Ambiente de negocio (ID.AN)
La misión de la organización, sus objetivos, interesados y actividades son comprendidos y priorizados; esta información es utilizada para informar a los roles de ciberseguridad sobre responsabilidades y decisiones relacionadas a la gestión de riesgos.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
ID.AN-3. Se establecen y se comunican las prioridades para la misión de la organización, sus objetivos y actividades. | Se establecen objetivos anuales en relación con la seguridad de la información, documentados y discutidos a nivel del CSI. Se establecen acciones para lograr el cumplimiento de los objetivos. | Los objetivos de seguridad de la información se llevan a cabo mediante un plan de acción.
| Se difunden los objetivos anuales de seguridad de la información al personal y/o partes interesadas. Se trabaja en el plan de acción de forma articulada con actores de la organización para cumplir con los objetivos. | Los objetivos de seguridad de la información se llevan a cabo mediante proyectos formales de seguridad de la información. Se define una estrategia de seguridad de la información y ciberseguridad alineada a la estrategia a mediano-largo plazo y ésta es difundida. |
ID.AN-4. Se establecen las dependencias y funciones fundamentales para la entrega de servicios críticos. | Se identifican los servicios críticos de la organización y cuáles son los componentes prioritarios del centro de datos para la entrega de los mismos. Se define el tratamiento proactivo para atender eventos e incidentes de ciberseguridad. | Se identifican las dependencias de los componentes prioritarios y se establecen planes de mantenimiento para los mismos. Se determina los niveles de capacidad mínima para poder garantizar la entrega de los servicios críticos. Se realiza gestión de capacidad. | Se documentan, aprueban y gestionan los cambios en los componentes prioritarios y sus dependencias (actualización, mantenimiento y reemplazo) vinculados a los servicios críticos. Se realizan las notificaciones pertinentes a todas las partes interesadas. Periódicamente se valida y formaliza la gestión de capacidad y forma parte de la gobernanza de ciberseguridad. | Se documenta y prioriza el manejo de los servicios críticos de toda la infraestructura tecnológica, haciendo énfasis en los componentes prioritarios para el funcionamiento de la organización, los cuales son monitoreados de manera automatizada. Se envían alertas del estado de los componentes ante los cambios de entorno. Se realiza una gestión de capacidad a largo plazo (más de 3 años). |
ID.AN-5. Se establecen requisitos de resiliencia para soportar la entrega de servicios críticos. | El centro de datos cuenta con UPS y componentes redundantes en lo que refiere a conexión eléctrica, componentes de acondicionamiento térmico e infraestructura de comunicaciones.
| Se han definido las ventanas de tiempo máximo soportadas por el negocio sin poder operar. El centro de datos cuenta con generador eléctrico capaz de alimentar a todos los componentes críticos. La Dirección apoya la planificación de la contingencia, por ejemplo, facilitando la participación de recursos humanos y proveyendo los recursos materiales necesarios. | Se cuenta con un plan de contingencia y recuperación aprobado por la Dirección. Su alcance está asociado al menos a los procesos críticos de la organización. Se comienzan las pruebas del plan para uno o varios de los procesos críticos. | Se definen y ejecutan pruebas al plan de contingencia y recuperación. Todos los involucrados están interiorizados en el plan y su ejecución. Las pruebas son tomadas como insumo para las lecciones aprendidas y retroalimentan la toma de decisiones. |