Gestión de activos

Se identifican y gestionan todos los elementos que ayudan a la organización a alcanzar sus objetivos empresariales, como datos, personal, equipos, sistemas e instalaciones. Esto se hace sobre la base de su importancia relativa para los objetivos empresariales de la organización y la estrategia de riesgos.

• Se realiza un inventario de los dispositivos y sistemas físicos de la organización.
• Se inventariarán las plataformas y aplicaciones informáticas de la organización.
• Se cartografían los flujos de comunicación y datos dentro de la organización.
• Se catalogan los sistemas de información externos.
• Los recursos como hardware, dispositivos, datos y software se priorizan según su clasificación y valor empresarial.
• Se establecen las funciones y responsabilidades en materia de ciberseguridad para todo el personal y las partes interesadas externas, como proveedores, clientes y socios.

Evaluación de riesgos

La organización comprende los riesgos de ciberseguridad que pueden afectar a sus operaciones (incluida la misión, funciones, imagen o reputación), activos y personas.

• Se identifican y documentan las vulnerabilidades de los activos.
• La información sobre amenazas y vulnerabilidades se obtiene de foros y fuentes de intercambio de información.
• Se identifican y documentan las amenazas, tanto internas como externas.
• Se identifican el impacto potencial en el negocio y la probabilidad.
• Las amenazas, vulnerabilidades, probabilidades e impacto se utilizan para evaluar el riesgo.
• Se identifican y priorizan las medidas de riesgo.

Estrategia de gestión de riesgos

La organización establece sus prioridades, limitaciones, tolerancias de riesgo e hipótesis para respaldar las decisiones sobre riesgos operativos.

• Las partes interesadas de la organización establecen, gestionan y aprueban los procesos de gestión de riesgos.
• Se determina y articula claramente la tolerancia al riesgo de la organización.
• La organización determina su tolerancia al riesgo en función de su papel dentro de la infraestructura crítica y del análisis de riesgos específico del sector.

Procesos y procedimientos de seguridad de la información.

Se mantienen y aplican políticas, procesos y procedimientos de seguridad para gestionar eficazmente la protección de los sistemas y activos de información. Esto incluye directrices sobre la finalidad, el alcance, las funciones, las responsabilidades, la participación de la dirección y la coordinación entre las unidades organizativas.

• Se establece y mantiene una configuración básica para la tecnología de la información y los sistemas de control industrial.
• Se aplica un ciclo de desarrollo de sistemas para la gestión de sistemas.
• Se controlan los cambios de configuración mediante procesos.
• Se crean, mantienen y comprueban periódicamente copias de seguridad de la información.
• Se cumplen las políticas y normativas del entorno operativo físico de la organización.
• Los datos se destruyen de acuerdo con la política.
• Los procesos de seguridad se mejoran continuamente.
• La eficacia de las tecnologías de protección se comparte con las partes apropiadas.
• Existen planes de respuesta (Respuesta a Incidentes y Continuidad de Negocio) y planes de recuperación (Recuperación de Incidentes y Recuperación de Desastres).
• (Recuperación de Incidentes y Recuperación de Catástrofes).
• Los planes de respuesta y recuperación se ponen a prueba.
• La ciberseguridad se incluye en las políticas de recursos humanos, como la selección de personal.
• Se elabora y aplica un plan de gestión de vulnerabilidades.

Mantenimiento

El mantenimiento y las reparaciones de los componentes de los sistemas de información y control industrial se llevan a cabo de acuerdo con las políticas y los procedimientos establecidos.

• El mantenimiento y la reparación de los activos de la organización se realizan y documentan de manera oportuna, utilizando herramientas aprobadas y controladas.
• El mantenimiento a distancia de los activos operativos se aprueba, registra y realiza de forma que se impida el acceso no autorizado.

Anomalías y sucesos

Las anomalías se detectan a tiempo y se conoce el impacto potencial de los eventos.

• Se establece y gestiona una base de referencia de la actividad de la red y de los flujos de datos previstos para usuarios y sistemas.
• Los eventos detectados se analizan para comprender los objetivos y métodos de ataque.
• Se recopilan y correlacionan datos de sucesos procedentes de múltiples fuentes y sensores.
• Se evalúa el impacto de los sucesos y se establecen umbrales para las alertas de incidentes.

Supervisión continua de la seguridad

El sistema de información y los activos se supervisan periódicamente para identificar eventos de ciberseguridad y verificar la eficacia de las medidas de protección.

