Publicacin bajo condiciones Creative Commons

Diseo y maquetacin: Reproduccin / Impresin:

Departamento de Formacin. Diputacin de Alicante. Imprenta Provincial. Servicio de Reproducciones de la Diputacin Provincial de Alicante

ndice
1. 2. 3. 4. PRESENTACIN................................................................................................................................3 INTRODUCCIN ...............................................................................................................................5 DEFINICIONES..................................................................................................................................9 POLTICA DE SEGURIDAD ...............................................................................................................10 4.1. Introduccin. ............................................................................................................................... 10 4.2. Gestin de incidentes de seguridad ............................................................................................ 10 4.2.1. Prevencin......................................................................................................................... 10 4.2.2. Deteccin........................................................................................................................... 11 4.2.3. Respuesta .......................................................................................................................... 11 4.2.4. Recuperacin..................................................................................................................... 12 4.3. Alcance ........................................................................................................................................ 12 4.4. Misin y servicios prestados ....................................................................................................... 12 4.5. Marco normativo......................................................................................................................... 12 4.6. Organizacin de la seguridad ...................................................................................................... 15 4.6.1. Comits: funciones y responsabilidades. .......................................................................... 15 4.6.2. Definicin de roles............................................................................................................. 17 4.7. Datos de carcter personal ......................................................................................................... 25 4.8. Gestin de riesgos ....................................................................................................................... 25 4.8.1. Justificacin ....................................................................................................................... 25 4.8.2. Criterios de evaluacin de riesgos..................................................................................... 25 4.8.3. Directrices de tratamiento ................................................................................................ 25 4.8.4. Proceso de aceptacin del riesgo residual ........................................................................ 26 4.8.5. Necesidad de realizar o actualizar evaluaciones de riesgos.............................................. 26 4.9. Obligaciones del personal ........................................................................................................... 26 4.10. Terceras partes............................................................................................................................ 27 4.11. Revisin y aprobacin de la poltica de seguridad ...................................................................... 27 ANLISIS DIFERENCIAL...................................................................................................................28 5.1. E.N.S. ........................................................................................................................................... 28 5.2. Activo ayuntamiento de ........................................................................................................ 28 5.2.1. Controles / Medidas .......................................................................................................... 28

5.

Pgina 1 de 237

6.

INVENTARIO DE ACTIVOS ..............................................................................................................35 6.1. Valoracin de activos .................................................................................................................. 35 6.2. Dependencias entre activos ........................................................................................................ 39 ANLISIS DE RIESGOS ....................................................................................................................48 7.1. Amenazas e impactos.................................................................................................................. 48 7.2. Gestin y tratamientos de riesgos .............................................................................................. 60 DECLARACIN DE APLICABILIDAD..................................................................................................91 INSUFICIENCIAS Y PLAN DE MEJORAS DE SEGURIDAD (P.M.S.).......................................................98

7.

8. 9.

10. ANEXO ........................................................................................................................................155

Pgina 2 de 237

1. PRESENTACIN
Tenis en vuestras manos la Gua Protocolo de aplicacin del ENS en Entidades Locales, documento fruto del esfuerzo colectivo de la Comunidad de Aprendi zaje (CoP) denominada Plan de adecuacin al ENS que han estado trabajando en este asunto durante un tiempo de alrededor de 1 ao, de mayo de 2011 a junio de 2012. Se trata del 2 nmero de la coleccin Los entregables de la dipu 2.0 que nace con la vocacin de compartir con los empleados pblicos, de nuestra provincia en particular y del resto de administraciones en general, nuestras reflexiones, trabajo y ejemplos de buenas prcticas. Las comunidades de aprendizaje significan tambin una nueva manera de en tender la formacin, especialmente dirigida a los profesionales que ya poseen experiencia y que podemos incluso considerar como expertos, en sus respecti vas materias. Son ellos quienes ms capacitados se encuentran para aportar soluciones, de forma colaborativa, a los distintos problemas de gestin a los que nos enfren tamos cotidianamente. Tal como deca Etienne Wenger, las comunidades de aprendizaje (y las comuni dades de prctica) son grupo de personas que comparten un inters, un con junto de problemas, o una pasin sobre un tema, y quienes profundizan su co nocimiento y experiencia en el rea a travs de una interaccin continua que for talece sus relaciones (Wenger 2002). El objetivo principal de este documento, es que pueda servir de gua para los trabajos de adecuacin a los Esquemas Nacionales de Seguridad que deben lle var a cabo los ayuntamientos. Sin embargo no queremos obviar el otro fin de la CoP, y que tiene que ver con lo que hemos aprendido, tanto sobre el contenido que se muestra en este entre gable, como en el significado del trabajo colaborativo. Si estamos construyendo una sociedad basada en el conocimiento, iniciativas

Pgina 3 de 237

como la de las Comunidades de aprendizaje, toman una nueva relevancia y se convierten en herramientas imprescindibles en este camino. Ahora bien, somos conscientes de que nicamente sern vlidas si contamos con el compromiso de sus protagonistas: los empleados pblicos.

Alicante, octubre de 2012 El Equipo del Departamento de Formacin de la Diputacin de Alicante.

Pgina 4 de 237

2. INTRODUCCIN
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, en su Artculo 42.2 nos indica que el Esquema Nacional de Seguridad tiene por objeto establecer la poltica de seguridad en la utilizacin de medios electrnicos en el mbito de la presente Ley, y est constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. A tenor de lo anterior se infiere que La finalidad del Esquema Nacional de Seguridad es la creacin de las condiciones necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, define claramente los pasos a seguir para su cumplimiento, para ello, el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elabor unas guas de seguridad de las tecnologas de la informacin y las comunicaciones que pretenden ser una ayuda para la implantacin de las medidas correspondientes. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad entr en vigor el da 30 de enero de 2010, un da despus de su publicacin en el BOE. Es conveniente resaltar que el concepto de servicio electrnico es muy extensivo. Las respuestas del Centro Criptolgico Nacional respecto al alcance de este trmino dejan muy claro que cualquier sistema de informacin utilizado para ofrecer servicios a los ciudadanos, tanto de forma presencial como telemtica, es objeto de su adecuacin al ENS. En su Disposicin transitoria, el R.D. 3/2010 marca las pautas para la adecuacin de los sistemas de la entidad al Esquema Nacional de Seguridad, indicando entre otras que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarn al Esquema Nacional de Seguridad. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicacin de lo exigido en el mismo, se dispondr de un Plan de Adecuacin que marque los plazos de ejecucin, los cuales, en ningn caso, sern superiores a 48 meses desde la entrada en vigor. Por lo tanto el R.D nos marca dos hitos claves en este proceso, a) la necesidad de adecuar los sistemas de la entidad al Esquema Nacional de Seguridad. b) La existencia de un Plan de Adecuacin en el ms que probable caso de la imposibilidad de adecuarse al esquema en los 12 meses siguientes a la entrada en vigor del R.D.

Dicho Plan de Adecuacin definir los plazos de actuacin para garantizar el total cumplimiento del Real Decreto 3/2010 en un plazo mximo de 48 meses desde su entrada en vigor, esto es antes del 30 de enero de 2014.

Pgina 5 de 237

En base a todo lo anterior, desde la Diputacin Provincial de Alicante, se promovi la creacin de un grupo de trabajo, bajo el modelo formativo denominado Comunidad de Prcticas (CoP), formado por un tutor o moderador y un grupo de tcnicos informticos municipales de diversos ayuntamientos de la provincia de Alicante, con el objetivo de elaborar un Plan de Adecuacin al Esquema Nacional de Seguridad, basado en un ayuntamiento tipo, que sirviera de base para el cumplimiento de lo reseado en la citada Disposicin transitoria.

El trabajo desarrollado ha estado basado en las guas de seguridad de las tecnologas de la informacin y las comunicaciones publicadas por Centro Criptolgico Nacional, la metodologa Magerit de anlisis y gestin de riesgos, y el soporte de la plataforma GesConsultor GRC para sistemas de gestin y cumplimiento normativo. Al respecto, el presente documento cumple con los requisitos establecidos por la Gua de Seguridad CCN STIC 806 para el Plan de Adecuacin, el cual contiene la siguiente informacin: a) La poltica de seguridad. b) Informacin que se maneja, con su valoracin. c) Servicios que se prestan, con su valoracin. d) Datos de carcter personal. e) Categora del sistema. f) Anlisis de riesgos. g) Declaracin de aplicabilidad de las medidas del Anexo II del ENS y las requeridas por el tratamiento de datos de carcter personal, si los hubiera. h) Insuficiencias del sistema (gap analysis). i) Plan de mejora seguridad, incluyendo plazos estimados de ejecucin.

El resultado de este trabajo es el que se presenta en esta publicacin, cuyo fin ltimo es el de servir de ayuda y punto de partida a entidades locales, para el cumplimiento del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.

NORMAS DE USO. El presente documento refleja el Plan de Adecuacin al Esquema Nacional de Seguridad, basado en un ayuntamiento tipo, por lo tanto para su aplicacin efectiva en un ayuntamiento concreto debern tenerse en cuenta algunas premisas y consideraciones tenidas en cuenta en su elaboracin: Premisas: El Inventario de activos se crea bajo el supuesto de que el ayuntamiento ejerce las competencias municipales bsicas. Por ello, se incluyen los departamentos / reas y servicios considerados tpicos en una Entidad Local aun cuando es probable que todas ellas contemplen en su estructura

Pgina 6 de 237

organizativa y de servicios las correspondientes diferencias sobre esta modelizacin, la cual es fcilmente adaptable a la estructura real de cada ayuntamiento desde una base de trabajo ya desarrollado en dicho modelo. El modelo ha sido desarrollado (para algunos servicios) prcticamente hasta la obtencin del Plan de Adecuacin requerido, aun cuando sera aconsejable que cada ayuntamiento desarrollara su propio taller de adaptacin y sustitucin de genricos (no se incluyen marcas comerciales en el documento) por sus verdaderas infraestructuras. Asimismo, se ofrecen ejemplos significativos de la fase de anlisis y gestin de riesgos, valoraciones, etc. Todas estas actividades ya modeladas son, como todas, adaptables a cada ayuntamiento, En el captulo del Plan de Adecuacin relacionado con la Ley Orgnica de proteccin de datos de carcter personal (Ley 15/1999 de 13 de diciembre, LOPD en adelante) se ofrece una base de anlisis e impulso del cumplimiento de esta Ley y de su Reglamento de desarrollo (R.D. 1720/2007 de 21 de diciembre) mediante la elaboracin de un anlisis diferencial de estos Marcos Normativos donde poder reflejar la realidad de los niveles de cumplimiento de cada ayuntamiento asumiendo que el mismo no es completo y, con ello, dejando a criterio de cada ayuntamiento cumplimentar en cada punto su grado real y, a partir de dicho anlisis diferencial, aportar de forma automtica al Plan de Mejora de la Seguridad las actividades necesarias para conseguir el nivel de cumplimiento adecuado respecto a esta Ley Orgnica. En el captulo de infraestructuras tcnicas de los sistemas de informacin se ha tomado como referencia un escenario tpico donde stas residen en el propio ayuntamiento (CPD propio) y comprenden las aplicaciones dedicadas a materializar los servicios identificados. Estas aplicaciones ofrecen dichos servicios desde una arquitectura multicapa (servidor de datos, servidor de aplicaciones, servidor web, interfaces de usuario y ciudadano) fcilmente adaptable a la situacin real de cada uno. No se incluyen marcas comerciales en ningn punto de este inventario de infraestructuras, siendo tarea del ayuntamiento sustituir estas aplicaciones genricas entregadas por las concretamente implementadas en cada caso. Se ha establecido un nico sistema (el propio ayuntamiento) y, como subsistemas, cada uno de los departamentos inventariados. Este enfoque permite minimizar las tareas de cumplimiento al asociarlas a un nico sistema pero, simultneamente, reflejar como sistemas subordinados (subsistemas) cada una de las reas municipales, sus responsables, roles, aplicaciones, etc. Se ha establecido que la categora del sistema (Anexo I del ENS) es de nivel medio, siendo tambin de nivel medio la mayor parte de los subsistemas que componen dicho sistema, a excepcin de algunos que se han definido de nivel bajo. La determinacin de las categoras indicadas se ha efectuado en funcin de la valoracin del impacto que tendra un incidente que afectara a la seguridad de la informacin o de los servicios con perjuicio para su disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad. En la valoracin se han tomado los criterios de la Gua correspondiente y se ha desarrollado adoptando una postura realista sobre los diferentes criterios expuestos en la misma para obtener dicha valoracin.

Pgina 7 de 237

CONSIDERACIONES: Para la aplicacin del presente plan, es aconsejable su adecuacin a la realidad del ayuntamiento. Ser necesario revisar la Poltica de Seguridad, el Inventario de Activos, el Anlisis Diferencial (de ENS y de LOPD RDLOPD), el Anlisis y Gestin de Riesgos, y como resultado de todo ello, el Plan de Mejoras de Seguridad, de forma que la informacin represente la realidad del ayuntamiento concreto. Con el fin de conseguir un Plan de Adecuacin preciso es conveniente que esta adaptacin se realice de forma realista. El modelo desarrolla el Plan de Adecuacin ofreciendo resueltas varias de las fases del mismo, pero debe ser analizado y adaptado a la realidad particular ya que, como su nombre indica, es un Plan que debe ser desarrollado para conseguir el cumplimiento integral con el ENS, objetivo inviable si dicho Plan no refleja la situacin de partida real del ayuntamiento que lo aborda. La Poltica de Seguridad, el nombramiento de roles y responsabilidades, y el propio Plan de Adecuacin al Esquema Nacional de Seguridad debern ser aprobados por el rgano Competente correspondiente. El Plan de Adecuacin tipo se ha modelado utilizando las funcionalidades del sistema de informacin GesConsultor GRC, el cual aporta la gestin y control de todo el ciclo de cumplimiento del ENS as como los automatismos adecuados para minimizar la carga de trabajo interna.

Pgina 8 de 237

3. DEFINICIONES
ACTIVO Componente o funcionalidad de un sistema de informacin susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organizacin. Incluye: informacin, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos fsicos y recursos humanos.

ANLISIS DE RIESGOS Utilizacin sistemtica de la informacin disponible para identificar peligros y estimar los riesgos.

CONFIDENCIALIDAD Propiedad o caracterstica consistente en que la informacin ni se pone a disposicin, ni se revela a individuos, entidades o procesos no autorizados.

DISPONIBILIDAD Propiedad o caracterstica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

INTEGRIDAD Propiedad o caracterstica consistente en que el activo de informacin no ha sido alterado de manera no autorizada.

TRAZABILIDAD Propiedad o caracterstica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

VULNERABILIDAD Una debilidad que puede ser aprovechada por una amenaza.

Pgina 9 de 237

4. POLTICA DE SEGURIDAD
4.1. Introduccin.
El Ayuntamiento de .............. depende de los sistemas TIC (Tecnologas de Informacin y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daos accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la informacin tratada o los servicios prestados. El objetivo de la seguridad de la informacin es garantizar la calidad de la informacin y la prestacin continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes. Los sistemas TIC deben estar protegidos contra amenazas de rpida evolucin con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la informacin y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestacin continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mnimas de seguridad exigidas por el Esquema Nacional de Seguridad, as como realizar un seguimiento continuo de los niveles de prestacin de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepcin hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisicin y las actividades de explotacin. Los requisitos de seguridad y las necesidades de financiacin, deben ser identificados e incluidos en la planificacin, en la solicitud de ofertas, y en pliegos de licitacin para proyectos de TIC. Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artculo 7 del ENS.

4.2. Gestin de incidentes de seguridad 4.2.1. Prevencin

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la informacin o los servicios se vean perjudicados por incidentes de seguridad. El ENS a travs de su artculo 19 establece la que los sistemas deben disearse y configurarse de forma que garanticen la seguridad por defecto. De igual forma, el artculo 17 del citado ENS define que los sistemas de instalarn en reas separadas, dotadas de un procedimiento de control de acceso. Para ello los departamentos deben implementar las medidas mnimas de seguridad determinadas

Pgina 10 de 237

por el ENS, as como cualquier control adicional identificado a travs de una evaluacin de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la poltica, los departamentos deben: Establecer reas seguras para los sistemas de informacin crtica o confidencial. Autorizar los sistemas antes de entrar en operacin. Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuracin realizados de forma rutinaria. Solicitar la revisin peridica por parte de terceros con el fin de obtener una evaluacin independiente.

4.2.2. Deteccin
Dado que los servicios se puede degradar rpidamente debido a incidentes, que van desde una simple desaceleracin hasta su detencin, los servicios deben monitorizar la operacin de manera continua para detectar anomalas en los niveles de prestacin de los servicios y actuar en consecuencia segn lo establecido en el Artculo 9 del ENS. La monitorizacin es especialmente relevante cuando se establecen lneas de defensa de acuerdo con el Artculo 8 del ENS. Se establecern mecanismos de deteccin, anlisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviacin significativa de los parmetros que se hayan preestablecido como normales. Los sistemas de deteccin de intrusos cumplen fundamentalmente con una labor de supervisin y auditora sobre los recursos de la Organizacin, verificando que la poltica de seguridad no es violada e intentando identificar cualquier tipo de actividad maliciosa de una forma temprana y eficaz. Se debern establecer, en funcin de las necesidades, las siguientes clasificaciones: Sistemas de deteccin de intrusos a nivel de red. Sistemas de deteccin de intrusos a nivel sistema.

4.2.3. Respuesta
Los departamentos deben:

Pgina 11 de 237

 Establecer mecanismos para responder eficazmente a los incidentes de seguridad. Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos. Establecer protocolos para el intercambio de informacin relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

4.2.4. Recuperacin
Para garantizar la disponibilidad de los servicios crticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperacin.

4.3. Alcance
Esta poltica se aplica a todos los sistemas TIC y a todos los miembros de la organizacin, sin excepciones.

4.4. Misin y servicios prestados

El Ayuntamiento de .............. como rgano de Gobierno Municipal, para la gestin de sus intereses, y en el mbito de sus competencias y como Administracin pblica, sirve con objetividad los intereses generales y acta de acuerdo a los principios de eficacia, jerarqua, descentralizacin y coordinacin, promueve toda clase de actividades y presta los servicios pblicos que contribuyen a satisfacer las necesidades y aspiraciones de los habitantes de nuestro municipio.

4.5. Marco normativo

Como base normativa para realizar la presente gua de seguridad, se ha analizado la legislacin vigente, que afecta al desarrollo de las actividades de la Administracin Local en lo que a administracin electrnica se refiere, y que implica la implantacin de forma explcita de medidas de seguridad en los sistemas de informacin. El marco legal en materia de seguridad de la informacin viene establecido por la siguiente legislacin:

Pgina 12 de 237

Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, LRJ PAC.

EN LO QUE SE REFIERE A PROCEDIMIENTO ADMINISTRATIVO:

Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado.

Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos.

Resolucin de 26 de mayo de 2003 de la Secretara de Estado para la Administracin Pblica por la que se dispone la publicacin del Acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes y Servicios Informticos (CIABSI) de 18 de diciembre de 2002 por el que se aprueban los Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas por la Administracin General del Estado en el ejercicio de sus potestades.

Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la Disposicin final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos.

SOBRE LA PROTECCIN DE DATOS DE CARCTER PERSONAL:

LOPD, Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.

Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de Datos, el cual desarrolla tanto los principios de la ley, como las medidas de seguridad a aplicar en los sistemas de informacin. Se aplica tanto a ficheros en soporte automatizado, como en cualquier otro tipo de soportes.

Pgina 13 de 237

RESPECTO A LA ADMINISTRACIN ELECTRNICA:

Ley 11/2007 de 22 de junio de acceso electrnico de los ciudadanos a los servicios pblicos Ley 3/2010, de 5 de mayo, de la Generalitat, de administracin electrnica de la Comunitat Valenciana. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.

Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrnica, como norma bsica en esta materia. FIRMA ELECTRNICA Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrnica, que contribuye al uso y reconocimiento legal de la firma electrnica en la Comunidad Europea Ley 59/2003, de 19 de diciembre, de firma electrnica.

DECRETO 87/2002, de 30 de mayo, del Gobierno Valenciano, por el que se regula la utilizacin de la firma electrnica avanzada en la Generalitat Valenciana.

SEGURIDAD DE LAS REDES Y DE LA INFORMACIN:

COM (2001)298 final Seguridad de las redes y de la informacin: Propuesta para un enfoque poltico europeo.

Guas de la OCDE para la seguridad de los sistemas de informacin y redes. Hacia una cultura de seguridad.

Como complemento a la legislacin vigente, existe en la actualidad la norma internacional UNE ISO/IEC 27002:2009 Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin que se ha con figurado como un estndar a la hora de auditar los aspectos relacionados con la seguridad de la informa cin en las organizaciones.

Pgina 14 de 237

4.6. Organizacin de la seguridad 4.6.1. Comits: funciones y responsabilidades.

El Comit de Seguridad es el rgano que coordina la Seguridad de la Informacin a nivel de Organizacin. Estar constituido por el Responsable de Seguridad de la Informacin y por representantes de las reas afectadas por el ENS.

FUNCIONES ASOCIADAS Responsabilidades derivadas del tratamiento de datos de carcter personal. Asuncin de la figura de Responsable de Servicio para todos los servicios prestados en del marco de la Ley 11/2007. Asuncin de la figura de Responsable de la Informacin para todas las informaciones manejadas por los servicios prestados en el marco de la Ley 11/2007. Atender las inquietudes de los rganos superiores competentes y de los diferentes departamentos. Informar regularmente del estado de la seguridad de la informacin a los rganos superiores competentes. Promover la mejora continua del Sistema de Gestin de la Seguridad de la Informacin. Elaborar la estrategia de evolucin de la Organizacin en lo que respecta a la seguridad de la informacin. Coordinar los esfuerzos de las diferentes reas en materia de seguridad de la informacin, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades. Elaborar (y revisar regularmente) la Poltica de Seguridad de la informacin para que sea aprobada por los rganos superiores competentes. Aprobar la normativa de seguridad de la informacin. Elaborar y aprobar los requisitos de formacin y calificacin de administradores, operadores y usuarios desde el punto de vista de seguridad de la informacin. Monitorizar los principales riesgos residuales asumidos por la Organizacin y recomendar posibles actuaciones respecto de ellos. Monitorizar el desempeo de los procesos de gestin de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinacin

Pgina 15 de 237

de las diferentes reas de seguridad en la gestin de incidentes de seguridad de la informacin. Promover la realizacin de las auditoras peridicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad. Aprobar planes de mejora de la seguridad de la informacin de la Organizacin. En particular, velar por la coordinacin de diferentes planes que puedan realizarse en diferentes reas. Velar porque la seguridad de la informacin se tenga en cuenta en todos los proyectos TIC desde su especificacin inicial hasta su puesta en operacin. En particular, deber velar por la creacin y utilizacin de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogneo de todos los sistemas TIC. Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes reas de la Organizacin, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

EN CASO DE OCURRENCIA DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN: Aprobar el Plan de Mejora de la Seguridad, con su dotacin presupuestaria correspondiente.

El Comit de Seguridad de la Informacin no es un comit tcnico, pero recabar regularmente del personal tcnico, propio o externo, la informacin pertinente para tomar decisiones. El Comit de Seguridad de la Informacin se asesorar de los temas sobre los que tenga que decidir o emitir una opinin. Este asesoramiento se determinar en cada caso, pudiendo materializarse de diferentes formas y maneras: Grupos de trabajo especializados internos, externos o mixtos. Asesora externa. Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias.

El Responsable de la Seguridad de la Informacin es el secretario del Comit de Seguridad de la Informacin y como tal: Convoca las reuniones del Comit de Seguridad de la Informacin. Prepara los temas a tratar en las reuniones del Comit, aportando informacin puntual para la toma de decisiones. Elabora el acta de las reuniones. Es responsable de la ejecucin directa o delegada de las decisiones del Comit.

Pgina 16 de 237

4.6.2. Definicin de roles

La Poltica de Seguridad, segn requiere el Anexo II del Esquema Nacional de Seguridad en su seccin 3.1, debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organizacin administrativa. Se establecen los siguientes roles en la organizacin relacionados con la Seguridad de la Informacin.

Responsable de la informacin
Corresponde al nivel de un rgano de Gobierno de mximo nivel, constituido por los rganos superiores competentes, que entiende la misin de la organizacin, determina los objetivos que se propone alcanzar y responde de que se alcancen. Sus funciones podrn ser asignadas a personas individuales, o bien ser asumidas por el Comit de Seguridad de la Informacin. La persona u rgano que lo asuma deber ser identificada para cada Informacin que trate la organizacin. FUNCIONES ASOCIADAS Tiene la responsabilidad ltima del uso que se haga de una cierta informacin y, por tanto, de su proteccin. El Responsable de la Informacin es el responsable ltimo de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad. Establece los requisitos de la informacin en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la informacin. Determinar los niveles de seguridad en cada dimensin dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Aunque la aprobacin formal de los niveles corresponda al Responsable de la Informacin, podr recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinin del Responsable del Sistema.

COMPATIBILIDAD CON OTROS ROLES Este rol podr coincidir con el del Responsable de Servicio y con el de Responsable de Fichero requerido por la Ley 15/1999 slo en organizaciones de tamao reducido o intermedio que funcionen de forma autnoma.

Pgina 17 de 237

Este rol no podr coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensin que funcionen de forma autnoma. Este rol no podr coincidir con el de Responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensin que funcionen de forma autnoma.

Responsable del servicio

Cuando sea distinto del Responsable de la Informacin, puede corresponder al nivel de un rgano de Gobierno de mximo nivel, al igual que el Responsable de la Informacin, o bien al de una Direccin Ejecutiva o gerencia, que entiende qu hace cada departamento, y cmo los departamentos se coordinan entre s para alcanzar los objetivos marcados por los rganos superiores competentes. Sus funciones podrn ser asignadas a personas individuales, o bien ser asumidas por el Comit de Seguridad de la Informacin. La persona u rgano que lo asuma deber ser identificada para cada Servicio que preste la organizacin. FUNCIONES ASOCIADAS Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la informacin. Tiene la responsabilidad ltima del uso que se haga de determinados servicios y, por tanto, de su proteccin. El Responsable de la Informacin es el responsable ltimo de cualquier error o negligencia que lleve a un incidente de disponibilidad de los servicios. Determinar los niveles de seguridad en cada dimensin del servicio dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad. Aunque la aprobacin formal de los niveles corresponda al Responsable del Servicio, podr recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinin del Responsable del Sistema. La prestacin de un servicio siempre debe atender a los requisitos de seguridad de la informacin que maneja, de forma que pueden heredarse los requisitos de seguridad de la misma, aadiendo requisitos de disponibilidad, as como otros como accesibilidad, interoperabilidad, etc.

Pgina 18 de 237

COMPATIBILIDAD CON OTROS ROLES Podr coincidir en la misma persona u rgano el rol de Responsable de la Informacin y del Responsable del Servicio, aunque generalmente no coincidirn cuando: El servicio gestione informacin de diferentes procedencias, no necesariamente de la misma unidad departamental que la que presta el servicio. La prestacin del servicio no dependa de la unidad a la que pertenece el Responsable de la Informacin. Este rol podr coincidir con el del Responsable de Servicio y con el de Responsable de Fichero requerido por la Ley 15/1999 slo en organizaciones de tamao reducido o intermedio que funcionen de forma autnoma. Este rol no podr coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensin que funcionen de forma autnoma. Este rol no podr coincidir con el de Responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensin que funcionen de forma autnoma.

Responsable de seguridad de la informacin

Corresponde al nivel de una Direccin Ejecutiva o Gerencia. Se nombrar formalmente como tal a una nica persona en la organizacin. El rol no podr ser desarrollado por un rgano colegiado, ni podr haber ms de una persona asumiendo el rol en la organizacin, aunque pueda delegar parte de sus funciones en otras personas. FUNCIONES ASOCIADAS Reportar directamente al Comit de Seguridad de la Informacin. Actuar como Secretario del Comit de Seguridad de la Informacin. Convocar al Comit de Seguridad de la Informacin, recopilando la informacin pertinente. Pertenecer al Comit de Seguridad Corporativa, para coordinar las necesidades de Seguridad de la Informacin en el marco del resto de necesidades de Seguridad Corporativa. Mantendr la seguridad de la informacin manejada y de los servicios prestados por los sistemas de informacin en su mbito de responsabilidad, de acuerdo a lo establecido en la Poltica de Seguridad de la Organizacin.

Pgina 19 de 237

 Promover la formacin y concienciacin en materia de seguridad de la informacin dentro de su mbito de responsabilidad. Recopilar los requisitos de seguridad de los Responsables de Informacin y Servicio y determinar la categora del Sistema. Realizar el Anlisis de Riesgos. Elaborar una Declaracin de Aplicabilidad a partir de las medidas de seguridad requeridas conforme al Anexo II del ENS y del resultado del Anlisis de Riesgos. Facilitar a los Responsable de Informacin y a los Responsables de Servicio informacin sobre el nivel de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el anlisis de riesgos y las medidas de seguridad requeridas por el ENS. Coordinar la elaboracin de la Documentacin de Seguridad del Sistema. Participar en la elaboracin, en el marco del Comit de Seguridad de la Informacin, la Poltica de Seguridad de la Informacin, para su aprobacin por Direccin. Participar en la elaboracin y aprobacin, en el marco del Comit de Seguridad de la Informacin, de la normativa de Seguridad de la Informacin. Elaborar y aprobar los Procedimientos Operativos de Seguridad de la Informacin. Facilitar peridicamente al Comit de Seguridad un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la informacin y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que est expuesto el sistema). Elaborar, junto a los Responsables de Sistemas, Planes de Mejora de la Seguridad, para su aprobacin por el Comit de Seguridad de la Informacin. Elaborar los Planes de Formacin y Concienciacin del personal en Seguridad de la Informacin, que debern ser aprobados por el Comit de Seguridad de la Informacin. Validar los Planes de Continuidad de Sistemas que elabore el Responsable de Sistemas, que debern ser aprobados por el Comit de Seguridad de la Informacin y probados peridicamente por el Responsable de Sistemas. Aprobar las directrices propuestas por los Responsables de Sistemas para considerar la Seguridad de la Informacin durante todo el ciclo de vida de los activos y procesos: especificacin, arquitectura, desarrollo, operacin y cambios.

En caso de ocurrencia de incidentes de seguridad de la informacin: Analizar y propondr salvaguardas que prevengan incidentes similares en un futuro.

Pgina 20 de 237

COMPATIBILIDAD CON OTROS ROLES Este rol nicamente podr coincidir con la del Responsable de Servicio y el Responsable de Informacin en organizaciones de reducidas dimensiones que tengan una estructura autnoma de funcionamiento. Este rol no podr coincidir con el de Responsable de Sistema y el de Administrador de Seguridad del Sistema, aunque se trate de organizaciones de reducidas dimensiones que tengan una estructura autnoma de funcionamiento. DELEGACIN DE FUNCIONES Para determinados Sistemas de Informacin que por su complejidad, distribucin, separacin fsica de sus elementos o nmero de usuarios se necesite de personal adicional para llevar a cabo las funciones de Responsable de la Seguridad, se podrn designar los Responsables de Seguridad Delegados que se consideren necesarios. La designacin corresponde al Responsable de la Seguridad. Por medio de la designacin de delegados, se delegan funciones. La responsabilidad final seguir recayendo sobre el Responsable de la Seguridad. Los Responsables de Seguridad Delegados se harn cargo, en su mbito, de todas aquellas acciones que delegue el Responsable de la Seguridad, pudiendo ser, por ejemplo, la seguridad de sistemas de informacin concretos o de sistemas de informacin horizontales. Cada Responsable de Seguridad Delegado tendr una dependencia funcional directa del Responsable de la Seguridad, que es a quien reportan.

Responsable del sistema

Corresponde al nivel de una Direccin Operativa. Se nombrar formalmente como tal a una nica persona para cada Sistema. El rol no podr ser desarrollado por un rgano colegiado, aunque pueda delegar parte de sus funciones en otras personas. FUNCIONES ASOCIADAS Sus funciones sern las siguientes: Desarrollar, operar y mantener el Sistema de Informacin durante todo su ciclo de vida, de sus especificaciones, instalacin y verificacin de su correcto funcionamiento. Definir la topologa y sistema de gestin del Sistema de Informacin estableciendo los criterios de uso y los servicios disponibles en el mismo.

Pgina 21 de 237

 Cerciorarse de que las medidas especficas de seguridad se integren adecuadamente dentro del marco general de seguridad. El Responsable del Sistema puede acordar la suspensin del manejo de una cierta informacin o la prestacin de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfaccin de los requisitos establecidos. Esta decisin debe ser acordada con los Responsables de la Informacin afectada, del Servicio afectado y con el Responsable de la Seguridad antes de ser ejecutada. Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad. Monitorizar el estado de la seguridad del Sistema de Informacin y reportarlo peridicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad de la Informacin. Elaborar los Planes de Continuidad del Sistema para que sean validados por el Responsable de Seguridad de la Informacin, y coordinados y aprobados por el Comit de Seguridad de la Informacin. Realizar ejercicios y pruebas peridicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos. Elaborar las directrices para considerar la Seguridad de la Informacin durante todo el ciclo de vida de los activos y procesos (especificacin, arquitectura, desarrollo, operacin y cambios) y las facilitar al Responsable de Seguridad de la Informacin para su aprobacin.

EN CASO DE OCURRENCIA DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN: Planificar la implantacin de las salvaguardas en el sistema. Ejecutar el plan de seguridad aprobado.

