Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fuente:
https://www.nist.gov/cyberframework
Instructivo:
1. Para consultar la estructura del Marco de Seguridad Digital, puede usar las pestañas de Funciones, Categorías y Subcategorías.
2. Para iniciar el análisis del estado situacional de la Seguridad Digital de su organización, diríjase a la pestaña de Evaluación.
3. Para la evaluación existen 2 columnas: Estado actual y Objetivo deseado. El estado actual es cómo se encuentra actualmente la
organización respecto al Marco de Seguridad Digital y la columna de objetivo deseado, es la clasificación a la que se desea alcanzar en el
corto o mediano plazo.
4. La tabla de clasificación para las columnas de estado actual y objetivo deseado son:
- Nivel 1: Parcial; Las prácticas de gestión de riesgos de seguridad cibernética de la organización no están formalizadas, y el riesgo se gestiona de forma ad hoc y,
en ocasiones, de forma reactiva. Existe una conciencia limitada sobre el riesgo de seguridad cibernética a nivel organizacional. La organización no comprende su
función en el ecosistema más amplio con respecto a sus dependencias o dependientes.
- Nivel 2: Riesgo Informado; Las prácticas de gestión de riesgos son aprobadas por la administración, pero posiblemente no son establecidas como políticas de
toda la organización. Existe una conciencia del riesgo de seguridad cibernética a nivel organizacional, pero no se ha establecido un enfoque en toda la
organización para gestionar el riesgo de seguridad cibernética. Generalmente, la organización entiende su función en el ecosistema más amplio con respecto a
sus propias dependencias o dependientes, pero no ambos.
- Nivel 3: Repetible. Las prácticas para la gestión de riesgos de la organización se aprueban formalmente y se expresan como políticas. Existe un enfoque de toda
la organización para gestionar el riesgo de seguridad cibernética. La organización entiende su función, dependencias y dependientes en un ecosistema más
amplio y posiblemente contribuya a una más amplia comprensión de los riesgos por parte de la comunidad.
- Nivel 4: Adaptable. La organización adapta sus prácticas de seguridad cibernética basándose en actividades previas y actuales de ciberseguridad, el cual incluye
las lecciones aprendidas y los indicadores predictivos. Existe un enfoque en toda la organización para gestionar el riesgo de seguridad cibernética que utiliza las
políticas, los procesos y los procedimientos informados sobre riesgos para abordar posibles eventos de seguridad cibernética. La organización entiende su rol, sus
dependencias y sus dependientes en el ecosistema más amplio y contribuye a una mayor comprensión de los riesgos por parte de la comunidad.
5. En la pestaña Resultados, podrá visualizar el resumen estadístico, expresado en porcentajes (%) de todos los resultados por categorías.
6. En el Cuadro de Mando, encontrará automaticamente generado todos los gráficos de los elementos puestos en el análisis, obteniendo un
estudio situacional.
CNSD - Pag. 2
IDENTIFICAR (ID) Gestión de activos (ID.AM): Los datos, el personal, ID.AM-1: Los dispositivos y sistemas físicos dentro de la organización
los dispositivos, los sistemas y las instalaciones que están inventariados.
permiten a la organización alcanzar los objetivos
empresariales se identifican y se administran de ID.AM-2: Las plataformas de software y las aplicaciones dentro de la
forma coherente con su importancia relativa para organización están inventariadas.
los objetivos organizativos y la estrategia de riesgos ID.AM-3: La comunicación organizacional y los flujos de datos están
de la organización. mapeados.
ID.AM-4: Los sistemas de información externos están catalogados.
Gobernanza (ID.GV): Las políticas, los ID.GV-1: Se establece y se comunica la política de seguridad
procedimientos y los procesos para administrar y cibernética organizacional.
monitorear los requisitos regulatorios, legales, de
riesgo, ambientales y operativos de la organización ID.GV-2: Los roles y las responsabilidades de seguridad cibernética
se comprenden y se informan a la gestión del riesgo están coordinados y alineados con roles internos y socios externos.
de seguridad cibernética.
