IMPORTANT: Onodo will close on June 30th. Please back up your data!
Nodo | Tipo | Descripción | Visible | Periodicidad | Entrega |
---|---|---|---|---|---|
Activos | Definición | 4.2.1 Activos críticos Cada entidad responsable identificará y documentará sus activos críticos basada en los criterios del Anexo 1: Criterios de activos críticos. Anexo 1 - Criterios de activos críticos Los siguientes son considerados activos críticos: 1.1. Cada grupo de unidades de generación en una localización de planta simple con capacidad efectiva neta mayor o igual 20 MW. 1.2. Cada recurso o grupo de recursos de potencia reactiva (excepto generadores) instalados desde el Nivel IV hasta el STN. 1.3. Todas las subestaciones con sus respectivas bahías, en aquellas subestaciones con nivel de tensión IV y superior. 1.4. Flexible AC Transmisión Systems (FACTS) instalados en subestaciones con nivel de tensión IV y superior. 1.5. Esquemas especiales de protección como los esquemas suplementarios, que operan de tal manera que garantizan la confiabilidad del sistema. 1.6. Cada sistema que ejecuta desconexión automática de carga por bajo voltaje o baja frecuencia. 1.7. Cada centro de control o centro de control de respaldo usado para ejecutar las obligaciones funcionales del operador del sistema, Generador, Transmisor o Distribuidor. 1.8. Cualquier activo adicional que soporte la operación confiable de interconexiones internacionales. 1.9. Cualquier activo adicional que soporte la operación confiable del SIN que la entidad responsable estime adecuado incluir en su evaluación |
Visibilidad | ||
Administración de accesos | Actividad | 5.3.6 Administración de accesos Cada entidad responsable deberá implementar actividades de administración de acceso lógico y físico. |
Visibilidad | ||
Ciberactivos críticos | Inventario | 4.2.2 Ciberactivos críticos Usando la lista de activos críticos desarrollada según el requisito anterior, cada entidad responsable identificará y documentará sus ciberactivos críticos, esenciales para la operación de los activos críticos. Los ciberactivos críticos son calificados como aquellos que tienen al menos una de las siguientes características: • El ciberactivo usa un protocolo enrutable para comunicarse afuera del perímetro de seguridad electrónica, o, • El ciberactivo usa un protocolo enrutable con un centro de control, o, • El ciberactivo es accesible por marcación. |
Visibilidad | ||
Documentación de pruebas y simulacros | Actividad | 8.3.2 Documentación de pruebas o simulacros La entidad responsable debe disponer de registros documentales de las pruebas o simulacros que se realicen periódicamente y las acciones de mejora como resultados de las pruebas. 9.3.2 Documentación de pruebas o simulacros La entidad responsable debe disponer de registros documentales de las pruebas o simulacros que se realicen periódicamente y las acciones de mejora como resultados de las pruebas. |
Visibilidad | ||
Estación | Ciberactivo | 60 equipos |
Visibilidad | ||
Evaluación de riesgo personal | Procedimiento | 5.3.3 Evaluación personal Cada entidad responsable realizara la evaluación de riesgos del personal que tendrá acceso físico autorizado no escoltado y acceso lógico no supervisado a los ciberactivo críticos, sea este, propio, externo y/o de la cadena de suministro, para otorgar y conservar el acceso lógico y físico autorizado La evaluación de riesgos del personal debe incluir: • Confirmar la identidad de las personas. • Estudio de seguridad incluyendo validación de antecedentes al inicio y con una revisión periódica no superior a cinco (5) años. |
Visibilidad | Al inicio y revisiones periodicas no mayores a 5 años | |
Firewalls | Ciberactivo | 44 |
Visibilidad | ||
Herramienta de prevención de malware | Implementación | 7.3.2 Herramientas de prevención de malware La entidad responsable deberá implementar herramientas de prevención de software malicioso donde sea técnicamente posible. |
Visibilidad | ||
Host virtualización | Ciberactivo | 11 |
Visibilidad | ||
IHM | Ciberactivo | 163 |
Visibilidad | ||
Impresora | Ciberactivo | 9 |
Visibilidad | ||
Listas de acceso | Inventario | 6.3.2 Listas de acceso La entidad responsable mantendrá lista(s) del personal con acceso físico no escoltado o acceso lógico a los ciberactivos críticos. Cada entidad responsable revisará la lista de su personal con acceso físico y/o lógico a ciberactivos críticos semestralmente y actualizará la lista en siete (7) días calendario ante cualquier cambio. |
