Función: Gobernar (GV)
GV.OC Contexto organizativo
Se comprenden las circunstancias (misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales) que afectan a las decisiones de gestión de riesgos de ciberseguridad de la organización.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.OC-01. Se comprende la misión de la organización y se informa sobre la gestión de riesgos de ciberseguridad. | PL.1-1: Están establecidos los objetivos anuales de seguridad de la información. PL.1-2: Están definidas las acciones para lograr el cumplimiento de los objetivos.
| PL.1-3: Los objetivos forman parte de un plan de acción de seguridad de la información. PL.1-4: Los objetivos están documentados y aprobados por el CSI. | PL.1-5: Los objetivos anuales de seguridad de la información son difundidos al personal y partes interesadas. PL.1-6: El plan de acción para cumplir con los objetivos se desarrolla y ejecuta de manera coordinada con los distintos actores de la organización. PL.1-7: Se definen indicadores para el seguimiento del cumplimiento de los objetivos. | PL.1-8: Los objetivos se traducen en proyectos o iniciativas de seguridad de la información. PL.1-9: Se revisa periódicamente el cumplimiento de los objetivos y el avance del plan de acción. |
GV.OC-02. Las partes interesadas internas y externas son comprendidas, y sus necesidades y expectativas con respecto a la gestión de riesgos de ciberseguridad son comprendidas y consideradas. | GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia.
| GR.2-3: Se cuenta con un inventario de riesgos de seguridad de la información que incluye riesgos asociados a todos los activos de información. | GR.2-5: Se incorporan riesgos vinculados a la cadena de suministro. | GR.2-7: Debe revisarse periódicamente la tolerancia al riesgo establecida, y modificarse ante cambios normativos, tecnológicos o necesidades del negocio. |
GV.OC-03 Se comprenden y gestionan los requisitos legales, normativos y contractuales relativos a la ciberseguridad, incluidas las obligaciones en materia de privacidad y libertades civiles. | CN.1-1: Se identifican los requisitos normativos relacionados a seguridad de la información y ciberseguridad, protección de datos personales, acceso a la información pública, propiedad intelectual, y otras obligaciones legales, contractuales o políticas que resulten exigibles para la organización. PD.1-1: Se lleva un inventario actualizado de bases de datos personales, incluyendo responsables, categoría de datos y sistemas que las soportan. PD.1-2: Todas las bases de datos que contienen datos personales están registradas ante la URCDP. PD.2-1: Se cuenta con mecanismos para recibir solicitudes expresas de los titulares de corrección manual de datos personales. PD.2-2: La organización establece qué datos personales son necesarios para cada trámite o servicio, y limita su recolección únicamente a esa información. PD.4-1: Cuando corresponde, se incluye una cláusula de consentimiento libre, previa e informada en los medios utilizados para recabar los datos personales (formularios, grabaciones, sitios web, etc.). PD.4-2: Se conservan registros que evidencien el consentimiento otorgado por los titulares, siempre que sea exigido por la normativa. PD.8-1: Se reciben y atienden las solicitudes relacionadas con los derechos sobre datos personales de los usuarios. PD.8-2: Se han gestionado respuestas a solicitudes de titulares dentro del plazo legal.
| CN.1-2: El delegado de protección de datos personales trabaja de manera coordinada con el RSI y/o CSI. PD.1-3: Se cuenta con un estudio de la normativa vigente que debe cumplir cada base de datos registrada. PD.2-3: Se lleva un registro documentado de todas las solicitudes recibidas por parte de los titulares de datos personales, relativas a la actualización, eliminación o rectificación de sus datos, incluyendo el plazo en que cada solicitud fue atendida. PD.2-4: Cuando el titular de los datos personales se encuentra presente, se procede a validar la exactitud de los datos y, en caso de corresponder, se actualizan los datos en los sistemas correspondientes en ese mismo momento. PD.4-3: Se verifica, previo al tratamiento de datos personales, si el consentimiento del titular es requerido según lo establecido por la normativa vigente. PD.4-4: Los mecanismos que requieren consentimiento informado garantizan que la opción de aceptar o rechazar esté claramente visible y no preseleccionada. PD.4-5: Cuando el tratamiento se basa en el consentimiento, se han definido mecanismos que permiten a los titulares revocar el consentimiento otorgado en cualquier momento, sin afectar la licitud del tratamiento previo. PD.8-3: Se encuentra asignado personal encargado de recibir, procesar y responder las solicitudes vinculadas a los derechos de los titulares. PD.8-4: Las solicitudes y su tratamiento son registrados.