• La red se supervisa para detectar posibles eventos de ciberseguridad.
• El entorno físico se supervisa para detectar posibles incidentes de ciberseguridad.
• Se supervisan las actividades del personal para detectar posibles incidentes de ciberseguridad.
• Detección de código malicioso.
• Detección de código móvil no autorizado.
• Se supervisan las actividades de los proveedores de servicios externos para detectar posibles incidentes de ciberseguridad.
• Se supervisa el personal no autorizado, las conexiones no autorizadas, los dispositivos no autorizados y el software no autorizado.
• Se realizan análisis de vulnerabilidad.

Procesos de detección

Los procesos y procedimientos de detección se mantienen y comprueban para garantizar un conocimiento oportuno y adecuado de los sucesos anómalos.

Planificación de la respuesta

Los procesos y procedimientos de respuesta se aplican y mantienen para garantizar una respuesta rápida a los eventos de ciberseguridad detectados.

• El plan de respuesta se activa durante o después de un suceso.

Comunicación

Las actividades de respuesta se coordinan con las partes interesadas internas y externas, incluido el apoyo externo de las fuerzas del orden, según sea necesario.

• El personal conoce sus funciones y la secuencia de operaciones durante una respuesta.
• Los sucesos se comunican de acuerdo con los criterios establecidos.
• La información se comparte de acuerdo con los planes de respuesta.
• La coordinación con las partes interesadas se realiza de acuerdo con los planes de respuesta.
• El intercambio voluntario de información con partes interesadas externas fomenta un mayor conocimiento de la situación de la ciberseguridad.

Análisis

Se lleva a cabo un análisis exhaustivo para garantizar una respuesta adecuada y apoyar las actividades de recuperación.

• Investigación de los informes de los sistemas de detección: Todos los informes de los sistemas de detección de seguridad se investigan cuidadosamente para determinar la naturaleza y gravedad del incidente.
• Comprensión del impacto del incidente: Las consecuencias y el alcance del incidente se comprenden plenamente para evaluar el impacto en la organización.
• Investigación forense: Se lleva a cabo una investigación forense exhaustiva para determinar la causa, los métodos y el alcance del incidente.
• Categorización de los incidentes según los planes de respuesta:
• Los incidentes se clasifican según planes de respuesta preestablecidos para garantizar una respuesta estructurada y eficaz.

Mitigación

Medidas que se adoptan para evitar la propagación de un suceso, minimizar su impacto y eliminar el incidente por completo.

• Contención del incidente: Se toman medidas para detener inmediatamente la propagación del incidente y evitar daños mayores.
• Mitigación de incidentes: Se toman medidas para reducir el impacto y los daños causados por el incidente.
• Gestión de nuevas vulnerabilidades: Las vulnerabilidades recién identificadas se abordan mitigándolas o, si es necesario, documentándolas como un riesgo aceptado.

Mejoras

Las actividades de respuesta de la organización se optimizan aprendiendo de las experiencias de detección y respuesta actuales y anteriores.

• Integración de las lecciones aprendidas en los planes de respuesta:
• Los planes de respuesta se adaptan y mejoran en función de los conocimientos y las lecciones aprendidas de incidentes y respuestas anteriores.
• Actualización de las estrategias de respuesta: Las estrategias de respuesta a incidentes se actualizan para responder de forma más eficaz y eficiente a futuros incidentes basándose en las lecciones aprendidas.

Planificación de la recuperación

Se aplican y mantienen procesos y procedimientos de recuperación para garantizar la recuperación oportuna de los sistemas o activos afectados por incidentes de ciberseguridad.

• Implementación del plan de recuperación: El plan de recuperación se despliega durante o inmediatamente después de un incidente para reanudar las operaciones normales lo antes posible.

Mejoras

La planificación y los procesos de recuperación se optimizan incorporando las lecciones aprendidas a las actividades futuras.

• Incorporación de las lecciones aprendidas a los planes de recuperación:
• Los planes de recuperación se adaptan y mejoran basándose en las percepciones y experiencias de actividades de recuperación anteriores.
• Actualización de las estrategias de recuperación: Las estrategias de recuperación se actualizan para garantizar una recuperación más eficaz y eficiente en futuros incidentes.

Comunicación

Las actividades de recuperación se coordinan con las partes internas y externas, incluidos los centros de coordinación, los proveedores de servicios de Internet, los propietarios de los sistemas atacantes, las víctimas, otros CSIRT y los proveedores.

• Gestión de las relaciones públicas: la comunicación con el mundo exterior se gestiona cuidadosamente para proteger la reputación de la organización.
• Recuperación de la reputación tras un incidente: Se toman medidas activas para restaurar la confianza y la reputación de la organización tras un incidente de seguridad.
• Comunicación de las actividades de recuperación: La información sobre las actividades de recuperación se comparte con las partes interesadas internas, incluidos los equipos ejecutivos y de gestión, para mantenerlos informados de los avances y resultados.