El marco operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

4.1 Planificación [op.pl].

4.1.1 Análisis de riesgos [op.pl.1].

dimensiones Todas
categoría básica media alta
aplica + ++

Categoría BÁSICA

Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que describa los siguientes aspectos:

  1. Identifique los activos más valiosos del sistema.
  2. Identifique las amenazas más probables.
  3. Identifique las salvaguardas que protegen de dichas amenazas.
  4. Identifique los principales riesgos residuales.

Categoría MEDIA

Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa los siguientes aspectos:

  1. Identifique y valore cualitativamente los activos más valiosos del sistema.
  2. Identifique y cuantifique las amenazas más probables.
  3. Identifique y valore las salvaguardas que protegen de dichas amenazas.
  4. Identifique y valore el riesgo residual.

Categoría ALTA

Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos:

  1. Identifique y valore cualitativamente los activos más valiosos del sistema.
  2. Identifique y cuantifique las amenazas posibles.
  3. Identifique las vulnerabilidades habilitantes de dichas amenazas.
  4. Identifique y valore las salvaguardas adecuadas.
  5. Identifique y valore el riesgo residual.

4.1.2 Arquitectura de seguridad [op.pl.2].

dimensiones Todas
categoría básica media alta
aplica + +

La seguridad del sistema será objeto de un planteamiento integral detallando, al menos, los siguientes aspectos:

Categoría BÁSICA

  1. Documentación de las instalaciones:
    1. Áreas.
    2. Puntos de acceso.
  2. Documentación del sistema:
    1. Equipos.
    2. Redes internas y conexiones al exterior.
    3. Puntos de acceso al sistema (puestos de trabajo y consolas de administración).
  3. Esquema de líneas de defensa:
    1. Puntos de interconexión a otros sistemas o a otras redes, en especial si se trata de Internet o redes públicas en general.
    2. Cortafuegos, DMZ, etc.
    3. Utilización de tecnologías diferentes para prevenir vulnerabilidades que pudieran perforar simultáneamente varias líneas de defensa.
  4. Sistema de identificación y autenticación de usuarios:
    1. Uso de claves concertadas, contraseñas, tarjetas de identificación, biometría, u otras de naturaleza análoga.
    2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso.

Categoría MEDIA

  1. Sistema de gestión, relativo a la planificación, organización y control de los recursos relativos a la seguridad de la información.

Categoría ALTA

  1. Sistema de gestión de seguridad de la información con actualización y aprobación periódica.
  2. Controles técnicos internos:
    1. Validación de datos de entrada, salida y datos intermedios.

4.1.3 Adquisición de nuevos componentes [op.pl.3].

dimensiones Todas
categoría básica media alta
aplica = =

Se establecerá un proceso formal para planificar la adquisición de nuevos componentes del sistema, proceso que:

  1. Atenderá a las conclusiones del análisis de riesgos: [op.pl.1].
  2. Será acorde a la arquitectura de seguridad escogida: [op.pl.2].
  3. Contemplará las necesidades técnicas, de formación y de financiación de forma conjunta.

4.1.4 Dimensionamiento / gestión de capacidades [op.pl.4].

dimensiones D
categoría básica media alta
no aplica aplica =

Nivel MEDIO

Con carácter previo a la puesta en explotación, se realizará un estudio previo que cubrirá los siguientes aspectos:

  1. Necesidades de procesamiento.
  2. Necesidades de almacenamiento de información: durante su procesamiento y durante el periodo que deba retenerse.
  3. Necesidades de comunicación.
  4. Necesidades de personal: cantidad y cualificación profesional.
  5. Necesidades de instalaciones y medios auxiliares.

4.1.5 Componentes certificados [op.pl.5].

dimensiones Todas
categoría básica media alta
no aplica no aplica aplica

Categoría ALTA

Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas.

Una instrucción técnica de seguridad detallará los criterios exigibles.

4.2 Control de acceso. [op.acc].

El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para realizar una determinada acción.

El control de acceso que se implante en un sistema real será un punto de equilibrio entre la comodidad de uso y la protección de la información. En sistemas de nivel Bajo, se primará la comodidad, mientras que en sistemas de nivel Alto se primará la protección.

