Evaluación de riesgos (ID.ER)
La organización comprende los riegos de ciberseguridad de sus operaciones, activos e individuos.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
ID.ER-1. Se identifican y documentan las vulnerabilidades de los activos. | El software de base y aplicaciones críticas se encuentran actualizados y con los últimos parches que les correspondan. Se tienen identificados aquellos activos que por su tecnología no pueden ser actualizados, detallando los controles compensatorios implementados. | Se cuenta con un ambiente para pruebas de los parches previo a su puesta en producción. Se realizan pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades de los sistemas críticos de la organización. El resultado de las pruebas y el plan de acción se comunican a las partes interesadas. | Existe un procedimiento documentado y un responsable de la gestión de vulnerabilidades y parches. Las pruebas de intrusión (ethical hacking) y evaluación de vulnerabilidades de los sistemas críticos se realizan con una periodicidad establecida, alineada a las necesidades de la organización. Como mínimo se realiza un escaneo de vulnerabilidades semestral y una prueba de intrusión anual. | Se realizan auditorías independientes en forma periódica. Las mismas son tomadas como insumo para la toma de decisiones y la mejora continua del SGSI. |
ID.ER-2. Recepción de información sobre amenazas y vulnerabilidades por parte de grupos y fuentes especializadas. | El personal de seguridad de la información y/o de TI se mantiene actualizado sobre las últimas amenazas y vulnerabilidades que surgen para sus sistemas y plataformas. | El personal de seguridad de la información y/o de TI recibe algún tipo de entrenamiento periódico sobre amenazas y vulnerabilidades.
| Se ha definido un procedimiento documentado de contacto con autoridades internas y externas (contemplando especialmente los centros de respuesta a incidentes de seguridad que existan, por ejemplo, DCSIRT, CSIRT Antel, CERTuy, CSIRT Ceibal, etc.). El punto de contacto (RSI o quien este determine) y demás personal de seguridad de la información, forman parte de grupos especializados que participan al menos una vez por año en eventos y conferencias sobre seguridad. | Existe sinergia entre el personal de seguridad de la información de la organización y el personal que oficia como punto de contacto con autoridades, por medio de reuniones periódicas u otros mecanismos, donde se tratan temas de actualidad sobre amenazas y vulnerabilidades. La sinergia debe contemplar al equipo de respuesta a incidentes que corresponda. |
ID.ER-3. Identificación y documentación de las amenazas internas y externas | Se han identificado las amenazas y vulnerabilidades de los activos de información del centro de datos. La revisión de los riesgos se realiza ad-hoc y sin periodicidad establecida. | Se cuenta con un inventario de riesgos de seguridad de la información que incluye riesgos asociados a otros activos de información que no se encuentran en el alcance del centro de datos. Se define un responsable de la gestión de riesgos de la ciberseguridad. | Se define una política de gestión de riesgos. Los riesgos se revisan periódicamente. La revisión se documenta formalmente y es comunicada al CSI y demás partes interesadas. | El responsable de la gestión de los riesgos de seguridad de la información trabaja en forma coordinada con el RSI, los propietarios de los activos de información y el CSI. El resultado de la revisión de los riesgos se eleva formalmente al CSI, a la Dirección de la organización y demás partes interesadas. Se realizan actividades de control interno para verificar el cumplimiento con la política establecida. |
ID.ER-4. Identificación del impacto potencial en el negocio y la probabilidad de ocurrencia. | La identificación de los principales riesgos incluye el impacto potencial en el negocio determinado de forma cualitativa (por ejemplo: alto, medio-alto, medio y bajo) y la probabilidad de ocurrencia (por ejemplo: alta, media, baja). | Se cuenta con un inventario de riesgos de seguridad de la información que incluye el impacto potencial en el negocio, determinado al menos en forma cualitativa.
| Los riesgos se revisan con una frecuencia al menos semestral. La revisión se documenta formalmente. Se trabaja en la elaboración de un BIA. Este análisis incluye la identificación de los procesos críticos y sistemas de información que los soportan. | Se cuenta con el BIA definido, considerando al menos el impacto a nivel de imagen, económico y en los usuarios. Se ha definido un responsable de la gestión de los riesgos de seguridad de la información que trabaja en forma coordinada con el RSI, los responsables de los activos de información y el CSI. El responsable de gestión de riesgos de seguridad de la información identifica los riesgos de seguridad de la información de todos los activos de información de la organización. El resultado de la revisión de los riesgos se eleva formalmente al CSI, a la Dirección y demás partes interesadas. La revisión periódica de los riesgos y del BIA aporta información para la toma de decisiones. |
ID.ER-5. Las amenazas, vulnerabilidades, probabilidad de ocurrencia e impactos se utilizan para determinar el riesgo. | Ver ID.ER-4 (nivel 1) | Ver ID.ER-4 (nivel 2) | Ver ID.ER-4 (nivel 3) | Ver ID.ER-4 (nivel 4) |
ID.ER-6. Identificación y priorización de las respuestas a los riesgos. | Se han definido controles para la mitigación de riesgos y respuesta a las principales amenazas identificadas. Los controles podrán ser físicos, lógicos o administrativos. | Las respuestas a los riesgos se incluyen en el inventario de riesgos de seguridad de la información. Se agregan respuestas a riesgos de seguridad de la información que se encuentran fuera del alcance del centro de datos.
| Las respuestas a los riesgos se revisan con una frecuencia al menos semestral y la revisión se documenta formalmente y es comunicada al CSI y a las otras partes interesadas. | La implementación de los controles se realiza de acuerdo a la prioridad explícita y formal establecida por la Dirección. Se ha definido un responsable de la gestión de los riesgos de seguridad de la información que trabaja en forma coordinada con el RSI, los propietarios de los activos de información y el CSI. |