COMPATIBILIDAD CON OTROS ROLES Este rol no podr coincidir con el de Responsable de Informacin, con el de Responsable de Servicio ni con el de Responsable de Seguridad Corporativa o de la Informacin. Este rol podr coincidir con el de Administrador de Seguridad del Sistema en organizaciones de una dimensin reducida o intermedia que tengan una estructura autnoma de funcionamiento. En grandes organizaciones no debera coincidir con el de Administrador de la Seguridad del Sistema, independientemente del tamao del Sistema.

Pgina 22 de 237

Administrador de la seguridad del sistema

Corresponde al nivel de un empleado cualificado en seguridad informtica de sistemas. Podr nombrarse formalmente como tal varias personas para cada Sistema. El rol no podr ser desarrollado por un rgano colegiado, ni podr delegar parte de sus funciones en otras personas. En su caso, se nombraran nuevos Administradores de la Seguridad del Sistema. Ser propuesto por el Responsable del Sistema, a quien reportar en todo lo relacionado con seguridad de la informacin. FUNCIONES ASOCIADAS La implementacin, gestin y mantenimiento de las medidas de seguridad aplicables al Sistema de Informacin. Asegurar que los controles de seguridad establecidos son cumplidos estrictamente. Asegurar que la trazabilidad, pistas de auditora y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la poltica de seguridad establecida por la Organizacin. Aplicar a los Sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los Procedimientos Operativos de Seguridad y los mecanismos y servicios de seguridad requeridos. Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de informacin y los mecanismos y servicios de seguridad requeridos. La gestin, configuracin y actualizacin, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Informacin. Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no est comprometida. Aprobar los cambios en la configuracin vigente del Sistema de Informacin, garantizando que sigan operativos los mecanismos y servicios de seguridad habilitados. Informar a los Responsables de la Seguridad y del Sistema de cualquier anomala, compromiso o vulnerabilidad relacionada con la seguridad. Monitorizar el estado de la seguridad del sistema.

EN CASO DE OCURRENCIA DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN: Llevar a cabo el registro, contabilidad y gestin de los incidentes de seguridad en los Sistemas bajo su responsabilidad. Ejecutar el plan de seguridad aprobado.

Pgina 23 de 237

 Aislar el incidente para evitar la propagacin a elementos ajenos a la situacin de riesgo. Tomar decisiones a corto plazo si la informacin se ha visto comprometida de tal forma que pudiera tener consecuencias graves (estas actuaciones deberan estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mnimo nmero de casos). Asegurar la integridad de los elementos crticos del Sistema si se ha visto afectada la disponibilidad de los mismos (estas actuaciones deberan estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mnimo nmero de casos). Mantener y recuperar la informacin almacenada por el Sistema y sus servicios asociados. Investigar el incidente: Determinar el modo, los medios, los motivos y el origen del incidente.

COMPATIBILIDAD CON OTROS ROLES Este rol no podr coincidir con el de Responsable de Informacin, con el de Responsable de Servicio ni con el de Responsable de Seguridad Corporativa o de la Informacin. Este rol podr coincidir con el de Responsable del Sistema en organizaciones de una dimensin reducida o intermedia que tengan una estructura autnoma de funcionamiento. En grandes organizaciones no debera coincidir con el de Responsable del Sistema, independientemente del tamao del Sistema. DELEGACIN DE FUNCIONES En determinados sistemas de informacin que por su complejidad, distribucin, separacin fsica de sus elementos o nmero de usuarios se necesite de personal adicional para llevar a cabo sus funciones, se podrn designar Administradores de Seguridad del Sistema Delegados. Los Administradores de Seguridad del Sistema Delegados sern responsables, en su mbito, de aquellas acciones que delegue el Administrador de Seguridad del Sistema relacionadas con la implantacin, gestin y mantenimiento de las medidas de seguridad aplicables al sistema de informacin. El Administrador de Seguridad del Sistema Delegado ser designado a solicitud del Administrador de Seguridad del Sistema, del que depender funcionalmente. Su identidad aparecer reflejada en la documentacin de seguridad del sistema de informacin.

Pgina 24 de 237

4.7. Datos de carcter personal

El Ayuntamiento de .............. trata datos de carcter personal. El Documento de Seguridad LOPD recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de informacin del Ayuntamiento se ajustarn a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carcter personal recogidos en el mencionado Documento de Seguridad.

4.8. Gestin de riesgos 4.8.1. Justificacin

Todos los sistemas sujetos a esta Poltica debern realizar un anlisis de riesgos, evaluando las amenazas y los riesgos a los que estn expuestos. El anlisis de riesgos ser la base para determinar las medidas de seguridad que se deben adoptar adems de los mnimos establecidos por el Esquema Nacional de Seguridad, segn lo previsto en el Artculo 6 del ENS.

4.8.2. Criterios de evaluacin de riesgos

Para la armonizacin de los anlisis de riesgos, el Comit de Seguridad TIC establecer una valoracin de referencia para los diferentes tipos de informacin manejados y los diferentes servicios prestados. Los criterios de evaluacin de riesgos detallados se especificarn en la metodologa de evaluacin de riesgos que elaborar la organizacin, basndose en estndares y buenas prcticas reconocidas. Debern tratarse, como mnimo, todos los riesgos que puedan impedir la prestacin de los servicios o el cumplimiento de la misin de la organizacin de forma grave. Se priorizarn especialmente los riesgos que impliquen un cese en la prestacin de servicios a los ciudadanos.

4.8.3. Directrices de tratamiento

El Comit de Seguridad TIC dinamizar la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carcter horizontal.

Pgina 25 de 237

4.8.4. Proceso de aceptacin del riesgo residual

Los riesgos residuales sern determinados por el Responsable de Seguridad de la Informacin. Los niveles de Riesgo residuales esperados sobre cada Informacin tras la implementacin de las opciones de tratamiento previstas (incluida la implantacin de las medidas de seguridad previstas en el Anexo II del ENS) debern ser aceptados previamente por su Responsable de esa Informacin. Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementacin de las opciones de tratamiento previstas (incluida la implantacin de las medidas de seguridad previstas en el Anexo II del ENS) debern ser aceptados previamente por su Responsable de ese Servicio. Los niveles de riesgo residuales sern presentados por el Responsable de Seguridad de la Informacin al Comit de Seguridad de la Informacin, para que ste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.

4.8.5. Necesidad de realizar o actualizar evaluaciones de riesgos

El anlisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, segn lo establecido en el Artculo 9 del ENS. Este anlisis se repetir: Regularmente, al menos una vez al ao. Cuando se produzcan cambios significativos en la informacin manejada. Cuando se produzcan cambios significativos en los servicios prestados. Cuando se produzcan cambios significativos en los sistemas que tratan la informacin e intervienen en la prestacin de los servicios. Cuando ocurra un incidente grave de seguridad. Cuando se reporten vulnerabilidades graves.

4.9. Obligaciones del personal

Todos los miembros de la Organizacin tienen la obligacin de conocer y cumplir esta Poltica de Seguridad de la Informacin y la Normativa de Seguridad, siendo responsabilidad del Comit de Seguridad TIC disponer los medios necesarios para que la informacin llegue a los afectados. Todos los miembros de la organizacin atendern a una sesin de concienciacin en materia de seguridad TIC al menos una vez cada dos aos. Se establecer un programa de concienciacin continua para atender a todos los miembros de la organizacin, en particular a los de nueva incorporacin

Pgina 26 de 237

Las personas con responsabilidad en el uso, operacin o administracin de sistemas TIC recibirn formacin para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formacin ser obligatoria antes de asumir una responsabilidad, tanto si es su primera asignacin o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo. El cumplimiento de la presente Poltica de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos la organizacin, constituyendo su incumplimiento infraccin grave a efectos laborales.

4.10. Terceras partes

Cuando se presten servicios o se gestione informacin de otras organizaciones, se les har partcipes de esta Poltica de Seguridad de la Informacin, se establecern canales para reporte y coordinacin de los respectivos Comits de Seguridad TIC y se establecern procedimientos de actuacin para la reaccin ante incidentes de seguridad. Cuando se utilicen servicios de terceros o ceda informacin a terceros, se les har partcipes de esta Poltica de Seguridad y de la Normativa de Seguridad que ataa a dichos servicios o informacin. Dicha tercera parte quedar sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecern procedimientos especficos de reporte y resolucin de incidencias. Se garantizar que el personal de terceros est adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Poltica. Cuando algn aspecto de la Poltica no pueda ser satisfecho por una tercera parte segn se requiere en los prrafos anteriores, se requerir un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerir la aprobacin de este informe por los responsables de la informacin y los servicios afectados antes de seguir adelante.

4.11. Revisin y aprobacin de la poltica de seguridad

La Poltica de Seguridad de la Informacin ser revisada por el Comit de Seguridad de la Informacin a intervalos planificados, que no podrn exceder el ao de duracin, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuacin y eficacia. Los cambios sobre la Poltica de Seguridad de la Informacin debern ser aprobados por el rgano superior competente que corresponda, de acuerdo con el artculo 11 del ENS. Cualquier cambio sobre la misma deber ser difundido a todas las partes afectadas.

Pgina 27 de 237

Pgina 28 de 237
APLICA ESTADO

5. ANLISIS DIFERENCIAL

5.1.

E.N.S.

NOMBRE REQUISITO SEGURIDAD

Esquema Nacional de Seguridad (RD 3/2010)

TIPO

Requisito Legal

OBSERVACIONES

El detalle de las acciones pendientes de implantar puede consultarse tanto en el apartado "Plan de Mejora de Seguridad" como en el

Anexo Detalle de medidas de seguridad establecidas en Anexo II ENS.

5.2.

Activo ayuntamiento de .

5.2.1. Controles / Medidas

OBSERVACIONES

CDIGO 55
68 100 50 56 S S S No No 56 S 37

CONTROL / MEDIDA

mp

Medidas de Proteccin

mp.com

Proteccin de las comunicaciones

mp.com.1 Permetro seguro

Se dispone de Firewall que separa la red interna del exterior. Se suelen emplear conexiones VPN aunque no en todos los casos, y se debe comprobar que se emplean algoritmos certificados por CCN (ver Gua 'CCN STIC 807 Criptologa de empleo en el ENS'). Se suelen emplear conexiones VPN aunque no en todos los casos, y se debe comprobar que se emplean algoritmos certificados por CCN (ver Gua 'CCN STIC 807 Criptologa de empleo en el ENS'). No aplica, ya que se trata de una medida de seguridad de nivel alto y el sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. Pendiente de documentar poltica o normativa que indique que los puestos de trabajo deben permanecer despejados, sin

mp.com.2

Proteccin de la

confidencialidad

mp.com.3

Proteccin de la autenticidad

y de la integridad

mp.com.4 Segregacin de redes

mp.com.9 Medios alternativos

mp.eq

Proteccin de los equipos

mp.eq.1

Puesto de trabajo despejado

CDIGO
APLICA ESTADO

CONTROL / MEDIDA

OBSERVACIONES

mp.eq.2

Bloqueo de puesto de S 75

trabajo S S 59 S 75 50 62

ms material encima de la mesa que el requerido para la actividad que se est realizando en cada momento. Configurar todos los puestos de trabajo de forma que se bloqueen las sesiones iniciadas activando el protector de pantalla y solicitando de nuevo la contrasea tras un periodo de inactividad segn la duracin que se haya establecido en la normativa de control de acceso. Pendiente de documentar procedimiento que especifique las medidas de seguridad que deben cumplir los equipos porttiles, incluyendo inventario y a qu usuarios se han asignado. Pendiente de documentar procedimiento que identifique los medios alternativos en caso de indisponibilidad de los habituales.

mp.eq.3

Proteccin de equipos

porttiles

mp.eq.9

Medios alternativos

mp.if

Proteccin de las instalaciones e

infraestructuras

mp.if.1

reas separadas y con

control de acceso S 50

Establecer medidas de control de acceso fsico a las salas de acceso limitado donde se encuentren los recursos que dan soporte a los sistemas de informacin de forma que quede registro y trazabilidad de cada acceso.

mp.if.2

Identificacin de las

personas S S S S 50 50 91 75

mp.if.3

Acondicionamiento de los

locales

mp.if.4

Energa elctrica

Establecer un procedimiento documentado de control de acceso a salas restringidas que garantice la identificacin del personal autorizado, el proceso de autorizacin y el nivel de aprobacin que requiere, otorgue credenciales de acceso que permitan el paso y se registren los accesos. Pendiente de realizar auditora de medidas de seguridad implantadas en CPD: inexistencia de material inflamable, existencia de extintores, detectores de humo, medidores de humedad, equipos de aire acondicionado, sistema de alarmas, etc. Dotar a las salas y equipos que dan soporte a los sistemas de informacin de sistemas de alimentacin ininterrumpida (SAI o grupo electrgeno) de forma que los cortes de suministro no generen la cada o apagado inmediato de estos recursos. Dotar las salas donde se alojan sistemas de informacin de las medidas de prevencin y deteccin de incendios. Dotar las salas donde se alojan sistemas de informacin de las medidas de deteccin de fugas de agua o alteracin de las condiciones de humedad.

mp.if.5

Proteccin frente a incendios

mp.if.6

Proteccin frente a

inundaciones S No 39 S 37 25

mp.if.7

Registro de entrada y salida

de equipamiento

mp.if.9

Instalaciones alternativas

Establecer controles de entrada y salida de material de las salas de acceso limitado donde se encuentren los recursos que dan soporte a los sistemas de informacin de forma que quede registro y trazabilidad de cada movimiento de equipamiento. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. Pendiente de adecuar la Organizacin al Reglamento de LOPD (RD 1720/2007) e implantar las medidas de seguridad

Pgina 29 de 237

mp.info

Proteccin de la informacin

mp.info.1

Datos de carcter personal

Pgina 30 de 237
APLICA ESTADO

CDIGO

CONTROL / MEDIDA

OBSERVACIONES

mp.info.2 No S No S S 56 S 81 44 0 82

Calificacin de la informacin

33

mp.info.3

Cifrado de la informacin

mp.info.4

Firma electrnica

mp.info.5

Sellos de tiempo

mp.info.6

Limpieza de documentos

mp.info.9

Copias de seguridad (backup)

necesarias, actualizar el documento de seguridad LOPD, realizar auditoras bienales, actualizar la notificacin de ficheros a Agencia Espaola de Proteccin de Datos, etc. Pendiente de elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes. No aplica, ya que se trata de una medida de seguridad de nivel alto y la confidencialidad del sistema se ha catalogado de nivel medio. Documentar la normativa de firma electrnica de la Organizacin indicando los usos donde ser empleada, en qu trmites o documentos, qu requisitos tcnicos sern necesarios para el uso de los dispositivos y medios de firma y cules sern los algoritmos criptogrficos acreditados a emplear para la firma electrnica. No aplica, ya que se trata de una medida de seguridad de nivel alto y la trazabilidad del sistema se ha catalogado de nivel medio. Pendiente de elaborar procedimiento documentado con instrucciones para limpiar (retirar la informacin contenida en campos ocultos, meta datos, comentarios o revisiones) todos los documentos que van a ser transferidos a otro dominio de seguridad (publicacin en web o repositorio, difusin masiva, etc.). Elaborar procedimiento documentado de copias de respaldo que incluya todos los requisitos incluidos en esta medida de seguridad.

mp.per

Gestin del personal

mp.per.1

Caracterizacin del puesto

de trabajo S S S No 70 S 69 62 43 39

Pendiente de definir cules son las responsabilidades asociadas uso del puesto de trabajo y que servir para definir el contenido de la "Norma de uso de los sistemas de informacin de la Organizacin".

mp.per.2

Deberes y obligaciones

mp.per.3

Concienciacin

mp.per.4

Formacin

mp.per.9

Personal alternativo

Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin la entrega de las "Normas de uso de los sistemas de informacin" de forma que se informe al usuario cules son sus deberes y responsabilidades en su puesto de trabajo. Establecer un procedimiento documentado de gestin de la concienciacin y formacin que garantice la elaboracin de un plan de concienciacin anual donde se contemplen la identificacin de los aspectos en materia de seguridad. Pendiente de considerar en la elaboracin de los contenidos formativos la realizacin de actuaciones formativas relacionadas con la clasificacin y uso de informacin en soporte papel o soporte electrnico, y con la deteccin y reaccin frente a incidentes. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

mp.s

Proteccin de los servicios

mp.s.1

Proteccin del correo

Pendiente de especificar las normas a aplicar en el uso del correo electrnico de la Organizacin y las limitaciones como soporte de comunicaciones privadas, y de establecer las medidas de seguridad necesarias para proteger las

CDIGO
APLICA ESTADO

CONTROL / MEDIDA
comunicaciones por email. S S No 47 S S S S S 62 55 66 0 56 83 59

OBSERVACIONES

electrnico (e mail)

mp.s.2

Proteccin de servicios y

aplicaciones web

Realizar de forma peridica actividades para la revisin de vulnerabilidades y tests de intrusin sobre los sistemas que estn o estarn en explotacin. En la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin, considerar que se tengan en cuenta las capacidades y necesidades de ancho de banda para evitar sobrepasar los recursos disponibles. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

mp.s.8

Proteccin frente a la

denegacin de servicio

mp.s.9

Medios Alternativos

mp.si

Proteccin de los soportes de

informacin

mp.si.1

Etiquetado

Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes.

mp.si.2

Criptografa

mp.si.3

Custodia

mp.si.4

Transporte

mp.si.5

Borrado y destruccin

Pendiente de aplicar mecanismos criptogrficos a todos los dispositivos removibles (CD, DVD, disco duro externo, pendrive, etc.). Elaborar un inventario de soportes donde se especifique qu soportes se tienen registrados, en qu lugar se encuentran, medidas de seguridad implantadas, periodo de retencin, etc. Establecer controles de entrada y salida de soportes de las salas de acceso limitado donde se encuentren de forma que quede registro y trazabilidad de cada movimiento. Dichos movimientos debern ser previamente autorizados. Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte.

mp.sw S S 54 57 S 80 14 82

Proteccin de las aplicaciones 48

informticas

mp.sw.1

Desarrollo de aplicaciones

Aplicar una metodologa de desarrollo reconocida. Verificar que no existen herramientas o datos de desarrollo en el entorno de produccin. Establecer un procedimiento documentado de paso a produccin que tenga en cuenta todos los requisitos indicados en esta medida de seguridad.

mp.sw.2

Aceptacin y puesta en

servicio

op

Marco Operacional

op.acc

Control de acceso

Pgina 31 de 237

op.acc.1

Identificacin

Pendiente de documentar la normativa de control de acceso.

Pgina 32 de 237
APLICA ESTADO

CDIGO
S 75

CONTROL / MEDIDA

OBSERVACIONES
Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio disponga de mecanismos de control de acceso que requiera la identificacin y autenticacin de usuarios. Especificar en la normativa de control de acceso cuales sern las funciones tcnicas segregadas e incompatibilidades. Pendiente de documentar el procedimiento de altas, bajas y modificaciones de usuarios en sistemas de informacin.

op.acc.2

Requisitos de acceso

op.acc.3 S S S S 0 S No No 56 S S S S S 20 87 25 43 75 0 50 20 61 75

Segregacin de funciones y S 43

tareas

op.acc.4

Proceso de gestin de

derechos de acceso

op.acc.5

Mecanismo de autenticacin

op.acc.6

Acceso local (local logon)

Especificar en la normativa documentada de control de acceso los mtodos de identificacin y autenticacin de usuarios, poltica de contraseas, eliminacin de cuentas y perfiles de acceso, etc. Pendiente de configurar los mecanismos de identificacin y autenticacin en la red local de acuerdo a los requisitos incluidos en esta medida de seguridad. Especificar en la normativa de control de acceso cules son los medios de acceso remoto y teletrabajo autorizados que son vlidos para el Ayuntamiento.

op.acc.7

Acceso remoto (remote

login)

op.cont

Continuidad de negocio

op.cont.1

Anlisis de impacto

op.cont.2

Plan de continuidad

op.cont.3

Pruebas peridicas

Realizar y documentar un anlisis de impacto en el que se incluya cules son los servicios crticos y los tiempos mximos de tolerancia de interrupciones del Ayuntamiento en caso de contingencia o desastre. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

op.exp

Explotacin

op.exp.01

Inventario de activos

Establecer un procedimiento documentado de gestin del cambio que garantice que el inventario de los sistemas de informacin es peridicamente revisado y se mantiene actualizado. Elaborar procedimiento de fortificacin o bastionado de los sistemas previo a su entrada en produccin.

op.exp.02

Configuracin de Seguridad

op.exp.03

Gestin de la configuracin

op.exp.04

Mantenimiento

Elaborar un procedimiento documentado de gestin de la configuracin y del cambio de los sistemas de informacin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equipos en produccin. Elaborar un procedimiento documentado de gestin del mantenimiento hardware y software que tenga en cuenta todos los aspectos a controlar para garantizar el correcto funcionamiento y actualizacin de los equipos en produccin y la planificacin temporal de dichas tareas. Elaborar un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que

op.exp.05

Gestin de cambios

CDIGO
APLICA ESTADO

CONTROL / MEDIDA
Se dispone de sistemas antivirus y antispam.

OBSERVACIONES
tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equipos en produccin.

op.exp.06

Proteccin frente a cdigo S 100

daino S 55

op.exp.07

Gestin de incidencias

Pendiente de elaborar un procedimiento documentado de notificacin de incidentes de seguridad que garantice el registro de eventos que supongan un problema o puedan suponer un problema potencial y que pudiera ser notificado por cualquier usuario. No aplica, ya que se trata de una medida de seguridad de nivel alto y la trazabilidad del sistema se ha catalogado de nivel medio.

op.exp.08 S No S 100 S S No 100 100 100 0

Registro de la actividad de No

los usuarios

op.exp.09

Registro de la gestin de

Pendiente de registrar las actuaciones relacionadas con la gestin de incidencias. No aplica, ya que se trata de una medida de seguridad de nivel alto y la trazabilidad del sistema se ha catalogado de nivel medio. Se utilizan certificados digitales reconocidos, emitidos por las entidades de de certificacin (ACCV, DNI e, FNMT, etc.).

incidencias

op.exp.10

Proteccin de los registros

op.exp.11

Proteccin de claves

criptogrficas

op.ext

Servicios externos

op.ext.1

Contratos y acuerdos de

Se dispone de contratos y acuerdos de nivel de servicio con los distintos proveedores. Se recogen en Pliegos las caractersticas del servicio externo. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y el sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

nivel de servicio

op.ext.2

Gestin diaria

op.ext.9

Medios alternativos

op.mon No No 57 S S 30 100

Monitorizacin del sistema

op.mon.1

Deteccin de intrusin

op.mon.2

Sistema de mtricas

op.pl

Planificacin

op.pl.1

Anlisis de riesgos

En el Anlisis de Riesgos se ha utilizado la metodologa MAGERIT V.2, reconocida y aceptada a nivel internacional. Elaborar documentacin que describa la arquitectura fsica de los sistemas de informacin del Ayuntamiento y las infraestructuras fsicas donde estos son albergados.

Pgina 33 de 237

op.pl.2

Arquitectura de seguridad

CDIGO
APLICA ESTADO

CONTROL / MEDIDA
S S S 13 S S S S 0 0 0 55 Pendiente la aprobacin de la poltica de seguridad por el rgano Competente del Ayuntamiento. Elaborar los documentos necesarios que constituyan la normativa de seguridad escrita. Elaborar los documentos que constituyan los procedimientos de seguridad escritos. 100 0 56

OBSERVACIONES
Pendiente de elaborar un procedimiento formal y documentado para planificar la adquisicin de nuevos componentes del sistema. Elaborar un procedimiento documentado de gestin de la configuracin y del cambio de los sistemas de informacin que incluya la gestin de capacidades y las necesidades de dimensionamiento de los sistemas de informacin. Se utilizan sistemas, productos y equipos certificados, y se establece como requisito en los Pliegos.

Pgina 34 de 237

op.pl.3

Adquisicin de nuevos

componentes

op.pl.4

Dimensionamiento / Gestin

de capacidades

op.pl.5

Componentes certificados

org

Marco Organizativo

org.1

Poltica de seguridad

org.2

Normativa de seguridad

org.3

Procedimientos de seguridad

org.4

Proceso de autorizacin

Elaborar un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que determine qu cambios requerirn autorizacin, cul ser el flujo de trabajo a seguir para la solicitud, revisin y autorizacin as como qu registro debe quedar de dicho procedimiento.

6. INVENTARIO DE ACTIVOS

6.1. Valoracin de activos

INFORMACIN Y DATOS PERSONALES QUE SE MANEJAN, JUNTO CON SU VALORACIN

CRITERIO VALORACIN: Despreciable [0], Bajo [1 3], Medio [4 6], Alto [7 9], Muy Alto [10]

D: Disponibilidad, I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad.

NOMBRE DEL ACTIVO SEGURIDAD RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE TIC RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTRATACIN RESPONSABLE DEPORTES RESPONSABLE EDUCACIN ALCALDE

RESPONSABLE DE INFORMACIN

RESPONSABLE DE TRATA DATOS PERSONALES SI SI SI SI SI SI SI RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC SI SI SI SI SI SI SI SI SI

D 2 5 5 2 5 5 2 5 2 5 5 2 5 5 5 2

I 5 5 5 2 5 5 2 5 2 5 5 2 5 5 5 5

C 2 5 5 5 5 5 2 5 2 5 5 2 5 5 5 5

A 2 5 5 5 5 5 2 5 2 5 5 2 5 5 5 5

T VALOR 2 5 5 5 5 5 2 5 2 5 5 2 5 5 5 5 5 5 5 5 5 5 2 5 2 5 5 2 5 5 5 5

[INFO AGUAS BASURAS]Informacin Aguas Basuras

[INFO CONTAB FNZ]Informacin Contabilidad Finanzas

[INFO CONTRAT]Informacin Contratacin

[INFO DEPORTES]Informacin Deportes

[INFO EDUCACIN]Informacin Educacin

[INFO GESTMUN]Informacin Gestin Municipal

[INFO GESTTER_CATASTRO]Informacin Gestin Territorio TESORERO ORGANISMO SECRETARIO ORGANISMO RESPONSABLE RECURSOS HUMANOS SECRETARIO ORGANISMO RESPONSABLE SANIDAD CONCEJAL MODERNIZACIN

Catastro

RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE TIC

[INFO GESTRIB]Informacin Gestin Tributaria

[INFO PADRON]Informacin Padrn de Habitantes

[INFO RECURSOS HUMANOS]Informacin RR.HH.

[INFO REGISTRO]Informacin Registro

[INFO SALUD]Informacin Sanidad

[INFO SEDE]Informacin Sede Electrnica

[INFO SEGURIDAD CIUDADANA]Inform. Seguridad Ciudadana CONCEJAL SEGURIDAD CIUDADANA

[INFO SERVSOC VOL]Inform. Servicios Sociales Voluntariado RESPONSABLE SS.SS. VOLUNTARIADO RESPONSABLE URBANISMO

Pgina 35 de 237

[INFO URBANISMO]Informacin Urbanismo

SERVICIOS QUE SE PRESTAN, JUNTO CON SU VALORACIN (D: Disponibilidad,

I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad) RESPONSABLE DE D 5 5 5 2 2 2 2 5 2 2 5 5 2 5 2 2 2 2 5 5 5 5 5 2 5 5 5 5 2 5 5 5 5 5 2 2 5 2 2 5 5 2 5 2 2 2 2 5 5 5 5 5 2 5 5 5 5 5 5 5 5 2 2 2 2 5 5 5 5 5 2 5 2 5 2 2 5 5 5 5 5 2 5 5 2 2 5 5 5 5 2 2 2 2 5 5 5 5 5 2 5 2 5 2 2 5 5 5 5 5 2 5 5 5 2 5 I C A 5 5 5 2 2 2 2 5 5 5 5 5 2 5 2 5 2 2 5 5 5 5 5 2 5 5 5 2 5 RESPONSABLE DEL SERVICIO T VALOR 5 5 5 5 5 2 2 5 5 5 5 5 2 5 2 5 2 2 5 5 5 5 5 2 5 5 5 5 5

CRITERIO VALORACIN: Despreciable [0], Bajo [1 3], Medio [4 6], Alto [7 9], Muy Alto [10]

Pgina 36 de 237

NOMBRE DEL ACTIVO

[SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV [SERV

SEGURIDAD QUEJAS SUG]Servicio de Quejas y Sugerencias RESPONSABLE ATENCIN AL CIUDADANO RESPONSABLE TIC REGTELEMATICO]Servicio de Registro Electrnico SECRETARIO ORGANISMO RESPONSABLE TIC REPR]Servicio de Registro Presencial SECRETARIO ORGANISMO RESPONSABLE TIC AGUAS BASURAS]Servicios Aguas Basuras RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE TIC ATN CIUDADANO]Servicios Atencin al Ciudadano RESPONSABLE ATENCIN AL CIUDADANO RESPONSABLE TIC CEM MNPAL]Servicios Cementerio Municipal RESPONSABLE CEMENTERIO MUNICIPAL RESPONSABLE TIC CONSUMO MERCADOS]Servicios Consumo Mercados RESPONSABLE CONSUMO MERCADOS RESPONSABLE TIC CONTAB FINZ]Servicios Contabilidad Finanzas RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE TIC CULTURA]Servicios Cultura RESPONSABLE CULTURA RESPONSABLE TIC DEPORTES]Servicios Deportes RESPONSABLE DEPORTES RESPONSABLE TIC EDUCACIN]Servicios Educacin RESPONSABLE EDUCACIN RESPONSABLE TIC FOMENTO ACTIVIDADES]Servicios Fomento Actividades RESPONSABLE ACTIVIDADES RESPONSABLE TIC GESTER CATASTRO]Servicios Gestin del Territorio Catastro RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE TIC TRIBREC]Servicios Gestin Tributaria Recaudacin TESORERO ORGANISMO RESPONSABLE TIC INFRA PATRIM]Servicios Infraestructuras Patrimonio RESPONSABLE INFRAESTRUCTURAS PATRIMONIO RESPONSABLE TIC JUVENTUD]Servicios Juventud RESPONSABLE JUVENTUD RESPONSABLE TIC MEDIO AMBIENTE]Servicios Medio Ambiente RESPONSABLE MEDIO AMBIENTE RESPONSABLE TIC PADRN]Servicios Padrn Habitantes RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE TIC PERFIL CNTR]Servicios Perfil del Contratante RESPONSABLE CONTRATACIN RESPONSABLE TIC POLICIA LOCAL]Servicios Polica Local JEFE POLICA LOCAL RESPONSABLE TIC CONTRATACIN]Servicios Procesos Contratacin RESPONSABLE CONTRATACIN RESPONSABLE TIC PROTCIV]Servicios Proteccin Civil RESPONSABLE PROTECCIN CIVIL RESPONSABLE TIC RECURSOS HUMANOS]Servicios Recursos Humanos RESPONSABLE RECURSOS HUMANOS RESPONSABLE TIC SANIDAD]Servicios Sanidad RESPONSABLE SANIDAD RESPONSABLE TIC SOCIALES VOL]Servicios Sociales y Voluntariado RESPONSABLE SS.SS. VOLUNTARIADO RESPONSABLE TIC TABLON ANUNCIOS ELEC]Servicios Tabln de Anuncios electrnico SECRETARIO ORGANISMO RESPONSABLE TIC TIC]Servicios Tecnologas de la Informacin y las Comunicaciones RESPONSABLE TIC RESPONSABLE TIC TRAFICO TRANSP]Servicios Trfico Transportes RESPONSABLE TRFICO TRANSPORTES RESPONSABLE TIC URBANISMO]Servicios Urbanismo RESPONSABLE URBANISMO RESPONSABLE TIC

SISTEMAS Y CATEGORAS ASOCIADAS (D: Disponibilidad,

I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad)
CRITERIO VALORACIN CATEGORA: Baja [valor<4], Media [4<=valor<=6], Alta [valor>6]

CRITERIO VALORACIN: Despreciable [0], Bajo [1 3], Medio [4 6], Alto [7 9], Muy Alto [10]

NOMBRE DEL ACTIVO CONCEJAL MODERNIZACIN RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTRATACIN RESPONSABLE TIC ALCALDE RESPONSABLE SANIDAD RESPONSABLE TIC TESORERO ORGANISMO RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE RECURSOS HUMANOS SECRETARIO ORGANISMO SECRETARIO ORGANISMO CONCEJAL SEGURIDAD CIUDADANA RESPONSABLE URBANISMO I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad) SEGURIDAD RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC 5 2 5 5 5 5 2 2 5 2 5 5 5 5 2 5 2 5 5 5 5 2 2 5 2 5 5 5 5 5 5 2 5 5 5 5 2 2 5 2 5 5 5 5 5 5 2 5 5 5 5 2 2 5 2 5 5 5 5 5 5 2 5 5 5 5 2 2 5 2 5 5 5 5 5 LOR 5 2 5 5 5 5 2 2 5 2 5 5 5 5 5

RESPONSABLE DEL SISTEMA

RESPONSABLE DE D I C A T

VA

CATEGORA Media Baja Media Media Media Media Baja Baja Media Baja Media Media Media Media Media

[SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS [SIS

ORGANISMO]AYUNTAMIENTO de AGUAS BASURAS]Sistema Aguas Basuras CONTAB FINANZAS]Sistema Contabilidad Finanzas CONTRATACIN]Sistema Contratacin EMAIL]Sistema Correo Electrnico GESTIN MUNICIPAL]Sistema de Gestin Municipal SANIDAD]Sistema Gestin Sanitaria GESTER CATASTRO]Sistema Gestin Territorio Catastro GTRB]Sistema Gestin Tributaria PADRN]Sistema Padrn de Habitantes RECURSOS HUMANOS]Sistema Recursos Humanos REGISTRO]Sistema Registro SEDE ELEC]Sistema Sede Electrnica SEG CIUD]Sistema Seguridad Ciudadana URBANISMO]Sistema Urbanismo