En todo control de acceso se requerirá lo siguiente:

  1. Que todo acceso esté prohibido, salvo concesión expresa.
  2. Que la entidad quede identificada singularmente [op.acc.1].
  3. Que la utilización de los recursos esté protegida [op.acc.2].
  4. Que se definan para cada entidad los siguientes parámetros: a qué se necesita acceder, con qué derechos y bajo qué autorización [op.acc.4].
  5. Serán diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].
  6. Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5].
  7. Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).

Con el cumplimiento de todas las medidas indicadas se garantizará que nadie accederá a recursos sin autorización. Además, quedará registrado el uso del sistema ([op.exp.8]) para poder detectar y reaccionar a cualquier fallo accidental o deliberado.

Cuando se interconecten sistemas en los que la identificación, autenticación y autorización tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los casos en que sea necesario, las medidas de seguridad locales se acompañarán de los correspondientes acuerdos de colaboración que delimiten mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).

4.2.1 Identificación [op.acc.1].

dimensiones A T
categoría básica media alta
aplica = =

La identificación de los usuarios del sistema se realizará de acuerdo con lo que se indica a continuación:

  1. Se podrán utilizar como identificador único los sistemas de identificación previstos en la normativa de aplicación.
  2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo, como ciudadano, como trabajador interno del organismo y como administrador de los sistemas) recibirá identificadores singulares para cada uno de los casos de forma que siempre queden delimitados privilegios y registros de actividad.
  3. Cada entidad (usuario o proceso) que accede al sistema, contará con un identificador singular de tal forma que:
    1. Se puede saber quién recibe y qué derechos de acceso recibe.
    2. Se puede saber quién ha hecho algo y qué ha hecho.
  4. Las cuentas de usuario se gestionarán de la siguiente forma:
    1. Cada cuenta estará asociada a un identificador único.
    2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organización; cuando el usuario cesa en la función para la cual se requería la cuenta de usuario; o, cuando la persona que la autorizó, da orden en sentido contrario.
    3. Las cuentas se retendrán durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le denominará periodo de retención.
  5. En los supuestos contemplados en el Capítulo IV relativo a “Comunicaciones Electrónicas”, las partes intervinientes se identificarán de acuerdo a los mecanismos previstos en la legislación europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificación electrónica previstos en el Reglamento n.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE:
    • Si se requiere un nivel BAJO en la dimensión de autenticidad (anexo I): Nivel de seguridad bajo, sustancial o alto (artículo 8 del Reglamento n.º 910/2014)
    • Si se requiere un nivel MEDIO en la dimensión de autenticidad (anexo I): Nivel de seguridad sustancial o alto (artículo 8 del Reglamento n.º 910/2014)
    • Si se requiere un nivel ALTO en la dimensión de autenticidad (anexo I): Nivel de seguridad alto (artículo 8 del Reglamento n.º 910/2014).

4.2.2 Requisitos de acceso [op.acc.2].

dimensiones I C A T
categoría básica media alta
aplica = =

Los requisitos de acceso se atenderán a lo que a continuación se indica:

  1. Los recursos del sistema se protegerán con algún mecanismo que impida su utilización, salvo a las entidades que disfruten de derechos de acceso suficientes.
  2. Los derechos de acceso de cada recurso, se establecerán según las decisiones de la persona responsable del recurso, ateniéndose a la política y normativa de seguridad del sistema.
  3. Particularmente se controlará el acceso a los componentes del sistema y a sus ficheros o registros de configuración.

4.2.3 Segregación de funciones y tareas [op.acc.3].

dimensiones I C A T
categoría básica media alta
no aplica aplica =

Nivel MEDIO

El sistema de control de acceso se organizará de forma que se exija la concurrencia de dos o más personas para realizar tareas críticas, anulando la posibilidad de que un solo individuo autorizado, pueda abusar de sus derechos para cometer alguna acción ilícita.