| CN.1-3: Se han definido procedimientos para incorporar nuevos requisitos legales o normativos cuando sean publicados. CN.1-4: El resultado es comunicado al RSI y/o al CSI. PD.1-4: Se realizan revisiones periódicas del cumplimiento legal del tratamiento de datos personales en los sistemas y procesos de la organización. PD.1-5: Se implementan medidas correctivas cuando se detectan incumplimientos en materia de legalidad del tratamiento de datos. PD.2-5: Los sistemas implementan funcionalidades que requieren a los usuarios la revisión y validación periódica de sus datos personales, con el objetivo de identificar y corregir información inexacta o desactualizada. PD.2-6: Los sistemas que gestionan datos personales registran las modificaciones realizadas, incluyendo la fecha del cambio y la identidad del usuario que lo efectuó. PD.4-6: Existen procedimientos documentados que establecen cómo identificar los casos en los que se requiere consentimiento, y cómo obtener, registrar y conservarlo de manera adecuada. PD.4-7: Los mecanismos para ejercer la revocación del consentimiento están disponibles públicamente y son fácilmente accesibles. PD.8-5: Existe un procedimiento formal de gestión de las solicitudes de derechos de los titulares que contempla todos los derechos mencionados en la normativa (Información, Acceso, Actualización y Rectificación, Inclusión, Supresión, Impugnación de Valoraciones Personales) PD.8-6: Se encuentra definido un procedimiento para verificar la identidad del solicitante del derecho. PD.8-7: Los procedimientos para ejercer los derechos son difundidos a los titulares de los datos, el personal y terceras partes interesadas. | CN.1-5: Se realizan auditorías internas para verificar el cumplimiento. CN.1-6: Los resultados de las revisiones se utilizan para la mejora continua y apoyan a la toma de decisiones. PD.1-6: Se ha integrado la revisión del cumplimiento legal del tratamiento de datos personales dentro del proceso de auditoría interna. PD.4-8: Se ha incorporado la verificación del consentimiento informado como parte de las auditorías internas periódicas. PD.4-9: Se revisan y actualizan periódicamente los textos, formularios y canales utilizados para recabar el consentimiento informado. PD.8-8: Se definen indicadores sobre el procedimiento de gestión de solicitudes de derechos. PD.8-9: Se revisa periódicamente el procedimiento de gestión de solicitudes de derechos, se registran los desvíos o puntos de mejora. PD.8-10: Se implementan las mejoras al procedimiento de gestión de solicitudes de derechos en base a las revisiones periódicas.
|
GV.OC-04. Se comprenden y comunican los objetivos, las capacidades y los servicios críticos de los que dependen las partes interesadas externas o que esperan de la organización. | CO.5-1: Está designado un responsable o equipo para la identificación de métricas de recuperación para procesos críticos. SO.3-1: La capacidad actual instalada es suficiente para garantizar la prestación de los servicios críticos. | CO.5-2: Se han definido formalmente las ventanas de tiempo máximo soportadas por el negocio sin poder operar (MTD), para cada sistema que soporte un proceso crítico. CO.5-3: Se ha determinado el RTO (Recovery Time Objective) para cada sistema que soporte un proceso crítico. CO.5-4: Se ha definido el RPO (Recovery Point Objective) para cada sistema que soporte un proceso crítico. | CO.5-5: Las métricas MTD, RTO y RPO han sido utilizadas para identificar brechas entre los tiempos actualmente alcanzables y los requerimientos definidos. CO.5-6: Las métricas definidas han sido incorporadas como insumo obligatorio en el diseño, pruebas y evaluación de los planes de continuidad. CO.5-7: Las métricas son revisadas periódicamente y actualizadas ante cambios en procesos o tecnologías. SO.3-5: Está establecido el proceso de gestión de la capacidad. SO.3-6: Los roles y responsabilidades asociados al proceso de gestión de la capacidad están definidos y documentados. | CO.5-8: Los resultados de las pruebas de continuidad son comparados contra las métricas definidas y se documentan desviaciones con planes de mejora asociados. CO.5-9: Las métricas son utilizadas como insumo en análisis costo-beneficio para priorizar inversiones en infraestructura, redundancia o automatización de recuperación. |
GV.OC-05. Se comprenden y comunican los resultados, capacidades y servicios de los que depende la organización. | OR.7-1: Se han identificado los servicios críticos para la organización. OR.7-2: Se han identificado los proveedores y/o otras partes interesadas críticas para la organización. | OR.7-3: Se cuenta con un mapeo de procesos. OR.7-4: Se cuenta con un análisis FODA. | OR.7-5: Se cuenta con un mapeo de dependencias de servicios. | OR.7-6: Se realizan revisiones periódicas del contexto de la organización. |
GV.RM Estrategia de gestión de riesgos
Se establecen, comunican y utilizan las prioridades, las restricciones, las declaraciones de tolerancia y apetito por el riesgo y los supuestos de la organización para respaldar las decisiones sobre el riesgo operativo.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.RM-01. Los objetivos de la gestión de riesgos son establecidos y acordados por las partes interesadas de la organización. | PL.1-1: Están establecidos los objetivos anuales de seguridad de la información.
