Se establece y mantiene una política de ciberseguridad que aborda el propósito, el alcance, los roles, las responsabilidades y la coordinación.GV.OC-01
Cumple
Parcial
No Cumple
No Aplica
Se establecen y comunican los roles y responsabilidades de ciberseguridad para todo el personal.GV.OC-02
La política de ciberseguridad es revisada y aprobada por la alta dirección al menos anualmente.GV.OC-03
Se establece un proceso para identificar, analizar y evaluar los riesgos de ciberseguridad para los sistemas, activos, datos y capacidades de la organización.GV.RM-01
Las tolerancias al riesgo de la organización se determinan y se comunican claramente.GV.RM-02
Se mantiene un inventario de los activos de hardware (físicos y virtuales) de la organización.ID.AM-01
Se mantiene un inventario de los activos de software y servicios de la organización.ID.AM-02
Se comprende el propósito comercial y la criticidad de los sistemas y activos de la organización.ID.BE-01
Se identifican y documentan las vulnerabilidades de los activos.ID.RA-01
Se reciben y gestionan las notificaciones de vulnerabilidades de fuentes externas.ID.RA-02
Se gestionan las identidades y credenciales para usuarios, dispositivos y otros activos.PR.AC-01
El acceso físico a los activos está gestionado y protegido.PR.AC-02
El acceso remoto se gestiona y se controla de forma segura.PR.AC-03
El personal recibe formación de concienciación sobre seguridad al ser contratado y de forma continua.PR.AT-01
Los datos en reposo están protegidos mediante cifrado y controles de acceso.PR.DS-01
Los datos en tránsito están protegidos, por ejemplo, mediante cifrado (TLS, IPsec).PR.DS-02
Se monitorea la red para detectar eventos anómalos y posibles incidentes de seguridad.DE.CM-01
Se monitorea la actividad maliciosa en los puntos finales (endpoints).DE.CM-02
Se establecen umbrales para alertar sobre actividades que exceden los patrones normales.DE.CM-03
Se ejecuta un plan de respuesta a incidentes durante o después de un evento.RS.RP-01
Se coordina la respuesta a incidentes con las partes interesadas internas y externas.RS.CO-01
Se realiza un análisis forense para determinar el impacto y la causa raíz de un incidente.RS.AN-01
Se toman acciones para prevenir la expansión de un incidente y mitigar sus efectos.RS.MI-01
Se ejecuta un plan de recuperación para restaurar los sistemas y activos afectados.RC.RP-01
Se implementan mejoras a partir de las lecciones aprendidas para prevenir futuros incidentes.RC.IM-01
Se gestionan las relaciones públicas y la comunicación con los clientes después de un incidente.RC.CO-01