TLP:WHITE
Esquema Nacional de Seguridad Industrial ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC)
TLP:WHITE
ÍNDICE 1. 2. 3.
Objeto del documento ................................................................................... 4 Acerca del ENSI ............................................................................................. 5 Indicadores..................................................................................................... 6 3.1. 3.2. 3.3. 3.4.
4.
Anticipar .................................................................................................... 6 Resistir .................................................................................................... 15 Recuperar ............................................................................................... 34 Evolucionar ............................................................................................. 61
Referencias .................................................................................................. 66
ÍNDICE DE TABLAS Tabla 1. Ficha Métrica A-PC-OE2-02 ................................................................................................ 6 Tabla 2. Ficha Métrica A-PC-OE4-01 ................................................................................................ 7 Tabla 3. Ficha Métrica A-PC-OE4-02 ................................................................................................ 8 Tabla 4. Ficha Métrica A-GR-OE1-03 ................................................................................................ 9 Tabla 5. Ficha Métrica A-GR-OE1-04 .............................................................................................. 10 Tabla 6. Ficha Métrica A-GR-OE1-05 .............................................................................................. 11 Tabla 7. Ficha Métrica A-GR-OE2-02 .............................................................................................. 12 Tabla 8. Ficha Métrica A-FO-OE2-01 .............................................................................................. 13 Tabla 9. Ficha Métrica A-FO-OE3-01 .............................................................................................. 14 Tabla 10. Ficha Métrica T-GV-OE1-03 ............................................................................................ 15 Tabla 11. Ficha Métrica T-GV-OE1-04 ............................................................................................ 17 Tabla 12. Ficha Métrica T-GV-OE1-05 ............................................................................................ 19 Tabla 13. Ficha Métrica T-GV-OE1-06 ............................................................................................ 21 Tabla 14. Ficha Métrica T-GV-OE2-02 ............................................................................................ 23 Tabla 15. Ficha Métrica T-GV-OE2-04 ............................................................................................ 24 Tabla 16. Ficha Métrica T-GV-OE2-05 ............................................................................................ 26 Tabla 17. Ficha Métrica T-GV-OE2-06 ............................................................................................ 28 Tabla 18. Ficha Métrica T-GV-OE2-07 ............................................................................................ 29 Tabla 19. Ficha Métrica T-MC-OE1-01 ............................................................................................ 30 Tabla 20. Ficha Métrica T-MC-OE1-02 ............................................................................................ 31 Tabla 21. Ficha Métrica T-MC-OE1-03 ............................................................................................ 32 Tabla 22. Ficha Métrica T-MC-OE1-03 ............................................................................................ 34 Tabla 23. Ficha Métrica R-GI-OE1-01 ............................................................................................. 35 Tabla 24. Ficha Métrica R-GI-OE1-08 ............................................................................................. 36 Tabla 25. Ficha Métrica R-GI-OE2-01 ............................................................................................. 37 Tabla 26. Ficha Métrica R-GI-OE2-02 ............................................................................................. 38 Tabla 27. Ficha Métrica R-GI-OE2-03 ............................................................................................. 40 Tabla 28. Ficha Métrica R-GI-OE3-01 ............................................................................................. 41 Tabla 29. Ficha Métrica R-GI-OE3-06 ............................................................................................. 42 Tabla 30. Ficha Métrica R-GI-OE4-01 ............................................................................................. 44 Tabla 31. Ficha Métrica R-GI-OE5-03 ............................................................................................. 44 Tabla 32. Ficha Métrica R-CS-OE1-01 ............................................................................................ 45 Tabla 33. Ficha Métrica R-CS-OE1-06 ............................................................................................ 46 Tabla 34. Ficha Métrica R-CS-OE2-04 ............................................................................................ 47 Tabla 35. Ficha Métrica R-CS-OE3-03 ............................................................................................ 49 Tabla 36. Ficha Métrica R-CS-OE3-04 ............................................................................................ 51 La información contenida en este documento, podrá ser distribuido sin restricciones, sujeto a los controles de Copyright. Para más información sobre el protocolo TLP de intercambio de información sensible puede consultar la página web: https://www.certsi.es/tlp ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 2 de 67 TLP:WHITE
TLP:WHITE
Tabla 37. Ficha Métrica R-DE-OE1-02 ............................................................................................ 53 Tabla 38. Ficha Métrica R-DE-OE2-01 ............................................................................................ 54 Tabla 39. Ficha Métrica R-DE-OE3-04 ............................................................................................ 56 Tabla 40. Ficha Métrica R-DE-OE4-01 ............................................................................................ 58 Tabla 41. Ficha Métrica R-DE-OE5-01 ............................................................................................ 59 Tabla 42. Ficha Métrica R-DE-OE5-02 ............................................................................................ 61 Tabla 43. Ficha Métrica E-CC-OE1-01 ............................................................................................ 62 Tabla 44. Ficha Métrica E-CM-OE1-02 ............................................................................................ 63 Tabla 45. Ficha Métrica E-CM-OE2-02 ............................................................................................ 64 Tabla 46. Ficha Métrica E-CM-OE3-02 ............................................................................................ 65
NOVIEMBRE 2016 ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 3 de 67 TLP:WHITE
TLP:WHITE
1. OBJETO DEL DOCUMENTO Este documento proporciona un diccionario de indicadores para la mejora de la ciberresiliencia (IMC) en organizaciones y empresas de sectores industriales e infraestructuras críticas industriales. Estos indicadores serán medidos según la metodología de evaluación descrita en el documento ENSI_IMC_01- Metodología de evaluación de Indicadores para Mejora de la Ciberresiliencia. Los indicadores contenidos en este documento son parte esencial del proceso de medición de indicadores para la mejora de la Ciberresiliencia que permite medir el estado de la ciberresiliencia en las metas anticipar, resistir, recuperar y evolucionar la organización en cuanto a la resiliencia de las funciones críticas de la prestación de sus servicios.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 4 de 67 TLP:WHITE
TLP:WHITE
2. ACERCA DEL ENSI La promulgación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas (Ley PIC), puso de manifiesto la importancia de la seguridad de las Infraestructuras Críticas dentro de la Seguridad del Estado. Por su parte, la Estrategia de Seguridad Nacional [1] de 2013 reconoce, por primera vez, las ciberamenazas como uno de los riesgos y amenazas a la seguridad nacional. Complementando la anterior, la Estrategia de Ciberseguridad Nacional [2] de 2013 completa la apuesta por la protección de los sistemas de control industrial como elemento clave en un enfoque integral de la ciberseguridad En este contexto, el Instituto Nacional de Ciberseguridad (INCIBE), del Ministerio de Energía, Turismo y Agenda Digital, y el Centro Nacional de Infraestructuras Críticas del Ministerio del Interior, de la mano del acuerdo suscrito en 2012 y renovado en 2015 entre la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD) y la Secretaría de Estado de la Seguridad (SES), promueven el Esquema Nacional de Seguridad Industrial (ENSI), como instrumento para mejorar la seguridad de las infraestructuras críticas industriales y con una vocación global en tanto que es aplicable en sistemas de control industrial de cualquier organización. Para ello, favorecer el tratamiento homogéneo de la seguridad y extender su aplicación a toda la cadena de valor de las organizaciones industriales, reconociendo el papel de proveedores y clientes, son las claves para dibujar el panorama completo al que responde el ENSI, que podría conformar la base para nuevas iniciativas que permitieran al ENSI ampliarse e incluir la seguridad desde un punto de vista más integral. El ENSI se concreta en cuatro elementos esenciales que se configuran para atender a las necesidades específicas de su ámbito de aplicación:
ARLI-SI: Metodología de Análisis de Riesgos Ligero de Seguridad Integral como punto de partida y piedra angular del proceso de mejora de la seguridad. Con entidad propia, dentro de esta metodología, ARLI-CIB permite un acercamiento específico, y también ligero, al Análisis de Riesgos de Ciberseguridad en sistemas de control industrial.
IMC: Indicadores para la Mejora de Ciberresiliencia, como instrumento de diagnóstico y medición de la capacidad para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital.
C4V: Modelo de Construcción de Capacidades en Ciberseguridad de la Cadena de Valor como elemento imperante en la operativa y actividad de la prestación de servicio del operador: proveedores y clientes.
SA: Sistema de Acreditación en Ciberseguridad, garantía de la aplicación de unas medidas de seguridad mínimas equivalentes en todas las arquitecturas que prestan servicios equiparables o semejantes.
