4.2.1 Activos críticos Cada entidad responsable identificará y documentará sus activos críticos basada en los criterios del Anexo 1: Criterios de activos críticos. 

Anexo 1 - Criterios de activos críticos Los siguientes son considerados activos críticos: 1.1. Cada grupo de unidades de generación en una localización de planta simple con capacidad efectiva neta mayor o igual 20 MW. 1.2. Cada recurso o grupo de recursos de potencia reactiva (excepto generadores) instalados desde el Nivel IV hasta el STN. 1.3. Todas las subestaciones con sus respectivas bahías, en aquellas subestaciones con nivel de tensión IV y superior. 1.4. Flexible AC Transmisión Systems (FACTS) instalados en subestaciones con nivel de tensión IV y superior. 1.5. Esquemas especiales de protección como los esquemas suplementarios, que operan de tal manera que garantizan la confiabilidad del sistema. 1.6. Cada sistema que ejecuta desconexión automática de carga por bajo voltaje o baja frecuencia. 1.7. Cada centro de control o centro de control de respaldo usado para ejecutar las obligaciones funcionales del operador del sistema, Generador, Transmisor o Distribuidor. 1.8. Cualquier activo adicional que soporte la operación confiable de interconexiones internacionales. 1.9. Cualquier activo adicional que soporte la operación confiable del SIN que la entidad responsable estime adecuado incluir en su evaluación 

 5.3.6 Administración de accesos Cada entidad responsable deberá implementar actividades de administración de acceso lógico y físico. 

 4.2.2 Ciberactivos críticos Usando la lista de activos críticos desarrollada según el requisito anterior, cada entidad responsable identificará y documentará sus ciberactivos críticos, esenciales para la operación de los activos críticos. Los ciberactivos críticos son calificados como aquellos que tienen al menos una de las siguientes características: • El ciberactivo usa un protocolo enrutable para comunicarse afuera del perímetro de seguridad electrónica, o, • El ciberactivo usa un protocolo enrutable con un centro de control, o, • El ciberactivo es accesible por marcación. 

 8.3.2 Documentación de pruebas o simulacros La entidad responsable debe disponer de registros documentales de las pruebas o simulacros que se realicen periódicamente y las acciones de mejora como resultados de las pruebas. 

 9.3.2 Documentación de pruebas o simulacros La entidad responsable debe disponer de registros documentales de las pruebas o simulacros que se realicen periódicamente y las acciones de mejora como resultados de las pruebas. 

60 equipos

 5.3.3 Evaluación personal Cada entidad responsable realizara la evaluación de riesgos del personal que tendrá acceso físico autorizado no escoltado y acceso lógico no supervisado a los ciberactivo críticos, sea este, propio, externo y/o de la cadena de suministro, para otorgar y conservar el acceso lógico y físico autorizado La evaluación de riesgos del personal debe incluir: • Confirmar la identidad de las personas. • Estudio de seguridad incluyendo validación de antecedentes al inicio y con una revisión periódica no superior a cinco (5) años. 

44

 7.3.2 Herramientas de prevención de malware La entidad responsable deberá implementar herramientas de prevención de software malicioso donde sea técnicamente posible. 

11

163

9

 6.3.2 Listas de acceso La entidad responsable mantendrá lista(s) del personal con acceso físico no escoltado o acceso lógico a los ciberactivos críticos. Cada entidad responsable revisará la lista de su personal con acceso físico y/o lógico a ciberactivos críticos semestralmente y actualizará la lista en siete (7) días calendario ante cualquier cambio. 

86

11

 6.3.1 Perímetros de seguridad electrónica La entidad responsable deberá identificar y documentar perímetros de seguridad electrónica, los puntos y requisitos de acceso a los mismos, asegurando que cada ciberactivo crítico resida dentro de un perímetro de seguridad electrónica. 

 11.3.1 Plan de Gestión de riesgo de la cadena de suministro La entidad responsable deberá documentar, implementar y mantener un plan, aprobado por el responsable de ciberseguridad y actualizado máximo a 24 meses. 

