TLP:WHITE
Esquema Nacional de Seguridad Industrial
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC)
La información contenida en este documento, podrá ser distribuido sin restricciones, sujeto a los controles
de Copyright. Para más información sobre el protocolo TLP de intercambio de información sensible puede
consultar la página web: https://www.certsi.es/tlp
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 2 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
ÍNDICE
1. Objeto del documento ................................................................................... 4
2. Acerca del ENSI ............................................................................................. 5
3. Indicadores ..................................................................................................... 6
3.1. Anticipar .................................................................................................... 6
3.2. Resistir .................................................................................................... 15
3.3. Recuperar ............................................................................................... 34
3.4. Evolucionar ............................................................................................. 61
4. Referencias .................................................................................................. 66
ÍNDICE DE TABLAS
Tabla 1. Ficha Métrica A-PC-OE2-02 ................................................................................................ 6 Tabla 2. Ficha Métrica A-PC-OE4-01 ................................................................................................ 7 Tabla 3. Ficha Métrica A-PC-OE4-02 ................................................................................................ 8 Tabla 4. Ficha Métrica A-GR-OE1-03 ................................................................................................ 9 Tabla 5. Ficha Métrica A-GR-OE1-04 .............................................................................................. 10 Tabla 6. Ficha Métrica A-GR-OE1-05 .............................................................................................. 11 Tabla 7. Ficha Métrica A-GR-OE2-02 .............................................................................................. 12 Tabla 8. Ficha Métrica A-FO-OE2-01 .............................................................................................. 13 Tabla 9. Ficha Métrica A-FO-OE3-01 .............................................................................................. 14 Tabla 10. Ficha Métrica T-GV-OE1-03 ............................................................................................ 15 Tabla 11. Ficha Métrica T-GV-OE1-04 ............................................................................................ 17 Tabla 12. Ficha Métrica T-GV-OE1-05 ............................................................................................ 19 Tabla 13. Ficha Métrica T-GV-OE1-06 ............................................................................................ 21 Tabla 14. Ficha Métrica T-GV-OE2-02 ............................................................................................ 23 Tabla 15. Ficha Métrica T-GV-OE2-04 ............................................................................................ 24 Tabla 16. Ficha Métrica T-GV-OE2-05 ............................................................................................ 26 Tabla 17. Ficha Métrica T-GV-OE2-06 ............................................................................................ 28 Tabla 18. Ficha Métrica T-GV-OE2-07 ............................................................................................ 29 Tabla 19. Ficha Métrica T-MC-OE1-01 ............................................................................................ 30 Tabla 20. Ficha Métrica T-MC-OE1-02 ............................................................................................ 31 Tabla 21. Ficha Métrica T-MC-OE1-03 ............................................................................................ 32 Tabla 22. Ficha Métrica T-MC-OE1-03 ............................................................................................ 34 Tabla 23. Ficha Métrica R-GI-OE1-01 ............................................................................................. 35 Tabla 24. Ficha Métrica R-GI-OE1-08 ............................................................................................. 36 Tabla 25. Ficha Métrica R-GI-OE2-01 ............................................................................................. 37 Tabla 26. Ficha Métrica R-GI-OE2-02 ............................................................................................. 38 Tabla 27. Ficha Métrica R-GI-OE2-03 ............................................................................................. 40 Tabla 28. Ficha Métrica R-GI-OE3-01 ............................................................................................. 41 Tabla 29. Ficha Métrica R-GI-OE3-06 ............................................................................................. 42 Tabla 30. Ficha Métrica R-GI-OE4-01 ............................................................................................. 44 Tabla 31. Ficha Métrica R-GI-OE5-03 ............................................................................................. 44 Tabla 32. Ficha Métrica R-CS-OE1-01 ............................................................................................ 45 Tabla 33. Ficha Métrica R-CS-OE1-06 ............................................................................................ 46 Tabla 34. Ficha Métrica R-CS-OE2-04 ............................................................................................ 47 Tabla 35. Ficha Métrica R-CS-OE3-03 ............................................................................................ 49 Tabla 36. Ficha Métrica R-CS-OE3-04 ............................................................................................ 51
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 3 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Tabla 37. Ficha Métrica R-DE-OE1-02 ............................................................................................ 53 Tabla 38. Ficha Métrica R-DE-OE2-01 ............................................................................................ 54 Tabla 39. Ficha Métrica R-DE-OE3-04 ............................................................................................ 56 Tabla 40. Ficha Métrica R-DE-OE4-01 ............................................................................................ 58 Tabla 41. Ficha Métrica R-DE-OE5-01 ............................................................................................ 59 Tabla 42. Ficha Métrica R-DE-OE5-02 ............................................................................................ 61 Tabla 43. Ficha Métrica E-CC-OE1-01 ............................................................................................ 62 Tabla 44. Ficha Métrica E-CM-OE1-02 ............................................................................................ 63 Tabla 45. Ficha Métrica E-CM-OE2-02 ............................................................................................ 64 Tabla 46. Ficha Métrica E-CM-OE3-02 ............................................................................................ 65
NOVIEMBRE 2016
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 4 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
1. OBJETO DEL DOCUMENTO
Este documento proporciona un diccionario de indicadores para la mejora de la
ciberresiliencia (IMC) en organizaciones y empresas de sectores industriales e
infraestructuras críticas industriales. Estos indicadores serán medidos según la
metodología de evaluación descrita en el documento ENSI_IMC_01- Metodología de
evaluación de Indicadores para Mejora de la Ciberresiliencia.
Los indicadores contenidos en este documento son parte esencial del proceso de medición
de indicadores para la mejora de la Ciberresiliencia que permite medir el estado de la
ciberresiliencia en las metas anticipar, resistir, recuperar y evolucionar la organización en
cuanto a la resiliencia de las funciones críticas de la prestación de sus servicios.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 5 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
2. ACERCA DEL ENSI
La promulgación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para
la Protección de las Infraestructuras Críticas (Ley PIC), puso de manifiesto la importancia
de la seguridad de las Infraestructuras Críticas dentro de la Seguridad del Estado. Por su
parte, la Estrategia de Seguridad Nacional [1] de 2013 reconoce, por primera vez, las
ciberamenazas como uno de los riesgos y amenazas a la seguridad nacional.
Complementando la anterior, la Estrategia de Ciberseguridad Nacional [2] de 2013
completa la apuesta por la protección de los sistemas de control industrial como elemento
clave en un enfoque integral de la ciberseguridad
En este contexto, el Instituto Nacional de Ciberseguridad (INCIBE), del Ministerio de
Energía, Turismo y Agenda Digital, y el Centro Nacional de Infraestructuras Críticas del
Ministerio del Interior, de la mano del acuerdo suscrito en 2012 y renovado en 2015 entre
la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD) y
la Secretaría de Estado de la Seguridad (SES), promueven el Esquema Nacional de
Seguridad Industrial (ENSI), como instrumento para mejorar la seguridad de las
infraestructuras críticas industriales y con una vocación global en tanto que es aplicable en
sistemas de control industrial de cualquier organización.
Para ello, favorecer el tratamiento homogéneo de la seguridad y extender su aplicación a
toda la cadena de valor de las organizaciones industriales, reconociendo el papel de
proveedores y clientes, son las claves para dibujar el panorama completo al que responde
el ENSI, que podría conformar la base para nuevas iniciativas que permitieran al ENSI
ampliarse e incluir la seguridad desde un punto de vista más integral.
El ENSI se concreta en cuatro elementos esenciales que se configuran para atender a las
necesidades específicas de su ámbito de aplicación:
ARLI-SI: Metodología de Análisis de Riesgos Ligero de Seguridad Integral como
punto de partida y piedra angular del proceso de mejora de la seguridad. Con
entidad propia, dentro de esta metodología, ARLI-CIB permite un acercamiento
específico, y también ligero, al Análisis de Riesgos de Ciberseguridad en sistemas
de control industrial.
IMC: Indicadores para la Mejora de Ciberresiliencia, como instrumento de
diagnóstico y medición de la capacidad para soportar y sobreponerse a desastres
y perturbaciones procedentes del ámbito digital.
C4V: Modelo de Construcción de Capacidades en Ciberseguridad de la Cadena de
Valor como elemento imperante en la operativa y actividad de la prestación de
servicio del operador: proveedores y clientes.
SA: Sistema de Acreditación en Ciberseguridad, garantía de la aplicación de unas
medidas de seguridad mínimas equivalentes en todas las arquitecturas que prestan
servicios equiparables o semejantes.
La aproximación práctica y ligera predomina en todos los elementos del ENSI y dibuja un
marco completo para la mejora de la ciberseguridad en sistemas de control industrial.
Aquí, las diferentes guías y documentos de articulación, siempre alineados con todo lo
establecido para los Planes de Seguridad del Operador, Planes de Protección Específicos
y Planes Estratégicos Sectoriales, aportarán las instrucciones, criterios y herramientas para
facilitar su aplicación por parte de los diferentes agentes.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 6 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
3. INDICADORES
3.1. Anticipar
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-PC-OE2-02
Meta ANTICIPAR
Dominio Funcional POLÍTICA DE CIBERSEGURIDAD
Objetivo
Identificar las funciones críticas de la organización y establecer los requisitos
de ciberresiliencia.
Descripción
Se ha identificado el servicio esencial cuya interrupción ocasione un mayor
impacto, y se han establecido sus requisitos de ciberresiliencia.
Correlación
ISO/IEC 27001:2013 [A.5.1.1], [A.14.1.1]
NIST SP 800-53 R4 [PM-7], [SA-2], [SA-13]
ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han establecido requisitos de ciberresiliencia.
□ L1 - Se ha iniciado la identificación de requisitos de ciberresiliencia.