La aproximación práctica y ligera predomina en todos los elementos del ENSI y dibuja un marco completo para la mejora de la ciberseguridad en sistemas de control industrial. Aquí, las diferentes guías y documentos de articulación, siempre alineados con todo lo establecido para los Planes de Seguridad del Operador, Planes de Protección Específicos y Planes Estratégicos Sectoriales, aportarán las instrucciones, criterios y herramientas para facilitar su aplicación por parte de los diferentes agentes. ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 5 de 67 TLP:WHITE
TLP:WHITE
3. INDICADORES 3.1. Anticipar CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-PC-OE2-02
Meta
ANTICIPAR
Dominio Funcional
POLÍTICA DE CIBERSEGURIDAD
Objetivo
Identificar las funciones críticas de la organización y establecer los requisitos de ciberresiliencia.
Descripción
Se ha identificado el servicio esencial cuya interrupción ocasione un mayor impacto, y se han establecido sus requisitos de ciberresiliencia.
Correlación
ISO/IEC 27001:2013 [A.5.1.1], [A.14.1.1] NIST SP 800-53 R4 [PM-7], [SA-2], [SA-13] ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han establecido requisitos de ciberresiliencia. □ L1 - Se ha iniciado la identificación de requisitos de ciberresiliencia. □ L2 - Se han establecido requisitos de ciberresiliencia, pero no se han documentado. □ L3 - Se han documentado los requisitos de ciberresiliencia, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y verifican los requisitos de ciberresiliencia. □ L5 - Se aplican acciones de mejora en la definición de requisitos de ciberresiliencia.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización ha identificado y documentado los requisitos de ciberresiliencia para sus servicios esenciales, y dichos requisitos son exactos y están actualizados. - Identificar o revisar los requisitos de ciberresiliencia de los servicios esenciales. - Actualizar la documentación asociada a la política de ciberseguridad.
Tabla 1. Ficha Métrica A-PC-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 6 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-PC-OE4-01
Meta
ANTICIPAR
Dominio Funcional
POLÍTICA DE CIBERSEGURIDAD
Objetivo
Colaborar con otros organismos en materia de ciberresiliencia.
Descripción
Correlación
Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o intercambio de información con organismos públicos en materia de ciberresiliencia. ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2] NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15] ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido ningún acuerdo. □ L1 - Se ha iniciado el establecimiento de algún acuerdo con organismos públicos. □ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha documentado ni ha sido aprobado por la Dirección). □ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la Dirección, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido. □ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido con organismos públicos.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 significan que la organización ha establecido acuerdos de ayuda mutua, colaboración o intercambio de información en materia de ciberresiliencia con organismos públicos, para garantizar la colaboración o el soporte de entidades externas, si es necesario, en caso de un ciberataque que pueda producir indisponibilidad de los servicios esenciales. - Revisar o establecer acuerdos con organismos públicos, para garantizar la colaboración mutua en caso de un ciberataque.
Tabla 2. Ficha Métrica A-PC-OE4-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 7 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-PC-OE4-02
Meta
ANTICIPAR
Dominio Funcional
POLÍTICA DE CIBERSEGURIDAD
Objetivo
Colaborar con otros organismos en materia de ciberresiliencia.
Descripción
Correlación
Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o intercambio de información con entidades privadas en materia de ciberresiliencia. ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2] NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15] ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido ningún acuerdo. □ L1 - Se ha iniciado el establecimiento de algún acuerdo con entidades privadas. □ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha documentado ni ha sido aprobado por la Dirección). □ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la Dirección, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido. □ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido con entidades privadas.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 significan que la organización ha establecido acuerdos de ayuda mutua, colaboración o intercambio de información en materia de ciberresiliencia con entidades privadas, para garantizar la colaboración o el soporte de entidades externas, si es necesario, en caso de un ciberataque que pueda producir indisponibilidad de los servicios esenciales. - Revisar o establecer acuerdos con entidades privadas, para garantizar la colaboración mutua en caso de un ciberataque.
Tabla 3. Ficha Métrica A-PC-OE4-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 8 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-GR-OE1-03
Meta
ANTICIPAR
Dominio Funcional
GESTIÓN DE RIESGOS
Objetivo
Descripción
Correlación
Establecer, implementar y mantener un proceso formal y documentado de análisis de impacto (BIA) sobre las funciones críticas que soportan los servicios esenciales. Se han identificado los impactos que puede tener la interrupción de la provisión del servicio esencial, y se han valorado cuáles son más críticos. ISO/IEC 31000:2009 NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14] ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los impactos de una interrupción del servicio esencial. □ L1 - Se ha iniciado la identificación de impactos de una interrupción sobre la provisión del servicio esencial. □ L2 - Se han establecido los impactos y se valora cuáles son más críticos, pero no se han documentado. □ L3 - Se han documentado los impactos de una interrupción y su criticidad, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y verifican los impactos de una interrupción y su criticidad. □ L5 - Se aplican acciones de mejora en la definición y valoración de impactos sobre la provisión del servicio esencial.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador
Acciones correctiv as
Valores tendentes a L5 significan que la organización ha identificado y priorizado los posibles impactos de una interrupción en el tiempo de las actividades que soportan el funcionamiento de las funciones. - Identificar los posibles impactos que causaría una interrupción de las actividades que soportan el funcionamiento de las funciones críticas que soportan los servicios esenciales. - Priorizar dichos impactos.
Tabla 4. Ficha Métrica A-GR-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 9 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-GR-OE1-04
Meta
ANTICIPAR
Dominio Funcional
GESTIÓN DE RIESGOS
Objetivo
Establecer, implementar y mantener un proceso formal y documentado de análisis de impacto (BIA) sobre las funciones críticas que soportan los servicios esenciales.
Descripción
Se ha estimado el máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable.
Correlación
ISO/IEC 31000:2009 NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14] ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable. □ L1 - Se ha iniciado la identificación del máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable. □ L2 - Se ha establecido el máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable, pero no se han documentado. □ L3 - Se ha documentado el máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable. □ L5 - Se aplican acciones de mejora en la definición del máximo tiempo de duración de una interrupción de la provisión del servicio esencial que se considera aceptable.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
Se han estimado para todas las funciones críticas.
Valores Indicador
positivos Acciones correctivas
Valores positivos implicarían que la organización ha estimado el máximo periodo tolerable de una interrupción para todas las funciones críticas que soportan los servicios esenciales, por encima del cual, sería considerada inaceptable. - Establecer los periodos máximos tolerables de interrupción para todas las funciones críticas que soportan los servicios esenciales.
Tabla 5. Ficha Métrica A-GR-OE1-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 10 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-GR-OE1-05
Meta
ANTICIPAR
Dominio Funcional
GESTIÓN DE RIESGOS
Objetivo
Establecer, implementar y mantener un proceso formal y documentado de análisis de impacto (BIA) sobre las funciones críticas que soportan los servicios esenciales.
Descripción
Se han identificado los tiempos objetivos de recuperación (RTO) y puntos objetivos de recuperación (RPO) para la provisión del servicio esencial.
Correlación
ISO/IEC 31000:2009 NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14] ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los RTO y RPO para la provisión del servicio esencial. □ L1 - Se ha iniciado la identificación de los RTO y RPO para la provisión del servicio esencial. □ L2 - Se han establecido los RTO y RPO para la provisión del servicio esencial, pero no se han documentado. □ L3 - Se han documentado los RTO y RPO para la provisión del servicio esencial, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y verifican los RTO y RPO para la provisión del servicio esencial. □ L5 - Se aplican acciones de mejora en la definición de los RTO y RPO para la provisión del servicio esencial.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
Se han estimado para todas las funciones críticas. Valores
Indicador
positivos Acciones correctivas
Valores positivos implicarían que la organización ha identificado los tiempos objetivos de recuperación (RTO) y puntos objetivos de recuperación (RPO) de todas las funciones críticas que soportan los servicios esenciales. - Establecer los tiempos objetivos de recuperación (RTO) y puntos objetivos de recuperación (RPO) de todas las funciones críticas que soportan los servicios esenciales.
Tabla 6. Ficha Métrica A-GR-OE1-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 11 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-GR-OE2-02
Meta
ANTICIPAR
Dominio Funcional
GESTIÓN DE RIESGOS
Objetivo
Identificar los riesgos y niveles de tolerancia al riesgo.
Descripción
Correlación
Se han definido umbrales de tolerancia al riesgo, que disparen la ejecución de distintas acciones de tratamiento de los riesgos (eliminar, mitigar, transferir, aceptar). ISO/IEC 31000:2009 NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14] ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los umbrales de tolerancia al riesgo. □ L1 - Se ha iniciado la identificación de los umbrales de tolerancia al riesgo. □ L2 - Se han establecido los umbrales de tolerancia al riesgo, pero no se han documentado. □ L3 - Se han documentado los umbrales de tolerancia al riesgo y las acciones de tratamiento asociadas, y esta información se mantiene actualizada. □ L4 - Se gestionan, actualizan y verifican los umbrales de tolerancia al riesgo y las acciones de tratamiento asociadas. □ L5 - Se aplican acciones de mejora en la definición de umbrales de tolerancia al riesgo y en su tratamiento asociado.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 significan que la organización ha definido umbrales de tolerancia al riesgo para las funciones críticas que soportan los servicios esenciales, que disparen la ejecución de distintas acciones de tratamiento de los riesgos - Establecer los umbrales de tolerancia al riesgo para las funciones críticas que soportan los servicios esenciales.
