Cumplimiento de artículos

La Agencia para lograr el cumplimiento de los artículos del Real Decreto por el que se regula el Esquema Nacional de Seguridad, que recogen los principios básicos y de los requisitos mínimos, implementará diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.

a) Seguridad como un proceso integral (artículo 6) y Mínimo privilegio (artículo 20), constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Los sistemas se diseñarán de forma que garanticen la seguridad por defecto, del siguiente modo:

El sistema proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos competenciales o contractuales.
Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
Se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

b) Vigilancia continua y reevaluación periódica (artículo 10) e Integridad y actualización del sistema (Artículo 21), implementando controles y evaluaciones regulares de la seguridad, (incluyendo evaluaciones de los cambios de configuración de forma rutinaria), para conocer en todo momento el estado de seguridad de los sistemas en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. Antes de la entrada de nuevos elementos, ya sean físicos o lógicos, estos requerirán de una autorización formal.

Así mismo, solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

c) Gestión de personal (artículo 15) y profesionalidad (artículo 16), todos los miembros de la organización, que se encuentran dentro del ámbito del ENS, atenderán a una sesión de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros, en particular al de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

d) Gestión de la seguridad basada en los riesgos (artículo 7) y análisis y gestión de riesgos (artículo 14), todos los sistemas afectados por esta Política están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

Al menos una vez al año
Cuando cambien la información y/o los servicios manejados de manera significativa.
Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El Responsable de Seguridad será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de gestión de riesgos comprenderá las siguientes fases:

1. Categorización de los sistemas.

2. Análisis de riesgos.

El Comité de Seguridad procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas.

Las fases de este proceso se realizarán según lo dispuesto en los anexos I y II del Real Decreto por el que se regula el Esquema Nacional de Seguridad y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.

En particular, para realizar el análisis de riesgos se utiliza la metodología MAGERIT - metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica (MAGERIT figura en el inventario de métodos de análisis y gestión de riesgos de ENISA).

e) Incidentes de seguridad (artículo 25) y Prevención, detección, respuesta y conservación (artículo 8), se ha implementado un proceso integral de detección, reacción y recuperación frente a código dañino mediante el desarrollo de procedimientos que cubrirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, se implementan las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional, que haya identificado como necesario, a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.

Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

Se establecerá las siguientes medidas de reacción ante incidentes de seguridad:

Mecanismos para responder eficazmente a los incidentes de seguridad.
Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Para garantizar la disponibilidad de los servicios, se dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

f) Líneas de defensa (artículo 9) y Prevención ante otros sistemas interconectados (artículo 23), se ha implementado una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una de las capas falle, el sistema implementado permita:

Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
Minimizar el impacto final sobre el mismo.

Esta estrategia de protección ha de proteger el perímetro, en particular, si se conecta a redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.

g) Diferenciación de responsabilidades (artículo 11) y Organización e implantación del proceso de seguridad (artículo 13), se ha organizado la seguridad comprometiendo a todos los miembros, mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado de “ORGANIZACIÓN DE LA SEGURIDAD” del presente documento.

h) Autorización y control de los accesos (artículo 17), se ha implementado mecanismos de control de acceso al sistema de información, limitándolos a los estrictamente necesarios y debidamente autorizados.

i) Protección de las instalaciones (artículo 18), se ha implementado mecanismo de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en Responsable de áreas.

j) Adquisición de productos de seguridad y contratación de servicios de seguridad (artículo 19), se tendrá en cuenta, para la adquisición de productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

k) Protección de información almacenada y en tránsito (artículo 22) y Continuidad de la actividad (artículo 26), se ha implementado mecanismos para proteger la información almacenada o en tránsito especialmente cuando esta se encuentra en entornos inseguros (portátiles, tablets, soportes de información, redes abiertas, etc.).

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

También ha desarrollado procedimientos que aseguran la recuperación y conservación a largo plazo de los documentos electrónicos producidos en el ámbito de sus competencias. De igual modo, se han implementado mecanismos de seguridad correspondientes a la naturaleza del soporte en que se encuentren, para garantizar que toda información en soporte no electrónico relacionada estará protegida con el mismo grado de seguridad que la electrónica.

l) Registros de actividad y detección de código dañino (artículo 24), se han habilitado registros de la actividad de los usuarios reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Todo ello con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación.

m) Mejora continua del proceso de seguridad (artículo 27), la Agencia para garantizar que el proceso de seguridad implantado se encuentra actualizado y que es mejorado de forma continua, aplica criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

Nombre	Duración	Tipología	Descripción
COOKIE_SUPPORT	1 año	Técnica	Esta cookie determina si el navegador acepta cookies.
JSESSIONID	Sesión	Técnica	Conserva los estados de los usuarios en todas las peticiones de la página.
GUEST_LANGUAGE_ID	1 año	Técnica	Determina el idioma preferido por el visitante. Permite a la web establecer el idioma preferido en el reingreso del visitante.
LFR_SESSION_STATE	Sesión	Técnica	Conserva los estados de los usuarios en todas las peticiones de la página.
LFR_COOKIES_ACCEPT	1 año	Técnica	Guarda el estado de la aprobación de las cookies necesarias.

Nombre	Duración	Tipología	Proveedor	Descripción
_ga	2 años	Análisis	Google Analytics	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.
_gat	1 día	Análisis	Google Analytics	Utilizado por Google Analytics para controlar la tasa de peticiones
_gid	1 día	Análisis	Google Analytics	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.

Cumplimiento de artículos

Cumplimiento de artículos

Política de seguridad

Agencia Sekuens

Uso de cookies

Configuración de cookies

Navegación