esquema nacional de seguridad industrial - certsi.es · ensi_imc_02- diccionario de indicadores...

TLP:WHITE

Esquema Nacional de Seguridad Industrial

ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC)

La información contenida en este documento, podrá ser distribuido sin restricciones, sujeto a los controles

de Copyright. Para más información sobre el protocolo TLP de intercambio de información sensible puede

consultar la página web: https://www.certsi.es/tlp

ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 2 de 67

Esquema Nacional de Seguridad Industrial TLP:WHITE

TLP:WHITE

ÍNDICE

1. Objeto del documento ................................................................................... 4

2. Acerca del ENSI ............................................................................................. 5

3. Indicadores ..................................................................................................... 6

3.1. Anticipar .................................................................................................... 6

3.2. Resistir .................................................................................................... 15

3.3. Recuperar ............................................................................................... 34

3.4. Evolucionar ............................................................................................. 61

4. Referencias .................................................................................................. 66

ÍNDICE DE TABLAS

Tabla 1. Ficha Métrica A-PC-OE2-02 ................................................................................................ 6 Tabla 2. Ficha Métrica A-PC-OE4-01 ................................................................................................ 7 Tabla 3. Ficha Métrica A-PC-OE4-02 ................................................................................................ 8 Tabla 4. Ficha Métrica A-GR-OE1-03 ................................................................................................ 9 Tabla 5. Ficha Métrica A-GR-OE1-04 .............................................................................................. 10 Tabla 6. Ficha Métrica A-GR-OE1-05 .............................................................................................. 11 Tabla 7. Ficha Métrica A-GR-OE2-02 .............................................................................................. 12 Tabla 8. Ficha Métrica A-FO-OE2-01 .............................................................................................. 13 Tabla 9. Ficha Métrica A-FO-OE3-01 .............................................................................................. 14 Tabla 10. Ficha Métrica T-GV-OE1-03 ............................................................................................ 15 Tabla 11. Ficha Métrica T-GV-OE1-04 ............................................................................................ 17 Tabla 12. Ficha Métrica T-GV-OE1-05 ............................................................................................ 19 Tabla 13. Ficha Métrica T-GV-OE1-06 ............................................................................................ 21 Tabla 14. Ficha Métrica T-GV-OE2-02 ............................................................................................ 23 Tabla 15. Ficha Métrica T-GV-OE2-04 ............................................................................................ 24 Tabla 16. Ficha Métrica T-GV-OE2-05 ............................................................................................ 26 Tabla 17. Ficha Métrica T-GV-OE2-06 ............................................................................................ 28 Tabla 18. Ficha Métrica T-GV-OE2-07 ............................................................................................ 29 Tabla 19. Ficha Métrica T-MC-OE1-01 ............................................................................................ 30 Tabla 20. Ficha Métrica T-MC-OE1-02 ............................................................................................ 31 Tabla 21. Ficha Métrica T-MC-OE1-03 ............................................................................................ 32 Tabla 22. Ficha Métrica T-MC-OE1-03 ............................................................................................ 34 Tabla 23. Ficha Métrica R-GI-OE1-01 ............................................................................................. 35 Tabla 24. Ficha Métrica R-GI-OE1-08 ............................................................................................. 36 Tabla 25. Ficha Métrica R-GI-OE2-01 ............................................................................................. 37 Tabla 26. Ficha Métrica R-GI-OE2-02 ............................................................................................. 38 Tabla 27. Ficha Métrica R-GI-OE2-03 ............................................................................................. 40 Tabla 28. Ficha Métrica R-GI-OE3-01 ............................................................................................. 41 Tabla 29. Ficha Métrica R-GI-OE3-06 ............................................................................................. 42 Tabla 30. Ficha Métrica R-GI-OE4-01 ............................................................................................. 44 Tabla 31. Ficha Métrica R-GI-OE5-03 ............................................................................................. 44 Tabla 32. Ficha Métrica R-CS-OE1-01 ............................................................................................ 45 Tabla 33. Ficha Métrica R-CS-OE1-06 ............................................................................................ 46 Tabla 34. Ficha Métrica R-CS-OE2-04 ............................................................................................ 47 Tabla 35. Ficha Métrica R-CS-OE3-03 ............................................................................................ 49 Tabla 36. Ficha Métrica R-CS-OE3-04 ............................................................................................ 51



TLP:WHITE

Tabla 37. Ficha Métrica R-DE-OE1-02 ............................................................................................ 53 Tabla 38. Ficha Métrica R-DE-OE2-01 ............................................................................................ 54 Tabla 39. Ficha Métrica R-DE-OE3-04 ............................................................................................ 56 Tabla 40. Ficha Métrica R-DE-OE4-01 ............................................................................................ 58 Tabla 41. Ficha Métrica R-DE-OE5-01 ............................................................................................ 59 Tabla 42. Ficha Métrica R-DE-OE5-02 ............................................................................................ 61 Tabla 43. Ficha Métrica E-CC-OE1-01 ............................................................................................ 62 Tabla 44. Ficha Métrica E-CM-OE1-02 ............................................................................................ 63 Tabla 45. Ficha Métrica E-CM-OE2-02 ............................................................................................ 64 Tabla 46. Ficha Métrica E-CM-OE3-02 ............................................................................................ 65

NOVIEMBRE 2016



TLP:WHITE

1. OBJETO DEL DOCUMENTO

Este documento proporciona un diccionario de indicadores para la mejora de la

ciberresiliencia (IMC) en organizaciones y empresas de sectores industriales e

infraestructuras críticas industriales. Estos indicadores serán medidos según la

metodología de evaluación descrita en el documento ENSI_IMC_01- Metodología de

evaluación de Indicadores para Mejora de la Ciberresiliencia.

Los indicadores contenidos en este documento son parte esencial del proceso de medición

de indicadores para la mejora de la Ciberresiliencia que permite medir el estado de la

ciberresiliencia en las metas anticipar, resistir, recuperar y evolucionar la organización en

cuanto a la resiliencia de las funciones críticas de la prestación de sus servicios.



TLP:WHITE

2. ACERCA DEL ENSI

La promulgación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para

la Protección de las Infraestructuras Críticas (Ley PIC), puso de manifiesto la importancia

de la seguridad de las Infraestructuras Críticas dentro de la Seguridad del Estado. Por su

parte, la Estrategia de Seguridad Nacional [1] de 2013 reconoce, por primera vez, las

ciberamenazas como uno de los riesgos y amenazas a la seguridad nacional.

Complementando la anterior, la Estrategia de Ciberseguridad Nacional [2] de 2013

completa la apuesta por la protección de los sistemas de control industrial como elemento

clave en un enfoque integral de la ciberseguridad

En este contexto, el Instituto Nacional de Ciberseguridad (INCIBE), del Ministerio de

Energía, Turismo y Agenda Digital, y el Centro Nacional de Infraestructuras Críticas del

Ministerio del Interior, de la mano del acuerdo suscrito en 2012 y renovado en 2015 entre

la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD) y

la Secretaría de Estado de la Seguridad (SES), promueven el Esquema Nacional de

Seguridad Industrial (ENSI), como instrumento para mejorar la seguridad de las

infraestructuras críticas industriales y con una vocación global en tanto que es aplicable en

sistemas de control industrial de cualquier organización.

Para ello, favorecer el tratamiento homogéneo de la seguridad y extender su aplicación a

toda la cadena de valor de las organizaciones industriales, reconociendo el papel de

proveedores y clientes, son las claves para dibujar el panorama completo al que responde

el ENSI, que podría conformar la base para nuevas iniciativas que permitieran al ENSI

ampliarse e incluir la seguridad desde un punto de vista más integral.

El ENSI se concreta en cuatro elementos esenciales que se configuran para atender a las

necesidades específicas de su ámbito de aplicación:

ARLI-SI: Metodología de Análisis de Riesgos Ligero de Seguridad Integral como

punto de partida y piedra angular del proceso de mejora de la seguridad. Con

entidad propia, dentro de esta metodología, ARLI-CIB permite un acercamiento

específico, y también ligero, al Análisis de Riesgos de Ciberseguridad en sistemas

de control industrial.

IMC: Indicadores para la Mejora de Ciberresiliencia, como instrumento de

diagnóstico y medición de la capacidad para soportar y sobreponerse a desastres

y perturbaciones procedentes del ámbito digital.

C4V: Modelo de Construcción de Capacidades en Ciberseguridad de la Cadena de

Valor como elemento imperante en la operativa y actividad de la prestación de

servicio del operador: proveedores y clientes.

SA: Sistema de Acreditación en Ciberseguridad, garantía de la aplicación de unas

medidas de seguridad mínimas equivalentes en todas las arquitecturas que prestan

servicios equiparables o semejantes.

La aproximación práctica y ligera predomina en todos los elementos del ENSI y dibuja un

marco completo para la mejora de la ciberseguridad en sistemas de control industrial.

Aquí, las diferentes guías y documentos de articulación, siempre alineados con todo lo

establecido para los Planes de Seguridad del Operador, Planes de Protección Específicos

y Planes Estratégicos Sectoriales, aportarán las instrucciones, criterios y herramientas para

facilitar su aplicación por parte de los diferentes agentes.



TLP:WHITE

3. INDICADORES

3.1. Anticipar

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-PC-OE2-02

Meta ANTICIPAR

Dominio Funcional POLÍTICA DE CIBERSEGURIDAD

Objetivo

Identificar las funciones críticas de la organización y establecer los requisitos

de ciberresiliencia.