| PL.1-3: Los objetivos forman parte de un plan de acción de seguridad de la información. | PL.1-5: Los objetivos anuales de seguridad de la información son difundidos al personal y partes interesadas. PL.1-6: El plan de acción para cumplir con los objetivos se desarrolla y ejecuta de manera coordinada con los distintos actores de la organización. PL.1-7: Se definen indicadores para el seguimiento del cumplimiento de los objetivos. | PL.1-9: Se revisa periódicamente el cumplimiento de los objetivos y el avance del plan de acción. |
GV.RM-02. Se establecen, se comunican y se mantienen las declaraciones sobre el apetito de riesgo y la tolerancia al riesgo. | GR.3-1: Se toman acciones ad-hoc con el objetivo de llevar los principales riesgos de seguridad de la información a niveles aceptables para la organización. | CO.5-2: Se han definido formalmente las ventanas de tiempo máximo soportadas por el negocio sin poder operar (MTD), para cada sistema que soporte un proceso crítico. CO.5-3: Se ha determinado el RTO (Recovery Time Objective) para cada sistema que soporte un proceso crítico. CO.5-4: Se ha definido el RPO (Recovery Point Objective) para cada sistema que soporte un proceso crítico. | GR.2-4: El apetito de riesgo y la tolerancia al riesgo se ha definido formalmente por el negocio. | GR.2-7: Debe revisarse periódicamente la tolerancia al riesgo establecida, y modificarse ante cambios normativos, tecnológicos o necesidades del negocio. |
GV.RM-03. Las actividades y los resultados de la gestión de riesgos de ciberseguridad se incluyen en los procesos de gestión de riesgos de la empresa. | GR.1-1: Existe un proceso para la gestión de riesgos de seguridad de la información. | GR.1-2: Se cuenta con una metodología de evaluación de riesgos de seguridad de la información definida y documentada. | GR.1-3: Existe una política aprobada de gestión de riesgos de seguridad de la información. | GR.1-5: La metodología de evaluación de riesgos es revisada periódicamente y ajustada en función de los resultados obtenidos, los cambios en el contexto organizacional o normativo, y las oportunidades de mejora identificadas en su aplicación. |
GV.RM-04. Se establece y comunica una dirección estratégica que describa las opciones adecuadas de respuesta al riesgo. | GR.3-1: Se toman acciones ad-hoc con el objetivo de llevar los principales riesgos de seguridad de la información a niveles aceptables para la organización. | GR.3-2: Se elaboran planes de tratamiento para los riesgos de seguridad de la información que excedan los niveles de tolerancia definidos por la organización. | GR.3-4: Los planes de tratamiento son revisados y validados por los responsables de ejecutarlos antes de su ejecución. | GR.3-9: La revisión se documenta formalmente y es comunicada al CSI y a las otras partes interesadas. |
GV.RM-05. Se establecen líneas de comunicación en toda la organización para los riesgos de ciberseguridad, lo que incluye a los riesgos de proveedores y otros terceros. | GR.1-1: Existe un proceso para la gestión de riesgos de seguridad de la información que abarca los componentes del centro de datos y servicios críticos de forma independiente. | GI.4-4: Los registros de incidentes permiten trazabilidad completa de su evolución, desde la detección hasta el cierre. | GR.1-3: Existe una política aprobada de gestión de riesgos de seguridad de la información. | GR.1-5: La metodología de evaluación de riesgos es revisada periódicamente y ajustada en función de los resultados obtenidos, los cambios en el contexto organizacional o normativo, y las oportunidades de mejora identificadas en su aplicación. |