OTROS ACTIVOS INCLUIDOS EN EL ALCANCE (D: Disponibilidad,

NOMBRE DEL ACTIVO

CRITERIO VALORACIN: Despreciable [0], Bajo [1 3], Medio [4 6], Alto [7 9], Muy Alto [10]

CATEGORA

PROPIETARIO/ RESPONSABLE
INTERVENTOR ORGANISMO RESPONSABLE CONTRATACIN ALCALDE RESPONSABLE SANIDAD TESORERO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC

D I C A T VALOR
5 5 5 2 5 2 5 5 5 5 5 5 5 2 5 2 5 5 5 5 5 5 5 2 5 2 5 5 5 5 5 2 5 2 5 2 5 5 5 5 5 2 5 2 5 2 5 5 5 5 5 5 5 2 5 2 5 5 5 5

Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software) Aplicaciones (software)

Aplicacin Contabilidad Finanzas Aplicacin Contratacin Perfil Contratante Aplicacin Gestin Municipal Aplicacin Gestin Sanitaria Aplicacin Gestin Tributaria Aplicacin Padrn Habitantes Aplicacin Registro Gestor BBDD Servidor Correo Electrnico (Software) Servidor Web (Software)

Pgina 37 de 237

CATEGORA
RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC ALCALDE CONCEJAL SEGURIDAD CIUDADANA JEFE POLICA LOCAL RESPONSABLE ACTIVIDADES RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE ATENCIN AL CIUDADANO RESPONSABLE CEMENTERIO MUNICIPAL RESPONSABLE CONSUMO MERCADOS RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTRATACIN RESPONSABLE CULTURA RESPONSABLE DEPORTES RESPONSABLE EDUCACIN RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE INFRAESTRUCTURAS PATRIMONIO RESPONSABLE JUVENTUD RESPONSABLE MEDIO AMBIENTE RESPONSABLE PROTECCIN CIVIL RESPONSABLE RECURSOS HUMANOS RESPONSABLE SANIDAD RESPONSABLE SS.SOCIALES VOLUNTARIADO RESPONSABLE TIC RESPONSABLE TRFICO TRANSPORTES RESPONSABLE URBANISMO SECRETARIO ORGANISMO TESORERO ORGANISMO 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 0 0 0 0 5 0 5 5 5 5 5 5 2 2 5 5 2 2 5 2 2 2 2 2 5 5 2 5 5 5 5 5 5 0 0 0 0 5 0 5 5 5 5 2 2 2 2 5 5 5 5 5 2 2 2 5 2 5 5 2 5 2 2 5 5 5 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5

NOMBRE DEL ACTIVO

PROPIETARIO/ RESPONSABLE

D I C A T VALOR

Pgina 38 de 237

Equipos informticos (hardware) Equipos informticos (hardware) Equipos informticos (hardware) Equipos informticos (hardware) Redes de comunicaciones Instalaciones Instalaciones Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal Personal

HW Servidor Aplicaciones HW Servidor Correo Electrnico HW Servidor de Base de Datos HW Servidor Web Comunicaciones Redes CPD Principal SEDE ORGANISMO CONCEJAL SEGURIDAD CIUDADANA JEFE POLICA LOCAL RESPONSABLE ACTIVIDADES RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE ATENCIN AL CIUDADANO RESPONSABLE CEMENTERIO MUNICIPAL RESPONSABLE CONSUMO MERCADOS RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTRATACIN RESPONSABLE CULTURA RESPONSABLE DEPORTES RESPONSABLE EDUCACIN RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE INFRAESTRUCTURAS PATRIMONIO RESPONSABLE JUVENTUD RESPONSABLE MEDIO AMBIENTE RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO RESPONSABLE RECURSOS HUMANOS RESPONSABLE SANIDAD RESPONSABLE SERVICIOS SOCIALES RESPONSABLE TIC RESPONSABLE TRFICO TRANSPORTES RESPONSABLE URBANISMO SECRETARIO ORGANISMO TESORERO ORGANISMO

6.2.Dependencias entre activos

PROPIETARIO / RESPONSABLE RESPONSABLE ATENCIN AL CIUDADANO RESPONSABLE TIC SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO RESPONSABLE TIC SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO SECRETARIO ORGANISMO 10% 100% 100% 100% 100% 10% 100% 100% 100% 100% 100% 10% 100% 100% 10% 100% ALCALDE RESPONSABLE ATENCIN AL CIUDADANO ALCALDE ALCALDE RESPONSABLE CEMENTERIO MUNICIPAL 100% 10% 100% 100% 10% GRADO DE DEPENDENCIA

CATEGORA NOMBRE DEL ACTIVO Servicios/Productos Servicio de Quejas y Sugerencias depende de: Personal RESPONSABLE ATENCIN AL CIUDADANO Aplicaciones (software) Servidor Web (Software) Sistemas Sistema Registro Servicios/Productos Servicio de Registro Electrnico depende de: Aplicaciones (software) Aplicacin Registro Datos/Informacin Informacin Registro Personal SECRETARIO ORGANISMO Aplicaciones (software) Servidor Web (Software) Sistemas Sistema Registro Sistemas Sistema Sede Electrnica Servicios/Productos Servicio de Registro Presencial depende de: Aplicaciones (software) Aplicacin Registro Datos/Informacin Informacin Registro Personal SECRETARIO ORGANISMO Sistemas Sistema Registro Servicios/Productos Servicios Aguas Basuras depende de:

Datos/Informacin Personal Sistemas Servicios/Productos Servicios

Informacin Aguas Basuras RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE AGUAS BASURAS SUMINISTROS Sistema Aguas Basuras RESPONSABLE AGUAS BASURAS SUMINISTROS Atencin al Ciudadano depende de:

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE ATENCIN AL CIUDADANO Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Cementerio Municipal depende de: Informacin Gestin Municipal RESPONSABLE CEMENTERIO MUNICIPAL

Pgina 39 de 237

Datos/Informacin Personal

CATEGORA NOMBRE DEL ACTIVO Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Consumo Mercados depende de: RESPONSABLE CONSUMO MERCADOS ALCALDE INTERVENTOR ORGANISMO RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE CONTABILIDAD FINANZAS ALCALDE RESPONSABLE CULTURA ALCALDE RESPONSABLE DEPORTES RESPONSABLE DEPORTES ALCALDE RESPONSABLE EDUCACIN RESPONSABLE EDUCACIN ALCALDE ALCALDE RESPONSABLE ACTIVIDADES ALCALDE 10% 100% 100% 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 10% 100%

PROPIETARIO / RESPONSABLE ALCALDE

GRADO DE DEPENDENCIA 100%

Pgina 40 de 237

Personal RESPONSABLE CONSUMO MERCADOS Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Contabilidad Finanzas depende de: Aplicaciones (software) Aplicacin Contabilidad Finanzas Datos/Informacin Informacin Contabilidad Finanzas Personal RESPONSABLE CONTABILIDAD FINANZAS Sistemas Sistema Contabilidad Finanzas Servicios/Productos Servicios Cultura depende de:

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE CULTURA Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Deportes depende de:

Datos/Informacin Informacin Deportes Personal RESPONSABLE DEPORTES Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Educacin depende de:

Datos/Informacin Informacin Educacin Personal RESPONSABLE EDUCACIN Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Fomento Actividades depende de:

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE ACTIVIDADES Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Gestin del Territorio Catastro depende de:

Datos/Informacin Personal Sistemas

Informacin Gestin Territorio Catastro RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE GESTIN TERRITORIO CATASTRO RESPONSABLE GESTIN TERRITORIO CATASTRO Sistema Gestin Territorio Catastro RESPONSABLE TIC

PROPIETARIO / RESPONSABLE TESORERO ORGANISMO TESORERO ORGANISMO SECRETARIO ORGANISMO TESORERO ORGANISMO TESORERO ORGANISMO ALCALDE RESPONSABLE INFRAESTRUCTURAS PATRIMONIO ALCALDE ALCALDE RESPONSABLE JUVENTUD ALCALDE ALCALDE RESPONSABLE MEDIO AMBIENTE ALCALDE SECRETARIO ORGANISMO SECRETARIO ORGANISMO RESPONSABLE ESTADSTICA GESTIN POBLACIN SECRETARIO ORGANISMO RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE TIC 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 100% 10% 10% 100% 100% 100% 10% 100% 100% 100% 100% 100% 80%

CATEGORA NOMBRE DEL ACTIVO Servicios/Productos Servicios Gestin Tributaria Recaudacin depende de: Aplicaciones (software) Aplicacin Gestin Tributaria Datos/Informacin Informacin Gestin Tributaria Servicios/Productos Servicio de Registro Electrnico Sistemas Sistema Gestin Tributaria Personal TESORERO ORGANISMO Servicios/Productos Servicios Infraestructuras Patrimonio depende de:

GRADO DE DEPENDENCIA

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE INFRAESTRUCTURAS PATRIMONIO Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Juventud depende de:

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE JUVENTUD Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Medio Ambiente depende de:

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE MEDIO AMBIENTE Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Padrn Habitantes depende de:

Aplicaciones (software) Aplicacin Padrn Habitantes Datos/Informacin Informacin Padrn de Habitantes Personal RESPONSABLE ESTADSTICA GESTIN POBLACIN Personal SECRETARIO ORGANISMO Sistemas Sistema Padrn de Habitantes Servicios/Productos Servicios Perfil del Contratante depende de: Aplicacin Contratacin Perfil Contratante Informacin Contratacin RESPONSABLE CONTRATACIN Servidor Web (Software)

Pgina 41 de 237

Aplicaciones (software) Datos/Informacin Personal Aplicaciones (software)

CATEGORA NOMBRE DEL ACTIVO Sistemas Sistema Sede Electrnica Servicios/Productos Servicios Polica Local depende de: CONCEJAL SEGURIDAD CIUDADANA CONCEJAL SEGURIDAD CIUDADANA JEFE POLICA LOCAL CONCEJAL SEGURIDAD CIUDADANA RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN CONCEJAL SEGURIDAD CIUDADANA RESPONSABLE PROTECCIN CIVIL CONCEJAL SEGURIDAD CIUDADANA RESPONSABLE RECURSOS HUMANOS RESPONSABLE RECURSOS HUMANOS RESPONSABLE RECURSOS HUMANOS 10% 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 10% 100% 100% 100% 10% 100% 100% 10% 100% 100%

PROPIETARIO / RESPONSABLE SECRETARIO ORGANISMO

GRADO DE DEPENDENCIA 100%

Pgina 42 de 237

Personal CONCEJAL SEGURIDAD CIUDADANA Datos/Informacin Informacin Seguridad Ciudadana Personal JEFE POLICA LOCAL Sistemas Sistema Seguridad Ciudadana Servicios/Productos Servicios Procesos Contratacin depende de:

Datos/Informacin Informacin Contratacin Personal RESPONSABLE CONTRATACIN Sistemas Sistema Contratacin Servicios/Productos Servicios Proteccin Civil depende de:

Datos/Informacin Personal Sistemas Servicios/Productos Servicios

Informacin Seguridad Ciudadana RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO Sistema Seguridad Ciudadana Recursos Humanos depende de:

Datos/Informacin Informacin Recursos Humanos Personal RESPONSABLE RECURSOS HUMANOS Sistemas Sistema Recursos Humanos Servicios/Productos Servicios Sanidad depende de:

Aplicaciones (software) Aplicacin Gestin Sanitaria RESPONSABLE SANIDAD Datos/Informacin Informacin Sanidad RESPONSABLE SANIDAD Personal RESPONSABLE SANIDAD RESPONSABLE SANIDAD Sistemas Sistema Gestin Sanitaria RESPONSABLE SANIDAD Servicios/Productos Servicios Sociales y Voluntariado depende de: Datos/Informacin Informacin Servicios Sociales Voluntariado RESPONSABLE SERVICIOS SOCIALES VOLUNTARIADO Personal RESPONSABLE SERVICIOS SOCIALES RESPONSABLE SERVICIOS SOCIALES VOLUNTARIADO Sistemas Sistema de Gestin Municipal ALCALDE Servicios/Productos Servicios Tabln de Anuncios electrnico depende de: Datos/Informacin Informacin Sede Electrnica CONCEJAL MODERNIZACIN

GRADO DE DEPENDENCIA 10% 100% 100% 100% 10% 100% 100% 100% 10% 100% 100% 10% 100% 100% 100% 100%

CATEGORA NOMBRE DEL ACTIVO PROPIETARIO / RESPONSABLE Personal SECRETARIO ORGANISMO SECRETARIO ORGANISMO Aplicaciones (software) Servidor Web (Software) RESPONSABLE TIC Sistemas Sistema Sede Electrnica SECRETARIO ORGANISMO Servicios/Productos Servicios Tecnologas de la Informacin y las Comunicaciones depende de: Sistemas AYUNTAMIENTO de .... CONCEJAL MODERNIZACIN Personal RESPONSABLE TIC RESPONSABLE TIC Aplicaciones (software) Servidor Correo Electrnico (Software) RESPONSABLE TIC Sistemas Sistema Correo Electrnico RESPONSABLE TIC Servicios/Productos Servicios Trfico Transportes depende de: ALCALDE RESPONSABLE TRFICO TRANSPORTES ALCALDE RESPONSABLE URBANISMO RESPONSABLE URBANISMO RESPONSABLE URBANISMO RESPONSABLE AGUAS BASURAS SUMINISTROS RESPONSABLE TIC RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE TIC RESPONSABLE CONTRATACIN ALCALDE ALCALDE

Datos/Informacin Informacin Gestin Municipal Personal RESPONSABLE TRFICO TRANSPORTES Sistemas Sistema de Gestin Municipal Servicios/Productos Servicios Urbanismo depende de:

Datos/Informacin Informacin Urbanismo Personal RESPONSABLE URBANISMO Sistemas Sistema Urbanismo Datos/Informacin Informacin Aguas Basuras depende de:

Sistemas Sistema Aguas Basuras Datos/Informacin Informacin Contabilidad Finanzas depende de:

Aplicaciones (software) Gestor BBDD Sistemas Sistema Contabilidad Finanzas Datos/Informacin Informacin Contratacin depende de:

100% 100% 100% 100%

Aplicaciones (software) Gestor BBDD Sistemas Sistema Contratacin Datos/Informacin Informacin Deportes depende de: Sistemas Sistema de Gestin Municipal Datos/Informacin Informacin Educacin depende de: Sistema de Gestin Municipal

Pgina 43 de 237

Sistemas

PROPIETARIO / RESPONSABLE ALCALDE RESPONSABLE TIC RESPONSABLE TIC TESORERO ORGANISMO RESPONSABLE ESTADSTICA GESTIN POBLACIN RESPONSABLE RECURSOS HUMANOS SECRETARIO ORGANISMO RESPONSABLE TIC RESPONSABLE SANIDAD SECRETARIO ORGANISMO CONCEJAL SEGURIDAD CIUDADANA ALCALDE RESPONSABLE URBANISMO RESPONSABLE TIC RESPONSABLE CONTABILIDAD FINANZAS RESPONSABLE TIC 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%

CATEGORA NOMBRE DEL ACTIVO Datos/Informacin Informacin Gestin Municipal depende de: Sistemas Sistema de Gestin Municipal Datos/Informacin Informacin Gestin Territorio Catastro depende de:

GRADO DE DEPENDENCIA

Pgina 44 de 237

Sistemas Sistema Gestin Territorio Catastro Datos/Informacin Informacin Gestin Tributaria depende de:

Aplicaciones (software) Gestor BBDD Sistemas Sistema Gestin Tributaria Datos/Informacin Informacin Padrn de Habitantes depende de:

Sistemas Sistema Padrn de Habitantes Datos/Informacin Informacin Recursos Humanos depende de:

Sistemas Sistema Recursos Humanos Datos/Informacin Informacin Registro depende de: Sistemas Sistema Registro Datos/Informacin Informacin Sanidad depende de:

Aplicaciones (software) Gestor BBDD Sistemas Sistema Gestin Sanitaria Datos/Informacin Informacin Sede Electrnica depende de: Sistemas Sistema Sede Electrnica Datos/Informacin Informacin Seguridad Ciudadana depende de:

Sistemas Sistema Seguridad Ciudadana Datos/Informacin Informacin Servicios Sociales Voluntariado depende de:

Sistemas Sistema de Gestin Municipal Datos/Informacin Informacin Urbanismo depende de: Sistemas Sistema Urbanismo Aplicaciones (software) Aplicacin Contabilidad Finanzas depende de:

Equipos informticos (hardware) HW Servidor Aplicaciones Datos/Informacin Informacin Contabilidad Finanzas Aplicaciones (software) Aplicacin Contratacin Perfil Contratante depende de: Equipos informticos (hardware) HW Servidor Aplicaciones

CATEGORA NOMBRE DEL ACTIVO Equipos informticos (hardware) HW Servidor Web Datos/Informacin Informacin Contratacin Aplicaciones (software) Aplicacin Gestin Municipal depende de: RESPONSABLE TIC ALCALDE RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE SANIDAD RESPONSABLE TIC TESORERO ORGANISMO RESPONSABLE TIC SECRETARIO ORGANISMO RESPONSABLE TIC RESPONSABLE TIC SECRETARIO ORGANISMO RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE CONTRATACIN CONCEJAL MODERNIZACIN RESPONSABLE TIC 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%

PROPIETARIO / RESPONSABLE RESPONSABLE TIC RESPONSABLE CONTRATACIN

GRADO DE DEPENDENCIA 100% 100%

Equipos informticos (hardware) HW Servidor Aplicaciones Datos/Informacin Informacin Gestin Municipal Aplicaciones (software) Aplicacin Gestin Sanitaria depende de:

Equipos informticos (hardware) HW Servidor Aplicaciones Equipos informticos (hardware) HW Servidor Web Datos/Informacin Informacin Sanidad Aplicaciones (software) Aplicacin Gestin Tributaria depende de:

Equipos informticos (hardware) HW Servidor Aplicaciones Datos/Informacin Informacin Gestin Tributaria Aplicaciones (software) Aplicacin Padrn Habitantes depende de: Equipos informticos (hardware) HW Servidor Aplicaciones Datos/Informacin Informacin Padrn de Habitantes Aplicaciones (software) Aplicacin Registro depende de:

Aplicaciones (software) Gestor BBDD Equipos informticos (hardware) HW Servidor Aplicaciones Datos/Informacin Informacin Registro Aplicaciones (software) Gestor BBDD depende de:

Equipos informticos (hardware) HW Servidor de Base de Datos Aplicaciones (software) Servidor Correo Electrnico (Software) depende de: Equipos informticos (hardware) HW Servidor Correo Electrnico Aplicaciones (software) Servidor Web (Software) depende de: HW Servidor Web Informacin Contratacin Informacin Sede Electrnica Servidor Aplicaciones depende de: CPD Principal

Equipos informticos (hardware) Datos/Informacin Datos/Informacin Equipos informticos (hardware) HW

Pgina 45 de 237

Instalaciones

PROPIETARIO / RESPONSABLE RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC RESPONSABLE TIC ALCALDE RESPONSABLE TIC RESPONSABLE TIC CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN RESPONSABLE TIC 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%

CATEGORA NOMBRE DEL ACTIVO Equipos informticos (hardware) HW Servidor Correo Electrnico depende de: Instalaciones CPD Principal Equipos informticos (hardware) HW Servidor de Base de Datos depende de:

GRADO DE DEPENDENCIA

Pgina 46 de 237

Instalaciones CPD Principal Equipos informticos (hardware) HW Servidor Web depende de:

Instalaciones CPD Principal Redes de comunicaciones Comunicaciones Redes depende de: Instalaciones CPD Principal Instalaciones CPD Principal depende de:

Instalaciones SEDE ORGANISMO Sistemas AYUNTAMIENTO de .... depende de:

Redes de comunicaciones Comunicaciones Redes Instalaciones CPD Principal Sistemas Sistema Aguas Basuras depende de:

Sistemas AYUNTAMIENTO de .... Sistemas Sistema Contabilidad Finanzas depende de:

Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Contratacin depende de:

Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Correo Electrnico depende de: Sistemas AYUNTAMIENTO de .... Sistemas Sistema de Gestin Municipal depende de:

Sistemas AYUNTAMIENTO de .... Sistemas Sistema Gestin Sanitaria depende de: AYUNTAMIENTO de .... Gestor BBDD

Sistemas Aplicaciones (software)

PROPIETARIO / RESPONSABLE CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN RESPONSABLE TIC CONCEJAL MODERNIZACIN CONCEJAL MODERNIZACIN 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%

CATEGORA NOMBRE DEL ACTIVO Sistemas Sistema Gestin Territorio Catastro depende de: Sistemas AYUNTAMIENTO de .... Sistemas Sistema Gestin Tributaria depende de:

GRADO DE DEPENDENCIA

Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Padrn de Habitantes depende de: Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Recursos Humanos depende de:

Sistemas AYUNTAMIENTO de .... Sistemas Sistema Registro depende de: Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Sede Electrnica depende de:

Sistemas AYUNTAMIENTO de .... Aplicaciones (software) Gestor BBDD Sistemas Sistema Seguridad Ciudadana depende de:

Sistemas AYUNTAMIENTO de .... Sistemas Sistema Urbanismo depende de: AYUNTAMIENTO de ....

Sistemas

Pgina 47 de 237

7. ANLISIS DE RIESGOS
7.1. Amenazas e impactos
D: Disponibilidad, I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad FRECUENCIA: Despreciable [1], Poco Frecuente [2], Normal [3], Frecuente [4], Muy Frecuente [5] CRITERIO VALORACIN IMPACTO: Ninguno [0], Bajo [20], Medio [50], Alto [80], Crtico [100]

CDIGO

AMENAZA

FRECUENCIA

Aplicaciones (software) Aplicacin Contabilidad Finanzas [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 80% 0% 0% 0% 0% 0% 0% 70% 30% 80% 70% 30% 80% 50%

80% 80% 50% 20% 20% 80% 80% 50% 20% 20% 80% 80% 50% 50% 50% 0% 0% 0% 0% 80%

50% 50% 50% 50% 50%

Aplicaciones (software) Aplicacin Contratacin Perfil Contratante [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 70% 0% 0% 1% 1% 0% 0% 0% 0% 1% 1% 70% 30% 70% 70% 30% 70% 30%

70% 70% 30% 70% 70% 30%

70% 70% 30% 30% 30% 0% 0% 0% 0% 70%

30% 30% 30% 30% 30%

Aplicaciones (software) Aplicacin Gestin Municipal [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas 2 2 2 3 3 3 3 0% 0% 0% 0% 0% 0% 70% 0% 0% 1% 0% 0% 0% 0% 1% 70% 30% 70% 70% 30% 70% 30%

70% 70% 30%

70% 70% 30% 1% 1% 70% 70% 30% 30% 30%

Pgina 48 de 237

CDIGO
(software) [E.3] [E.7]

AMENAZA
Errores de monitorizacin (log) Deficiencias en la organizacin

FRECUENCIA
3 3

D
0%

I
0%

C
0%

A
0%

T
70%

30% 30% 30% 30% 30%

Aplicaciones (software) Aplicacin Gestin Sanitaria [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 30% 30% 30% 0% 1% 1% 1% 1% 1% 1% 0% 1% 30% 30% 0% 0% 0% 1% 1% 0% 1% 0% 0% 0% 0% 0% 1% 1% 30% 1%

30% 30% 30% 30% 30% 30% 0% 1% 0% 1%

Aplicaciones (software) Aplicacin Gestin Tributaria [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 70% 0% 0% 1% 1% 0% 0% 0% 0% 1% 1% 70% 30% 70% 70% 30% 70% 30%

70% 70% 30% 70% 70% 30%

70% 70% 30% 30% 30% 0% 0% 0% 0% 70%

30% 30% 30% 30% 30%

Aplicaciones (software) Aplicacin Padrn Habitantes [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 30% 30% 30% 0% 1% 1% 1% 1% 1% 1% 0% 1% 30% 30% 0% 0% 1% 1% 1% 0% 1% 0% 0% 0% 0% 1% 1% 1% 30% 1%

30% 30% 30% 30% 30% 30% 0% 1% 0% 1%

Aplicaciones (software) Aplicacin Registro [A.11] [A.5] [A.6] [E.1] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios 2 2 2 3 0% 0% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 70% 30% 70% 70% 30% 70% 30%

Pgina 49 de 237

CDIGO
[E.2] [E.20] [E.21] [E.3] [E.7]

AMENAZA
Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin

FRECUENCIA
3 3 3 3 3

A
1% 1%

T
1% 1%

70% 70% 30% 70% 70% 30%

70% 70% 30% 30% 30% 0% 0% 0% 0% 70%

30% 30% 30% 30% 30%

Redes de comunicaciones Comunicaciones Redes [A.11] [A.12] [E.2] [E.4] [I.5] [I.8] Acceso no autorizado Anlisis de trfico Errores del administrador Errores de configuracin Avera de origen fsico o lgico Fallo de servicios de comunicaciones 2 2 2 2 2 2 0% 0% 30% 30% 30% 30% 0% 70% 0% 1% 1% 0% 0% 0% 1% 1% 0% 0%

70% 70% 30% 70% 70% 30% 70% 70% 0% 0% 0% 0%

Personal CONCEJAL SEGURIDAD CIUDADANA [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 80% 0% 0% 0% 80% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Instalaciones CPD Principal [A.11] [E.7] [I.*] [I.3] [I.6] [I.7] [N.*] Acceso no autorizado Deficiencias en la organizacin Desastres industriales Contaminacin mecnica Corte del suministro elctrico Condiciones inadecuadas de temperatura o humedad Desastres naturales 2 2 2 2 2 2 2 50% 50% 50% 20% 20% 50% 20% 20% 20% 20% 80% 50% 20% 80% 50% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

80% 50%

Aplicaciones (software) Gestor BBDD [A.11] [A.5] [A.6] [A.8] [E.2] [E.20] [E.21] [E.3] [E.4] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Difusin de software daino Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Errores de configuracin Deficiencias en la organizacin 2 2 2 2 2 2 3 3 2 3 50% 50% 50% 50% 50% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 0% 0% 50% 50% 0% 0% 0% 0% 0% 0% 80% 0% 80% 80% 50% 20% 50%

80% 80% 50% 0% 0% 0% 0%

80% 80%

50% 50%

50% 50% 50%

Equipos informticos (hardware) HW Servidor Aplicaciones Errores de mantenimiento / actualizacin de equipos [E.23] (hardware)

70% 30%

0%

0%

0%

Pgina 50 de 237

CDIGO
[E.24] [E.4] [I.5]

AMENAZA
Cada del sistema por agotamiento de recursos Errores de configuracin Avera de origen fsico o lgico

FRECUENCIA
3 2 3

D
70% 70%

I
0% 0%

C
0% 0% 0%

A
0% 0% 0%

T
0% 0% 0%

70% 30%

Equipos informticos (hardware) HW Servidor Correo Electrnico Errores de mantenimiento / actualizacin de equipos [E.23] (hardware) [E.24] [E.4] [I.5] Cada del sistema por agotamiento de recursos Errores de configuracin Avera de origen fsico o lgico

2 3 2 3

70% 30% 70% 70% 0% 0%

0% 0% 0% 0%

0% 0% 0% 0%

0% 0% 0% 0%

70% 30%

Equipos informticos (hardware) HW Servidor de Base de Datos [E.23] [E.24] [E.4] [I.5] Errores de mantenimiento / actualizacin de equipos (hardware) Cada del sistema por agotamiento de recursos Errores de configuracin Avera de origen fsico o lgico 2 3 2 3 80% 50% 80% 80% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

80% 30%

Equipos informticos (hardware) HW Servidor Web Errores de mantenimiento / actualizacin de equipos [E.23] (hardware) [E.24] [E.4] [I.5] Cada del sistema por agotamiento de recursos Errores de configuracin Avera de origen fsico o lgico

2 3 2 3

70% 30% 70% 70% 0% 0%

0% 0% 0% 0%

0% 0% 0% 0%

0% 0% 0% 0%

70% 30%

Datos/Informacin Informacin Aguas Basuras [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 80% 0% 80% 0% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Contabilidad Finanzas [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Contratacin [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Deportes [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0%

Pgina 51 de 237

CDIGO

AMENAZA

FRECUENCIA

Datos/Informacin Informacin Educacin [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Gestin Municipal [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Gestin Territorio Catastro [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Gestin Tributaria [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Padrn de Habitantes [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Recursos Humanos [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Registro [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Sanidad [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Sede Electrnica [A.15] [A.18] Modificacin de informacin Destruccin de la informacin 3 2 0% 70% 70% 0% 0% 0% 0% 0% 0% 0%

Pgina 52 de 237

CDIGO
[A.19]

AMENAZA
Divulgacin de informacin

FRECUENCIA
3

D
0%

I
0%

C
70%

A
0%

T
0%

Datos/Informacin Informacin Seguridad Ciudadana [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Servicios Sociales Voluntariado [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0%

Datos/Informacin Informacin Urbanismo [A.15] [A.18] [A.19] Modificacin de informacin Destruccin de la informacin Divulgacin de informacin 3 2 3 0% 70% 0% 70% 0% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0%

Personal JEFE POLICA LOCAL [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 80% 0% 0% 0% 80% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE ACTIVIDADES [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE AGUAS BASURAS SUMINISTROS [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE ATENCIN AL CIUDADANO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE CEMENTERIO MUNICIPAL [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE CONSUMO MERCADOS [E.19] Divulgacin de informacin 2 0% 0% 50% 0% 0%

Pgina 53 de 237

CDIGO
[E.28] [E.7]

AMENAZA
Indisponibilidad del personal Deficiencias en la organizacin

FRECUENCIA
3 3

D
50% 0%

I
0%

C
0%

A
0% 0%

T
0% 0%

50% 50%

Personal RESPONSABLE CONTABILIDAD FINANZAS [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

80% 50%

Personal RESPONSABLE CONTRATACIN [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 50% 0% 0% 0% 50% 0% 0% 0% 0% 0% 0% 0%

50% 50%

Personal RESPONSABLE CULTURA [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE DEPORTES [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE EDUCACIN [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE ESTADSTICA GESTIN POBLACIN [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE GESTIN TERRITORIO CATASTRO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE INFRAESTRUCTURAS PATRIMONIO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Pgina 54 de 237

CDIGO

AMENAZA

FRECUENCIA

Personal RESPONSABLE JUVENTUD [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE MEDIO AMBIENTE [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE RECURSOS HUMANOS [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE SANIDAD [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE SERVICIOS SOCIALES [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE TIC [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

30% 70%

Personal RESPONSABLE TRFICO TRANSPORTES [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 30% 0% 0% 0% 30% 0% 0% 0% 0% 0% 0% 0%

30% 30%

Personal RESPONSABLE URBANISMO [E.19] [E.28] Divulgacin de informacin Indisponibilidad del personal 2 3 0% 30% 0% 0% 30% 0% 0% 0% 0% 0%

Pgina 55 de 237

CDIGO
[E.7]

AMENAZA
Deficiencias en la organizacin

FRECUENCIA
3

D
0%

A
0%

T
0%

30% 30%

Personal SECRETARIO ORGANISMO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 70% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

70% 70%

Instalaciones SEDE ORGANISMO [A.11] [E.7] [I.*] [I.6] [N.*] Acceso no autorizado Deficiencias en la organizacin Desastres industriales Corte del suministro elctrico Desastres naturales 2 2 2 2 2 50% 50% 50% 20% 20% 50% 20% 20% 80% 50% 80% 0% 80% 50% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

Servicios/Productos Servicio de Quejas y Sugerencias [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 80% 0% 0% 0% 0% 80% 0% 0% 0%

Servicios/Productos Servicio de Registro Electrnico [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicio de Registro Presencial [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Aguas Basuras [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Atencin al Ciudadano [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Cementerio Municipal [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Consumo Mercados [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Contabilidad Finanzas [A.13] Repudio 2 0% 0% 0% 70% 0%

Pgina 56 de 237

CDIGO
[A.24]

AMENAZA
Denegacin de servicio

FRECUENCIA
2

D
70%

I
0%

C
0%

A
0%

T
0%

Servicios/Productos Servicios Cultura [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Deportes [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Educacin [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Fomento Actividades [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Gestin del Territorio Catastro [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Gestin Tributaria Recaudacin [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Infraestructuras Patrimonio [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Juventud [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Medio Ambiente [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Padrn Habitantes [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Perfil del Contratante [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Pgina 57 de 237

CDIGO

AMENAZA

FRECUENCIA

Servicios/Productos Servicios Polica Local [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Procesos Contratacin [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Proteccin Civil [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Recursos Humanos [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Sanidad [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 30% 0% 0% 0% 0% 30% 0% 0% 0%

Servicios/Productos Servicios Sociales y Voluntariado [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Tabln de Anuncios electrnico [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Tecnologas de la Informacin y las Comunicaciones [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Trfico Transportes [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Servicios/Productos Servicios Urbanismo [A.13] [A.24] Repudio Denegacin de servicio 2 2 0% 70% 0% 0% 0% 0% 70% 0% 0% 0%

Aplicaciones (software) Servidor Correo Electrnico (Software) [A.11] [A.5] [A.6] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso 2 2 2 0% 0% 0% 0% 0% 70% 0% 0% 0% 0% 70% 30% 70% 70% 30%

Pgina 58 de 237

CDIGO
[E.1] [E.2] [E.20] [E.21] [E.3] [E.7]

AMENAZA
Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin

FRECUENCIA
3 3 3 3 3 3

D
0%

A
0% 1% 1%

T
0% 1% 1%

70% 30%

70% 70% 30% 70% 70% 30%

70% 70% 30% 30% 30% 0% 0% 0% 0% 70%

30% 30% 30% 30% 30%

Aplicaciones (software) Servidor Web (Software) [A.11] [A.5] [A.6] [E.1] [E.2] [E.20] [E.21] [E.3] [E.7] Acceso no autorizado Suplantacin de la identidad del usuario Abuso de privilegios de acceso Errores de los usuarios Errores del administrador Vulnerabilidades de los programas (software) Errores de mantenimiento / actualizacin de programas (software) Errores de monitorizacin (log) Deficiencias en la organizacin 2 2 2 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 70% 0% 0% 1% 1% 0% 0% 0% 0% 1% 1% 70% 30% 70% 70% 30% 70% 30%

70% 70% 30% 70% 70% 30%

70% 70% 30% 30% 30% 0% 0% 0% 0% 70%

30% 30% 30% 30% 30%

Personal TESORERO ORGANISMO [E.19] [E.28] [E.7] Divulgacin de informacin Indisponibilidad del personal Deficiencias en la organizacin 2 3 3 0% 70% 0% 0% 0% 70% 0% 0% 0% 0% 0% 0% 0%

70% 70%

Pgina 59 de 237

7.2. Gestin y tratamientos de riesgos

D: Disponibilidad, I: Integridad, C: Confidencialidad, A: Autenticidad, T: Trazabilidad FRECUENCIA: Despreciable [1], Poco Frecuente [2], Normal [3], Frecuente [4], Muy Frecuente [5] CRITERIO VALORACIN IMPACTO: Ninguno [0], Bajo [20], Medio [50], Alto [80], Crtico [100]

A continuacin se muestran dos ejemplos de riesgos en activos (concretamente en el activo Gestor BBDD) a los que se les ha asignado controles o medidas de seguridad a implantar. Dado que los controles an no han sido implementados, el riesgo acumulado tiene un valor 4. Una vez se adopten las medidas de seguridad indicadas, se podr disminuir la frecuencia o probabilidad de materializacin de la amenaza, el impacto o consecuencias para el Ayuntamiento en caso de que se materialice la misma, o ambos, con lo que el riesgo acumulado podr ser minimizado. ACTIVO: Gestor BBDD Aplicaciones (software) AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) FRECUENCIA D I C A T RIESGO ACUMULADO Valores Iniciales 3 80% 80% 50% 0% 0% 4 Valores Residuales 3 80% 80% 50% 0% 0% 4 Controles a aplicar CONTROL Op.exp.2. Configuracin de seguridad Op.exp.3. Gestin de la configuracin

PORCENTAJE DE IMPLANTACIN 0% 0%

AMENAZA E.3: Errores de monitorizacin (log) FRECUENCIA D Valores Iniciales 3 0% Valores Residuales 3 0%

I 0% 0%

C 0% 0%

A 0% 0%

T 80% 80%

RIESGO ACUMULADO 4 4

Controles a aplicar CONTROL Op.exp.9. Registro de la gestin de incidencias Op.exp.10. Proteccin de los registros

PORCENTAJE DE IMPLANTACIN 0% 0%

En el siguiente caso, suponemos que la medida de seguridad s ha sido implementada (instalacin de ac tualizaciones y parches de seguridad en el software de gestin de correo electrnico, representada por el control op.exp.04). Por este motivo, al disminuir la frecuencia o probabilidad de materializacin de la amenaza y el impacto, el riesgo acumulado se minimiza quedando con el valor 2.