Visibilidad | Revisión semestral, actualización de la lista en 7 días calendario luego de un cambio | |
Medidor | Ciberactivo | 86 |
Visibilidad | ||
NAS | Ciberactivo | 11 |
Visibilidad | ||
Perímetro de seguridad electrónica | Definición | 6.3.1 Perímetros de seguridad electrónica La entidad responsable deberá identificar y documentar perímetros de seguridad electrónica, los puntos y requisitos de acceso a los mismos, asegurando que cada ciberactivo crítico resida dentro de un perímetro de seguridad electrónica. |
Visibilidad | ||
Plan de gestión de la cadena de suministro | Plan | 11.3.1 Plan de Gestión de riesgo de la cadena de suministro La entidad responsable deberá documentar, implementar y mantener un plan, aprobado por el responsable de ciberseguridad y actualizado máximo a 24 meses. |
Visibilidad | ||
Plan de recuperación y resilencia | Plan | 8.3.1 Plan de recuperación y resiliencia La entidad responsable debe tener y revisar con periodicidad anual el plan de recuperación para los ciberactivos críticos, este debe considerar como mínimo: • Definir los roles y responsabilidades de los recursos asignados. • Incluir los procedimientos para el respaldo y almacenamiento de la información necesaria para la recuperación efectiva de los ciberactivos críticos. • Procedimientos de verificación de respaldos que confirmen que estos se realicen de manera satisfactoria y asegurar que la información sea integra y esté disponible. • Procedimientos de contingencia y continuidad que faciliten la resiliencia del proceso. |
Visibilidad | Anual | |
Plan de respuesta a incidentes | Plan | 9.3.1 Plan de respuesta a incidentes La entidad responsable debe tener y revisar con periodicidad anual el plan de respuesta a incidentes para los ciberactivos críticos, este debe considerar como mínimo: • Identificar, clasificar y especificar las acciones y procedimientos requeridos para la gestión oportuna de eventos, evento de seguridad, y alertas derivadas de los mismos o recibidas de los centros de respuesta a incidentes sectoriales o nacionales, así como la respuesta a los incidentes que se identifiquen. • Las condiciones que podrían activar los planes de escalamiento a nivel interno y externo, las cuales deben ser coherentes con los requerimientos de los centros de respuesta a incidentes sectoriales y nacionales que hayan sido asignados para defender al sector eléctrico, si las hubiere. • Definir los roles y responsabilidades de los recursos asignados. • Especificar los recursos tecnológicos que apoyan estas labores para que los eventos de seguridad sean identificados y gestionados oportunamente. |
Visibilidad | ||
Plan de seguridad física | Plan | 10.3.1 Plan de seguridad física La entidad responsable tendrá un plan de seguridad física documentando la implementación, revisión y actualización del control, monitoreo, registro, mantenimiento y pruebas del acceso físico y de los sistemas de seguridad asociados. Este plan deberá considerar, como mínimo, lo siguiente: • Todos los ciberactivos críticos definidos en un perímetro de seguridad electrónico deberán residir dentro de un perímetro de seguridad física. En los casos para los cuales un límite (“6 paredes”) no pueda ser establecido, el responsable de la entidad deberá documentarlo como excepción e implementar medidas alternativas para controlar el acceso físico a dichos ciberactivos críticos. • Identificar las medidas para controlar el acceso a todos los puntos de acceso físico de cada perímetro de seguridad física. • Definir los procedimientos y herramientas para monitorear el acceso físico a los perímetros. • Definir la emisión de alertas o alarmas en respuesta el acceso no autorizado, las cuales deben ser notificadas al personal de respuesta a incidentes de ciberactivos críticos. • Documentar e implementar las operaciones y procedimientos de control para manejar y registrar el acceso físico a todos los puntos de acceso del perímetro(s) de seguridad física. |
Visibilidad | ||
PLC | Ciberactivo | 318 |
Visibilidad | ||
Política y lineamiento de ciberseguridad | Política | 5.3.1 Política y lineamiento de ciberseguridad Definir una política o lineamiento de ciberseguridad donde se establezcan los compromisos de la empresa y recursos para cumplir con la guía de ciberseguridad y aprobarla al nivel organizacional que garantice su cumplimiento. |
Visibilidad | ||
Portatil | Ciberactivo | 30 |
Visibilidad | ||