GV.RM-06. Se establece y comunica un método estandarizado para calcular, documentar, categorizar y priorizar los riesgos de ciberseguridad. | GR.1-1: Existe un proceso para la gestión de riesgos de seguridad de la información que abarca los componentes del centro de datos y servicios críticos de forma independiente. | GR.1-2: Se cuenta con una metodología de evaluación de riesgos de seguridad de la información definida y documentada. | GR.1-3: Existe una política aprobada de gestión de riesgos de seguridad de la información. | GR.1-5: La metodología de evaluación de riesgos es revisada periódicamente y ajustada en función de los resultados obtenidos, los cambios en el contexto organizacional o normativo, y las oportunidades de mejora identificadas en su aplicación. |
GV.RM-07. Se caracterizan las oportunidades estratégicas (es decir, los riesgos positivos) y se incluyen en las discusiones sobre riesgos de ciberseguridad de la organización. | GR.1-1: Existe un proceso para la gestión de riesgos de seguridad de la información que abarca los componentes del centro de datos y servicios críticos de forma independiente. | GR.1-2: Se cuenta con una metodología de evaluación de riesgos de seguridad de la información definida y documentada. | GR.1-3: Existe una política aprobada de gestión de riesgos de seguridad de la información. | GR.1-5: La metodología de evaluación de riesgos es revisada periódicamente y ajustada en función de los resultados obtenidos, los cambios en el contexto organizacional o normativo, y las oportunidades de mejora identificadas en su aplicación. |
GV.RR Funciones, responsabilidad y autoridades
Se establecen y comunican las funciones, las responsabilidades y las competencias en materia de ciberseguridad para fomentar la rendición de cuentas, la evaluación del desempeño y la mejora continua.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.RR-01. El liderazgo organizativo es responsable de los riesgos de ciberseguridad y fomenta una cultura consciente de los riesgos, ética y de mejora continua. | PS.1-2: La política es difundida a todo el personal y partes interesadas relevantes.
| PS.1-4: La política se encuentra disponible en un sitio accesible.
| PS.1-6: Los resultados de las revisiones de la política son documentados y comunicado al CSI. PS.1-7: Ante modificaciones la política es difundida nuevamente. OR.2-5: El CSI participa en la definición de niveles aceptables de riesgo y en la aprobación del plan de tratamiento de riesgos. | PS.1-8: La política es revisada periódicamente. OR.2-8: El CSI revisa los indicadores asociados a los planes anuales de mejora de seguridad de la información. |
GV.RR-02. Se establecen, comunican, comprenden y aplican las funciones, responsabilidades y autoridades relacionadas con la gestión de riesgos de ciberseguridad. | OR.1-1: Existe una persona que cumple el rol de RSI. OR.1-2: El RSI coordina actividades de seguridad de la información. OR.3-1: Está designado un punto de contacto oficial para incidentes de ciberseguridad. OR.3-2: Se han identificado los contactos de autoridades ante aspectos de ciberseguridad. | OR.1-3: Está designado formalmente el RSI. OR.1-4: Las responsabilidades del RSI están documentadas e incluyen: la gestión de seguridad de la información, gestión de incidentes, gestión de riesgos de seguridad, entre otras. OR.3-3: El punto de contacto oficial es conocido por todo el personal.
