1. Detectar: Desarrollo e implementación de actividades que identifiquen ocurrencia de un evento de ciberseguridad
1.1. Anomalías y Eventos (DE.AE) - Detección y comprensión
1.1.1. DE.AE-1: Base de referencia para operaciones de red y flujos de datos esperados en usuarios y sistemas
1.1.2. DE.AE-2: Eventos detectados con el fin de comprender métodos de ataque
1.1.3. DE.AE-3: Recopilación de datos de e múltiples fuentes y sensores
1.1.4. DE.AE-4: Eventos
1.1.5. DE.AE-5: Establecimiento de umbrales de alerta de eventos
1.2. Monitoreo Continuo de la Seguridad (DE.CM)
1.2.1. DE.CM-1: Red
1.2.2. DE.CM-2: Entorno físico
1.2.3. DE.CM-3: Actividad del personal
1.2.4. DE.CM-4: Código malicioso
1.2.5. DE.CM-5: Código móvil sin previa autorización
1.2.6. DE.CM-6: Actividad de proveedores
1.2.7. DE.CM-7: Personal (conexiones, dispositivos y software no autorizado), en todos los dispositivos vinculados con la compañía
1.2.8. DE.CM-8: Escaneo de vulnerabilidades
1.3. Procesos de Detección (DE.DP) - Se mantiene y aprueba
1.3.1. DE.DP-1: Roles y deberes de detección con el fin de asegurar la responsabilidades
1.3.2. DE.DP-2: Actividades de detección cumplen con requisitos aplicables
1.3.3. DE.DP-3: Procesos de detección
1.3.4. DE.DP-4: Comunicación de la información encontrada en detección de eventos
1.3.5. DE.DP-5: Mejora continua de procesos de detcción
2. RESPONDER
2.1. Planificación de la Respuesta (RS.RP): Los procesos y procedimientos de respuesta se ejecutan
2.1.1. RS.RP-1:Durante y después de un incidente.
2.2. Comunicaciones (RS.CO): Las actividades de respuesta se coordinan.
2.2.1. RS.CO-1: El personal conoce sus roles y el orden de las operaciones
2.2.2. RS.CO-2: Los incidentes se informan
2.2.3. RS.CO-3: La información se comparte segun los planes de respuesta.
2.2.4. RS.CO-4: La coordinación se realiza en consonancia con los planes de respuesta.
2.2.5. RS.CO-5: El intercambio voluntario de información se produce con las partes interesadas
2.3. Análisis (RS.AN):Se garantizar una respuesta eficaz de acuerdo con los planes de respuesta
2.3.1. RS.AN-1: Innvestidaciòn de notificaciones de los sistemas de detección.
2.3.2. RS.AN-2: Se comprende el impacto del incidente.
2.3.3. RS.AN-3: Se realizan análisis forenses.
2.3.4. RS.AN-4: Los incidentes se clasifican
2.3.5. RS.AN-5: Se establecen procesos para recibir, analizar y responder a las vulnerabilidades
2.4. Mitigación (RS.MI): Se realizan actividades para resolver el incidente.
2.4.1. RS.MI-1: Los incidentes son contenidos.
2.4.2. RS.MI-2: Los incidentes son mitigados.
2.4.3. RS.MI-3: Las vulnerabilidades son mitigadas y se documentan como riesgos.
2.5. Mejoras (RS.IM): Las actividades de respuesta se mejoran.
2.5.1. RS.IM-1: Los planes de respuesta incorporan las lecciones aprendidas.
2.5.2. RS.IM-2: Se actualizan las estrategias de respuesta.
3. RECUPERAR
3.1. Planificación de la recuperación (RC.RP):se ejecuta y se mantienen para asegurar la restauración de los activos afectados