Procedimiento de actualizaciones y parches de seguridad | Procedimiento | 7.3.5 Procedimiento de actualizaciones y parches de seguridad La entidad responsable deberá realizar la instalación de actualizaciones y parches de seguridad de manera periódica según el procedimiento definido |
Visibilidad | ||
Procedimiento de control de cambios y configuraciones | Procedimiento | 7.3.1 Procedimiento de control de cambios y gestión de configuraciones La entidad responsable deberá documentar los cambios y la gestión de la configuración sobre los ciberactivos críticos y la evaluación del riesgo e impacto sobre ciberseguridad, Se deberá asegurar que nuevos ciberactivos críticos y cambios en ciberactivos críticos existentes dentro del perímetro de seguridad electrónica, no afecten adversamente los controles de ciberseguridad existentes. |
Visibilidad | ||
Procedimiento de control de ciberactivos críticos transitorios y medios extraibles | Procedimiento | 7.3.4 Procedimiento de control ciberactivos críticos transitorios y medios extraíbles Cada entidad responsable deberá tomar medidas para mitigar los riesgos asociados al uso de ciberactivos críticos transitorios y medios extraíbles, con el fin de prevenir el acceso no autorizado a la red e información y la propagación de malware a los ciberactivos críticos existentes. |
Visibilidad | ||
Procedimiento de control de visitantes | Procedimiento | 10.3.3 Procedimiento de control de visitantes La entidad tendrá uno o más procedimientos de control de visitantes. |
Visibilidad | ||
Procedimiento de evaluación de vulnerabilidades | Procedimiento | 7.3.3 Procedimiento de evaluación de vulnerabilidades Cada entidad responsable deberá efectuar una evaluación de vulnerabilidad de los ciberactivos críticos y de todos los puntos electrónicos de acceso al (los) perímetro(s) de seguridad electrónica como máximo cada dos (2) años. La entidad responsable deberá realizar una evaluación de vulnerabilidad antes de adicionar un nuevo ciberactivo crítico al entorno de producción, y también cuando se realicen reemplazos programados de ciberactivos críticos existentes. La entidad responsable debe documentar el resultado de las evaluaciones de vulnerabilidad realizadas y los planes de acción para remediar o mitigar los hallazgos identificados, incluidas las fechas planificadas para completar cada plan de acción y los estados de ejecución |
Visibilidad | Máximo cada 2 años | |
Procedimiento de mantenimiento y pruebas | Procedimiento | 10.3.4 Procedimiento de mantenimiento y pruebas La entidad tendrá uno o más procedimientos de mantenimientos y pruebas periódicas del sistema de control relacionados a la seguridad física. |
Visibilidad | ||
Procedimiento de monitoreo y registro de acceso | Procedimiento | 6.3.3 Procedimiento de monitoreo y registro de acceso La entidad responsable implementará y documentará procedimientos para el monitoreo y registro de accesos lógicos permitidos y denegados en puntos de acceso al (los) perímetro(s) de seguridad electrónica veinticuatro (24) horas al día, siete (7) días por semana. |
Visibilidad | 24x7 | |
Procedimiento de revocación de accesos | Procedimiento | 5.3.9 Procedimiento de revocación de accesos Cada entidad responsable implementará uno o más procedimiento de revocación de acceso documentados los cuales incluyan los siguientes escenarios: • Un procedimiento en caso de terminación laboral con un bloqueo de cuenta para los accesos físicos y remotos dentro de las veinte cuatro (24) horas de acción de la terminación. • Un procedimiento de revocación (eliminar o inhabilitar) de cuentas bloqueadas en un tiempo máximo de treinta (30) días calendario posteriores a la acción de terminación. • Para las acciones de terminación laboral, cambie las contraseñas de las cuentas compartidas conocidas por el usuario dentro de los treinta (30) días calendario posteriores a la acción de terminación. • Para reasignaciones o transferencias, cambie las contraseñas de cuentas compartidas conocidas por el usuario dentro de los treinta (30) días calendario siguientes a la fecha en que la entidad responsable determine que la persona ya no requiere de ese acceso. • En caso de un impedimento técnico para el bloqueo o revocación éste deberá documentarse con su respectivo análisis de riesgos y controles compensatorios que los mitiguen |
Visibilidad | Terminación laboral 24 h, revocación 30 días max, cuentas compartidas TL 30 días max, | |