ID.GV-3: Se comprenden y se gestionan los requisitos legales y
regulatorios con respecto a la seguridad cibernética, incluidas las
obligaciones de privacidad y libertades civiles.
Evaluación de riesgos (ID.RA): La organización ID.RA-1: Se identifican y se documentan las vulnerabilidades de los
comprende el riesgo de seguridad cibernética para activos.
las operaciones de la organización (incluida la
misión, las funciones, la imagen o la reputación), los ID.RA-2: La inteligencia de amenazas cibernéticas se recibe de foros y
activos de la organización y las personas. fuentes de intercambio de información.
ID.RA-3: Se identifican y se documentan las amenazas, tanto internas
como externas.
ID.RA-4: Se identifican los impactos y las probabilidades del negocio.
Estrategia de gestión de riesgos (ID.RM): Se ID.RM-1: Los actores de la organización establecen, gestionan y
establecen las prioridades, restricciones, tolerancias acuerdan los procesos de gestión de riesgos.
de riesgo y suposiciones de la organización y se
usan para respaldar las decisiones de riesgos ID.RM-2: La tolerancia al riesgo organizacional se determina y se
operacionales. expresa claramente.
ID.RM-3: La determinación de la tolerancia del riesgo de la
organización se basa en parte en su rol en la infraestructura crítica y
el análisis del riesgo específico del sector.
Gestión del riesgo de la cadena de suministro ID.SC-1: Los actores de la organización identifican, establecen,
(ID.SC): evalúan, gestionan y acuerdan los procesos de gestión del riesgo de
Las prioridades, limitaciones, tolerancias de riesgo y la cadena de suministro cibernética.
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo ID.SC-2: Los proveedores y socios externos de los sistemas de
asociadas con la gestión del riesgo de la cadena de información, componentes y servicios se identifican, se priorizan y se
suministro. La organización ha establecido e evalúan mediante un proceso de evaluación de riesgos de la cadena
implementado los procesos para identificar, evaluar de suministro cibernético.
y gestionar los riesgos de la cadena de suministro.
ID.SC-3: Los contratos con proveedores y socios externos se utilizan
para implementar medidas apropiadas diseñadas para cumplir con
los objetivos del programa de seguridad cibernética de una
organización y el plan de gestión de riesgos de la cadena de
suministro cibernético.
PROTEGER (PR) Gestión de identidad, autenticación y control de PR.AC-1: Las identidades y credenciales se emiten, se administran, se
acceso (PR.AC): El acceso a los activos físicos y verifican, se revocan y se auditan para los dispositivos, usuarios y
lógicos y a las instalaciones asociadas está limitado procesos autorizados.
a los usuarios, procesos y dispositivos autorizados, y
se administra de forma coherente con el riesgo PR.AC-2: Se gestiona y se protege el acceso físico a los activos.
evaluado de acceso no autorizado a actividades PR.AC-3: Se gestiona el acceso remoto.
autorizadas y transacciones.
PR.AC-4: Se gestionan los permisos y autorizaciones de acceso con
incorporación de los principios de menor privilegio y separación de
funciones.
Concienciación y capacitación (PR.AT): El personal y PR.AT-1: Todos los usuarios están informados y capacitados.
los socios de la organización reciben educación de PR.AT-2: Los usuarios privilegiados comprenden sus roles y
concienciación sobre la seguridad cibernética y son responsabilidades.
capacitados para cumplir con sus deberes y
responsabilidades relacionados con la seguridad PR.AT-3: Los terceros interesados (por ejemplo, proveedores,
cibernética, en conformidad con las políticas, los clientes, socios) comprenden sus roles y responsabilidades.
procedimientos y los acuerdos relacionados al
campo. PR.AT-4: Los ejecutivos superiores comprenden sus roles y
responsabilidades.
PR.AT-5: El personal de seguridad física y cibernética comprende sus
roles y responsabilidades.
Seguridad de los datos (PR.DS): La información y los PR.DS-1: Los datos en reposo están protegidos.
registros (datos) se gestionan en función de la PR.DS-2: Los datos en tránsito están protegidos.
estrategia de riesgo de la organización para
proteger la confidencialidad, integridad y PR.DS-3: Los activos se gestionan formalmente durante la
disponibilidad de la información. eliminación, las transferencias y la disposición.