3.1.1. RC.RP-1: El plan se ejecuta durante o después de un incidente
3.2. Mejoras (RC.IM):La planificación y los procesos de recuperación se mejoran
3.2.1. RC.IM-1: Se incorporan las lecciones aprendidas.
3.2.2. RC.IM-2: Se actualizan las estrategias
3.3. Comunicaciones (RC.CO):Las actividades de restauración se coordinan con partes internas y externas.
3.3.1. RC.CO-1: Se gestionan las relaciones públicas.
3.3.2. RC.CO-2: La reputación se repara después de un incidente.
3.3.3. RC.CO-3: Las actividades de recuperación se comunican
4. Identificar: Comprender el contexto organizacional
4.1. Gestión de activos (ID.AM) - Inventariar
4.1.1. ID.AM-1: Dispositivos y sistemas físicos
4.1.2. ID.AM-2: Plataformas y aplicaciones
4.1.3. ID.AM-3: Organigrama y flujos de datos
4.1.4. ID.AM-4: Sistemas de información externos
4.1.5. ID.AM-5: Hardware, dispositivos, datos, tiempo, personal y software
4.1.6. ID.AM-6: Responsabilidades de seguridad cibernética para toda la compañía
4.2. Entorno Empresarial (ID.BE) - Identificar en la organización
4.2.1. ID.BE-1: Función en la cadena de suministro
4.2.2. ID.BE-2: Lugar a nivel de seguridad y de industria
4.2.3. ID.BE-3: Prioridades ante misión y objetivos de actividades
4.2.4. ID.BE-4: Dependencias y funciones para entrega de servicios críticos
4.2.5. ID.BE-5: Requisitos de resilencia para entrega de servicios críticos en todos los estados operativos (en operación, durante un ataque y en recuperación)
4.3. Gobernancia (ID.GV) - Establece y comunica
4.3.1. ID.GV-1: Política de seguridad
4.3.2. ID.GV-2: Asociación de roles de seguridad con roles internos y socios externos (ejemplo empleados y proveedores)
4.3.3. ID.GV-3: Requisitos legales y regulatorios
4.3.4. ID.GV-4: Procesos de gobernanza y de gestión del riesgo
4.4. Evaluación de riesgos (ID.RA) - Identificar y documentar
4.4.1. ID.RA-1: Vulnerabilidades de activos
4.4.2. ID.RA-2: Inteligencia de amenazas cibernéticas
4.4.3. ID.RA-3: Amenazas tanto internas como externas
4.4.4. ID.RA-4: Impacto al negocio y probabilidad de ocurrencia
4.4.5. ID.RA-5: Vulnerabilidad y probabilidades e impactos ante posibles amenazas
4.4.6. ID.RA-6: Priorización de respuestas al riesgo
4.5. Estrategia de Gestión de Riesgos (ID.RM) - Establece
4.5.1. ID.RM-1: Acuerdos de los proceso de gestión de riesgo
4.5.2. ID.RM-2: Tolerancia al riesgo
4.5.3. ID.RM-3: Rol en la infraestructura crítica y análisis del riesgo específico del sector
4.6. Gestión de Riesgos de la Cadena de Suministro (ID.SC) - Identificar, establecer, evaluar, gestionar y acordar
4.6.1. ID.SC-1: Los procesos de gestión del riesgo de cadena de suministro
4.6.2. ID.SC-2: Prioridad de los proveedores y socios externos
4.6.3. ID.SC-3: Los contratos con proveedores y socios externos para asegurar cumplimiento de lineamientos de seguridad
4.6.4. ID.SC-4: Evaluación de externos periódicamente comprobando cumplimiento de lineamientos de seguridad
4.6.5. ID.SC-5: Pruebas y plan recuperación con proveedores
5. PROTEGER
5.1. Gestión de identidad, autenticación y control de acceso (PR.AC): autorización de usuarios, grupos y dispositivos de las instalaciones.
5.1.1. PR.AC-1: Administracion de identidades, permisos y credenciales
5.1.2. PR.AC-2: el acceso físico a los activos.
5.1.3. PR.AC-3:El acceso remoto
5.1.4. PR.AC-4:Gestion de los permisos
5.1.5. PR.AC-5: Se protege la integridad de la red
5.1.6. PR.AC-6: Garantizar que las identidades son verificadas para administrar credenciales
5.1.7. PR.AC-7: Se autentican los usuarios y activos segun los riesgos de transacción
5.2. Concienciación y capacitación (PR.AT): El personal recibe educación sobre seguridad cibernética, comprenden sus roles y responsabilidades.
5.2.1. PR.AT-1: los usuarios
5.2.2. PR.AT-2: Los usuarios privilegiados
5.2.3. PR.AT-3: Los terceros interesados
5.2.4. PR.AT-4: Los ejecutivos
5.2.5. PR.AT-5: El personal de seguridad física y cibernética
5.3. Seguridad de los datos (PR.DS): los datos se gestionan de acuerdo a las estrategias de riesgos establecidas y son protegidos.
5.3.1. PR.DS-1: Los datos en reposo
5.3.2. PR.DS-2: Los datos en tránsito
5.3.3. PR.DS-3: Los activos se gestionan formalmente durante la eliminación, las transferencias y la disposición.
5.3.4. PR.DS-4: Se mantiene una capacidad adecuada para asegurar la disponibilidad.
5.3.5. PR.DS-5: Protecciones contra las filtraciones de datos
5.3.6. PR.DS-6: Comprobación para la integridad de la información.
5.3.7. PR.DS-7: Los entornos de desarrollo y pruebas están separados del entorno de producción.
5.3.8. PR.DS-8: Verificacion de la integridad del hardware.
5.4. Procesos y procedimientos de protección de la información (PR.IP): se mantiene politicas de seguridad para gestionar la proteccion de los sistemas y activos de informacion
5.4.1. PR.IP-1: consfiguración de base de los sistemas de control y de tecnología.
5.4.2. PR.IP-2: implementacion de el ciclo de vida de desarrollo del sistema
5.4.3. PR.IP-3: Se establece procesos de control de cambio de la configuración
5.4.4. PR.IP-4: administracion de copias de seguridad de la información
5.4.5. PR.IP-5: Cumplimiento de regulaciones y la política con respecto al entorno operativo físico
5.4.6. PR.IP-6: Los datos son eliminados de acuerdo con las políticas.
5.4.7. PR.IP-7: Se mejoran los procesos de protección.
5.4.8. PR.IP-8: Se comparte la efectividad de las tecnologías de protección.
5.4.9. PR.IP-9: Gestion de planes de respuesta y planes de recuperación si llega a ver Incidentes
5.4.10. PR.IP-10: pruebas de planes de respuesta y recuperación.
5.4.11. PR.IP-11: La seguridad cibernética esta incluida en las practicas de recursos humanos
5.4.12. PR.IP-12: Se desarrolla y se implementa un plan de gestión de las vulnerabilidades.
5.5. Mantenimiento (PR.MA): Se realizan de acuerdo con las políticas establecidas
5.5.1. PR.MA-1: administracion de el mantenimiento y la reparación de los activos
5.5.2. PR.MA-2: El mantenimiento remoto de los activos se aprueba
5.6. Tecnología de protección (PR.PT): se gestionan para garantizar la seguridad y la capacidad de recuperación de los sistemas
5.6.1. PR.PT-1: Los registros de auditoría se realizan y se revisan en conformidad con la política.
5.6.2. PR.PT-2: Los medios extraíbles están protegidos segun la politica.