□ L2 - Se han establecido requisitos de ciberresiliencia, pero no se han
documentado.
□ L3 - Se han documentado los requisitos de ciberresiliencia, y se
mantienen actualizados.
□ L4 - Se gestionan, actualizan y verifican los requisitos de ciberresiliencia.
□ L5 - Se aplican acciones de mejora en la definición de requisitos de
ciberresiliencia.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la organización ha
identificado y documentado los requisitos de
ciberresiliencia para sus servicios esenciales, y dichos
requisitos son exactos y están actualizados.
Acciones
correctivas
- Identificar o revisar los requisitos de ciberresiliencia de los servicios esenciales.
- Actualizar la documentación asociada a la política de ciberseguridad.
Tabla 1. Ficha Métrica A-PC-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 7 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-PC-OE4-01
Meta ANTICIPAR
Dominio Funcional POLÍTICA DE CIBERSEGURIDAD
Objetivo Colaborar con otros organismos en materia de ciberresiliencia.
Descripción
Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o
intercambio de información con organismos públicos en materia de
ciberresiliencia.
Correlación
ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2]
NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15]
ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido ningún acuerdo.
□ L1 - Se ha iniciado el establecimiento de algún acuerdo con organismos
públicos.
□ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha
documentado ni ha sido aprobado por la Dirección).
□ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la
Dirección, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido.
□ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido
con organismos públicos.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la organización ha
establecido acuerdos de ayuda mutua, colaboración o
intercambio de información en materia de ciberresiliencia
con organismos públicos, para garantizar la colaboración
o el soporte de entidades externas, si es necesario, en
caso de un ciberataque que pueda producir
indisponibilidad de los servicios esenciales.
Acciones
correctivas
- Revisar o establecer acuerdos con organismos públicos, para garantizar la colaboración mutua en caso de un ciberataque.
Tabla 2. Ficha Métrica A-PC-OE4-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 8 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-PC-OE4-02
Meta ANTICIPAR
Dominio Funcional POLÍTICA DE CIBERSEGURIDAD
Objetivo Colaborar con otros organismos en materia de ciberresiliencia.
Descripción
Se ha establecido algún Acuerdo formal de ayuda mutua, cooperación, o
intercambio de información con entidades privadas en materia de
ciberresiliencia.
Correlación
ISO/IEC 27001:2013 [A.5.1.1], [A.13.2.2]
NIST SP 800-53 R4 [PM-7], [AT-5], [PM-15]
ENS [org.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido ningún acuerdo.
□ L1 - Se ha iniciado el establecimiento de algún acuerdo con entidades
privadas.
□ L2 - Se ha establecido algún acuerdo, pero no es formal (no se ha
documentado ni ha sido aprobado por la Dirección).
□ L3 - Se ha documentado algún acuerdo que ha sido aprobado por la
Dirección, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica algún acuerdo formal establecido.
□ L5 - Se aplican acciones de mejora en algún acuerdo formal establecido
con entidades privadas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la organización ha
establecido acuerdos de ayuda mutua, colaboración o
intercambio de información en materia de ciberresiliencia
con entidades privadas, para garantizar la colaboración
o el soporte de entidades externas, si es necesario, en
caso de un ciberataque que pueda producir
indisponibilidad de los servicios esenciales.
Acciones
correctivas
- Revisar o establecer acuerdos con entidades privadas, para garantizar la colaboración mutua en caso de un ciberataque.
Tabla 3. Ficha Métrica A-PC-OE4-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 9 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-GR-OE1-03
Meta ANTICIPAR
Dominio Funcional GESTIÓN DE RIESGOS
Objetivo
Establecer, implementar y mantener un proceso formal y
documentado de análisis de impacto (BIA) sobre las funciones críticas
que soportan los servicios esenciales.
Descripción
Se han identificado los impactos que puede tener la interrupción de la
provisión del servicio esencial, y se han valorado cuáles son más
críticos.
Correlación
ISO/IEC 31000:2009
NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14]
ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los impactos de una interrupción del
servicio esencial.
□ L1 - Se ha iniciado la identificación de impactos de una interrupción
sobre la provisión del servicio esencial.
□ L2 - Se han establecido los impactos y se valora cuáles son más
críticos, pero no se han documentado.
□ L3 - Se han documentado los impactos de una interrupción y su
criticidad, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y verifican los impactos de una
interrupción y su criticidad.
□ L5 - Se aplican acciones de mejora en la definición y valoración de
impactos sobre la provisión del servicio esencial.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la organización
ha identificado y priorizado los posibles impactos de
una interrupción en el tiempo de las actividades que
soportan el funcionamiento de las funciones.
Acciones
correctiv
as
- Identificar los posibles impactos que causaría una interrupción de las actividades que soportan el funcionamiento de las funciones críticas que soportan los servicios esenciales.
- Priorizar dichos impactos.
Tabla 4. Ficha Métrica A-GR-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 10 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-GR-OE1-04
Meta ANTICIPAR
Dominio Funcional GESTIÓN DE RIESGOS
Objetivo
Establecer, implementar y mantener un proceso formal y documentado de
análisis de impacto (BIA) sobre las funciones críticas que soportan los
servicios esenciales.
Descripción
Se ha estimado el máximo tiempo de duración de una interrupción de la
provisión del servicio esencial que se considera aceptable.
Correlación
ISO/IEC 31000:2009
NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14]
ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el máximo tiempo de duración de una
interrupción de la provisión del servicio esencial que se considera aceptable.
□ L1 - Se ha iniciado la identificación del máximo tiempo de duración de una
interrupción de la provisión del servicio esencial que se considera aceptable.
□ L2 - Se ha establecido el máximo tiempo de duración de una interrupción
de la provisión del servicio esencial que se considera aceptable, pero no se
han documentado.
□ L3 - Se ha documentado el máximo tiempo de duración de una interrupción
de la provisión del servicio esencial que se considera aceptable, y se
mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el máximo tiempo de duración de una
interrupción de la provisión del servicio esencial que se considera aceptable.
□ L5 - Se aplican acciones de mejora en la definición del máximo tiempo de
duración de una interrupción de la provisión del servicio esencial que se
considera aceptable.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo Se han estimado para todas las funciones críticas.
Indicador
Valores
positivos
Valores positivos implicarían que la organización ha
estimado el máximo periodo tolerable de una interrupción
para todas las funciones críticas que soportan los
servicios esenciales, por encima del cual, sería
considerada inaceptable.
Acciones
correctivas
- Establecer los periodos máximos tolerables de interrupción para todas las funciones críticas que soportan los servicios esenciales.
Tabla 5. Ficha Métrica A-GR-OE1-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 11 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-GR-OE1-05
Meta ANTICIPAR
Dominio Funcional GESTIÓN DE RIESGOS
Objetivo
Establecer, implementar y mantener un proceso formal y documentado de
análisis de impacto (BIA) sobre las funciones críticas que soportan los
servicios esenciales.
Descripción
Se han identificado los tiempos objetivos de recuperación (RTO) y puntos
objetivos de recuperación (RPO) para la provisión del servicio esencial.
Correlación
ISO/IEC 31000:2009
NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14]
ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los RTO y RPO para la provisión del servicio
esencial.
□ L1 - Se ha iniciado la identificación de los RTO y RPO para la provisión del
servicio esencial.
□ L2 - Se han establecido los RTO y RPO para la provisión del servicio
esencial, pero no se han documentado.
□ L3 - Se han documentado los RTO y RPO para la provisión del servicio
esencial, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y verifican los RTO y RPO para la provisión
del servicio esencial.
□ L5 - Se aplican acciones de mejora en la definición de los RTO y RPO
para la provisión del servicio esencial.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo Se han estimado para todas las funciones críticas.
Indicador
Valores
positivos
Valores positivos implicarían que la organización ha
identificado los tiempos objetivos de recuperación (RTO)
y puntos objetivos de recuperación (RPO) de todas las
funciones críticas que soportan los servicios esenciales.
Acciones
correctivas
- Establecer los tiempos objetivos de recuperación (RTO) y puntos objetivos de recuperación (RPO) de todas las funciones críticas que soportan los servicios esenciales.
Tabla 6. Ficha Métrica A-GR-OE1-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 12 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-GR-OE2-02
Meta ANTICIPAR
Dominio Funcional GESTIÓN DE RIESGOS
Objetivo Identificar los riesgos y niveles de tolerancia al riesgo.
Descripción
Se han definido umbrales de tolerancia al riesgo, que disparen la
ejecución de distintas acciones de tratamiento de los riesgos
(eliminar, mitigar, transferir, aceptar).
Correlación
ISO/IEC 31000:2009
NIST SP 800-53 R4 [RA-2], [RA-3], [PM-9], [PM-11], [SA-14]
ENS [op.pl.1]
CARACTERIZACIÓN
Escala
□ L0 - No se han identificado los umbrales de tolerancia al
riesgo.
□ L1 - Se ha iniciado la identificación de los umbrales de
tolerancia al riesgo.
□ L2 - Se han establecido los umbrales de tolerancia al riesgo,
pero no se han documentado.
□ L3 - Se han documentado los umbrales de tolerancia al
riesgo y las acciones de tratamiento asociadas, y esta
información se mantiene actualizada.
□ L4 - Se gestionan, actualizan y verifican los umbrales de
tolerancia al riesgo y las acciones de tratamiento asociadas.
□ L5 - Se aplican acciones de mejora en la definición de
umbrales de tolerancia al riesgo y en su tratamiento asociado.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización ha definido umbrales de
tolerancia al riesgo para las funciones críticas
que soportan los servicios esenciales, que
disparen la ejecución de distintas acciones de
tratamiento de los riesgos
Acciones
correctivas
- Establecer los umbrales de tolerancia al riesgo para las funciones críticas que soportan los servicios esenciales.