PR.DS-4: Se mantiene una capacidad adecuada para asegurar la
disponibilidad.
PR.DS-5: Se implementan protecciones contra las filtraciones de
datos.
CNSD - Pag. 5
Tecnología de protección (PR.PT): Las soluciones PR.PT-1: Los registros de auditoría o archivos se determinan, se
técnicas de seguridad se gestionan para garantizar documentan, se implementan y se revisan en conformidad con la
la seguridad y la capacidad de recuperación de los política.
sistemas y activos, en consonancia con las políticas,
procedimientos y acuerdos relacionados. PR.PT-2: Los medios extraíbles están protegidos y su uso se
encuentra restringido de acuerdo con la política.
PR.PT-3: Se incorpora el principio de menor funcionalidad mediante
la configuración de los sistemas para proporcionar solo las
capacidades esenciales.
DETECTAR (DE) Anomalías y Eventos (DE.AE): se detecta actividad DE.AE-1: Se establece y se gestiona una base de referencia para
anómala y se comprende el impacto potencial de operaciones de red y flujos de datos esperados para los usuarios y
los eventos. sistemas.
Procesos de Detección (DE.DP): Se mantienen y se DE.DP-1: Los roles y los deberes de detección están bien definidos
aprueban los procesos y procedimientos de para asegurar la responsabilidad.
detección para garantizar el conocimiento de los
eventos anómalos. DE.DP-2: Las actividades de detección cumplen con todos los
requisitos aplicables.
DE.DP-3: Se prueban los procesos de detección.
DE.DP-4: Se comunica la información de la detección de eventos.
RESPONDER (RS) Planificación de la Respuesta (RS.RP): Los procesos RS.RP-1: El plan de respuesta se ejecuta durante o después de un
y procedimientos de respuesta se ejecutan y se incidente.
mantienen a fin de garantizar la respuesta a los
incidentes de seguridad cibernética detectados.
Comunicaciones (RS.CO): Las actividades de RS.CO-1: El personal conoce sus roles y el orden de las operaciones
respuesta se coordinan con las partes interesadas cuando se necesita una respuesta.
internas y externas (por ejemplo, el apoyo externo
de organismos encargados de hacer cumplir la ley).
RS.CO-2: Los incidentes se informan de acuerdo con los criterios
establecidos.
RS.CO-3: La información se comparte de acuerdo con los planes de
respuesta.
RS.CO-4: La coordinación con las partes interesadas se realiza en
consonancia con los planes de respuesta.
Análisis (RS.AN): Se lleva a cabo el análisis para RS.AN-1: Se investigan las notificaciones de los sistemas de
garantizar una respuesta eficaz y apoyar las detección.
actividades de recuperación.
RS.AN-2: Se comprende el impacto del incidente.
RS.AN-3: Se realizan análisis forenses.
RS.AN-4: Los incidentes se clasifican de acuerdo con los planes de
respuesta.
Mitigación (RS.MI): Se realizan actividades para RS.MI-1: Los incidentes son contenidos.
evitar la expansión de un evento, mitigar sus
efectos y resolver el incidente.
RS.MI-2: Los incidentes son mitigados.
Mitigación (RS.MI): Se realizan actividades para
CNSD - Pag. 7 evitar la expansión de un evento, mitigar sus
efectos y resolver el incidente.
RECUPERAR (RC) Planificación de la recuperación (RC.RP): Los RC.RP-1: El plan de recuperación se ejecuta durante o después de un
procesos y procedimientos de recuperación se incidente de seguridad cibernética.
ejecutan y se mantienen para asegurar la
restauración de los sistemas o activos afectados por
incidentes de seguridad cibernética.
Mejoras (RC.IM): La planificación y los procesos de RC.IM-1: Los planes de recuperación incorporan las lecciones
recuperación se mejoran al incorporar en las aprendidas.
actividades futuras las lecciones aprendidas.
RC.IM-2: Se actualizan las estrategias de recuperación.