8.3.1 Plan de recuperación y resiliencia
La entidad responsable debe tener y revisar con periodicidad anual el plan de
recuperación para los ciberactivos críticos, este debe considerar como mínimo:
• Definir los roles y responsabilidades de los recursos asignados.
• Incluir los procedimientos para el respaldo y almacenamiento de la
información necesaria para la recuperación efectiva de los ciberactivos
críticos.
• Procedimientos de verificación de respaldos que confirmen que estos se
realicen de manera satisfactoria y asegurar que la información sea integra y
esté disponible.
• Procedimientos de contingencia y continuidad que faciliten la resiliencia del
proceso. 

 9.3.1 Plan de respuesta a incidentes La entidad responsable debe tener y revisar con periodicidad anual el plan de respuesta a incidentes para los ciberactivos críticos, este debe considerar como mínimo: • Identificar, clasificar y especificar las acciones y procedimientos requeridos para la gestión oportuna de eventos, evento de seguridad, y alertas derivadas de los mismos o recibidas de los centros de respuesta a incidentes sectoriales o nacionales, así como la respuesta a los incidentes que se identifiquen. • Las condiciones que podrían activar los planes de escalamiento a nivel interno y externo, las cuales deben ser coherentes con los requerimientos de los centros de respuesta a incidentes sectoriales y nacionales que hayan sido asignados para defender al sector eléctrico, si las hubiere. • Definir los roles y responsabilidades de los recursos asignados. • Especificar los recursos tecnológicos que apoyan estas labores para que los eventos de seguridad sean identificados y gestionados oportunamente. 

10.3.1 Plan de seguridad física
La entidad responsable tendrá un plan de seguridad física documentando la
implementación, revisión y actualización del control, monitoreo, registro,
mantenimiento y pruebas del acceso físico y de los sistemas de seguridad
asociados. Este plan deberá considerar, como mínimo, lo siguiente:
• Todos los ciberactivos críticos definidos en un perímetro de seguridad
electrónico deberán residir dentro de un perímetro de seguridad física. En los
casos para los cuales un límite (“6 paredes”) no pueda ser establecido, el
responsable de la entidad deberá documentarlo como excepción e
implementar medidas alternativas para controlar el acceso físico a dichos
ciberactivos críticos.
• Identificar las medidas para controlar el acceso a todos los puntos de acceso
físico de cada perímetro de seguridad física.
• Definir los procedimientos y herramientas para monitorear el acceso físico a
los perímetros.
• Definir la emisión de alertas o alarmas en respuesta el acceso no autorizado,
las cuales deben ser notificadas al personal de respuesta a incidentes de
ciberactivos críticos.
• Documentar e implementar las operaciones y procedimientos de control para
manejar y registrar el acceso físico a todos los puntos de acceso del
perímetro(s) de seguridad física.

318

 5.3.1 Política y lineamiento de ciberseguridad Definir una política o lineamiento de ciberseguridad donde se establezcan los compromisos de la empresa y recursos para cumplir con la guía de ciberseguridad y aprobarla al nivel organizacional que garantice su cumplimiento. 

30

7.3.5 Procedimiento de actualizaciones y parches de seguridad

La entidad responsable deberá realizar la instalación de actualizaciones y parches
de seguridad de manera periódica según el procedimiento definido

 7.3.1 Procedimiento de control de cambios y gestión de configuraciones La entidad responsable deberá documentar los cambios y la gestión de la configuración sobre los ciberactivos críticos y la evaluación del riesgo e impacto sobre ciberseguridad, Se deberá asegurar que nuevos ciberactivos críticos y cambios en ciberactivos críticos existentes dentro del perímetro de seguridad electrónica, no afecten adversamente los controles de ciberseguridad existentes. 

 7.3.4 Procedimiento de control ciberactivos críticos transitorios y medios extraíbles Cada entidad responsable deberá tomar medidas para mitigar los riesgos asociados al uso de ciberactivos críticos transitorios y medios extraíbles, con el fin de prevenir el acceso no autorizado a la red e información y la propagación de malware a los ciberactivos críticos existentes. 

