Función: Proteger (PR)
PR.AA Gestión de identidades, autenticación y control de acceso
El acceso a los activos físicos y lógicos se limita a los usuarios, servicios y hardware autorizados y se gestiona de forma proporcional al riesgo evaluado de acceso no autorizado.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
PR.AA-01: La organización gestiona las identidades y credenciales de los usuarios, servicios y equipos autorizados. | Media | Alta | Alta | CA.5 Segregación de funciones en el acceso lógico.
CA.6 Gestión de accesos y permisos. |
PR.AA-02: Las identidades están comprobadas y vinculadas a credenciales basadas en el contexto de las interacciones. | Baja | Media | Media | CA.1 Gestión de identidades y credenciales. |
PR.AA-03: Los usuarios, servicios y hardware están autenticados. | Alta | Alta | Alta | CA.1 Gestión de identidades y credenciales.
OR.6 Establecer controles para proteger la información a la que se accede de forma remota. |
PR.AA-04: Las afirmaciones de identidad se protegen, transmiten y verifican. | Alta | Alta | Alta | CA.1 Gestión de identidades y credenciales. |
PR.AA-05: Los permisos de acceso, los derechos y las autorizaciones se definen en una política, se gestionan, se aplican y se revisan, e incorporan los principios de privilegio mínimo y separación de funciones. | Alta | Alta | Alta | CA.2 Revisar los privilegios de acceso lógico.
CA.6 Gestión de accesos y permisos. . OR.6 Establecer controles para proteger la información a la que se accede de forma remota.
PD.5 Principio de seguridad de los datos.
SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje. |
PR.AA-06: El acceso físico a los activos se gestiona, supervisa y aplica de forma proporcional al riesgo. | Baja | Media | Alta | SF.1 Implementar controles de acceso físico a las instalaciones y equipos ubicados en los centros de datos y áreas relacionadas SF.4 Seguridad del equipamiento |
PR.AT Concientización y capacitación
Se proporciona al personal de la organización concienciación y capacitación en ciberseguridad para que puedan realizar sus tareas relacionadas con la ciberseguridad.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
PR.AT-01: Se sensibiliza y capacita al personal para que disponga de los conocimientos y habilidades necesarios para realizar tareas generales teniendo en cuenta los riesgos de ciberseguridad. | Media | Alta | Alta | GH.2 Concientizar y formar en materia de seguridad de la información a todo el personal.
|
PR.AT-02: Se sensibiliza y capacita a las personas que desempeñan funciones especializadas para que posean los conocimientos y aptitudes necesarios para realizarlas tareas pertinentes teniendo en cuenta los riesgos de ciberseguridad. | Baja | Media | Media | GH.3 Concientizar y formar en materia de seguridad de la información al personal que desempeñan funciones especializadas. |
PR.DS Seguridad de datos
Los datos se gestionan de forma coherente con la estrategia de riesgos de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
PR.DS-01: La confidencialidad, la integridad y la disponibilidad de los datos en reposo están protegidas. | Media | Media | Alta | CA.3 Establecer controles criptográficos.
CA.4 Establecer los controles para el uso de firma electrónica.
GA.4 Gestionar los medios de almacenamiento externos.
PD.5 Principio de seguridad de los datos.
PD.6 Principio de reserva. |
PR.DS-02: La confidencialidad, la integridad y la disponibilidad de los datos en tránsito están protegidas. | Media | Media | Alta | CA.3 Establecer controles criptográficos.
CA.4 Establecer los controles para el uso de firma electrónica.
OR.6 Establecer controles para proteger la información a la que se accede de forma remota.
PD.5 Principio de seguridad de los datos.
PD.6 Principio de reserva.
SC.6 Establecer acuerdos de no divulgación.
SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje.
SC.14 Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización. |
PR.DS-10: La confidencialidad, la integridad y la disponibilidad de los datos en uso están protegidas
| Baja | Baja | Baja | GA.3 Pautar el uso aceptable de los activos.
OR.5 Pautar el uso de dispositivos móviles.
SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje. |
PR.DS-11: Se crean, protegen, mantienen y comprueban copias de seguridad de los datos. | Media | Media | Alta | CA.3 Establecer controles criptográficos.
SO.6 Respaldar la información y realizar pruebas de restauración periódicas. |
PR.PS Seguridad de plataformas
El hardware, el software (por ejemplo, firmware, sistemas operativos, aplicaciones) y los servicios de las plataformas físicas y virtuales se gestionan de acuerdo con la estrategia de riesgos de la organización para proteger su confidencialidad, integridad y disponibilidad.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
PR.PS-01: Se establecen y aplican prácticas de gestión de la configuración. | Baja | Media | Media | GA.3 Pautar el uso aceptable de los activos.
OR.5 Pautar el uso de dispositivos móviles.
SO.2 Gestionar formalmente los cambios.
|
PR.PS-02: Se mantiene, sustituye y elimina el software en función del riesgo. | Baja | Media | Media | GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable.
GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI. |
PR.PS-03: Se mantiene, sustituye y elimina el hardware en función del riesgo. | Baja | Media | Media | GA.5 Establecer los mecanismos para destruir la información y medios de almacenamiento.
GR.2 Realizar de manera sistemática el proceso de evaluación de riesgos del SGSI.
SF.5 Establecer el mantenimiento de los componentes críticos. |
PR.PS-04: Se generan registros y se pongan a disposición para una supervisión continua. | Media | Alta | Alta | SO.7 Registrar y monitorear los eventos de los sistemas. |
PR.PS-05: Se impide la instalación y la ejecución de software no autorizado. | Media | Media | Alta | SO.8 Gestionar la instalación de software. |
PR.PS-06: Se integran prácticas seguras de desarrollo de software y se supervisa su rendimiento durante todo el ciclo de vida de desarrollo del software. | Baja | Media | Media | AD.1 Incluir requisitos de seguridad de la información durante todo el ciclo de vida de los proyectos de desarrollo o adquisiciones de software.
OR.4 Abordar la seguridad de la información en la gestión de los proyectos.
SO.4 Definir entornos separados para desarrollo, pruebas y producción. |
PR.IR Resiliencia de la infraestructura tecnológica
Las arquitecturas de seguridad se gestionan con la estrategia de riesgos de la organización a fin de proteger la confidencialidad, la integridad y la disponibilidad de los activos, así como la resiliencia de la organización.
Subcategoría | Prioridad Básico | Prioridad Estándar | Prioridad Avanzado | Requisitos relacionados |
PR.IR-01: Las redes y los entornos están protegidos contra el acceso lógico y el uso no autorizados. | Alta | Alta | Alta | CA.6 Gestión de accesos y permisos.
OR.6 Establecer controles para proteger la información a la que se accede de forma remota.
SC.13 Debe existir segregación a nivel de servicios de información.
SO.4 Definir entornos separados para desarrollo, pruebas y producción. |
PR.IR-02: Los activos tecnológicos de la organización están protegidos de las amenazas del entorno. | Baja | Baja | Media | SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas. |
PR.IR-03: Se implementan mecanismos para lograr los requisitos de resiliencia en situaciones normales y adversas. | Baja | Baja | Baja | CO.1 Contar con componentes redundantes que contribuyan al normal funcionamiento del centro de procesamiento de datos.
CO.2 Los sistemas críticos de la infraestructura de telecomunicaciones, como el cableado, routers y switches (LAN, SAN, etc.), deben contar con redundancia. |
PR.IR-04: Se mantiene una capacidad de recursos adecuada para garantizar la disponibilidad. | Media | Media | Media | SO.3 Gestionar la capacidad de los servicios y recursos que se encuentran operativos. |