Procesos y procedimientos para la protección de la información (PR.PI)
Las políticas de seguridad, procesos y procedimientos se mantienen y son utilizados para gestionar la protección de los sistemas de información y los activos.
PR.PI-1. Existe una línea base de la configuración de los sistemas de información que es mantenida. | Existen medidas para comunicar y autorizar los cambios en el ámbito tecnológico. | Se define versionado y líneas base de configuración de los productos de software que permiten la trazabilidad de los cambios. | Se define una política de gestión de cambios que contempla también los cambios de emergencia en el ámbito tecnológico. Se cuenta con un procedimiento documentado para la gestión de los cambios. Los cambios a las líneas base se registran. | Se cuenta con herramientas para dar soporte a la gestión de los cambios. Se realizan actividades de control interno para revisar el cumplimiento con los procedimientos actuales. El resultado de estas actividades es comunicado al RSI y demás partes interesadas. Se toman medidas correctivas ante desvíos. |
PR.PI-2. Se implementa el ciclo de vida de desarrollo para gestionar los sistemas. | Se utilizan lineamientos generales para el desarrollo de los sistemas incluyendo principios básicos de la gestión de proyectos (ágiles, tradicionales o ambas). Los usuarios participan directamente o mediante algún rol que los represente en el ciclo de vida de los sistemas. | La seguridad de la información se toma en cuenta en la especificación de requisitos. Se incorporan principios de desarrollo seguro de sistemas. Se controlan las versiones de software. Se sistematizan las actividades de pruebas. | Se define un procedimiento documentado de pruebas, contemplando la participación de usuarios, directa o mediante algún rol que los represente. Se definen los criterios de aceptación de los productos. | Se realizan actividades de control interno para determinar el nivel de cumplimiento con la metodología y procedimientos definidos. El resultado de estas actividades se comunica al RSI y demás partes interesadas. Se toman acciones correctivas frente a desvíos. |
PR.PI-3. Existen procesos de gestión del cambio en las configuraciones | Ver PR.PI-1 (nivel 1) | Ver PR.PI-1 (nivel 2) | Ver PR.PI-1 (nivel 3) | Ver PR.PI-1 (nivel 4) |
PR.PI-4. Se realizan y mantienen respaldos de la información y se testean periódicamente. | Se realizan respaldos periódicos de al menos los activos de información del centro de datos (aplicaciones, bases de datos, máquinas virtuales, etc.).
| Se cuenta con soluciones automatizadas para asistir en la realización de los respaldos. Los respaldos se almacenan en lugares seguros y con acceso restringido.
| Los respaldos son probados regularmente. Se ha determinado el uso de almacenamiento externo para copias de respaldos. Existe una política y procedimiento documentado de respaldos y de pruebas de recuperación, que incluye las frecuencias. Se establece el grado (completo, diferencial, etc.) y los requisitos de retención de los respaldos. El procedimiento de respaldos se actualiza ante cambios de requerimientos del negocio o cambios de infraestructura o sistemas que requieran acciones de respaldo. | La política y el procedimiento de respaldo se encuentran alineados al plan de contingencia y al plan de recuperación, los cuales aseguran que resuelven los requisitos de recuperación de la organización ante un evento anormal. La política y procedimiento de respaldos se revisan con regularmente.