 10.3.3 Procedimiento de control de visitantes La entidad tendrá uno o más procedimientos de control de visitantes. 

 7.3.3 Procedimiento de evaluación de vulnerabilidades Cada entidad responsable deberá efectuar una evaluación de vulnerabilidad de los ciberactivos críticos y de todos los puntos electrónicos de acceso al (los) perímetro(s) de seguridad electrónica como máximo cada dos (2) años. La entidad responsable deberá realizar una evaluación de vulnerabilidad antes de adicionar un nuevo ciberactivo crítico al entorno de producción, y también cuando se realicen reemplazos programados de ciberactivos críticos existentes. La entidad responsable debe documentar el resultado de las evaluaciones de vulnerabilidad realizadas y los planes de acción para remediar o mitigar los hallazgos identificados, incluidas las fechas planificadas para completar cada plan de acción y los estados de ejecución 

 10.3.4 Procedimiento de mantenimiento y pruebas La entidad tendrá uno o más procedimientos de mantenimientos y pruebas periódicas del sistema de control relacionados a la seguridad física. 

 6.3.3 Procedimiento de monitoreo y registro de acceso La entidad responsable implementará y documentará procedimientos para el monitoreo y registro de accesos lógicos permitidos y denegados en puntos de acceso al (los) perímetro(s) de seguridad electrónica veinticuatro (24) horas al día, siete (7) días por semana. 

5.3.9 Procedimiento de revocación de accesos
Cada entidad responsable implementará uno o más procedimiento de revocación
de acceso documentados los cuales incluyan los siguientes escenarios:

• Un procedimiento en caso de terminación laboral con un bloqueo de cuenta
para los accesos físicos y remotos dentro de las veinte cuatro (24) horas de
acción de la terminación.
• Un procedimiento de revocación (eliminar o inhabilitar) de cuentas
bloqueadas en un tiempo máximo de treinta (30) días calendario posteriores
a la acción de terminación.
• Para las acciones de terminación laboral, cambie las contraseñas de las
cuentas compartidas conocidas por el usuario dentro de los treinta (30) días
calendario posteriores a la acción de terminación.
• Para reasignaciones o transferencias, cambie las contraseñas de cuentas
compartidas conocidas por el usuario dentro de los treinta (30) días
calendario siguientes a la fecha en que la entidad responsable determine que
la persona ya no requiere de ese acceso.
• En caso de un impedimento técnico para el bloqueo o revocación éste deberá
documentarse con su respectivo análisis de riesgos y controles
compensatorios que los mitiguen

 6.3.5 Procedimiento para habilitar los puntos de acceso La entidad responsable establecerá, documentará e implementará un procedimiento para garantizar que solamente aquellos puertos y servicios requeridos para las operaciones normales y de emergencia sean habilitados en cada punto de acceso de los perímetros de seguridad electrónica. 

 7.3.6 Procedimiento para identificar y monitorear eventos La entidad responsable se asegurará que todos los ciberactivos críticos dentro del perímetro de seguridad electrónica, donde sea técnicamente factible, cuenten con herramientas automatizadas o controles organizacionales de procedimiento para monitorear eventos del sistema. 

 6.3.6 Procedimiento para la administración de conexiones temporales La entidad responsable establecerá, documentará e implementará procedimientos de administración de conexiones temporales dentro del perímetro de seguridad electrónica. 

 5.3.4 Programa de conciencia de seguridad Toda entidad responsable debe contar con uno o varios programas de conciencia de seguridad, Se debe realizar concientización anual para todos los empleados y terceros que tienen acceso con los ciberactivos críticos. 

 5.3.5 Programa de entrenamiento y capacitación Toda entidad debe contar con un programa de entrenamiento y capacitación según el rol desempeñado y su criticidad, este debe contener los siguientes elementos: • Políticas o lineamiento de ciberseguridad. • Controles de acceso físico y control de visitantes. • Controles de acceso electrónicos. • Manejo de ciberactivos críticos, Información y su almacenamiento. • Gestión de incidente de ciberseguridad, notificaciones iniciales de acuerdo con el procedimiento de respuesta a incidentes de la entidad y respuesta a incidentes de seguridad. • Procedimiento de recuperación para ciberactivos críticos. • Riesgos de ciberseguridad asociados con la interconectividad e interoperabilidad con ciberactivos críticos. 