Tabla 7. Ficha Métrica A-GR-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 13 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-FO-OE2-01
Meta ANTICIPAR
Dominio Funcional FORMACIÓN EN CIBERSEGURIDAD
Objetivo Llevar a cabo actividades de formación en ciberresiliencia.
Descripción
Se ha establecido un plan de formación en ciberresiliencia , por
ejemplo, la participación en ciberejercicios, orientado a formar al
personal implicado en el servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.7.2.2]
NIST SP 800-53 R4 [AT-1], [AT-3], [PM-13], [PM-14]
ENS [mp.per.4]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un plan de formación en
ciberresiliencia.
□ L1 - Se ha iniciado la definición de un plan de formación.
□ L2 - Se ha establecido un plan de formación, pero no se han
documentado.
□ L3 - Se ha documentado un plan de formación y las actividades
de formación asociadas, y este plan se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el plan de formación y las
actividades de formación asociadas.
□ L5 - Se aplican acciones de mejora en el plan de formación y
actividades de formación asociadas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización celebra actividades de formación
en ciberresiliencia, o ciberejercicios orientados
a formar al personal de la organización en
materia de ciberresiliencia.
Acciones
correctivas
- Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de formación en ciberresiliencia, o ciberejercicios orientados a formar al personal de la organización en esta materia.
Tabla 8. Ficha Métrica A-FO-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 14 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código A-FO-OE3-01
Meta ANTICIPAR
Dominio Funcional FORMACIÓN EN CIBERSEGURIDAD
Objetivo Llevar a cabo actividades de concienciación en ciberresiliencia.
Descripción
Se ha establecido un plan de concienciación en ciberresiliencia
(incluyendo la participación en ciberejercicios) orientado a formar
a todo el personal de la organización.
Correlación
ISO/IEC 27001:2013 [A.7.2.2]
NIST SP 800-53 R4 [AT-1], [PM-16], [AT-2], [PM-15], [PM-16]
ENS [mp.per.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un plan de concienciación en
ciberresiliencia.
□ L1 - Se ha iniciado la definición de un plan de concienciación
□ L2 - Se ha establecido un plan de concienciación pero no se
han documentado.
□ L3 - Se ha documentado un plan de concienciación y las
actividades de concienciación asociadas, y este plan se
mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el plan de concienciación
y las actividades de concienciación asociadas.
□ L5 - Se aplican acciones de mejora en el plan de
concienciación y actividades de concienciación asociadas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización celebra actividades de
concienciación en ciberresiliencia, o
ciberejercicios orientados a concienciar al
personal de la organización en materia de
ciberresiliencia.
Acciones
correctivas
- Planificar, dedicar recursos, informar al personal y llevar a cabo actividades de concienciación en ciberresiliencia, o ciberejercicios orientados a concienciar al personal de la organización en esta materia.
Tabla 9. Ficha Métrica A-FO-OE3-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 15 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
3.2. Resistir
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE1-03
Meta RESISTIR
Dominio Funcional GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de
vulnerabilidades.
Descripción
Se descubren las vulnerabilidades de forma activa utilizando las
fuentes de información de vulnerabilidades.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [CA-8], [RA-5], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2] [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado ninguna fuente de información de
vulnerabilidades.
□ L1 - Se ha iniciado la identificación de fuentes de información
de vulnerabilidades, cuya información se revisa puntualmente.
□ L2 - Se ha establecido una lista de fuentes de
vulnerabilidades que se revisa constantemente, pero no está
documentada.
□ L3 - Se ha documentado una lista de fuentes de información
de vulnerabilidades, que se mantiene actualizada y se revisa
constantemente.
□ L4 - Se gestionan, actualizan y verifican las fuentes de
información de vulnerabilidades y la revisión de su información.
□ L5 - Se aplican acciones de mejora en la definición de la lista
de fuentes de vulnerabilidades y en la revisión de su
información.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores cercanos a L5 significan que la
organización realiza una revisión activa de las
vulnerabilidades que afectan a las funciones
críticas que soportan los servicios esenciales.
Acciones
correctivas
- Establecer actividades regulares para identificar y analizar las vulnerabilidades de sus activos (personas, información, tecnología, instalaciones) y procesos.
Tabla 10. Ficha Métrica T-GV-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 16 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE1-04
Meta RESISTIR
Dominio Funcional GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de
vulnerabilidades.
Descripción
Se categorizan y priorizan las vulnerabilidades que afectan a la
provisión del servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido una categorización y priorización de
vulnerabilidades.
□ L1 - Se ha iniciado la definición de categorías y prioridades para las
vulnerabilidades.
□ L2 - Se ha establecido una categorización y priorización de
vulnerabilidades, pero no se han documentado.
□ L3 - Se ha documentado una categorización y priorización de
vulnerabilidades, y se mantiene actualizada.
□ L4 - Se gestionan, actualizan y verifican las categorías y prioridades
de vulnerabilidades.
□ L5 - Se aplican acciones de mejora en la categorización y
priorización de vulnerabilidades.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización categorizan y priorizan las
vulnerabilidades que afectan a las funciones
críticas que soportan los servicios esenciales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 17 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer un mecanismo para categorizar y priorizar las vulnerabilidades que afectan a los servicios esenciales. Por ejemplo, establecer las siguientes categorías de resolución de vulnerabilidades:
No tomar ninguna acción.
Resolver inmediatamente (típicamente para actualizaciones o cambios de un fabricante).
Desarrollar e implementar una estrategia de resolución de la vulnerabilidad (cuando implica acciones que requieren más esfuerzo que, por ejemplo, una actualización del fabricante).
Llevar a cabo investigaciones o análisis adicionales.
Remitir la vulnerabilidad al proceso de gestión de riesgos para una consideración formal del riesgo.
Tabla 11. Ficha Métrica T-GV-OE1-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 18 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE1-05
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de
vulnerabilidades.
Descripción
Se analizan las vulnerabilidades con el objetivo de valorar su impacto y
relevancia en la organización.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza un análisis de vulnerabilidades para valorar su
impacto.
□ L1 - Se ha iniciado la realización de análisis de vulnerabilidades para
valorar su impacto.
□ L2 - Se ha establecido un procedimiento para valora el impacto de las
vulnerabilidades, pero no está documentado.
□ L3 - Se ha documentado un procedimiento de análisis de
vulnerabilidades para valorar su impacto en la organización, y se
mantiene actualizado.
□ L4 - Se gestionan, actualizan y verifican los análisis de
vulnerabilidades para valorar su impacto.
□ L5 - Se aplican acciones de mejora en el análisis de vulnerabilidades.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización analiza las vulnerabilidades para
determinar cuáles requieren atención adicional.
Como resultado de este análisis, se determinará si
las vulnerabilidades no son relevantes, si necesitan
ser abordadas a través de una solución simple, o si
necesitan la aplicación de una estrategia formal de
resolución.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 19 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer un procedimiento de análisis de vulnerabilidades, que puede incluir las actividades:
Entender la amenaza y la exposición a la misma.
Revisar la información de dicha vulnerabilidad para saber si ha existido con anterioridad y determinar las acciones que se llevaron a cabo para mitigarla o eliminarla.
Identificar y comprender las causas subyacentes de la exposición a la vulnerabilidad.
Priorizar y categorizar las vulnerabilidades para tomar las medidas adecuadas para su resolución.
Referir la vulnerabilidad al proceso de gestión de riesgos cuando requiera un más profundo análisis del impacto de la amenaza potencial.
Tabla 12. Ficha Métrica T-GV-OE1-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 20 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE1-06
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo
Establecer y mantener un proceso de identificación y análisis de
vulnerabilidades.
Descripción
Se mantiene un repositorio actualizado de vulnerabilidades que guarda
información de las mismas y su resolución.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SC-38], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2]
CARACTERIZACIÓN
Escala
□ L0 - No se mantiene un repositorio de vulnerabilidades con
información sobre las mismas.
□ L1 - Se ha iniciado la elaboración de un repositorio de
vulnerabilidades con información sobre las mismas y su resolución.
□ L2 - Se ha establecido un repositorio de vulnerabilidades con
información sobre las mismas y su resolución, pero no está
documentado.
□ L3 - Se ha documentado la existencia de un repositorio de
vulnerabilidades con información sobre las mismas y su resolución.
□ L4 - Se gestiona, actualiza y verifica repositorio de vulnerabilidades
con información sobre las mismas y su resolución.
□ L5 - Se aplican acciones de mejora en el repositorio de
vulnerabilidades con información sobre las mismas y su resolución.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo Se mantiene un repositorio con todas las vulnerabilidades conocidas.
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización mantiene un repositorio
actualizado de todas las vulnerabilidades
conocidas, almacenando información de las
mismas y su resolución.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 21 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer un repositorio de vulnerabilidades como fuente central de información del ciclo de vida de las mismas. Dicho repositorio debe contener información básica como:
Identificador único para referencia interna de la vulnerabilidad en la organización.
Descripción de la vulnerabilidad.
Fecha de ingreso en el repositorio.
Referencias a la fuente de la vulnerabilidad.
Importancia de la vulnerabilidad para la organización (crítica, moderada, etc.)
Personas o equipos asignados para analizarla y solucionarla.
Registro de las acciones de resolución tomadas para disminuir o eliminar la vulnerabilidad.
Tabla 13. Ficha Métrica T-GV-OE1-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 22 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE2-02
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se emprenden acciones para gestionar la exposición a vulnerabilidades
conocidas.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se emprenden acciones para gestionar la exposición a
vulnerabilidades.
□ L1 - Se ha iniciado la implantación de acciones para gestionar la
exposición a vulnerabilidades conocidas.