Comunicaciones (RC.CO): Las actividades de RC.CO-1: Se gestionan las relaciones públicas.
restauración se coordinan con partes internas y RC.CO-2: La reputación se repara después de un incidente.
externas (por ejemplo, centros de coordinación,
proveedores de servicios de Internet, propietarios RC.CO-3: Las actividades de recuperación se comunican a las partes
de sistemas de ataque, víctimas, otros CSIRT y interesadas internas y externas, así como también a los equipos
vendedores). ejecutivos y de administración.
CNSD - Pag. 8
ID.AM-6: Los roles y las responsabilidades de la seguridad cibernética para toda la fuerza de
trabajo y terceros interesados (por ejemplo, proveedores, clientes, socios) están establecidas. Parcial 1 Adaptable 4 3 Alta
Resumen de la categoría "ID-AM: Gestión de activos" %Logro 45.83% %Objetivo 79.17% 33.33% %Prioridad
Entorno empresarial (ID.BE): Se entienden y se ID.BE-1: Se identifica y se comunica la función de la organización en la cadena de suministro. Riesgo
priorizan la misión, los objetivos, las partes Parcial 1 2 1 Baja
Informado
interesadas y las actividades de la organización;
esta información se utiliza para informar los roles, ID.BE-2: Se identifica y se comunica el lugar de la organización en la infraestructura crítica y su Parcial 1
Riesgo
2 1 Baja
responsabilidades y decisiones de gestión de los sector industrial. Informado
riesgos de seguridad cibernética. ID.BE-3: Se establecen y se comunican las prioridades para la misión, los objetivos y las Riesgo
actividades de la organización. Parcial 1 2 1 Baja
Informado
ID.BE-4: Se establecen las dependencias y funciones fundamentales para la entrega de servicios
críticos. Riesgo
2 Repetible 3 1 Baja
Informado
ID.BE-5: Los requisitos de resiliencia para respaldar la entrega de servicios críticos se establecen
para todos los estados operativos (p. ej. bajo coacción o ataque, durante la recuperación y
operaciones normales).
Parcial 1 Repetible 3 2 Media
Resumen de la categoría "ID-BE: Entorno empresarial" %Logro 30.00% %Objetivo 60.00% 30.00% %Prioridad
Gobernanza (ID.GV): Las políticas, los ID.GV-1: Se establece y se comunica la política de seguridad cibernética organizacional. Riesgo Riesgo
procedimientos y los procesos para administrar y 2 2 0 Objetivo alcanzado
Informado Informado
monitorear los requisitos regulatorios, legales, de
riesgo, ambientales y operativos de la organización ID.GV-2: Los roles y las responsabilidades de seguridad cibernética están coordinados y alineados Riesgo
se comprenden y se informan a la gestión del riesgo con roles internos y socios externos. 2 Repetible 3 1 Baja
Informado
de seguridad cibernética.
ID.GV-3: Se comprenden y se gestionan los requisitos legales y regulatorios con respecto a la
seguridad cibernética, incluidas las obligaciones de privacidad y libertades civiles. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
riesgo, ambientales y operativos de la organización
se comprenden y se informan a la gestión del riesgo
de seguridad cibernética.