| OR.1-5: El RSI coordina la evaluación de riesgos junto con los responsables de los activos o designa referentes delegados. OR.3-4: Los contactos con las autoridades, CSIRT y otros actores externos relevantes están documentados. | OR.1-7: El RSI elabora y presenta planes anuales de mejora de seguridad, incluyendo indicadores. OR.1-8: El RSI elabora y presenta planes anuales de mejora de seguridad, incluyendo indicadores. OR.3-5: Se revisan y actualizan periódicamente los contactos. |
GV.RR-03. Se asignan recursos adecuados de acuerdo con la estrategia de riesgos de ciberseguridad, las funciones, las responsabilidades y las políticas. | GR.3-1: Se toman acciones ad-hoc con el objetivo de llevar los principales riesgos de seguridad de la información a niveles aceptables para la organización. | GR.3-2: Se elaboran planes de tratamiento para los riesgos de seguridad de la información que excedan los niveles de tolerancia definidos por la organización. | GR.3-4: Los planes de tratamiento son revisados y validados por los responsables de ejecutarlos antes de su ejecución. | GR.3-9: Los planes de tratamiento de los riesgos se revisan periódicamente y se actualizan si es necesario. |
GV.RR-04. La ciberseguridad se incluye en las prácticas de recursos humanos. | GH.1-1: Las condiciones laborales del personal, ya sea mediante contrato, estatuto o normativa interna, incluyen cláusulas o disposiciones que establecen sus responsabilidades en materia de seguridad de la información. | GH.1-2: Las responsabilidades del personal respecto a la seguridad de la información están documentadas. PD.6-2: Están definidos y documentados los roles autorizados a acceder a datos personales y las finalidades permitidas para su uso. PD.6-3: Los contratos, reglamentos o políticas internas contemplan sanciones explícitas ante el uso o divulgación indebida de datos personales. PD.6-4: El personal autorizado a tratar datos personales está sujeto a compromisos de confidencialidad, los cuales pueden formalizarse mediante cláusulas en contratos, reglamentos internos, políticas institucionales o documentos específicos firmados, según corresponda al vínculo con la organización. | GH.1-4: Existe un procedimiento documentado para la desvinculación del personal que contempla la revocación de accesos físicos y lógicos, y la devolución de activos. PD.6-5: Están definidas y documentadas qué conductas constituyen violaciones al principio de reserva. PD.6-6: Existe un procedimiento formalizado para investigar violaciones al principio de reserva.
| GH.1-6: Los documentos contractuales o reglamentarios relacionados con la incorporación y desvinculación del personal se revisan periódicamente para asegurar su vigencia y adecuación. |
GV.PO Política
La política de ciberseguridad de la organización es establecida, comunicada y aplicada.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.PO-01. La política de gestión de riesgos de ciberseguridad se establece en base al contexto organizativo, la estrategia de ciberseguridad y las prioridades, y es comunicada y aplicada. | PS.1-1: Existe una política de seguridad aprobada por la Dirección. | PS.1-3: La política define los responsables de su cumplimiento. | PS.1-5: La política es revisada ante cambios significativos de índole normativo o del contexto de la organización. | PS.1-9: La política cuenta con indicadores definidos para su evaluación. |
GV.PO-02. La política de gestión de riesgos de ciberseguridad se revisa, actualiza, comunica y aplica para reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión de la organización. | PS.1-2: La política es difundida a todo el personal y partes interesadas relevantes. | PS.1-4: La política se encuentra disponible en un sitio accesible. | PS.1-6: Los resultados de las revisiones de la política son documentados y comunicado al CSI. | PS.1-8: La política es revisada periódicamente. |
GV.OV Supervisión
Los resultados de las actividades de gestión de riesgos de ciberseguridad en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.OV -01. Los resultados de la estrategia de gestión de riesgos de ciberseguridad se revisan para informar y ajustar la estrategia y la dirección. | N/A | N/A | N/A | N/A |
GV.OV -02. La estrategia de gestión de riesgos de ciberseguridad se revisa y ajusta para garantizar la cobertura de los requisitos y riesgos de la organización | N/A | N/A | N/A | N/A |
GV.OV -03. El rendimiento de la gestión de riesgos de ciberseguridad de la organización se evalúa y revisa para realizar los ajustes necesarios. | N/A | N/A | N/A | N/A |
GV.SC Gestión de riesgos de la cadena de suministro en materia de ciberseguridad
Las partes interesadas de la organización identifican, establecen, gestionan, supervisan y mejoran los procesos de gestión de riesgos de la cadena de suministro en materia de ciberseguridad.