Procedimiento para habilitar los puntos de acceso | Procedimiento | 6.3.5 Procedimiento para habilitar los puntos de acceso La entidad responsable establecerá, documentará e implementará un procedimiento para garantizar que solamente aquellos puertos y servicios requeridos para las operaciones normales y de emergencia sean habilitados en cada punto de acceso de los perímetros de seguridad electrónica. |
Visibilidad | ||
Procedimiento para identificar y monitorear eventos | Procedimiento | 7.3.6 Procedimiento para identificar y monitorear eventos La entidad responsable se asegurará que todos los ciberactivos críticos dentro del perímetro de seguridad electrónica, donde sea técnicamente factible, cuenten con herramientas automatizadas o controles organizacionales de procedimiento para monitorear eventos del sistema. |
Visibilidad | ||
Procedimiento para la administración de conexiones temporales | Procedimiento | 6.3.6 Procedimiento para la administración de conexiones temporales La entidad responsable establecerá, documentará e implementará procedimientos de administración de conexiones temporales dentro del perímetro de seguridad electrónica. |
Visibilidad | ||
Profesionales | Recurso | Visibilidad | |||
Programa de conciencia de seguridad | Programa | 5.3.4 Programa de conciencia de seguridad Toda entidad responsable debe contar con uno o varios programas de conciencia de seguridad, Se debe realizar concientización anual para todos los empleados y terceros que tienen acceso con los ciberactivos críticos. |
Visibilidad | Cada año | |
Programa de entrenamiento | Programa | 5.3.5 Programa de entrenamiento y capacitación Toda entidad debe contar con un programa de entrenamiento y capacitación según el rol desempeñado y su criticidad, este debe contener los siguientes elementos: • Políticas o lineamiento de ciberseguridad. • Controles de acceso físico y control de visitantes. • Controles de acceso electrónicos. • Manejo de ciberactivos críticos, Información y su almacenamiento. • Gestión de incidente de ciberseguridad, notificaciones iniciales de acuerdo con el procedimiento de respuesta a incidentes de la entidad y respuesta a incidentes de seguridad. • Procedimiento de recuperación para ciberactivos críticos. • Riesgos de ciberseguridad asociados con la interconectividad e interoperabilidad con ciberactivos críticos. |
Visibilidad | ||
Pruebas de respaldos y mecanismos de contingencia y continuidad | Actividad | 8.3.5 Pruebas a los respaldos y mecanismos de contingencia y continuidad La entidad responsable debe realizar pruebas funcionales a una muestra significativa de los respaldos realizados y de los mecanismos de contingencia y continuidad establecidos para el ciberactivo critico. |
Visibilidad | ||
Registro de cambios del procedimiento de recuperación y resilencia | Actividad | 8.3.3 Registro de cambios del procedimiento de recuperación y resiliencia La entidad responsable debe disponer de los registros de cambios efectuados a los procedimientos de recuperación y resiliencia, así como, documentación de la divulgación de los mismos. Estos deben reflejarse máximo noventa (90) días después de realizadas las pruebas y/o simulacros. |
Visibilidad | 90 días | |
Registro de cambios del procedimiento de respuesta a incidentes | Actividad | 9.3.3 Registro de cambios del procedimiento de respuesta a incidentes La entidad responsable debe disponer de los registros de cambios efectuados a los procedimientos de respuesta a incidentes, así como, documentación de la divulgación de los mismos. Estos deben reflejarse máximo noventa (90) días después de realizadas las pruebas y/o simulacros. |
Visibilidad | 90 dias | |
Relé | Ciberactivo | 234 |
Visibilidad | ||
Resolución CREG 044 de 2020 | Regulación | Las pruebas se deben solicitar con un mínimo de 8 días |
Visibilidad | ||
Resolución CREG 1365 de 2020 | Regulación | Servicio de AGC y pruebas de sintonía |
Visibilidad | ||
Respaldos y almacenamiento de información | Actividad | 8.3.4 Respaldos y almacenamiento de información La entidad responsable debe realizar respaldos y almacenamientos de información necesaria para el restablecimiento de la operación de los ciberactivos críticos. |
Visibilidad | ||