Tabla 7. Ficha Métrica A-GR-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 12 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-FO-OE2-01
Meta
ANTICIPAR
Dominio Funcional
FORMACIÓN EN CIBERSEGURIDAD
Objetivo
Llevar a cabo actividades de formación en ciberresiliencia.
Descripción
Correlación
Se ha establecido un plan de formación en ciberresiliencia , por ejemplo, la participación en ciberejercicios, orientado a formar al personal implicado en el servicio esencial. ISO/IEC 27001:2013 [A.7.2.2] NIST SP 800-53 R4 [AT-1], [AT-3], [PM-13], [PM-14] ENS [mp.per.4]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un plan de formación en ciberresiliencia. □ L1 - Se ha iniciado la definición de un plan de formación. □ L2 - Se ha establecido un plan de formación, pero no se han documentado. □ L3 - Se ha documentado un plan de formación y las actividades de formación asociadas, y este plan se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el plan de formación y las actividades de formación asociadas. □ L5 - Se aplican acciones de mejora en el plan de formación y actividades de formación asociadas.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización celebra actividades de formación en ciberresiliencia, o ciberejercicios orientados a formar al personal de la organización en materia de ciberresiliencia. - Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de formación en ciberresiliencia, o ciberejercicios orientados a formar al personal de la organización en esta materia.
Tabla 8. Ficha Métrica A-FO-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 13 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
A-FO-OE3-01
Meta
ANTICIPAR
Dominio Funcional
FORMACIÓN EN CIBERSEGURIDAD
Objetivo
Llevar a cabo actividades de concienciación en ciberresiliencia.
Descripción
Correlación
Se ha establecido un plan de concienciación en ciberresiliencia (incluyendo la participación en ciberejercicios) orientado a formar a todo el personal de la organización. ISO/IEC 27001:2013 [A.7.2.2] NIST SP 800-53 R4 [AT-1], [PM-16], [AT-2], [PM-15], [PM-16] ENS [mp.per.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un plan de concienciación en ciberresiliencia. □ L1 - Se ha iniciado la definición de un plan de concienciación □ L2 - Se ha establecido un plan de concienciación pero no se han documentado. □ L3 - Se ha documentado un plan de concienciación y las actividades de concienciación asociadas, y este plan se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el plan de concienciación y las actividades de concienciación asociadas. □ L5 - Se aplican acciones de mejora en el plan de concienciación y actividades de concienciación asociadas.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que organización celebra actividades concienciación en ciberresiliencia, ciberejercicios orientados a concienciar personal de la organización en materia ciberresiliencia.
la de o al de
- Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de concienciación en ciberresiliencia, o ciberejercicios orientados a concienciar al personal de la organización en esta materia.
Tabla 9. Ficha Métrica A-FO-OE3-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 14 de 67 TLP:WHITE
TLP:WHITE
3.2. Resistir CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE1-03
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de vulnerabilidades. Se descubren las vulnerabilidades de forma activa utilizando las fuentes de información de vulnerabilidades. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [CA-8], [RA-5], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2] [op.exp.3]
Descripción Correlación CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado ninguna fuente de información de vulnerabilidades. □ L1 - Se ha iniciado la identificación de fuentes de información de vulnerabilidades, cuya información se revisa puntualmente. □ L2 - Se ha establecido una lista de fuentes de vulnerabilidades que se revisa constantemente, pero no está documentada. □ L3 - Se ha documentado una lista de fuentes de información de vulnerabilidades, que se mantiene actualizada y se revisa constantemente. □ L4 - Se gestionan, actualizan y verifican las fuentes de información de vulnerabilidades y la revisión de su información. □ L5 - Se aplican acciones de mejora en la definición de la lista de fuentes de vulnerabilidades y en la revisión de su información.
OBTENCIÓN Método de recogida
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Manual
ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores cercanos a L5 significan que la organización realiza una revisión activa de las vulnerabilidades que afectan a las funciones críticas que soportan los servicios esenciales. - Establecer actividades regulares para identificar y analizar las vulnerabilidades de sus activos (personas, información, tecnología, instalaciones) y procesos.
Tabla 10. Ficha Métrica T-GV-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 15 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE1-04
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de vulnerabilidades. Se categorizan y priorizan las vulnerabilidades que afectan a la provisión del servicio esencial. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2]
Descripción Correlación CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido una categorización y priorización de vulnerabilidades. □ L1 - Se ha iniciado la definición de categorías y prioridades para las vulnerabilidades. □ L2 - Se ha establecido una categorización y priorización de vulnerabilidades, pero no se han documentado. □ L3 - Se ha documentado una categorización y priorización de vulnerabilidades, y se mantiene actualizada. □ L4 - Se gestionan, actualizan y verifican las categorías y prioridades de vulnerabilidades. □ L5 - Se aplican acciones de mejora en la categorización y priorización de vulnerabilidades.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5 Valores positivos
Valores tendentes a L5 significan que la organización categorizan y priorizan las vulnerabilidades que afectan a las funciones críticas que soportan los servicios esenciales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 16 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer un mecanismo para categorizar y priorizar las vulnerabilidades que afectan a los servicios esenciales. Por ejemplo, establecer las siguientes categorías de resolución de vulnerabilidades: No tomar ninguna acción. Resolver inmediatamente (típicamente para actualizaciones o cambios de un fabricante). Desarrollar e implementar una estrategia de resolución de la vulnerabilidad (cuando implica acciones que requieren más esfuerzo que, por ejemplo, una actualización del fabricante). Llevar a cabo investigaciones o análisis adicionales. Remitir la vulnerabilidad al proceso de gestión de riesgos para una consideración formal del riesgo.
Tabla 11. Ficha Métrica T-GV-OE1-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 17 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE1-05
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de vulnerabilidades. Se analizan las vulnerabilidades con el objetivo de valorar su impacto y relevancia en la organización. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza un análisis de vulnerabilidades para valorar su impacto. □ L1 - Se ha iniciado la realización de análisis de vulnerabilidades para valorar su impacto. □ L2 - Se ha establecido un procedimiento para valora el impacto de las vulnerabilidades, pero no está documentado. □ L3 - Se ha documentado un procedimiento de análisis de vulnerabilidades para valorar su impacto en la organización, y se mantiene actualizado. □ L4 - Se gestionan, actualizan y verifican los análisis de vulnerabilidades para valorar su impacto. □ L5 - Se aplican acciones de mejora en el análisis de vulnerabilidades.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5
Valores positivos
Valores tendentes a L5 significan que la organización analiza las vulnerabilidades para determinar cuáles requieren atención adicional. Como resultado de este análisis, se determinará si las vulnerabilidades no son relevantes, si necesitan ser abordadas a través de una solución simple, o si necesitan la aplicación de una estrategia formal de resolución.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 18 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer un procedimiento de análisis de vulnerabilidades, que puede incluir las actividades: Entender la amenaza y la exposición a la misma. Revisar la información de dicha vulnerabilidad para saber si ha existido con anterioridad y determinar las acciones que se llevaron a cabo para mitigarla o eliminarla. Identificar y comprender las causas subyacentes de la exposición a la vulnerabilidad. Priorizar y categorizar las vulnerabilidades para tomar las medidas adecuadas para su resolución. Referir la vulnerabilidad al proceso de gestión de riesgos cuando requiera un más profundo análisis del impacto de la amenaza potencial.
Tabla 12. Ficha Métrica T-GV-OE1-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 19 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE1-06
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de vulnerabilidades. Se mantiene un repositorio actualizado de vulnerabilidades que guarda información de las mismas y su resolución. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se mantiene un repositorio de vulnerabilidades con información sobre las mismas. □ L1 - Se ha iniciado la elaboración de un repositorio de vulnerabilidades con información sobre las mismas y su resolución. □ L2 - Se ha establecido un repositorio de vulnerabilidades con información sobre las mismas y su resolución, pero no está documentado. □ L3 - Se ha documentado la existencia de un repositorio de vulnerabilidades con información sobre las mismas y su resolución. □ L4 - Se gestiona, actualiza y verifica repositorio de vulnerabilidades con información sobre las mismas y su resolución. □ L5 - Se aplican acciones de mejora en el repositorio de vulnerabilidades con información sobre las mismas y su resolución.