En concreto, se separarán al menos las siguientes funciones:

  1. Desarrollo de operación.
  2. Configuración y mantenimiento del sistema de operación.
  3. Auditoría o supervisión de cualquier otra función.

4.2.4 Proceso de gestión de derechos de acceso [op.acc.4].

dimensiones I C A T
categoría básica media alta
aplica = =

Los derechos de acceso de cada usuario, se limitarán atendiendo a los siguientes principios:

  1. Mínimo privilegio. Los privilegios de cada usuario se reducirán al mínimo estrictamente necesario para cumplir sus obligaciones. De esta forma se acotan los daños que pudiera causar una entidad, de forma accidental o intencionada.
  2. Necesidad de conocer. Los privilegios se limitarán de forma que los usuarios sólo accederán al conocimiento de aquella información requerida para cumplir sus obligaciones.
  3. Capacidad de autorizar. Sólo y exclusivamente el personal con competencia para ello, podrá conceder, alterar o anular la autorización de acceso a los recursos, conforme a los criterios establecidos por su responsable.

4.2.5 Mecanismo de autenticación [op.acc.5].

dimensiones I C A T
categoría básica media alta
aplica + ++

Los mecanismos de autenticación frente al sistema se adecuarán al nivel del sistema atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de autenticación:

  • “algo que se sabe”: contraseñas o claves concertadas.
  • “algo que se tiene”: componentes lógicos (tales como certificados software) o dispositivos físicos (en expresión inglesa, tokens).
  • “algo que se es”: elementos biométricos.

Los factores anteriores podrán utilizarse de manera aislada o combinarse para generar mecanismos de autenticación fuerte.

Las guías CCN-STIC desarrollarán los mecanismos concretos adecuados para cada nivel.

Las instancias del factor o los factores de autenticación que se utilicen en el sistema, se denominarán credenciales.

Antes de proporcionar las credenciales de autenticación a los usuarios, estos deberán haberse identificado y registrado de manera fidedigna ante el sistema o ante un proveedor de identidad electrónica reconocido por la Administración. Se contemplan varias posibilidades de registro de los usuarios:

  • Mediante la presentación física del usuario y verificación de su identidad acorde a la legalidad vigente, ante un funcionario habilitado para ello.
  • De forma telemática, mediante DNI electrónico o un certificado electrónico cualificado.
  • De forma telemática, utilizando otros sistemas admitidos legalmente para la identificación de los ciudadanos de los contemplados en la normativa de aplicación.

Nivel BAJO

  1. Como principio general, se admitirá el uso de cualquier mecanismo de autenticación sustentado en un solo factor.
  2. En el caso de utilizarse como factor “algo que se sabe”, se aplicarán reglas básicas de calidad de la misma.
  3. Se atenderá a la seguridad de las credenciales de forma que:
    1. Las credenciales se activarán una vez estén bajo el control efectivo del usuario.
    2. Las credenciales estarán bajo el control exclusivo del usuario.
    3. El usuario reconocerá que las ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.
    4. Las credenciales se cambiarán con una periodicidad marcada por la política de la organización, atendiendo a la categoría del sistema al que se accede.
    5. Las credenciales se retirarán y serán deshabilitadas cuando la entidad (persona, equipo o proceso) que autentican termina su relación con el sistema.

Nivel MEDIO

  1. Se exigirá el uso de al menos dos factores de autenticación.
  2. En el caso de utilización de “algo que se sabe” como factor de autenticación, se establecerán exigencias rigurosas de calidad y renovación.
  3. Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo:
    1. Presencial.
    2. Telemático usando certificado electrónico cualificado.
    3. Telemático mediante una autenticación con una credencial electrónica obtenida tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.

Nivel ALTO

  1. Las credenciales se suspenderán tras un periodo definido de no utilización.
  2. En el caso del uso de utilización de “algo que se tiene”, se requerirá el uso de elementos criptográficos hardware usando algoritmos y parámetros acreditados por el Centro Criptológico Nacional.
  3. Las credenciales utilizadas deberán haber sido obtenidas tras un registro previo presencial o telemático usando certificado electrónico cualificado en dispositivo cualificado de creación de firma.

