Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• OR.7-1: se han identificado los servicios críticos para la organización.
• OR.7-2: se han identificado los proveedores y/o otras partes interesadas críticas para la organización. 

Nivel 2 

• OR.7-3: se cuenta con un mapeo de procesos.
• OR.7-4: se realiza un análisis del contexto interno y externo (por ej, análisis FODA u otro equivalente), considerando factores relevantes que puedan impactar en la seguridad de la información.

Nivel 3

• OR.7-5: se cuenta con un mapeo de dependencias entre servicios, procesos y proveedores críticos. 

Nivel 4

• OR.7-6: se realizan revisiones periódicas y sistemáticas del contexto de la organización, considerando cambios internos, externos, regulatorios y tecnológicos. 

Identificación de servicios críticos y partes interesadas

La organización debe identificar y documentar los servicios críticos necesarios para el cumplimiento de sus objetivos estratégicos y operativos. Asimismo, se deben identificar y registrar los proveedores y demás partes interesadas críticas que impactan directa o indirectamente en dichos servicios. Esta información debe mantenerse actualizada y disponible para la gestión de riesgos y la planificación de la continuidad de negocio.

Mapeo de procesos y análisis de contexto

Se debe contar con un mapeo documentado de los procesos organizacionales que permita visualizar las principales actividades, sus responsables y la relación con los servicios críticos. A su vez, la organización debe realizar un análisis del contexto interno y externo que incluya factores políticos, económicos, sociales, tecnológicos, legales y ambientales que puedan afectar a la seguridad de la información. Herramientas como el análisis FODA, o metodologías equivalentes, pueden ser utilizadas para este fin.

Mapeo de dependencias

Es necesario identificar y documentar las dependencias entre servicios, procesos y proveedores críticos, con el objetivo de reconocer posibles puntos únicos de falla que puedan comprometer la operación de la organización. Este mapeo debe ser utilizado como insumo para el análisis de riesgos y para el diseño de estrategias de resiliencia.

Revisión periódica y actualización

La organización debe realizar revisiones periódicas y sistemáticas de su contexto, considerando tanto cambios internos (procesos, estructura, servicios) como externos (regulatorios, tecnológicos, de mercado o de seguridad). Estas revisiones deben documentarse y reflejarse en la actualización de los mapeos, análisis y dependencias, asegurando que la información se mantenga vigente y relevante para la toma de decisiones. 

• Documentación que identifique los servicios críticos de la organización (listados, informes, planes estratégicos u operativos).
• Registro actualizado de proveedores y partes interesadas críticas.
• Informe de análisis del contexto interno y externo (por ejemplo, FODA, PESTEL o equivalente), con fecha de elaboración y responsables.
• Documentación del mapeo de dependencias entre procesos, servicios y proveedores, incluyendo identificación de posibles puntos únicos de falla.