Pgina 60 de 237

ACTIVO: Servidor Correo Electrnico (Software) Aplicaciones (software) AMENAZA E.20: Vulnerabilidades de los programas (software) FRECUENCIA D I C Valores Iniciales 3 70% 70% 30% Valores Residuales 2 50% 50% 30% Controles aplicados CONTROL Op.exp.04. Mantenimiento

A 1% 1%

T 1% 1%

RIESGO ACUMULADO 4 2

PORCENTAJE DE IMPLANTACIN 100%

Finalmente en cuanto al anlisis y gestin de riesgos, el listado completo de riesgos es el que se muestra a continuacin: FRECUENCIA D I C A ACTIVO: HW Servidor Aplicaciones Equipos informticos (hardware) AMENAZA E.24: Cada del sistema por agotamiento de recursos Valores Iniciales 3 70% 0% 0% 0% Valores Residuales 3 70% 0% 0% 0% AMENAZA I.5: Avera de origen fsico o lgico Valores Iniciales 3 70% 0% 0% 0% Valores Residuales 3 70% 0% 0% 0% AMENAZA E.24: Cada del sistema por agotamiento de recursos Valores Iniciales 3 80% 0% 0% 0% Valores Residuales 3 80% 0% 0% 0% AMENAZA I.5: Avera de origen fsico o lgico Valores Iniciales 3 80% 0% 0% 0% Valores Residuales 3 80% 0% 0% 0% AMENAZA E.24: Cada del sistema por agotamiento de recursos Valores Iniciales 3 70% 0% 0% 0% Valores Residuales 3 70% 0% 0% 0% T RIESGO ACUMULADO

0% 0% 0% 0% 0% 0% 0% 0% 0% 0%

4 4 4 4 4 4 4 4 4 4

ACTIVO: HW Servidor Correo Electrnico Equipos informticos (hardware) AMENAZA I.5: Avera de origen fsico o lgico Valores Iniciales 3 70% 0% Valores Residuales 3 70% 0% 0% 0% 0% 0% 0% 0% 4 4

ACTIVO: HW Servidor Web Equipos informticos (hardware) AMENAZA E.24: Cada del sistema por agotamiento de recursos Valores Iniciales 3 70% 0% 0% 0% Valores Residuales 3 70% 0% 0% 0% AMENAZA I.5: Avera de origen fsico o lgico Valores Iniciales 3 70% 0% 0% 0% Valores Residuales 3 70% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4

Pgina 61 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Informacin Aguas Basuras Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 80% Valores Residuales 3 0% 80% 0% 0% 0% 0% 0% 0% 4 4

ACTIVO: Informacin Contabilidad Finanzas Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% ACTIVO: Informacin Contratacin Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% ACTIVO: Informacin Deportes Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Educacin Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4 70% 70% 0% 0% 0% 0% 4 4 0% 0% 0% 0% 0% 0% 4 4 0% 0% 0% 0% 0% 0% 4 4

ACTIVO: Informacin Gestin Municipal Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 4 4

ACTIVO: Informacin Gestin Tributaria Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 4 4

ACTIVO: Informacin Recursos Humanos Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% ACTIVO: Informacin Registro Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 4 4 0% 0% 0% 0% 0% 0% 4 4

Pgina 62 de 237

FRECUENCIA D I AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0%

C 70% 70%

A 0% 0%

T 0% 0%

RIESGO ACUMULADO 4 4

ACTIVO: Informacin Sede Electrnica Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4

ACTIVO: Informacin Seguridad Ciudadana Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4

ACTIVO: Informacin Servicios Sociales Voluntariado Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Urbanismo Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% ACTIVO: JEFE POLICA LOCAL Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 80% 0% Valores Residuales 3 80% 0% ACTIVO: CONCEJAL SEGURIDAD CIUDADANA Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 80% 0% Valores Residuales 3 80% 0% 0% 0% 0% 0% 0% 0% 4 4 0% 0% 0% 0% 0% 0% 4 4 0% 0% 0% 0% 0% 0% 4 4 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4

ACTIVO: RESPONSABLE CONTABILIDAD FINANZAS Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 80% Valores Residuales 3 0% 80% 50% 50% 0% 0% 0% 0% 4 4

Pgina 63 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE CULTURA Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE DEPORTES Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE EDUCACIN Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE JUVENTUD Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 70% 70% 0% 0% 0% 0% 4 4 70% 70% 0% 0% 0% 0% 4 4 70% 70% 0% 0% 0% 0% 4 4 70% 70% 0% 0% 0% 0% 4 4

ACTIVO: RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE SERVICIOS SOCIALES Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: SECRETARIO ORGANISMO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 70% 0% Valores Residuales 3 70% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4 70% 70% 0% 0% 0% 0% 4 4 70% 70% 0% 0% 0% 0% 4 4

ACTIVO: Aplicacin Contratacin Perfil Contratante Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% Valores Residuales 3 0% 70% 30% 0% AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 70% 70% 30% 1% Valores Residuales 3 70% 70% 30% 1% 0% 0% 1% 1% 4 4 4 4

Pgina 64 de 237

FRECUENCIA

RIESGO ACUMULADO

AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 70% 4 Valores Residuales 3 0% 0% 0% 0% 70% 4 ACTIVO: Aplicacin Contabilidad Finanzas Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 80% 50% 0% 0% 4 Valores Residuales 3 0% 80% 50% 0% 0% 4 AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 80% 80% 50% 20% 20% 4 Valores Residuales 3 80% 80% 50% 20% 20% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 80% 80% 50% 50% 50% 4 Valores Residuales 3 80% 80% 50% 50% 50% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 80% 80% 50% 20% 20% 4 Valores Residuales 3 80% 80% 50% 20% 20% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 80% 4 Valores Residuales 3 0% 0% 0% 0% 80% 4 ACTIVO: Aplicacin Gestin Municipal Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% 0% 4 Valores Residuales 3 0% 70% 30% 0% 0% 4 AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 70% 4 Valores Residuales 3 0% 0% 0% 0% 70% 4

Pgina 65 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Aplicacin Gestin Tributaria Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% 0% 4 Valores Residuales 3 0% 70% 30% 0% 0% 4 AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 70% 4 Valores Residuales 3 0% 0% 0% 0% 70% 4 ACTIVO: Aplicacin Registro Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% 0% 4 Valores Residuales 3 0% 70% 30% 0% 0% 4 AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 70% 4 Valores Residuales 3 0% 0% 0% 0% 70% 4 ACTIVO: Servidor Correo Electrnico (Software) Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% 0% 4 Valores Residuales 3 0% 70% 30% 0% 0% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4

Pgina 66 de 237

FRECUENCIA D I C AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% Valores Residuales 3 0% 0% 0% ACTIVO: Servidor Web (Software) Aplicaciones (software)

A 0% 0%

T 70% 70%

RIESGO ACUMULADO 4 4

AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% 70% 30% 0% 0% 4 Valores Residuales 3 0% 70% 30% 0% 0% 4 AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 70% 70% 30% 30% 30% 4 Valores Residuales 3 70% 70% 30% 30% 30% 4 AMENAZA E.2: Errores del administrador Valores Iniciales 3 70% 70% 30% 1% 1% 4 Valores Residuales 3 70% 70% 30% 1% 1% 4 AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% 0% 0% 70% 4 Valores Residuales 3 0% 0% 0% 0% 70% 4 ACTIVO: TESORERO ORGANISMO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 70% 0% Valores Residuales 3 70% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 4 4 4 4

ACTIVO: Comunicaciones Redes Redes de comunicaciones AMENAZA A.12: Anlisis de trfico Valores Iniciales 2 0% 0% 70% Valores Residuales 2 0% 0% 70% AMENAZA E.2: Errores del administrador Valores Iniciales 2 70% 70% 30% Valores Residuales 2 70% 70% 30% AMENAZA E.4: Errores de configuracin Valores Iniciales 2 70% 70% 30% Valores Residuales 2 70% 70% 30% AMENAZA I.5: Avera de origen fsico o lgico Valores Iniciales 2 70% 0% 0% Valores Residuales 2 70% 0% 0% AMENAZA I.8: Fallo de servicios de comunicaciones Valores Iniciales 2 70% 0% 0% Valores Residuales 2 70% 0% 0% 0% 0% 1% 1% 1% 1% 0% 0% 0% 0% 0% 0% 1% 1% 1% 1% 0% 0% 0% 0% 3 3 3 3 3 3 3 3 3 3

Pgina 67 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: CONCEJAL SEGURIDAD CIUDADANA Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% ACTIVO: CPD Principal Instalaciones AMENAZA I.*: Desastres industriales Valores Iniciales 2 80% 50% Valores Residuales 2 80% 50% AMENAZA I.6: Corte del suministro elctrico Valores Iniciales 2 80% 0% Valores Residuales 2 80% 0% AMENAZA N.*: Desastres naturales Valores Iniciales 2 80% 50% Valores Residuales 2 80% 50% ACTIVO: Gestor BBDD Aplicaciones (software) AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 80% 80% 80% 80% Valores Residuales 2 80% 80% 80% 80% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 80% 80% 80% 80% Valores Residuales 2 80% 80% 80% 80% AMENAZA A.8: Difusin de software daino Valores Iniciales 2 80% 80% 0% 50% Valores Residuales 2 80% 80% 0% 50% AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 2 80% 80% 0% 0% Valores Residuales 2 80% 80% 0% 0% AMENAZA E.2: Errores del administrador Valores Iniciales 2 80% 80% 50% 20% Valores Residuales 2 80% 80% 50% 20% AMENAZA E.4: Errores de configuracin Valores Iniciales 2 80% 80% 0% 50% Valores Residuales 2 80% 80% 0% 50% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 50% 50% 50% 0% Valores Residuales 3 50% 50% 50% 0% ACTIVO: HW Servidor Aplicaciones Equipos informticos (hardware) AMENAZA E.23: Errores de mantenimiento / actualizacin de equipos (hardware) Valores Iniciales 2 70% 30% 0% 0% 0% Valores Residuales 2 70% 30% 0% 0% 0% 3 3 80% 80% 80% 80% 50% 50% 0% 0% 50% 50% 50% 50% 0% 0% 3 3 3 3 3 3 3 3 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3 80% 80% 50% 50% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3

Pgina 68 de 237

FRECUENCIA D I C A T RIESGO ACUMULADO AMENAZA E.4: Errores de configuracin Valores Iniciales 2 70% 30% 0% 0% 0% 3 Valores Residuales 2 70% 30% 0% 0% 0% 3 AMENAZA E.23: Errores de mantenimiento / actualizacin de equipos (hardware) Valores Iniciales 2 80% 50% 0% 0% 0% 3 Valores Residuales 2 80% 50% 0% 0% 0% 3 ACTIVO: HW Servidor de Base de Datos Equipos informticos (hardware) AMENAZA E.4: Errores de configuracin Valores Iniciales 2 80% 30% Valores Residuales 2 80% 30% 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: HW Servidor Correo Electrnico Equipos informticos (hardware) AMENAZA E.23: Errores de mantenimiento / actualizacin de equipos (hardware) Valores Iniciales 2 70% 30% 0% 0% 0% Valores Residuales 2 70% 30% 0% 0% 0% AMENAZA E.4: Errores de configuracin Valores Iniciales 2 70% 30% 0% 0% 0% Valores Residuales 2 70% 30% 0% 0% 0% ACTIVO: HW Servidor Web Equipos informticos (hardware) AMENAZA E.23: Errores de mantenimiento / actualizacin de equipos (hardware) Valores Iniciales 2 70% 30% 0% 0% 0% Valores Residuales 2 70% 30% 0% 0% 0% AMENAZA E.4: Errores de configuracin Valores Iniciales 2 70% 30% 0% 0% 0% Valores Residuales 2 70% 30% 0% 0% 0% ACTIVO: Informacin Contabilidad Finanzas Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: Informacin Contratacin Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: Informacin Educacin Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3 3 3 3 3

ACTIVO: Informacin Gestin Municipal Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3

Pgina 69 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Informacin Gestin Tributaria Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: Informacin Recursos Humanos Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: Informacin Registro Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: Informacin Sede Electrnica Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: Informacin Seguridad Ciudadana Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: Informacin Servicios Sociales Voluntariado Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: SEDE ORGANISMO Instalaciones AMENAZA I.*: Desastres industriales Valores Iniciales 2 80% 50% Valores Residuales 2 80% 50% AMENAZA I.6: Corte del suministro elctrico Valores Iniciales 2 80% 0% Valores Residuales 2 80% 0% AMENAZA N.*: Desastres naturales Valores Iniciales 2 80% 50% Valores Residuales 2 80% 50% ACTIVO: JEFE POLICA LOCAL Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 80% 80% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3 0% 0% 0% 0% 0% 0% 3 3

Pgina 70 de 237

FRECUENCIA D I AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% ACTIVO: RESPONSABLE ACTIVIDADES Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50%

C 50% 50%

A 0% 0%

T 0% 0%

RIESGO ACUMULADO 3 3

0% 0% 50% 50%

0% 0% 0% 0%

0% 0% 0% 0%

3 3 3 3

ACTIVO: RESPONSABLE AGUAS BASURAS SUMINISTROS Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% 0% 0% 50% 50% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: RESPONSABLE ATENCIN AL CIUDADANO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% 0% 0% 50% 50% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: RESPONSABLE CEMENTERIO MUNICIPAL Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% ACTIVO: RESPONSABLE CONSUMO MERCADOS Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% 0% 0% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: RESPONSABLE CONTABILIDAD FINANZAS Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% ACTIVO: RESPONSABLE CONTRATACIN Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 50% 0% Valores Residuales 3 50% 0% 0% 0% 0% 0% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 3 3

Pgina 71 de 237

FRECUENCIA D I AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% ACTIVO: RESPONSABLE CULTURA Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE DEPORTES Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE EDUCACIN Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE JUVENTUD Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0%

C 50% 50%

A 0% 0%

T 0% 0%

RIESGO ACUMULADO 3 3

70% 70%

0% 0%

0% 0%

3 3

70% 70%

0% 0%

0% 0%

3 3

70% 70%

0% 0%

0% 0%

3 3

70% 70%

0% 0%

0% 0%

3 3

ACTIVO: RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE SERVICIOS SOCIALES Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: SECRETARIO ORGANISMO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 70% 70% 0% 0% 0% 0% 3 3 70% 70% 0% 0% 0% 0% 3 3 70% 70% 0% 0% 0% 0% 3 3

ACTIVO: Servicios Contabilidad Finanzas Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

Pgina 72 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servicios Procesos Contratacin Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% ACTIVO: Servicios Cultura Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 3 3 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Deportes Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 3 3

ACTIVO: Servicios Educacin Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Fomento Actividades Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Juventud Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 3 3

ACTIVO: Servicios Perfil del Contratante Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

Pgina 73 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servicios Polica Local Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Proteccin Civil Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicio de Quejas y Sugerencias Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 80% Valores Residuales 2 80% 0% 0% 0% 0% 0% 0% 0% 0% 80% 80% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Recursos Humanos Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicio de Registro Electrnico Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicio de Registro Presencial Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

Pgina 74 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servicios Sociales y Voluntariado Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Tabln de Anuncios electrnico Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Tecnologas de la Informacin y las Comunicaciones Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Trfico Transportes Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 3 3

ACTIVO: Servicios Gestin Tributaria Recaudacin Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 0% Valores Residuales 2 0% AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0% 0% 0% 0% 3 3 3 3

ACTIVO: Servicios Urbanismo Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 3 3

ACTIVO: Aplicacin Contratacin Perfil Contratante Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% Valores Residuales 2 0% 0% 0% 0% 0% 70% 70% 0% 0% 3 3

Pgina 75 de 237

FRECUENCIA D I C A AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% 70% Valores Residuales 2 0% 70% 30% 70% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% 0% Valores Residuales 2 0% 70% 30% 0% ACTIVO: Aplicacin Contabilidad Finanzas Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 50% 50% 50% Valores Residuales 3 50% 50% 50% ACTIVO: Aplicacin Gestin Municipal Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% ACTIVO: Aplicacin Gestin Tributaria Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% 70% 70% 70% 70% 0% 0% 70% 70% 70% 70% 0% 0% 80% 80% 80% 80% 0% 0% 50% 50%

T 0% 0% 0% 0%

RIESGO ACUMULADO 3 3 3 3

0% 0% 0% 0% 0% 0% 50% 50%

3 3 3 3 3 3 3 3

0% 0% 0% 0% 0% 0%

3 3 3 3 3 3

0% 0% 0% 0% 0% 0%

3 3 3 3 3 3

Pgina 76 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Aplicacin Registro Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% 70% 70% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3

ACTIVO: Servidor Correo Electrnico (Software) Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% ACTIVO: Servidor Web (Software) Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% 0% 0% Valores Residuales 2 0% 0% 0% AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 70% 30% Valores Residuales 2 0% 70% 30% ACTIVO: TESORERO ORGANISMO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: CPD Principal Instalaciones AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 50% 50% Valores Residuales 2 50% 50% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 2 50% 20% Valores Residuales 2 50% 20% 50% 50% 20% 20% 20% 20% 20% 20% 20% 20% 20% 20% 2 2 2 2 70% 70% 0% 0% 0% 0% 3 3 70% 70% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3 70% 70% 70% 70% 0% 0% 0% 0% 0% 0% 0% 0% 3 3 3 3 3 3

Pgina 77 de 237

FRECUENCIA D I C A T AMENAZA I.7: Condiciones inadecuadas de temperatura o humedad Valores Iniciales 2 50% 0% 0% 0% 0% Valores Residuales 2 50% 0% 0% 0% 0% ACTIVO: Gestor BBDD Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 50% Valores Residuales 2 50% 50% 50% 50% 50% 50% 50% 50% 50%

RIESGO ACUMULADO 2 2

2 2

ACTIVO: Informacin Contabilidad Finanzas Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Contratacin Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 30% 30% 0% 0% 0% 0% 2 2 30% 30% 0% 0% 0% 0% 2 2

ACTIVO: Informacin Gestin Municipal Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 30% 30% 0% 0% 0% 0% 2 2

ACTIVO: Informacin Gestin Tributaria Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 30% 30% 0% 0% 0% 0% 2 2

ACTIVO: Informacin Recursos Humanos Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Urbanismo Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: SEDE ORGANISMO Instalaciones AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 50% 50% Valores Residuales 2 50% 50% AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 2 50% 20% Valores Residuales 2 50% 20% 50% 50% 20% 20% 20% 20% 0% 0% 20% 20% 0% 0% 2 2 2 2 30% 30% 0% 0% 0% 0% 2 2 30% 30% 0% 0% 0% 0% 2 2

Pgina 78 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE ACTIVIDADES Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 50% 50% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE CONTABILIDAD FINANZAS Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE CONTRATACIN Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE CULTURA Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE DEPORTES Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE EDUCACIN Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 50% 50% 0% 0% 0% 0% 2 2 50% 50% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE ESTADSTICA GESTIN POBLACIN Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE GESTIN TERRITORIO CATASTRO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE INFRAESTRUCTURAS PATRIMONIO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2

Pgina 79 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE JUVENTUD Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE MEDIO AMBIENTE Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE PROTECCIN CIVIL VOLUNTARIADO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE RECURSOS HUMANOS Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE RECURSOS HUMANOS Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE SANIDAD Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE SERVICIOS SOCIALES Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE TIC Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE TIC Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 70% 70% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 30% 30% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2

Pgina 80 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE TRFICO TRANSPORTES Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% 0% 0% 0% 0% 0% 0% 2 2

ACTIVO: RESPONSABLE TRFICO TRANSPORTES Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE URBANISMO Personal AMENAZA E.28: Indisponibilidad del personal Valores Iniciales 3 30% 0% Valores Residuales 3 30% 0% ACTIVO: RESPONSABLE URBANISMO Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 30% 30% 0% 0% 0% 0% 2 2 0% 0% 0% 0% 0% 0% 2 2 30% 30% 0% 0% 0% 0% 2 2

ACTIVO: Aplicacin Contratacin Perfil Contratante Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 30% 30% 30% 30% 30% 30% 2 2

ACTIVO: Aplicacin Gestin Municipal Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 30% 30% 30% 30% 30% 30% 2 2

ACTIVO: Aplicacin Gestin Tributaria Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% ACTIVO: Aplicacin Registro Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 30% 30% 30% 30% 30% 30% 2 2 30% 30% 30% 30% 30% 30% 2 2

ACTIVO: Servidor Correo Electrnico (Software) Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 30% 30% 30% 30% 30% 30% 2 2

Pgina 81 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servidor Web (Software) Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 30% 30% 30% 30% 30% 30% 2 2

ACTIVO: Comunicaciones Redes Redes de comunicaciones AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% Valores Residuales 2 0% 30% 30% 30% 30% 30% 30% 30% 30% 1 1

ACTIVO: Informacin Aguas Basuras Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 80% 0% Valores Residuales 2 80% 0% AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Deportes Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 1 1 0% 0% 50% 50% 0% 0% 0% 0% 0% 0% 0% 0% 1 1 1 1

ACTIVO: Informacin Gestin Territorio Catastro Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 1 1

ACTIVO: Informacin Gestin Territorio Catastro Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 30% 30% 0% 0% 0% 0% 1 1

ACTIVO: Informacin Padrn de Habitantes Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 1 1

ACTIVO: Informacin Padrn de Habitantes Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: Informacin Sanidad Datos/Informacin AMENAZA A.15: Modificacin de informacin Valores Iniciales 3 0% 70% Valores Residuales 3 0% 70% 0% 0% 0% 0% 0% 0% 1 1 30% 30% 0% 0% 0% 0% 1 1

Pgina 82 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Informacin Sanidad Datos/Informacin AMENAZA A.19: Divulgacin de informacin Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 30% 30% 0% 0% 0% 0% 1 1

ACTIVO: RESPONSABLE CEMENTERIO MUNICIPAL Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% 50% 50% 0% 0% 0% 0% 1 1

ACTIVO: RESPONSABLE CONSUMO MERCADOS Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 50% Valores Residuales 3 0% 50% 50% 50% 0% 0% 0% 0% 1 1

ACTIVO: RESPONSABLE ESTADSTICA GESTIN POBLACIN Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 30% 30% 0% 0% 0% 0% 1 1

ACTIVO: RESPONSABLE GESTIN TERRITORIO CATASTRO Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 30% 30% 0% 0% 0% 0% 1 1

ACTIVO: RESPONSABLE INFRAESTRUCTURAS PATRIMONIO Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE MEDIO AMBIENTE Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% ACTIVO: RESPONSABLE RECURSOS HUMANOS Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE SANIDAD Personal AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 0% 30% Valores Residuales 3 0% 30% 30% 30% 0% 0% 0% 0% 1 1 30% 30% 0% 0% 0% 0% 1 1 30% 30% 0% 0% 0% 0% 1 1 30% 30% 0% 0% 0% 0% 1 1

Pgina 83 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE URBANISMO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 30% 30% 0% 0% 0% 0% 1 1

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% Valores Residuales 3 0% 30% 30% 1% 1% 0% 0% 0% 0% 1 1

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 30% 30% 1% 1% Valores Residuales 3 30% 30% 1% 1% ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 30% 30% 1% 1% 1% 1 Valores Residuales 3 30% 30% 1% 1% 1% 1 ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.2: Errores del administrador Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 1% 1% 0% 0% 0% 0% 1 1 1% 1% 1 1

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% 0% 0% 0% 0% 30% 30% 1 1

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.1: Errores de los usuarios Valores Iniciales 3 0% Valores Residuales 3 0% 30% 30% 1% 1% 0% 0% 0% 0% 1 1

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.20: Vulnerabilidades de los programas (software) Valores Iniciales 3 30% 30% 1% 1% Valores Residuales 3 30% 30% 1% 1% ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.21: Errores de mantenimiento / actualizacin de programas (software) Valores Iniciales 3 30% 30% 1% 1% 1% 1 Valores Residuales 3 30% 30% 1% 1% 1% 1 1% 1% 1 1

Pgina 84 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.2: Errores del administrador Valores Iniciales 3 30% 30% Valores Residuales 3 30% 30% 1% 1% 1% 1% 1% 1% 1 1

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.3: Errores de monitorizacin (log) Valores Iniciales 3 0% 0% Valores Residuales 3 0% 0% ACTIVO: CPD Principal Instalaciones AMENAZA I.3: Contaminacin mecnica Valores Iniciales 2 20% 0% Valores Residuales 2 20% 0% ACTIVO: Informacin Deportes Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0 0% 0% 0% 0% 0% 0% 0 0 0% 0% 0% 0% 30% 30% 1 1

ACTIVO: Informacin Gestin Territorio Catastro Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Informacin Padrn de Habitantes Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: Informacin Sanidad Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0% 0 0 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Informacin Urbanismo Datos/Informacin AMENAZA A.18: Destruccin de la informacin Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE AGUAS BASURAS SUMINISTROS Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 50% 50% 0% 0% 0% 0% 0 0

Pgina 85 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE ATENCIN AL CIUDADANO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 50% 50% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE CEMENTERIO MUNICIPAL Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 50% 50% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE CONSUMO MERCADOS Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 50% 50% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE ESTADSTICA GESTIN POBLACIN Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 30% 30% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE GESTIN TERRITORIO CATASTRO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 30% 30% 0% 0% 0% 0% 0 0

ACTIVO: RESPONSABLE INFRAESTRUCTURAS PATRIMONIO Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE MEDIO AMBIENTE Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE SANIDAD Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: RESPONSABLE TIC Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% 70% 70% 0% 0% 0% 0% 0 0 30% 30% 0% 0% 0% 0% 0 0 30% 30% 0% 0% 0% 0% 0 0 30% 30% 0% 0% 0% 0% 0 0

Pgina 86 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: RESPONSABLE TRFICO TRANSPORTES Personal AMENAZA E.19: Divulgacin de informacin Valores Iniciales 2 0% 0% Valores Residuales 2 0% 0% ACTIVO: Servicios Aguas Basuras Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0 30% 30% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Aguas Basuras Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Atencin al Ciudadano Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Servicios Atencin al Ciudadano Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Cementerio Municipal Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Servicios Cementerio Municipal Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Consumo Mercados Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Servicios Consumo Mercados Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% 0% 0% 0% 0% 0% 0% 0 0

Pgina 87 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servicios Cultura Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% ACTIVO: Servicios Deportes Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Gestin del Territorio Catastro Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0 0

ACTIVO: Servicios Gestin del Territorio Catastro Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Infraestructuras Patrimonio Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Servicios Infraestructuras Patrimonio Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% ACTIVO: Servicios Juventud Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Medio Ambiente Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0 0

ACTIVO: Servicios Medio Ambiente Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0

Pgina 88 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Servicios Padrn Habitantes Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Servicios Padrn Habitantes Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% ACTIVO: Servicios Sanidad Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Sanidad Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 30% 0% Valores Residuales 2 30% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Servicios Trfico Transportes Servicios/Productos AMENAZA A.13: Repudio Valores Iniciales 2 Valores Residuales 2 0% 0% 0% 0% 0% 0% 70% 70% 0% 0% 0 0

ACTIVO: Servicios Urbanismo Servicios/Productos AMENAZA A.24: Denegacin de servicio Valores Iniciales 2 70% 0% Valores Residuales 2 70% 0% 0% 0% 0% 0% 0% 0% 0 0

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% Valores Residuales 2 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 30% 1% 30% Valores Residuales 2 0% 30% 1% 30% ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 30% Valores Residuales 2 0% 30% 1% 1% 0% 0% 0% 0% 0 0 0% 0% 0 0

Pgina 89 de 237

FRECUENCIA

RIESGO ACUMULADO

ACTIVO: Aplicacin Gestin Sanitaria Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 1% 1% Valores Residuales 3 1% 1% 1% 1% 1% 1% 1% 1% 0 0

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA A.11: Acceso no autorizado Valores Iniciales 2 0% Valores Residuales 2 0% 0% 0% 0% 0% 30% 30% 0% 0% 0 0

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA A.5: Suplantacin de la identidad del usuario Valores Iniciales 2 0% 30% 1% 30% Valores Residuales 2 0% 30% 1% 30% ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA A.6: Abuso de privilegios de acceso Valores Iniciales 2 0% 30% Valores Residuales 2 0% 30% 1% 1% 0% 0% 0% 0% 0 0 0% 0% 0 0

ACTIVO: Aplicacin Padrn Habitantes Aplicaciones (software) AMENAZA E.7: Deficiencias en la organizacin Valores Iniciales 3 1% 1% Valores Residuales 3 1% 1% 1% 1% 1% 1% 1% 1% 0 0

Pgina 90 de 237

8. DECLARACIN DE APLICABILIDAD
APLICACIN ACCIN/JUSTIFICACIN ESTADO

NUM.

MEDIDA

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

org Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Marco Organizativo Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

org.1

Poltica de seguridad

org.2

Normativa de seguridad

org.3

Procedimientos de seguridad

org.4

Proceso de autorizacin

op

Marco Operacional

op.acc Aplica Aplica Aplica Aplica Aplica Aplica Aplica

Control de acceso 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

op.acc.1

Identificacin

op.acc.2

Requisitos de acceso

op.acc.3

Segregacin de funciones y tareas

op.acc.4

Proceso de gestin de derechos de acceso

op.acc.5

Mecanismo de autenticacin

op.acc.6

Acceso local (local logon)

op.acc.7

Acceso remoto (remote login)

op.cont No aplica No aplica

Continuidad de negocio No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

op.cont.2

Plan de continuidad

Pgina 91 de 237

op.cont.3

Pruebas peridicas

NUM. Aplica 0 tratamiento/s y 1 fuente/s de requisitos

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO Pendiente de implementar.

Pgina 92 de 237

op.cont.1

Anlisis de impacto

op.exp Aplica Aplica Aplica Aplica Aplica Aplica Aplica No aplica Aplica Aplica Aplica 1 tratamiento/s y 1 fuente/s de requisitos 1 tratamiento/s y 0 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos No aplica, ya que se trata de una medida de seguridad de nivel alto y la trazabilidad del sistema se ha catalogado de nivel medio. 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 1 tratamiento/s y 1 fuente/s de requisitos 1 tratamiento/s y 1 fuente/s de requisitos 1 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Explotacin Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Ya implementado. Pendiente de implementar.

op.exp.01 Inventario de activos

op.exp.02 Configuracin de Seguridad

op.exp.03 Gestin de la configuracin

op.exp.04 Mantenimiento

op.exp.05 Gestin de cambios

op.exp.06 Proteccin frente a cdigo daino

op.exp.07 Gestin de incidencias

op.exp.08 Registro de la actividad de los usuarios

op.exp.09 Registro de la gestin de incidencias

Pendiente de implementar. Pendiente de implementar. Ya implementado.

op.exp.10 Proteccin de los registros

op.exp.11 Proteccin de claves criptogrficas

op.ext Aplica Aplica No aplica

Servicios externos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. Ya implementado. Ya implementado.

op.ext.1

Contratos y acuerdos de nivel de servicio

op.ext.2

Gestin diaria

op.ext.9

Medios alternativos

op.mon No aplica No aplica

Monitorizacin del sistema No aplica, ya que se trata de una medida de seguridad de nivel alto y el sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

op.mon.1

Deteccin de intrusin

op.mon.2

Sistema de mtricas

op.pl

Planificacin

NUM. Aplica Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Ya implementado.