Descripción

Se ha identificado el servicio esencial cuya interrupción ocasione un mayor

impacto, y se han establecido sus requisitos de ciberresiliencia.

Correlación

ISO/IEC 27001:2013 [A.5.1.1], [A.14.1.1]

NIST SP 800-53 R4 [PM-7], [SA-2], [SA-13]

ENS [org.1]

CARACTERIZACIÓN

Escala

□ L0 - No se han establecido requisitos de ciberresiliencia.

□ L1 - Se ha iniciado la identificación de requisitos de ciberresiliencia.

□ L2 - Se han establecido requisitos de ciberresiliencia, pero no se han

documentado.

□ L3 - Se han documentado los requisitos de ciberresiliencia, y se

mantienen actualizados.

□ L4 - Se gestionan, actualizan y verifican los requisitos de ciberresiliencia.

□ L5 - Se aplican acciones de mejora en la definición de requisitos de

ciberresiliencia.

OBTENCIÓN

Método de recogida Manual

Responsable

CSO (Chief Security Officer) y/o CISO (Chief Information Security

Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores tendentes a L5 significan que la organización ha

identificado y documentado los requisitos de

ciberresiliencia para sus servicios esenciales, y dichos

requisitos son exactos y están actualizados.

Acciones

correctivas

- Identificar o revisar los requisitos de ciberresiliencia de los servicios esenciales.

- Actualizar la documentación asociada a la política de ciberseguridad.

Tabla 1. Ficha Métrica A-PC-OE2-02



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-PC-OE4-01

Meta ANTICIPAR


Objetivo Colaborar con otros organismos en materia de ciberresiliencia.

Descripción

Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o

intercambio de información con organismos públicos en materia de

ciberresiliencia.

Correlación

ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2]

NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15]

ENS [org.1]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido ningún acuerdo.

□ L1 - Se ha iniciado el establecimiento de algún acuerdo con organismos

públicos.

□ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha

documentado ni ha sido aprobado por la Dirección).

□ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la

Dirección, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido.

□ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido

con organismos públicos.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


establecido acuerdos de ayuda mutua, colaboración o

intercambio de información en materia de ciberresiliencia

con organismos públicos, para garantizar la colaboración

o el soporte de entidades externas, si es necesario, en

caso de un ciberataque que pueda producir

indisponibilidad de los servicios esenciales.

Acciones

correctivas

- Revisar o establecer acuerdos con organismos públicos, para garantizar la colaboración mutua en caso de un ciberataque.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-PC-OE4-02

Meta ANTICIPAR


Objetivo Colaborar con otros organismos en materia de ciberresiliencia.

Descripción

Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o

intercambio de información con entidades privadas en materia de

ciberresiliencia.

Correlación

ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2]

NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15]

ENS [org.1]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido ningún acuerdo.

□ L1 - Se ha iniciado el establecimiento de algún acuerdo con entidades

privadas.

□ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha

documentado ni ha sido aprobado por la Dirección).

□ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la

Dirección, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido.

□ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido

con entidades privadas.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


establecido acuerdos de ayuda mutua, colaboración o

intercambio de información en materia de ciberresiliencia

con entidades privadas, para garantizar la colaboración

o el soporte de entidades externas, si es necesario, en

caso de un ciberataque que pueda producir

indisponibilidad de los servicios esenciales.

Acciones

correctivas

- Revisar o establecer acuerdos con entidades privadas, para garantizar la colaboración mutua en caso de un ciberataque.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-GR-OE1-03

Meta ANTICIPAR

Dominio Funcional GESTIÓN DE RIESGOS

Objetivo

Establecer, implementar y mantener un proceso formal y

documentado de análisis de impacto (BIA) sobre las funciones críticas

que soportan los servicios esenciales.

Descripción

Se han identificado los impactos que puede tener la interrupción de la

provisión del servicio esencial, y se han valorado cuáles son más

críticos.

Correlación

ISO/IEC 31000:2009

NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14]

ENS [op.pl.1]

CARACTERIZACIÓN

Escala

□ L0 - No se han identificado los impactos de una interrupción del

servicio esencial.

□ L1 - Se ha iniciado la identificación de impactos de una interrupción

sobre la provisión del servicio esencial.

□ L2 - Se han establecido los impactos y se valora cuáles son más

críticos, pero no se han documentado.

□ L3 - Se han documentado los impactos de una interrupción y su

criticidad, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y verifican los impactos de una

interrupción y su criticidad.

□ L5 - Se aplican acciones de mejora en la definición y valoración de

impactos sobre la provisión del servicio esencial.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores tendentes a L5 significan que la organización

ha identificado y priorizado los posibles impactos de

una interrupción en el tiempo de las actividades que

soportan el funcionamiento de las funciones.

Acciones

correctiv

as

- Identificar los posibles impactos que causaría una interrupción de las actividades que soportan el funcionamiento de las funciones críticas que soportan los servicios esenciales.

- Priorizar dichos impactos.

Tabla 4. Ficha Métrica A-GR-OE1-03



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-GR-OE1-04

Meta ANTICIPAR


Objetivo

Establecer, implementar y mantener un proceso formal y documentado de

análisis de impacto (BIA) sobre las funciones críticas que soportan los

servicios esenciales.

Descripción

Se ha estimado el máximo tiempo de duración de una interrupción de la

provisión del servicio esencial que se considera aceptable.

Correlación

ISO/IEC 31000:2009


ENS [op.pl.1]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el máximo tiempo de duración de una

interrupción de la provisión del servicio esencial que se considera aceptable.

□ L1 - Se ha iniciado la identificación del máximo tiempo de duración de una


□ L2 - Se ha establecido el máximo tiempo de duración de una interrupción

de la provisión del servicio esencial que se considera aceptable, pero no se

han documentado.

□ L3 - Se ha documentado el máximo tiempo de duración de una interrupción

de la provisión del servicio esencial que se considera aceptable, y se

mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el máximo tiempo de duración de una


□ L5 - Se aplican acciones de mejora en la definición del máximo tiempo de

duración de una interrupción de la provisión del servicio esencial que se

considera aceptable.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo Se han estimado para todas las funciones críticas.

Indicador

Valores

positivos

Valores positivos implicarían que la organización ha

estimado el máximo periodo tolerable de una interrupción

para todas las funciones críticas que soportan los

servicios esenciales, por encima del cual, sería

considerada inaceptable.

Acciones

correctivas

- Establecer los periodos máximos tolerables de interrupción para todas las funciones críticas que soportan los servicios esenciales.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-GR-OE1-05

Meta ANTICIPAR


Objetivo

Establecer, implementar y mantener un proceso formal y documentado de

análisis de impacto (BIA) sobre las funciones críticas que soportan los


Descripción

Se han identificado los tiempos objetivos de recuperación (RTO) y puntos

objetivos de recuperación (RPO) para la provisión del servicio esencial.

Correlación

ISO/IEC 31000:2009


ENS [op.pl.1]

CARACTERIZACIÓN

Escala

□ L0 - No se han identificado los RTO y RPO para la provisión del servicio

esencial.

□ L1 - Se ha iniciado la identificación de los RTO y RPO para la provisión del

servicio esencial.

□ L2 - Se han establecido los RTO y RPO para la provisión del servicio

esencial, pero no se han documentado.

□ L3 - Se han documentado los RTO y RPO para la provisión del servicio

esencial, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y verifican los RTO y RPO para la provisión

del servicio esencial.

□ L5 - Se aplican acciones de mejora en la definición de los RTO y RPO

para la provisión del servicio esencial.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo Se han estimado para todas las funciones críticas.

Indicador

Valores

positivos

Valores positivos implicarían que la organización ha

identificado los tiempos objetivos de recuperación (RTO)

y puntos objetivos de recuperación (RPO) de todas las

funciones críticas que soportan los servicios esenciales.

Acciones

correctivas

- Establecer los tiempos objetivos de recuperación (RTO) y puntos objetivos de recuperación (RPO) de todas las funciones críticas que soportan los servicios esenciales.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-GR-OE2-02

Meta ANTICIPAR


Objetivo Identificar los riesgos y niveles de tolerancia al riesgo.

Descripción

Se han definido umbrales de tolerancia al riesgo, que disparen la

ejecución de distintas acciones de tratamiento de los riesgos

(eliminar, mitigar, transferir, aceptar).

Correlación

ISO/IEC 31000:2009


ENS [op.pl.1]

CARACTERIZACIÓN

Escala

□ L0 - No se han identificado los umbrales de tolerancia al

riesgo.

□ L1 - Se ha iniciado la identificación de los umbrales de

tolerancia al riesgo.

□ L2 - Se han establecido los umbrales de tolerancia al riesgo,

pero no se han documentado.

□ L3 - Se han documentado los umbrales de tolerancia al

riesgo y las acciones de tratamiento asociadas, y esta

información se mantiene actualizada.

□ L4 - Se gestionan, actualizan y verifican los umbrales de

tolerancia al riesgo y las acciones de tratamiento asociadas.

□ L5 - Se aplican acciones de mejora en la definición de

umbrales de tolerancia al riesgo y en su tratamiento asociado.

