Función: Identificar (ID)
ID.AM Gestión de activos
Los activos (por ejemplo, datos, hardware, software, sistemas, instalaciones, servicios, personas) que permiten a la organización alcanzar sus objetivos empresariales se identifican y gestionan de acuerdo con su importancia relativa para los objetivos organizativos y la estrategia de riesgos de la organización
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
ID.AM-01: Se mantienen inventarios del hardware gestionado por la organización. | Media | Media | Media | GA.4 Gestionar los medios de almacenamiento externos. OR.5 Pautar el uso de dispositivos móviles. |
ID.AM-02: Se mantienen inventarios de software, servicios y sistemas gestionados por la organización | Alta
| Alta
| Alta
| CN.4 Gestionar las licencias de software.
GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable.
SC.15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF). |
ID.AM-03: Se mantienen representaciones de la comunicación de red autorizada de la organización y de los flujos de datos de red internos y externos. | Baja | Baja | Baja | SC.13 Debe existir segregación a nivel de servicios de información. |
ID.AM-04: Se mantienen inventarios de los servicios prestados por los proveedores. | Baja | Media | Alta | RP.1 Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos. |
ID.AM-05: Se priorizan los activos en función de su clasificación, criticidad, recursos e impacto en la misión. | Baja | Baja | Baja | GA.2 Clasificar y proteger la información de acuerdo a la normativa y a los criterios de valoración definidos.
GA.3 Pautar el uso aceptable de los activos. |
ID.AM-07: Se mantienen inventarios de datos y los metadatos correspondientes para los tipos de datos designados. | Baja | Baja | Baja | GA.2 Clasificar y proteger la información de acuerdo a la normativa y a los criterios de valoración definidos. |
ID.AM-08: Los sistemas, el hardware, el software, los servicios y los datos se gestionan durante todo su ciclo de vida. | Baja | Media | Media | GA.5 Establecer los mecanismos para destruir la información y medios de almacenamiento.
PD.3 Principio de Finalidad. |
ID.RA. Evaluación de riesgos
La organización comprende el riesgo de ciberseguridad para la organización, los activos y los individuos
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
ID.RA-01: Se identifican, validan y registran las vulnerabilidades de los activos. | Media | Alta | Alta | CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.
SO.1 Gestionar las vulnerabilidades técnicas. |
ID.RA-02: Se recibe información sobre ciberamenazas de foros y fuentes de intercambio de información. | Baja | Baja | Media | GR.4 Inteligencia de amenazas. |
ID.RA-03: Se identifican y registran las amenazas internas y externas a la organización. | Baja | Media | Media | GR.4 Inteligencia de amenazas. |
ID.RA-04: Se identifican y registran los impactos potenciales y las probabilidades de que las amenazas exploten las vulnerabilidades. | Baja | Media | Media | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
GR.4 Inteligencia de amenazas. |
ID.RA-05: Las amenazas, las vulnerabilidades, las probabilidades y los impactos se utilizan para comprender el riesgo inherente e informar sobre la priorización de la respuesta al riesgo. | Baja | Media | Media | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes.
GR.4 Inteligencia de amenazas. |
ID.RA-06: Se eligen, priorizan, planifican, controlan y comunican las respuestas al riesgo. | Baja | Baja | Media | GR.3 Tratamiento o un plan de acción correctivo sobre los riesgos encontrados y, de acuerdo a su resultado, implementar las acciones correctivas y preventivas correspondientes. |
ID.RA-07: Se gestionan los cambios y las excepciones, se evalúa su impacto en el riesgo, se registran y se realiza su seguimiento. | Baja | Media | Media | GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
SO.2 Gestionar formalmente los cambios. |
ID.RA-08: Se establecen procesos para recibir, analizar y responder a las divulgaciones de vulnerabilidades. | Media | Alta | Alta | SO.1 Gestionar las vulnerabilidades técnicas. |
ID.RA-09: Se evalúa la autenticidad e integridad del hardware y software antes de su adquisición y uso. | Baja | Baja | Media | SF.4 Seguridad del equipamiento. |
ID.RA-10: Se evalúan los proveedores críticos antes de su adquisición. | Baja | Media | Media | AD.2 Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología.
RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios. |
ID.IM Mejora
Se identifican mejoras en los procesos, procedimientos y actividades de gestión de riesgos de ciberseguridad de la organización en todas las funciones del Marco.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
ID.IM-01: Las mejoras se identifican a partir de evaluaciones. | Baja | Baja | Baja | CN.2 Realizar auditorías independientes de seguridad de la información.
PD.7 Principio de responsabilidad proactiva. |
ID.IM-02: Las mejoras se identifican a partir de pruebas y ejercicios de seguridad, lo que incluye a los realizados en coordinación con proveedores y terceros pertinentes. | Baja | Baja | Baja | CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.
GI.6 Establecer los mecanismos que le permitan a la organización aprender de los incidentes ocurridos. |
ID.IM-03: Las mejoras se identifican a partir de la ejecución de procesos, procedimientos y actividades operativos. | Baja | Baja | Baja | CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.
GI.6 Establecer los mecanismos que le permitan a la organización aprender de los incidentes ocurridos. |
ID.IM-04: Se establecen, comunican, mantienen y mejoran los planes de respuesta a incidentes y otros planes de ciberseguridad que afectan a las operaciones. | Baja | Baja | Baja | CN.3 Revisar regularmente los sistemas de información mediante pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades.
GI.6 Establecer los mecanismos que le permitan a la organización aprender de los incidentes ocurridos. |