [AC]Los servicios [AC]La mayoría [AC]Todos los [AC]La
redes y del organismo de los servicios servicios se comunicación
comunicacion son prestados con se encuentran entre MTAs de
62
es se infraestructura en territorio encuentran en dominios

encuentran dentro del nacional, y los territorio nacional. gubernamentales
protegidas. territorio nacional, restantes están se encuentra
o al menos se en proceso de El WAF de cifrada en forma
cuenta con una migración producción ha mandatoria.
planificación para conforme a la evolucionado de El organismo envía
la migración de planificación modo detección a un reporte
todos los servicios realizada. modo bloqueo. mensual al CERTuy
que están fuera Se cuenta con un sobre estadísticas
de él. Todas las WAF instalado en de la actividad
aplicaciones ambiente de detectada en el
La comunicación Web prueba para la WAF. El organismo
entre MTAs se disponibles en realización de colabora con el
encuentra cifrada Internet se pruebas CERTuy en la
como método encuentran funcionales y otro centralización de
preferido de protegidas WAF en registros de WAF a
comunicación. mediante el uso ambiente de nivel nacional.
Los servicios de de WAF, al producción
Webmai l se menos donde se El análisis de los
encuentran configurados en impactan las registros del WAF
implementados modo reglas incluye
sobre el protocolo “detección”. actualizadas automatismos que
HTTPS utilizando luego de ser favorecen las
un certificado probadas. actividades de
válido. Los registros de revisión. Se
los WAF se establece un
encuentran procedimiento
centralizados. para la
preservación y
gestión de los
registros del WAF.
PR.TP -5. Se Los componentes Se cuenta con Se documenta la Se cuenta con
implementan críticos del centro un centro de implementación redundancia en
mecanismos de datos cuentan datos alterno y pruebas de los todos los
(por ejemplo, a con redundancia donde los mecanismos para componentes que
prueba de para la entrega componentes y tolerar fallos en dan soporte a los
fallas, de servicios y para activos que sistemas y activos servicios críticos. Se
equilibrio de tolerar los fallos soportan los de información trabaja en la
carga, cambio en situaciones servicios críticos críticos del centro mejora continua de
en caliente o adversas, según pueden de datos los procesos
“hot swap”) los requisitos de alcanzar los principal. basado en las
para lograr los resiliencia requisitos de También se pruebas periódicas,
requisitos de establecidas por resiliencia del cuenta con una lo que permite
resiliencia en el negocio. negocio para la estructura de calibrar los activos
situaciones prolongación pruebas en base a la
normales y operativa. periódicas sobre necesidad del
adversas. el centro de datos negocio.
alterno para
constatar que los
sistemas se
encuentran
configurado de
forma correcta.
63
5.3 Función: DETECTAR (DE)
DE.AE. Anomalías y eventos
La actividad anómala se detecta de forma oportuna y el potencial impacto de los eventos es

comprendido.
DE.AE-1. Se Se definen y Se definen y Se documenta la La configuración de

establece y gestionan los gestiona n los línea base. Se la línea base es
gestiona una parámetros parámetros define el revisada
línea base de esperables para esperables de procedimiento de periódicamente o
operaciones usuarios todos los monitoreo y ante cambios
de red y flujos privilegiados y usuarios y actuación antes tecnológicos y/o de
de datos sistemas críticos sistemas desvíos. Se los objetivos de
esperados del centro de asociados a generan negocio.
para usuarios y datos. servicios críticos indicadores y Los indicadores son
sistemas. de la métricas sobre los utilizados para la
organización, así eventos mejora continua y
como aquellos monitoreados. apoyar a la gestión
sistemas de de la línea base.
soporte u otros
que deban ser
monitoreados.
Los desvíos son
reportados al
RSI.
DE.AE-2. Los Se registran los Se revisan los Se define una La revisi ón de los
eventos eventos de los eventos de los política de eventos se realiza a
detectados sistemas y redes. sistemas y auditoría y intervalos regulares
son analizados Los eventos redes, y de registro de y cuando se
para entender irregulares configuración y eventos. detecta actividad
los objetivos y detectados uso de WAF. Existen anormal para
métodos de puntualmente se Se cuenta con procedimientos detectar objetivos,
ataque. analizan. herramientas de documentados métodos de
Se contacta al apoyo para la revisión y ataque, patrones,
CERTuy o CSIRT automatizadas gestión de los etc., permitiendo
que corresponda para el eventos de los orientar y optimizar
en los casos que monitoreo de sistemas y redes y las estrategias y/o
sea necesario los eventos, de configuración esfuerzos en
contar con excepciones y y uso de WAF. ciberseguridad. La
asistencia. fallas. Los periodicidad de las
procedimientos revisiones se
incluyen la establece en los
gestión de procedimientos y
anomalías en se informa al RSI y
alineación a la demás partes
política y interesadas sobre
procedimiento de los resultados de la
gestión de revisión.
incidentes.
64
DE.AE-3. Los Se revisan los Los sistemas Se cuenta con Se implementan