 8.3.5 Pruebas a los respaldos y mecanismos de contingencia y continuidad La entidad responsable debe realizar pruebas funcionales a una muestra significativa de los respaldos realizados y de los mecanismos de contingencia y continuidad establecidos para el ciberactivo critico. 

 8.3.3 Registro de cambios del procedimiento de recuperación y resiliencia La entidad responsable debe disponer de los registros de cambios efectuados a los procedimientos de recuperación y resiliencia, así como, documentación de la divulgación de los mismos. Estos deben reflejarse máximo noventa (90) días después de realizadas las pruebas y/o simulacros. 

 9.3.3 Registro de cambios del procedimiento de respuesta a incidentes La entidad responsable debe disponer de los registros de cambios efectuados a los procedimientos de respuesta a incidentes, así como, documentación de la divulgación de los mismos. Estos deben reflejarse máximo noventa (90) días después de realizadas las pruebas y/o simulacros. 

234

Las pruebas se deben solicitar con un mínimo de 8 días

Servicio de AGC y pruebas de sintonía

 8.3.4 Respaldos y almacenamiento de información La entidad responsable debe realizar respaldos y almacenamientos de información necesaria para el restablecimiento de la operación de los ciberactivos críticos. 

 5.3.2 Responsable de ciberseguridad Asignar un Responsable de Ciberseguridad formalmente y notificarlo al CNO, mediante comunicación escrita dirigida al secretario técnico, en caso de modificación se debe contemplar: • Reportar el cambio del responsable con máximo treinta (30) días hábiles de anterioridad al CNO, en caso de desvinculación del responsable, esta se debe notificar en un plazo máximo cinco (5) días hábiles después de la misma, indicando su reemplazo. En caso de delegación se debe contemplar: • Implementar y documentar el procedimiento de delegación de la autoridad. • El responsable de ciberseguridad puede delegar la autoridad para acciones específicas. Esta delegación debe estar documentada, incluyendo el nombre del titular del delegado, las acciones específicas a delegar y la fecha de la delegación; aprobado por el responsable de ciberseguridad y actualizado máximo a treinta (30) días de cualquier cambio de delegación. 

 10.3.2 Restricción de acceso físico La entidad responsable deberá restringir el acceso físico al cableado y otros componentes de comunicación no programables utilizados para la conexión entre ciberactivos críticos aplicables dentro del mismo perímetro de seguridad electrónica o entre perímetros de seguridad electrónica en aquellos casos en que dicho cableado y componentes estén ubicados fuera de un perímetro de seguridad física. En caso de que no se implementen restricciones de acceso físico a dicho cableado y componentes, la entidad responsable deberá documentar e implementar uno o más de los siguientes: • Encriptación de datos que transitan por los cables y componentes. • Monitorear el estado del enlace de comunicación compuesto de dicho cableado y componentes y emitir una alarma o alerta en respuesta a fallas de comunicación detectadas al personal identificado en procedimiento de respuesta al incidente de ciberseguridad de ciberactivos críticos • Protección lógica igualmente efectiva. 

52

33

63

 6.3.7 Sistema de control intermedio La entidad responsable debe implementar un sistema de control intermedio para todas las conexiones remotas interactivas que permita monitorear, cifrar y controlar la autorización con controles de doble factor de autenticación.
1498 ciberactivos 

335

 6.3.4 Validación de cambios Cada entidad responsable deberá asegurar que nuevos ciberactivos críticos y cambios en ciberactivos críticos existentes dentro del perímetro de seguridad electrónica, no afecten adversamente los controles de ciberseguridad existentes, esto debe incluir la aprobación de cambio por el responsable de ciberseguridad o su delegado 

 5.3.8 Verificación de cuentas y privilegios de acceso Cada entidad responsable deberá verificar al menos una (1) vez cada año que el acceso electrónico y/o físico para todas las cuentas de usuario, grupos de cuentas de usuario o categorías de roles de usuario, y sus privilegios asociados específicos sean correctos y que sean los que la entidad responsable determine que sean necesarios. 

 5.3.7 Verificación de los registros de autorización Cada entidad responsable deberá verificar al menos una (1) vez cada semestre calendario que las personas con acceso electrónico activo o acceso físico sin escolta tengan registros de autorización.