OBTENCIÓN Método de recogida Responsable
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Indicador
Se mantiene un repositorio con todas las vulnerabilidades conocidas. Valores positivos
Valores tendentes a L5 significan que la organización mantiene un repositorio actualizado de todas las vulnerabilidades conocidas, almacenando información de las mismas y su resolución.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 20 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer un repositorio de vulnerabilidades como fuente central de información del ciclo de vida de las mismas. Dicho repositorio debe contener información básica como: Identificador único para referencia interna de la vulnerabilidad en la organización. Descripción de la vulnerabilidad. Fecha de ingreso en el repositorio. Referencias a la fuente de la vulnerabilidad. Importancia de la vulnerabilidad para la organización (crítica, moderada, etc.) Personas o equipos asignados para analizarla y solucionarla. Registro de las acciones de resolución tomadas para disminuir o eliminar la vulnerabilidad.
Tabla 13. Ficha Métrica T-GV-OE1-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 21 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE2-02
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se emprenden acciones para gestionar la exposición a vulnerabilidades conocidas. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se emprenden acciones para gestionar la exposición a vulnerabilidades. □ L1 - Se ha iniciado la implantación de acciones para gestionar la exposición a vulnerabilidades conocidas. □ L2 - Se ha establecido una estrategia para gestionar la exposición a vulnerabilidades conocidas, pero no se ha documentado. □ L3 - Se ha documentado la estrategia para gestionar la exposición a vulnerabilidades conocidas. □ L4 - Se revisa la efectividad de las actividades de mitigación de vulnerabilidades conocidas. □ L5 - Se aplican acciones de mejora en la estrategia de mitigación de vulnerabilidades conocidas.
OBTENCIÓN Método de recogida Responsable
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Indicador
Se emprenden acciones para gestionar la exposición a todas las vulnerabilidades conocidas. Valores positivos
Valores tendentes a L5 significan que la organización ha desarrollado e implementado una estrategia de resolución para todas las vulnerabilidades cuya exposición debe ser reducida o eliminada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 22 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Desarrollar e implementar una estrategia de resolución adecuada para las vulnerabilidades que ha determinado que deben ser eliminadas o reducidas. Esta estrategia puede incluir acciones para: Reducir al mínimo la exposición de la organización a la vulnerabilidad (al reducir la probabilidad de que la vulnerabilidad sea explotada). Eliminar la exposición de la organización a la vulnerabilidad (al eliminar la amenaza, el actor amenaza, y / o el motivo).
Tabla 14. Ficha Métrica T-GV-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 23 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE2-04
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se monitoriza el estado de aquellas vulnerabilidades no resueltas.
Correlación
ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN □ L0 - No se monitoriza el estado de las vulnerabilidades no resueltas. □ L1 - Se ha iniciado la monitorización de las vulnerabilidades no resueltas. □ L2 - Se ha establecido un procedimiento para la monitorización de las vulnerabilidades no resueltas, pero no está documentado. □ L3 - Se ha documentado el procedimiento de monitorización de vulnerabilidades no resueltas, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la monitorización de vulnerabilidades no resueltas. □ L5 - Se aplican acciones de mejora en la monitorización de vulnerabilidades no resueltas.
Escala
OBTENCIÓN Método de
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis.
recogida de información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
SÍ Valores
Indicador
positivos Acciones correctivas
Valores tendentes a L5 significan que las vulnerabilidades no resueltas son monitorizadas y reportadas regularmente. - Monitorizar las vulnerabilidades no resueltas y reportar su existencia a los responsables oportunos de la organización.
Tabla 15. Ficha Métrica T-GV-OE2-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 24 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE2-05
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Correlación
Se ha estimado el tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables implicados en su resolución. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables. □ L1 - Se ha iniciado la identificación del tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables. □ L2 - Se ha establecido el tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables, pero no se han documentado. □ L3 - Se ha documentado el tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio transcurrido desde que se conoce una vulnerabilidad, hasta que se comunica a los responsables.
Escala
OBTENCIÓN Método de
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis.
recogida de información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo L5
Indicador
Valores positivos
Valores tendentes a L5 indican que existe un proceso mejorado para estimar el número de horas entre la fecha de conocimiento de una vulnerabilidad que afecte a la provisión del servicio esencial, y la fecha de su comunicación a los responsables.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 25 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Concienciar a los usuarios de la necesidad de comunicar cuanto antes cualquier anomalía o evento de seguridad detectado. - Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 16. Ficha Métrica T-GV-OE2-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 26 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE2-06
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Correlación
Se ha estimado el tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema que soporta el servicio esencial. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema que soporta el servicio esencial. □ L1 - Se ha iniciado la identificación del tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema que soporta el servicio esencial. □ L2 - Se ha establecido el tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema, pero no se han documentado. □ L3 - Se ha documentado el tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se anuncia la existencia de un parche de seguridad, hasta que es aplicado en el sistema. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio desde que se anuncia la existencia de un parche de seguridad hasta que es aplicado en el sistema.
Escala
OBTENCIÓN Método de recogida de información Responsable
Manual
Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis. CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo L5
Indicador
Valores positivos
Valores tendentes a L5 indican que existe un proceso mejorado para estimar el número de horas entre la fecha de disponibilidad de un parche que afecte a un servicio esencial y la fecha de instalación del mismo.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 27 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 17. Ficha Métrica T-GV-OE2-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 28 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-GV-OE2-07
Meta
RESISTIR
Dominio Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se ha estimado el tiempo medio para mitigar vulnerabilidades identificadas. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
Correlación
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio para mitigar vulnerabilidades identificadas. □ L1 - Se ha iniciado la identificación del tiempo medio para mitigar vulnerabilidades identificadas. □ L2 - Se ha establecido el tiempo medio para mitigar vulnerabilidades identificadas, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio para mitigar vulnerabilidades identificadas, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio para mitigar vulnerabilidades identificadas. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio para mitigar vulnerabilidades identificadas.
Escala
OBTENCIÓN Método de recogida de información Responsable
Manual
Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis. CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo L5 Valores Indicador
positivos Acciones correctivas
Valores tendentes a L5 indican que existe un proceso mejorado para estimar el número de horas entre la fecha de detección de una vulnerabilidad que afecte a una función crítica y la fecha de mitigación de la misma. - Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 18. Ficha Métrica T-GV-OE2-07
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 29 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-MC-OE1-01
Meta
RESISTIR
Dominio Funcional
MONITORIZACIÓN CONTINUA
Objetivo
Monitorizar los servicios esenciales.
Descripción
Correlación
Se monitoriza constantemente (24x7) la provisión del servicio esencial (redes de comunicaciones, sistemas, accesos, entorno físico, personal, etc.) para detectar potenciales ciberataques. ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7] NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4] ENS [op.mon]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización 24x7 de la provisión del servicio esencial. □ L1 - Se ha iniciado la monitorización 24x7 de la provisión del servicio esencial. □ L2 - Se ha establecido un procedimiento de monitorización 24x7 de la provisión del servicio esencial, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento de monitorización 24x7 de la provisión del servicio esencial, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la monitorización 24x7 de la provisión del servicio esencial. □ L5 - Se aplican acciones de mejora en la monitorización 24x7 de la provisión del servicio esencial.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer) y/o Director de Seguridad Física
Responsable ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 indican que la organización monitoriza constantemente (24x7) las funciones críticas que soportan los servicios esenciales para detectar potenciales ciberataques. - Establecer un procedimiento de monitorización continua sobre los activos y funciones que dan soporte a los servicios esenciales (redes de comunicaciones, sistemas, accesos, entorno físico, personal, etc.) para detectar potenciales ciberataques.
Tabla 19. Ficha Métrica T-MC-OE1-01 ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 30 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-MC-OE1-02
Meta
RESISTIR
Dominio Funcional
MONITORIZACIÓN CONTINUA
Objetivo
Monitorizar los servicios esenciales.
Descripción
Se monitorizan los sistemas que dan soporte a los servicios esenciales en busca de software o hardware no autorizado. ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7] NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4] ENS [op.mon]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización del sistema para detectar software o hardware no autorizado. □ L1 - Se ha iniciado la monitorización del sistema para detectar software o hardware no autorizado. □ L2 - Se ha establecido un procedimiento de monitorización del sistema para detectar software o hardware no autorizado, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento de monitorización del sistema para detectar software o hardware no autorizado, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la monitorización del sistema para detectar software o hardware no autorizado. □ L5 - Se aplican acciones de mejora en la monitorización del sistema para detectar software o hardware no autorizado.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 indican que la organización monitoriza los sistemas que dan soporte a los servicios esenciales en busca de software o hardware no autorizado. - Establecer un procedimiento de monitorización continua sobre los sistemas que dan soporte a los servicios esenciales en busca de software o hardware no autorizado.
Tabla 20. Ficha Métrica T-MC-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 31 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-MC-OE1-03
Meta
RESISTIR
Dominio Funcional
MONITORIZACIÓN CONTINUA
Objetivo
Monitorizar los servicios esenciales.