datos de los eventos locale s que soportan procesos, procesos
eventos se generados por el los servicios procedimientos y automatizados que
agrupan y equipamiento y críticos emiten herramientas permiten
correlacionan activos del centro alertas de para la correlacionar
desde de datos. eventos de centralización de información,
múltiples Se deja registro forma logs. pudiendo tomar
fuentes y de la revisión. independiente, Se emiten alertas acciones de forma
sensores. basados en las que permita automatizada.
pautas tomar acciones Se realiza una
establecidas por para salvaguardar revisión periódica
el apetito de la de los
riesgo de la confidencialidad, procedimientos, y
organización. integridad y la misma se utiliza
Se cuenta con disponibilidad de para la mejora
un sistema de los sistemas de continua.
centralización información.
de logs.
DE.AE-4. Se Se analiza el Se identifican Las ac tividades de Se realizan
determina el impacto de los los activos identificación de actividades de
impacto de los eventos que afectados impacto y control interno
eventos. afectan a los tomando como determinación de para verificar el
sistemas y base el umbrales están cumplimiento con
servicios más inventario de contenidas en el el procedimiento
críticos, dentro o activos críticos procedimiento de de detección y
fuera del centro del centro de detección y monitoreo.
de datos. La datos. Se monitoreo. Los resultados de
detección es establecen los Se automatizan estas actividades se
reactiva. umbrales las alertas ante utilizan para la
tolerables de los incidentes mejora del
activos (por correspondientes procedimiento y se
ejemplo, tiempo con los umbrales retroalimentan las
de espera de tolerancia para lecciones
tolerable para los activos críticos aprendidas.
una aplicación del centro de
Web). datos.
Se automatizan Se clasifican las
algunas alertas alertas ante
ante incidentes. incidentes
tomando en
cuenta el riesgo
asociado.
DE.AE-5. Se Ver DE.AE -4 Ver DE.AE -4 Ver DE.AE -4 Ver DE.AE -4
establecen los (nivel 1) (nivel 2) (nivel 3) (nivel 4)
umbrales de
alerta de
incidentes.
DE.MC. Monitoreo co ntinuo de la seguridad
Los sistemas de información y los activos son monitoreados a intervalos discretos para identificar
eventos de seguridad cibernética y verificar la eficacia de las medidas de protección.
DE.MC -1. Se Se monitorea de Se monitorea de En el centro de Se monitorean

monitorea la forma reactiva o forma datos se todos los activos de
65
red para esporádica los automatizada implementan información del

detectar sistemas o los activos alertas sobre centro de datos,
potenciales servicios más críticos del anomalías que con cruzamiento
eventos de críticos. centro de datos, podrían de información de
ciberseguridad. generando transformarse en diversas fuentes,
alertas ante la problemas para contemplando,
detección de los activos críticos. entre otros, alertas
problemas. Estas alertas preventivas y
notifican cuando reactivas.
se comienzan a Se cuenta con un
dar las casuísticas mecanismo
que pueden alternativo de
derivar en un monitoreo, al
incidente aún no menos manual,
concretado. ante fallas del
principal.
DE.MC -2. Se Existen controles Existen Se cuenta con Se cuenta con un
monitorea el de acceso físico a funciones una política de sistema de
ambiente las instalaciones integradas en control de acceso monitoreo
físico para del centro de los dispositivos físico. Se cuenta inteligente que
detectar datos. Se definen que permiten el con los sensores proporciona
potenciales alertas reactivas monitoreo de instalados y se información
eventos de (ínsita) de control las amenazas recolecta la histórica útil para la
ciberseguridad. en los dispositivos típicas información. generación de
físicos del centro (alimentación Se define dónde informes. Los
de datos. eléctrica, se almacena la informes son
Se monitorean enfriamiento, información de utilizados para
esporádicamente etc.). Se definen los sensores. Se evaluar el centro de
los dispositivos notificaciones determina la datos y tomar
para detectar de alertas estrategia de acciones
amenazas sobre (correo, SMS, recolección que correctivas o
ellos etc.) al personal sea más preventivas.
(alimentación designado. adecuada,
eléctrica, siempre evitando
enfriamiento, un punto único
etc.). de falla.
Se trabaja en la
identificación de
otro tipo de
amenazas físicas
(personas,
sustancias
suspendidas en el
aire, humedad,
filtración de
líquidos,
temperatura del
aire, etc.) y en el
establecimiento
de sensores para
capturar la
información.
DE.MC -3. Se Se registran los Se realizan Se han definido Se realizan
monitorea la eventos revisiones de los las actividades de
actividad del relevantes de los eventos responsabilidades control interno
66
personal para usuario s que registrados en del monitoreo. Se para verificar el