4.2.6 Acceso local [op.acc.6].

dimensiones I C A T
categoría básica media alta
aplica + ++

Se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organización. Estos accesos tendrán en cuenta el nivel de las dimensiones de seguridad:

Nivel BAJO

  1. Se prevendrán ataques que puedan revelar información del sistema sin llegar a acceder al mismo. La información revelada a quien intenta acceder, debe ser la mínima imprescindible (los diálogos de acceso proporcionarán solamente la información indispensable).
  2. El número de intentos permitidos será limitado, bloqueando la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos.
  3. Se registrarán los accesos con éxito, y los fallidos.
  4. El sistema informará al usuario de sus obligaciones inmediatamente después de obtener el acceso.

Nivel MEDIO

Se informará al usuario del último acceso efectuado con su identidad.

Nivel ALTO

  1. El acceso estará limitado por horario, fechas y lugar desde donde se accede.
  2. Se definirán aquellos puntos en los que el sistema requerirá una renovación de la autenticación del usuario, mediante identificación singular, no bastando con la sesión establecida.

4.2.7 Acceso remoto [op.acc.7].

dimensiones I C A T
categoría básica media alta
aplica + =

Se considera acceso remoto al realizado desde fuera de las propias instalaciones de la organización, a través de redes de terceros.

Nivel BAJO

Se garantizará la seguridad del sistema cuando accedan remotamente usuarios u otras entidades, lo que implicará proteger tanto el acceso en sí mismo (como [op.acc.6]) como el canal de acceso remoto (como en [mp.com.2] y [mp.com.3]).

Nivel MEDIO

Se establecerá una política específica de lo que puede hacerse remotamente, requiriéndose autorización positiva.

4.3 Explotación [op.exp].

4.3.1 Inventario de activos [op.exp.1].

dimensiones Todas
categoría básica media alta
aplica = =

Se mantendrá un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando a su responsable; es decir, la persona que es responsable de las decisiones relativas al mismo.

4.3.2 Configuración de seguridad [op.exp.2].

dimensiones Todas
categoría básica media alta
aplica = =

Se configurarán los equipos previamente a su entrada en operación, de forma que:

  1. Se retiren cuentas y contraseñas estándar.
  2. Se aplicará la regla de «mínima funcionalidad»:
    1. El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad,
    2. No proporcionará funciones gratuitas, ni de operación, ni de administración, ni de auditoría, reduciendo de esta forma su perímetro al mínimo imprescindible.
    3. Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.
  3. Se aplicará la regla de «seguridad por defecto»:
    1. Las medidas de seguridad serán respetuosas con el usuario y protegerán a éste, salvo que se exponga conscientemente a un riesgo.
    2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
    3. El uso natural, en los casos que el usuario no ha consultado el manual, será un uso seguro.

4.3.3 Gestión de la configuración [op.exp.3].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Se gestionará de forma continua la configuración de los componentes del sistema de forma que:

  1. Se mantenga en todo momento la regla de “funcionalidad mínima” ([op.exp.2]).
  2. Se mantenga en todo momento la regla de “seguridad por defecto” ([op.exp.2]).
  3. El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).
  4. El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
  5. El sistema reaccione a incidentes (ver [op.exp.7]).

4.3.4 Mantenimiento [op.exp.4].

dimensiones Todas
categoría básica media alta
aplica = =

Para mantener el equipamiento físico y lógico que constituye el sistema, se aplicará lo siguiente:

  1. Se atenderá a las especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los sistemas.
  2. Se efectuará un seguimiento continuo de los anuncios de defectos.
  3. Se dispondrá de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorización tendrá en cuenta la variación del riesgo en función de la aplicación o no de la actualización.

4.3.5 Gestión de cambios [op.exp.5].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Se mantendrá un control continuo de cambios realizados en el sistema, de forma que:

  1. Todos los cambios anunciados por el fabricante o proveedor serán analizados para determinar su conveniencia para ser incorporados, o no.
  2. Antes de poner en producción una nueva versión o una versión parcheada, se comprobará en un equipo que no esté en producción, que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas será equivalente al de producción en los aspectos que se comprueban.
  3. Los cambios se planificarán para reducir el impacto sobre la prestación de los servicios afectados.
  4. Mediante análisis de riesgos se determinará si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situación de riesgo de nivel alto serán aprobados explícitamente de forma previa a su implantación.