CNSD - Pag. 9
ID.GV-4: Los procesos de gobernanza y gestión de riesgos abordan los riesgos de seguridad
cibernética. Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "ID-GV: Gobernanza" %Logro 43.75% %Objetivo 56.25% 12.50% %Prioridad
Evaluación de riesgos (ID.RA): La organización ID.RA-1: Se identifican y se documentan las vulnerabilidades de los activos. Riesgo
comprende el riesgo de seguridad cibernética para 2 Repetible 3 1 Baja
Informado
las operaciones de la organización (incluida la
misión, las funciones, la imagen o la reputación), los ID.RA-2: La inteligencia de amenazas cibernéticas se recibe de foros y fuentes de intercambio de Riesgo
2 Adaptable 4 2 Media
activos de la organización y las personas. información. Informado
ID.RA-3: Se identifican y se documentan las amenazas, tanto internas como externas. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
ID.RA-4: Se identifican los impactos y las probabilidades del negocio. Riesgo
Parcial 1 2 1 Baja
Informado
ID.RA-5: Se utilizan las amenazas, las vulnerabilidades, las probabilidades y los impactos para
determinar el riesgo. Parcial 1 Adaptable 4 3 Alta
ID.RA-6: Se identifican y priorizan las respuestas al riesgo. Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "ID-RA: Evaluación de riesgos" %Logro 37.50% %Objetivo 70.83% 33.33% %Prioridad
Estrategia de gestión de riesgos (ID.RM): Se ID.RM-1: Los actores de la organización establecen, gestionan y acuerdan los procesos de gestión Riesgo
establecen las prioridades, restricciones, tolerancias de riesgos. Parcial 1 2 1 Baja
Informado
de riesgo y suposiciones de la organización y se
usan para respaldar las decisiones de riesgos ID.RM-2: La tolerancia al riesgo organizacional se determina y se expresa claramente. Riesgo
Parcial 1 2 1 Baja
operacionales. Informado
ID.RM-3: La determinación de la tolerancia del riesgo de la organización se basa en parte en su
rol en la infraestructura crítica y el análisis del riesgo específico del sector. Parcial 1 Repetible 3 2 Media
Resumen de la categoría "ID-RM: Estrategia de gestión de riesgos" %Logro 25.00% %Objetivo 58.33% 33.33% %Prioridad
Gestión del riesgo de la cadena de suministro ID.SC-1: Los actores de la organización identifican, establecen, evalúan, gestionan y acuerdan los
(ID.SC): procesos de gestión del riesgo de la cadena de suministro cibernética. Repetible 3 Adaptable 4 1 Baja
Las prioridades, limitaciones, tolerancias de riesgo y
suposiciones de la organización se establecen y se ID.SC-2: Los proveedores y socios externos de los sistemas de información, componentes y
utilizan para respaldar las decisiones de riesgo servicios se identifican, se priorizan y se evalúan mediante un proceso de evaluación de riesgos Riesgo
Parcial 1 2 1 Baja
asociadas con la gestión del riesgo de la cadena de de la cadena de suministro cibernético. Informado
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar ID.SC-3: Los contratos con proveedores y socios externos se utilizan para implementar medidas
y gestionar los riesgos de la cadena de suministro. apropiadas diseñadas para cumplir con los objetivos del programa de seguridad cibernética de Riesgo Riesgo
una organización y el plan de gestión de riesgos de la cadena de suministro cibernético. 2 2 0 Objetivo alcanzado
Informado Informado
ID.SC-4: Los proveedores y los socios externos se evalúan de forma rutinaria mediante
auditorías, resultados de pruebas u otras formas de evaluación para confirmar que cumplen con Riesgo
Parcial 1 2 1 Baja
sus obligaciones contractuales. Informado
Resumen de la categoría "ID-SC: Gestión del riesgo de la cadena de suministro" %Logro 40.00% %Objetivo 60.00% 20.00% %Prioridad
PROTEGER (PR) Gestión de identidad, autenticación y control de PR.AC-1: Las identidades y credenciales se emiten, se administran, se verifican, se revocan y se
acceso (PR.AC): El acceso a los activos físicos y auditan para los dispositivos, usuarios y procesos autorizados.
lógicos y a las instalaciones asociadas está limitado Riesgo
Parcial 1 2 1 Baja
a los usuarios, procesos y dispositivos autorizados, y Informado
se administra de forma coherente con el riesgo
evaluado de acceso no autorizado a actividades PR.AC-2: Se gestiona y se protege el acceso físico a los activos.
autorizadas y transacciones. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
PR.AC-3: Se gestiona el acceso remoto. Riesgo
2 Adaptable 4 2 Media
Informado
PR.AC-4: Se gestionan los permisos y autorizaciones de acceso con incorporación de los
principios de menor privilegio y separación de funciones.
Riesgo
2 Adaptable 4 2 Media
Informado
CNSD - Pag. 10
PR.AC-7: Se autentican los usuarios, dispositivos y otros activos (por ejemplo, autenticación de
un solo factor o múltiples factores) acorde al riesgo de la transacción (por ejemplo, riesgos de
seguridad y privacidad de individuos y otros riesgos para las organizaciones).
Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "PR-AC: Gestión de identidad, autenticación y control de acceso" %Logro 46.43% %Objetivo 71.43% 25.00% %Prioridad
Concienciación y capacitación (PR.AT): El personal y PR.AT-1: Todos los usuarios están informados y capacitados. Riesgo
los socios de la organización reciben educación de 2 Adaptable 4 2 Media
Informado
concienciación sobre la seguridad cibernética y son
capacitados para cumplir con sus deberes y PR.AT-2: Los usuarios privilegiados comprenden sus roles y responsabilidades. Riesgo Riesgo
2 2 0 Objetivo alcanzado
responsabilidades relacionados con la seguridad Informado Informado
cibernética, en conformidad con las políticas, los PR.AT-3: Los terceros interesados (por ejemplo, proveedores, clientes, socios) comprenden sus
procedimientos y los acuerdos relacionados al roles y responsabilidades. Riesgo
Parcial 1 2 1 Baja
campo. Informado
PR.AT-4: Los ejecutivos superiores comprenden sus roles y responsabilidades. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
PR.AT-5: El personal de seguridad física y cibernética comprende sus roles y responsabilidades.
Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "PR-AT: Concienciación y capacitación" %Logro 40.00% %Objetivo 60.00% 20.00% %Prioridad
Seguridad de los datos (PR.DS): La información y los PR.DS-1: Los datos en reposo están protegidos. Parcial 1 Adaptable 4 3 Alta
registros (datos) se gestionan en función de la PR.DS-2: Los datos en tránsito están protegidos.
estrategia de riesgo de la organización para Riesgo
2 Adaptable 4 2 Media
proteger la confidencialidad, integridad y Informado
disponibilidad de la información. PR.DS-3: Los activos se gestionan formalmente durante la eliminación, las transferencias y la
disposición. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
PR.DS-4: Se mantiene una capacidad adecuada para asegurar la disponibilidad. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
PR.DS-5: Se implementan protecciones contra las filtraciones de datos. Riesgo
Parcial 1 2 1 Baja
Informado
PR.DS-6: Se utilizan mecanismos de comprobación de la integridad para verificar el software, el
firmware y la integridad de la información.
Riesgo
Parcial 1 2 1 Baja
Informado
PR.DS-7: Los entornos de desarrollo y prueba(s) están separados del entorno de producción.
Parcial 1 Adaptable 4 3 Alta
PR.DS-8: Se utilizan mecanismos de comprobación de la integridad para verificar la integridad del
hardware. Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "PR-DS: Seguridad de los datos" %Logro 34.38% %Objetivo 68.75% 34.38% %Prioridad
Procesos y procedimientos de protección de la PR.IP-1: Se crea y se mantiene una configuración de base de los sistemas de control industrial y
información (PR.IP): Se mantienen y se utilizan de tecnología de la información con incorporación de los principios de seguridad (por ejemplo, el Riesgo Riesgo
2 2 0 Objetivo alcanzado
políticas de seguridad (que abordan el propósito, el concepto de funcionalidad mínima). Informado Informado
alcance, los roles, las responsabilidades, el
compromiso de la jefatura y la coordinación entre PR.IP-2: Se implementa un ciclo de vida de desarrollo del sistema para gestionar los sistemas. Riesgo
las entidades de la organización), procesos y Parcial 1 2 1 Baja
Informado
procedimientos para gestionar la protección de los
sistemas de información y los activos. PR.IP-3: Se encuentran establecidos procesos de control de cambio de la configuración.
Parcial 1 Adaptable 4 3 Alta
alcance, los roles, las responsabilidades, el
compromiso de la jefatura y la coordinación entre
las entidades de la organización), procesos y
CNSD - Pag. 11 procedimientos para gestionar la protección de los
sistemas de información y los activos.