OBTENCIÓN


Responsable

CSO (Chief Security Officer) y/o CISO (Chief Information

Security Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores tendentes a L5 significan que la

organización ha definido umbrales de

tolerancia al riesgo para las funciones críticas

que soportan los servicios esenciales, que

disparen la ejecución de distintas acciones de

tratamiento de los riesgos

Acciones

correctivas

- Establecer los umbrales de tolerancia al riesgo para las funciones críticas que soportan los servicios esenciales.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-FO-OE2-01

Meta ANTICIPAR

Dominio Funcional FORMACIÓN EN CIBERSEGURIDAD

Objetivo Llevar a cabo actividades de formación en ciberresiliencia.

Descripción

Se ha establecido un plan de formación en ciberresiliencia , por

ejemplo, la participación en ciberejercicios, orientado a formar al

personal implicado en el servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.7.2.2]

NIST SP 800-53 R4 [AT-1], [AT-3], [PM-13], [PM-14]

ENS [mp.per.4]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido un plan de formación en

ciberresiliencia.

□ L1 - Se ha iniciado la definición de un plan de formación.

□ L2 - Se ha establecido un plan de formación, pero no se han

documentado.

□ L3 - Se ha documentado un plan de formación y las actividades

de formación asociadas, y este plan se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el plan de formación y las

actividades de formación asociadas.

□ L5 - Se aplican acciones de mejora en el plan de formación y

actividades de formación asociadas.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización celebra actividades de formación

en ciberresiliencia, o ciberejercicios orientados

a formar al personal de la organización en

materia de ciberresiliencia.

Acciones

correctivas

- Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de formación en ciberresiliencia, o ciberejercicios orientados a formar al personal de la organización en esta materia.

Tabla 8. Ficha Métrica A-FO-OE2-01



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código A-FO-OE3-01

Meta ANTICIPAR

Dominio Funcional FORMACIÓN EN CIBERSEGURIDAD

Objetivo Llevar a cabo actividades de concienciación en ciberresiliencia.

Descripción

Se ha establecido un plan de concienciación en ciberresiliencia

(incluyendo la participación en ciberejercicios) orientado a formar

a todo el personal de la organización.

Correlación

ISO/IEC 27001:2013 [A.7.2.2]

NIST SP 800-53 R4 [AT-1], [PM-16], [AT-2], [PM-15], [PM-16]

ENS [mp.per.3]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido un plan de concienciación en

ciberresiliencia.

□ L1 - Se ha iniciado la definición de un plan de concienciación

□ L2 - Se ha establecido un plan de concienciación pero no se

han documentado.

□ L3 - Se ha documentado un plan de concienciación y las

actividades de concienciación asociadas, y este plan se


□ L4 - Se gestiona, actualiza y verifica el plan de concienciación

y las actividades de concienciación asociadas.

□ L5 - Se aplican acciones de mejora en el plan de

concienciación y actividades de concienciación asociadas.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización celebra actividades de

concienciación en ciberresiliencia, o

ciberejercicios orientados a concienciar al

personal de la organización en materia de

ciberresiliencia.

Acciones

correctivas

- Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de concienciación en ciberresiliencia, o ciberejercicios orientados a concienciar al personal de la organización en esta materia.

Tabla 9. Ficha Métrica A-FO-OE3-01



TLP:WHITE

3.2. Resistir

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE1-03

Meta RESISTIR

Dominio Funcional GESTIÓN DE VULNERABILIDADES

Objetivo

Establecer y mantener un proceso de identificación y análisis de

vulnerabilidades.

Descripción

Se descubren las vulnerabilidades de forma activa utilizando las

fuentes de información de vulnerabilidades.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]

NIST SP 800-53 R4 [CA-8], [RA-5], [SA-11], [SI-2], [SI-3]

ENS [op.pl.1] [mp.sw.2] [op.exp.3]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado ninguna fuente de información de

vulnerabilidades.

□ L1 - Se ha iniciado la identificación de fuentes de información

de vulnerabilidades, cuya información se revisa puntualmente.

□ L2 - Se ha establecido una lista de fuentes de

vulnerabilidades que se revisa constantemente, pero no está

documentada.

□ L3 - Se ha documentado una lista de fuentes de información

de vulnerabilidades, que se mantiene actualizada y se revisa

constantemente.

□ L4 - Se gestionan, actualizan y verifican las fuentes de

información de vulnerabilidades y la revisión de su información.

□ L5 - Se aplican acciones de mejora en la definición de la lista

de fuentes de vulnerabilidades y en la revisión de su

información.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores cercanos a L5 significan que la

organización realiza una revisión activa de las

vulnerabilidades que afectan a las funciones

críticas que soportan los servicios esenciales.

Acciones

correctivas

- Establecer actividades regulares para identificar y analizar las vulnerabilidades de sus activos (personas, información, tecnología, instalaciones) y procesos.

Tabla 10. Ficha Métrica T-GV-OE1-03



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE1-04

Meta RESISTIR

Dominio Funcional GESTIÓN DE VULNERABILIDADES

Objetivo


vulnerabilidades.

Descripción

Se categorizan y priorizan las vulnerabilidades que afectan a la

provisión del servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]

NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3]

ENS [op.pl.1] [mp.sw.2]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido una categorización y priorización de

vulnerabilidades.

□ L1 - Se ha iniciado la definición de categorías y prioridades para las

vulnerabilidades.

□ L2 - Se ha establecido una categorización y priorización de

vulnerabilidades, pero no se han documentado.

□ L3 - Se ha documentado una categorización y priorización de

vulnerabilidades, y se mantiene actualizada.

□ L4 - Se gestionan, actualizan y verifican las categorías y prioridades

de vulnerabilidades.

□ L5 - Se aplican acciones de mejora en la categorización y

priorización de vulnerabilidades.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización categorizan y priorizan las

vulnerabilidades que afectan a las funciones




TLP:WHITE

Acciones

correctivas

- Establecer un mecanismo para categorizar y priorizar las vulnerabilidades que afectan a los servicios esenciales. Por ejemplo, establecer las siguientes categorías de resolución de vulnerabilidades:

No tomar ninguna acción.

Resolver inmediatamente (típicamente para actualizaciones o cambios de un fabricante).

Desarrollar e implementar una estrategia de resolución de la vulnerabilidad (cuando implica acciones que requieren más esfuerzo que, por ejemplo, una actualización del fabricante).

Llevar a cabo investigaciones o análisis adicionales.

Remitir la vulnerabilidad al proceso de gestión de riesgos para una consideración formal del riesgo.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE1-05

Meta RESISTIR

Dominio

Funcional

GESTIÓN DE VULNERABILIDADES

Objetivo


vulnerabilidades.

Descripción

Se analizan las vulnerabilidades con el objetivo de valorar su impacto y

relevancia en la organización.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se realiza un análisis de vulnerabilidades para valorar su

impacto.

□ L1 - Se ha iniciado la realización de análisis de vulnerabilidades para

valorar su impacto.

□ L2 - Se ha establecido un procedimiento para valora el impacto de las

vulnerabilidades, pero no está documentado.

□ L3 - Se ha documentado un procedimiento de análisis de

vulnerabilidades para valorar su impacto en la organización, y se


□ L4 - Se gestionan, actualizan y verifican los análisis de

vulnerabilidades para valorar su impacto.

□ L5 - Se aplican acciones de mejora en el análisis de vulnerabilidades.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización analiza las vulnerabilidades para

determinar cuáles requieren atención adicional.

Como resultado de este análisis, se determinará si

las vulnerabilidades no son relevantes, si necesitan

ser abordadas a través de una solución simple, o si

necesitan la aplicación de una estrategia formal de

resolución.



TLP:WHITE

Acciones

correctivas

- Establecer un procedimiento de análisis de vulnerabilidades, que puede incluir las actividades:

Entender la amenaza y la exposición a la misma.

Revisar la información de dicha vulnerabilidad para saber si ha existido con anterioridad y determinar las acciones que se llevaron a cabo para mitigarla o eliminarla.

Identificar y comprender las causas subyacentes de la exposición a la vulnerabilidad.

Priorizar y categorizar las vulnerabilidades para tomar las medidas adecuadas para su resolución.

Referir la vulnerabilidad al proceso de gestión de riesgos cuando requiera un más profundo análisis del impacto de la amenaza potencial.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE1-06

Meta RESISTIR

Dominio

Funcional


Objetivo


vulnerabilidades.

Descripción

Se mantiene un repositorio actualizado de vulnerabilidades que guarda

información de las mismas y su resolución.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se mantiene un repositorio de vulnerabilidades con

información sobre las mismas.

□ L1 - Se ha iniciado la elaboración de un repositorio de

vulnerabilidades con información sobre las mismas y su resolución.

□ L2 - Se ha establecido un repositorio de vulnerabilidades con

información sobre las mismas y su resolución, pero no está

documentado.

□ L3 - Se ha documentado la existencia de un repositorio de


□ L4 - Se gestiona, actualiza y verifica repositorio de vulnerabilidades

con información sobre las mismas y su resolución.

□ L5 - Se aplican acciones de mejora en el repositorio de


OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo Se mantiene un repositorio con todas las vulnerabilidades conocidas.

Indicador

Valores

positivos


organización mantiene un repositorio

actualizado de todas las vulnerabilidades

conocidas, almacenando información de las

mismas y su resolución.



TLP:WHITE

Acciones

correctivas

- Establecer un repositorio de vulnerabilidades como fuente central de información del ciclo de vida de las mismas. Dicho repositorio debe contener información básica como:

Identificador único para referencia interna de la vulnerabilidad en la organización.

Descripción de la vulnerabilidad.

Fecha de ingreso en el repositorio.

Referencias a la fuente de la vulnerabilidad.