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO

op.pl.1

Anlisis de riesgos

op.pl.2

Arquitectura de seguridad

Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Ya implementado.

op.pl.3

Adquisicin de nuevos componentes

op.pl.4

Dimensionamiento / Gestin de capacidades

op.pl.5

Componentes certificados

mp

Medidas de Proteccin

mp.com Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Proteccin de las comunicaciones Ya implementado. Pendiente de implementar. Pendiente de implementar.

mp.com.1 Permetro seguro

mp.com.2 Proteccin de la confidencialidad

mp.com.3 Proteccin de la autenticidad y de la integridad Aplica No aplica sistema se ha catalogado de nivel medio. No aplica

mp.com.4 Segregacin de redes

No aplica, ya que se trata de una medida de seguridad de nivel alto y el No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio.

mp.com.9 Medios alternativos

mp.eq Aplica Aplica Aplica Aplica

Proteccin de los equipos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

mp.eq.1

Puesto de trabajo despejado

mp.eq.2

Bloqueo de puesto de trabajo

mp.eq.3

Proteccin de equipos porttiles

mp.eq.9

Medios alternativos

mp.if Aplica Aplica Aplica Aplica

Proteccin de las instalaciones e infraestructuras 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

mp.if.1

reas separadas y con control de acceso

mp.if.2

Identificacin de las personas

mp.if.3

Acondicionamiento de los locales

Pgina 93 de 237

mp.if.4

Energa elctrica

NUM. Aplica Aplica Aplica No aplica disponibilidad del sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

Pgina 94 de 237

mp.if.5

Proteccin frente a incendios

mp.if.6

Proteccin frente a inundaciones

mp.if.7

Registro de entrada y salida de equipamiento

mp.if.9

Instalaciones alternativas

mp.info Aplica Aplica No aplica Aplica No aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Proteccin de la informacin Pendiente de implementar. Pendiente de implementar.

mp.info.1

Datos de carcter personal

mp.info.2

Calificacin de la informacin

mp.info.3

Cifrado de la informacin

No aplica, ya que se trata de una medida de seguridad de nivel alto y la confidencialidad del sistema se ha catalogado de nivel medio. Pendiente de implementar.

mp.info.4

Firma electrnica

mp.info.5

Sellos de tiempo

No aplica, ya que se trata de una medida de seguridad de nivel alto y la trazabilidad del sistema se ha catalogado de nivel medio. 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar.

mp.info.6

Limpieza de documentos

mp.info.9

Copias de seguridad (backup)

mp.per Aplica Aplica Aplica Aplica No aplica

Gestin del personal 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. No aplica, ya que se trata de una medida de seguridad de nivel alto y la disponibilidad del sistema se ha catalogado de nivel medio. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

mp.per.1

Caracterizacin del puesto de trabajo

mp.per.2

Deberes y obligaciones

mp.per.3

Concienciacin

mp.per.4

Formacin

mp.per.9

Personal alternativo

mp.s No aplica

Proteccin de los servicios

mp.s.9

Medios Alternativos

NUM. Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

mp.s.1

Proteccin del correo electrnico (e mail)

mp.s.2

Proteccin de servicios y aplicaciones web

mp.s.8

Proteccin frente a la denegacin de servicio

mp.si Aplica Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Proteccin de los soportes de informacin Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

mp.si.1

Etiquetado

mp.si.2

Criptografa

mp.si.3

Custodia

mp.si.4

Transporte

mp.si.5

Borrado y destruccin

mp.sw Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

Proteccin de las aplicaciones informticas Pendiente de implementar. Pendiente de implementar.

mp.sw.1

Desarrollo de aplicaciones

mp.sw.2

Aceptacin y puesta en servicio

LOPD/RDLOPD

RDLOPD 1720/2007 Ficheros Automatizados Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

096

Auditora

091

Control de acceso

099

Control de acceso fsico

088

Controles peridicos

094 102

Copias de respaldo y recuperacin

089

Funciones y obligaciones del personal

090 100

Registro de incidencias

088

Documento de seguridad

101

Gestin y distribucin de soportes

Pgina 95 de 237

093 098

Identificacin y autenticacin

NUM. Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

Pgina 96 de 237

092 097

Gestin de soportes y documentos

103

Registro de accesos

104

Telecomunicaciones

095

Responsable de Seguridad

RDLOPD 1720/2007 Ficheros No Automatizados Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

113

Acceso a la documentacin

111

Almacenamiento de la informacin

110

Auditora

105

Control de acceso

112

Copia o reproduccin

105

Funciones y obligaciones del personal

105

Registro de incidencias

092 105

Gestin de soportes y documentos

107

Dispositivos de almacenamiento

108

Custodia de soportes

106

Criterios de archivo

105

Documento de seguridad

114

Traslado de documentacin

109

Responsable de Seguridad

LOPD Aplica Aplica Aplica Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

004

Calidad de los datos

006

Consentimiento para el tratamiento

011

Consentimiento para la cesin

007

Datos sensibles

NUM. Aplica 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos 0 tratamiento/s y 1 fuente/s de requisitos

MEDIDA

APLICACIN

ACCIN/JUSTIFICACIN

ESTADO Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar. Pendiente de implementar.

005

Deber de informar

012 083 Aplica Aplica Aplica

Encargados de tratamiento y prestacin de Aplica

servicios sin acceso a datos

020 026

Inscripcin de ficheros

015 016

031 032

Procedimiento para el ejercicio de derechos

033 034

Transferencias internacionales

Pgina 97 de 237

Pgina 98 de 237

9. INSUFICIENCIAS Y PLAN DE MEJORAS DE SEGURIDAD (P.M.S.)

ESTADO REAL 17 % 70 % 0% 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % ALCALDE RESPONSABLETIC 01/01/2012 31/12/2012 29/06/2012 31/12/2012 RESPONSABLETIC 01/01/2012 31/12/2013 RESPONSABLE FECHA PREVISTA FECHA IMPORTE PPTO. 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 0,00 0,00 0,00 0,00 0,00 IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

NOMBRE DE LA ACCIN

Sistema de Gestin ENS Iteracin 01

PLAN

Formalizacin del Responsable de Seguridad

Determinacin del Alcance

RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012

Definicin de la Poltica de seguridad

Determinacin del Enfoque para la Gestin del Riesgo

Establecimiento de la metodologa de AARR

Determinacin del nivel de riesgo aceptable

Anlisis de Riesgos

Inventario de Activos

Identificacin de Activos

Determinacin de Responsables

Identificacin de Servicios

Determinacin de Responsables de Servicio

Identificacin de Informacin de los Servicios

Determinacin de Responsables de la Informacin

Clasificacin LOPD

Identificacin de los Sistemas

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 0% 100 % 100 % 100 % ALCALDE 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 0,00 0,00 0,00 0,00 0,00 0,00 PPTO. 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 0% 100 % 100 % 100 % RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 29/06/2012 29/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012 RESPONSABLETIC 01/01/2012 30/06/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Determinacin de Responsables de Sistemas

Sistema Interno o Externo

Dependencias entre activos

Asignacin de Dependencias del resto de activos/Asignacin de Depen

dencias

Informacin dependencias con Servicios

Servicios dependencias con Sistemas

Sistemas dependencias con otros Sistemas

Valoracin de Activos

Valoracin del resto de Activos/Valoracin por Dimensiones

Valoracin de los Servicios

Valoracin de la Informacin

Categorizacin automtica de los Sistemas

Asociacin de Amenazas a Activos

Determinacin del nivel de Riesgo actual

Tratamiento de los Riesgos

Requisitos de Cumplimiento

Requisitos del E.N.S.

Requisitos de Terceras Partes Requisitos de Negocio

Aprobacin de Riesgos Residuales

Declaracin de Aplicabilidad

Tratamientos ya implantados

Pgina 99 de 237

Tratamientos a implantar por Cumplimiento Normativo

Pgina 100 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 PPTO. 100 % 25 % 5% 0% 0% 0% 0% 0% 11 % 20 % 40 % 40 % 40 % 13 % 0% 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 ALCALDE 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 29/06/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Tratamientos a implantar por Requisitos de Negocio

DO

Gestin del Riesgo

Plan de Adecuacin/Plan de Tratamiento del Riesgo

Asignacin de Responsables de Ejecucin

Estimacin de fechas de inicio y finalizacin

Valoracin econmica

Estado de implantacin

Acciones requeridas

Requisitos de Negocio y Cumplimiento

Esquema Nacional de Seguridad (RD 3/2010)

Activo: AYUNTAMIENTO de ....

Controles y Medidas de Seguridad

org Marco Organizativo

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

org.3 Procedimientos de seguridad Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que describa los roles y responsabilidades del personal vinculado al procedimiento documentado de forma que establezca claramente quin debe hacerlas. Definir la estructura y contenidos mnimos que debern especificar los procedi mientos de seguridad. Al menos, debern indicar cmo llevar a cabo las tareas, quin debe hacerlas y cmo identificar y reportar comportamientos anmalos. Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que describa cmo se llevan a cabo las tareas especificadas. 0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 RESPONSABLETIC 29/06/2012 31/12/2012 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que detalle cmo se identificarn y reportarn comportamientos no esperados o anmalos en la ejecucin del procedimiento. 0% 55 % 0% 75 % 75 % 75 % 25 % 75 % 75 % 75 % 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

org.1 Poltica de seguridad Aprobar la Poltica de seguridad por parte del organismo superior competente que corresponda segn el Artculo 11 del R.D. 3/2010. Definir dentro del documento Poltica de seguridad un apartado que detalle los Objetivos y Misin de la Organizacin. Definir dentro del documento Poltica de seguridad un apartado que detalle el Marco Legal y Regulatorio de la Organizacin. Elaborar un documento escrito que formalice la Poltica de seguridad de la Orga nizacin de acuerdo a los contenidos mnimos que debe tener dicho documento. Definir en la Poltica de seguridad los Roles y Funciones de Seguridad de la organi zacin. Dotar a la Organizacin de una estructura organizativa que de soporte a la gestin y coordinacin de la seguridad, basada en Comits de Seguridad. Definir la estructura jerrquica de la documentacin que dar soporte a la Poltica de Seguridad as como un procedimiento documentado de gestin y aprobacin de dicha documentacin. Comprobar que el Documento de Seguridad LOPD se encuentra actualizado y es coherente con la Poltica de Seguridad.

Comprobar que la Poltica de Seguridad se distribuye entre el personal afectado.

Establecer un procedimiento documentado de revisin y actualizacin de la Polti ca de Seguridad que determine con qu periodicidad se realizar, quienes sern los responsables de dicha revisin y qu tipo de modificaciones requerirn de nuevo la aprobacin de la nueva versin del documento.

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 101 de 237

Pgina 102 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 PPTO. 0% 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

org.2 Normativa de seguridad Definir la estructura del marco de normas y procedimientos de seguridad y elabo rar un procedimiento documentado de control de documentos del marco norma tivo. Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se indiquen cuales son las pautas de comportamiento adecuadas que se esperan de los usuarios y responsables de los sistemas de informacin. Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las respon sabilidades del personal con respecto al cumplimiento o violacin de estas nor mas de acuerdo con la legislacin vigente. Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se indiquen tambin cuales son los usos no correctos o indebidos de los sistemas de informacin. Dar difusin y distribuir el documento "Normas de uso de los sistemas de infor macin de la Organizacin" para que sea conocido y accesible por los empleados de la Organizacin. 0% 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

org.4 Proceso de autorizacin Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que determine qu cambios requerirn autorizacin, cul ser el flujo de trabajo a seguir para la solicitud, revisin y auto rizacin as como qu registro debe quedar de dicho procedimiento. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la incorporacin de nuevo equipamiento hardware en los entornos de produccin. 0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple las modificaciones so bre las instalaciones donde residen los sistemas de informacin. Este proceso debe establecer la persona o punto de contacto para autorizar un determinado componente o actuacin y debe dejar un registro documentado de dicha autori zacin. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la gestin de cambios y actualizacin de sistemas operativos o aplicaciones en los entornos de produc cin. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la gestin de cambios y actualizacin de los equipos de interconexin y comunicaciones en los entornos de produccin. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos medios de comunicacin. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos soportes de informacin. Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos equipos mviles. Dar difusin y distribuir el procedimiento documentado de autorizacin de nue vos recursos para que sea conocido y accesible por los empleados de la Organiza cin. 0% 54 % 56 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00

0,00 0,00 0,00

op Marco Operacional

Pgina 103 de 237

op.exp Explotacin

Pgina 104 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 0% RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.09 Registro de la gestin de incidencias Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para registrar las actuaciones desarrolladas para la resolucin del incidente y las modificaciones o cambios que se hayan tenido que realizar para solventar el mismo. Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para la valoracin del incidente por si de l pudie ran derivarse acciones judiciales de forma que se recojan aquellos registros y trazas que permitan posteriormente aportar las evidencias digitales que pudieran ser necesarias y relevantes. Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para la valoracin de los incidentes que se van registrando, su categorizacin y problemtica por si de ello pudieran detectarse incrementar las necesidades de auditora o proporcionar ms mecanismos de monitorizacin o trazabilidad que permitan recoger informacin suficiente para reducir o mitigar las problemticas detectadas. Establecer un procedimiento documentado de gestin de incidentes de seguridad que garantice el registro de los eventos que supongan un problema o puedan suponer un problema potencial y que requieran acciones correctoras o acciones de mejora. 0% RESPONSABLETIC 29/06/2012 31/12/2012 87 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.04 Mantenimiento Establecer un procedimiento documentado de gestin del mantenimiento hard ware y software que tenga en cuenta todos los aspectos a controlar para garanti zar el correcto funcionamiento y actualizacin de los equipos en los entornos operativos as como la planificacin temporal de dichas tareas. Considerar en la elaboracin del procedimiento documentado de gestin del mantenimiento hardware y software establecer una actividad para verificar que se garantizan los requisitos especificados por el fabricante para el correcto fun cionamiento y conservacin de los recursos supervisados. 100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Seleccionar las fuentes de informacin relevantes que permitan conocer el estado de la seguridad de los productos y los anuncios realizados por fabricantes o pro veedores respecto a vulnerabilidades conocidas y actualizaciones o parches que mitiguen dichos fallos. En la medida de lo posible, garantizar la recepcin de esa informacin mediante suscripciones en foros especializados o el seguimiento de publicaciones y noticias relacionadas con esta problemtica. Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se analizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informa cin. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 100 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.11 Proteccin de claves criptogrficas Establecer un procedimiento documentado de gestin de claves criptogrficas que detalle las actividades a realizar en cada una de las fases del ciclo de vida de las claves (Generacin, instalacin, transporte, revocacin, custodia, copia de seguridad y destruccin) y que cumpla con la normativa de gestin de claves crip togrficas establecida por la Organizacin. Documentar la normativa de gestin de claves criptogrficas donde explcitamen te se determine la obligacin de separar los medios de generacin de claves de los medios en produccin o explotacin. Documentar la normativa de gestin de claves criptogrficas donde explcitamen te se determine la obligacin de custodiar separar los medios de generacin de claves de los medios en produccin o explotacin. Documentar la normativa de gestin de claves criptogrficas cuales sern los medios de generacin de claves a utilizar as como qu algoritmos o dispositivos criptogrficos sern empleados tanto en la generacin como en la custodia, archi vo y transporte. 100 %

Pgina 105 de 237

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 106 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

Verificar que los medios de generacin y custodia de claves criptogrficas se en cuentran acreditados por el Centro Criptolgico Nacional o gozan de las certifica ciones tcnicas pertinentes. Verificar que los medios de custodia de claves criptogrficas empleados en explo tacin emplean tarjetas criptogrficas protegidas por contrasea o dispositivos criptogrficos. 100 % 55 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.07 Gestin de incidencias Establecer sobre la informacin registrada de los diferentes incidentes un sistema que permita crear una base de conocimiento de forma que incidentes similares puedan ya ser resueltos en base a la informacin almacenada de la resolucin de tareas anteriores. Establecer un procedimiento documentado de notificacin de incidentes de segu ridad que garantice el registro de los eventos que supongan un problema o pue dan suponer un problema potencial y que pudiera ser notificado por cualquier usuario. Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para registrar la informacin comunicada as como la categorizacin asignada y el nivel de escalado que ha requerido dicha notificacin. Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la catalogacin por prioridades de las incidencias a registrar y el nivel de escalado que pudiera requerir dicha notifica cin. Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la asignacin de recursos a los incidentes notificados de forma que se empiece a trabajar en su resolucin. Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la notificacin a las partes interesadas de lo sucedido. 100 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la valoracin de los tipos de incidente y las posibles causas que los pudieran estar ocasionando. Revisar peridicamente el contenido de los procedimientos de notificacin y ges tin de incidentes para ajustar o realizar mejoras que permitan la reduccin del nmero de incidentes. Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes incluir la informacin necesaria que debe ser recopilada segn estable ce el R.D. 1720/2007 en materia de gestin de incidentes relacionadas con datos de carcter personal. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 100 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

op.exp.06 Proteccin frente a cdigo daino Dotar a las medidas de seguridad tcnicas de herramientas de prevencin y de teccin de cdigo malicioso. Establecer un procedimiento documentado de gestin y revisin de software antimalware de forma que se determine el periodo de actualizacin de patrones de firmas a establecer, el despliegue de dichas actualizaciones sobre los diferen tes equipos y sistemas protegidos, el anlisis de resultados obtenidos y la valora cin del rendimiento y eficacia de los productos utilizados. 100 % 20 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.05 Gestin de cambios Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equipos en los entornos operativos. 0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 107 de 237

Pgina 108 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para realizar pruebas del cambio a efectuar en el entorno de produccin sobre equipos similares en los entornos de preproduccin o prueba de forma que se verifique que dichas modificaciones no tendrn consecuencias en los entornos reales. Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para valorar segn el anlisis de riesgo realizado cual es la criticidad e impacto posible que debiera asumirse en caso de posibles incidencias en la ejecucin del cambio. Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para valorar la necesidad del cambio y su viabilidad/oportunidad para planificar o rechazar dicha solicitud de cambio o configuracin. Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para planificar y programar el momento adecuado en el que se realizar el cambio o configuracin de forma afecte o altere lo menos posible el funcionamiento normal de los entornos reales. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 25 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

op.exp.03 Gestin de la configuracin Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equipos en los entornos operativos, cuente con el nivel de autorizacin necesario para poder realizar di chas acciones y contemple procesos de copia de seguridad y protocolos de mar cha atrs en caso de problemas con el cambio que deben ser deshechos. 25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 43 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.exp.02 Configuracin de Seguridad Establecer un procedimiento documentado de configuracin segura de sistemas y recursos que detalle las actividades previas a la puesta en produccin y garantice la proteccin previa del equipamiento y la deshabilitacin de todas las opciones y servicios que no sern empleados. Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin y deshabi litacin de las cuentas y contraseas por defecto. Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin del cum plimiento de la lista de verificaciones y chequeos que toda nueva instalacin debe garantizar. Para ello, es deseable elaborar un checklist de verificaciones y bastio nado de equipos que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de fortalecimiento de confi guraciones. Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos que si el usuario decide no aplicar todas las restric ciones y opciones de bastionado sobre el equipo, al menos quede documentado que asume el nivel de riesgo derivado de dicha decisin. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 75 % 100 % 75 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00 0,00

0,00 0,00 0,00

op.exp.01 Inventario de activos Elaborar un inventario de los recursos que forman la arquitectura lgica de los sistemas de informacin de la Organizacin. Asignar a dicho inventario quienes son las personas responsables de la operacin y mantenimiento.

Pgina 109 de 237

Pgina 110 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Establecer un procedimiento documentado de gestin del cambio que garantice que el inventario de los sistemas de informacin es peridicamente revisado y se mantiene actualizado. Para ello, el procedimiento documentado de autorizacin de cambios en sistemas de informacin deber tener en cuenta cuales son las modificaciones realizadas y cmo afecta al inventario actual existente. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 op.pl Planificacin 57 % 56 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.pl.3 Adquisicin de nuevos componentes Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin el nivel de riesgo de los elementos afecta dos por los cambios y los diferentes tipos de actuaciones segn el nivel de riesgo y criticidad de los equipos afectados por los cambios. Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin. Dicho proceso puede formalizarse me diante un procedimiento documentado de autorizacin de cambios en sistemas de informacin. Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin cuales son las medidas de proteccin pe rimetral establecidas de forma que los cambios no eliminen o reduzcan las medi das ya existentes y deber valorar cmo quedan las medidas de seguridad tras los cambios realizados garantizando al menos el mismo nivel que ya exista. Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que los nuevos equipos cumplan los requi sitos tcnicos necesarios para que su incorporacin no suponga el fallo o avera de los recursos ya existentes operativos y deber valorar cmo afectarn los nuevos recursos sobre el funcionamiento de los sistemas ya existentes para evitar cual quier incidente ocasionado por la incorporacin de estos nuevos recursos. 100 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 0% RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.pl.4 Dimensionamiento / Gestin de capacidades Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta las capacidades y nece sidades de cpu, memoria, dispositivos que vayan a ser aadidos para evitar so brepasar los recursos disponibles. Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta las capacidades y nece sidades de almacenamiento para evitar sobrepasar los recursos disponibles. Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que tenga en consideracin la gestin de capacidades y las necesidades de dimensionamiento de los sistemas de informa cin. Ello se puede materializar en un procedimiento documentado de gestin de cambios en los sistemas de informacin. Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta las capacidades y nece sidades de ancho de banda para evitar sobrepasar los recursos disponibles. Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta el nivel de conocimien to y capacidades tcnicas del personal responsable para evitar errores o el desco nocimiento en la gestin y manejo del nuevo equipamiento o aplicaciones. Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta las capacidades de las instalaciones y medios auxiliares existentes para evitar sobrepasar los recursos disponibles. 0% RESPONSABLETIC 29/06/2012 31/12/2012 30 % 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

op.pl.2 Arquitectura de seguridad Identificar los puntos de acceso lgico a la arquitectura de los sistemas de infor macin de la Organizacin.

Pgina 111 de 237

Pgina 112 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 PPTO. 0% 100 % 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00

50 % 100 % 100 %

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00

0,00 0,00 0,00

0% 0% 100 % 50 % 0%

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00

Disponer de una clasificacin de las reas fsicas de las instalaciones donde se albergan los sistemas de informacin de la Organizacin. Documentar la normativa de control de acceso (identificacin y autenticacin de usuarios para cada sistema o servicio). Especificar en la normativa de control de acceso cmo se controlan los datos una vez en los sistemas (p.ej.: el intercambio de informacin con otros sistemas va acompaado de hashes para evitar su alteracin, etc.). Disponer de documentacin que describa la arquitectura fsica de los sistemas de informacin de la Organizacin y las infraestructuras fsicas donde estos son al bergados. Especificar en la normativa de control de acceso los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin. Especificar en la normativa de control de acceso qu mecanismos de seguridad se implantarn para evitar problemas en los formularios de entrada, tratamiento o salida de datos de los sistemas de informacin. Establecer un procedimiento documentado de gestin de cambios de los sistemas de informacin. Dicho proceso puede formalizarse mediante un procedimiento documentado de autorizacin de cambios en sistemas de informacin. Disponer de un inventario de los recursos que forman la arquitectura lgica de los sistemas de informacin de la Organizacin. Especificar en la normativa de control de acceso cuales son los repositorios de informacin empleados por los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin. Identificar los puntos de acceso a las instalaciones donde se albergan los sistemas de informacin de la Organizacin. Disponer de documentacin sobre la arquitectura lgica de los sistemas de infor macin de la Organizacin as como un procedimiento documentado de revisin, gestin del cambio y actualizacin del inventario de los sistemas de informacin.

NOMBRE DE LA ACCIN REAL 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Disponer de documentacin sobre la arquitectura fsica y lgica de las comunica ciones que interconectan los sistemas de informacin de la Organizacin con el resto de organizaciones. Disponer de documentacin sobre la arquitectura lgica de las comunicaciones y las medidas de proteccin perimetral que vigilan la interconexin de los sistemas de informacin de la Organizacin con el resto de organizaciones. Disponer de documentacin sobre la arquitectura fsica y lgica de las comunica ciones que interconectan los sistemas de informacin de la Organizacin con el resto de organizaciones. Disponer de documentacin sobre la arquitectura lgica de las comunicaciones y las medidas de proteccin perimetral que vigilan la interconexin de los sistemas de informacin de la Organizacin con el resto de organizaciones. Seleccionar tecnologas de seguridad distintas en los diferentes elementos de proteccin perimetral para evitar que una vulnerabilidad sobre un determinado producto software o fabricante pudiera comprometer de golpe a todos los equi pos de proteccin. 0% RESPONSABLETIC 29/06/2012 31/12/2012 100 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

op.pl.5 Componentes certificados Verificar que las caractersticas tcnicas del equipamiento a adquirir disponen de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional. Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que se verifiquen las caractersticas tcnicas del equipamiento de forma que se garantice el cumplimiento de los requisitos tcnicos necesarios y se avale dicho cumplimiento con las certificaciones tcnicas que sean pertinente solicitar. 100 % 100 % 100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

Pgina 113 de 237

op.pl.1 Anlisis de riesgos Comprobar que en los documentos de anlisis de riesgos estn identificados los activos ms valiosos.

Pgina 114 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Seleccionar una metodologa de anlisis y gestin del riesgo y realizar un estudio de los mismos para la Organizacin. Dicha metodologa puede ser informal pero debe documentar cuales son los criterios utilizados para la estimacin de activos y amenazas que da por fruto una determinada manera de calcular el riesgo. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los riesgos residuales de la Organizacin. Seleccionar una metodologa formal internacionalmente reconocida de anlisis y gestin del riesgo y realizar un estudio de los mismos para la Organizacin. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los activos ms valiosos del sistema. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa las vulnerabilidades de la Organizacin en relacin al catlogo de ame nazas en estudio. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa las salvaguardas que protegen las amenazas de la Organizacin. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los riesgos residuales de la Organizacin. Comprobar que en los documentos de anlisis de riesgos las amenazas ms pro bables se encuentran identificadas. Comprobar que en los documentos de anlisis de riesgos se identifican las salva guardas que protegen las amenazas de la Organizacin. Comprobar que en los documentos de anlisis de riesgos se identifican los riesgos residuales de la Organizacin. Seleccionar una metodologa formal de anlisis y gestin del riesgo y realizar un estudio de los mismos para la Organizacin. Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los activos ms valiosos del sistema.

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 PPTO. 100 % 100 % 100 % 100 % 100 % CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00

Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa las salvaguardas que protegen las amenazas de la Organizacin. op.ext Servicios externos

op.ext.2 Gestin diaria Establecer un procedimiento documentado de seguimiento de servicios externos de forma que se especifique de qu forma se realizan las actividades de segui miento de los servicios prestados por terceros. 100 % 29/06/2012 31/12/2012

Elaborar peridicamente los informes de seguimiento de servicios externos.

0,00

0,00

100 %

29/06/2012 31/12/2012

0,00

0,00

100 %

29/06/2012 31/12/2012

0,00

0,00

Contemplar en el procedimiento documentado de seguimiento de servicios ex ternos cmo se realizara la gestin de incidentes ante cualquier desviacin de lo acordado o de los niveles mnimos exigibles al servicio. Contemplar en el procedimiento documentado de seguimiento de servicios ex ternos cmo se realizara la coordinacin y mantenimiento de los sistemas afec tados por la prestacin de servicios externos. Contemplar en el procedimiento documentado de seguimiento de servicios ex ternos cmo se realizara la gestin de incidentes ante una contingencia en la propia organizacin o el prestador externo que suponga la activacin del Plan de continuidad de Negocio. 100 % 100 % 100 %

29/06/2012 31/12/2012

0,00

0,00

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLE CONTRATACIN 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

op.ext.1 Contratos y acuerdos de nivel de servicio Valorar los riesgos derivados del tercero para contemplar qu requisitos de segu ridad deben garantizarse en la prestacin de dichos servicios suministrados por externos.

Pgina 115 de 237

Pgina 116 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 % CONTRATACIN RESPONSABLE CONTRATACIN RESPONSABLE CONTRATACIN 29/06/2012 31/12/2012

RESPONSABLE 29/06/2012 31/12/2012

0,00

0,00

100 %

0,00

0,00

Establecer un procedimiento documentado de contratacin de servicios externos que especifique qu clusulas de contratacin hay que incorporar y cmo se de terminarn y medirn los acuerdos de nivel de servicio establecidos entre la Or ganizacin y el prestador. Contemplar en el procedimiento documentado de contratacin de servicios ex ternos cmo se definirn los niveles mnimos y qu tipo de consecuencias o pena lizaciones supondrn para el proveedor. Contemplar en el procedimiento documentado de contratacin de servicios ex ternos quienes sern los diferentes responsables tanto por parte de la Organiza cin como por parte del prestador para la gestin, mantenimiento y supervisin del cumplimiento del contrato firmado. 100 % 29/06/2012 31/12/2012 op.cont Continuidad de negocio 0% 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.cont.1 Anlisis de impacto Seleccionar una metodologa de anlisis de impacto en el negocio. Dicha metodo loga puede ser informal pero debe documentar cuales son los servicios crticos y los tiempos mximos de tolerancia de interrupciones (MTD) de la Organizacin en caso de contingencia o desastre. Comprobar que en los documentos de anlisis de impacto en el negocio identifi can los requisitos de recuperacin de cada servicio (RTO, Return Time Objective) y los requisitos de prdidas de datos tolerables (RPO, Return Point Objective). Comprobar que en los documentos de anlisis de impacto en el negocio identifi can los recursos tcnicos necesarios para la prestacin de servicios y las depen dencias tecnolgicas y de otros suministros que son esenciales para garantizar la normalidad de operaciones. 0% op.acc Control de acceso 57 % 50 % 75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00

0,00 0,00 0,00

op.acc.7 Acceso remoto (remote login) Revisar las medidas de identificacin y autenticacin sobre el control de acceso para que cumplan con la normativa de control de acceso establecida.

NOMBRE DE LA ACCIN REAL 0,00 0,00 PPTO. 25 % 20 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00

Especificar en la normativa de control de acceso cuales son los medios de acceso remoto y teletrabajo autorizados que son vlidos para la Organizacin.

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.acc.6 Acceso local (local logon) Configurar los mecanismos de identificacin y autenticacin para que con carcter previo se informe mediante un cartel o letrero del acceso restringido a sistemas de informacin privados y que no revelen la identidad de anteriores conexiones o usuarios segn se haya establecido en la normativa de control de acceso. Configurar los mecanismos de identificacin y autenticacin para que con carcter previo se informe mediante un cartel o letrero de la existencia de unas normas de uso de los sistemas de informacin donde se detallan las funciones y responsabi lidades del usuario segn se haya establecido en la normativa de control de acce so. Configurar los mecanismos de identificacin y autenticacin para que limite el nmero mximo de intentos fallidos tolerados antes del bloqueo del usuario se gn se haya establecido en la normativa de control de acceso. Configurar los mecanismos de auditora para registrar los intentos de acceso falli dos y con xito al sistema segn se haya establecido en la normativa de control de acceso. Configurar los mecanismos de auditora para una vez autenticado el acceso se informe los Registros de auditora de accesos el ltimo acceso con xito de su identidad 25 % 61 % 75 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00

0,00 0,00 0,00

op.acc.5 Mecanismo de autenticacin Especificar en la normativa de control de acceso los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin, y sobre qu sis temas son utilizados. Especificar en la normativa de control de acceso cuales son los criterios para ga rantizar la correcta calidad de las contraseas cuando el mtodo de identificacin y autenticacin se base en usuario y contrasea.