detectar suceden en los forma reactiva. ha definido un cumplimiento con
potenciales sistemas o Los resultados procedimiento de el procedimiento
eventos de aplicaciones de las revisiones revisión periódica de monitoreo.
ciberseguridad. críticas. son utilizados de registros que Se genera
para la cubre al menos información que se
evaluación de inicios de sesión utiliza con fines
potenciales fallidos y acceso y estadísticos y de
incidentes. uso de Internet. mejora de los
La información servicios.
generada se Los resultados de
reporta a la estas revisiones se
gerencia que utilizan para la
corresponda y/o mejora del
demás partes procedimiento y se
interesadas para retroalimentan las
la toma de lecciones
decisiones. aprendidas.
DE.MC -4. Se Los equipos del Los servidores Se define una Se implementan
detecta el personal cuentan que ofician de política y controles para
código con protección distribuidores procedimientos evitar el acceso a
malicioso. antivirus. Las de archivos (por para el manejo de sitios Web
soluciones a los ejemplo, software maliciosos y/o no
problemas servidores de malicioso. autorizados.
detectados se archivos o Se cuenta con La protección ante
realizan en forma correo una solución software malicioso
ad-hoc. electrónico), centralizada de se extiende a otros
cuentan con antivirus. dispositivos móviles
una solución y se refleja en la
antivirus. Se política de
configuran protección contra
chequeos software malicioso.
periódicos en Existen
los equipos del procedimientos
personal. documentados
Las actividades para la detección
de de equipos que se
concientización encuentran
al personal desprotegidos y se
contienen realizan las
temas acciones necesarias
específicos para subsanar la
sobre riesgos y situación. Se
problemas cuenta con un
derivados del registro estadístico
software de infecciones por
malicioso. software malicioso
que aporta a la
toma de decisiones
y alimenta las
lecciones
aprendidas que se
usan para la mejora
continua.
67
DE.MC -5. Se Ver DE.MC -4 Ver DE.MC -4 Ver DE.MC -4 Ver DE.MC -4
detecta el (nivel 1) (nivel 2) (nivel 3) (nivel 4)
código móvil no
autorizado.
DE.MC -6. Se Se toman Existen SLA con Existen SLA con Se realiza una
controla la acciones ante proveedores de los proveedores revisión periódica
actividad de desvíos servicios críticos de servicios de los contratos y
los detectados en el del centro de críticos del centro SLA de los
proveedores servicio de un datos. En los de datos donde proveedores de
de servicios proveedor de un contratos con se establece el servicios críticos
externos para servicio crítico del los proveedores régimen de para evaluar la
detectar centro de datos. de servicios cobertura para los adherencia a los
posibles críticos, se servicios críticos acuerdos.
eventos de incluyen conforme las La información que
ciberseguridad. cláusulas de necesidades de la surge de la revisión
seguridad de la organización. En apoya a la toma de
información. todos los decisiones.
contratos se
incluyen cláusulas
de seguridad de
la información.
Los contratos con
los proveedores
son revisados
ante cambios del
servicio.
DE.MC -7. Se Se establece el Se utilizan Se definen El sistema de
realiza monitoreo de los reglas para los políticas y recolección de log
monitoreo logs generados sistemas de procedimientos centralizado o
para personas, por los sistemas forma que definen los sensores
conexiones, del control de independiente, términos y dispuestos en la
dispositivos y acceso, a nivel que permiten condiciones del red de la
software. físico y lógico, alertar cuando monitoreo de organización,
dentro del centro los usuarios personas, recolectan y
de datos. realizan conexiones, emiten alertas
conexiones dispositivos y relacionadas a las
fuera de la software. acciones no
organización, y Se amplía el permitidas por los
la conexión e monitoreo a usuarios sobre la
instalación de todos los equipos infraestructura y
dispositivos o de la sistemas de la
software no organización. organización.
autorizado en
equipos de la
organización.
DE.MC -8. Se Se realizan Se realizan Se define un Los resultados de
realizan revisiones revisiones de responsable y un las revisiones
escaneos de puntuales de los seguridad de los procedimiento internas y externas
vulnerabilida- sistemas de sistema s en documentado se utilizan para la
des. información con forma periódica para la revisión mejora continua de
recursos propios o como parte de periódica interna la seguridad de los
o con apoyo un cambio de sistemas.
externo. significativo en vulnerabilidades Se realizan
ellos, con con alcance a los actividades de
recursos propios sistemas base y control interno
68
o con apoyo de aplicación. Se para verificar el

externo. cuenta con el cumplimiento con
apoyo de el procedimiento
revisiones de revisión
externas de periódica de
vulnerabilidades y vulnerabilidades. El
hackeo ético. procedimiento de
Los resultados de revisión de
las revisiones vulnerabilidades se
internas y encuentra
externas se incorporado en las
utilizan para la actividades de
detección y seguridad de la
corrección de información y se
vulnerabilidades. decide su
realización con una
frecuencia mayor,
ante cualquier
cambio de
magnitud (previo
análisis de riesgo) o
cada vez que se
considera
necesario.
DE.PD. Proc esos de detección
Se mantienen procesos y procedimientos de detección y pruebas para asegurar el conocimiento

oportuno y adecuado de los eventos anómalos.
DE.PD -1. Los Existe personal Se define la Se ha definido un Se realizan

