1. Objetivo de Gestión:
1.1. DSS04 Gestionar la Continuidad
1.1.1. Metas Empresariales
1.1.1.1. EG01
1.1.1.1.1. Portafolio de productos y servicios competitivos
1.1.1.2. EG02
1.1.1.2.1. Gestión de riesgo de negocio
1.1.1.3. EG06
1.1.1.3.1. Continuidad y disponibilidad del servicio del negocio
1.1.1.4. EG08
1.1.1.4.1. Optimización de la funcionalidad del proceso interno de negocio
1.1.2. Metas de Alineamiento
1.1.2.1. AG05
1.1.2.1.1. Prestación de servicios de I&T conforme a los requisitos de negocio
1.1.2.2. AG07
1.1.2.2.1. Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
1.2. DSS05 - Gestionar los Servicios de Seguridad
1.2.1. Metas Empresariales
1.2.1.1. EG02
1.2.1.1.1. Gestión de riesgo del negocio
1.2.1.2. EG06
1.2.1.2.1. Continuidad y disponibilidad del servicio del negocio
1.2.2. Metas de Alineamiento
1.2.2.1. AG02
1.2.2.1.1. Gestión de riesgo relacionado con I&T
1.2.2.2. AG07
1.2.2.2.1. Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
2. Componente
2.1. Proceso DSS04
2.1.1. DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance
2.1.1.1. Definir la política y alcance de la continuidad del negocio, alineado con los objetivos de la empresa y de las partes interesadas, para mejorar la resiliencia del negocio.
2.1.2. DSS04.02 Mantener la resiliencia del negocio
2.1.2.1. Evaluar las opciones de resiliencia del negocio y elegir una estrategia viable y rentable para asegurar la continuidad, la recuperación ante un desastre y la respuesta ante incidentes de la empresa ante un desastre u otro incidente o interrupción mayor
2.1.3. DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio.
2.1.3.1. Desarrollar un plan de continuidad del negocio (BCP) y un plan de recuperación de desastres (DRP) basados en la estrategia. Documentar todos los procedimientos necesarios para que la empresa continúe con sus actividades críticas en caso de incidente
2.1.4. DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP).
2.1.4.1. Probar la continuidad de forma periódica para ver el comportamiento de los planes contra resultados predeterminados, mantener la resiliencia del negocio y permitir que se desarrollen soluciones innovadoras.
2.1.5. DSS04.05 Revisar, mantener y mejorar los planes de continuidad.
2.1.5.1. Conducir una revisión periódica de la capacidad de continuidad para asegurar su idoneidad, lo adecuado y su efectividad.
2.1.6. DSS04.06 Realizar formación sobre el plan de continuidad.
2.1.6.1. Proporcionar sesiones periódicas de formación sobre los procedimientos y sus roles y responsabilidades en caso de interrupción a todas las partes internas y externas involucradas.
2.1.7. DSS04.07 Administrar los acuerdos de respaldo.
2.1.7.1. Mantener la disponibilidad de la información crítica para el negocio.
2.1.8. DSS04.08 Realizar revisiones post-reanudación.
2.1.8.1. Evaluar la idoneidad del plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP) tras la reanudación exitosa de los procesos y servicios del negocio después de una interrupción.
2.2. Proceso DSS05
2.2.1. DSS05.01 Proteger contra software malicioso
2.2.1.1. Implementar y mantener en toda la empresa medidas preventivas, detectivas y correctivas para proteger los sistemas de información y la tecnología del software malicioso.
2.2.2. DSS05.02 Gestionar la seguridad de la conectividad y de la red.
2.2.2.1. Usar medidas de seguridad y procedimientos de gestión relacionados para proteger la información a través de todos los métodos de conectividad
2.2.3. DSS05.03 Gestionar la seguridad de endpoint.
2.2.3.1. Garantizar que los dispositivos de punto final tengan una seguridad a un nivel igual o superior al de los requisitos de seguridad definidos para la información procesada, almacenada o transmitida.