Subcategoría
| Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
GV.SC-01. Las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos, políticas y procesos de gestión de riesgos de ciberseguridad en la cadena de suministro. | GR.1-1: Existe un proceso para la gestión de riesgos de seguridad de la información que abarca los componentes del centro de datos y servicios críticos de forma independiente. RP.2-1: Se definen métricas e indicadores para el seguimiento y control de los proveedores, mínimamente para los proveedores críticos. | GR.1-2: Se cuenta con una metodología de evaluación de riesgos de seguridad de la información definida y documentada. | GR.1-3: Existe una política aprobada de gestión de riesgos de seguridad de la información. RP.2-5: Se registra y mantiene evidencia de los incumplimientos contractuales o desviaciones detectadas en los servicios provistos, incluyendo las acciones tomadas ante los mismos. | GR.1-5: La metodología de evaluación de riesgos es revisada periódicamente y ajustada en función de los resultados obtenidos, los cambios en el contexto organizacional o normativo, y las oportunidades de mejora identificadas en su aplicación. RP.2-7: La gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. |
GV.SC-02. Se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades de ciberseguridad para proveedores, clientes y colaboradores. | SC.6-1: Los nuevos proveedores de servicios deben firmar acuerdos de confidencialidad o no divulgación (NDA) antes del inicio de la relación contractual. SC.6-2: Todo nuevo personal incorporado debe estar cubierto por cláusulas confidencialidad y no divulgación, ya sea en acuerdos, estatuto o normativa interna.
| SC.6-3: La obligación de confidencialidad y no divulgación se extiende a todo el personal de la organización, independientemente de su rol o tipo de contratación. SC.6-4: Todos los proveedores que deban acceder a información confidencial de la organización deben tener firmado un acuerdo de no divulgación.
| SC.6-5: Se detallan en los acuerdos de no divulgación las responsabilidades y sanciones por incumplimiento. | SC.6-6: Se revisan los acuerdos de no divulgación de forma periódica para verificar pertinencia en relación a los objetivos de negocio. SC.6-7: El resultado de las revisiones se comunica al RSI y demás partes interesadas. |
GV.SC-03. La gestión de riesgos de la cadena de suministro en materia de ciberseguridad está integrada en la ciberseguridad y la gestión de riesgos empresariales, la evaluación de riesgos y los procesos de mejora. | GR.2-1: Se identifican los principales riesgos de seguridad de la información, valorando su potencial impacto y su probabilidad de ocurrencia. | GR.2-3: Se cuenta con un inventario de riesgos de seguridad de la información que incluye riesgos asociados a todos los activos de información. | GR.2-4: El apetito de riesgo y la tolerancia al riesgo se ha definido formalmente por el negocio. | GR.2-7: Debe revisarse periódicamente la tolerancia al riesgo establecida, y modificarse ante cambios normativos, tecnológicos o necesidades del negocio. |
GV.SC-04. Los proveedores son conocidos y priorizados por criticidad. | RP.1-1: Se identifican todos los participantes de la cadena de suministro relacionados con los activos y servicios críticos, incluyendo un punto de contacto operativo designado por cada proveedor. RP.1-2: Se cuenta con acuerdos de nivel de servicio (SLA) firmados con proveedores que prestan servicios críticos. | RP.1-3: Se implementan mecanismos para identificar y gestionar los riesgos asociados a los participantes de la cadena de suministro que intervienen en los activos y servicios críticos de la organización. RP.1-4: Está definido un procedimiento documentado de gestión de proveedores que abarca la selección, contratación, seguimiento, y finalización del vínculo. RP.1-5: Los contratos con proveedores críticos deben incluir cláusulas que obliguen a notificar de forma oportuna cualquier incidente de seguridad, confirmado o sospechado, que pueda afectar a la organización. | RP.1-6: Se cuenta con una política formal de relacionamiento con proveedores.
| RP.1-8: Se aplica la gestión de riesgos en la adquisición de productos y servicios, y se mantiene en todo el ciclo de vida de los mismos.
|
GV.SC-05. Los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro se establecen, priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otras terceras partes pertinentes.