Pgina 117 de 237

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 118 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Garantizar que la cuenta del usuario no ser habilitada hasta que la persona reco ja de forma segura su identificador y contrasea asociado y sea informado de las normas de uso de los sistemas de informacin. Establecer un procedimiento documentado de autorizacin para la incorporacin de nuevo personal, el cambio de privilegios o la baja en los sistemas de informa cin. Dicho proceso puede formalizarse mediante un procedimiento documenta do de altas, bajas y modificaciones de usuarios en sistemas de informacin. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin la entrega de las "Normas de uso de los sis temas de informacin" de forma que se informe al usuario cules son sus obliga ciones respecto a la custodia del identificador y contrasea. Especificar en la normativa de control de acceso la periodicidad con la que cadu can los identificadores y contraseas de usuarios en el sistema de informacin. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin cmo sern informados los cambios de fun ciones del personal y cmo ello generar las correspondientes modificaciones en la asignacin de privilegios en el sistema. Verificar que el mtodo de identificacin y autenticacin no emplea claves con certadas. Especificar en la normativa de control de acceso unos requisitos elevados de complejidad y fortaleza de contraseas a emplear por parte de usuarios en el sistema de informacin as como la renovacin frecuente de los mismos. Cuando sea posible, se seleccionarn como mecanismos de autenticacin dispositivos fsicos (tokens) o componentes lgicos tales como certificados software u otros equivalentes o biomtricos. 25 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 75 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.acc.4 Proceso de gestin de derechos de acceso Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin la asignacin por defecto de los mnimos privilegios de acceso que sean necesarios para desempear las funciones y res ponsabilidades asignadas al empleado. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin quienes sern las personas autorizadas para solicitar el alta, modificacin o baja de usuarios o privilegios sobre el sistema de informacin. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 43 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

75 % RRHH

RESPONSABLE

29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLE RRHH

29/06/2012 31/12/2012

0,00

0,00

op.acc.3 Segregacin de funciones y tareas Especificar en la normativa de control de acceso cuales sern las funciones tcni cas segregadas entre las reas de operacin de sistemas y de auditora, seguridad o supervisin del sistema de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el prin cipio de mnimos privilegios. Especificar en la normativa de control de acceso cuales sern las funciones tcni cas segregadas de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios. Especificar en la normativa de control de acceso cuales sern las funciones tcni cas segregadas entre las reas de desarrollo y operacin de sistemas de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios. Especificar en la normativa de control de acceso cuales sern las funciones tcni cas segregadas entre las reas de operacin de sistemas y de mantenimiento de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios. 50 % RESPONSABLE RRHH

29/06/2012 31/12/2012

0,00

0,00

Pgina 119 de 237

Pgina 120 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 75 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.acc.2 Requisitos de acceso Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio disponga de mecanismos de control de acceso que requiera la identificacin y autenticacin de usuarios. Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio disponga de mecanismos de proteccin de los archivos de sistema y configuracin que puedan comprometer la seguridad del equipo. Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio asigne los m nimos privilegios al personal tcnico que requiera acceso para gestin, manteni miento u operacin del equipo. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 80 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

op.acc.1 Identificacin Especificar en la normativa de control de acceso que la asignacin del identifica dor nico en el sistema permita la identificacin de forma inequvoca y personali zada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado de forma que el procedimiento documentado de altas garantice que no existan usuarios conocidos por ms de una persona o proceso. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin un registro de entrega de forma que se pue da conocer cada identificador a quin corresponde. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin un registro de entrega de forma que se pue da conocer por cada identificador qu privilegios o perfil tiene asignado. 100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin la inhabilitacin del identificador qu es dado de baja conservando los registros de trazabilidad que sean considerados necesarios. Configurar las opciones de auditora sobre los mecanismos de identificacin y autenticacin para que una vez producida la baja del usuario se conserven los registros de acceso durante el tiempo que sea considerado adecuado (Periodo de retencin de evidencias) de forma que se puedan atender las necesidades de auditora y trazabililidad. 100 % RESPONSABLETIC 29/06/2012 31/12/2012 mp Medidas de Proteccin 55 % 56 % 39 % 50 % RRHH RESPONSABLE RRHH RESPONSABLE mp.per Gestin del personal RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00

50 %

29/06/2012 31/12/2012

0,00

0,00

mp.per.2 Deberes y obligaciones Contemplar en el documento "Normas de uso de los sistemas de informacin de la Organizacin" el periodo de tiempo en el que sern de aplicacin dichas nor mas y cmo se extendern una vez finalizado el contrato con la Organizacin. Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin la entrega de las "Normas de uso de los sis temas de informacin" de forma que se informe al usuario cules son sus deberes y responsabilidades en su puesto de trabajo. Establecer en el procedimiento documentado de contratacin de personal, la entrega de un documento a firmar por el empleado donde se determinen las clusulas de confidencialidad a las que estar sometido y sus obligaciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus responsabilidades como empleado. 25 % RESPONSABLE RRHH

29/06/2012 31/12/2012

0,00

0,00

Pgina 121 de 237

Pgina 122 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

25 % RRHH

RESPONSABLE 29/06/2012 31/12/2012

0,00

0,00

0% RRHH

RESPONSABLE

29/06/2012 31/12/2012

0,00

0,00

75 % RRHH

RESPONSABLE

29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de contratacin de personal la posibilidad de que parte del personal pueda incorporarse al contrata do a travs de terceros y garantizar a dichas personas la entrega de un documen to a firmar por el empleado donde se determinen las clusulas de confidenciali dad a las que estar sometido y sus obligaciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus responsabili dades como empleado. Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes cmo se resolvern las problemticas ocasionadas por el incumplimiento de las obligaciones de personal propio o contratado por terceros. Contemplar en el documento "Normas de uso de los sistemas de informacin de la Organizacin" cules son las pautas de comportamiento adecuadas que se esperan de los usuarios y responsables de los sistemas de informacin as como las medidas disciplinarias que podrn ser aplicadas en caso de no cumplir con dicha normativa. Establecer en el procedimiento documentado de contratacin de personal la entrega de un documento a firmar por el empleado donde se determinen las clusulas de confidencialidad a las que estar sometido y sus obligaciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus responsabilidades como empleado. 50 % RRHH RESPONSABLE 29/06/2012 31/12/2012 43 % 75 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLE RRHH 25 % RESPONSABLE RRHH 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.per.3 Concienciacin Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relacionadas con el contenido de la "Norma de uso de los sis temas de informacin de la Organizacin". Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relacionadas con el conocimiento de los procedimientos inter nos de notificacin y gestin de incidentes.

29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

25 % RRHH

RESPONSABLE 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relacionadas con situaciones extraas, anmalas o circunstan cias de riesgo que deban ser conocidas por los empleados y les permita la detec cin temprana de incidentes. Establecer un procedimiento documentado de gestin de la concienciacin y formacin que garantice la elaboracin de un plan de concienciacin anual donde se contemplen la identificacin de los aspectos en materia de seguridad que de ben ser datos a conocer y concienciados entre el personal as como la asignacin de recursos y la programacin de las acciones formativas a realizar. Adems debe rn valorarse los resultados alcanzados para contemplar posibles mejoras o cam bios sobre los sucesivos contenidos. 50 % RRHH RESPONSABLE 29/06/2012 31/12/2012 mp.per.4 Formacin 62 % 100 % RRHH RESPONSABLE RRHH RESPONSABLE RESPONSABLETIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la proteccin de equipos y sistemas operativos.

25 %

29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLE RRHH

29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la deteccin y reaccin frente a incidentes, dando a conocer los procedimientos internos establecidos en esta materia y conciencian do al personal sobre las situaciones de riesgo que conlleva el uso de las tecnolog as de la informacin. Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la clasificacin y uso de informacin en soporte papel o soporte electrnico. Establecer un procedimiento documentado de gestin de la concienciacin y formacin que garantice la elaboracin de un plan de formacin anual donde se contemplen la identificacin de las necesidades formativas en materia de seguri dad as como la asignacin de recursos y la programacin de las acciones formati vas a realizar. Adems debern valorarse los resultados alcanzados para contem plar posibles mejoras o cambios sobre los sucesivos contenidos. 100 % RESPONSABLE RRHH

29/06/2012 31/12/2012

0,00

0,00

Pgina 123 de 237

Pgina 124 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 81 % RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE RRHH 29/06/2012 31/12/2012 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

100 %

0,00

0,00

100 %

0,00

0,00

25 %

29/06/2012 31/12/2012

0,00

0,00

mp.per.1 Caracterizacin del puesto de trabajo Definir cules son los requisitos bsicos de seguridad que deben configurar y caracterizar el puesto de trabajo y que servir para definir qu medidas de segu ridad deben ser configuradas y cmo el empleado ser protegido frente a posibles amenazas. Definir cules son las responsabilidades asociadas uso del puesto de trabajo y que servir para definir el contenido de la "Norma de uso de los sistemas de informa cin de la Organizacin". Definir cules son los requisitos de confidencialidad asociados a un puesto de trabajo y que servir para definir el contenido de la "Norma de uso de los siste mas de informacin de la Organizacin". Considerar en la elaboracin del procedimiento documentado de contratacin de personal establecer una actividad para valorar la inclusin de determinados requi sitos relacionados con la capacitacin y formacin bsica que debe satisfacer el empleado que vaya a ocupar determinado puesto de trabajo. 100 % 29/06/2012 31/12/2012 mp.eq Proteccin de los equipos 56 % 75 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

75 %

RESPONSABLETIC 28/06/2012 31/12/2012

0,00

0,00

mp.eq.2 Bloqueo de puesto de trabajo Configurar los mecanismos de identificacin y autenticacin para que bloquee las sesiones iniciadas activando el protector de pantalla y solicitando de nuevo la contrasea tras un periodo de inactividad segn la duracin que se haya estable cido en la normativa de control de acceso. Especificar en la normativa de control de acceso cuales sern los plazos mximos de caducidad de las sesiones abiertas por el usuario de forma que se produzca la desconexin de la sesin requiriendo de nuevo el acceso autenticado del emplea do que se ausenta. 75 %

RESPONSABLETIC 28/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 50 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.eq.9 Medios alternativos Definir los requisitos de recuperacin y el plazo mximo disponible (RTO, return time objective) que seran necesarios utilizar en caso de contingencia, para la puesta en marcha de los equipos de usuario y servidores necesarios para garanti zar la continuidad de servicios u operaciones de la Organizacin a lo largo del proceso de ejecucin del Plan de Continuidad de Negocio. Verificar que los equipos y sistemas alternativos a utilizar en caso de fallo de los sistemas y equipos crticos proporcionaran caractersticas similares de forma que garantice la normalidad de servicios u operaciones de la Organizacin. Definir las caractersticas de los equipos de trabajo que seran necesarios utilizar en caso de contingencia, su nmero mnimo y cmo stos garantizan la continui dad de servicios u operaciones de la Organizacin a lo largo del proceso de ejecu cin del Plan de Continuidad de Negocio. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 62 % 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.eq.3 Proteccin de equipos porttiles Configurar los mecanismos de identificacin y autenticacin de equipos porttiles que impidan el acceso no autorizado por parte de terceros en caso de prdida, extravo o robo de estos equipos. Establecer un procedimiento documentado de entrega de equipos porttiles a empleados de sistemas de informacin donde se garantice la entrega de las "Normas de uso de los sistemas de informacin" de forma que se informe al usua rio cules son sus obligaciones respecto a la custodia y proteccin de este tipo de equipos y se registre en el inventario de entregas en qu momento se asigna y quien es su destinatario. Configurar los mecanismos de identificacin y autenticacin de equipos porttiles en los accesos remotos que puedan producirse desde fuera de la Organizacin (Basados en la autenticacin del equipo o del usuario) de forma que pueda garan tizar la legitimidad de las conexiones desde ese equipo mvil. Estos mecanismos estarn vinculados a los medios elegidos para el establecimiento de redes priva das virtuales (VPN). 50 %

Pgina 125 de 237

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 126 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Establecer en el procedimiento documentado de entrega de equipos porttiles la revisin peridica del mismo para garantizar que en todo momento se dispone de informacin donde se indique el equipo, fecha en que se entrega al empleado, fecha de entrega a la Organizacin y quien es su destinatario. Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin" un apartado donde se indique cmo notificar la prdida, robo o extravo de los equipos porttiles utili zando el procedimiento documentado de notificacin de incidencias establecido por la Organizacin. Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin" un apartado donde se indique cuales son las medidas de seguridad a aplicar sobre equipos porttiles solicitando al empleado que guarde claves de acceso remoto que permitan el acceso a la Organizacin y donde se especifiquen cuales son las responsabilidades del personal con respecto al cumplimiento o violacin de estas normas de acuer do con la legislacin vigente. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 37 % 25 % RRHH RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLE 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.eq.1 Puesto de trabajo despejado Dotar las salas donde se vayan a almacenar equipos de las medidas de control de acceso (Cerradura o cualquier otro sistema de bloqueo de acceso) que sean nece sarias para garantizar su proteccin frente al robo, prdida o extravo. Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin" un apartado donde se indique cuales son las medidas de seguridad a aplicar al puesto de trabajo y las necesidades de "puesto despejado" solicitando al empleado que guarde en arma rios o cajones toda aquella documentacin que no vaya a utilizar y donde se espe cifiquen cuales son las responsabilidades del personal con respecto al cumpli miento o violacin de estas normas de acuerdo con la legislacin vigente. 50 % RRHH

RESPONSABLE

29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 PPTO. 68 % 50 % 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00

mp.com Proteccin de las comunicaciones

mp.com.2 Proteccin de la confidencialidad Configurar los mecanismos de cifrado de comunicaciones y establecimiento de redes privadas virtuales en las conexiones de la Organizacin con el exterior o con terceras partes fuera de su control. Verificar que las caractersticas tcnicas del equipamiento de comunicaciones a adquirir dispone de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional. 50 % 100 % 100 % 56 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00

mp.com.1 Permetro seguro Dotar la arquitectura de red de la Organizacin de equipos cortafuegos para ga rantizar la proteccin perimetral y el filtrado de las comunicaciones en las co nexiones de la Organizacin con el exterior.

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.com.3 Proteccin de la autenticidad y de la integridad Dotar preferentemente la arquitectura de red de la Organizacin de equipos que permitan la creacin de redes privadas virtuales VPN para garantizar la confiden cialidad de las comunicaciones en las conexiones de la Organizacin con el exte rior. Configurar los mecanismos de cifrado de comunicaciones y establecimiento de redes privadas virtuales utilizando los algoritmos criptogrficos que se haya esta blecido en la normativa de gestin de claves criptogrficas de la Organizacin. Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acreditados a emplear en la proteccin de las comunica ciones en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ES QUEMA NACIONAL DE SEGURIDAD. 75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 127 de 237

Pgina 128 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Configurar los mecanismos de autenticacin de equipos de comunicaciones que permitan garantizar la autenticidad de los extremos de la conexin previa al pro ceso de cifrado de comunicaciones y establecimiento de redes privadas virtuales utilizando los algoritmos criptogrficos que se haya establecido en la normativa de gestin de claves criptogrficas de la Organizacin. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 48 % 14 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.sw Proteccin de las aplicaciones informticas

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.sw.2 Aceptacin y puesta en servicio Considerar en la elaboracin del procedimiento documentado de paso a produc cin establecer una actividad para la revisin del cumplimiento de la lista de veri ficaciones y pruebas que debe superar como resultado de pruebas de integracin y aceptacin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. Verificar si los entornos de pruebas utilizan datos reales y por tanto, deben estar sometidos a idnticas medidas que los entornos en explotacin o por el contrario, sobre ellos se aplica algn procedimiento que permita la disociacin de informa cin de forma que transforme esa informacin en datos ficticios e irreales. Considerar en la elaboracin del procedimiento documentado de paso a produc cin establecer una actividad para la revisin de vulnerabilidades y test de intru sin sobre los sistemas que estarn en explotacin. Para ello, es deseable elabo rar un checklist de verificaciones de auditora y seguridad que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. 0% RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Establecer un procedimiento documentado de paso a produccin que tenga en cuenta cuando se realizarn dichas actividades, qu pruebas previas sern nece sario superar antes de proceder a la actualizacin de los entornos de explotacin, cmo se valorar el tipo de paso y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informacin. Considerar en la elaboracin del procedimiento documentado de paso a produc cin establecer una actividad para la revisin del cumplimiento de la lista de veri ficaciones y pruebas que debe superar como resultado de pruebas de integracin y aceptacin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. Verificar que se dispone de un entorno de pruebas o preproduccin sobre el que realizar simulaciones y pruebas de cambios que puedan afectar al entorno en explotacin. Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se analizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informa cin. 25 % RESPONSABLETIC 29/06/2012 31/12/2012 82 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.sw.1 Desarrollo de aplicaciones Verificar que se dispone de dos entornos: pruebas y preproduccin sobre el que realizar simulaciones y pruebas de cambios que puedan afectar al entorno en explotacin.

Pgina 129 de 237

Pgina 130 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Verificar que se dispone en el entorno de explotacin de herramientas que son tambin utilizadas en los entornos de pruebas o preproduccin para la gestin de cdigo fuente, compilacin o cualquier tarea relacionada con el desarrollo softwa re. Seleccionar una metodologa de desarrollo software. Dicha metodologa debe documentar cuales son los criterios y fases a contemplar en el anlisis, diseo y desarrollo de aplicaciones software propias de la Organizacin. La metodologa de desarrollo software debe contemplar la necesidad de estable cer requisitos de seguridad dentro del ciclo de vida del desarrollo de aplicaciones software propias de la Organizacin. La metodologa de desarrollo software debe contemplar como posible actividad o fase la inspeccin o auditora de cdigo fuente en el entorno de pruebas o pre produccin dentro del desarrollo de aplicaciones software propias de la Organi zacin. La metodologa de desarrollo software debe documentar cuales son los criterios para tratar los datos a utilizar en el entorno de pruebas o preproduccin dentro del desarrollo de aplicaciones software propias de la Organizacin. La metodologa de desarrollo software debe contemplar la necesidad de estable cer en la fase de diseo de requisitos software sobre la proteccin y custodia de informacin dentro del desarrollo de aplicaciones software propias de la Organi zacin. La metodologa de desarrollo software debe contemplar la necesidad de estable cer en la fase de diseo de requisitos software sobre la generacin de pistas de auditora y trazabilidad sobre datos o usos de la aplicacin dentro del desarrollo de aplicaciones software propias de la Organizacin. La metodologa de desarrollo software debe contemplar la necesidad de estable cer en la fase de diseo de requisitos software sobre mecanismos de identifica cin y autenticacin a contemplar dentro del desarrollo de aplicaciones software propias de la Organizacin. 100 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Considerar en la elaboracin del procedimiento documentado de paso a produc cin establecer una actividad para la realizacin de pruebas y chequeos que toda nueva instalacin debe garantizar o que debe superar como resultado de pruebas de integracin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. 25 % RESPONSABLETIC 29/06/2012 31/12/2012 47 % 56 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.si Proteccin de los soportes de informacin

0,00 0,00

0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.si.1 Etiquetado Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio de mar cado que identifique el nivel de informacin sin revelar cul es la naturaleza del contenido. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio que per mita a los usuarios mediante inspeccin visual o mediante una consulta a un repositorio conocer el nivel de proteccin sin revelar o proporcionar informacin que cual es la naturaleza del contenido. Dar difusin y distribuir el procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes para que sea conocido y accesible por los empleados de la Organizacin. Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para identificar el nivel de seguridad asignado a un soporte. 50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 131 de 237

Pgina 132 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 0% RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

mp.si.2 Criptografa Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acreditados a emplear en la proteccin de los soportes de datos y en qu tipos de soportes se aplicarn en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD. 0% RESPONSABLETIC 29/06/2012 31/12/2012 62 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.si.5 Borrado y destruccin Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte. Verificar que las caractersticas tcnicas del hardware o software de borrado se guro de datos a adquirir disponen de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Na cional. Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte. Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 66 % 75 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.si.3 Custodia Elaborar un inventario de soportes de la Organizacin, donde se especifique qu soportes se tienen registrados, en qu lugar se encuentra y cul es el periodo de retencin de dichos registros.

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Dotar las salas donde se vayan a albergar soportes de las medidas de prevencin de incendios que sean necesarias para garantizar las condiciones tcnicas y me dioambientales y establecidas por las normativas de planes de emergencia y evacuacin contra incendios de locales y edificios. Establecer medidas de control de acceso fsico a las salas de acceso limitado don de se encuentren los soportes de forma que quede registro y trazabilidad de cada acceso. El personal deber ser previamente autorizado y las medidas de seguridad evitarn el acceso no autorizado a dichas ubicaciones. 25 % RESPONSABLETIC 29/06/2012 31/12/2012 55 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.si.4 Transporte Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acreditados a emplear en la proteccin de los soportes de datos y en qu tipos de soportes se aplicarn en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD. Establecer un procedimiento documentado de revisin de entradas y salidas de soportes de forma que se determine con qu periodicidad se cotejarn los regis tros anotados con el estado del inventario y la presencia fsica de los soportes correspondientes en los lugares utilizados para el almacenamiento. Dicho proce dimiento documentado debe servir para la deteccin de prdidas, extravos o robos de soportes. Establecer controles de entrada y salida de soportes de las salas de acceso limita do donde se encuentren de forma que quede registro y trazabilidad de cada mo vimiento de soportes con informacin. Dichos movimientos debern ser previa mente autorizados. El periodo de retencin de estos registros deber garantizar los requisitos de auditora establecidos por los rganos superiores competentes. 100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 133 de 237

Pgina 134 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Establecer un procedimiento documentado de gestin de claves criptogrficas que detalle las actividades a realizar en cada una de las fases del ciclo de vida de las claves (Generacin, instalacin, transporte, revocacin, custodia, copia de seguridad y destruccin) y que cumpla con la normativa de gestin de claves crip togrficas establecida por la Organizacin. Establecer controles de entrada y salida de soportes de las salas de acceso limita do donde se encuentren de forma que quede registro y trazabilidad de cada mo vimiento de soportes con informacin. Dichos movimientos debern ser previa mente autorizados. El periodo de retencin de estos registros deber garantizar los requisitos de auditora establecidos por los rganos superiores competentes. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 mp.s Proteccin de los servicios 70 % 69 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00 0,00

0,00 0,00 0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 % 100 %

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

mp.s.1 Proteccin del correo electrnico (e mail) Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de correo no solicitado (spam). Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organizacin y las limitaciones como soporte de comunicaciones privadas. Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organizacin y las limitaciones como soporte de comunicaciones privadas. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de cdigo malicioso (malware). Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de cdigo ejecutable o mvil a travs de correo electr nico.

NOMBRE DE LA ACCIN REAL 0,00 PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relacionadas con el contenido de la "Norma de uso de los sis temas de informacin de la Organizacin". Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organizacin y las limitaciones como soporte de comunicaciones privadas. Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se analizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informa cin. Documentar la normativa de firma electrnica de la Organizacin indicando los usos donde ser empleada en relacin al correo electrnico, en qu tipos de men sajes, qu requisitos tcnicos sern necesarios para el uso de los dispositivos y medios de firma y cules sern los algoritmos criptogrficos acreditados a em plear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 59 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

mp.s.2 Proteccin de servicios y aplicaciones web Considerar en la elaboracin del procedimiento documentado de paso a produc cin establecer una actividad para la revisin de vulnerabilidades y test de intru sin sobre los sistemas que estarn en explotacin. Para ello, es deseable elabo rar un checklist de verificaciones de auditora y seguridad que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. 0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 135 de 237

Pgina 136 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques basados en el uso de protocolos de comuni caciones no previstos por la aplicacin. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde In ternet el suministro de informacin o servicios a travs de un nico protocolo previo establecido. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin de URL. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servi cios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabi lidades asociadas a manipulacin de URL. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin de cookies. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servi cios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabi lidades asociadas a manipulacin de cookies. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la limpieza de metadatos de los documentos que vayan a ser accesibles. Tambin podrn incluirse determinadas pautas a seguir por el empleado en documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar para la pu blicacin de informacin accesible a travs de la Web de la Organizacin. Comprobar si se realizan de forma peridica actividades para la revisin de vulne rabilidades y test de intrusin sobre los sistemas que estarn en explotacin o que vayan a suponer la ejecucin del procedimiento documentado de paso a produccin. 0% RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin de intrusiones. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capaci dad de la aplicacin para evitar vulnerabilidades asociadas al escalado de privile gios una vez se produce la intrusin sobre el sistema. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de cross site scripting. Adems, deber con templarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilida des asociadas a cross site scripting. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin o re encaminamiento de proxys o caches, envenenamiento de DNS, etc. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de inyeccin de cdigo. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servi cios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabi lidades asociadas a inyeccin de cdigo malicioso. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de intentos de evitar los mecanismos de identificacin y autenticacin establecidos por la aplicacin. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servi cios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabi lidades asociadas a ataques de fuerza bruta o diccionario sobre los sistemas de autenticacin de la aplicacin. 100 % RESPONSABLETIC 29/06/2012 31/12/2012 83 % 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.s.8 Proteccin frente a la denegacin de servicio Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de informacin que tenga en cuenta las capacidades y nece sidades de ancho de banda para evitar sobrepasar los recursos disponibles.

Pgina 137 de 237

Pgina 138 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 PPTO. 100 % 100 % 39 % 44 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00

Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de denegacin de servicio. Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de denegacin de servicio. mp.info Proteccin de la informacin

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.info.9 Copias de seguridad (backup) Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer con qu periodicidad se verificar que la ejecucin del procedimiento documentado de copia y las pruebas de restauracin funcionan correctamente garantizando as los requisitos de conservacin y disponibilidad de la informacin. Establecer un procedimiento documentado de copias de seguridad y restauracin que especifique quin es responsable de dicha tarea, con qu periodicidad se realiza, qu registros o partes de operacin se generan por cada ejecucin del mismo y garantice la restauracin de la informacin atendiendo a los requisitos de disponibilidad establecidos por los diferentes responsables de cada informa cin. Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer un criterio sobre qu periodicidad se establece sobre cada tipo de copia atendiendo a criterios de conservacin de datos y de disponibilidad. Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer sobre qu entornos se realizarn las copias y con qu granularidad (Datos de sistema, datos de aplicaciones, documentacin) aten diendo a criterios de conservacin de datos y de disponibilidad. 75 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer sobre qu entornos se realizarn las copias y con qu granularidad (Datos de sistema, datos de aplicaciones, documentacin) aten diendo a criterios de conservacin de datos y de disponibilidad. Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer qu criterios se aplicarn para la proteccin de claves de cifrado atendiendo a criterios de conservacin de datos y de disponibili dad. Establecer medidas de control de acceso fsico a las salas de acceso limitado don de se encuentren los soportes de copia de seguridad de forma que quede registro y trazabilidad de cada acceso. El personal deber ser previamente autorizado y las medidas de seguridad evitarn el acceso no autorizado a dichas ubicaciones. Considerar en la elaboracin del procedimiento documentado de copia de seguri dad y restauracin establecer quin ser responsable de autorizar las recupera ciones de datos cuando sea necesario restaurar informacin utilizando los sopor tes de copia de seguridad. Garantizar que los soportes de copia de seguridad y restauracin se encuentran en una ubicacin fsica alternativa suficientemente independiente respecto a la ubicacin donde residen los sistemas de informacin en explotacin como para garantizar que en caso de contingencia en la ubicacin principal no se vea afecta da la ubicacin alternativa. 25 % RESPONSABLETIC 29/06/2012 31/12/2012 33 % 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.info.2 Calificacin de la informacin Definir en la Poltica de seguridad en el apartado relacionado con la estructura cin de la documentacin cuales sern los criterios de clasificacin de documen tos que aplicar la Organizacin. Considerar en la elaboracin del procedimiento documentado de gestin y apro bacin de documentacin establecer un criterio que determine los diferentes flujos de trabajo a emplear segn el nivel de seguridad de la informacin tratada. 0%

Pgina 139 de 237

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 140 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de gestin y apro bacin de documentacin establecer un criterio que determine quin y cundo podr alterar el nivel de seguridad de la informacin tratada una vez que ya ha sido asignado. Establecer un procedimiento documentado de marcado y etiquetado de informa cin y soportes de forma que se determine el criterio para identificar el nivel de seguridad asignado a un soporte y el proceso de marcado y etiquetado a emplear en cada nivel. Definir en la Poltica de seguridad el criterio para asignar dentro del apartado Roles y Funciones de Seguridad de la organizacin cmo se atribuirn las respon sabilidades sobre cada servicio e informacin de la Organizacin. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes establecer un criterio que permi ta a los usuarios mediante inspeccin visual o mediante una consulta a un reposi torio conocer el nivel de proteccin sin revelar o proporcionar informacin que cual es la naturaleza del contenido. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes establecer un criterio sobre cmo podr copiarse o duplicarse cada tipo de informacin segn el nivel de se guridad asociado. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio sobre cmo podrn realizarse cualquier otra actividad de cada tipo de informacin se gn el nivel de seguridad asociado. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio sobre cmo podr enviarse telemticamente cada tipo de informacin segn el nivel de seguridad asociado. 50 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio que con temple los requisitos legales establecidos por la Ley 15/1999 y el R.D. 1720/2007 respecto al marcado y etiquetado de soportes y su correspondiente nivel de segu ridad atendiendo a la naturaleza de los datos de carcter personal almacenados. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio sobre cmo deber almacenarse y custodiarse cada tipo de informacin segn el nivel de seguridad asociado. Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes, establecer un criterio que per mita determinar cules sern las restricciones de control de acceso de cada tipo de informacin segn el nivel de seguridad asociado. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 37 % 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00 0,00

0,00 0,00

mp.info.1 Datos de carcter personal Disponer del Documento de Seguridad de obligada redaccin que establece el artculo 88 del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Proteccin de Datos de Carcter Personal. La Organizacin debe estar adecuada al cumplimiento de la Ley 15/1999 de Pro teccin de Datos de Carcter Personal y al R.D. 1720/2007 de desarrollo de la Ley 15/1999 que establece las medidas de seguridad mnimas que debe garantizar todo sistema de informacin donde sean tratados datos de carcter personal. 25 % 0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.info.6 Limpieza de documentos Tambin podrn incluirse determinadas pautas a seguir por el empleado en do cumento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar para la publicacin de informacin accesible a travs de la Web de la Organizacin.

0%

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Pgina 141 de 237

Pgina 142 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 82 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

75 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 % ACTIVIDADES

RESPONSABLE

29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLE ACTIVIDADES

29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.info.4 Firma electrnica Documentar la normativa de firma electrnica de la Organizacin indicando los usos donde ser empleada, en qu trmites o documentos, qu requisitos tcni cos sern necesarios para el uso de los dispositivos y medios de firma y cules sern los algoritmos criptogrficos acreditados a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NA CIONAL DE SEGURIDAD. Documentar la normativa de firma electrnica cuales sern los mtodos y forma tos a emplear para la firma electrnica en base a las recomendaciones estableci das por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTO LOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verifica cin y validacin de la firma empleada. Documentar la normativa de firma electrnica cuales sern los mtodos y forma tos a emplear para la firma electrnica en base a las recomendaciones estableci das por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTO LOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verifica cin y validacin de la firma empleada. Verificar que los certificados electrnicos y las Entidades de Certificacin con las que se trabaja en procesos de firma electrnica cumplen los requisitos de certifi cado electrnico reconocido segn establece la Ley 59/2003 de Firma electrnica. Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir dispone de las acreditaciones y certifica ciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional para ser considerado dispositivo seguro de creacin de firma segn establece la Ley 59/2003 de Firma electrnica. 100 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

25 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

100 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir disponen de las acreditaciones y certifica ciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional. Establecer un catlogo de documentos o trmites del Organismo que debido a sus requisitos legales o necesidades probatorias en procesos judiciales requieran la garanta de ser una evidencia digital vlida y por tanto, requieran ser firmados electrnicamente. Documentar la normativa de firma electrnica cuales sern los algoritmos cripto grficos acreditados a emplear para la firma electrnica en base a las recomenda ciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD. Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir disponen de las acreditaciones y certifica ciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional. Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir disponen de las acreditaciones y certifica ciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional para ser considerado dispositivo seguro de creacin de firma segn establece la Ley 59/2003 de Firma electrnica. Garantizar que se cuenta con mecanismos de verificacin y validacin de firma electrnica que permita realizar las comprobaciones tcnicas pertinentes sobre la autenticidad e integridad de los documentos firmados. 100 % RESPONSABLE ACTIVIDADES 29/06/2012 31/12/2012

0,00

0,00

Pgina 143 de 237

Pgina 144 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

Documentar la normativa de firma electrnica cuales sern los mtodos y forma tos a emplear para la firma electrnica en base a las recomendaciones estableci das por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTO LOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia al certificado o clave empleado. Documentar la normativa de firma electrnica cuales sern los mtodos y forma tos a emplear para la firma electrnica en base a las recomendaciones estableci das por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTO LOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verifica cin y validacin de la firma empleada. Documentar la normativa de firma electrnica cuales sern los mtodos y forma tos a emplear para la firma electrnica en base a las recomendaciones estableci das por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTO LOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista referencias a los datos de verificacin y validacin de los certificados empleados anexa. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 59 % 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLEIN 50 % FRAESTRUCTU RAS PATRIMONIO 75 % 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012

0,00

0,00

mp.if Proteccin de las instalaciones e infraestructuras

0,00 0,00

0,00 0,00

mp.if.6 Proteccin frente a inundaciones Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de deteccin de fugas de agua o alteracin de las condiciones de humedad que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabricantes del hardware que en ellas se albergue.

0,00

0,00

0,00 0,00

0,00 0,00

mp.if.1 reas separadas y con control de acceso Proteger los equipos y recursos que dan soporte a los sistemas de informacin albergndolos en reas de acceso limitado segn el criterio de clasificacin de las reas fsicas de las instalaciones de la Organizacin.

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Establecer medidas de control de acceso fsico a las salas de acceso limitado don de se encuentren los recursos que dan soporte a los sistemas de informacin de forma que quede registro y trazabilidad de cada acceso. El personal deber ser previamente autorizado y las medidas de seguridad evitarn el acceso no autori zado a dichas ubicaciones. 50 % RESPONSABLETIC 29/06/2012 31/12/2012 75 % RESPONSABLEIN 100 % FRAESTRUCTU RAS PATRIMONIO 50 % RESPONSABLETIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

0,00

0,00

0,00

0,00

mp.if.3 Acondicionamiento de los locales Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de control de temperatura y humedad que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabricantes del hardware que en ellas se albergue. Mejorar las medidas de proteccin en dichas salas si del anlisis de riesgos se derivaran amenazas que requieran otro tipo de dispositivos para mitigar dichos riesgos. Dotar las salas donde se vayan a albergar sistemas de informacin de las canaliza ciones y protecciones necesarias para la proteccin del cableado frente a acciden tes as como realizar labores de inventariado y etiquetado del mismo que permi tan la correspondencia del cableado con lo especificado en los planos. 75 % RESPONSABLETIC 29/06/2012 31/12/2012 50 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLEIN 50 % FRAESTRUCTU RAS PATRIMONIO 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

mp.if.5 Proteccin frente a incendios Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de prevencin de incendios que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabricantes del hardware que en ellas se albergue y establecidas por la normativa de planes de emergencia y evacuacin contra incendios de locales y edificios.