4.3.6 Protección frente a código dañino [op.exp.6].

dimensiones Todas
categoría básica media alta
aplica = =

Se considera código dañino: los virus, los gusanos, los troyanos, los programas espías, conocidos en terminología inglesa como «spyware», y en general, todo lo conocido como «malware».

Se dispondrá de mecanismos de prevención y reacción frente a código dañino con mantenimiento de acuerdo a las recomendaciones del fabricante.

4.3.7 Gestión de incidencias [op.exp.7].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Se dispondrá de un proceso integral para hacer frente a los incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo:

  1. Procedimiento de reporte de eventos de seguridad y debilidades, detallando los criterios de clasificación y el escalado de la notificación.
  2. Procedimiento de toma de medidas urgentes, incluyendo la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros, según convenga al caso.
  3. Procedimiento de asignación de recursos para investigar las causas, analizar las consecuencias y resolver el incidente.
  4. Procedimientos para informar a las partes interesadas, internas y externas.
  5. Procedimientos para:
    1. Prevenir que se repita el incidente.
    2. Incluir en los procedimientos de usuario la identificación y forma de tratar el incidente.
    3. Actualizar, extender, mejorar u optimizar los procedimientos de resolución de incidentes.

La gestión de incidentes que afecten a datos de carácter personal tendrá en cuenta lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir, además, las medidas establecidas por este real decreto.

4.3.8 Registro de la actividad de los usuarios [op.exp.8].

dimensiones T
categoría básica media alta
aplica + ++

Se registrarán las actividades de los usuarios en el sistema, de forma que:

  1. El registro indicará quién realiza la actividad, cuándo la realiza y sobre qué información.
  2. Se incluirá la actividad de los usuarios y, especialmente, la de los operadores y administradores en cuanto puedan acceder a la configuración y actuar en el mantenimiento del sistema.
  3. Deberán registrarse las actividades realizadas con éxito y los intentos fracasados.
  4. La determinación de qué actividades deben registrarse y con qué niveles de detalle se adoptará a la vista del análisis de riesgos realizado sobre el sistema ([op.pl.1]).

Nivel BAJO

Se activarán los registros de actividad en los servidores.

Nivel MEDIO

Se revisarán informalmente los registros de actividad buscando patrones anormales.

Nivel ALTO

Se dispondrá de un sistema automático de recolección de registros y correlación de eventos; es decir, una consola de seguridad centralizada.

4.3.9 Registro de la gestión de incidencias [op.exp.9].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Se registrarán todas las actuaciones relacionadas con la gestión de incidentes, de forma que:

  1. Se registrará el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente.
  2. Se registrará aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos. En la determinación de la composición y detalle de estas evidencias, se recurrirá a asesoramiento legal especializado.
  3. Como consecuencia del análisis de los incidentes, se revisará la determinación de los eventos auditables.

4.3.10 Protección de los registros de actividad [op.exp.10].

dimensiones T
categoría básica media alta
no aplica no aplica aplica

Nivel ALTO

Se protegerán los registros del sistema, de forma que:

  1. Se determinará el periodo de retención de los registros.
  2. Se asegurará la fecha y hora. Ver [mp.info.5].
  3. Los registros no podrán ser modificados ni eliminados por personal no autorizado.
  4. Las copias de seguridad, si existen, se ajustarán a los mismos requisitos.

4.3.11 Protección de claves criptográficas [op.exp.11].

dimensiones Todas
categoría básica media alta
aplica + =

Las claves criptográficas se protegerán durante todo su ciclo de vida: (1) generación, (2) transporte al punto de explotación, (3) custodia durante la explotación, (4) archivo posterior a su retirada de explotación activa y (5) destrucción final.