Responsable de ciberseguridad | Actividad | 5.3.2 Responsable de ciberseguridad Asignar un Responsable de Ciberseguridad formalmente y notificarlo al CNO, mediante comunicación escrita dirigida al secretario técnico, en caso de modificación se debe contemplar: • Reportar el cambio del responsable con máximo treinta (30) días hábiles de anterioridad al CNO, en caso de desvinculación del responsable, esta se debe notificar en un plazo máximo cinco (5) días hábiles después de la misma, indicando su reemplazo. En caso de delegación se debe contemplar: • Implementar y documentar el procedimiento de delegación de la autoridad. • El responsable de ciberseguridad puede delegar la autoridad para acciones específicas. Esta delegación debe estar documentada, incluyendo el nombre del titular del delegado, las acciones específicas a delegar y la fecha de la delegación; aprobado por el responsable de ciberseguridad y actualizado máximo a treinta (30) días de cualquier cambio de delegación. |
Visibilidad | Al inicio | |
Restricción de acceso físico | Actividad | 10.3.2 Restricción de acceso físico La entidad responsable deberá restringir el acceso físico al cableado y otros componentes de comunicación no programables utilizados para la conexión entre ciberactivos críticos aplicables dentro del mismo perímetro de seguridad electrónica o entre perímetros de seguridad electrónica en aquellos casos en que dicho cableado y componentes estén ubicados fuera de un perímetro de seguridad física. En caso de que no se implementen restricciones de acceso físico a dicho cableado y componentes, la entidad responsable deberá documentar e implementar uno o más de los siguientes: • Encriptación de datos que transitan por los cables y componentes. • Monitorear el estado del enlace de comunicación compuesto de dicho cableado y componentes y emitir una alarma o alerta en respuesta a fallas de comunicación detectadas al personal identificado en procedimiento de respuesta al incidente de ciberseguridad de ciberactivos críticos • Protección lógica igualmente efectiva. |
Visibilidad | ||
RTU | Ciberactivo | 52 |
Visibilidad | ||
Servidor Físico | Ciberactivo | 33 |
Visibilidad | ||
Servidor virtual | Ciberactivo | 63 |
Visibilidad | ||
Sistema de control intermedio | Implementación | 6.3.7 Sistema de control intermedio La entidad responsable debe implementar un sistema de control intermedio para todas las conexiones remotas interactivas que permita monitorear, cifrar y controlar la autorización con controles de doble factor de autenticación. 1498 ciberactivos |
Visibilidad | 0.0 | |
Switch | Ciberactivo | 335 |
Visibilidad | ||
Validación de cambios | Procedimiento | 6.3.4 Validación de cambios Cada entidad responsable deberá asegurar que nuevos ciberactivos críticos y cambios en ciberactivos críticos existentes dentro del perímetro de seguridad electrónica, no afecten adversamente los controles de ciberseguridad existentes, esto debe incluir la aprobación de cambio por el responsable de ciberseguridad o su delegado |
Visibilidad | ||
Verificación de cuentas y privilegios de acceso | Actividad | 5.3.8 Verificación de cuentas y privilegios de acceso Cada entidad responsable deberá verificar al menos una (1) vez cada año que el acceso electrónico y/o físico para todas las cuentas de usuario, grupos de cuentas de usuario o categorías de roles de usuario, y sus privilegios asociados específicos sean correctos y que sean los que la entidad responsable determine que sean necesarios. |
Visibilidad | Cada año | |
Verificación de registros de autorización | Actividad | 5.3.7 Verificación de los registros de autorización Cada entidad responsable deberá verificar al menos una (1) vez cada semestre calendario que las personas con acceso electrónico activo o acceso físico sin escolta tengan registros de autorización. |
Visibilidad | Cada semestre | |
Visibilidad |
Origen | Relación | Destino | Fecha |
---|---|---|---|
Activos | Inventario | Ciberactivos críticos | |
Ciberactivos críticos | Procedimiento | Administración de accesos | |
Ciberactivos críticos | Inventario | Estación | |
Ciberactivos críticos | Inventario | Firewalls | |
Ciberactivos críticos | Procedimiento | Herramienta de prevención de malware | |
Ciberactivos críticos | Inventario | Host virtualización | |
Ciberactivos críticos | Inventario | Host virtualización | |
Ciberactivos críticos | Inventario | IHM | |
Ciberactivos críticos | Inventario | Impresora | |
Ciberactivos críticos | Procedimiento | Listas de acceso | |
Ciberactivos críticos | Inventario | Medidor | |
Ciberactivos críticos | Inventario | NAS | |
Ciberactivos críticos | Procedimiento | Perímetro de seguridad electrónica | |
Ciberactivos críticos | Plan | Plan de gestión de la cadena de suministro | |