□ L2 - Se ha establecido una estrategia para gestionar la exposición a
vulnerabilidades conocidas, pero no se ha documentado.
□ L3 - Se ha documentado la estrategia para gestionar la exposición a
vulnerabilidades conocidas.
□ L4 - Se revisa la efectividad de las actividades de mitigación de
vulnerabilidades conocidas.
□ L5 - Se aplican acciones de mejora en la estrategia de mitigación de
vulnerabilidades conocidas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo
Se emprenden acciones para gestionar la exposición a todas las
vulnerabilidades conocidas.
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización ha desarrollado e implementado
una estrategia de resolución para todas las
vulnerabilidades cuya exposición debe ser
reducida o eliminada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 23 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Desarrollar e implementar una estrategia de resolución adecuada para las vulnerabilidades que ha determinado que deben ser eliminadas o reducidas. Esta estrategia puede incluir acciones para:
Reducir al mínimo la exposición de la organización a la vulnerabilidad (al reducir la probabilidad de que la vulnerabilidad sea explotada).
Eliminar la exposición de la organización a la vulnerabilidad (al eliminar la amenaza, el actor amenaza, y / o el motivo).
Tabla 14. Ficha Métrica T-GV-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 24 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE2-04
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo Gestionar la exposición a vulnerabilidades identificadas.
Descripción Se monitoriza el estado de aquellas vulnerabilidades no resueltas.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se monitoriza el estado de las vulnerabilidades no resueltas.
□ L1 - Se ha iniciado la monitorización de las vulnerabilidades no
resueltas.
□ L2 - Se ha establecido un procedimiento para la monitorización de
las vulnerabilidades no resueltas, pero no está documentado.
□ L3 - Se ha documentado el procedimiento de monitorización de
vulnerabilidades no resueltas, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la monitorización de
vulnerabilidades no resueltas.
□ L5 - Se aplican acciones de mejora en la monitorización de
vulnerabilidades no resueltas.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo SÍ
Indicador
Valores
positivos
Valores tendentes a L5 significan que las
vulnerabilidades no resueltas son monitorizadas
y reportadas regularmente.
Acciones
correctivas
- Monitorizar las vulnerabilidades no resueltas y reportar su existencia a los responsables oportunos de la organización.
Tabla 15. Ficha Métrica T-GV-OE2-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 25 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE2-05
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se ha estimado el tiempo medio transcurrido desde que se conoce una
vulnerabilidad, hasta que se comunica a los responsables implicados en
su resolución.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio transcurrido desde que se
conoce una vulnerabilidad, hasta que se comunica a los responsables.
□ L1 - Se ha iniciado la identificación del tiempo medio transcurrido
desde que se conoce una vulnerabilidad, hasta que se comunica a los
responsables.
□ L2 - Se ha establecido el tiempo medio transcurrido desde que se
conoce una vulnerabilidad, hasta que se comunica a los responsables,
pero no se han documentado.
□ L3 - Se ha documentado el tiempo medio transcurrido desde que se
conoce una vulnerabilidad, hasta que se comunica a los responsables,
y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio transcurrido
desde que se conoce una vulnerabilidad, hasta que se comunica a los
responsables.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
transcurrido desde que se conoce una vulnerabilidad, hasta que se
comunica a los responsables.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que existe un
proceso mejorado para estimar el número de
horas entre la fecha de conocimiento de una
vulnerabilidad que afecte a la provisión del
servicio esencial, y la fecha de su comunicación a
los responsables.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 26 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Concienciar a los usuarios de la necesidad de comunicar cuanto antes cualquier anomalía o evento de seguridad detectado.
- Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 16. Ficha Métrica T-GV-OE2-05
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 27 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE2-06
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se ha estimado el tiempo medio desde que se anuncia la existencia de
un parche de seguridad, hasta que es aplicado en el sistema que
soporta el servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio desde que se anuncia la
existencia de un parche de seguridad, hasta que es aplicado en el
sistema que soporta el servicio esencial.
□ L1 - Se ha iniciado la identificación del tiempo medio desde que se
anuncia la existencia de un parche de seguridad, hasta que es aplicado
en el sistema que soporta el servicio esencial.
□ L2 - Se ha establecido el tiempo medio desde que se anuncia la
existencia de un parche de seguridad, hasta que es aplicado en el
sistema, pero no se han documentado.
□ L3 - Se ha documentado el tiempo medio desde que se anuncia la
existencia de un parche de seguridad, hasta que es aplicado en el
sistema, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se
anuncia la existencia de un parche de seguridad, hasta que es aplicado
en el sistema.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
desde que se anuncia la existencia de un parche de seguridad hasta
que es aplicado en el sistema.
OBTENCIÓN
Método de
recogida de
información
Manual
Recomendable entrevista personal o telefónica, para poder interpretar los
resultados con mayor nivel de detalle en la fase de análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que existe un
proceso mejorado para estimar el número de
horas entre la fecha de disponibilidad de un
parche que afecte a un servicio esencial y la fecha
de instalación del mismo.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 28 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 17. Ficha Métrica T-GV-OE2-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 29 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-GV-OE2-07
Meta RESISTIR
Dominio
Funcional
GESTIÓN DE VULNERABILIDADES
Objetivo Gestionar la exposición a vulnerabilidades identificadas.
Descripción
Se ha estimado el tiempo medio para mitigar vulnerabilidades
identificadas.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio para mitigar
vulnerabilidades identificadas.
□ L1 - Se ha iniciado la identificación del tiempo medio para mitigar
vulnerabilidades identificadas.
□ L2 - Se ha establecido el tiempo medio para mitigar vulnerabilidades
identificadas, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio para mitigar
vulnerabilidades identificadas, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio para mitigar
vulnerabilidades identificadas.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
para mitigar vulnerabilidades identificadas.
OBTENCIÓN
Método de
recogida de
información
Manual
Recomendable entrevista personal o telefónica, para poder interpretar los
resultados con mayor nivel de detalle en la fase de análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que existe un
proceso mejorado para estimar el número de
horas entre la fecha de detección de una
vulnerabilidad que afecte a una función crítica y la
fecha de mitigación de la misma.
Acciones
correctivas
- Revisar y mejorar la implantación del procedimiento de gestión de vulnerabilidades.
Tabla 18. Ficha Métrica T-GV-OE2-07
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 30 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-MC-OE1-01
Meta RESISTIR
Dominio Funcional MONITORIZACIÓN CONTINUA
Objetivo Monitorizar los servicios esenciales.
Descripción
Se monitoriza constantemente (24x7) la provisión del servicio esencial
(redes de comunicaciones, sistemas, accesos, entorno físico, personal,
etc.) para detectar potenciales ciberataques.
Correlación
ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]
NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4]
ENS [op.mon]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización 24x7 de la provisión del servicio
esencial.
□ L1 - Se ha iniciado la monitorización 24x7 de la provisión del
servicio esencial.
□ L2 - Se ha establecido un procedimiento de monitorización 24x7 de
la provisión del servicio esencial, pero no se ha documentado.
□ L3 - Se ha documentado un procedimiento de monitorización 24x7
de la provisión del servicio esencial, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la monitorización 24x7 de la
provisión del servicio esencial.
□ L5 - Se aplican acciones de mejora en la monitorización 24x7 de la
provisión del servicio esencial.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer) y/o Director de Seguridad Física
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que la
organización monitoriza constantemente (24x7)
las funciones críticas que soportan los servicios
esenciales para detectar potenciales
ciberataques.
Acciones
correctivas
- Establecer un procedimiento de monitorización continua sobre los activos y funciones que dan soporte a los servicios esenciales (redes de comunicaciones, sistemas, accesos, entorno físico, personal, etc.) para detectar potenciales ciberataques.
Tabla 19. Ficha Métrica T-MC-OE1-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 31 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-MC-OE1-02
Meta RESISTIR
Dominio
Funcional MONITORIZACIÓN CONTINUA
Objetivo Monitorizar los servicios esenciales.
Descripción
Se monitorizan los sistemas que dan soporte a los servicios esenciales
en busca de software o hardware no autorizado.
Correlación
ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]
NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4]
ENS [op.mon]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización del sistema para detectar
software o hardware no autorizado.
□ L1 - Se ha iniciado la monitorización del sistema para detectar
software o hardware no autorizado.
□ L2 - Se ha establecido un procedimiento de monitorización del
sistema para detectar software o hardware no autorizado, pero no se ha
documentado.
□ L3 - Se ha documentado un procedimiento de monitorización del
sistema para detectar software o hardware no autorizado, y se
mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la monitorización del sistema
para detectar software o hardware no autorizado.
□ L5 - Se aplican acciones de mejora en la monitorización del sistema
para detectar software o hardware no autorizado.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que la
organización monitoriza los sistemas que dan
soporte a los servicios esenciales en busca de
software o hardware no autorizado.
Acciones
correctivas
- Establecer un procedimiento de monitorización continua sobre los sistemas que dan soporte a los servicios esenciales en busca de software o hardware no autorizado.
Tabla 20. Ficha Métrica T-MC-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 32 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-MC-OE1-03
Meta RESISTIR
Dominio
Funcional MONITORIZACIÓN CONTINUA
Objetivo Monitorizar los servicios esenciales.
Descripción
Se monitorizan las redes de comunicaciones que dan soporte a los
servicios esenciales en busca de puntos de conexión no autorizados.
Correlación
ISO/IEC 27001:2013 [A.12.1.3], [A.14.2.7]
NIST SP 800-53 R4 [RA-5], [CA-7], [PM-6], [SI-4]
ENS [op.mon]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza la monitorización de redes de comunicaciones para
detectar conexiones no autorizadas.