Importancia de la vulnerabilidad para la organización (crítica, moderada, etc.)

Personas o equipos asignados para analizarla y solucionarla.

Registro de las acciones de resolución tomadas para disminuir o eliminar la vulnerabilidad.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE2-02

Meta RESISTIR

Dominio

Funcional


Objetivo Gestionar la exposición a vulnerabilidades identificadas.

Descripción

Se emprenden acciones para gestionar la exposición a vulnerabilidades

conocidas.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]

NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]

ENS [op.pl.1] [mp.sw.2], [op.exp.3]

CARACTERIZACIÓN

Escala

□ L0 - No se emprenden acciones para gestionar la exposición a

vulnerabilidades.

□ L1 - Se ha iniciado la implantación de acciones para gestionar la

exposición a vulnerabilidades conocidas.

□ L2 - Se ha establecido una estrategia para gestionar la exposición a

vulnerabilidades conocidas, pero no se ha documentado.

□ L3 - Se ha documentado la estrategia para gestionar la exposición a

vulnerabilidades conocidas.

□ L4 - Se revisa la efectividad de las actividades de mitigación de


□ L5 - Se aplican acciones de mejora en la estrategia de mitigación de


OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo

Se emprenden acciones para gestionar la exposición a todas las


Indicador

Valores

positivos


organización ha desarrollado e implementado

una estrategia de resolución para todas las

vulnerabilidades cuya exposición debe ser

reducida o eliminada.



TLP:WHITE

Acciones

correctivas

- Desarrollar e implementar una estrategia de resolución adecuada para las vulnerabilidades que ha determinado que deben ser eliminadas o reducidas. Esta estrategia puede incluir acciones para:

Reducir al mínimo la exposición de la organización a la vulnerabilidad (al reducir la probabilidad de que la vulnerabilidad sea explotada).

Eliminar la exposición de la organización a la vulnerabilidad (al eliminar la amenaza, el actor amenaza, y / o el motivo).




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE2-04

Meta RESISTIR

Dominio

Funcional



Descripción Se monitoriza el estado de aquellas vulnerabilidades no resueltas.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se monitoriza el estado de las vulnerabilidades no resueltas.

□ L1 - Se ha iniciado la monitorización de las vulnerabilidades no

resueltas.

□ L2 - Se ha establecido un procedimiento para la monitorización de

las vulnerabilidades no resueltas, pero no está documentado.

□ L3 - Se ha documentado el procedimiento de monitorización de

vulnerabilidades no resueltas, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica la monitorización de

vulnerabilidades no resueltas.

□ L5 - Se aplican acciones de mejora en la monitorización de

vulnerabilidades no resueltas.

OBTENCIÓN

Método de

recogida de

información

Manual Recomendable entrevista personal o telefónica, para poder

interpretar los resultados con mayor nivel de detalle en la fase de

análisis.

Responsable


Officer)

ANÁLISIS

Medida Objetivo SÍ

Indicador

Valores

positivos

Valores tendentes a L5 significan que las

vulnerabilidades no resueltas son monitorizadas

y reportadas regularmente.

Acciones

correctivas

- Monitorizar las vulnerabilidades no resueltas y reportar su existencia a los responsables oportunos de la organización.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE2-05

Meta RESISTIR

Dominio

Funcional



Descripción

Se ha estimado el tiempo medio transcurrido desde que se conoce una

vulnerabilidad, hasta que se comunica a los responsables implicados en

su resolución.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio transcurrido desde que se

conoce una vulnerabilidad, hasta que se comunica a los responsables.

□ L1 - Se ha iniciado la identificación del tiempo medio transcurrido

desde que se conoce una vulnerabilidad, hasta que se comunica a los

responsables.

□ L2 - Se ha establecido el tiempo medio transcurrido desde que se

conoce una vulnerabilidad, hasta que se comunica a los responsables,

pero no se han documentado.

□ L3 - Se ha documentado el tiempo medio transcurrido desde que se

conoce una vulnerabilidad, hasta que se comunica a los responsables,

y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio transcurrido

desde que se conoce una vulnerabilidad, hasta que se comunica a los

responsables.

□ L5 - Se aplican acciones de mejora en la definición del tiempo medio

transcurrido desde que se conoce una vulnerabilidad, hasta que se

comunica a los responsables.

OBTENCIÓN

Método de

recogida de

información



análisis.

Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores tendentes a L5 indican que existe un

proceso mejorado para estimar el número de

horas entre la fecha de conocimiento de una

vulnerabilidad que afecte a la provisión del

servicio esencial, y la fecha de su comunicación a

los responsables.



TLP:WHITE

Acciones

correctivas

- Concienciar a los usuarios de la necesidad de comunicar cuanto antes cualquier anomalía o evento de seguridad detectado.

- Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE2-06

Meta RESISTIR

Dominio

Funcional



Descripción

Se ha estimado el tiempo medio desde que se anuncia la existencia de

un parche de seguridad, hasta que es aplicado en el sistema que

soporta el servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio desde que se anuncia la

existencia de un parche de seguridad, hasta que es aplicado en el

sistema que soporta el servicio esencial.

□ L1 - Se ha iniciado la identificación del tiempo medio desde que se

anuncia la existencia de un parche de seguridad, hasta que es aplicado

en el sistema que soporta el servicio esencial.

□ L2 - Se ha establecido el tiempo medio desde que se anuncia la


sistema, pero no se han documentado.

□ L3 - Se ha documentado el tiempo medio desde que se anuncia la


sistema, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se

anuncia la existencia de un parche de seguridad, hasta que es aplicado

en el sistema.


desde que se anuncia la existencia de un parche de seguridad hasta

que es aplicado en el sistema.

OBTENCIÓN

Método de

recogida de

información

Manual

Recomendable entrevista personal o telefónica, para poder interpretar los

resultados con mayor nivel de detalle en la fase de análisis.

Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos



horas entre la fecha de disponibilidad de un

parche que afecte a un servicio esencial y la fecha

de instalación del mismo.



TLP:WHITE

Acciones

correctivas





TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-GV-OE2-07

Meta RESISTIR

Dominio

Funcional



Descripción

Se ha estimado el tiempo medio para mitigar vulnerabilidades

identificadas.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio para mitigar

vulnerabilidades identificadas.

□ L1 - Se ha iniciado la identificación del tiempo medio para mitigar


□ L2 - Se ha establecido el tiempo medio para mitigar vulnerabilidades

identificadas, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio para mitigar

vulnerabilidades identificadas, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio para mitigar



para mitigar vulnerabilidades identificadas.

OBTENCIÓN

Método de

recogida de

información

Manual

Recomendable entrevista personal o telefónica, para poder interpretar los

resultados con mayor nivel de detalle en la fase de análisis.

Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos



horas entre la fecha de detección de una

vulnerabilidad que afecte a una función crítica y la

fecha de mitigación de la misma.

Acciones

correctivas





TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-MC-OE1-01

Meta RESISTIR

Dominio Funcional MONITORIZACIÓN CONTINUA

Objetivo Monitorizar los servicios esenciales.

Descripción

Se monitoriza constantemente (24x7) la provisión del servicio esencial

(redes de comunicaciones, sistemas, accesos, entorno físico, personal,

etc.) para detectar potenciales ciberataques.

Correlación

ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]

NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4]

ENS [op.mon]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza la monitorización 24x7 de la provisión del servicio

esencial.

□ L1 - Se ha iniciado la monitorización 24x7 de la provisión del

servicio esencial.

□ L2 - Se ha establecido un procedimiento de monitorización 24x7 de

la provisión del servicio esencial, pero no se ha documentado.

□ L3 - Se ha documentado un procedimiento de monitorización 24x7

de la provisión del servicio esencial, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica la monitorización 24x7 de la


□ L5 - Se aplican acciones de mejora en la monitorización 24x7 de la


OBTENCIÓN


Responsable


Security Officer) y/o Director de Seguridad Física

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos

Valores tendentes a L5 indican que la

organización monitoriza constantemente (24x7)

las funciones críticas que soportan los servicios

esenciales para detectar potenciales

ciberataques.

Acciones

correctivas

- Establecer un procedimiento de monitorización continua sobre los activos y funciones que dan soporte a los servicios esenciales (redes de comunicaciones, sistemas, accesos, entorno físico, personal, etc.) para detectar potenciales ciberataques.

Tabla 19. Ficha Métrica T-MC-OE1-01



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-MC-OE1-02

Meta RESISTIR

Dominio

Funcional MONITORIZACIÓN CONTINUA


Descripción

Se monitorizan los sistemas que dan soporte a los servicios esenciales

en busca de software o hardware no autorizado.

Correlación

ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]


ENS [op.mon]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza la monitorización del sistema para detectar

software o hardware no autorizado.

□ L1 - Se ha iniciado la monitorización del sistema para detectar


□ L2 - Se ha establecido un procedimiento de monitorización del

sistema para detectar software o hardware no autorizado, pero no se ha

documentado.

□ L3 - Se ha documentado un procedimiento de monitorización del

sistema para detectar software o hardware no autorizado, y se


□ L4 - Se gestiona, actualiza y verifica la monitorización del sistema

para detectar software o hardware no autorizado.