roles y las con tareas participación de responsable para actividades de
responsabilida asignadas para la roles de TI para las tareas de control interno de
des de detección de las actividades monitoreo de cumplimiento con
detección se eventos a nivel de de monitoreo eventos y existe el procedimiento
encuentran sistemas base y basado en un procedimiento de monitoreo de
definidos para de protección herramientas documentado eventos. El
asegurar perimetral. automatizadas. para la gestión de resultado de las
responsabilida- Se revis an los las actividades de actividades se
des. registros de monitoreo. comunica al RSI y
eventos. Se realizan demás partes
pruebas interesadas, se
periódicas al utiliza para mejorar
procedimiento de el procedimiento y
monitoreo. Este las pruebas y se
procedimiento retroalimentan las
define las lecciones
actividades de aprendidas.
comunicación
formales que
deben realizarse.
Se definen los
escenarios a
probar y los
ambientes.
69
DE.PD -2 Las La informac ión Se utilizan los Los De forma periódica

actividades de contenida en los datos procedimientos y se controla el
detección logs es utilizada recolectados de actividades de cumplimiento de
cumplen con conforme a los acuerdo con la detección son los requisitos
todos los requisitos regulación y revisados ante aplicables sobre el
requisitos aplicables, en normativa del cambios en los monitoreo y las
aplicables. particular los sector que requisitos actividades
requisitos legales. corresponda, aplicables. relacionadas.
por ejemplo,
protección de
datos.
DE.PD -3 Los Se realizan Se realizan Existen Las lecciones
procesos de pruebas de los pruebas de los procedimientos aprendidas son
detección son procesos de procesos de que establecen la utilizadas para la
probados. detección y detección y periodicidad y los mejora del SGSI,
monitoreo (físico monitoreo criterios para la particularmente
y lógico) de los (físico y lógico) realización de para la gestión de
activos del centro de los activos y pruebas de riesgos.
de datos. usuarios de la detección.
organización. Las pruebas se
apoyan en la
automatización
del proceso para
la detección de
desvíos.
Las pruebas se
documentan y se
realiza la gestión
de cambios.
Se identifican las
lecciones
aprendidas.
DE.PD -4. La Al detectar Existen Existe un El responsable del
información eventos mecanismos de procedimiento de monitoreo de
de la anómalos o comunicación monitoreo que eventos trabaja en
detección de potencialmente definidos ante la contiene forma coordinada
eventos es anómalos, se detección de actividades de con el RSI. Se
comunicada a comunica a algún eventos comunicación. realizan revisiones
las partes referente o anómalos, y Dentro de las de control interno
pertinentes. autoridad con estos son pruebas de cumplimiento
capacidad de ejecutados realizadas al con el
articular cuando procedimiento de procedimiento de
soluciones. efectivamente monitoreo, se monitoreo y de las
se detectan. incluyen pruebas actividades de
a las actividades comunicación. El
de comunicación. resultado de las
revisiones se utiliza
para mejorar el
procedimiento y las
pruebas. Se
retroalimentan las
lecciones
aprendidas.
DE.PD -5. Los Toda Toda Se define el Ver DE .PD-4
procesos de incorporación o incorporación o procedimiento (nivel 4)
70
detección son modificación de modificación de monitoreo de los

mejorados los sistemas los sistemas del activos de
continuamente. críticos e negocio son información de la
infraestructuras reflejados en el organización. Se
del centro de monitoreo. correlacionan los
datos son eventos de los
reflejados en el distintos sistemas
monitoreo. de monitoreo. Se
automatizan las
alertas ante
desvíos.
71
5.4 Función: RESPONDER (RE)
RE.PR. Planificación de la respuesta
Los procesos y procedimientos de respuesta se ejecutan y se mantienen garantizando una

respuesta oportuna para detectar eventos de ciberseguridad.
RE.PR-1. El Se establecen los Los El plan y/o Se realizan

plan de mecanismos de mecanismos de procedimiento de revisiones de
respuesta se respuesta a respuesta a respuesta es control interno
ejecuta incidentes. incidentes se ajustado según la para verificar el
durante o Se informa al documentan en política de cumplimiento del
luego de un CERTuy o CSIRT un plan y/o gestión de plan y/o
evento. que corresponda, procedimiento incidentes. Se procedimiento de
sobre los que son define un respuesta.
incidentes difundidos a responsable de la La Dirección, el RSI
detectados. todos los respuesta a y el CSI reciben
interesados. incidentes. información
Los incidentes y Se trabaja en la periódica sobre
la respuesta mejora de los incidentes de
realizada se procesos seguridad de la
registran. Se operativos post información. Dicha
informa a las incidentes de información apoya
gerencias seguridad de la la toma de
involucradas información lo decisiones y se
sobre los cual se ve registran lecciones
incidentes. reflejado a nivel aprendidas que son
de política, plan utilizadas para la
y/o mejora continua de
procedimientos. la respuesta a
El responsable de incidentes.
la respuesta
trabaja
activamente con
el CERTuy o CSIRT
correspondiente.
RE.CO. Comunicaciones
Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según
corresponda.
72
RE.CO-1. El Ver RE.PR -1 Se determina el Existe una política Se realizan pruebas