□ L1 - Se ha iniciado la monitorización de redes de comunicaciones
para detectar conexiones no autorizadas.
□ L2 - Se ha establecido un procedimiento de monitorización de redes
de comunicaciones para detectar conexiones no autorizadas, pero no
se ha documentado.
□ L3 - Se ha documentado un procedimiento de monitorización de
redes de comunicaciones para detectar conexiones no autorizadas, y
se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la monitorización de redes de
comunicaciones para detectar conexiones no autorizadas.
□ L5 - Se aplican acciones de mejora en la monitorización de redes de
comunicaciones para detectar conexiones no autorizadas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que la
organización monitoriza las redes de
comunicaciones que dan soporte a los servicios
esenciales en busca de puntos de conexión no
autorizados.
Acciones
correctivas
- Establecer un procedimiento de monitorización continua sobre las redes de comunicaciones que dan soporte a los servicios esenciales en busca de puntos de conexión no autorizados.
Tabla 21. Ficha Métrica T-MC-OE1-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 33 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código T-MC-OE1-04
Meta RESISTIR
Dominio Funcional MONITORIZACIÓN CONTINUA
Objetivo Monitorizar los servicios esenciales.
Descripción
Se ha estimado el tiempo medio desde que se produce un ciberataque
hasta que es reportado a los responsables oportunos de
contrarrestarlo.
Correlación
ISO/IEC 27001:2013 [A.12.6.1]
NIST SP 800-53 R4 [RA-5], [SA-10], [SA-11], [SI-2], [SI-3]
ENS [op.pl.1] [mp.sw.2], [op.exp.3]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio desde que se produce
un ciberataque hasta que es reportado a los responsables oportunos
de contrarrestarlo.
□ L1 - Se ha iniciado la identificación del tiempo medio desde que se
produce un ciberataque hasta que es reportado a los responsables
oportunos de contrarrestarlo.
□ L2 - Se ha establecido el tiempo medio desde que se produce un
ciberataque hasta que es reportado a los responsables oportunos de
contrarrestarlo, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio desde que se produce un
ciberataque hasta que es reportado a los responsables oportunos de
contrarrestarlo.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio desde que se
produce un ciberataque hasta que es reportado a los responsables
oportunos de contrarrestarlo.
□ L5 - Se aplican acciones de mejora en la definición del tiempo
medio desde que se produce un ciberataque hasta que es reportado
a los responsables oportunos de contrarrestarlo.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo L5
Indicador
Valores
positivos
Valores tendentes a L5 indican que existe un
proceso mejorado para estimar el número de
horas entre la fecha de ocurrencia de un ataque
sobre la provisión de un servicio esencial y la
fecha de su comunicación a los responsables..
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 34 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Revisar y mejorar la implantación del procedimiento de monitorización continua.
Tabla 22. Ficha Métrica T-MC-OE1-03
3.3. Recuperar
A continuación se detallan las fichas para las veinte (20) métricas seleccionadas
correspondientes a la meta de Recuperar.
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE1-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para detectar, reportar, priorizar y analizar
eventos.
Descripción
Se realiza la detección de eventos y su reporte al personal encargado
de gestionar incidentes.
Correlación
ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]
NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una detección y reporte de eventos.
□ L1 - Se ha iniciado la detección y reporte de eventos.
□ L2 - Se ha establecido un procedimiento de detección y reporte de
eventos, pero no se ha documentado.
□ L3 - Se ha documentado un procedimiento de detección y reporte de
eventos, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la detección y reporte de
eventos.
□ L5 - Se aplican acciones de mejora en la detección y reporte de
eventos.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 35 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización dispone de un procedimiento para
capturar y analizar eventos, de manera que
puede determinar si el evento se convertirá (o
se ha convertido) en un ciberincidente que
requiere la acción de la organización.
Acciones
correctivas
- Establecer un procedimiento de reporte de eventos para detectarlos y proporcionar informes al personal de gestión de incidentes y a los responsables interesados.
Tabla 23. Ficha Métrica R-GI-OE1-01
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE1-08
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para detectar, reportar, priorizar y analizar
eventos.
Descripción
Se ha estimado el tiempo medio entre que se produce un ciberataque
y se detecta.
Correlación
ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]
NIST SP 800-53 R4 [AR-4], [AU-13], [IR-4], [IR-5], [PE-6], [RA-6]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio entre que se produce un
ciberataque y se detecta.
□ L1 - Se ha iniciado la identificación del tiempo medio entre que se
produce un ciberataque y se detecta.
□ L2 - Se ha establecido el tiempo medio entre que se produce un
ciberataque y se detecta, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio entre que se produce un
ciberataque y se detecta, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se
produce un ciberataque y se detecta.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
entre que se produce un ciberataque y se detecta.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 36 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 indican que existe un
proceso mejorado para estimar el número de
horas entre la fecha de ocurrencia de un
ciberataque afectando la provisión del servicio
esencial y la fecha de su detección.
Acciones
correctivas
- Revisar y mejorar la implantación del proceso para detectar ciberincidentes.
- Reforzar la formación y concienciación en relación a la detección de ciberincidentes.
Tabla 24. Ficha Métrica R-GI-OE1-08
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 37 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE2-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo Identificar y analizar los ciberincidentes.
Descripción
Existe un procedimiento para identificar y contabilizar los
ciberincidentes basado en una tipificación de incidentes definida.
Correlación
ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]
NIST SP 800-53 R4 [IR-4]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se identifican ni contabilizan los ciberincidentes de acuerdo
a una tipificación de los mismos.
□ L1 - Se ha iniciado una identificación y de ciberincidentes basada
en una tipificación definida.
□ L2 - Se ha establecido un procedimiento para identificar y
contabilizar ciberincidentes basado en una tipificación de los mismos,
pero no se ha documentado.
□ L3 - Se ha documentado un procedimiento para identificar y
contabilizar ciberincidentes basado en una tipificación de los mismos,
y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la identificación de
ciberincidentes basada en su tipificación.
□ L5 - Se aplican acciones de mejora en la identificación de
ciberincidentes basada en su tipificación.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización identifica y contabilizan los
ciberincidentes de acuerdo a un proceso
establecido, basado en una tipificación de
incidentes definida.
Acciones
correctivas
- Establecer un conjunto de línea de base de los acontecimientos que definen ciberincidentes estándar, e identificar y contabilizar los ciberincidentes de acuerdo a dicha tipificación.
Tabla 25. Ficha Métrica R-GI-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 38 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE2-02
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo Identificar y analizar los ciberincidentes.
Descripción
Existe un criterio de identificación de ciberincidentes accesible a todo
el personal.
Correlación
ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]
NIST SP 800-53 R4 [IR-4]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se ha establecido un criterio de identificación de
ciberincidentes que esté accesible a todo el personal.
□ L1 - Se ha iniciado la definición de un criterio de identificación de
ciberincidentes.
□ L2 - Se ha establecido un criterio de identificación de
ciberincidentes, pero no se ha documentado.
□ L3 - Se ha documentado un criterio de identificación de
ciberincidentes, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el criterio de identificación de
ciberincidentes.
□ L5 - Se aplican acciones de mejora en la definición del criterio de
identificación de ciberincidentes.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización ha definido y documentado los
criterios de declaración de ciberincidentes, y
esta información está disponible para todo el
personal que pueda necesitarlo para declarar un
ciberincidente.
Acciones
correctivas
- Definir y documentar los criterios de declaración de ciberincidentes, y hacer que esta información esté disponible para todo el personal.
Tabla 26. Ficha Métrica R-GI-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 39 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE2-03
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo Identificar y analizar los ciberincidentes.
Descripción
Se analizan los ciberincidentes para determinar la respuesta más
apropiada en el menor tiempo posible.
Correlación
ISO/IEC 27001:2013 [A.16.1.2], [A.16.1.3], [A.16.1.4]
NIST SP 800-53 R4 [AR-4], [IR-4], [IR-5], [IR-6], [PE-6]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza un análisis de ciberincidentes.
□ L1 - Se ha iniciado el análisis de ciberincidentes para determinar la
respuesta más apropiada.
□ L2 - Se ha establecido un procedimiento de análisis de
ciberincidentes, pero no se ha documentado.
□ L3 - Se ha documentado un procedimiento de análisis de
ciberincidentes, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el procedimiento de análisis de
ciberincidentes.
□ L5 - Se aplican acciones de mejora en el procedimiento de análisis
de ciberincidentes.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización dispone de un procedimiento de
análisis de ciberincidentes estandarizado para
formular una respuesta.
Acciones
correctivas
- Establecer un procedimiento de análisis de ciberincidentes para definir correctamente el problema subyacente, ayudando a la organización a preparar la respuesta más adecuada al ciberincidente en el menor tiempo posible. También debería ayudar a determinar si el incidente tiene ramificaciones legales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 40 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Tabla 27. Ficha Métrica R-GI-OE2-03
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE3-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para responder y recuperarse de los
ciberincidentes.
Descripción
Existe una estructura de respuesta a ciberincidentes, de modo que se
escalan a los responsables oportunos encargados de su resolución.
Correlación
ISO/IEC 27001:2013 [A.16.1.5]
NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No existe una estructura de respuesta a ciberincidentes.
□ L1 - Se ha iniciado la definición de una estructura de respuesta a
ciberincidentes.
□ L2 - Se ha establecido una estructura de respuesta a
ciberincidentes, pero no se ha documentado.
□ L3 - Se ha documentado una estructura de respuesta a
ciberincidentes, y se mantiene actualizada.
□ L4 - Se gestiona, actualiza y verifica la estructura de respuesta a
ciberincidentes.
□ L5 - Se aplican acciones de mejora en el diseño de la estructura de
respuesta a ciberincidentes.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
Existe una estructura completa y clara que facilita la coordinación
interna y externa para dar respuesta a ciberincidentes.