□ L5 - Se aplican acciones de mejora en la monitorización del sistema

para detectar software o hardware no autorizado.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización monitoriza los sistemas que dan

soporte a los servicios esenciales en busca de


Acciones

correctivas

- Establecer un procedimiento de monitorización continua sobre los sistemas que dan soporte a los servicios esenciales en busca de software o hardware no autorizado.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-MC-OE1-03

Meta RESISTIR

Dominio

Funcional MONITORIZACIÓN CONTINUA


Descripción

Se monitorizan las redes de comunicaciones que dan soporte a los

servicios esenciales en busca de puntos de conexión no autorizados.

Correlación

ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]


ENS [op.mon]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza la monitorización de redes de comunicaciones para

detectar conexiones no autorizadas.

□ L1 - Se ha iniciado la monitorización de redes de comunicaciones

para detectar conexiones no autorizadas.

□ L2 - Se ha establecido un procedimiento de monitorización de redes

de comunicaciones para detectar conexiones no autorizadas, pero no

se ha documentado.

□ L3 - Se ha documentado un procedimiento de monitorización de

redes de comunicaciones para detectar conexiones no autorizadas, y

se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica la monitorización de redes de

comunicaciones para detectar conexiones no autorizadas.

□ L5 - Se aplican acciones de mejora en la monitorización de redes de

comunicaciones para detectar conexiones no autorizadas.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos


organización monitoriza las redes de

comunicaciones que dan soporte a los servicios

esenciales en busca de puntos de conexión no

autorizados.

Acciones

correctivas

- Establecer un procedimiento de monitorización continua sobre las redes de comunicaciones que dan soporte a los servicios esenciales en busca de puntos de conexión no autorizados.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código T-MC-OE1-04

Meta RESISTIR

Dominio Funcional MONITORIZACIÓN CONTINUA


Descripción

Se ha estimado el tiempo medio desde que se produce un ciberataque

hasta que es reportado a los responsables oportunos de

contrarrestarlo.

Correlación

ISO/IEC 27001:2013 [A.12.6.1]



CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio desde que se produce

un ciberataque hasta que es reportado a los responsables oportunos

de contrarrestarlo.

□ L1 - Se ha iniciado la identificación del tiempo medio desde que se

produce un ciberataque hasta que es reportado a los responsables

oportunos de contrarrestarlo.

□ L2 - Se ha establecido el tiempo medio desde que se produce un

ciberataque hasta que es reportado a los responsables oportunos de

contrarrestarlo, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio desde que se produce un

ciberataque hasta que es reportado a los responsables oportunos de

contrarrestarlo.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se

produce un ciberataque hasta que es reportado a los responsables

oportunos de contrarrestarlo.

□ L5 - Se aplican acciones de mejora en la definición del tiempo

medio desde que se produce un ciberataque hasta que es reportado

a los responsables oportunos de contrarrestarlo.

OBTENCIÓN

Método de

recogida de

información



análisis.

Responsable


Officer)

ANÁLISIS

Medida Objetivo L5

Indicador

Valores

positivos



horas entre la fecha de ocurrencia de un ataque

sobre la provisión de un servicio esencial y la

fecha de su comunicación a los responsables..



TLP:WHITE

Acciones

correctivas

- Revisar y mejorar la implantación del procedimiento de monitorización continua.


3.3. Recuperar

A continuación se detallan las fichas para las veinte (20) métricas seleccionadas

correspondientes a la meta de Recuperar.

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE1-01

Meta RECUPERAR

Dominio

Funcional

GESTIÓN DE INCIDENTES

Objetivo

Establecer un proceso para detectar, reportar, priorizar y analizar

eventos.

Descripción

Se realiza la detección de eventos y su reporte al personal encargado

de gestionar incidentes.

Correlación

ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]

NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza una detección y reporte de eventos.

□ L1 - Se ha iniciado la detección y reporte de eventos.

□ L2 - Se ha establecido un procedimiento de detección y reporte de

eventos, pero no se ha documentado.

□ L3 - Se ha documentado un procedimiento de detección y reporte de

eventos, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica la detección y reporte de

eventos.

□ L5 - Se aplican acciones de mejora en la detección y reporte de

eventos.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5



TLP:WHITE

Indicador

Valores

positivos


organización dispone de un procedimiento para

capturar y analizar eventos, de manera que

puede determinar si el evento se convertirá (o

se ha convertido) en un ciberincidente que

requiere la acción de la organización.

Acciones

correctivas

- Establecer un procedimiento de reporte de eventos para detectarlos y proporcionar informes al personal de gestión de incidentes y a los responsables interesados.

Tabla 23. Ficha Métrica R-GI-OE1-01

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE1-08

Meta RECUPERAR

Dominio

Funcional


Objetivo

Establecer un proceso para detectar, reportar, priorizar y analizar

eventos.

Descripción

Se ha estimado el tiempo medio entre que se produce un ciberataque

y se detecta.

Correlación

ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]

NIST SP 800-53 R4 [AR-4], [AU-13], [IR-4], [IR-5], [PE-6], [RA-6]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio entre que se produce un

ciberataque y se detecta.

□ L1 - Se ha iniciado la identificación del tiempo medio entre que se

produce un ciberataque y se detecta.

□ L2 - Se ha establecido el tiempo medio entre que se produce un

ciberataque y se detecta, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio entre que se produce un

ciberataque y se detecta, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se

produce un ciberataque y se detecta.


entre que se produce un ciberataque y se detecta.

OBTENCIÓN

Método de

recogida de

información



análisis.

Responsable


Officer)



TLP:WHITE

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos



horas entre la fecha de ocurrencia de un

ciberataque afectando la provisión del servicio

esencial y la fecha de su detección.

Acciones

correctivas

- Revisar y mejorar la implantación del proceso para detectar ciberincidentes.

- Reforzar la formación y concienciación en relación a la detección de ciberincidentes.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE2-01

Meta RECUPERAR

Dominio

Funcional


Objetivo Identificar y analizar los ciberincidentes.

Descripción

Existe un procedimiento para identificar y contabilizar los

ciberincidentes basado en una tipificación de incidentes definida.

Correlación

ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]

NIST SP 800-53 R4 [IR-4]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se identifican ni contabilizan los ciberincidentes de acuerdo

a una tipificación de los mismos.

□ L1 - Se ha iniciado una identificación y de ciberincidentes basada

en una tipificación definida.

□ L2 - Se ha establecido un procedimiento para identificar y

contabilizar ciberincidentes basado en una tipificación de los mismos,

pero no se ha documentado.

□ L3 - Se ha documentado un procedimiento para identificar y

contabilizar ciberincidentes basado en una tipificación de los mismos,

y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica la identificación de

ciberincidentes basada en su tipificación.

□ L5 - Se aplican acciones de mejora en la identificación de

ciberincidentes basada en su tipificación.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización identifica y contabilizan los

ciberincidentes de acuerdo a un proceso

establecido, basado en una tipificación de

incidentes definida.

Acciones

correctivas

- Establecer un conjunto de línea de base de los acontecimientos que definen ciberincidentes estándar, e identificar y contabilizar los ciberincidentes de acuerdo a dicha tipificación.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE2-02

Meta RECUPERAR

Dominio

Funcional



Descripción

Existe un criterio de identificación de ciberincidentes accesible a todo

el personal.

Correlación

ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]

NIST SP 800-53 R4 [IR-4]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se ha establecido un criterio de identificación de

ciberincidentes que esté accesible a todo el personal.

□ L1 - Se ha iniciado la definición de un criterio de identificación de

ciberincidentes.

□ L2 - Se ha establecido un criterio de identificación de

ciberincidentes, pero no se ha documentado.

□ L3 - Se ha documentado un criterio de identificación de

ciberincidentes, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el criterio de identificación de

ciberincidentes.

□ L5 - Se aplican acciones de mejora en la definición del criterio de

identificación de ciberincidentes.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización ha definido y documentado los

criterios de declaración de ciberincidentes, y

esta información está disponible para todo el

personal que pueda necesitarlo para declarar un

ciberincidente.

Acciones

correctivas

- Definir y documentar los criterios de declaración de ciberincidentes, y hacer que esta información esté disponible para todo el personal.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE2-03

Meta RECUPERAR

Dominio

Funcional



Descripción

Se analizan los ciberincidentes para determinar la respuesta más

apropiada en el menor tiempo posible.

Correlación

ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]

NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza un análisis de ciberincidentes.

□ L1 - Se ha iniciado el análisis de ciberincidentes para determinar la

respuesta más apropiada.

□ L2 - Se ha establecido un procedimiento de análisis de


□ L3 - Se ha documentado un procedimiento de análisis de

ciberincidentes, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el procedimiento de análisis de

ciberincidentes.

□ L5 - Se aplican acciones de mejora en el procedimiento de análisis

de ciberincidentes.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización dispone de un procedimiento de

análisis de ciberincidentes estandarizado para

formular una respuesta.

Acciones

correctivas

- Establecer un procedimiento de análisis de ciberincidentes para definir correctamente el problema subyacente, ayudando a la organización a preparar la respuesta más adecuada al ciberincidente en el menor tiempo posible. También debería ayudar a determinar si el incidente tiene ramificaciones legales.



TLP:WHITE


CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE3-01

Meta RECUPERAR

Dominio

Funcional


Objetivo

Establecer un proceso para responder y recuperarse de los

ciberincidentes.

Descripción

Existe una estructura de respuesta a ciberincidentes, de modo que se

escalan a los responsables oportunos encargados de su resolución.

Correlación

ISO/IEC 27001:2013 [A.16.1.5]

NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No existe una estructura de respuesta a ciberincidentes.

□ L1 - Se ha iniciado la definición de una estructura de respuesta a

ciberincidentes.