Descripción
Se monitorizan las redes de comunicaciones que dan soporte a los servicios esenciales en busca de puntos de conexión no autorizados. ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7] NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4] ENS [op.mon]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización de redes de comunicaciones para detectar conexiones no autorizadas. □ L1 - Se ha iniciado la monitorización de redes de comunicaciones para detectar conexiones no autorizadas. □ L2 - Se ha establecido un procedimiento de monitorización de redes de comunicaciones para detectar conexiones no autorizadas, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento de monitorización de redes de comunicaciones para detectar conexiones no autorizadas, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la monitorización de redes de comunicaciones para detectar conexiones no autorizadas. □ L5 - Se aplican acciones de mejora en la monitorización de redes de comunicaciones para detectar conexiones no autorizadas.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 indican que la organización monitoriza las redes de comunicaciones que dan soporte a los servicios esenciales en busca de puntos de conexión no autorizados. - Establecer un procedimiento de monitorización continua sobre las redes de comunicaciones que dan soporte a los servicios esenciales en busca de puntos de conexión no autorizados.
Tabla 21. Ficha Métrica T-MC-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 32 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
T-MC-OE1-04
Meta
RESISTIR
Dominio Funcional
MONITORIZACIÓN CONTINUA
Objetivo
Monitorizar los servicios esenciales.
Descripción
Correlación
Se ha estimado el tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo. ISO/IEC 27001:2013 [A.12.6.1] NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3] ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo. □ L1 - Se ha iniciado la identificación del tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo. □ L2 - Se ha establecido el tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo. □ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio desde que se produce un ciberataque hasta que es reportado a los responsables oportunos de contrarrestarlo.
Escala
OBTENCIÓN Método de recogida de información Responsable
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis. CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Indicador
L5 Valores positivos
Valores tendentes a L5 indican que existe un proceso mejorado para estimar el número de horas entre la fecha de ocurrencia de un ataque sobre la provisión de un servicio esencial y la fecha de su comunicación a los responsables..
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 33 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Revisar y mejorar la implantación del procedimiento de monitorización continua.
Tabla 22. Ficha Métrica T-MC-OE1-03
3.3. Recuperar A continuación se detallan las fichas para las veinte (20) métricas seleccionadas correspondientes a la meta de Recuperar. CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE1-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para detectar, reportar, priorizar y analizar eventos. Se realiza la detección de eventos y su reporte al personal encargado de gestionar incidentes. ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4] NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6] ENS [op.exp.7]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una detección y reporte de eventos. □ L1 - Se ha iniciado la detección y reporte de eventos. □ L2 - Se ha establecido un procedimiento de detección y reporte de eventos, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento de detección y reporte de eventos, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la detección y reporte de eventos. □ L5 - Se aplican acciones de mejora en la detección y reporte de eventos.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 34 de 67 TLP:WHITE
TLP:WHITE
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización dispone de un procedimiento para capturar y analizar eventos, de manera que puede determinar si el evento se convertirá (o se ha convertido) en un ciberincidente que requiere la acción de la organización. - Establecer un procedimiento de reporte de eventos para detectarlos y proporcionar informes al personal de gestión de incidentes y a los responsables interesados.
Tabla 23. Ficha Métrica R-GI-OE1-01
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE1-08
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para detectar, reportar, priorizar y analizar eventos. Se ha estimado el tiempo medio entre que se produce un ciberataque y se detecta. ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4] NIST SP 800-53 R4 [AR-4], [AU-13], [IR-4], [IR-5], [PE-6], [RA-6] ENS [op.exp.7]
Descripción Correlación
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio entre que se produce un ciberataque y se detecta. □ L1 - Se ha iniciado la identificación del tiempo medio entre que se produce un ciberataque y se detecta. □ L2 - Se ha establecido el tiempo medio entre que se produce un ciberataque y se detecta, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio entre que se produce un ciberataque y se detecta, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se produce un ciberataque y se detecta. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio entre que se produce un ciberataque y se detecta.
Escala
OBTENCIÓN Método
de
recogida
de
información Responsable
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis. CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 35 de 67 TLP:WHITE
TLP:WHITE
ANÁLISIS Medida Objetivo
L5.
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 indican que existe un proceso mejorado para estimar el número de horas entre la fecha de ocurrencia de un ciberataque afectando la provisión del servicio esencial y la fecha de su detección. - Revisar y mejorar la implantación del proceso para detectar ciberincidentes. - Reforzar la formación y concienciación en relación a la detección de ciberincidentes.
Tabla 24. Ficha Métrica R-GI-OE1-08
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 36 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE2-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Identificar y analizar los ciberincidentes.
Descripción
Existe un procedimiento para identificar y contabilizar ciberincidentes basado en una tipificación de incidentes definida. ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4] NIST SP 800-53 R4 [IR-4] ENS [op.exp.7]
Correlación
los
CARACTERIZACIÓN
Escala
□ L0 - No se identifican ni contabilizan los ciberincidentes de acuerdo a una tipificación de los mismos. □ L1 - Se ha iniciado una identificación y de ciberincidentes basada en una tipificación definida. □ L2 - Se ha establecido un procedimiento para identificar y contabilizar ciberincidentes basado en una tipificación de los mismos, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento para identificar y contabilizar ciberincidentes basado en una tipificación de los mismos, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la identificación de ciberincidentes basada en su tipificación. □ L5 - Se aplican acciones de mejora en la identificación de ciberincidentes basada en su tipificación.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización identifica y contabilizan los ciberincidentes de acuerdo a un proceso establecido, basado en una tipificación de incidentes definida. - Establecer un conjunto de línea de base de los acontecimientos que definen ciberincidentes estándar, e identificar y contabilizar los ciberincidentes de acuerdo a dicha tipificación.
Tabla 25. Ficha Métrica R-GI-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 37 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE2-02
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Identificar y analizar los ciberincidentes.
Descripción
Existe un criterio de identificación de ciberincidentes accesible a todo el personal. ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4] NIST SP 800-53 R4 [IR-4] ENS [op.exp.7]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un criterio de identificación de ciberincidentes que esté accesible a todo el personal. □ L1 - Se ha iniciado la definición de un criterio de identificación de ciberincidentes. □ L2 - Se ha establecido un criterio de identificación de ciberincidentes, pero no se ha documentado. □ L3 - Se ha documentado un criterio de identificación de ciberincidentes, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el criterio de identificación de ciberincidentes. □ L5 - Se aplican acciones de mejora en la definición del criterio de identificación de ciberincidentes.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización ha definido y documentado los criterios de declaración de ciberincidentes, y esta información está disponible para todo el personal que pueda necesitarlo para declarar un ciberincidente. - Definir y documentar los criterios de declaración de ciberincidentes, y hacer que esta información esté disponible para todo el personal.
Tabla 26. Ficha Métrica R-GI-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 38 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE2-03
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Identificar y analizar los ciberincidentes.
Descripción
Se analizan los ciberincidentes para determinar la respuesta más apropiada en el menor tiempo posible. ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4] NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6] ENS [op.exp.7]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza un análisis de ciberincidentes. □ L1 - Se ha iniciado el análisis de ciberincidentes para determinar la respuesta más apropiada. □ L2 - Se ha establecido un procedimiento de análisis de ciberincidentes, pero no se ha documentado. □ L3 - Se ha documentado un procedimiento de análisis de ciberincidentes, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el procedimiento de análisis de ciberincidentes. □ L5 - Se aplican acciones de mejora en el procedimiento de análisis de ciberincidentes.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización dispone de un procedimiento de análisis de ciberincidentes estandarizado para formular una respuesta. - Establecer un procedimiento de análisis de ciberincidentes para definir correctamente el problema subyacente, ayudando a la organización a preparar la respuesta más adecuada al ciberincidente en el menor tiempo posible. También debería ayudar a determinar si el incidente tiene ramificaciones legales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 39 de 67 TLP:WHITE
TLP:WHITE
Tabla 27. Ficha Métrica R-GI-OE2-03
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE3-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para responder y recuperarse de los ciberincidentes. Existe una estructura de respuesta a ciberincidentes, de modo que se escalan a los responsables oportunos encargados de su resolución. ISO/IEC 27001:2013 [A.16.1.5] NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2] ENS [op.exp.7]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No existe una estructura de respuesta a ciberincidentes. □ L1 - Se ha iniciado la definición de una estructura de respuesta a ciberincidentes. □ L2 - Se ha establecido una estructura de respuesta a ciberincidentes, pero no se ha documentado. □ L3 - Se ha documentado una estructura de respuesta a ciberincidentes, y se mantiene actualizada. □ L4 - Se gestiona, actualiza y verifica la estructura de respuesta a ciberincidentes. □ L5 - Se aplican acciones de mejora en el diseño de la estructura de respuesta a ciberincidentes.
OBTENCIÓN Método de recogida Responsable
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Indicador
Existe una estructura completa y clara que facilita la coordinación interna y externa para dar respuesta a ciberincidentes.