Resumen de la categoría "PR-MA: Procesos y procedimientos de protección de la información" %Logro 50.00% %Objetivo 62.50% 12.50% %Prioridad
Tecnología de protección (PR.PT): Las soluciones PR.PT-1: Los registros de auditoría o archivos se determinan, se documentan, se implementan y Riesgo
técnicas de seguridad se gestionan para garantizar se revisan en conformidad con la política. Parcial 1 2 1 Baja
Informado
la seguridad y la capacidad de recuperación de los
sistemas y activos, en consonancia con las políticas, PR.PT-2: Los medios extraíbles están protegidos y su uso se encuentra restringido de acuerdo
procedimientos y acuerdos relacionados. con la política. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "PR-PT: Tecnología de protección" %Logro 40.00% %Objetivo 60.00% 20.00% %Prioridad
CNSD - Pag. 12
DETECTAR (DE) Anomalías y Eventos (DE.AE): se detecta actividad DE.AE-1: Se establece y se gestiona una base de referencia para operaciones de red y flujos de
anómala y se comprende el impacto potencial de datos esperados para los usuarios y sistemas. Riesgo
los eventos. Parcial 1 2 1 Baja
Informado
DE.AE-2: Se analizan los eventos detectados para comprender los objetivos y métodos de
ataque. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "RS-RP: Planificación de la Respuesta" %Logro 50.00% %Objetivo 50.00% 0.00% %Prioridad
Comunicaciones (RS.CO): Las actividades de RS.CO-1: El personal conoce sus roles y el orden de las operaciones cuando se necesita una
respuesta se coordinan con las partes interesadas respuesta. Riesgo
Parcial 1 2 1 Baja
internas y externas (por ejemplo, el apoyo externo Informado
de organismos encargados de hacer cumplir la ley).
Comunicaciones (RS.CO): Las actividades de
CNSD - Pag. 13 respuesta se coordinan con las partes interesadas
internas y externas (por ejemplo, el apoyo externo
de organismos encargados de hacer cumplir la ley).
RS.CO-2: Los incidentes se informan de acuerdo con los criterios establecidos. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
RS.CO-3: La información se comparte de acuerdo con los planes de respuesta. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
RS.CO-4: La coordinación con las partes interesadas se realiza en consonancia con los planes de
respuesta.
Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "RS-CO: Comunicaciones" %Logro 40.00% %Objetivo 50.00% 10.00% %Prioridad
Análisis (RS.AN): Se lleva a cabo el análisis para RS.AN-1: Se investigan las notificaciones de los sistemas de detección.
Riesgo
garantizar una respuesta eficaz y apoyar las 2 Repetible 3 1 Baja
Informado
actividades de recuperación.
RS.AN-2: Se comprende el impacto del incidente. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
RS.AN-3: Se realizan análisis forenses. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
RS.AN-4: Los incidentes se clasifican de acuerdo con los planes de respuesta.
Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "RS-AN: Análisis" %Logro 50.00% %Objetivo 60.00% 10.00% %Prioridad
Mitigación (RS.MI): Se realizan actividades para RS.MI-1: Los incidentes son contenidos. Riesgo Riesgo
evitar la expansión de un evento, mitigar sus 2 2 0 Objetivo alcanzado
Informado Informado
efectos y resolver el incidente.
RS.MI-2: Los incidentes son mitigados. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
RS.MI-3: Las vulnerabilidades recientemente identificadas son mitigadas o se documentan como
riesgos aceptados. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "RS-MI: Mitigación" %Logro 50.00% %Objetivo 50.00% 0.00% %Prioridad
Mejoras (RS.IM): Las actividades de respuesta de la RS.IM-1: Los planes de respuesta incorporan las lecciones aprendidas. Riesgo
organización se mejoran al incorporar las lecciones Parcial 1 2 1 Baja
Informado
aprendidas de las actividades de detección y
respuesta actuales y previas. RS.IM-2: Se actualizan las estrategias de respuesta.
Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "RS-IM: Mejoras" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
RECUPERAR (RC) Planificación de la recuperación (RC.RP): Los RC.RP-1: El plan de recuperación se ejecuta durante o después de un incidente de seguridad
procesos y procedimientos de recuperación se cibernética.
ejecutan y se mantienen para asegurar la
restauración de los sistemas o activos afectados por Riesgo Riesgo
2 2 0 Objetivo alcanzado
incidentes de seguridad cibernética. Informado Informado
Resumen de la categoría "RC-RP: Planificación de la recuperación" %Logro 50.00% %Objetivo 50.00% 0.00% %Prioridad
Mejoras (RC.IM): La planificación y los procesos de RC.IM-1: Los planes de recuperación incorporan las lecciones aprendidas. Parcial 1 Repetible 3 2 Media
recuperación se mejoran al incorporar en las
actividades futuras las lecciones aprendidas.
CNSD - Pag. 14
Mejoras (RC.IM): La planificación y los procesos de
recuperación se mejoran al incorporar en las RC.IM-2: Se actualizan las estrategias de recuperación.
actividades futuras las lecciones aprendidas. Riesgo Riesgo
2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "RC-IM: Mejoras" %Logro 37.50% %Objetivo 62.50% 25.00% %Prioridad
Comunicaciones (RC.CO): Las actividades de RC.CO-1: Se gestionan las relaciones públicas. Riesgo
restauración se coordinan con partes internas y Parcial 1 2 1 Baja
Informado
externas (por ejemplo, centros de coordinación,
proveedores de servicios de Internet, propietarios RC.CO-2: La reputación se repara después de un incidente. Riesgo
2
Riesgo
2 0 Objetivo alcanzado
de sistemas de ataque, víctimas, otros CSIRT y Informado Informado
vendedores). RC.CO-3: Las actividades de recuperación se comunican a las partes interesadas internas y Riesgo Riesgo
externas, así como también a los equipos ejecutivos y de administración. 2 2 0 Objetivo alcanzado
Informado Informado
Resumen de la categoría "RC-CO: Comunicaciones" %Logro 41.67% %Objetivo 50.00% 8.33% %Prioridad
CNSD - Pag. 15
Identificar
ID.AM
ID.RA
%Logro %Objetivo
Responder
RS.RP
RS.IM RS.CO
RC.CO
RS.MI RS.AN
%Logro %Objetivo
CNSD - Pag. 17
IDENTIFICAR
80.00%
90.00%
80.00% 70.00%
70.00% 60.00%
60.00% 50.00%
50.00% 40.00%
40.00%
30.00%
30.00%
20.00%
20.00%
10.00%
10.00%
0.00%
0.00% PR.AC PR.A
ID.AM ID.BE ID.GV ID.RA ID.RM ID.SC
%Logro %Objetivo
RESPONDER
70.00% 70.00%
60.00% 60.00%
50.00% 50.00%
40.00% 40.00%
30.00% 30.00%
20.00% 20.00%
10.00% 10.00%
0.00% 0.00%
RS.RP RS.CO RS.AN RS.MI RS.IM RC.RP
%Logro %Objetivo
Funciones % Logro
70.00%
60.00%
50.00%
40.00%
30.00%
CNSD - Pag. 18
40.00%
30.00%
20.00%
10.00%
0.00%
Función ID Función PR Función DE Función RS
%Logro %Objetivo
CNSD - Pag. 19
Proteger Detectar
Óptimo DE.AE
PR.AC
PR.PT PR.AT
PR.MA PR.DS
DE.DP
PR.IP
Recuperar
RC.RP
RC.CO RC.IM
%Logro %Objetivo
CNSD - Pag. 20
PROTEGER DETEC
80.00% 70.00%
70.00% 60.00%
60.00% 50.00%
50.00%
40.00%
40.00%
30.00%
30.00%
20.00%
20.00%
10.00% 10.00%
0.00% 0.00%
PR.AC PR.AT PR.DS PR.IP PR.MA PR.PT DE.AE D
RECUPERAR
70.00%
60.00%
50.00%
40.00%
30.00%
20.00%
10.00%
0.00%
RC.RP RC.IM RC.CO
%Logro %Objetivo
CNSD - Pag. 21
Función RS Función RC
CNSD - Pag. 22
Detectar
DE.AE
E.DP DE.CM
%Logro %Objetivo
CNSD - Pag. 23
DETECTAR
%Logro %Objetivo