Indicador
Valores
positivos
Valores tendentes a L5 indican que mayor
coordinación interna existe, y que se define una
estructura de escalado de incidentes completa y
clara para poder responder y recuperarse de los
incidentes.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 41 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer un procedimiento para asegurar que los incidentes se refieren a las personas responsables pertinentes, porque de no hacerlo, impedirá la respuesta de la organización, aumentando el impacto del ciberincidente.
Tabla 28. Ficha Métrica R-GI-OE3-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 42 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO
INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE3-06
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo
Establecer un proceso para responder y recuperarse de los
ciberincidentes.
Descripción Se ha estimado el tiempo medio de respuesta ante un ciberincidente.
Correlación
ISO/IEC 27001:2013 [A.16.1.5]
NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio de respuesta ante un
ciberincidente.
□ L1 - Se ha iniciado la identificación del tiempo medio de respuesta
ante un ciberincidente.
□ L2 - Se ha establecido el tiempo medio de respuesta ante un
ciberincidente, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio de respuesta ante un
ciberincidente, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio de respuesta
ante un ciberincidente.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
de respuesta ante un ciberincidente.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que se ha
estimado el número de horas entre la fecha de
ocurrencia de un ciberincidente y la fecha de
respuesta.
Acciones
correctivas
- Revisar y mejorar la implantación del proceso para responder ciberincidentes.
Tabla 29. Ficha Métrica R-GI-OE3-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 43 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE4-03
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo Analizar la información de los ciberincidentes.
Descripción
Se ha estimado el tiempo medio para determinar el impacto de un
ciberincidente en la provisión del servicio esencial de la organización.
Correlación
ISO/IEC 27001:2013 [A.16.1.5]
NIST SP 800-53 R4 [IR-4], [IR-9], [SE-2]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio para determinar el impacto
de un ciberincidente en la provisión del servicio esencial.
□ L1 - Se ha iniciado la identificación del tiempo medio para determinar
el impacto de un ciberincidente en la provisión del servicio esencial.
□ L2 - Se ha establecido el tiempo medio para determinar el impacto
de un ciberincidente en la provisión del servicio esencial, pero no se ha
documentado.
□ L3 - Se ha documentado el tiempo medio para determinar el impacto
de un ciberincidente en la provisión del servicio esencial, y se mantiene
actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio para determinar
el impacto de un ciberincidente en la provisión del servicio esencial.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
para determinar el impacto de un ciberincidente en la provisión del
servicio esencial.
OBTENCIÓN
Método de
recogida de
información
Manual Recomendable entrevista personal o telefónica, para poder
interpretar los resultados con mayor nivel de detalle en la fase de
análisis.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que se ha
estimado el número de horas entre la fecha de
ocurrencia de un ciberincidente y la fecha en la
que se determina el impacto que ha producido
en la provisión del servicio esencial.
Acciones
correctivas
- Revisar y mejorar la implantación del proceso para resolver ciberincidentes.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 44 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Tabla 30. Ficha Métrica R-GI-OE4-01
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-GI-OE5-03
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE INCIDENTES
Objetivo
Coordinación con otros organismos en la respuesta a los
ciberincidentes.
Descripción
Se comunican los ciberincidentes graves que se han producido en su
organización a las fuerzas y cuerpos de seguridad del Estado (FCSE).
Correlación
ISO/IEC 27001:2013 [A.16.1.6], [A.16.1.7]
NIST SP 800-53 R4 [IR-4], [IR-9]
ENS [op.exp.7]
CARACTERIZACIÓN
Escala
□ L0 - No existe un mecanismo para comunicar ciberincidentes a las
fuerzas y cuerpos de seguridad del estado.
□ L1 - Se ha iniciado la comunicación de ciberincidentes a las
fuerzas y cuerpos de seguridad del estado.
□ L2 - Se ha establecido un mecanismo para comunicar
ciberincidentes a las fuerzas y cuerpos de seguridad del estado, pero
no se ha documentado.
□ L3 - Se ha documentado un mecanismo para comunicar
ciberincidentes a las fuerzas y cuerpos de seguridad del estado, y se
mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica la comunicación de
ciberincidentes a las fuerzas y cuerpos de seguridad del estado.
□ L5 - Se aplican acciones de mejora la comunicación de
ciberincidentes a las fuerzas y cuerpos de seguridad del estado.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida Objetivo
Se comunican todos los ciberincidentes graves a las fuerzas y
cuerpos de seguridad del estado
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización comunica todos los
ciberincidentes graves que se han producido a
las fuerzas y cuerpos de seguridad del Estado
(FCSE).
Acciones
correctivas
- Fomentar la coordinación y comunicación con otros organismos en la respuesta a ciberincidentes.
Tabla 31. Ficha Métrica R-GI-OE5-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 45 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-CS-OE1-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Desarrollar planes de continuidad de las funciones críticas que
soportan los servicios esenciales.
Descripción
Se desarrollan planes de continuidad para la provisión del servicio
esencial.
Correlación
ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]
NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11]
ENS [op.cont.2]
CARACTERIZACIÓN
Escala
□ L0 - No existen planes de continuidad para ninguna función crítica
que soporte los servicios esenciales.
□ L1 - Se ha iniciado el desarrollo de planes de continuidad para
algunas de las funciones críticas.
□ L2 - Se han establecido acciones de continuidad para todas las
funciones críticas, pero no se han documentado.
□ L3 - Se han documentado todos los planes de continuidad de las
funciones críticas, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y revisan los planes de continuidad
de todas las funciones críticas.
□ L5 - Se aplican acciones de mejora en los planes de continuidad
de todas las funciones críticas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización desarrolla planes de continuidad
de las funciones críticas que soportan los
servicios esenciales, que contemplan los activos
críticos involucrados en los servicios (personas,
información, tecnología e instalaciones).
Acciones
correctivas
- Desarrollar planes de continuidad de las funciones críticas que soportan los servicios esenciales.
Tabla 32. Ficha Métrica R-CS-OE1-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 46 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-CS-OE1-06
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo
Desarrollar planes de continuidad de las funciones críticas que
soportan los servicios esenciales.
Descripción
Los planes de continuidad documentan los tiempos objetivos de
recuperación (RTO) de las funciones críticas que soportan los servicios
esenciales.
Correlación
ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]
NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11]
ENS [op.cont.1]
CARACTERIZACIÓN
Escala
□ L0 - No se identifican los RTO para la provisión del servicio esencial.
□ L1 - Se ha iniciado la definición de los RTO para la provisión del
servicio esencial.
□ L2 - Se han establecido los RTO para la provisión del servicio
esencial, pero no se han documentado.
□ L3 - Se han documentado los RTO en todos los planes de continuidad
para la provisión del servicio esencial, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y revisan los RTO definidos en los
planes de continuidad para la provisión del servicio esencial.
□ L5 - Se aplican acciones de mejora en la definición de los RTO
documentados en los planes de continuidad para la provisión del
servicio esencial.
OBTENCIÓN
Método de recogida Manual.
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización documenta los tiempos objetivos
de recuperación (RTO) de las funciones críticas
que soportan los servicios esenciales en todos
sus planes de continuidad.
Acciones
correctivas
- Identificar los RTO para todas las funciones críticas que dan soporte a los servicios esenciales.
Tabla 33. Ficha Métrica R-CS-OE1-06
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 47 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-CS-OE2-04
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo Probar los planes de continuidad.
Descripción
Se han probado los planes de continuidad para la provisión del servicio
esencial.
Correlación
ISO/IEC 27001:2013 [A.17.1.3]
NIST SP 800-53 R4 [CP-3], [CP-4]
ENS [op.cont.3]
CARACTERIZACIÓN
Escala
□ L0 - No se prueban los planes de continuidad para ninguna función
crítica que soporte los servicios esenciales.
□ L1 - Se ha iniciado la definición de las pruebas de planes de
continuidad para algunas de las funciones críticas.
□ L2 - Se han establecido pruebas periódicas de continuidad para
todas las funciones críticas, pero no se han documentado.
□ L3 - Se han documentado todos los planes de pruebas de
continuidad de las funciones críticas, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y revisan los planes de pruebas de
continuidad de todas las funciones críticas.
□ L5 - Se aplican acciones de mejora en los planes de continuidad
como resultado de las pruebas de los mismos.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización prueba los planes de continuidad
de todas las funciones críticas que soportan los
servicios esenciales.
Acciones
correctivas
- Establecer un procedimiento de prueba para los planes de continuidad de todas las funciones críticas que soportan los servicios esenciales identificados.
Tabla 34. Ficha Métrica R-CS-OE2-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 48 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-CS-OE3-03
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo Ejecutar y revisar los planes de continuidad.
Descripción
Se ha estimado el tiempo medio entre que se produce una interrupción
en la provisión del servicio esencial, y este está disponible con un
mínimo nivel de aceptabilidad del servicio.
Correlación
ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]
NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11]
ENS [op.cont.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio entre que se produce una
interrupción y el servicio esencial está disponible con un mínimo nivel
de servicio.
□ L1 - Se ha iniciado la identificación del tiempo medio entre que se
produce una interrupción y el servicio esencial está disponible con un
mínimo nivel de servicio.
□ L2 - Se ha establecido el tiempo medio entre que se produce una
interrupción y el servicio esencial está disponible con un mínimo nivel
de servicio, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio entre que se produce una
interrupción y el servicio esencial está disponible con un mínimo nivel
de servicio, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se
produce una interrupción y el servicio esencial está disponible con un
mínimo nivel de servicio.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
entre que se produce una interrupción y el servicio esencial está
disponible con un mínimo nivel de servicio.