Valores positivos
Valores tendentes a L5 indican que mayor coordinación interna existe, y que se define una estructura de escalado de incidentes completa y clara para poder responder y recuperarse de los incidentes.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 40 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer un procedimiento para asegurar que los incidentes se refieren a las personas responsables pertinentes, porque de no hacerlo, impedirá la respuesta de la organización, aumentando el impacto del ciberincidente.
Tabla 28. Ficha Métrica R-GI-OE3-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 41 de 67 TLP:WHITE
TLP:WHITE
INFORMACIÓN
CAMPO IDENTIFICACIÓN Código
R-GI-OE3-06
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para responder y recuperarse de los ciberincidentes.
Descripción
Se ha estimado el tiempo medio de respuesta ante un ciberincidente.
Correlación
ISO/IEC 27001:2013 [A.16.1.5] NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2] ENS [op.exp.7]
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio de respuesta ante un ciberincidente. □ L1 - Se ha iniciado la identificación del tiempo medio de respuesta ante un ciberincidente. □ L2 - Se ha establecido el tiempo medio de respuesta ante un ciberincidente, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio de respuesta ante un ciberincidente, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio de respuesta ante un ciberincidente. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio de respuesta ante un ciberincidente.
Escala
OBTENCIÓN Método
de
recogida
de
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis.
información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
L5 Valores
Indicador
positivos Acciones correctivas
Valores tendentes a L5 significan que se ha estimado el número de horas entre la fecha de ocurrencia de un ciberincidente y la fecha de respuesta. - Revisar y mejorar la implantación del proceso para responder ciberincidentes.
Tabla 29. Ficha Métrica R-GI-OE3-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 42 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE4-03
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Analizar la información de los ciberincidentes.
Descripción
Se ha estimado el tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial de la organización. ISO/IEC 27001:2013 [A.16.1.5] NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2] ENS [op.exp.7]
Correlación
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial. □ L1 - Se ha iniciado la identificación del tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial. □ L2 - Se ha establecido el tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio para determinar el impacto de un ciberincidente en la provisión del servicio esencial.
Escala
OBTENCIÓN Método
de
recogida
de
Manual Recomendable entrevista personal o telefónica, para poder interpretar los resultados con mayor nivel de detalle en la fase de análisis.
información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
L5
Valores Indicador
positivos Acciones correctivas
Valores tendentes a L5 significan que se ha estimado el número de horas entre la fecha de ocurrencia de un ciberincidente y la fecha en la que se determina el impacto que ha producido en la provisión del servicio esencial. - Revisar y mejorar la implantación del proceso para resolver ciberincidentes.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 43 de 67 TLP:WHITE
TLP:WHITE
Tabla 30. Ficha Métrica R-GI-OE4-01 CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-GI-OE5-03
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE INCIDENTES
Objetivo
Coordinación con otros organismos en la respuesta a los ciberincidentes. Se comunican los ciberincidentes graves que se han producido en su organización a las fuerzas y cuerpos de seguridad del Estado (FCSE). ISO/IEC 27001:2013 [A.16.1.6], [A.16.1.7] NIST SP 800-53 R4 [IR-4], [IR-9] ENS [op.exp.7]
Descripción Correlación CARACTERIZACIÓN
Escala
□ L0 - No existe un mecanismo para comunicar ciberincidentes a las fuerzas y cuerpos de seguridad del estado. □ L1 - Se ha iniciado la comunicación de ciberincidentes a las fuerzas y cuerpos de seguridad del estado. □ L2 - Se ha establecido un mecanismo para comunicar ciberincidentes a las fuerzas y cuerpos de seguridad del estado, pero no se ha documentado. □ L3 - Se ha documentado un mecanismo para comunicar ciberincidentes a las fuerzas y cuerpos de seguridad del estado, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica la comunicación de ciberincidentes a las fuerzas y cuerpos de seguridad del estado. □ L5 - Se aplican acciones de mejora la comunicación de ciberincidentes a las fuerzas y cuerpos de seguridad del estado.
OBTENCIÓN Método de recogida Responsable
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Se comunican todos los ciberincidentes graves a las fuerzas y cuerpos de seguridad del estado Valores
Indicador
positivos Acciones correctivas
Valores tendentes a L5 implicarían que la organización comunica todos los ciberincidentes graves que se han producido a las fuerzas y cuerpos de seguridad del Estado (FCSE). - Fomentar la coordinación y comunicación con otros organismos en la respuesta a ciberincidentes.
Tabla 31. Ficha Métrica R-GI-OE5-03 ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 44 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-CS-OE1-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Desarrollar planes de continuidad de las funciones críticas que soportan los servicios esenciales. Se desarrollan planes de continuidad para la provisión del servicio esencial. ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2] NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11] ENS [op.cont.2]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No existen planes de continuidad para ninguna función crítica que soporte los servicios esenciales. □ L1 - Se ha iniciado el desarrollo de planes de continuidad para algunas de las funciones críticas. □ L2 - Se han establecido acciones de continuidad para todas las funciones críticas, pero no se han documentado. □ L3 - Se han documentado todos los planes de continuidad de las funciones críticas, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y revisan los planes de continuidad de todas las funciones críticas. □ L5 - Se aplican acciones de mejora en los planes de continuidad de todas las funciones críticas.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 significan que la organización desarrolla planes de continuidad de las funciones críticas que soportan los servicios esenciales, que contemplan los activos críticos involucrados en los servicios (personas, información, tecnología e instalaciones). - Desarrollar planes de continuidad de las funciones críticas que soportan los servicios esenciales.
Tabla 32. Ficha Métrica R-CS-OE1-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 45 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-CS-OE1-06
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Desarrollar planes de continuidad de las funciones críticas que soportan los servicios esenciales. Los planes de continuidad documentan los tiempos objetivos de recuperación (RTO) de las funciones críticas que soportan los servicios esenciales. ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2] NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11] ENS [op.cont.1]
Descripción
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se identifican los RTO para la provisión del servicio esencial. □ L1 - Se ha iniciado la definición de los RTO para la provisión del servicio esencial. □ L2 - Se han establecido los RTO para la provisión del servicio esencial, pero no se han documentado. □ L3 - Se han documentado los RTO en todos los planes de continuidad para la provisión del servicio esencial, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y revisan los RTO definidos en los planes de continuidad para la provisión del servicio esencial. □ L5 - Se aplican acciones de mejora en la definición de los RTO documentados en los planes de continuidad para la provisión del servicio esencial.
OBTENCIÓN Método de recogida
Manual. CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5.
Valores Indicador
positivos Acciones correctivas
Valores tendentes a L5 implicarían que la organización documenta los tiempos objetivos de recuperación (RTO) de las funciones críticas que soportan los servicios esenciales en todos sus planes de continuidad. - Identificar los RTO para todas las funciones críticas que dan soporte a los servicios esenciales.
Tabla 33. Ficha Métrica R-CS-OE1-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 46 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-CS-OE2-04
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Probar los planes de continuidad.
Descripción
Se han probado los planes de continuidad para la provisión del servicio esencial. ISO/IEC 27001:2013 [A.17.1.3] NIST SP 800-53 R4 [CP-3], [CP-4] ENS [op.cont.3]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se prueban los planes de continuidad para ninguna función crítica que soporte los servicios esenciales. □ L1 - Se ha iniciado la definición de las pruebas de planes de continuidad para algunas de las funciones críticas. □ L2 - Se han establecido pruebas periódicas de continuidad para todas las funciones críticas, pero no se han documentado. □ L3 - Se han documentado todos los planes de pruebas de continuidad de las funciones críticas, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y revisan los planes de pruebas de continuidad de todas las funciones críticas. □ L5 - Se aplican acciones de mejora en los planes de continuidad como resultado de las pruebas de los mismos.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5 Valores positivos
Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización prueba los planes de continuidad de todas las funciones críticas que soportan los servicios esenciales. - Establecer un procedimiento de prueba para los planes de continuidad de todas las funciones críticas que soportan los servicios esenciales identificados.
Tabla 34. Ficha Métrica R-CS-OE2-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 47 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-CS-OE3-03
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Ejecutar y revisar los planes de continuidad. Se ha estimado el tiempo medio entre que se produce una interrupción en la provisión del servicio esencial, y este está disponible con un mínimo nivel de aceptabilidad del servicio. ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2] NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11] ENS [op.cont.1]
Descripción
Correlación
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio. □ L1 - Se ha iniciado la identificación del tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio. □ L2 - Se ha establecido el tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio entre que se produce una interrupción y el servicio esencial está disponible con un mínimo nivel de servicio.