| AD.2-2: Los requisitos de seguridad de la información se incluyen en las solicitudes y evaluaciones de compra. | AD.2-3: Se evalúa la capacidad de los proveedores para cumplir con los requisitos de seguridad antes de la contratación. RP.2-2: Los contratos y acuerdos con proveedores críticos incluyen cláusulas que permiten su revisión o ajuste en caso de cambios en los servicios prestados, en las tecnologías utilizadas o en las normativas aplicables. | AD.2-5: Los contratos con proveedores incluyen compromisos de mantenimiento de la seguridad a lo largo del ciclo de vida del producto o servicio. RP.2-5: Se registra y mantiene evidencia de los incumplimientos contractuales o desviaciones detectadas en los servicios provistos, incluyendo las acciones tomadas ante los mismos. | AD.2-6: Los procesos de adquisición consideran las lecciones aprendidas y resultados de auditorías para mejorar continuamente los requisitos de seguridad. RP.2-6: Se revisan periódicamente los acuerdos con proveedores críticos para asegurar su adecuación a los requerimientos actuales del negocio y a cambios regulatorios. RP.2-8: Las evaluaciones son tomadas en cuenta para las actualizaciones de contratos y las futuras adquisiciones. |
GV.SC-06. Se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros. | AD.2-1: Se cuenta con lineamientos generales para la adquisición de sistemas o servicios de tecnología. | RP.2-2: Los contratos y acuerdos con proveedores críticos incluyen cláusulas que permiten su revisión o ajuste en caso de cambios en los servicios prestados, en las tecnologías utilizadas o en las normativas aplicables. | RP.2-4: Se documentan los resultados de las evaluaciones de desempeño y cumplimiento de requisitos de seguridad de los proveedores. | RP.2-7: La gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. |
GV.SC-07. Los riesgos planteados por un proveedor, sus productos y servicios y otros terceros se comprenden, registran, priorizan, evalúan, responden y monitorean a lo largo de la relación. | RP.2-1: Se definen métricas e indicadores para el seguimiento y control de los proveedores, mínimamente para los proveedores críticos.
| RP.2-2: Los contratos y acuerdos con proveedores críticos incluyen cláusulas que permiten su revisión o ajuste en caso de cambios en los servicios prestados, en las tecnologías utilizadas o en las normativas aplicables. | RP.2-3: Se define la periodicidad de las evaluaciones de los proveedores. RP.2-4: Se documentan los resultados de las evaluaciones de desempeño y cumplimiento de requisitos de seguridad de los proveedores. | RP.2-7: La gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. |
GV.SC-08. Los proveedores pertinentes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación de incidentes. | GI.1-1: Se encuentran identificados los puntos de contacto inicial para la recepción de eventos de seguridad. | GI.1-2: Se identifican los potenciales actores internos y externos ante un incidente y se registran sus datos de contacto. | GI.1-6: La política de gestión de incidentes es difundida a todas las partes interesadas. | GI.1-7: Se realizan auditorías internas para verificar el cumplimiento con la política y procedimientos relacionados. |
GV.SC-09. Las prácticas de seguridad de la cadena de suministro se integran en los programas de ciberseguridad y de gestión de riesgos empresariales, y su rendimiento se monitorea a lo largo del ciclo de vida de los productos y servicios tecnológicos. | RP.2-1: Se definen métricas e indicadores para el seguimiento y control de los proveedores, mínimamente para los proveedores críticos. | RP.2-2: Los contratos y acuerdos con proveedores críticos incluyen cláusulas que permiten su revisión o ajuste en caso de cambios en los servicios prestados, en las tecnologías utilizadas o en las normativas aplicables. | AD.2-4: Se revisan y aprueban los entregables para verificar que cumplen con los requisitos de seguridad definidos. RP.2-3: Se define la periodicidad de las evaluaciones de los proveedores. RP.2-4: Se documentan los resultados de las evaluaciones de desempeño y cumplimiento de requisitos de seguridad de los proveedores. | RP.2-7: La gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio. |
GV.SC-10. Los planes de gestión de riesgos de la cadena de suministro de ciberseguridad incluyen disposiciones para las actividades que ocurren después de la conclusión de un acuerdo de colaboración o servicio. | GR.3-1: Se toman acciones ad-hoc con el objetivo de llevar los principales riesgos de seguridad de la información a niveles aceptables para la organización. | GR.3-3: Cada plan de tratamiento identifica las acciones necesarias, el responsable de su ejecución y el plazo previsto. | GR.3-4: Los planes de tratamiento son revisados y validados por los responsables de ejecutarlos antes de su ejecución. RP.1-7: Está definido un procedimiento documentado de gestión de proveedores que abarca la selección, contratación, seguimiento, y finalización del vínculo. | GR.3-9: Los planes de tratamiento de los riesgos se revisan periódicamente y se actualizan si es necesario. |