0,00

0,00

Pgina 145 de 237

Pgina 146 de 237

NOMBRE DE LA ACCIN REAL 0,00 PPTO. 25 % RESPONSABLETIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00

mp.if.7 Registro de entrada y salida de equipamiento Establecer controles de entrada y salida de material de las salas de acceso limita do donde se encuentren los recursos que dan soporte a los sistemas de informa cin de forma que quede registro y trazabilidad de cada movimiento de equipa miento. Dichos movimientos debern ser previamente autorizados. El periodo de retencin de estos registros deber garantizar los requisitos de auditora estable cidos por los rganos superiores competentes. 25 % RESPONSABLETIC 29/06/2012 31/12/2012 50 % RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

50 %

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.if.2 Identificacin de las personas Verificar que el registro de control de acceso a salas al menos guarda la fecha y hora del acceso y la persona autorizada a la que corresponde la credencial de acceso utilizada en dicho momento. El periodo de retencin de estos registros deber garantizar los requisitos de auditora establecidos por los rganos supe riores competentes. Considerar en la elaboracin del procedimiento documentado de control de acce so a salas restringidas establecer una actividad para la solicitud, autorizacin y aprobacin de accesos a salas restringidas as como la revisin peridica de los registros de acceso y la revocacin de permisos cuando estos no son ya necesa rios. Establecer un procedimiento documentado de control de acceso a salas restringi das que garantice la identificacin del personal autorizado, el proceso de autori zacin y el nivel de aprobacin que requiere, otorgue credenciales de acceso que permitan el paso o autorice el registro de elementos biomtricos que autentiquen al personal y definan las trazas de auditora que debern conservarse como evi dencia de dichos accesos. 50 % 91 % 100 % RESPONSABLEIN FRAESTRUCTU RAS PATRIMONIO

RESPONSABLETIC 29/06/2012 31/12/2012

0,00

0,00

mp.if.4 Energa elctrica

RESPONSABLETIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012

0,00 0,00

0,00 0,00

Verificar que mantenimiento de la sala revisa peridicamente el correcto funcio namiento de los sistemas de alumbrado de emergencia y de las medidas de de teccin, prevencin y extincin de incendios.

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Dotar a las salas y equipos que dan soporte a los sistemas de informacin de sis temas de alimentacin ininterrumpida (SAI o grupo electrgeno) que garanticen un margen de actividad suficiente para permitir el apagado ordenado de los equi pos que dan soporte a los sistemas de informacin. 100 % RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLEIN 75 % FRAESTRUCTU RAS PATRIMONIO 20 % 12 % 0% 0% 0% 0% RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 29/12/2011 29/06/2012 31/12/2012

0,00

0,00

Dotar a las salas y equipos que dan soporte a los sistemas de informacin de sis temas de alimentacin ininterrumpida (SAI o grupo electrgeno) de forma que los cortes de suministro no generen la cada o apagado inmediato de estos recursos.

0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00 0,00 0,00

Anlisis de Riesgos

Controles y Medidas de Seguridad

Activo: Gestor BBDD

op Marco Operacional

op.exp Explotacin

0%

RESPONSABLETIC 29/06/2012 29/12/2011

0,00

0,00

0%

RESPONSABLETIC 29/06/2012 29/12/2011

0,00

0,00

op.exp.02 Configuracin de Seguridad Establecer un procedimiento documentado de configuracin segura de sistemas y recursos que detalle las actividades previas a la puesta en produccin y garantice la proteccin previa del equipamiento y la deshabilitacin de todas las opciones y servicios que no sern empleados. Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin y deshabi litacin de las cuentas y contraseas por defecto. Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin del cum plimiento de la lista de verificaciones y chequeos que toda nueva instalacin debe garantizar. Para ello, es deseable elaborar un checklist de verificaciones y bastio nado de equipos que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de fortalecimiento de confi guraciones. 0%

Pgina 147 de 237

RESPONSABLETIC 29/06/2012 29/12/2011

0,00

0,00

Pgina 148 de 237

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos que si el usuario decide no aplicar todas las restric ciones y opciones de bastionado sobre el equipo, al menos quede documentado que asume el nivel de riesgo derivado de dicha decisin. 0% RESPONSABLETIC 29/06/2012 29/12/2011 0% RESPONSABLETIC 29/06/2012 29/12/2011

0,00

0,00

0,00

0,00

op.exp.03 Gestin de la configuracin Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equipos en los entornos operativos, cuente con el nivel de autorizacin necesario para poder realizar di chas acciones y contemple procesos de copia de seguridad y protocolos de mar cha atrs en caso de problemas con el cambio que deben ser deshechos. 0% RESPONSABLETIC 29/06/2012 29/12/2011 0% RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

op.exp.09 Registro de la gestin de incidencias Establecer un procedimiento documentado de gestin de incidentes de seguridad que garantice el registro de los eventos que supongan un problema o puedan suponer un problema potencial y que requieran acciones correctoras o acciones de mejora. Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para registrar las actuaciones desarrolladas para la resolucin del incidente y las modificaciones o cambios que se hayan tenido que realizar para solventar el mismo. Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para la valoracin del incidente por si de l pu dieran derivarse acciones judiciales de forma que se recojan aquellos registros y trazas que permitan posteriormente aportar las evidencias digitales que pudieran ser necesarias y relevantes. 0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

NOMBRE DE LA ACCIN REAL PPTO.

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL

Considerar en la elaboracin del procedimiento documentado de gestin de inci dentes establecer una actividad para la valoracin de los incidentes que se van registrando, su categorizacin y problemtica por si de ello pudieran detectarse incrementar las necesidades de auditora o proporcionar ms mecanismos de monitorizacin o trazabilidad que permitan recoger informacin suficiente para reducir o mitigar las problemticas detectadas. 0% RESPONSABLETIC 01/01/2012 31/12/2012 0% RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

0%

RESPONSABLETIC 01/01/2012 31/12/2012

0,00

0,00

op.exp.10 Proteccin de los registros Configurar los permisos de acceso a los registros de auditora y trazabilidad exclu sivamente al personal responsable de su gestin y supervisin, de forma que se garantice que no se producirn accesos no autorizados por parte de personal ajeno a dichas funciones. Configurar los mecanismos de copia de seguridad para salvaguardar los registros de auditora y trazabilidad y poder disponer as de ellos en caso de incidentes. Los requisitos de copia de seguridad debern garantizar el cumplimiento de los perio dos de retencin aprobados por la Organizacin respecto a dichos registros. Elaborar un inventario de los registros de actividad de la Organizacin, donde se especifique qu personal puede acceder a ellos y cul es el periodo de retencin de dichos registros. Debern estimarse las necesidades de almacenamiento que puede generar dicha conservacin y garantizar que han sido tenidas en cuenta en el procedimiento documentado de gestin de la configuracin y cambios como aspectos relacionados con el dimensionamiento de los recursos. Dotar de los mecanismos de sellado de tiempo la informacin relacionada con los registros de actividad de forma que se pueda acreditar su integridad y momento en el tiempo en el que son generados para disponer de evidencias digitales con plena validez jurdica. Determinar el periodo de retencin de cada uno de los tipos de registros que se decidan conservar. 0% RESPONSABLETIC 01/01/2012 31/12/2012

Pgina 149 de 237

0,00

0,00

Pgina 150 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 PPTO. 100 % 100 % 100 % 100 % RESPONSABLETIC 09/07/2012 09/07/2012 RESPONSABLETIC 09/07/2012 09/07/2012 RESPONSABLETIC 09/07/2012 09/07/2012 RESPONSABLETIC 09/07/2012 09/07/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00

Activo: Servidor Correo Electrnico (Software)

op Marco Operacional

op.exp Explotacin

op.exp.04 Mantenimiento Establecer un procedimiento documentado de gestin del mantenimiento hard ware y software que tenga en cuenta todos los aspectos a controlar para garanti zar el correcto funcionamiento y actualizacin de los equipos en los entornos operativos as como la planificacin temporal de dichas tareas. 100 % RESPONSABLETIC 09/07/2012 09/07/2012 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% ALCALDE ALCALDE ALCALDE 29/06/2012 31/12/2012 29/06/2012 31/12/2012 29/06/2012 31/12/2012

0,00

0,00

Transferencia de Riesgos a Terceros

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Cambios en Procesos

Asuncin de Riesgos

Gestin del Conocimiento

RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012 RESPONSABLETIC 29/06/2012 31/12/2012

Documentacin

Desarrollo de Polticas

Uso aceptable del Sistema de Informacin

Desarrollo de Normas

Desarrollo de Procedimientos

Gestin y Control de Documentos

Gestin y Control de Registros

0,00 0,00 0,00 0,00 0,00

0,00 0,00 0,00 0,00 0,00

Auditora Interna

Acciones Correctivas

Acciones Preventivas

Desarrollo de Instrucciones Tcnicas

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 29/06/2012 31/12/2012 29/06/2012 31/12/2012 RRHH RESPONSABLE 0% 0% RRHH RESPONSABLE RRHH 29/06/2012 31/12/2012 29/06/2012 31/12/2012 0,00 0,00 0,00 0,00 PPTO. 0% 0% 0% 0% 0% RRHH RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE RRHH RESPONSABLE 29/06/2012 31/12/2012 29/06/2012 31/12/2012 29/06/2012 31/12/2012 29/06/2012 31/12/2012 0% 0% 0% 0% 0% 0% RESPONSABLE 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Realizacin de Copias de Seguridad

Restauracin de Copias de Seguridad

Registros

Definicin de Registros

Funciones y Obligaciones

Definicin de Roles

Determinacin de Habilidades por Rol

Identificacin de Personas

Asignacin de Roles a Personas

Formacin

Determinacin de necesidades de Formacin individuales

Elaboracin de Planes de Formacin

Pgina 151 de 237

Ejecucin y evaluacin de Acciones Formativas

Pgina 152 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 0% 0% 0% 0% RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 0,00 0,00 0,00 0,00 0,00 0,00 PPTO. 0% RRHH RESPONSABLE RRHH RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 RESPONSABLE TIC 29/06/2012 31/12/2012 29/06/2012 31/12/2012 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% RESPONSABLE 29/06/2012 31/12/2012

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Concienciacin

Definir las acciones de concienciacin

Gestin de Incidentes

Notificacin de Incidentes

Registro de Incidentes

Anlisis de Causa Raz

Generacin de Acciones Correctivas y Preventivas

Anlisis por tendencias para su reduccin

Gestin del Rendimiento

Definicin de Objetivos

Objetivos globales

Objetivos de rea

Definicin de mtricas

Definicin de variables

Definicin de mtricas

Asociacin a objetivos

Formulacin y variables vinculadas

CHECK

Gestin de Auditora y Cumplimiento

Auditoras

Programa de Auditoras

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 ALCALDE 0% 0% 0% 0% 0% 29/06/2012 29/06/2012 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 0,00 0,00 0,00 0,00 0,00 0,00 PPTO. 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 29/06/2012 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013 RESPONSABLE TIC 29/06/2012 30/06/2013

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00

Realizacin de Auditoras

Plan de Auditora

Ejecucin de la Auditora

Informe de Auditora

Seguimiento de No Conformidades y Recomendaciones

Controles Peridicos

Programa de Controles Peridicos

Ejecucin de Controles Peridicos

Registros

Actividad de usuarios

Incidencias

Otros registros

Evaluacin de terceros

Gestin del Riesgo

Implantacin efectiva de las opciones de Tratamiento

Gestin del Conocimiento

Efectividad de las Acciones Formativas

Revisin por Direccin

Gestin de Incidentes

Anlisis de Tendencias

Gestin del Rendimiento

Anlisis de Indicadores y Mtricas

Pgina 153 de 237

Seguimiento de Objetivos

Pgina 154 de 237

NOMBRE DE LA ACCIN REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00 PPTO. 0% 0% 0% 0% 0% 0% 0% RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013 RESPONSABLE TIC 29/06/2012 31/12/2013

ESTADO

RESPONSABLE

FECHA PREVISTA

FECHA

IMPORTE

IMPORTE REAL 0,00 0,00 0,00 0,00 0,00 0,00 0,00

ACT

Acciones Correctivas

Derivadas de Incidentes

Acciones Preventivas

Acciones de mantenimiento

Acciones de mejora

Derivadas de Revisiones por Direccin

10. ANEXO
Detalle de medidas de seguridad establecidas en anexo ii ENS.
El presente Anexo recopila el grado de implantacin de las medidas de seguridad de nivel bsico y medio incluidas en el Anexo II del Esquema Nacional de Seguridad, as como la gua de verificacin del cumpli miento de dichos controles, recogida en el documento CCN STIC 808.

mp MEDIDAS DE PROTECCIN mp.com PROTECCIN DE LAS COMUNICACIONES * mp.com.1 PERMETRO SEGURO

.

Implementada mp.com.1.1 1. Dispone de cortafuegos que separe la red interna del exterior? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuracio Tipo Tarea Configuracin tcnica Subproyecto nes en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una red separada del exterior mediante cortafuegos Dispone de un permetro concreto, delimitado y acotado Todo el trfico pasa por el cortafuegos Slo se permite el trfico que ha sido previamente autorizado Ver el firewall Esquema de red Hallazgo Se dispone de Firewall. Tarea a generar Dotar la arquitectura de red de la Organizacin de equipos cortafuegos para garantizar la proteccin perimetral y el filtrado de las comunicaciones en las conexiones de la Organizacin con el exterior.

* mp.com.2 PROTECCIN DE LA CONFIDENCIALIDAD

.

mp.com.2.1 1. Se emplean redes privadas virtuales cuando la comunicacin discurre por redes fuera del propio dominio de seguridad? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuracio Tipo Tarea Configuracin tcnica Subproyecto nes en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de VPN con mtodos criptogrficos Dispone de un inventario de conexiones Hallazgo Las comunicaciones con el exterior no se realizan a travs de VPN en todos los casos. Tarea a generar Configurar los mecanismos de cifrado de comunicaciones y establecimiento de redes privadas virtuales en las Implementada

Pgina 155 de 237

conexiones de la Organizacin con el exterior o con terceras partes fuera de su control. Implementada mp.com.2.2 1.1. Emplean algoritmos acreditados por el CCN? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuracio Tipo Tarea Comprobacin tcnica insitu Subproyecto nes en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Utiliza algoritmos criptogrficos acreditados por el CCN Tarea a generar Verificar que las caractersticas tcnicas del equipamiento de comunicaciones a adquirir disponen de las acredi taciones y certificaciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional.

* mp.com.3 PROTECCIN DE LA AUTENTICIDAD Y DE LA INTEGRIDAD

.

mp.com.3.1 1. Se asegura la autenticidad del otro extremo de un canal de comunicacin antes de intercambiar informacin alguna? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un mecanismo que garantice las garantas exigidas No se revela datos de identificacin y autenticacin a una tercera parte Dispone de mecanismo de un solo uso (one time) Tarea a generar Configurar los mecanismos de autenticacin de equipos de comunicaciones que permitan garantizar la autenti cidad de los extremos de la conexin previos al proceso de cifrado de comunicaciones y establecimiento de redes privadas virtuales utilizando los algoritmos criptogrficos que se haya establecido en la normativa de gestin de claves criptogrficas de la Organizacin. Implementada
.

mp.com.3.2 2. Se previenen ataques activos (alteracin de la informacin en trnsito, in yeccin de informacin espuria o secuestro de la sesin por una tercera parte), garantizando Implementada que al menos sern detectados, y se activarn los procedimientos previstos de tratamiento del incidente? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una VPN Tarea a generar Dotar preferentemente la arquitectura de red de la Organizacin de equipos que permitan la creacin de redes privadas virtuales VPN para garantizar la confidencialidad de las comunicaciones en las conexiones de la Orga nizacin con el exterior.
.

mp.com.3.3 3. Se emplean redes privadas virtuales cuando la comunicacin discurre por redes fuera del propio dominio de seguridad? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Implementada

Pgina 156 de 237

Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de VPN con mtodos criptogrficos Dispone de un inventario de conexiones Tarea a generar Configurar los mecanismos de cifrado de comunicaciones y establecimiento de redes privadas virtuales utilizan do los algoritmos criptogrficos que se haya establecido en la normativa de gestin de claves criptogrficas de la Organizacin.
.

Implementada mp.com.3.4 3.1. Emplean algoritmos acreditados por el CCN? Estado 75% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Elaboracin de documentacin Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Utiliza algoritmos criptogrficos acreditados por el CCN Tarea a generar Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acredi tados a emplear en la proteccin de las comunicaciones en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NA CIONAL DE SEGURIDAD.

mp.eq PROTECCIN DE LOS EQUIPOS * mp.eq.1 PUESTO DE TRABAJO DESPEJADO

.

mp.eq.1.1 1. Se exige que los puestos de trabajo permanezcan despejados, sin ms mate Implementada rial encima de la mesa que el requerido para la actividad que se est realizando en cada mo mento? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de una poltica o normativa documentada que indica que los puestos de trabajo deben permanecer despejados, sin ms material encima de la mesa que el requerido para la actividad que se est realizando en cada momento. Dispone de un procedimiento disciplinario documentado asociado a su incumplimiento. Obser var si se cumple Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de infor macin de la Organizacin" un apartado donde se indique cuales son las medidas de seguridad a aplicar al pues to de trabajo y las necesidades de "puesto despejado" solicitando al empleado que guarde en armarios o cajo nes toda aquella documentacin que no vaya a utilizar y donde se especifiquen cuales son las responsabilidades del personal con respecto al cumplimiento o violacin de estas normas de acuerdo con la legislacin vigente. mp.eq.1.2 2. Se guarda este material de nivel medio en lugar cerrado cuando no se est utilizando? Estado 25% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Implementada

Pgina 157 de 237

Dicha poltica o normativa indica que el material de nivel medio se guardar en lugar cerrado cuando no se est utilizando. Observar si los usuarios disponen de lugares donde guardar bajo llave este material Tarea a generar Dotar las salas donde se vayan a almacenar equipos de las medidas de control de acceso (Cerradura o cualquier otro sistema de bloqueo de acceso) que sean necesarias para garantizar su proteccin frente al robo, prdida o extravo.

* mp.eq.2 BLOQUEO DE PUESTO DE TRABAJO

.

mp.eq.2.1 1. El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactivi dad, requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso? Estado 75% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 28/06/2012 31/12/2012 Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una poltica o normativa documentada que define el periodo de inactividad tras el cual se bloquea automticamente el puesto de trabajo Tarea a generar Configurar los mecanismos de identificacin y autenticacin para que bloquee las sesiones iniciadas activando el protector de pantalla y solicitando de nuevo la contrasea tras un periodo de inactividad segn la duracin que se haya establecido en la normativa de control de acceso. Implementada mp.eq.2.2 1. El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactivi dad, requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 28/06/2012 31/12/2012 Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una poltica o normativa documentada que define el periodo de inactividad tras el cual se bloquea automticamente el puesto de trabajo Tarea a generar Especificar en la normativa de control de acceso cuales sern los plazos mximos de caducidad de las sesiones abiertas por el usuario de forma que se produzca la desconexin de la sesin requiriendo de nuevo el acceso autenticado del empleado que se ausenta. Implementada

* mp.eq.3 PROTECCIN DE EQUIPOS PORTTILES

.

mp.eq.3.1 1. Son protegidos adecuadamente los equipos que abandonen las instalaciones Implementada de la organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o robo? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento que especifica las medidas de seguridad que deben cumplir estos equipos Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Configurar los mecanismos de identificacin y autenticacin de equipos porttiles que impidan el acceso no autorizado por parte de terceros en caso de prdida, extravo o robo de estos equipos.

Pgina 158 de 237

mp.eq.3.2 1.1. Se lleva un inventario de los mismos junto con una identificacin de la per sona responsable del mismo? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un inventario con la identificacin Responsable Porttil Tarea a generar Establecer en el procedimiento documentado de entrega de equipos porttiles la revisin peridica del mismo para garantizar que en todo momento se dispone de informacin donde se indique el equipo, fecha en que se entrega al empleado, fecha de entrega a la Organizacin y quien es su destinatario. Implementada
.

Implementada mp.eq.3.3 1.2. Se lleva un control regular de que est positivamente bajo su control? Estado 75% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Cada persona tiene en su posesin el porttil asignado Tarea a generar Establecer un procedimiento documentado de entrega de equipos porttiles a empleados de sistemas de in formacin donde se garantice la entrega de las "Normas de uso de los sistemas de informacin" de forma que se informe al usuario cules son sus obligaciones respecto a la custodia y proteccin de este tipo de equipos y se registre en el inventario de entregas en qu momento se asigna y quien es su destinatario. mp.eq.3.4 1.3. Se ha establecido un canal de comunicacin para informar, al servicio de gestin de incidencias, de prdidas o sustracciones? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento para poner incidencias por prdidas o sustracciones de porttiles Existe alguna incidencia de prdida de porttiles Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de infor macin de la Organizacin" un apartado donde se indique cmo notificar la prdida, robo o extravo de los equipos porttiles utilizando el procedimiento documentado de notificacin de incidencias establecido por la Organizacin. Implementada
.

mp.eq.3.5 1.4. Se ha establecido un sistema de proteccin perimetral que minimice la visibilidad exterior y minimice las opciones de acceso al interior? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento documentado para proteccin de las conexiones de red Tarea a generar Implementada

Pgina 159 de 237

Configurar los mecanismos de identificacin y autenticacin de equipos porttiles en los accesos remotos que puedan producirse desde fuera de la Organizacin (Basados en la autenticacin del equipo o del usuario) de forma que pueda garantizar la legitimidad de las conexiones desde ese equipo mvil. Estos mecanismos estarn vinculados a los medios elegidos para el establecimiento de redes privadas virtuales (VPN).
.

mp.eq.3.6 1.5. Se evita, en la medida de lo posible, que el equipo contenga claves de acce so remoto a la organizacin? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de poltica o normativa documentada que prohbe que los equipos porttiles contengan claves de acceso remoto a la organizacin Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Contemplar en la redaccin del documento escrito que formalice las "Normas de uso de los sistemas de infor macin de la Organizacin" un apartado donde se indique cuales son las medidas de seguridad a aplicar sobre equipos porttiles solicitando al empleado que guarde claves de acceso remoto que permitan el acceso a la Organizacin y donde se especifiquen cuales son las responsabilidades del personal con respecto al cumpli miento o violacin de estas normas de acuerdo con la legislacin vigente. Implementada

* mp.eq.9 MEDIOS ALTERNATIVOS

.

mp.eq.9.1 1. Est garantizada la existencia y disponibilidad de medios alternativos de tra tamiento de la informacin en caso de indisponibilidad de los medios habituales? Estado 50% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento documentado que identifica los medios alternativos en caso de indisponibilidad de los habituales Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Definir las caractersticas de los equipos de trabajo que seran necesarios utilizar en caso de contingencia, su nmero mnimo y cmo stos garantizan la continuidad de servicios u operaciones de la Organizacin a lo largo del proceso de ejecucin del Plan de Continuidad de Negocio. Implementada
.

Implementada mp.eq.9.2 1.1. Estn sometidos a las mismas garantas de seguridad que los habituales? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Los medios alternativos tienen las mismas garantas de seguridad que los habituales Tarea a generar Verificar que los equipos y sistemas alternativos a utilizar en caso de fallo de los sistemas y equipos crticos proporcionaran caractersticas similares de forma que garantice la normalidad de servicios u operaciones de la Organizacin.
.

Implementada

mp.eq.9.3 1.2. Se ha establecido un tiempo mximo para que los equipos alternativos entren en funcionamiento?

Pgina 160 de 237

Estado 0% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se tiene un tiempo mximo especifico para recuperar los medios habituales Se encuentra aprobado por su responsable Tarea a generar Definir los requisitos de recuperacin y el plazo mximo disponible (RTO, Return Time Objective) que seran necesarios utilizar en caso de contingencia, para la puesta en marcha de los equipos de usuario y servidores necesarios para garantizar la continuidad de servicios u operaciones de la Organizacin a lo largo del proceso de ejecucin del Plan de Continuidad de Negocio.

mp.if PROTECCIN DE LAS INSTALACIONES E INFRAESTRUCTURAS * mp.if.1 REAS SEPARADAS Y CON CONTROL DE ACCESO
.

mp.if.1.1 1. El equipamiento ha sido instalado en reas separadas especficas para su fun cin? Estado 100% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un inventario con las salas del organismo Existe un inventario de equipos existentes Existe poltica o normativa documentada al respecto donde se relaciona equipos y salas Tarea a generar Proteger los equipos y recursos que dan soporte a los sistemas de informacin albergndolos en reas de acce so limitado segn el criterio de clasificacin de las reas fsicas de las instalaciones de la Organizacin. Implementada
.

Implementada mp.if.1.2 1.2. Se controlan los accesos? Estado 50% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un documento con los registros de acceso al CPD Existe una relacin de los perfiles que tienen acceso a las reas especificadas Dispone de cmaras de vigilancia Dispone de cerradura electrnica Existe un procedimiento de acceso Tarea a generar Establecer medidas de control de acceso fsico a las salas de acceso limitado donde se encuentren los recursos que dan soporte a los sistemas de informacin de forma que quede registro y trazabilidad de cada acceso. El personal deber ser previamente autorizado y las medidas de seguridad evitarn el acceso no autorizado a dichas ubicaciones.

* mp.if.2 IDENTIFICACIN DE LAS PERSONAS

.

Implementada Estado Tipo Tarea

mp.if.2.1 1. El control de acceso a los locales donde hay equipamiento que forme parte del sistema de informacin se encuentra gestionado? 50% Prioridad Media Elaboracin de documentacin Subproyecto [PFI] Proteccin fsica de infraestructuras

Pgina 161 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se establece por cada sala las segregacin de funciones para la gestin del control de acceso Se establece funciones de autorizacin, ejecucin y registro Estos privilegios no recaen sobre al menos dos personas diferentes Existe un listado de personas autorizadas Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de control de acceso a salas restringidas que garantice la identifica cin del personal autorizado, el proceso de autorizacin y el nivel de aprobacin que requiere, otorgue creden ciales de acceso que permitan el paso o autorice el registro de elementos biomtricos que autentiquen al per sonal y definan las trazas de auditora que debern conservarse como evidencia de dichos accesos.
.

Implementada mp.if.2.2 1.1. Se identifican a todas las personas que accedan a estos locales? Estado 50% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se identifica a cada persona que accede a estos locales Se encuentra documentado cmo se hace esta identificacin Tarea a generar Considerar en la elaboracin del procedimiento documentado de control de acceso a salas restringidas estable cer una actividad para la solicitud, autorizacin y aprobacin de accesos a salas restringidas as como la revisin peridica de los registros de acceso y la revocacin de permisos cuando estos no son ya necesarios. Implementada mp.if.2.3 1.2. Se registran las entradas y salidas de personas? Estado 50% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe Documento de Seguridad Existe Registro de accesos Se refleja en el registro persona, fecha y hora inequvocamente Tarea a generar Verificar que el registro de control de acceso a salas al menos guarda la fecha y hora del acceso y la persona autorizada a la que corresponde la credencial de acceso utilizada en dicho momento. El periodo de retencin de estos registros deber garantizar los requisitos de auditora establecidos por la Direccin.

* mp.if.3 ACONDICIONAMIENTO DE LOS LOCALES

.

mp.if.3.1 1. Los locales donde se ubican los sistemas de informacin y sus componentes disponen de las adecuadas condiciones de temperatura y humedad? Estado 100% Prioridad Media Tipo Tarea Proyecto tcnico Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE INFRAESTRUCTURAS PATRIMONIO (Organizacin) Evidencia Existen equipos de aire acondicionado Existen medidores de humedad Existe un procedimiento donde se reflejan los mrgenes especificados por el fabricante de los equipos Implementada

Pgina 162 de 237

Tarea a generar Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de control de temperatura y humedad que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabricantes del hardware que en ellas se albergue.
.

mp.if.3.2 1.1. Cuentan con proteccin frente a las amenazas identificadas en el anlisis de riesgos? Estado 50% Prioridad Media Tipo Tarea Proyecto tcnico Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se ha realizado un anlisis de riesgos del local No existe material inflamable o que pueda ser causa de otros incidentes Existen extintores Existen detectores de humos Hallazgo Pendiente realizar auditora/anlisis de riesgos del CPD. Tarea a generar Mejorar las medidas de proteccin en dichas salas si del anlisis de riesgos se derivaran amenazas que requie ran otro tipo de dispositivos para mitigar dichos riesgos. Implementada
.

mp.if.3.3 1.2. Cuentan con proteccin del cableado frente a incidentes fortuitos o delibe rados? Estado 75% Prioridad Media Tipo Tarea Proyecto tcnico Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia El cableado est etiquetado e inventariado Hallazgo Pendiente de reorganizar y reestructurar el cableado del CPD. Tarea a generar Dotar las salas donde se vayan a albergar sistemas de informacin de las canalizaciones y protecciones necesa rias para la proteccin del cableado frente a accidentes as como realizar labores de inventariado y etiquetado del mismo que permitan la correspondencia del cableado con lo especificado en los planos. Implementada

* mp.if.4 ENERGA ELCTRICA

.

Implementada mp.if.4.1 1. Se garantiza el suministro de potencia elctrica? Estado 75% Prioridad Media Tipo Tarea Proyecto tcnico Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE INFRAESTRUCTURAS PATRIMONIO (Organizacin) Evidencia Dispone de un sistema de alimentacin ininterrumpida o de un generador propio Tarea a generar Dotar a las salas y equipos que dan soporte a los sistemas de informacin de sistemas de alimentacin ininte rrumpida (SAI o grupo electrgeno) de forma que los cortes de suministro no generen la cada o apagado inme diato de estos recursos.
.

Implementada Estado Tipo Tarea Fecha Prevista Responsable

mp.if.4.2 2. Se garantiza el correcto funcionamiento de las luces de emergencia? 100% Prioridad Media Revisin de registros Subproyecto [PFI] Proteccin fsica de infraestructuras 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE INFRAESTRUCTURAS PATRIMONIO (Organizacin)

Pgina 163 de 237

Evidencia Registro o parte de mantenimiento Tarea a generar Verificar que mantenimiento de la sala revisa peridicamente el correcto funcionamiento de los sistemas de alumbrado de emergencia y de las medidas de deteccin, prevencin y extincin de incendios. mp.if.4.3 3. Se garantiza el suministro de potencia elctrica en caso de fallo del suministro Implementada general, garantizando el tiempo suficiente para una terminacin ordenada de los procesos, salvaguardando la informacin? Estado 100% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un sistema de alimentacin ininterrumpida o un grupo electrgeno Tiempo de autonoma (SAI's, Grupo electrgenos) Tarea a generar Dotar a las salas y equipos que dan soporte a los sistemas de informacin de sistemas de alimentacin ininte rrumpida (SAI o grupo electrgeno) que garanticen un margen de actividad suficiente para permitir el apagado ordenado de los equipos que dan soporte a los sistemas de informacin.

* mp.if.5 PROTECCIN FRENTE A INCENDIOS

.

mp.if.5.1 1. Se protegen los locales donde se ubiquen los sistemas de informacin y sus componentes frente a incendios fortuitos o deliberados? Estado 50% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE INFRAESTRUCTURAS PATRIMONIO (Organizacin) Evidencia Normativa o poltica documentada Existen carteles de evacuacin Existen extintores No hay materiales inflamables Tarea a generar Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de prevencin de incendios que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabrican tes del hardware que en ellas se albergue y establecidas por las normativas de planes de emergencia y evacua cin contra incendios de locales y edificios. Implementada

* mp.if.6 PROTECCIN FRENTE A INUNDACIONES

.

mp.if.6.1 1. Se protegen los locales donde se ubiquen los sistemas de informacin y sus componentes frente a incidentes fortuitos o deliberados causados por el agua? Estado 50% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE INFRAESTRUCTURAS PATRIMONIO (Organizacin) Evidencia No existen tuberas que recorran el CPD Existen sumideros de agua en el CPD El CPD no se encuentra en una zona propensa a inundaciones o dispone de bombas de achique Hallazgo No se han instalado detectores de agua en falso suelo. Implementada

Pgina 164 de 237

Tarea a generar Dotar las salas donde se vayan a albergar sistemas de informacin de las medidas de deteccin de fugas de agua o alteracin de las condiciones de humedad que sean necesarias para garantizar las condiciones tcnicas y medioambientales especificadas por los fabricantes del hardware que en ellas se albergue.

* mp.if.7 REGISTRO DE ENTRADA Y SALIDA DE EQUIPAMIENTO

.

mp.if.7.1 1. Se lleva un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificacin de la persona que autoriza el movimiento? Estado 25% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un registro de entrada y salida Existe una relacin de equipamiento que debe registrarse Est establecida la segregacin de funciones: autorizacin, ejecucin y registro Son llevadas al menos por dos personas diferentes Tarea a generar Establecer controles de entrada y salida de material de las salas de acceso limitado donde se encuentren los recursos que dan soporte a los sistemas de informacin de forma que quede registro y trazabilidad de cada movimiento de equipamiento. Dichos movimientos debern ser previamente autorizados. El periodo de reten cin de estos registros deber garantizar los requisitos de auditora establecidos por la Direccin. Implementada

mp.info PROTECCIN DE LA INFORMACIN * mp.info.1 DATOS DE CARCTER PERSONAL

.

Implementada mp.info.1.1 1. Se ha identificado si el sistema trata datos de carcter personal? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un documento de seguridad que cumple con lo establecido en el Real Decreto 1720 Hallazgo Se dispone de documento de seguridad, pero no se encuentra actualizado. Tarea a generar Disponer del Documento de Seguridad de obligada redaccin que establece el artculo 88 del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Proteccin de Datos de Carcter Personal.
.