Escala
OBTENCIÓN Método
de
recogida
de
Manual
información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
L5.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 48 de 67 TLP:WHITE
TLP:WHITE
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 indican que se ha estimado el número de horas entre que se produce una interrupción en la provisión del servicio, y este está disponible con un mínimo nivel de aceptabilidad.. - Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
Tabla 35. Ficha Métrica R-CS-OE3-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 49 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-CS-OE3-04
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Ejecutar y revisar los planes de continuidad. Se ha estimado el tiempo medio entre que se produce una interrupción en la provisión del servicio esencial y este se restaura a su funcionamiento normal. ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2] NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11] ENS [op.cont.1]
Descripción
Correlación
CARACTERIZACIÓN □ L0 - No se ha identificado el tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal. □ L1 - Se ha iniciado la identificación del tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal. □ L2 - Se ha establecido el tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal, pero no se ha documentado. □ L3 - Se ha documentado el tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal. □ L5 - Se aplican acciones de mejora en la definición del tiempo medio entre que se produce una interrupción y se restaura el servicio esencial a su funcionamiento normal.
Escala
OBTENCIÓN Método
de
recogida
de
Manual
información Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS Medida Objetivo
Indicador
L5.
Valores positivos
Valores tendentes a L5 significan que se ha estimado el número de horas entre que se produce una interrupción en la provisión del servicio esencial, y este está restaurado a su nivel normal de funcionamiento.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 50 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
Tabla 36. Ficha Métrica R-CS-OE3-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 51 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE1-02
Meta
RECUPERAR
Dominio Funcional Objetivo Descripción Correlación
GESTIÓN DE DEPENDENCIAS EXTERNAS Identificar y priorizar las dependencias externas para garantizar la operación de las funciones críticas que soportan los servicios esenciales. Se priorizan las dependencias externas relacionadas con la provisión del servicio esencial. ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3] NIST SP 800-53 R4 [PL-8] ENS [op.ext.1]
CARACTERIZACIÓN
Escala
□ L0 - No se priorizan las dependencias externas relacionadas con la provisión del servicio esencial. □ L1 - Se ha iniciado la asignación de prioridades a las dependencias externas relacionadas con la provisión del servicio esencial. □ L2 - Se han asignado prioridades a las dependencias externas relacionadas cola provisión del servicio esencial, pero no se han documentado. □ L3 - Se han documentado prioridades asignadas a las dependencias externas relacionadas con la provisión del servicio esencial, y se mantienen actualizadas. □ L4 - Se gestionan, actualizan y revisan las prioridades asignadas a las dependencias externas relacionadas con la provisión del servicio esencial. □ L5 - Se aplican acciones de mejora en las prioridades asignadas a las dependencias externas relacionadas con la provisión del servicio esencial.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5.
Valores positivos
Valores tendentes a L5 implicarían que la organización dispone de una lista priorizada de todas las dependencias externas que afectan a todas las funciones críticas que soportan los servicios esenciales, y esa lista es actualizada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 52 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Establecer unos criterios para la priorización de las dependencias externas, y elaborar una lista de prioridades de las dependencias externas y las funciones críticas que soportan los servicios esenciales asociadas a dichas dependencias.
Tabla 37. Ficha Métrica R-DE-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 53 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE2-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar y gestionar los riesgos asociados a dependencias externas.
Descripción
Se identifican y gestionan los riesgos asociados a dependencias externas. ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3] NIST SP 800-53 R4 [SA-21], [SC-38] ENS [op.ext.1]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una gestión de riesgos asociados a dependencias externas. □ L1 - Se ha iniciado la gestión de riesgos asociados a dependencias externas. □ L2 - Se ha establecido una gestión de riesgos asociados a dependencias externas, pero no se han documentado. □ L3 - Se ha documentado la gestión de riesgos asociados a dependencias externas, y se mantiene actualizada. □ L4 - Se gestionan, actualizan y verifican los riesgos asociados a dependencias externas. □ L5 - Se aplican acciones de mejora en la gestión de riesgos asociados a dependencias externas.
OBTENCIÓN Método
de
recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización la organización ha identificado los riesgos asociados a las dependencias externas, y que esta lista ha sido priorizada y está actualizada. - Identificar y evaluar los riesgos debidos a dependencias externas para que puedan ser gestionados eficazmente para mantener la capacidad de recuperación de las funciones críticas que soportan los servicios esenciales que proporciona la organización.
Tabla 38. Ficha Métrica R-DE-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 54 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE3-04
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Establecer y mantener de manera formal las relaciones con dependencias externas. Se incluyen requisitos de ciberresiliencia en los acuerdos con dependencias externas que apoyan la provisión del servicio esencial. ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3] NIST SP 800-53 R4 [SA-12], [SA-13] ENS [op.ext.1]
Descripción Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se incluyen requisitos de ciberresiliencia en los acuerdos. □ L1 - Se ha iniciado la inclusión de requisitos de ciberresiliencia en los acuerdos con dependencias externas. □ L2 - Se han establecido los requisitos de ciberresiliencia en las relaciones con dependencias externas, pero no se han documentado. □ L3 - Se han documentado los requisitos de ciberresiliencia en los acuerdos con dependencias externas, y se mantienen actualizados. □ L4 - Se gestionan, actualizan y verifican los requisitos de ciberresiliencia en los acuerdos con dependencias externas. □ L5 - Se aplican acciones de mejora en los requisitos de ciberresiliencia en los acuerdos con dependencias externas.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5.
Valores positivos
Valores tendentes a L5 implicarían que la organización incluye los requisitos de ciberresiliencia en todos los acuerdos con entidades externas que apoyan las funciones críticas que soportan los servicios esenciales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 55 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Incluir los requisitos de ciberresiliencia en los acuerdos con entidades externas, de modo que: Dichos requisitos sean exigibles por la organización. Los acuerdos incluyan especificaciones detalladas y completas que deben cumplirse por la entidad externa. Los acuerdos incluyan todos los estándares de rendimiento requeridos. Los acuerdos se actualicen de modo que reflejen los cambios en las especificaciones durante la vigencia de la relación.
Tabla 39. Ficha Métrica R-DE-OE3-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 56 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE4-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Gestionar la operación de dependencias externas.
Descripción
Correlación
Se gestiona la operación de las dependencias externas que apoyan la provisión del servicio esencial de acuerdo a los requisitos y servicios de ciberresiliencia acordados. ISO/IEC 27001:2013 [A.15.2.1] NIST SP 800-53 R4 [AR-4], [SA-3], [SA-9], [SA-12], [SA-13] ENS [op.ext.2]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una gestión de la operación de las dependencias externas. □ L1 - Se ha iniciado la gestión de la operación de las dependencias externas. □ L2 - Se ha establecido una gestión de la operación de las dependencias externas, pero no se han documentado. □ L3 - Se ha documentado la gestión de la operación de las dependencias externas, y se mantiene actualizada. □ L4 - Se monitoriza y verifica operación de las dependencias externas. □ L5 - Se aplican acciones de mejora para gestionar los problemas operación de las dependencias externas.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5
Valores positivos
Valores tendentes a L5 significan que la organización monitoriza periódicamente la operación de las dependencias externas que apoyan las funciones críticas que dan soporte a los servicios esenciales para verificar que cumplen los requisitos de ciberresiliencia establecidos.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 57 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Monitorizar periódicamente la operación de las dependencias externas que apoyan las funciones críticas que dan soporte a los servicios esenciales, y analizar las desviaciones respecto de los requisitos de ciberresiliencia establecidos para comprender el impacto potencial sobre la organización.
Tabla 40. Ficha Métrica R-DE-OE4-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 58 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE5-01
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar las dependencias de servicios públicos y proveedores de servicios de infraestructura. Se identifican las dependencias de servicios públicos que apoyen las funciones críticas que soportan los servicios críticos (servicios de emergencia, fuerzas del orden público, etc.). ISO/IEC 27001:2013 [A.15.2.2] NIST SP 800-53 R4 [SA-3], [SA-12] ENS [op.ext.2]
Descripción
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se identifican las dependencias de servicios públicos. □ L1 - Se ha iniciado una identificación de las dependencias de servicios públicos. □ L2 - Se han identificado las dependencias de servicios públicos, pero no se ha documentado. □ L3 - Se han documentado las dependencias de servicios públicos, y esta lista se mantiene actualizada. □ L4 - Se gestiona, actualiza y verifica la identificación de las dependencias de servicios públicos. □ L5 - Se aplican acciones de mejora en la identificación de las dependencias de servicios públicos.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador Acciones correctivas
Valores tendentes a L5 significan que la organización ha identificado y documentado las dependencias de servicios públicos que den soporte a los servicios críticos (servicios de emergencia, fuerzas del orden público, etc.), y dicha lista se mantiene actualizada. - Realizar un examen a fondo de los servicios públicos que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.