OBTENCIÓN
Método de
recogida de
información
Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida
Objetivo
L5.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 49 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Indicador
Valores
positivos
Valores tendentes a L5 indican que se ha
estimado el número de horas entre que se
produce una interrupción en la provisión del
servicio, y este está disponible con un mínimo
nivel de aceptabilidad..
Acciones
correctivas
- Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
Tabla 35. Ficha Métrica R-CS-OE3-03
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 50 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-CS-OE3-04
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE CONTINUIDAD DEL SERVICIO
Objetivo Ejecutar y revisar los planes de continuidad.
Descripción
Se ha estimado el tiempo medio entre que se produce una interrupción
en la provisión del servicio esencial y este se restaura a su
funcionamiento normal.
Correlación
ISO/IEC 27001:2013 [A.17.1.1], [A.17.1.2]
NIST SP 800-53 R4 [CP-1], [CP-2], [CP-13], [PM-11]
ENS [op.cont.1]
CARACTERIZACIÓN
Escala
□ L0 - No se ha identificado el tiempo medio entre que se produce una
interrupción y se restaura el servicio esencial a su funcionamiento
normal.
□ L1 - Se ha iniciado la identificación del tiempo medio entre que se
produce una interrupción y se restaura el servicio esencial a su
funcionamiento normal.
□ L2 - Se ha establecido el tiempo medio entre que se produce una
interrupción y se restaura el servicio esencial a su funcionamiento
normal, pero no se ha documentado.
□ L3 - Se ha documentado el tiempo medio entre que se produce una
interrupción y se restaura el servicio esencial a su funcionamiento
normal, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el tiempo medio entre que se
produce una interrupción y se restaura el servicio esencial a su
funcionamiento normal.
□ L5 - Se aplican acciones de mejora en la definición del tiempo medio
entre que se produce una interrupción y se restaura el servicio esencial
a su funcionamiento normal.
OBTENCIÓN
Método de
recogida de
información
Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 significan que se ha
estimado el número de horas entre que se
produce una interrupción en la provisión del
servicio esencial, y este está restaurado a su
nivel normal de funcionamiento.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 51 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer los mecanismos necesarios que hagan que la Infraestructura (tecnológica, logística y física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
Tabla 36. Ficha Métrica R-CS-OE3-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 52 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE1-02
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar y priorizar las dependencias externas para garantizar la
operación de las funciones críticas que soportan los servicios
esenciales.
Descripción
Se priorizan las dependencias externas relacionadas con la provisión
del servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]
NIST SP 800-53 R4 [PL-8]
ENS [op.ext.1]
CARACTERIZACIÓN
Escala
□ L0 - No se priorizan las dependencias externas relacionadas con la
provisión del servicio esencial.
□ L1 - Se ha iniciado la asignación de prioridades a las dependencias
externas relacionadas con la provisión del servicio esencial.
□ L2 - Se han asignado prioridades a las dependencias externas
relacionadas cola provisión del servicio esencial, pero no se han
documentado.
□ L3 - Se han documentado prioridades asignadas a las
dependencias externas relacionadas con la provisión del servicio
esencial, y se mantienen actualizadas.
□ L4 - Se gestionan, actualizan y revisan las prioridades asignadas a
las dependencias externas relacionadas con la provisión del servicio
esencial.
□ L5 - Se aplican acciones de mejora en las prioridades asignadas a
las dependencias externas relacionadas con la provisión del servicio
esencial.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización dispone de una lista priorizada de
todas las dependencias externas que afectan a
todas las funciones críticas que soportan los
servicios esenciales, y esa lista es actualizada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 53 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Establecer unos criterios para la priorización de las dependencias externas, y elaborar una lista de prioridades de las dependencias externas y las funciones críticas que soportan los servicios esenciales asociadas a dichas dependencias.
Tabla 37. Ficha Métrica R-DE-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 54 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE2-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo Identificar y gestionar los riesgos asociados a dependencias externas.
Descripción
Se identifican y gestionan los riesgos asociados a dependencias
externas.
Correlación
ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]
NIST SP 800-53 R4 [SA-21], [SC-38]
ENS [op.ext.1]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una gestión de riesgos asociados a
dependencias externas.
□ L1 - Se ha iniciado la gestión de riesgos asociados a
dependencias externas.
□ L2 - Se ha establecido una gestión de riesgos asociados a
dependencias externas, pero no se han documentado.
□ L3 - Se ha documentado la gestión de riesgos asociados a
dependencias externas, y se mantiene actualizada.
□ L4 - Se gestionan, actualizan y verifican los riesgos asociados a
dependencias externas.
□ L5 - Se aplican acciones de mejora en la gestión de riesgos
asociados a dependencias externas.
OBTENCIÓN
Método de
recogida
Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information Security
Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización la organización ha identificado los
riesgos asociados a las dependencias externas,
y que esta lista ha sido priorizada y está
actualizada.
Acciones
correctivas
- Identificar y evaluar los riesgos debidos a dependencias externas para que puedan ser gestionados eficazmente para mantener la capacidad de recuperación de las funciones críticas que soportan los servicios esenciales que proporciona la organización.
Tabla 38. Ficha Métrica R-DE-OE2-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 55 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE3-04
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Establecer y mantener de manera formal las relaciones con
dependencias externas.
Descripción
Se incluyen requisitos de ciberresiliencia en los acuerdos con
dependencias externas que apoyan la provisión del servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.15.1.1], [A.15.1.2], [A.15.1.3]
NIST SP 800-53 R4 [SA-12], [SA-13]
ENS [op.ext.1]
CARACTERIZACIÓN
Escala
□ L0 - No se incluyen requisitos de ciberresiliencia en los acuerdos.
□ L1 - Se ha iniciado la inclusión de requisitos de ciberresiliencia en
los acuerdos con dependencias externas.
□ L2 - Se han establecido los requisitos de ciberresiliencia en las
relaciones con dependencias externas, pero no se han documentado.
□ L3 - Se han documentado los requisitos de ciberresiliencia en los
acuerdos con dependencias externas, y se mantienen actualizados.
□ L4 - Se gestionan, actualizan y verifican los requisitos de
ciberresiliencia en los acuerdos con dependencias externas.
□ L5 - Se aplican acciones de mejora en los requisitos de
ciberresiliencia en los acuerdos con dependencias externas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización incluye los requisitos de
ciberresiliencia en todos los acuerdos con
entidades externas que apoyan las funciones
críticas que soportan los servicios esenciales.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 56 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Incluir los requisitos de ciberresiliencia en los acuerdos con entidades externas, de modo que:
Dichos requisitos sean exigibles por la organización.
Los acuerdos incluyan especificaciones detalladas y completas que deben cumplirse por la entidad externa.
Los acuerdos incluyan todos los estándares de rendimiento requeridos.
Los acuerdos se actualicen de modo que reflejen los cambios en las especificaciones durante la vigencia de la relación.
Tabla 39. Ficha Métrica R-DE-OE3-04
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 57 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE4-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo Gestionar la operación de dependencias externas.
Descripción
Se gestiona la operación de las dependencias externas que apoyan la
provisión del servicio esencial de acuerdo a los requisitos y servicios de
ciberresiliencia acordados.
Correlación
ISO/IEC 27001:2013 [A.15.2.1]
NIST SP 800-53 R4 [AR-4], [SA-3], [SA-9], [SA-12], [SA-13]
ENS [op.ext.2]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza una gestión de la operación de las dependencias
externas.
□ L1 - Se ha iniciado la gestión de la operación de las dependencias
externas.
□ L2 - Se ha establecido una gestión de la operación de las
dependencias externas, pero no se han documentado.
□ L3 - Se ha documentado la gestión de la operación de las
dependencias externas, y se mantiene actualizada.
□ L4 - Se monitoriza y verifica operación de las dependencias
externas.
□ L5 - Se aplican acciones de mejora para gestionar los problemas
operación de las dependencias externas.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización monitoriza periódicamente la
operación de las dependencias externas que
apoyan las funciones críticas que dan soporte a
los servicios esenciales para verificar que
cumplen los requisitos de ciberresiliencia
establecidos.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 58 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Monitorizar periódicamente la operación de las dependencias externas que apoyan las funciones críticas que dan soporte a los servicios esenciales, y analizar las desviaciones respecto de los requisitos de ciberresiliencia establecidos para comprender el impacto potencial sobre la organización.
Tabla 40. Ficha Métrica R-DE-OE4-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 59 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE5-01
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar las dependencias de servicios públicos y proveedores de
servicios de infraestructura.
Descripción
Se identifican las dependencias de servicios públicos que apoyen las
funciones críticas que soportan los servicios críticos (servicios de
emergencia, fuerzas del orden público, etc.).
Correlación
ISO/IEC 27001:2013 [A.15.2.2]
NIST SP 800-53 R4 [SA-3], [SA-12]
ENS [op.ext.2]
CARACTERIZACIÓN
Escala
□ L0 - No se identifican las dependencias de servicios públicos.
□ L1 - Se ha iniciado una identificación de las dependencias de
servicios públicos.
□ L2 - Se han identificado las dependencias de servicios públicos,
pero no se ha documentado.
□ L3 - Se han documentado las dependencias de servicios públicos,
y esta lista se mantiene actualizada.
□ L4 - Se gestiona, actualiza y verifica la identificación de las
dependencias de servicios públicos.
□ L5 - Se aplican acciones de mejora en la identificación de las
dependencias de servicios públicos.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización ha identificado y documentado las
dependencias de servicios públicos que den
soporte a los servicios críticos (servicios de
emergencia, fuerzas del orden público, etc.), y
dicha lista se mantiene actualizada.
Acciones
correctivas
- Realizar un examen a fondo de los servicios públicos que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.