personal (nivel 1) plan y/o de gestión de del plan de
conoce sus procedimiento incidentes que ha respuesta,
roles y el de respuesta a sido difundida al incluyendo a
orden de incidentes. Se personal. usuarios clave para
operaciones han definido y En las actividades reforzar sus
cuando es realizado de conocimientos
necesaria una actividades de concientización y sobre sus roles. Se
respuesta. concientización capacitación se realizan actividades
en seguridad de incluyen temas de control interno
la información. que abarcan las para verificar el
actividades del cumplimiento del
plan y/o plan y/o
procedimiento de procedimiento de
respuesta y el respuesta.
procedimiento de
reporte de
incidentes en
función de cada
rol.
RE.CO-2. Los Ver PR.PI -9 Existe un único Existe una política Se realizan
eventos son (nivel 1) punto de de gestión de actividades de
reportados contacto incidentes y se ha control interno de
consistente- interno a la definido un plan cumplimiento con
mente con los organización. y/o el procedimiento
criterios El punto de procedimiento de reporte y
establecidos. contacto alineado a ella, gestión de
reporta los que contiene incidentes. El
incidentes de actividades de resultado de las
seguridad comunicación actividades se
informática al con interesados. utiliza para mejorar
CERTuy o El reporte de el procedimiento
equipo de eventos y la de reporte y
respuesta que gestión de gestión de
corresponda de incidentes se incidentes y se
acuerdo a los apoyan en retroalimentan las
criterios herramientas lecciones
establecidos por automatizadas . aprendidas.
éste.
RE.CO-3. La Ver PR.PI -9 Ver PR.PI -9 Ver PR.P I-9 Ver PR.PI -9
información se (nivel 1) (nivel 2) (nivel 3) (nivel 4)
comparte
consistente-
mente con los
planes de
respuesta.
73
RE.CO-4. La Se mantiene Se identifican Existe una política Se ha definido un

coordinación contacto con los potenciales de gestión de responsable que
con las partes actores clave actores in ternos incidentes y se ha coordina la
interesadas se internos y y externos ante definido un plan respuesta ante
realiza externos durante un incidente y y/o incidentes.
consistente- la gestión de se registran sus procedimiento Se realizan
mente con los incidentes. Se datos de alineado a ella, actividades de
planes de escalan las contacto. que contiene control interno de
respuesta. necesidades Se determina y actividades de cumplimiento con
puntuales, por documenta el comunicación el procedimiento
ejemplo, al mecanismo de con interesados. de reporte y
CERTuy o CSIRT escalamiento de gestión de
del sector. incidentes. incidentes, y plan
de respues ta. El
resultado de las
actividades se
utiliza para mejorar
el procedimiento y
los planes. Se
retroalimentan las
lecciones
aprendidas.
RE.CO-5. Se Ver RE.CO -4 Ver RE.CO -4 Ver RE.CO -4 Ver RE.CO -4
realiza (nivel 1) (nivel 2) (nivel 3) (nivel 4)
intercambio
de
información
voluntaria con
partes
interesadas
externas para
alcanzar una
conciencia de
ciberseguridad
más amplia.
RE.AN. Análisis
Se efectúa análisis para asegurar una respuesta adecuada y dar soporte a las actividades de
recuperación.
74
RE.AN-1. Se Los sistemas Se definen Se define una El procedimiento

investigan las registran eventos pautas política de incorpora mejores
notificaciones y/o envían generales para auditoría y prácticas que
de los notificaciones de el registro de registro de incluyen
sistemas de seguridad que se eventos y los eventos. actividades de
detección. analizan nuevos sistemas Existe un análisis forense y
reactivamente y se despliegan procedimiento custodia de la
se escalan de acuerdo a documentado y información.
cuando ellas. alineado a la Se realizan
corresponde. Se determina política. actividades de
cuando un Se define si se control interno de
evento o escala un cumplimiento del
notificación incidente procedimiento. El
conforma un considerando: resultado de las
incidente y se activos afectados, actividades se
clasifica según criticidad y utiliza para el
su criticidad y severidad. proceso de mejora
severidad. continua.
RE.AN-2. El Se llevan a cabo Existen pautas La respuesta a El procedimiento
impacto del actividades de para la incidentes se incorpora mejores
incidente es análisis de clasificación de realiza dentro del prácticas que
comprendido. impacto y incidentes, que marco del plan incluyen
actividades de son utilizadas en y/o actividades de
respuesta en la gestión de procedimiento de análisis forense y
forma ad-hoc. todos los respuesta, custodia de la
Se informa al incidentes. alineado a la información, así
CERTuy o CSIRT política de como también
que corresponda, gestión de actividades a
sobre los incidentes. realizar post
incidentes Existe un incidente.
detectados. procedimiento de Se sistematizan las
gestión de lecciones
incidentes que aprendidas, que
incluye las tareas son utilizadas para
de análisis de la mejora de los
impacto. Se procedimientos, los
cuenta con procesos y las
herramientas estrategias de
automatizadas mitigación y
para el registro de respuesta.
incidentes
alineadas con el
plan y/o
procedimiento de
respuesta
definido.
75
RE.AN-3. Se Ante un incidente Ante un Todos los El resultado del