Tabla 41. Ficha Métrica R-DE-OE5-01 ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 59 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
R-DE-OE5-02
Meta
RECUPERAR
Dominio Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar las dependencias de servicios públicos y proveedores de servicios de infraestructura. Se identifican las dependencias de proveedores de servicios de infraestructura que apoyen las funciones críticas que soportan los servicios esenciales (operadoras de telecomunicaciones, energía, etc.). ISO/IEC 27001:2013 [A.15.2.2] NIST SP 800-53 R4 [SA-3], [SA-12] ENS [op.ext.2]
Descripción
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se identifican las dependencias de proveedores de servicios de infraestructura. □ L1 - Se ha iniciado una identificación de las dependencias de proveedores de servicios de infraestructura. □ L2 - Se han identificado las dependencias de proveedores de servicios de infraestructura, pero no se ha documentado. □ L3 - Se han documentado las dependencias de proveedores de servicios de infraestructura, y esta lista se mantiene actualizada. □ L4 - Se gestiona, actualiza y verifica la identificación de las dependencias de proveedores de servicios de infraestructura. □ L5 - Se aplican acciones de mejora en la identificación de las dependencias de proveedores de servicios de infraestructura.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
Indicador
L5
Valores positivos
Valores tendentes a L5 significan que la organización ha identificado y documentado las dependencias de proveedores de servicios de infraestructura que apoyen las funciones críticas que soportan los servicios esenciales (operadoras de telecomunicaciones, energía, etc.), y dicha lista se mantiene actualizada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 60 de 67 TLP:WHITE
TLP:WHITE
Acciones correctivas
- Realizar un examen a fondo de los proveedores de servicios de infraestructura que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.
Tabla 42. Ficha Métrica R-DE-OE5-02
3.4. Evolucionar A continuación se detallan las fichas para las cuatro (4) métricas seleccionadas correspondientes a la meta de Evolucionar. CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
E-CC-OE1-01
Meta
EVOLUCIONAR
Dominio Funcional
GESTIÓN DE LA CONFIGURACIÓN Y EL CAMBIO
Objetivo
Gestionar la integridad de los activos de información y tecnológicos.
Descripción
Correlación
Se sigue un procedimiento de gestión de configuración de los equipos asociados a las funciones críticas que soportan los servicios esenciales. ISO/IEC 27001:2013 [A.12.1.2] NIST SP 800-53 R4 [CM-1], [CM-2], [CM-3], [CM-6], [CM-9], [SA-5], [SA-10] ENS [op.exp.2]
CARACTERIZACIÓN
Escala
□ L0 - No existe un procedimiento de gestión de configuración de los equipos. □ L1 - Se ha iniciado un procedimiento de gestión de configuración de los equipos. □ L2 - Se ha establecido un procedimiento de gestión de configuración de los equipos, pero no se han documentado. □ L3 - Se ha documentado un procedimiento de gestión de configuración de los equipos, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y revisa el procedimiento de gestión de configuración de los equipos. □ L5 - Se aplican acciones de mejora en el procedimiento de gestión de configuración de los equipos.
OBTENCIÓN Método de recogida Responsable
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
ANÁLISIS
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 61 de 67 TLP:WHITE
TLP:WHITE
Medida Objetivo
L5
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 significan que la organización lleva a cabo la gestión de configuración de los equipos asociados a las funciones críticas que soportan los servicios esenciales, haciendo que éstos se pueden restaurar en una forma aceptable después de una interrupción, y proporcionando un nivel de control sobre los cambios que potencialmente pueden alterar el soporte del activo a los servicios esenciales. - Establecer un procedimiento de gestión de configuración de sus activos tecnológicos.
Tabla 43. Ficha Métrica E-CC-OE1-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 62 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
E-CM-OE1-02
Meta
EVOLUCIONAR
Dominio Funcional
COMUNICACIÓN
Objetivo
Establecer mecanismos de comunicación, internos y externos a la organización. Se establecen mecanismos eficaces de comunicación externa en materia de ciberresiliencia (por ejemplo con clientes, proveedores, medios de comunicación, fuerzas del estado, servicios de emergencia, etc.).
Descripción Correlación
NIST SP 800-53 R4 [IR-7], [SA-9]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza comunicación con entidades externas en materia de ciberresiliencia. □ L1 - Se ha iniciado la comunicación con entidades externas en materia de ciberresiliencia. □ L2 - Se han establecido mecanismos de comunicación con entidades externas en materia de ciberresiliencia, pero no se han documentado. □ L3 - Se han documentado los mecanismos de comunicación con entidades externas en materia de ciberresiliencia, y se mantienen actualizados. □ L4 - Se gestiona, actualiza y verifica la comunicación con entidades externas en materia de ciberresiliencia. □ L5 - Se aplican acciones de mejora en la comunicación con entidades externas en materia de ciberresiliencia.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5.
Valores Indicador
positivos
Acciones correctivas
Valores tendentes a L5 implicarían que la organización establece mecanismos eficaces de comunicación externa de manera formal y regular (por ejemplo con clientes, proveedores, medios de comunicación, fuerzas del estado, servicios de emergencia, etc.). - Establecer mecanismos comunicación externa.
eficaces
de
Tabla 44. Ficha Métrica E-CM-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 63 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
E-CM-OE2-02
Meta
EVOLUCIONAR
Dominio Funcional
COMUNICACIÓN
Objetivo
Garantizar la disponibilidad de los medios de comunicación.
Descripción
Se mantiene una capacidad de comunicación aceptable en caso de interrupción de la provisión del servicio esencial. ISO/IEC 27001:2013 [A.11.2.3], [A.13.1.1] NIST SP 800-53 R4 CP-2(2)[2] , CP-8, SC-1 ENS [mp.com.9]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se realizan pruebas de las capacidades de comunicación. □ L1 - Se han iniciado las pruebas de las capacidades de comunicación. □ L2 - Se ha establecido un procedimiento para probar las capacidades de comunicación. □ L3 - Se ha documentado un procedimiento para probar las capacidades de comunicación, y se mantiene actualizado. □ L4 - Se gestiona, actualiza y verifica el procedimiento para probar las capacidades de comunicación. □ L5 - Se aplican acciones de mejora en el procedimiento para probar las capacidades de comunicación.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5
Valores positivos Indicador
Acciones correctivas
Valores tendentes a L5 significan que la organización prueban las capacidades de comunicación a utilizar en caso de interrupción de la operación normal de las funciones críticas que soportan los servicios esenciales para garantizar la disponibilidad de los medios de comunicación. - Establecer un procedimiento para probar las capacidades de comunicación a utilizar en caso de interrupción de la operación normal de las funciones críticas que soportan los servicios esenciales.
Tabla 45. Ficha Métrica E-CM-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 64 de 67 TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN Código
E-CM-OE3-02
Meta
EVOLUCIONAR
Dominio Funcional
COMUNICACIÓN
Objetivo
Comunicar la estrategia de continuidad a toda la organización.
Descripción
Se garantiza la comunicación de responsabilidades y autoridades dentro del plan de continuidad a todo el personal implicado. ISO/IEC 27001:2013 [A.17.1.3] NIST SP 800-53 R4 [CP-2(a)(3)], [CP-3] ENS [op.cont.2]
Correlación
CARACTERIZACIÓN
Escala
□ L0 - No se comunican las responsabilidades al personal implicado en los planes de continuidad. □ L1 - Se ha iniciado la comunicación de responsabilidades al personal implicado en los planes de continuidad. □ L2 - Se han establecido las responsabilidades al personal implicado en los planes de continuidad, pero no se han documentado. □ L3 - Se han documentado las responsabilidades al personal implicado en los planes de continuidad, y se mantienen actualizadas. □ L4 - Se gestionan, actualizan y verifican las responsabilidades al personal implicado en los planes de continuidad. □ L5 - Se aplican acciones de mejora en las responsabilidades al personal implicado en los planes de continuidad.
OBTENCIÓN Método de recogida
Manual CSO (Chief Security Officer) y/o CISO (Chief Information Security Officer)
Responsable ANÁLISIS Medida Objetivo
L5.
Valores positivos Indicador
Acciones correctivas
Valores tendentes a L5 implicarían que la organización garantiza la comunicación de responsabilidades y autoridades dentro del plan de continuidad a todo el personal implicado, tanto interno como proveedores implicados, con el objetivo de que conozca sus funciones y responsabilidades. - Establecer un procedimiento para la comunicación de responsabilidades y autoridades dentro del plan de continuidad a todo el personal implicado.
Tabla 46. Ficha Métrica E-CM-OE3-02 ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 65 de 67 TLP:WHITE
TLP:WHITE
4. REFERENCIAS [1] Gobierno de España, “ESTRATEGIA DE SEGURIDAD NACIONAL,” 2013. [Online]. Available: http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpd f.pdf. [2] Gobierno de España, “ESTRATEGIA NACIONAL DE CIBERSEGURIDAD,” 2013. [Online]. Available: http://www.dsn.gob.es/es/file/146/download?token=Kl839vHG.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 66 de 67 TLP:WHITE
TLP:WHITE
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Esquema Nacional de Seguridad Industrial
Página 67 de 67 TLP:WHITE