Tabla 41. Ficha Métrica R-DE-OE5-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 60 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código R-DE-OE5-02
Meta RECUPERAR
Dominio
Funcional
GESTIÓN DE DEPENDENCIAS EXTERNAS
Objetivo
Identificar las dependencias de servicios públicos y proveedores de
servicios de infraestructura.
Descripción
Se identifican las dependencias de proveedores de servicios de
infraestructura que apoyen las funciones críticas que soportan los
servicios esenciales (operadoras de telecomunicaciones, energía,
etc.).
Correlación
ISO/IEC 27001:2013 [A.15.2.2]
NIST SP 800-53 R4 [SA-3], [SA-12]
ENS [op.ext.2]
CARACTERIZACIÓN
Escala
□ L0 - No se identifican las dependencias de proveedores de
servicios de infraestructura.
□ L1 - Se ha iniciado una identificación de las dependencias de
proveedores de servicios de infraestructura.
□ L2 - Se han identificado las dependencias de proveedores de
servicios de infraestructura, pero no se ha documentado.
□ L3 - Se han documentado las dependencias de proveedores de
servicios de infraestructura, y esta lista se mantiene actualizada.
□ L4 - Se gestiona, actualiza y verifica la identificación de las
dependencias de proveedores de servicios de infraestructura.
□ L5 - Se aplican acciones de mejora en la identificación de las
dependencias de proveedores de servicios de infraestructura.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización ha identificado y documentado las
dependencias de proveedores de servicios de
infraestructura que apoyen las funciones críticas
que soportan los servicios esenciales
(operadoras de telecomunicaciones, energía,
etc.), y dicha lista se mantiene actualizada.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 61 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Acciones
correctivas
- Realizar un examen a fondo de los proveedores de servicios de infraestructura que pueden ser vitales para la continuidad de las funciones críticas que soportan los servicios esenciales durante una interrupción, e incorporarlos como requisitos de ciberresiliencia en los planes de continuidad.
Tabla 42. Ficha Métrica R-DE-OE5-02
3.4. Evolucionar
A continuación se detallan las fichas para las cuatro (4) métricas seleccionadas
correspondientes a la meta de Evolucionar.
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código E-CC-OE1-01
Meta EVOLUCIONAR
Dominio
Funcional
GESTIÓN DE LA CONFIGURACIÓN Y EL CAMBIO
Objetivo Gestionar la integridad de los activos de información y tecnológicos.
Descripción
Se sigue un procedimiento de gestión de configuración de los equipos
asociados a las funciones críticas que soportan los servicios
esenciales.
Correlación
ISO/IEC 27001:2013 [A.12.1.2]
NIST SP 800-53 R4 [CM-1], [CM-2], [CM-3], [CM-6], [CM-9], [SA-5],
[SA-10]
ENS [op.exp.2]
CARACTERIZACIÓN
Escala
□ L0 - No existe un procedimiento de gestión de configuración de los
equipos.
□ L1 - Se ha iniciado un procedimiento de gestión de configuración de
los equipos.
□ L2 - Se ha establecido un procedimiento de gestión de
configuración de los equipos, pero no se han documentado.
□ L3 - Se ha documentado un procedimiento de gestión de
configuración de los equipos, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y revisa el procedimiento de gestión de
configuración de los equipos.
□ L5 - Se aplican acciones de mejora en el procedimiento de gestión
de configuración de los equipos.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 62 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización lleva a cabo la gestión de
configuración de los equipos asociados a las
funciones críticas que soportan los servicios
esenciales, haciendo que éstos se pueden
restaurar en una forma aceptable después de
una interrupción, y proporcionando un nivel de
control sobre los cambios que potencialmente
pueden alterar el soporte del activo a los
servicios esenciales.
Acciones
correctivas
- Establecer un procedimiento de gestión de configuración de sus activos tecnológicos.
Tabla 43. Ficha Métrica E-CC-OE1-01
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 63 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código E-CM-OE1-02
Meta EVOLUCIONAR
Dominio
Funcional
COMUNICACIÓN
Objetivo
Establecer mecanismos de comunicación, internos y externos a la
organización.
Descripción
Se establecen mecanismos eficaces de comunicación externa en
materia de ciberresiliencia (por ejemplo con clientes, proveedores,
medios de comunicación, fuerzas del estado, servicios de emergencia,
etc.).
Correlación NIST SP 800-53 R4 [IR-7], [SA-9]
CARACTERIZACIÓN
Escala
□ L0 - No se realiza comunicación con entidades externas en materia
de ciberresiliencia.
□ L1 - Se ha iniciado la comunicación con entidades externas en
materia de ciberresiliencia.
□ L2 - Se han establecido mecanismos de comunicación con
entidades externas en materia de ciberresiliencia, pero no se han
documentado.
□ L3 - Se han documentado los mecanismos de comunicación con
entidades externas en materia de ciberresiliencia, y se mantienen
actualizados.
□ L4 - Se gestiona, actualiza y verifica la comunicación con
entidades externas en materia de ciberresiliencia.
□ L5 - Se aplican acciones de mejora en la comunicación con
entidades externas en materia de ciberresiliencia.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización establece mecanismos eficaces
de comunicación externa de manera formal y
regular (por ejemplo con clientes, proveedores,
medios de comunicación, fuerzas del estado,
servicios de emergencia, etc.).
Acciones
correctivas
- Establecer mecanismos eficaces de comunicación externa.
Tabla 44. Ficha Métrica E-CM-OE1-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 64 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código E-CM-OE2-02
Meta EVOLUCIONAR
Dominio
Funcional
COMUNICACIÓN
Objetivo Garantizar la disponibilidad de los medios de comunicación.
Descripción
Se mantiene una capacidad de comunicación aceptable en caso de
interrupción de la provisión del servicio esencial.
Correlación
ISO/IEC 27001:2013 [A.11.2.3], [A.13.1.1]
NIST SP 800-53 R4 CP-2(2)[2] , CP-8, SC-1
ENS [mp.com.9]
CARACTERIZACIÓN
Escala
□ L0 - No se realizan pruebas de las capacidades de comunicación.
□ L1 - Se han iniciado las pruebas de las capacidades de
comunicación.
□ L2 - Se ha establecido un procedimiento para probar las
capacidades de comunicación.
□ L3 - Se ha documentado un procedimiento para probar las
capacidades de comunicación, y se mantiene actualizado.
□ L4 - Se gestiona, actualiza y verifica el procedimiento para probar
las capacidades de comunicación.
□ L5 - Se aplican acciones de mejora en el procedimiento para
probar las capacidades de comunicación.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5
Indicador
Valores
positivos
Valores tendentes a L5 significan que la
organización prueban las capacidades de
comunicación a utilizar en caso de interrupción
de la operación normal de las funciones críticas
que soportan los servicios esenciales para
garantizar la disponibilidad de los medios de
comunicación.
Acciones
correctivas
- Establecer un procedimiento para probar las capacidades de comunicación a utilizar en caso de interrupción de la operación normal de las funciones críticas que soportan los servicios esenciales.
Tabla 45. Ficha Métrica E-CM-OE2-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 65 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
CAMPO INFORMACIÓN
IDENTIFICACIÓN
Código E-CM-OE3-02
Meta EVOLUCIONAR
Dominio
Funcional
COMUNICACIÓN
Objetivo Comunicar la estrategia de continuidad a toda la organización.
Descripción
Se garantiza la comunicación de responsabilidades y autoridades
dentro del plan de continuidad a todo el personal implicado.
Correlación
ISO/IEC 27001:2013 [A.17.1.3]
NIST SP 800-53 R4 [CP-2(a)(3)], [CP-3]
ENS [op.cont.2]
CARACTERIZACIÓN
Escala
□ L0 - No se comunican las responsabilidades al personal implicado
en los planes de continuidad.
□ L1 - Se ha iniciado la comunicación de responsabilidades al
personal implicado en los planes de continuidad.
□ L2 - Se han establecido las responsabilidades al personal implicado
en los planes de continuidad, pero no se han documentado.
□ L3 - Se han documentado las responsabilidades al personal
implicado en los planes de continuidad, y se mantienen actualizadas.
□ L4 - Se gestionan, actualizan y verifican las responsabilidades al
personal implicado en los planes de continuidad.
□ L5 - Se aplican acciones de mejora en las responsabilidades al
personal implicado en los planes de continuidad.
OBTENCIÓN
Método de recogida Manual
Responsable
CSO (Chief Security Officer) y/o CISO (Chief Information
Security Officer)
ANÁLISIS
Medida
Objetivo
L5.
Indicador
Valores
positivos
Valores tendentes a L5 implicarían que la
organización garantiza la comunicación de
responsabilidades y autoridades dentro del plan
de continuidad a todo el personal implicado,
tanto interno como proveedores implicados, con
el objetivo de que conozca sus funciones y
responsabilidades.
Acciones
correctivas
- Establecer un procedimiento para la comunicación de responsabilidades y autoridades dentro del plan de continuidad a todo el personal implicado.
Tabla 46. Ficha Métrica E-CM-OE3-02
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 66 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE
4. REFERENCIAS
[1] Gobierno de España, “ESTRATEGIA DE SEGURIDAD NACIONAL,” 2013. [Online].
Available:
http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpd
f.pdf.
[2] Gobierno de España, “ESTRATEGIA NACIONAL DE CIBERSEGURIDAD,” 2013.
[Online]. Available: http://www.dsn.gob.es/es/file/146/download?token=Kl839vHG.
ENSI_IMC_02- Diccionario de Indicadores para Mejora de la Ciberresiliencia (IMC) Página 67 de 67
Esquema Nacional de Seguridad Industrial TLP:WHITE
TLP:WHITE