|
PR.PI-5. Las políticas y reglamentos relacionados con el medio ambiente físico operativo se cumplen. | Existen medidas de control del medio ambiente físico en los centros de datos. | Se implementan herramientas automatizadas que apoyan el monitoreo de los controles relacionados al medio ambiente físico. | Se define una política de seguridad del equipamiento. Se cuenta con un procedimiento documentado de monitoreo que incluye el uso de herramientas automatizadas. | Se realizan actividades de control interno para verificar el cumplimiento de la política y procedimientos asociados. Los resultados del monitoreo son utilizados para mejorar los procedimientos y retroalimentación de las lecciones aprendidas. |
PR.PI-6. Los datos son eliminados de acuerdo a las políticas de seguridad. | Ver PR.SD-3 (nivel 1) | Ver PR.SD-3 (nivel 2) | Ver PR.SD-3 (nivel 3) | Ver PR.SD-3 (nivel 4) |
PR.PI-7 Existe mejora continua de los procesos de protección. | Los procesos de protección de los activos críticos del centro de datos se revisan periódicamente. | Los procesos de protección de los activos y servicios de la organización se revisan periódicamente y se comunican a todas las partes interesadas conforme a las necesidades del negocio para ajustar o mejorar los procesos usados para la protección. | Se deja registro de los cambios realizados a los procesos (por ejemplo, configuración de sistemas de protección). Se realiza la gestión de cambio en los mismos. | La revisión periódica aporta a la mejora continua del SGSI. |
PR.PI-8. La eficacia de las tecnologías de protección se comparten con las partes apropiadas. | Se establece una sistemática que permite aprender de los incidentes de seguridad de la información ocurridos en el centro de datos. Las lecciones aprendidas son registradas. | Se establece una sistemática que permite aprender de los incidentes de seguridad de la información ocurridos en la organización. Las lecciones aprendidas son difundidas a las partes interesadas. | Las lecciones aprendidas se registran y contemplan para mejorar los planes de respuesta a incidentes. Además, son utilizadas para mejorar los canales de comunicación establecidos con las partes involucradas y los procesos de escalamiento. | Las lecciones aprendidas son analizadas para mejorar el SGSI de la organización y retroalimenta el análisis de riesgos. Se definen indicadores para poder medir la efectividad de los controles. |
PR.PI-9. Existen y se gestionan planes de respuesta a incidentes (respuesta a incidentes y continuidad del negocio) y planes de recuperación (recuperación de incidentes y recuperación de desastres). | Los incidentes de seguridad se reportan internamente de acuerdo a lineamientos preestablecidos. Se instruye al personal sobre los mecanismos de reporte de incidentes. Los incidentes se registran. Se cuenta con ciertas medidas de contingencia y recuperación para los sistemas que dan soporte a los servicios críticos. | Se cuenta con ciertas medidas de contingencia y recuperación. Se conocen los procesos críticos del negocio. Se cuenta con herramientas que apoyan la gestión de los incidentes.
| Se define una política de gestión de incidentes de seguridad de la información y se difunde. Se define un plan de respuesta para la gestión de incidentes. Se define un plan de contingencia y de recuperación. Se realizan pruebas puntuales de los planes. | Se ha definido el responsable de la respuesta a incidentes que opera coordinadamente con el RSI. El responsable de la respuesta a incidentes opera de forma coordinada con el CERTuy o CSIRT que corresponda. Se ha definido el o los responsables del mantenimiento del plan de contingencia y de recuperación. El plan de contingencia y de recuperación y el plan de respuesta a incidentes son probados anualmente. Se realizan actividades de control interno para verificar el cumplimiento con la política y procedimientos relacionados. El resultado de estas actividades se informa al RSI y se toman acciones correctivas frente a desvíos y para la mejora continua. |
PR.PI-10. Los planes de respuesta y recuperación se testean regularmente. | El personal conoce las actividades básicas necesarias que deben realizar si se detecta o sospecha un incidente. Se han identificado los proveedores que dan soporte a los servicios críticos. | Se cuenta con un plan de respuesta a incidentes y con un plan de recuperación. Los involucrados están entrenados en su uso. | El plan de respuesta a incidentes y el plan de recuperación (DRP) se encuentran documentado. Existen evidencias de escenarios de falla o incidentes en los que se ejecutaron las actividades del procedimiento de acuerdo al caso o se diseñaron escenarios simulados para ello. Se registran los resultados en todos los casos. | El plan de respuesta a incidentes se encuentra alineado al plan de contingencia y recuperación, y se realizan pruebas al menos anuales de ambos. Se registran las pruebas. El resultado de las pruebas retroalimenta las lecciones aprendidas y sirven para la mejora continua de los planes y procedimientos. |
PR.PI-11. La ciberseguridad se encuentra incluida en las prácticas de RRHH. | Ver PR.SD-5 (nivel 1) | Ver PR.SD-5 (nivel 2) | Ver PR.SD-5 (nivel 3) | Ver PR.SD-5 (nivel 4) |
PR.PI-12. Existe un plan de gestión de vulnerabilidades. | Se gestionan las vulnerabilidades técnicas mediante, al menos, la gestión de parches. | Se define un plan documentado para la gestión de las vulnerabilidades y parches. Se reciben notificaciones de vulnerabilidades por parte del CERTuy u otras organizaciones y se analizan. | Las responsabilidades de gestión de vulnerabilidades están establecidas. Se incorporan como fuentes de notificación: escaneos de infraestructura y aplicaciones. Existe un ambiente para pruebas de parches previo a su puesta en producción. | Se realizan revisiones de control interno sobre el plan de gestión de vulnerabilidades. El resultado de las revisiones se comunica al RSI. Se documentan lecciones aprendidas que aportan a la mejora de futuras resoluciones frente a vulnerabilidades similares. |