Categoría BÁSICA

  1. Los medios de generación estarán aislados de los medios de explotación.
  2. Las claves retiradas de operación que deban ser archivadas, lo serán en medios aislados de los de explotación.

Categoría MEDIA

  1. Se usarán programas evaluados o dispositivos criptográficos certificados conforme a lo establecido en [op.pl.5].
  2. Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

4.4 Servicios externos [op.ext].

Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones.

La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.

La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.

4.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Previa a la utilización de recursos externos se establecerán contractualmente las características del servicio prestado y las responsabilidades de las partes. Se detallará lo que se considera calidad mínima del servicio prestado y las consecuencias de su incumplimiento.

4.4.2 Gestión diaria [op.ext.2].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Para la gestión diaria del sistema, se establecerán los siguientes puntos:

  1. Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el procedimiento para neutralizar cualquier desviación fuera del margen de tolerancia acordado ([op.ext.1]).
  2. El mecanismo y los procedimientos de coordinación para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo.
  3. El mecanismo y los procedimientos de coordinación en caso de incidentes y desastres (ver [op.exp.7]).

4.4.3 Medios alternativos [op.ext.9].

dimensiones D
categoría básica media alta
no aplica no aplica aplica

Nivel ALTO

Estará prevista la provisión del servicio por medios alternativos en caso de indisponibilidad del servicio contratado. El servicio alternativo disfrutará de las mismas garantías de seguridad que el servicio habitual.

4.5 Continuidad del servicio [op.cont].

4.5.1 Análisis de impacto [op.cont.1].

dimensiones D
categoría básica media alta
no aplica aplica =

Nivel MEDIO

Se realizará un análisis de impacto que permita determinar:

  1. Los requisitos de disponibilidad de cada servicio medidos como el impacto de una interrupción durante un cierto periodo de tiempo.
  2. Los elementos que son críticos para la prestación de cada servicio.

4.5.2 Plan de continuidad [op.cont.2].

dimensiones D
categoría básica media alta
no aplica no aplica aplica

Nivel ALTO

Se desarrollará un plan de continuidad que establezca las acciones a ejecutar en caso de interrupción de los servicios prestados con los medios habituales. Este plan contemplará los siguientes aspectos:

  1. Se identificarán funciones, responsabilidades y actividades a realizar.
  2. Existirá una previsión de los medios alternativos que se va a conjugar para poder seguir prestando los servicios.
  3. Todos los medios alternativos estarán planificados y materializados en acuerdos o contratos con los proveedores correspondientes.
  4. Las personas afectadas por el plan recibirán formación específica relativa a su papel en dicho plan.
  5. El plan de continuidad será parte integral y armónica de los planes de continuidad de la organización en otras materias ajenas a la seguridad.

4.5.3 Pruebas periódicas [op.cont.3].

dimensiones D
categoría básica media alta
no aplica no aplica aplica

Nivel ALTO

Se realizarán pruebas periódicas para localizar y, corregir en su caso, los errores o deficiencias que puedan existir en el plan de continuidad.

4.6 Monitorización del sistema [op.mon].

El sistema estará sujeto a medidas de monitorización de su actividad.

4.6.1 Detección de intrusión [op.mon.1].

dimensiones Todas
categoría básica media alta
no aplica aplica =

Categoría MEDIA

Se dispondrán de herramientas de detección o de prevención de intrusión.

4.6.2 Sistema de métricas [op.mon.2].

dimensiones Todas
categoría básica media alta
aplica + ++

Categoría BÁSICA

Se recopilarán los datos necesarios atendiendo a la categoría del sistema para conocer el grado de implantación de las medidas de seguridad que apliquen de las detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por el artículo 35.

Categoría MEDIA

Además, se recopilaran datos para valorar el sistema de gestión de incidentes, permitiendo conocer

  • Número de incidentes de seguridad tratados.
  • Tiempo empleado para cerrar el 50% de los incidentes.
  • Tiempo empleado para cerrar el 90% de las incidentes.

Categoría ALTA

Se recopilarán datos para conocer la eficiencia del sistema de seguridad TIC:

  • Recursos consumidos: horas y presupuesto.
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Dejar un comentario