realiza análisis de seguridad de incidente de procedimientos análisis forense es
forense. la información en seguridad de la vinculados al utilizado para la
el centro de información, la análisis forense se mejora continua
datos, la organización encuentran del SGSI de la
organización realiza un documentados. organización; en
realiza un análisis análisis forense La particular para la
forense o o contacta a su documentación gestión de riesgos
contacta a su CSIRT de es realizada por de seguridad de la
CSIRT de referencia pa ra personal información.
referencia para llevarlo calificado.
llevarlo adelante. adelante.
Se tienen
pautas
establecidas
para garantizar
la cadena de
custodia.
Se generan los
informes
pertinentes y se
distribuyen a las
partes
interesadas.
RE.AN-4. Los Se han definido Se determinan Se define una La categorización
incidentes son lineamientos para las acciones y política de de incidentes y los
categorizados la categorización tiempos de gestión de planes de
consistente- de los incidentes respuesta incidentes de respuesta se
mente con los según su tipo y asociados a seguridad de la revisan
planes de criticidad. cada categoría información y se periódicamente,
respuesta. según difunde. considerando las
severidad. Se define un plan necesidades del
de respuesta para negocio y las
la gestión de tendencias de
incidentes. Las amenazas.
acciones Se realizan
asociadas a cada estadísticas
categoría están utilizando las
alineadas al plan categorizaciones,
de respuesta. los resultados son
Se cuenta con utilizados para
herramientas q ue mejorar o
apoyan la gestión incrementar los
de los incidentes. controles
existentes.
76
RE-AN-5. Se Se establecen Se establecen Se define una Las fuentes de

establecen canales de canales de metodología para datos son revisadas
procesos para comunicación y comunicación y la gestión de periódicamente.
recibir, fuentes de fuentes de vulnerabilidades, La metodolog ía se
analizar y información para información así como los adecua conforme
responder a alertar las para alertar las procedimientos las necesidades del
las posibles posibles necesarios para negocio y su
vulnerabilida- vulnerabilidades vulnerabilidades su contexto.
des divulgadas que puedan que puedan implementación. La gestión de
a la afectar los activos afectar los Se cuenta con vulnerabilidades es
organización y servicios críticos activos y herramientas que utilizada para la
desde fuentes del centro de servicios críticos apoyan la gestión mejora continua
internas y datos. de la de del SGSI.
externas (por organización. vulnerabilidades.
ejemplo, Se establece un
pruebas mecanismo de
internas, acción en base a
boletines de la criticidad de
seguridad o las
investigadores vulnerabilidades.
de seguridad).
RE.MI. Mitigación
Se ejecutan actividades para prevenir la expansión de un evento, mitigar sus efectos y erra dicar el
incidente.
RE.MI-1. Se Existen Se han definido Existe una política Ver RE.AN-2

logra contener mecanismos de pautas para de gestión de (nivel 4)
los incidentes. respuesta a contener el incidentes que ha
incidentes, daño y sido difundida al
especialmente minimizar el personal y se ha
para contenerlos. riesgo en el definido un plan
Se atiende y se entorno y/o
mitigan las
operativo. procedimiento
consecuencias de
Se informa a las alineado a ella.
los incidentes. Se
mantiene un
gerencias sobre Se cuenta con
registro de los los incidentes. herramientas
incidentes. Se cuenta con automatizadas
Se informa al planes de para el registro de
CERTuy o CSIRT remediación de incidentes,
que corresponda, los incidentes. alineadas con el
así como a otras plan de respuesta
partes interesadas, definido.
sobre los
incidentes
detectados.
RE.MI-2. Se Ver RE.MI-1 Ver RE.MI -1 Ver RE.MI -1 Ver RE.MI-1
logra mitigar (nivel 1) (nivel 2) (nivel 3) (nivel 4)
los incidentes.
RE.MI-3. Las Ver RE.MI-1 Ver RE.MI -1 Ver RE.MI -1 Ver RE.MI-1
nuevas (nivel 1) (nivel 2) nivel 3) (nivel 4)
vulnerabilidades
identificadas
77
se migran o
documentan
como riesgos
aceptados.
RE.ME. Mejoras
Las actividades de respuesta de la organización son mejoradas por la incorporación de lecciones

aprendidas de las actividades de detección y respuesta actuales y anteriores.
RE.ME-1. Los Se identifican las Se identifican Las lecciones Las lecciones