□ L2 - Se ha establecido una estructura de respuesta a


□ L3 - Se ha documentado una estructura de respuesta a

ciberincidentes, y se mantiene actualizada.

□ L4 - Se gestiona, actualiza y verifica la estructura de respuesta a

ciberincidentes.

□ L5 - Se aplican acciones de mejora en el diseño de la estructura de

respuesta a ciberincidentes.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

Existe una estructura completa y clara que facilita la coordinación

interna y externa para dar respuesta a ciberincidentes.

Indicador

Valores

positivos

Valores tendentes a L5 indican que mayor

coordinación interna existe, y que se define una

estructura de escalado de incidentes completa y

clara para poder responder y recuperarse de los

incidentes.



TLP:WHITE

Acciones

correctivas

- Establecer un procedimiento para asegurar que los incidentes se refieren a las personas responsables pertinentes, porque de no hacerlo, impedirá la respuesta de la organización, aumentando el impacto del ciberincidente.




TLP:WHITE

CAMPO

INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE3-06

Meta RECUPERAR

Dominio

Funcional


Objetivo

Establecer un proceso para responder y recuperarse de los

ciberincidentes.

Descripción Se ha estimado el tiempo medio de respuesta ante un ciberincidente.

Correlación

ISO/IEC 27001:2013 [A.16.1.5]

NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio de respuesta ante un

ciberincidente.

□ L1 - Se ha iniciado la identificación del tiempo medio de respuesta

ante un ciberincidente.

□ L2 - Se ha establecido el tiempo medio de respuesta ante un

ciberincidente, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio de respuesta ante un

ciberincidente, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio de respuesta

ante un ciberincidente.


de respuesta ante un ciberincidente.

OBTENCIÓN

Método de

recogida de

información



análisis.

Responsable


Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos

Valores tendentes a L5 significan que se ha

estimado el número de horas entre la fecha de

ocurrencia de un ciberincidente y la fecha de

respuesta.

Acciones

correctivas

- Revisar y mejorar la implantación del proceso para responder ciberincidentes.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE4-03

Meta RECUPERAR

Dominio

Funcional


Objetivo Analizar la información de los ciberincidentes.

Descripción

Se ha estimado el tiempo medio para determinar el impacto de un

ciberincidente en la provisión del servicio esencial de la organización.

Correlación

ISO/IEC 27001:2013 [A.16.1.5]

NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio para determinar el impacto

de un ciberincidente en la provisión del servicio esencial.

□ L1 - Se ha iniciado la identificación del tiempo medio para determinar

el impacto de un ciberincidente en la provisión del servicio esencial.

□ L2 - Se ha establecido el tiempo medio para determinar el impacto

de un ciberincidente en la provisión del servicio esencial, pero no se ha

documentado.

□ L3 - Se ha documentado el tiempo medio para determinar el impacto

de un ciberincidente en la provisión del servicio esencial, y se mantiene

actualizado.

□ L4 - Se gestiona, actualiza y verifica el tiempo medio para determinar

el impacto de un ciberincidente en la provisión del servicio esencial.


para determinar el impacto de un ciberincidente en la provisión del

servicio esencial.

OBTENCIÓN

Método de

recogida de

información



análisis.

Responsable


Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


estimado el número de horas entre la fecha de

ocurrencia de un ciberincidente y la fecha en la

que se determina el impacto que ha producido

en la provisión del servicio esencial.

Acciones

correctivas

- Revisar y mejorar la implantación del proceso para resolver ciberincidentes.



TLP:WHITE


CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-GI-OE5-03

Meta RECUPERAR

Dominio

Funcional


Objetivo

Coordinación con otros organismos en la respuesta a los

ciberincidentes.

Descripción

Se comunican los ciberincidentes graves que se han producido en su

organización a las fuerzas y cuerpos de seguridad del Estado (FCSE).

Correlación

ISO/IEC 27001:2013 [A.16.1.6], [A.16.1.7]

NIST SP 800-53 R4 [IR-4], [IR-9]

ENS [op.exp.7]

CARACTERIZACIÓN

Escala

□ L0 - No existe un mecanismo para comunicar ciberincidentes a las

fuerzas y cuerpos de seguridad del estado.

□ L1 - Se ha iniciado la comunicación de ciberincidentes a las

fuerzas y cuerpos de seguridad del estado.

□ L2 - Se ha establecido un mecanismo para comunicar

ciberincidentes a las fuerzas y cuerpos de seguridad del estado, pero

no se ha documentado.

□ L3 - Se ha documentado un mecanismo para comunicar

ciberincidentes a las fuerzas y cuerpos de seguridad del estado, y se


□ L4 - Se gestiona, actualiza y verifica la comunicación de

ciberincidentes a las fuerzas y cuerpos de seguridad del estado.

□ L5 - Se aplican acciones de mejora la comunicación de

ciberincidentes a las fuerzas y cuerpos de seguridad del estado.

OBTENCIÓN


Responsable


Officer)

ANÁLISIS

Medida Objetivo

Se comunican todos los ciberincidentes graves a las fuerzas y

cuerpos de seguridad del estado

Indicador

Valores

positivos

Valores tendentes a L5 implicarían que la

organización comunica todos los

ciberincidentes graves que se han producido a

las fuerzas y cuerpos de seguridad del Estado

(FCSE).

Acciones

correctivas

- Fomentar la coordinación y comunicación con otros organismos en la respuesta a ciberincidentes.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-CS-OE1-01

Meta RECUPERAR

Dominio

Funcional

GESTIÓN DE CONTINUIDAD DEL SERVICIO

Objetivo

Desarrollar planes de continuidad de las funciones críticas que

soportan los servicios esenciales.

Descripción

Se desarrollan planes de continuidad para la provisión del servicio

esencial.

Correlación

ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]

NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11]

ENS [op.cont.2]

CARACTERIZACIÓN

Escala

□ L0 - No existen planes de continuidad para ninguna función crítica

que soporte los servicios esenciales.

□ L1 - Se ha iniciado el desarrollo de planes de continuidad para

algunas de las funciones críticas.

□ L2 - Se han establecido acciones de continuidad para todas las

funciones críticas, pero no se han documentado.

□ L3 - Se han documentado todos los planes de continuidad de las

funciones críticas, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y revisan los planes de continuidad

de todas las funciones críticas.

□ L5 - Se aplican acciones de mejora en los planes de continuidad

de todas las funciones críticas.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización desarrolla planes de continuidad

de las funciones críticas que soportan los

servicios esenciales, que contemplan los activos

críticos involucrados en los servicios (personas,

información, tecnología e instalaciones).

Acciones

correctivas

- Desarrollar planes de continuidad de las funciones críticas que soportan los servicios esenciales.

Tabla 32. Ficha Métrica R-CS-OE1-01



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-CS-OE1-06

Meta RECUPERAR

Dominio

Funcional


Objetivo

Desarrollar planes de continuidad de las funciones críticas que

soportan los servicios esenciales.

Descripción

Los planes de continuidad documentan los tiempos objetivos de

recuperación (RTO) de las funciones críticas que soportan los servicios

esenciales.

Correlación

ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]


ENS [op.cont.1]

CARACTERIZACIÓN

Escala

□ L0 - No se identifican los RTO para la provisión del servicio esencial.

□ L1 - Se ha iniciado la definición de los RTO para la provisión del

servicio esencial.

□ L2 - Se han establecido los RTO para la provisión del servicio

esencial, pero no se han documentado.

□ L3 - Se han documentado los RTO en todos los planes de continuidad

para la provisión del servicio esencial, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y revisan los RTO definidos en los

planes de continuidad para la provisión del servicio esencial.

□ L5 - Se aplican acciones de mejora en la definición de los RTO

documentados en los planes de continuidad para la provisión del

servicio esencial.

OBTENCIÓN

Método de recogida Manual.

Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


organización documenta los tiempos objetivos

de recuperación (RTO) de las funciones críticas

que soportan los servicios esenciales en todos

sus planes de continuidad.

Acciones

correctivas

- Identificar los RTO para todas las funciones críticas que dan soporte a los servicios esenciales.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-CS-OE2-04

Meta RECUPERAR

Dominio

Funcional


Objetivo Probar los planes de continuidad.

Descripción

Se han probado los planes de continuidad para la provisión del servicio

esencial.

Correlación

ISO/IEC 27001:2013 [A.17.1.3]

NIST SP 800-53 R4 [CP-3], [CP-4]

ENS [op.cont.3]

CARACTERIZACIÓN

Escala

□ L0 - No se prueban los planes de continuidad para ninguna función

crítica que soporte los servicios esenciales.

□ L1 - Se ha iniciado la definición de las pruebas de planes de

continuidad para algunas de las funciones críticas.

□ L2 - Se han establecido pruebas periódicas de continuidad para

todas las funciones críticas, pero no se han documentado.

□ L3 - Se han documentado todos los planes de pruebas de

continuidad de las funciones críticas, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y revisan los planes de pruebas de

continuidad de todas las funciones críticas.

□ L5 - Se aplican acciones de mejora en los planes de continuidad

como resultado de las pruebas de los mismos.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización prueba los planes de continuidad

de todas las funciones críticas que soportan los


Acciones

correctivas

- Establecer un procedimiento de prueba para los planes de continuidad de todas las funciones críticas que soportan los servicios esenciales identificados.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-CS-OE3-03

Meta RECUPERAR

Dominio

Funcional


Objetivo Ejecutar y revisar los planes de continuidad.

