Nivel del responsable de Ciberseguridad

Marco de Referencia del SGCI

Dominio 1: Definición de Estrategia de
Ciberseguridad Industrial
1. Fundamentos del Negocio: Alinear el SGCI con los requisitos de
negocio
2. Alcance del SGCI: Identificar el ámbito de ampliación del SGCI. Cuáles
son los componentes de la organización que están afectados por el
SGCI
3. Política de seguridad que se aplicará sobre lo que se halla definido y
establecimiento de las responsabilidades para al consecución
4. Identificar los roles dentro de SGCI
Fundamentos del Negocio: Alinear el SGCI con los
requisitos de negocio I
a) Comprender la visión, misión, metas, valores y estrategias de la organización: Obtener una
perspectiva general de la organización, visión, misión, principales propósitos, valores, estrategia.
b) Analizar el entorno externo: Identificación y análisis de las amenazas. Utilización de herramientas
pasivas de reconocimiento (NOZOMI)
c) Analizar el entrono interno: Comprender la estructura organizativa y los principales actores en los
niveles organizativos
i. Estratégico: ¿Quién toma las decisiones?
ii. Táctico: ¿Quién coordina y gestiona las operaciones?
iii. Operacional: Quienes están implicados en la producción de las actividades y soporte de las mismas.
d) Identificar Procesos, servicios y recursos claves
i. Productos y servicios de la organización (NOZOMI)
ii. Procesos y servicios clave que permiten al business llevar a cabo la misión (NOZOMI)
iii. Cuales son los sistemas IT/OT/ICS que soportan estos servicios y procesos (NOZOMI)
iv. Proveedores claves que intervienen en el business
e) Identificación y análisis de las partes interesadas
i. Analizar las necesidad y expectativas, relativas a la seguridad
ii. Validar que partes de esas necesidades deben verse implicadas en el SGCI
iii. Identificar los responsables de los niveles requeridos en el SGCI para su futura participación
Fundamentos del Negocio: Alinear el SGCI con los
requisitos de negocio II
a) Identificación de los que es de carácter externo e interno, obligatorio y voluntario
i. Obligatorio de carácter externo: Leyes y regulaciones que se deben cumplir
ii. Obligatorio de carácter interno: Obligaciones contractuales.
iii. Voluntario de carácter externo: Normas internacionales y códigos de buenas practicas
iv. Voluntario de carácter interno: Políticas, códigos de buenas practicas…
b) Determinar los criterios de evaluación de aceptación de riesgo
i. La naturaleza y el tipo de amenaza
ii. Probabilidades de que ocurra
iii. Como se va a determinar el nivel de riesgo
iv. Cual es el nivel de riesgo que el business está dispuesto a asumir

• NOTA: El Anexo I describe en una platilla todo lo relacionado a los

fundamentos del negocio.
Alcance del SGCI I
o Alcance Técnico-operativo

a) Por proceso y servicio: Define el alcance del SGCI mediante la descripción de los
procesos y servicios que formarán parte del sistema a aplicar el SGCI. (NOZOMI)
b) Por componente: Será necesario desarrollar un inventario de componentes que
contenga, al menos, la siguiente información:
i. Identificador: Identificador único del componente (NOZOMI)
ii. Descripción: Descripción del componente incluyendo sus características hardware y
software (NOZOMI)
iii. Propietario: Propietario del componente
iv. Tipo: Tipo de componente (sistema físico, sistema lógico, personal, información, servicio,
proceso, etc.). (NOZOMI)

• NOTA: En el Anexo III se proporciona una plantilla para ayudar a la

descripción del alcance del SGCI.
Alcance del SGCI II

o Alcance de Roles de personal operativo

a) Describir para cada puesto las responsabilidades de:

b) Garantizar la seguridad de los sistemas
c) Garantizar al confidencialidad
d) Uso responsable
e) Utilización de buenas practicas
f) Seguridad de los activos
• NOTA: En el Anexo II proporciona una plantilla para ayudar a la
definición de roles y funcionalidades
Dominio 2: Gestión de los Riesgos
1. Identificación de activos
2. Identificación de amenazas
3. Identificación de controles existentes
4. Identificación de vulnerabilidades
5. Cálculo del riesgo
6. Tratamiento del Riesgo
Identificación de activos dentro de cada área
 Identificación de activos dentro de cada área
Enterprise Zone(IT) Plant Zone(OT) Control Zone(ICS)
– Infrastructure – Production — BPCS (Basic Process Control Sytems)
 Active Directory Server  Application Servers  PLCs
 DHCP Server  Database systems  Engineering Workstation(s)
 DNS Server  Backup systems  HMI
 Local Antivirus Server (GUP) – Shop floor  PDAs
 File Server  PC desktop; ― SIS (Safety Instrumented Systems)
 NTP Server  PC laptop;  Instrument Asset Management
 RADIUS/TACACS/RF  Printers System
– Production  VoIP Phone  Terminal diagnosis
 Front End application Server
― DMZ ― Process Equipment
 Back End application Server
 Pump Controlers
 MES  Third Party Devices
 Transmitters
 Database system  Shared Sytems
 Block & Control Valves
 Backup system
― Control Center
– Office
 SCADA
 PC desktop;
 Data Historian
 PC laptop;
 DCS Control Dsitribuido
 Printer
― DMZ
 VoIP Phones
 Third Party Devices
― DMZ
 Shared Sytems
 Third Party Devices
 Shared Sytems
Identificación de amenazas

NOZOMI

NOTA: En el Anexo II proporciona una plantilla para ayudar a la definición de

roles y funcionalidades
Identificación de amenazas