planes de lecciones las lecciones aprendidas son aprendidas son
respuesta aprendidas de los aprendidas de puestas a utilizadas para la
incorporan incidentes de los incidentes disposición y mejora del SGSI, en
lecciones seguridad de la de seguridad de comunicadas a particular para la
aprendidas. información la información todas las partes gestión de riesgos
vinculados al en toda la interesadas. de seguridad de la
centro de datos. organización. Se cuenta con información.
herramientas que Se generan
dan soporte a su indicadores para
registro y gestión. seguimiento y
control.
RE.ME-2. Las Se revisan Se revisan Se cuenta con Las mejoras
estrategias de periódicamente periódicamente pautas o políticas identificadas en las
respuesta se las estrategias de las estrategias documentadas revisiones de
actualizan. respuesta del de respuesta de para llevar estrategia son
centro de datos, o los procesos de adelante las utilizadas para su
ante cambios en la organización revisiones de las ajuste, así como
las necesidades que afecten los estrategias de para la mejora del
del negocio. servicios críti cos. respuesta. SGSI, en particular
para la gestión de
riesgos de
seguridad de la
información.
Se generan
indicadores para
seguimiento y
control.
78
5.5 Función: RECUPERAR (RC)
RC.PR. Planificación de la recuperación
Los procesos y procedimi entos de recuperación son ejecutados y mantenidos para asegurar la
restauración oportuna de los sistemas o activos afectados por eventos de ciberseguridad.
RC.PR-1. El Existen medidas Se trabaja en la Existe un plan de Se define un

plan de de continuidad elaboración de contingencia y responsable de
recuperación en el centro de un plan y/o recuperación. Se respuesta a
se ejecuta datos procedimiento realizan algunas incidentes que
durante o (alimentación de respuesta a pruebas (que se lleva adelante las
luego de un redundante de incidentes. registran) al plan tareas de
evento. energía eléctrica, Existen de contingencia y recuperación en
medidas de lineamientos recuperación. coordinación con
control ambiental establecidos los actores
y redundancia en para la involucrados.
las ejecución de El plan y/o
telecomunicacion actividades de procedimiento de
es) que favorecen recuperación respuesta y el plan
a la recuperación ante incidentes. de contingencia y
luego de un recuperación son
evento de probados
ciberseguridad. anualmente. Los
Se informa al resultados de las
CERTuy o CSIRT pruebas son
que corresp onda comunicados a la
sobre los Dirección y otras
incidentes partes interesadas.
detectados. La información de
las pruebas,
retroalimentan las
lecciones
aprendidas qu e se
utilizan para la
mejora continua de
los planes y
procedimientos.
RC.ME. Mejoras
Se mejoran los planes y procesos de recuperación incorporando las lecciones aprendidas en

actividades futuras.
RC.ME-1. Los Ver RE.ME -1 Ver RE.ME -1 Ver RE.ME -1 Ver RE.ME -1
planes de (nivel 1) (nivel 2) (nivel 3) (nivel 4)
recuperación
incorporan
lecciones
aprendidas.
79
RC.ME-2 Las Se revisan Se revisan Se cuenta con Ver RE.ME -2

estrategias de periódicamente periódicamente pautas o políticas (nivel 4)
recuperación las estrategias de las estrategias documentadas
se actualizan. recuperación del de recuperación para llevar
centro de datos, o de los procesos adelante las
ante cambios en de la revisiones de las
las necesidades organización, en estrategias de
del negocio. particular de los recuperación en
servicios críticos. base a los
Las estrategias cambios que son
son determinados por
comunicadas a el BIA.
toda la
organización y
se hace énfasis
en aquellas que
por su relación
con el
funcionamiento
de los servicios
críticos
requieren
apoyar la
recuperación.
RC.CO. Comunicaciones
Las actividades de recuperación se coordinan con las partes interesadas internas y externas,
como centros de coordinación, proveedores de servicios de Internet, propietarios de los sistemas
afectados, las víctimas, otros CSIRT y vendedores.
80
RC.CO-1. Se La comunicación Se ha definido Se ha definido un Se realizan ensayos

gestiona las externa de las un único plan de crisis poniendo en
relaciones situaciones de interlocutor comunicaciones práctica el plan y el
públicas. crisis o incidentes (vocero) ante crisis junto procedimiento de
mayores es autorizado a con un comunicación.
llevada a cabo comunicar una procedimiento Se realizan
exclusivamente situación de que cubre la revisiones de
por la Dirección o crisis o situación evaluación del control interno
por quien ésta que afecta la evento, las para verificar el
haya ciberseguridad notificaciones, cumplimiento del
determinado. Las o seguridad de nivel de plan y
áreas técnicas no la información comunicación procedimiento de
realizan de la requerido, comunicaciones
comunicación organiza ción. mensaje s, ante crisis.
externa salvo Se difunde al audiencia, Los resultados de
autorización personal quién interesados y las revisiones se
expresa. es el vocero y monitoreo de las registran y se
cuál es la vía de comunicaciones. utilizan para la
contacto. El plan y el mejora continua.
procedimiento La Dirección
son difundidos a participa
los actores activamente en las
correspondientes. actualizaciones del
plan, en especial,
en la aprobación y
modo de difusión
de los mensajes.
RC.CO-2. Se Ver RC.CO -1 Ver RC.CO -1 Ver RC.CO -1 Ver RC.CO -1
repara la (nivel 1) (nivel 2) (nivel 3) (nivel 4)
reputación
luego del
evento.
RC.CO-3. Se Ver RC.CO -1 Ver RC.CO -1 Ver RC.CO -1 Ver RC.CO -1
comunican las (nivel 1) (nivel 2) (nivel 3) (nivel 4)
actividades de
recupera ción a
los interesados
internos y a los
equipos
ejecutivos y de
gestión.
81
gub.uy/agesic
82