Ciberactivos críticos | Procedimiento | Plan de recuperación y resilencia | |
Ciberactivos críticos | Procedimiento | Plan de respuesta a incidentes | |
Ciberactivos críticos | Procedimiento | Plan de respuesta a incidentes | |
Ciberactivos críticos | Procedimiento | Plan de seguridad física | |
Ciberactivos críticos | Inventario | PLC | |
Ciberactivos críticos | Inventario | Portatil | |
Ciberactivos críticos | Procedimiento | Procedimiento de actualizaciones y parches de seguridad | |
Ciberactivos críticos | Procedimiento | Procedimiento de actualizaciones y parches de seguridad | |
Ciberactivos críticos | Procedimiento | Procedimiento de control de cambios y configuraciones | |
Ciberactivos críticos | Procedimiento | Procedimiento de control de ciberactivos críticos transitorios y medios extraibles | |
Ciberactivos críticos | Procedimiento | Procedimiento de control de visitantes | |
Ciberactivos críticos | Procedimiento | Procedimiento de evaluación de vulnerabilidades | |
Ciberactivos críticos | Procedimiento | Procedimiento de monitoreo y registro de acceso | |
Ciberactivos críticos | Procedimiento | Procedimiento para identificar y monitorear eventos | |
Ciberactivos críticos | Procedimiento | Pruebas de respaldos y mecanismos de contingencia y continuidad | |
Ciberactivos críticos | Procedimiento | Pruebas de respaldos y mecanismos de contingencia y continuidad | |
Ciberactivos críticos | Actividad | Registro de cambios del procedimiento de respuesta a incidentes | |
Ciberactivos críticos | Inventario | Relé | |
Ciberactivos críticos | Procedimiento | Respaldos y almacenamiento de información | |
Ciberactivos críticos | Procedimiento | Restricción de acceso físico | |
Ciberactivos críticos | Procedimiento | Restricción de acceso físico | |
Ciberactivos críticos | Inventario | RTU | |
Ciberactivos críticos | Inventario | Servidor Físico | |
Ciberactivos críticos | Inventario | Servidor virtual | |
Ciberactivos críticos | Sistema | Sistema de control intermedio | |
Ciberactivos críticos | Inventario | Switch | |
Ciberactivos críticos | Procedimiento | Validación de cambios | |
Firewalls | Regulación | Resolución CREG 044 de 2020 | |
Firewalls | Regulación | Resolución CREG 1365 de 2020 | |
Plan de gestión de la cadena de suministro | Plan | Profesionales | |
Profesionales | Procedimiento | Administración de accesos | |
Profesionales | Procedimiento | Documentación de pruebas y simulacros | |
Profesionales | Procedimiento | Evaluación de riesgo personal | |
Profesionales | Procedimiento | Listas de acceso | |
Profesionales | Procedimiento | Plan de recuperación y resilencia | |
Profesionales | Gobierno | Política y lineamiento de ciberseguridad | |
Profesionales | Procedimiento | Procedimiento de control de cambios y configuraciones | |
Profesionales | Procedimiento | Procedimiento de control de ciberactivos críticos transitorios y medios extraibles | |
Profesionales | Procedimiento | Procedimiento de control de visitantes | |
Profesionales | Procedimiento | Procedimiento de evaluación de vulnerabilidades | |
Profesionales | Procedimiento | Procedimiento de monitoreo y registro de acceso | |
Profesionales | Gobierno | Procedimiento de revocación de accesos | |
Profesionales | Procedimiento | Procedimiento para habilitar los puntos de acceso | |
Profesionales | Procedimiento | Procedimiento para identificar y monitorear eventos | |
Profesionales | Procedimiento | Procedimiento para la administración de conexiones temporales | |
Profesionales | Programa | Programa de conciencia de seguridad | |
Profesionales | Gobierno | Programa de entrenamiento | |
Profesionales | Procedimiento | Pruebas de respaldos y mecanismos de contingencia y continuidad | |
Profesionales | Procedimiento | Pruebas de respaldos y mecanismos de contingencia y continuidad | |
Profesionales | Actividad | Registro de cambios del procedimiento de recuperación y resilencia | |
Profesionales | Actividad | Registro de cambios del procedimiento de respuesta a incidentes | |
Profesionales | Procedimiento | Respaldos y almacenamiento de información | |
Profesionales | Gobierno | Responsable de ciberseguridad | |
Profesionales | Sistema | Sistema de control intermedio | |
Profesionales | Procedimiento | Validación de cambios | |
Profesionales | Procedimiento | Verificación de cuentas y privilegios de acceso | |
Profesionales | Gobierno | Verificación de registros de autorización | |
RTU | Regulación | Resolución CREG 044 de 2020 |