Descripción

Se ha estimado el tiempo medio entre que se produce una interrupción

en la provisión del servicio esencial, y este está disponible con un

mínimo nivel de aceptabilidad del servicio.

Correlación

ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]


ENS [op.cont.1]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio entre que se produce una

interrupción y el servicio esencial está disponible con un mínimo nivel

de servicio.


produce una interrupción y el servicio esencial está disponible con un

mínimo nivel de servicio.

□ L2 - Se ha establecido el tiempo medio entre que se produce una


de servicio, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio entre que se produce una


de servicio, y se mantiene actualizado.


produce una interrupción y el servicio esencial está disponible con un

mínimo nivel de servicio.


entre que se produce una interrupción y el servicio esencial está

disponible con un mínimo nivel de servicio.

OBTENCIÓN

Método de

recogida de

información

Manual

Responsable


Officer)

ANÁLISIS

Medida

Objetivo

L5.



TLP:WHITE

Indicador

Valores

positivos

Valores tendentes a L5 indican que se ha

estimado el número de horas entre que se

produce una interrupción en la provisión del

servicio, y este está disponible con un mínimo

nivel de aceptabilidad..

Acciones

correctivas

- Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-CS-OE3-04

Meta RECUPERAR

Dominio

Funcional


Objetivo Ejecutar y revisar los planes de continuidad.

Descripción

Se ha estimado el tiempo medio entre que se produce una interrupción

en la provisión del servicio esencial y este se restaura a su

funcionamiento normal.

Correlación

ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]


ENS [op.cont.1]

CARACTERIZACIÓN

Escala

□ L0 - No se ha identificado el tiempo medio entre que se produce una

interrupción y se restaura el servicio esencial a su funcionamiento

normal.


produce una interrupción y se restaura el servicio esencial a su


□ L2 - Se ha establecido el tiempo medio entre que se produce una


normal, pero no se ha documentado.

□ L3 - Se ha documentado el tiempo medio entre que se produce una


normal, y se mantiene actualizado.


produce una interrupción y se restaura el servicio esencial a su



entre que se produce una interrupción y se restaura el servicio esencial

a su funcionamiento normal.

OBTENCIÓN

Método de

recogida de

información

Manual

Responsable


Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


estimado el número de horas entre que se

produce una interrupción en la provisión del

servicio esencial, y este está restaurado a su

nivel normal de funcionamiento.



TLP:WHITE

Acciones

correctivas

- Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE1-02

Meta RECUPERAR

Dominio

Funcional

GESTIÓN DE DEPENDENCIAS EXTERNAS

Objetivo

Identificar y priorizar las dependencias externas para garantizar la

operación de las funciones críticas que soportan los servicios

esenciales.

Descripción

Se priorizan las dependencias externas relacionadas con la provisión

del servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]

NIST SP 800-53 R4 [PL-8]

ENS [op.ext.1]

CARACTERIZACIÓN

Escala

□ L0 - No se priorizan las dependencias externas relacionadas con la


□ L1 - Se ha iniciado la asignación de prioridades a las dependencias

externas relacionadas con la provisión del servicio esencial.

□ L2 - Se han asignado prioridades a las dependencias externas

relacionadas cola provisión del servicio esencial, pero no se han

documentado.

□ L3 - Se han documentado prioridades asignadas a las

dependencias externas relacionadas con la provisión del servicio

esencial, y se mantienen actualizadas.

□ L4 - Se gestionan, actualizan y revisan las prioridades asignadas a

las dependencias externas relacionadas con la provisión del servicio

esencial.

□ L5 - Se aplican acciones de mejora en las prioridades asignadas a

las dependencias externas relacionadas con la provisión del servicio

esencial.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


organización dispone de una lista priorizada de

todas las dependencias externas que afectan a

todas las funciones críticas que soportan los

servicios esenciales, y esa lista es actualizada.



TLP:WHITE

Acciones

correctivas

- Establecer unos criterios para la priorización de las dependencias externas, y elaborar una lista de prioridades de las dependencias externas y las funciones críticas que soportan los servicios esenciales asociadas a dichas dependencias.

Tabla 37. Ficha Métrica R-DE-OE1-02



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE2-01

Meta RECUPERAR

Dominio

Funcional


Objetivo Identificar y gestionar los riesgos asociados a dependencias externas.

Descripción

Se identifican y gestionan los riesgos asociados a dependencias

externas.

Correlación

ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]

NIST SP 800-53 R4 [SA-21], [SC-38]

ENS [op.ext.1]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza una gestión de riesgos asociados a

dependencias externas.

□ L1 - Se ha iniciado la gestión de riesgos asociados a


□ L2 - Se ha establecido una gestión de riesgos asociados a

dependencias externas, pero no se han documentado.

□ L3 - Se ha documentado la gestión de riesgos asociados a

dependencias externas, y se mantiene actualizada.

□ L4 - Se gestionan, actualizan y verifican los riesgos asociados a


□ L5 - Se aplican acciones de mejora en la gestión de riesgos

asociados a dependencias externas.

OBTENCIÓN

Método de

recogida

Manual

Responsable


Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización la organización ha identificado los

riesgos asociados a las dependencias externas,

y que esta lista ha sido priorizada y está

actualizada.

Acciones

correctivas

- Identificar y evaluar los riesgos debidos a dependencias externas para que puedan ser gestionados eficazmente para mantener la capacidad de recuperación de las funciones críticas que soportan los servicios esenciales que proporciona la organización.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE3-04

Meta RECUPERAR

Dominio

Funcional


Objetivo

Establecer y mantener de manera formal las relaciones con


Descripción

Se incluyen requisitos de ciberresiliencia en los acuerdos con

dependencias externas que apoyan la provisión del servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]

NIST SP 800-53 R4 [SA-12], [SA-13]

ENS [op.ext.1]

CARACTERIZACIÓN

Escala

□ L0 - No se incluyen requisitos de ciberresiliencia en los acuerdos.

□ L1 - Se ha iniciado la inclusión de requisitos de ciberresiliencia en

los acuerdos con dependencias externas.

□ L2 - Se han establecido los requisitos de ciberresiliencia en las

relaciones con dependencias externas, pero no se han documentado.

□ L3 - Se han documentado los requisitos de ciberresiliencia en los

acuerdos con dependencias externas, y se mantienen actualizados.

□ L4 - Se gestionan, actualizan y verifican los requisitos de

ciberresiliencia en los acuerdos con dependencias externas.

□ L5 - Se aplican acciones de mejora en los requisitos de

ciberresiliencia en los acuerdos con dependencias externas.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


organización incluye los requisitos de

ciberresiliencia en todos los acuerdos con

entidades externas que apoyan las funciones




TLP:WHITE

Acciones

correctivas

- Incluir los requisitos de ciberresiliencia en los acuerdos con entidades externas, de modo que:

Dichos requisitos sean exigibles por la organización.

Los acuerdos incluyan especificaciones detalladas y completas que deben cumplirse por la entidad externa.

Los acuerdos incluyan todos los estándares de rendimiento requeridos.

Los acuerdos se actualicen de modo que reflejen los cambios en las especificaciones durante la vigencia de la relación.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE4-01

Meta RECUPERAR

Dominio

Funcional


Objetivo Gestionar la operación de dependencias externas.

Descripción

Se gestiona la operación de las dependencias externas que apoyan la

provisión del servicio esencial de acuerdo a los requisitos y servicios de

ciberresiliencia acordados.

Correlación

ISO/IEC 27001:2013 [A.15.2.1]

NIST SP 800-53 R4 [AR-4], [SA-3], [SA-9], [SA-12], [SA-13]

ENS [op.ext.2]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza una gestión de la operación de las dependencias

externas.

□ L1 - Se ha iniciado la gestión de la operación de las dependencias

externas.

□ L2 - Se ha establecido una gestión de la operación de las

dependencias externas, pero no se han documentado.

□ L3 - Se ha documentado la gestión de la operación de las

dependencias externas, y se mantiene actualizada.

□ L4 - Se monitoriza y verifica operación de las dependencias

externas.

□ L5 - Se aplican acciones de mejora para gestionar los problemas

operación de las dependencias externas.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización monitoriza periódicamente la

operación de las dependencias externas que

apoyan las funciones críticas que dan soporte a

los servicios esenciales para verificar que

cumplen los requisitos de ciberresiliencia

establecidos.



TLP:WHITE

Acciones

correctivas

- Monitorizar periódicamente la operación de las dependencias externas que apoyan las funciones críticas que dan soporte a los servicios esenciales, y analizar las desviaciones respecto de los requisitos de ciberresiliencia establecidos para comprender el impacto potencial sobre la organización.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE5-01

Meta RECUPERAR

Dominio

Funcional


Objetivo

Identificar las dependencias de servicios públicos y proveedores de

servicios de infraestructura.

Descripción

Se identifican las dependencias de servicios públicos que apoyen las

funciones críticas que soportan los servicios críticos (servicios de

emergencia, fuerzas del orden público, etc.).

Correlación

ISO/IEC 27001:2013 [A.15.2.2]

NIST SP 800-53 R4 [SA-3], [SA-12]

ENS [op.ext.2]

CARACTERIZACIÓN

Escala

□ L0 - No se identifican las dependencias de servicios públicos.

□ L1 - Se ha iniciado una identificación de las dependencias de

servicios públicos.

□ L2 - Se han identificado las dependencias de servicios públicos,

pero no se ha documentado.