Marco Ciberseguridad v4.2 r202111213

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Marco Ciberseguridad v4.2 r202111213

Cargado por

Copyright:

Formatos disponibles

MARCO de

Este documento ha sido elaborado por Agesic (Agencia para el

El Marco de Ciberseguridad es un conjunto de requisitos

Usted es libre de copiar, distribuir, comunicar y difundir

Es por esto que, en 2009, en el marco de la estrategia relacionada a la

Decreto 451/009: regula el funcionamiento y organización del CERTuy1.

Decreto 452/009: regula la adopción de una política de seguridad de la

En esta línea, y reforzando los esfuerzos ya realizados, es que en 2014 se aprobó

Continuando con los esfuerzos para mejorar las estrategias en ciberseguridad

La Seguridad de la Información es un trabajo permanente que exige un proceso

Continuando el camino iniciado, en el Artículo 84 de la Ley 19924 se

Gestionar los riesgos inherentes a la seguridad de la información y al uso

El Marco provee un abordaje integral de la ciberseguridad para reducir el riesgo

El Marco puede ayudar a una organización a planiﬁcar su estrategia de gestión

En el proceso de contextualización se agregaron prioridades a las subcategorías,

3.1 Ciclo de vida de la ciberseguridad

Diagrama conceptual realizado por OEA/NIST

El ciclo de vida de la ciberseguridad se compone de funciones que permiten

A continuación, se describen las funciones del Marco de Ciberseguridad.

Las categorías dentro de esta función son: Control de acceso; Concientización y

Las categorías dentro de esta función son: Anomalías y eventos; Monitoreo

Está vinculada a la deﬁnición y ejecución de las actividades apropiadas para

Las categorías dentro de esta función son: Planiﬁcación de la respuesta;

Está vinculada a la deﬁnición y ejecución de las actividades dirigidas a la gestión

Las categorías dentro de esta función son: Planiﬁcación de la recuperación;

Se han deﬁnido tres perﬁles para poder priorizar y establecer el avance en

Básico (B): el riesgo percibido vinculado a ciberseguridad es bajo; una falla,

Estándar (E): el riesgo percibido vinculado a ciberseguridad es moderado,

Avanzado (A): el riesgo percibido vinculado a ciberseguridad es alto; una

Las prioridades deﬁnidas son:

P1: Subcategoría que forma parte de una línea base de ciberseguridad, de

Nivel 1 Nivel 2 Nivel 3 Nivel 4

Mejor esfuerzo. Extensión al Políticas y Mejora

Los niveles de madurez en cada subcategoría serán descritos según sus

Nivel 0: Es el primer nivel del modelo de madurez donde las acciones

Nivel 1: Es el segundo nivel del modelo. Existen algunas iniciativas sobre

Nivel 2: Es el tercer nivel del modelo de madurez. Se han establecido ciertos

Nivel 3: Es el cuarto nivel del modelo de madurez y se caracteriza por la

Nivel 4: Es el último nivel del modelo de madurez. El Responsable de la

American National Standards Institute/International Society of Automation

ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and

ISO/IEC 27001, Information technology - Security techniques -Information

NIST SP 800-53 Rev. 4-NIST Special Publication 800-53 Revision 4, Security

Estándares Mínimos de Gestión (EMG), Banco Central del Uruguay (BCU),

ID.GA Gestión de activos

ID.GA-1. Los P1 P1 P1 COBIT 5 BAI09.01, GA.1 Identiﬁcar formalmente los activos de la

ID.AN. Ambiente del negocio

ID.AN-1. Se N/A N/A N/A COBIT 5 APO08.01, -

CO.4 Planiﬁcar la continuidad de las

CO.5 Deﬁnir las ventanas de tiempo

ID.GO-2. Los P1 P1 P1 CIS CSC 19 OR.1 Designar un Responsable de la

SC.3 El portal del organismo jerarca deberá

SC.4 Los nombres de dominio del organismo

SC.5 La información de contacto de los

SC.7 Los servidores de correo electrónico

ID.ER-1. Se P2 P2 P1 CIS CSC 4 SO.1 Gestionar las vulnerabilidades técnicas.

ID.ER-2. P2 P2 P1 CIS CSC 4 OR.3 Deﬁnir los mecanismos para el

ID.CS. Gestión de riesgos en la cadena de suministros

Las prioridades, limitaciones, tolerancias de riesgo y suposiciones de la organización se establecen y se utilizan

ID.CS-1. Los P1 P1 P1 CIS CSC 4 RP.1 Deﬁnir acuerdos de niveles de servicio

PR.CA. Control de acceso

PR.CA-1. Las P1 P1 P1 CIS CSC 1, 5, 15, 16 CA.1 Gestionar el acceso lógico.

PR.CF. Concientización y formación