2.2.4. DSS05.04: Gestionar la identidad del usuario y el acceso lógico.
2.2.4.1. Asegurarse de que todos los usuarios tienen derechos de acceso a la información de acuerdo con los requisitos del negocio. Coordinarse con las unidades del negocio que gestionan sus propios derechos de acceso en los procesos de negocio
2.2.5. DSS05.05 Gestionar el acceso físico a los activos de I&T.
2.2.5.1. Definir e implantar procedimientos para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas, de acuerdo con las necesidades del negocio. El acceso a las instalaciones, edificios y áreas debe estar justificado, autorizado, registrado y supervisado.
2.2.6. DSS05.06: Gestionar documentos sensibles y dispositivos de salida.
2.2.6.1. Establecer protecciones físicas apropiadas, prácticas contables y gestión de inventario relativa a activos sensibles de I&T, como formas especiales, instrumentos negociables, impresoras para fines especiales o tokens de seguridad.
2.2.7. DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.
2.2.7.1. Mediante el uso de un portafolio de herramientas y tecnologías, gestionar las vulnerabilidades y monitorizar la infraestructura para detectar accesos no autorizados.
2.3. Estructuras Organizativas DSS04
2.3.1. DSS04.01
2.3.1.1. Definir la política de continuidad del negocio, sus objetivos y alcance.
2.3.2. DSS04.02
2.3.2.1. Mantener la resiliencia del negocio.
2.3.3. DSS04.03
2.3.3.1. Desarrollar e implementar una respuesta de continuidad del negocio.
2.3.4. DSS04.04
2.3.4.1. Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP).
2.3.5. DSS04.05
2.3.5.1. Revisar, mantener y mejorar los planes de continuidad
2.3.6. DSS04.06
2.3.6.1. Realizar formación sobre el plan de continuidad
2.3.7. DSS04.07
2.3.7.1. Administrar los acuerdos de respaldo
2.3.8. DSS04.08
2.3.8.1. Realizar revisiones post-reanudación
2.4. Estructuras Organizativas DSS05
2.4.1. DSS05.01
2.4.1.1. Proteger contra software malicioso
2.4.2. DSS05.02
2.4.2.1. Gestionar la seguridad de la conectividad y de la red
2.4.3. DSS05.03
2.4.3.1. Gestionar la seguridad de endpoint.
2.4.4. DSS05.04
2.4.4.1. Gestionar la identidad del usuario y el acceso lógico.
2.4.5. DSS05.05
2.4.5.1. Gestionar el acceso físico a los activos de I&T.
2.4.6. DSS05.06
2.4.6.1. Gestionar documentos sensibles y dispositivos de salida.
2.4.7. DSS05.07
2.4.7.1. Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad.
2.5. Personas, habilidades y competencias DSS04
2.5.1. Gestión de la Continuidad
2.6. Personas, habilidades y competencias DSS05
2.6.1. Seguridad de la información
2.6.2. Gestión de seguridad de la información
2.6.3. Pruebas de penetración
2.6.4. Administración de seguridad
2.7. Políticas y procedimientos DSS04
2.7.1. Política de continuidad del negocio (BCP)
2.7.2. Política de gestión de crisis
2.8. Políticas y procedimientos DSS05
2.8.1. Política de seguridad de la información
2.9. Componente: Cultura, ética y comportamiento DSS04
2.9.1. Integrar la necesidad de resiliencia de negocio en la cultura empresarial. Informar de forma regular y frecuente a los empleados sobre los valores fundamentales, comportamientos deseados y objetivos estratégicos para conservar la compostura e imagen empresarial en cualquier situación.
2.10. Componente: Cultura, ética y comportamiento DSS05
2.10.1. Crear una cultura de concienciación con respecto a la responsabilidad del usuario de mantener prácticas de seguridad y de privacidad.
2.11. Servicios, infraestructuras y aplicaciones DSS04
2.11.1. Servicios externos de hosting
2.11.2. Herramientas de monitorización de incidentes
2.11.3. Servicios de instalaciones para almacenamiento remoto
2.12. Servicios, infraestructuras y aplicaciones DSS05
2.12.1. Servicios de directorio
2.12.2. Sistemas de filtrado de correo electrónico
2.12.3. Sistema de gestión de acceso e identidad
2.12.4. Servicios de concienciación sobre seguridad
2.12.5. Herramientas de seguridad de la información y de gestión de eventos
2.12.6. Servicios del centro de operaciones de seguridad
2.12.7. Servicios de evaluación de seguridad de terceros
2.12.8. Sistemas de filtrado de URL