□ L3 - Se han documentado las dependencias de servicios públicos,

y esta lista se mantiene actualizada.

□ L4 - Se gestiona, actualiza y verifica la identificación de las

dependencias de servicios públicos.

□ L5 - Se aplican acciones de mejora en la identificación de las

dependencias de servicios públicos.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización ha identificado y documentado las

dependencias de servicios públicos que den

soporte a los servicios críticos (servicios de

emergencia, fuerzas del orden público, etc.), y

dicha lista se mantiene actualizada.

Acciones

correctivas

- Realizar un examen a fondo de los servicios públicos que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código R-DE-OE5-02

Meta RECUPERAR

Dominio

Funcional


Objetivo

Identificar las dependencias de servicios públicos y proveedores de


Descripción

Se identifican las dependencias de proveedores de servicios de

infraestructura que apoyen las funciones críticas que soportan los

servicios esenciales (operadoras de telecomunicaciones, energía,

etc.).

Correlación

ISO/IEC 27001:2013 [A.15.2.2]

NIST SP 800-53 R4 [SA-3], [SA-12]

ENS [op.ext.2]

CARACTERIZACIÓN

Escala

□ L0 - No se identifican las dependencias de proveedores de


□ L1 - Se ha iniciado una identificación de las dependencias de

proveedores de servicios de infraestructura.

□ L2 - Se han identificado las dependencias de proveedores de

servicios de infraestructura, pero no se ha documentado.

□ L3 - Se han documentado las dependencias de proveedores de

servicios de infraestructura, y esta lista se mantiene actualizada.

□ L4 - Se gestiona, actualiza y verifica la identificación de las

dependencias de proveedores de servicios de infraestructura.

□ L5 - Se aplican acciones de mejora en la identificación de las

dependencias de proveedores de servicios de infraestructura.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización ha identificado y documentado las

dependencias de proveedores de servicios de

infraestructura que apoyen las funciones críticas

que soportan los servicios esenciales

(operadoras de telecomunicaciones, energía,

etc.), y dicha lista se mantiene actualizada.



TLP:WHITE

Acciones

correctivas

- Realizar un examen a fondo de los proveedores de servicios de infraestructura que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.


3.4. Evolucionar

A continuación se detallan las fichas para las cuatro (4) métricas seleccionadas

correspondientes a la meta de Evolucionar.

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código E-CC-OE1-01

Meta EVOLUCIONAR

Dominio

Funcional

GESTIÓN DE LA CONFIGURACIÓN Y EL CAMBIO

Objetivo Gestionar la integridad de los activos de información y tecnológicos.

Descripción

Se sigue un procedimiento de gestión de configuración de los equipos

asociados a las funciones críticas que soportan los servicios

esenciales.

Correlación

ISO/IEC 27001:2013 [A.12.1.2]

NIST SP 800-53 R4 [CM-1], [CM-2], [CM-3], [CM-6], [CM-9], [SA-5],

[SA-10]

ENS [op.exp.2]

CARACTERIZACIÓN

Escala

□ L0 - No existe un procedimiento de gestión de configuración de los

equipos.

□ L1 - Se ha iniciado un procedimiento de gestión de configuración de

los equipos.

□ L2 - Se ha establecido un procedimiento de gestión de

configuración de los equipos, pero no se han documentado.

□ L3 - Se ha documentado un procedimiento de gestión de

configuración de los equipos, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y revisa el procedimiento de gestión de

configuración de los equipos.

□ L5 - Se aplican acciones de mejora en el procedimiento de gestión

de configuración de los equipos.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS



TLP:WHITE

Medida

Objetivo

L5

Indicador

Valores

positivos


organización lleva a cabo la gestión de

configuración de los equipos asociados a las

funciones críticas que soportan los servicios

esenciales, haciendo que éstos se pueden

restaurar en una forma aceptable después de

una interrupción, y proporcionando un nivel de

control sobre los cambios que potencialmente

pueden alterar el soporte del activo a los


Acciones

correctivas

- Establecer un procedimiento de gestión de configuración de sus activos tecnológicos.

Tabla 43. Ficha Métrica E-CC-OE1-01



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código E-CM-OE1-02

Meta EVOLUCIONAR

Dominio

Funcional

COMUNICACIÓN

Objetivo

Establecer mecanismos de comunicación, internos y externos a la

organización.

Descripción

Se establecen mecanismos eficaces de comunicación externa en

materia de ciberresiliencia (por ejemplo con clientes, proveedores,

medios de comunicación, fuerzas del estado, servicios de emergencia,

etc.).

Correlación NIST SP 800-53 R4 [IR-7], [SA-9]

CARACTERIZACIÓN

Escala

□ L0 - No se realiza comunicación con entidades externas en materia

de ciberresiliencia.

□ L1 - Se ha iniciado la comunicación con entidades externas en

materia de ciberresiliencia.

□ L2 - Se han establecido mecanismos de comunicación con

entidades externas en materia de ciberresiliencia, pero no se han

documentado.

□ L3 - Se han documentado los mecanismos de comunicación con

entidades externas en materia de ciberresiliencia, y se mantienen

actualizados.

□ L4 - Se gestiona, actualiza y verifica la comunicación con

entidades externas en materia de ciberresiliencia.

□ L5 - Se aplican acciones de mejora en la comunicación con

entidades externas en materia de ciberresiliencia.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


organización establece mecanismos eficaces

de comunicación externa de manera formal y

regular (por ejemplo con clientes, proveedores,

medios de comunicación, fuerzas del estado,

servicios de emergencia, etc.).

Acciones

correctivas

- Establecer mecanismos eficaces de comunicación externa.

Tabla 44. Ficha Métrica E-CM-OE1-02



TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código E-CM-OE2-02

Meta EVOLUCIONAR

Dominio

Funcional

COMUNICACIÓN

Objetivo Garantizar la disponibilidad de los medios de comunicación.

Descripción

Se mantiene una capacidad de comunicación aceptable en caso de

interrupción de la provisión del servicio esencial.

Correlación

ISO/IEC 27001:2013 [A.11.2.3], [A.13.1.1]

NIST SP 800-53 R4 CP-2(2)[2] , CP-8, SC-1

ENS [mp.com.9]

CARACTERIZACIÓN

Escala

□ L0 - No se realizan pruebas de las capacidades de comunicación.

□ L1 - Se han iniciado las pruebas de las capacidades de

comunicación.

□ L2 - Se ha establecido un procedimiento para probar las

capacidades de comunicación.

□ L3 - Se ha documentado un procedimiento para probar las

capacidades de comunicación, y se mantiene actualizado.

□ L4 - Se gestiona, actualiza y verifica el procedimiento para probar

las capacidades de comunicación.

□ L5 - Se aplican acciones de mejora en el procedimiento para

probar las capacidades de comunicación.

OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5

Indicador

Valores

positivos


organización prueban las capacidades de

comunicación a utilizar en caso de interrupción

de la operación normal de las funciones críticas

que soportan los servicios esenciales para

garantizar la disponibilidad de los medios de

comunicación.

Acciones

correctivas

- Establecer un procedimiento para probar las capacidades de comunicación a utilizar en caso de interrupción de la operación normal de las funciones críticas que soportan los servicios esenciales.




TLP:WHITE

CAMPO INFORMACIÓN

IDENTIFICACIÓN

Código E-CM-OE3-02

Meta EVOLUCIONAR

Dominio

Funcional

COMUNICACIÓN

Objetivo Comunicar la estrategia de continuidad a toda la organización.

Descripción

Se garantiza la comunicación de responsabilidades y autoridades

dentro del plan de continuidad a todo el personal implicado.

Correlación

ISO/IEC 27001:2013 [A.17.1.3]

NIST SP 800-53 R4 [CP-2(a)(3)], [CP-3]

ENS [op.cont.2]

CARACTERIZACIÓN

Escala

□ L0 - No se comunican las responsabilidades al personal implicado

en los planes de continuidad.

□ L1 - Se ha iniciado la comunicación de responsabilidades al

personal implicado en los planes de continuidad.

□ L2 - Se han establecido las responsabilidades al personal implicado

en los planes de continuidad, pero no se han documentado.

□ L3 - Se han documentado las responsabilidades al personal

implicado en los planes de continuidad, y se mantienen actualizadas.

□ L4 - Se gestionan, actualizan y verifican las responsabilidades al


□ L5 - Se aplican acciones de mejora en las responsabilidades al


OBTENCIÓN


Responsable


Security Officer)

ANÁLISIS

Medida

Objetivo

L5.

Indicador

Valores

positivos


organización garantiza la comunicación de

responsabilidades y autoridades dentro del plan

de continuidad a todo el personal implicado,

tanto interno como proveedores implicados, con

el objetivo de que conozca sus funciones y

responsabilidades.

Acciones

correctivas

- Establecer un procedimiento para la comunicación de responsabilidades y autoridades dentro del plan de continuidad a todo el personal implicado.




TLP:WHITE

4. REFERENCIAS

[1] Gobierno de España, “ESTRATEGIA DE SEGURIDAD NACIONAL,” 2013. [Online].

Available:

http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpd

f.pdf.

[2] Gobierno de España, “ESTRATEGIA NACIONAL DE CIBERSEGURIDAD,” 2013.

[Online]. Available: http://www.dsn.gob.es/es/file/146/download?token=Kl839vHG.



TLP:WHITE

esquema nacional de seguridad industrial - certsi.es · ensi_imc_02- diccionario de indicadores...

Documents