Implementada mp.info.1.2 2. En caso de tratar datos de carcter personal se aplica la normativa vigente? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de ficheros con datos de carcter personal en un boletn oficial Dispone de ficheros inscritos en la Agencia Espaola de Proteccin de Datos Existe un documento de seguridad que cumple con lo establecido en el Real Decreto 1720 Se aplican las medidas descritas en el documento de seguridad Hallazgo El Ayuntamiento se encuentra pendiente de adecuacin al Reglamento RD 1720/2007.

Pgina 165 de 237

Tarea a generar La Organizacin debe estar adecuada al cumplimiento de la Ley 15/1999 de Proteccin de Datos de Carcter Personal y al R.D. 1720/2007 de desarrollo de la Ley 15/1999 que establece las medidas de seguridad mnimas que debe garantizar todo sistema de informacin donde sean tratados datos de carcter personal.

* mp.info.2 CALIFICACIN DE LA INFORMACIN

.

mp.info.2.1 1. Se califica la informacin conforme a lo establecido legalmente sobre la naturaleza de la misma? Estado 50% Prioridad Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un esquema formal de clasificacin del a informacin Es coherente con otros sistemas de clasificacin propios del entorno en el que se desarrolla La informacin impresa o disponible en las aplicaciones recogen su calificacin Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio que contemple los requisitos legales establecidos por la Ley 15/1999 y el R.D. 1720/2007 respecto al marcado y etiquetado de soportes y su correspondiente nivel de seguridad aten diendo a la naturaleza de los datos de carcter personal almacenados. Implementada mp.info.2.2 2. Establece la poltica de seguridad quin es el responsable de cada informa cin manejada por el sistema? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una poltica de seguridad que especifica quin es el responsable de cada informacin manejada por el sistema Hallazgo Se cumplir cuando se revise y apruebe la poltica de seguridad. Tarea a generar Definir en la Poltica de seguridad el criterio para asignar dentro del apartado Roles y Funciones de Seguridad de la organizacin cmo se atribuirn las responsabilidades sobre cada servicio e informacin de la Organizacin. Implementada
.

mp.info.2.3 3. Recoge la poltica de seguridad, directa o indirectamente, los criterios que en la organizacin determinan el nivel de seguridad requerido? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dicha poltica recoge los criterios que en la organizacin determinan el nivel de seguridad requerido Tarea a generar Definir en la Poltica de seguridad en el apartado relacionado con la estructuracin de la documentacin cuales sern los criterios de clasificacin de documentos que aplicar la Organizacin. Implementada Implementada mp.info.2.4 4. El responsable de cada informacin sigue los criterios determinados en la

Pgina 166 de 237

poltica de seguridad para asignar a cada informacin el nivel de seguridad requerido y es responsable de su documentacin y aprobacin formal? Estado 0% Prioridad Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un responsable de cada informacin Existe una asignacin del nivel de seguridad requerido segn el tipo de informacin Dicho criterio de asignacin se encuentra en la poltica de seguridad Se elabora documentacin y aprobacin formal al respecto Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin y aprobacin de documentacin establecer un criterio que determine los diferentes flujos de trabajo a emplear segn el nivel de seguridad de la informacin tratada.
.

mp.info.2.5 5. El responsable de cada informacin en cada momento tiene en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a la poltica de seguridad? Estado 0% Prioridad Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Solo el Responsable de la Informacin tiene potestad de modificar el nivel de seguridad Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin y aprobacin de documentacin, establecer un criterio que determine quin y cundo podr alterar el nivel de seguridad de la informacin tra tada una vez que ya ha sido asignado. Implementada
.

mp.info.2.6 6. Existen procedimientos que describan en detalle la forma en que se ha de etiquetar y tratar la informacin? Estado 50% Prioridad Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento de etiquetado y tratamiento de la informacin Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de marcado y etiquetado de informacin y soportes de forma que se determine el criterio para identificar el nivel de seguridad asignado a un soporte y el proceso de marcado y etiquetado a emplear en cada nivel. Implementada Implementada mp.info.2.7 6.1. Contempla su control de acceso? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [op.acc] Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor

Pgina 167 de 237

macin y soportes, establecer un criterio que permita determinar cules sern las restricciones de control de acceso de cada tipo de informacin segn el nivel de seguridad asociado. Implementada mp.info.2.8 6.2. Contempla su almacenamiento? Estado 50% Prioridad Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.si.3] Dispone de un inventario de todos los soportes de informacin en uso Etiqueta Contenido Actual Ubicacin Fsica Responsable Ver [mp.if.1] Existe un inventario con las salas del organismo Existe un inventario de equipos existentes Existe poltica o normativa documentada al respecto donde se relaciona equipos y salas Existe un documento con los registros de acceso al CPD Existe una relacin de los perfiles que tienen acceso a las reas especificadas Dispone de cmaras de vigilancia Dispone de cerradura electrnica Existe un procedimiento de acceso Ver [mp.if.7] Existe un registro de entrada y salida Existe una relacin de equipamiento que debe registrarse Est establecida la segregacin de funciones: autorizacin, ejecucin y registro Son llevadas al menos por dos personas diferentes Existen equipos de aire acondicionado Existen medidores de humedad Existe un procedimiento donde se reflejan los mrgenes especificados por el fabricante de los equipos Ver [mp.si.2] Existe un criterio que relaciona tipo de informacin con tipo de proteccin criptogrfica Utiliza algoritmos criptogrficos acreditados por el CCN Se utilizan productos certificados Si no utilizan productos certificados se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio sobre cmo deber almacenarse y custodiarse cada tipo de informa cin segn el nivel de seguridad asociado.
.

Implementada mp.info.2.9 6.3. Contempla la realizacin de copias? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.info.9] Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio sobre cmo podr copiarse o duplicarse cada tipo de informacin segn el nivel de seguridad asociado. Implementada mp.info.2.10 6.4. Contempla el etiquetado de soportes?

Pgina 168 de 237

Estado

Media [GSA] Gestin de soportes de almacena Tipo Tarea Elaboracin de documentacin Subproyecto miento Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.si.1] Existe un procedimiento para etiquetar todos los soportes No se conoce el contenido de un soporte por su etiquetado a priori Dispone de una clasificacin de forma no comprensible por alguien ajeno al sistema Los usuarios conocen y aplican los procedimientos asociados a cada nivel de informacin Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio que permita a los usuarios mediante inspeccin visual o mediante una consulta a un repositorio conocer el nivel de proteccin sin revelar o proporcionar informacin que cual es la naturaleza del contenido.
.

50%

Prioridad

Implementada mp.info.2.11 6.5. Contempla su transmisin telemtica? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.com] Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio sobre cmo podr enviarse telemticamente cada tipo de informa cin segn el nivel de seguridad asociado. Implementada mp.info.2.12 6.6. Y contempla cualquier otra actividad relacionada con dicha informacin? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe otra actividad relacionada con la informacin que realiza la organizacin no contemplada Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio sobre cmo podrn realizarse cualquier otra actividad de cada tipo de informacin segn el nivel de seguridad asociado.

* mp.info.4 FIRMA ELECTRNICA

.

mp.info.4.1 1. Dispone de una Poltica de Firma Electrnica aprobada por el rgano supe rior competente que corresponda? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una Poltica de Firma Electrnica Esta poltica se encuentra aprobada Ver [op.exp.11] Implementada

Pgina 169 de 237

Tarea a generar Documentar la normativa de firma electrnica de la Organizacin indicando los usos donde ser empleada, en qu trmites o documentos, qu requisitos tcnicos sern necesarios para el uso de los dispositivos y medios de firma y cules sern los algoritmos criptogrficos acreditados a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLO GA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD.
.

mp.info.4.2 2. Se firman electrnicamente los documentos que requieren capacidad pro batoria segn la ley de procedimiento administrativo? Estado 25% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Comprobar que los documentos que requieren capacidad probatoria se encuentran firmados electrnicamen te Tarea a generar Establecer un catlogo de documentos o trmites del Organismo que debido a sus requisitos legales o necesi dades probatorias en procesos judiciales requieran la garanta de ser una evidencia digital vlida y por tanto, requieran ser firmados electrnicamente. Implementada
.

Implementada mp.info.4.3 3. Se emplean algoritmos acreditados por el CCN? Estado 100% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Utiliza algoritmos criptogrficos acreditados por el CCN Tarea a generar Documentar la normativa de firma electrnica cuales sern los algoritmos criptogrficos acreditados a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a tra vs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD.
.

Implementada mp.info.4.4 4. Se emplean preferentemente certificados reconocidos? Estado 100% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se utilizan certificados reconocidos Si no utilizan certificados reconocidos, estos se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir disponen de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones estable cidas por el Centro Criptolgico Nacional.
.

Implementada mp.info.4.5 5. Se emplean preferentemente dispositivos seguros de firma? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se utilizan dispositivos seguros de firma Si no utilizan dispositivos seguros de firma, estos se tienen que encontrar debidamente acreditados y aproba dos por el responsable

Pgina 170 de 237

Tarea a generar Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir dispone de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones estableci das por el Centro Criptolgico Nacional para ser considerado dispositivo seguro de creacin de firma segn establece la Ley 59/2003 de Firma electrnica.
.

mp.info.4.6 6. Se garantiza la verificacin y validacin de la firma electrnica durante el tiempo requerido por la actividad administrativa que aquella soporte, sin perjuicio de que se Implementada pueda ampliar ese periodo de acuerdo con lo que establezca la poltica de firma electrnica y de certificados que sea de aplicacin? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable ENTIDAD CERTIFICADORA (Tercero) Evidencia Comprobar que los documentos que se encuentren firmados electrnicamente poseen una firma electrnica valida Tarea a generar Garantizar que se cuenta con mecanismos de verificacin y validacin de firma electrnica que permita realizar las comprobaciones tcnicas pertinentes sobre la autenticidad e integridad de los documentos firmados.
.

Implementada mp.info.4.7 6.1. Se adjunta a la firma, o se referencia, el certificado? Estado 50% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Visualizar un documento firmado Tarea a generar Documentar la normativa de firma electrnica cuales sern los mtodos y formatos a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia al certificado o clave empleado.
.

mp.info.4.8 6.2. Se adjunta a la firma, o se referencia, los datos de verificacin y valida cin? Estado 50% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Visualizar un documento firmado Tarea a generar Documentar la normativa de firma electrnica cuales sern los mtodos y formatos a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verificacin y validacin de la firma empleada. Implementada
.

mp.info.4.9 6.3. Se protegen la firma, el certificado y los datos de verificacin y validacin con un sello de tiempo? Estado 50% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de sello de tiempo Implementada

Pgina 171 de 237

Tarea a generar Documentar la normativa de firma electrnica cuales sern los mtodos y formatos a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista referencias a los datos de verificacin y validacin de los certificados emplea dos anexa. mp.info.4.10 6.4. Verifica y valida el organismo que recaba documentos firmados la firma Implementada recibida en el momento de la recepcin, anexando o referenciando sin ambigedad el certifi cado, los datos de verificacin y validacin, y el sello de tiempo? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable ENTIDAD CERTIFICADORA (Tercero) Evidencia Comprobar firma recibida Comprobar el certificado anexado Comprobar datos de verificacin y validacin Comprobar el sello de tiempo Hallazgo Dependencia de entidad certificadora. Tarea a generar Documentar la normativa de firma electrnica cuales sern los mtodos y formatos a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verificacin y validacin de la firma empleada.
.

mp.info.4.11 6.5. La firma electrnica de documentos por parte de la Administracin anexa Implementada o referencia sin ambigedad el certificado, los datos de verificacin y validacin, y el sello de tiempo? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable ENTIDAD CERTIFICADORA (Tercero) Evidencia Comprobar firma recibida Comprobar el certificado anexado Comprobar datos de verificacin y validacin Comprobar el sello de tiempo Tarea a generar Documentar la normativa de firma electrnica cuales sern los mtodos y formatos a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD de forma que se garantice en la firma electrnica que exista una referencia a los datos de verificacin y validacin de la firma empleada. Implementada mp.info.4.12 7. Se emplean preferentemente certificados reconocidos? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se utilizan certificados reconocidos Si no utilizan certificados reconocidos, estos se tienen que encontrar debidamente acreditados y aprobados por el responsable Hallazgo Se utilizan certificados digitales reconocidos: ACCV, FNMT, DNI e, @firma, etc.

Pgina 172 de 237

Tarea a generar Verificar que los certificados electrnicos y las Entidades de Certificacin con las que se trabaja en procesos de firma electrnica cumplen los requisitos de certificado electrnico reconocido segn establece la Ley 59/2003 de Firma electrnica.
.

Implementada mp.info.4.13 8. Se emplean dispositivos seguros de creacin de firma? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se especifica que dispositivos de creacin de firma son seguros Tarea a generar Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir dispone de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones estableci das por el Centro Criptolgico Nacional para ser considerado dispositivo seguro de creacin de firma segn establece la Ley 59/2003 de Firma electrnica.
.

Implementada mp.info.4.14 9. Se emplean preferentemente productos certificados? Estado 100% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [UCR] Uso de criptografa Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se utilizan productos certificados Si no utilizan productos certificados se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Verificar que las caractersticas tcnicas del hardware o software empleado en procesos de firma electrnica a adquirir disponen de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones estable cidas por el Centro Criptolgico Nacional.

* mp.info.6 LIMPIEZA DE DOCUMENTOS

.

mp.info.6.1 1. Existe un procedimiento para limpiar (retirar la informacin contenida en campos ocultos, meta datos, comentarios o revisiones) todos los documentos que van a ser transferidos a otro dominio de seguridad, salvo cuando dicha informacin sea pertinente para el receptor del documento? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un procedimiento para limpiar los documentos que van a ser transferidos a otro dominio de seguridad Existe un procedimiento para limpiar los documentos que van a ser publicados electrnicamente Se utilizan herramientas evaluadas para la limpieza de datos innecesarios Tarea a generar Tambin podrn incluirse determinadas pautas a seguir por el empleado en documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organizacin", donde se especifiquen cuales son las normas a aplicar para la publicacin de informacin accesible a travs de la Web de la Organizacin. Implementada

* mp.info.9 COPIAS DE SEGURIDAD (BACKUP)

.

Implementada

mp.info.9.1 1. Realizan copias de respaldo que permitan recuperar datos perdidos acciden tal o intencionadamente con una antigedad determinada?

Pgina 173 de 237

Estado

Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento de copias de respaldo Se cumple con [op.exp.11] cuando se cifre la informacin en las copias de seguridad Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de copias de seguridad y restauracin que especifique quin es responsable de dicha tarea, con qu periodicidad se realiza, qu registros o partes de operacin se generan por cada ejecucin del mismo y garantice la restauracin de la informacin atendiendo a los requisitos de disponibi lidad establecidos por los diferentes responsables de cada informacin. Implementada mp.info.9.2 1.1. Abarcan la informacin de trabajo de la organizacin? Estado 100% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Las copias se realizan correctamente segn el procedimiento Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer un criterio sobre qu periodicidad se establece sobre cada tipo de copia atendiendo a criterios de conservacin de datos y de disponibilidad.
.

50%

Prioridad

mp.info.9.3 1.2. Abarcan las aplicaciones en explotacin, incluyendo los sistemas operati vos? Estado 75% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Las copias se realizan correctamente segn el procedimiento Procedimiento ligado a [op.exp.3], [op.exp.4] y [op.exp.5] Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer sobre qu entornos se realizarn las copias y con qu granularidad (Datos de sistema, datos de aplicaciones, documentacin) atendiendo a criterios de conservacin de datos y de disponibilidad. Implementada
.

mp.info.9.4 1.3. Abarcan los datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza anloga? Estado 50% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Las copias se realizan correctamente segn el procedimiento Procedimiento ligado a [op.exp.1], [op.exp.2], [op.exp.3], [op.exp.4] y [op.exp.5] Hallazgo Existe el procedimiento, pero no est documentado. Implementada

Pgina 174 de 237

Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer sobre qu entornos se realizarn las copias y con qu granularidad (datos de sistema, datos de aplicaciones, documentacin) atendiendo a criterios de conservacin de datos y de disponibilidad.
.

mp.info.9.5 1.4. Abarcan las claves utilizadas para preservar la confidencialidad de la in formacin? Estado 25% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Las copias se realizan correctamente segn el procedimiento Procedimiento ligado a [op.exp.11] y [mp.info.3] Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer qu criterios se aplicarn para la proteccin de claves de cifrado atendiendo a criterios de conservacin de datos y de disponibilidad. Implementada mp.info.9.6 1.5. Disfrutan de la misma seguridad que los datos originales en lo que se re fiere a integridad, confidencialidad, autenticidad y trazabilidad? Estado 25% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia El control de acceso a las copias de respaldo tiene el mismo nivel que el nivel de la informacin contenida en dichas copias El transporte de las copias al lugar de almacenamiento tendr un nivel similar al control de acceso a la infor macin original Procedimiento ligado a [op.acc], [op.exp.9], [op.exp.10] y [op.exp.11] Tarea a generar Establecer medidas de control de acceso fsico a las salas de acceso limitado donde se encuentren los soportes de copia de seguridad de forma que quede registro y trazabilidad de cada acceso. El personal deber ser pre viamente autorizado y las medidas de seguridad evitarn el acceso no autorizado a dichas ubicaciones. Implementada
.

mp.info.9.7 1.6. Existe un proceso de autorizacin para la recuperacin de informacin de las copias de seguridad? Estado 50% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Elaboracin de documentacin Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento de recuperacin de informacin de las copias Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer quin ser responsable de autorizar las recuperaciones de datos cuando sea necesario restaurar informacin utilizando los soportes de copia de seguridad. Implementada
.

Implementada Estado Tipo Tarea

mp.info.9.8 1.7. Se verifica regularmente que la informacin respaldada est correctamen te dispuesta para ser recuperada en caso de necesidad? 0% Prioridad Media [POS] Procesos de operacin tcnica de Revisin de registros Subproyecto la seguridad

Pgina 175 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Comprobar que las copias se hacen correctamente Tarea a generar Considerar en la elaboracin del procedimiento documentado de copia de seguridad y restauracin establecer con qu periodicidad se verificar que la ejecucin del procedimiento documentado de copia y las pruebas de restauracin funcionan correctamente garantizando as los requisitos de conservacin y disponibilidad de la informacin.
.

mp.info.9.9 1.8. Se conservan en lugar(es) suficientemente independiente(s) de la ubica Implementada cin normal de la informacin en explotacin como para que los incidentes previstos en el anlisis de riesgos no se den simultneamente en ambos lugares? Estado 25% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un lugar suficientemente independiente de la ubicacin normal de la informacin para alojar las copias de seguridad Ver [op.cont.2] Tarea a generar Garantizar que los soportes de copia de seguridad y restauracin se encuentran en una ubicacin fsica alterna tiva suficientemente independiente respecto a la ubicacin donde residen los sistemas de informacin en ex plotacin como para garantizar que en caso de contingencia en la ubicacin principal no se vea afectada la ubicacin alternativa.

mp.per GESTIN DEL PERSONAL * mp.per.1 CARACTERIZACIN DEL PUESTO DE TRABAJO

.

Implementada mp.per.1.1 1. Se ha caracterizado cada puesto de trabajo? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Existe un documento con la caracterizacin de cada puesto de trabajo en materia de seguridad Hallazgo Definido en los RPTs (Relacin de Puestos de Trabajo). Tarea a generar Definir cules son los requisitos bsicos de seguridad que deben configurar y caracterizar el puesto de trabajo y que servir para definir qu medidas de seguridad deben ser configuradas y cmo el empleado ser protegido frente a posibles amenazas.
.

Implementada mp.per.1.2 1.1. Define las responsabilidades relacionadas con cada puesto de trabajo? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Define responsabilidades de cada puesto de trabajo Tarea a generar Definir cuales son las responsabilidades asociadas uso del puesto de trabajo y que servir para definir el conte nido de la "Norma de uso de los sistemas de informacin de la Organizacin".

Pgina 176 de 237

mp.per.1.3 1.2. Define los requisitos que deben satisfacer las personas que vayan a ocupar el puesto de trabajo, en particular en trminos de confidencialidad? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Define los requisitos de la persona que vaya a ocupar el puesto Tarea a generar Definir cuales son los requisitos de confidencialidad asociados a un puesto de trabajo y que servir para definir el contenido de la "Norma de uso de los sistemas de informacin de la Organizacin". Implementada
.

mp.per.1.4 2. Los requisitos del puesto de trabajo se tienen en cuenta en la seleccin de la Implementada persona que vaya a ocupar dicho puesto, incluyendo la verificacin de sus antecedentes labo rales, formacin y otras referencias? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Consultar la caracterizacin del puesto de trabajo, la persona que lo ostenta y sus referencias Hallazgo Se tienen en cuenta en los procesos selectivos. Tarea a generar Considerar en la elaboracin del procedimiento documentado de contratacin de personal, establecer una actividad para valorar la inclusin de determinados requisitos relacionados con la capacitacin y formacin bsica que debe satisfacer el empleado que vaya a ocupar determinado puesto de trabajo.

* mp.per.2 DEBERES Y OBLIGACIONES

.

mp.per.2.1 1. Se informa a cada persona que trabaja en el sistema de los deberes y res ponsabilidades de su puesto de trabajo en materia de seguridad? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Existen deberes y responsabilidades del puesto de trabajo Existen dichos documentos firmados por los empleados Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin la entrega de las "Normas de uso de los sistemas de informacin" de forma que se informe al usuario cules son sus deberes y responsabilidades en su puesto de trabajo. Implementada
.

Implementada mp.per.2.1 1.1. Se especifican las medidas disciplinarias a que haya lugar? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin)

Pgina 177 de 237

Evidencia Existen las medidas disciplinarias a aplicar Tarea a generar Contemplar en el documento "Normas de uso de los sistemas de informacin de la Organizacin" cuales son las pautas de comportamiento adecuadas que se esperan de los usuarios y responsables de los sistemas de infor macin as como las medidas disciplinarias que podrn ser aplicadas en caso de no cumplir con dicha normati va.
.

mp.per.2.1 1.2. Se especifica que cubre tanto el periodo durante el cual se desempea el Implementada puesto como las obligaciones en caso de trmino de la asignacin o traslado a otro puesto de trabajo? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Existen definidas unas obligaciones que se tienen como empleado durante el desempeo del puesto y poste riormente Tarea a generar Contemplar en el documento "Normas de uso de los sistemas de informacin de la Organizacin" el periodo de tiempo en el que sern de aplicacin dichas normas y cmo se extendern una vez finalizado el contrato con la Organizacin.
.

mp.per.2.1 1.3. Se especifica que el deber de confidencialidad respecto de los datos a los Implementada que tenga acceso cubre el periodo durante el cual se desempea el puesto como en caso de trmino de la asignacin o traslado a otro puesto de trabajo? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Existe definida una clusula de confidencialidad con los compromisos que asume el empleado durante el des empeo del puesto y posteriormente Tarea a generar Establecer en el procedimiento documentado de contratacin de personal la entrega de un documento a firmar por el empleado donde se determinen las clusulas de confidencialidad a las que estar sometido y sus obliga ciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus res ponsabilidades como empleado.
.

mp.per.2.2 2. Se han establecido, en el caso de personal contratado a travs de un tercero, los deberes y obligaciones del personal? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de una normativa documentada que especifica los deberes y obligaciones del personal contratado a travs de un tercero Tarea a generar Establecer en el procedimiento documentado de contratacin de personal, la entrega de un documento a fir mar por el empleado donde se determinen las clusulas de confidencialidad a las que estar sometido y sus obligaciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus responsabilidades como empleado. Implementada
.

Implementada mp.per.2.2 2.1. Se han establecido los deberes y obligaciones de cada parte?

Pgina 178 de 237

Estado

Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de una normativa documentada o contrato que incluye los deberes y obligaciones de cada parte Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Considerar en la elaboracin del procedimiento documentado de contratacin de personal la posibilidad de que parte del personal pueda incorporarse al contratado a travs de terceros y garantizar a dichas personas la en trega de un documento a firmar por el empleado donde se determinen las clusulas de confidencialidad a las que estar sometido y sus obligaciones en materia de proteccin de datos de carcter personal que deber garantizar como parte de sus responsabilidades como empleado. mp.per.2.2 2.2. Se ha establecido el procedimiento de resolucin de incidentes relaciona dos con el incumplimiento de las obligaciones? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de un procedimiento documentado que define la resolucin de incidentes relacionados con el incum plimiento de las obligaciones Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de incidentes cmo se resolvern las problemticas ocasionadas por el incumplimiento de las obligaciones de personal propio o contratado por ter ceros. Implementada

25%

Prioridad

* mp.per.3 CONCIENCIACIN
.

mp.per.3.1 1. Se realizan acciones para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de un procedimiento documentado que indica el responsable de la elaboracin del plan de concien ciacin, as como su periodicidad y contenido. Consultar dicho plan y los registros de su ejecucin Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de gestin de la concienciacin y formacin que garantice la elabo racin de un plan de concienciacin anual donde se contemplen la identificacin de los aspectos en materia de seguridad que deben ser datos a conocer y concienciados entre el personal as como la asignacin de recursos y la programacin de las acciones formativas a realizar. Adems debern valorarse los resultados alcanzados para contemplar posibles mejoras o cambios sobre los sucesivos contenidos. Implementada
.

Implementada Estado Tipo Tarea

mp.per.3.1 1.1 Forma parte del contenido la normativa de seguridad relativa al buen uso de los sistemas? 75% Prioridad Media [FOR] Formacin y concienciacin en Revisin de registros Subproyecto materia de seguridad

Pgina 179 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia El contenido del plan de concienciacin incluye la normativa de seguridad relativa al buen uso de los sistemas Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relaciona das con el contenido de la "Norma de uso de los sistemas de informacin de la Organizacin".
.

mp.per.3.1 1.2. Forma parte del contenido la identificacin de incidentes, actividades o Implementada comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado? Estado 25% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia El contenido del plan de concienciacin incluye la identificacin de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relaciona das con situaciones extraas, anmalas o circunstancias de riesgo que deban ser conocidas por los empleados y les permita la deteccin temprana de incidentes.
.

mp.per.3.1 1.3. Forma parte del contenido el procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas? Estado 25% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia El contenido del plan de concienciacin incluye el procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relaciona das con el conocimiento de los procedimientos internos de notificacin y gestin de incidentes. Implementada

* mp.per.4 FORMACIN
.

mp.per.4.1 1. Se forma regularmente al personal en aquellas materias que requieran para el desempeo de sus funciones? Estado 100% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de un plan de formacin en el que se identifican las necesidades formativas de cada puesto de traba jo, as como la planificacin en la imparticin de la formacin necesaria y la frecuencia con la que debe actuali zar su formacin Hallazgo Los Ayuntamientos estn acogidos al Plan de Formacin de la Diputacin. Tarea a generar Establecer un procedimiento documentado de gestin de la concienciacin y formacin que garantice la elabo racin de un plan de formacin anual donde se contemplen la identificacin de las necesidades formativas en materia de seguridad as como la asignacin de recursos y la programacin de las acciones formativas a realizar. Implementada

Pgina 180 de 237

Adems debern valorarse los resultados alcanzados para contemplar posibles mejoras o cambios sobre los sucesivos contenidos.
.

Implementada mp.per.4.1 1.1. Cubre la configuracin de sistemas? Estado 100% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dicho plan tiene contenidos formativos relativos a la configuracin y proteccin tcnica de sistemas Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la proteccin de equipos y sistemas operativos.
.

Implementada mp.per.4.1 1.2. Cubre la deteccin y reaccin a incidentes? Estado 25% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dicho plan tiene contenidos formativos relativos a la deteccin y reaccin a incidentes Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la deteccin y reaccin frente a incidentes, dando a conocer los procedimientos internos establecidos en esta materia y concienciando al personal sobre las situaciones de riesgo que conlleva el uso de las tecnologas de la informacin.
.

mp.per.4.1 1.3. Cubre la gestin de la informacin en cualquier soporte en el que se en cuentre? Estado 25% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Revisin de registros Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dicho plan tiene contenidos formativos relativos a la gestin de la informacin en cualquier soporte en el que se encuentre, al menos en lo que se refiere a almacenamiento, transferencia, copia, distribucin y destruccin Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones formativas relacionadas con la clasificacin y uso de informacin en soporte papel o soporte electrnico. Implementada

mp.s PROTECCIN DE LOS SERVICIOS * mp.s.1 PROTECCIN DEL CORREO ELECTRNICO (E MAIL)
.

mp.s.1.1 1. La informacin que se distribuye por medio de correo electrnico se protege, tanto en el cuerpo de los mensajes como en los anexos? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe procedimiento para la proteccin del e mail acorde a su nivel de clasificacin Relacionado con [mp.info.6] Implementada

Pgina 181 de 237

Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organiza cin y las limitaciones como soporte de comunicaciones privadas. mp.s.1.2 2. Se protege la informacin de encaminamiento de mensajes y establecimiento de conexiones? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existen mecanismo para analizar el contenido de los mensajes y procedimientos para reaccionar ante conteni dos inadecuados Se protege el servidor DNS y su configuracin Se mantiene el cortafuegos actualizado y bien configurado Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Documentar la normativa de firma electrnica de la Organizacin indicando los usos donde ser empleada en relacin al correo electrnico, en qu tipos de mensajes, qu requisitos tcnicos sern necesarios para el uso de los dispositivos y medios de firma y cules sern los algoritmos criptogrficos acreditados a emplear para la firma electrnica en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLOGA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD. Implementada mp.s.1.3 3. Se protege a la organizacin frente a problemas que se materializan por medio del correo electrnico, como del correo no solicitado (spam)? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de servicio anti spam debidamente configurado y mantenido Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de correo no solicitado (spam). Implementada
.

mp.s.1.4 3.1. Se protege frente a programas dainos (virus, gusanos, troyanos, espas u otros de naturaleza anloga)? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un sistema anti virus debidamente configurado y mantenido Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de cdigo malicioso (malware). Implementada
.

Implementada mp.s.1.5 3.2. Se protege frente a cdigo mvil de tipo "applet"? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin)

Pgina 182 de 237

Evidencia Dispone de un sistema anti virus que contempla cdigo mvil debidamente configurado y mantenido Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de cdigo ejecutable o mvil a travs de correo electrnico.
.

Implementada mp.s.1.6 4. Se han establecido normas de uso del correo electrnico? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una normativa documentada que especifica el uso correcto y autorizado del correo electrnico Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organiza cin y las limitaciones como soporte de comunicaciones privadas.
.

Implementada mp.s.1.7 4.1. Contempla limitaciones al uso como soporte de comunicaciones privadas? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Limitaciones al uso Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se especifiquen cuales son las normas a aplicar en el uso del correo electrnico de la Organiza cin y las limitaciones como soporte de comunicaciones privadas.
.

mp.s.1.8 4.2. Se llevan a cabo actividades de concienciacin y formacin relativas al uso del correo electrnico? Estado 75% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Elaboracin de documentacin Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Plan de Formacin de la organizacin Tarea a generar Considerar en la elaboracin de los contenidos formativos establecer actuaciones de concienciacin relaciona das con el contenido de la "Norma de uso de los sistemas de informacin de la Organizacin". Implementada
.

Implementada mp.s.1.9 5. Se protege la disponibilidad del correo electrnico? Estado 50% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Elaboracin de documentacin Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Anlisis de vulnerabilidades sobre el servidor de correo electrnico Hallazgo Existe el procedimiento, pero no est documentado.

Pgina 183 de 237

Tarea a generar Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se ana lizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informacin.

* mp.s.2 PROTECCIN DE SERVICIOS Y APLICACIONES WEB

.

mp.s.2.1 1. Se encuentran protegidos los subsistemas dedicados a la publicacin de infor macin frente a las amenazas que les son propias? Estado 0% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Revisin de registros Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existen un informe positivo de auditora de seguridad y pruebas de penetracin Tarea a generar Considerar en la elaboracin del procedimiento documentado de paso a produccin establecer una actividad para la revisin de vulnerabilidades y test de intrusin sobre los sistemas que estarn en explotacin. Para ello, es deseable elaborar un checklist de verificaciones de auditora y seguridad que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. Implementada mp.s.2.2 2. Cuando la informacin tenga algn tipo de control de acceso se garantiza la imposibilidad de acceder a la informacin obviando la autenticacin? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismo de autenticacin la informacin que sea relevante Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de intentos de evitar los mecanismos de identificacin y autenticacin establecidos por la aplicacin. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilidades asociadas a ataques de fuerza bruta o diccionario sobre los sistemas de autenticacin de la aplicacin. Implementada mp.s.2.3 2.1. Se evita que el servidor ofrezca acceso a los documentos por vas alternativas al protocolo determinado? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de polticas que especifican el protocolo de acceso a utilizar Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques basados en el uso de protocolos de comunicaciones no previstos por la aplicacin. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet el suministro de informacin o servicios a travs de un nico protocolo previo establecido. Implementada
.

Implementada mp.s.2.4 2.2. Se previenen ataques de manipulacin de URL? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [FCE] Fortalecimiento de configuraciones

Pgina 184 de 237

en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismo anti manipulacin de URL No se puede acceder a pginas que requieren haber visitado antes otras pginas en el proceso Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin de URL. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilidades asociadas a manipulacin de URL.
.

Implementada mp.s.2.5 2.3. Se previenen ataques de manipulacin de las cookies de los usuarios? Estado 50% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismo contra la manipulacin de las cookies Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin de cookies. Adems, deber contemplarse en la fase de diseo de aplicaciones pro pias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilida des asociadas a manipulacin de cookies.
.

Implementada mp.s.2.6 2.4. Se previenen ataques de inyeccin de cdigo? Estado 75% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismos para impedir ataques de inyeccin de cdigo Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de inyeccin de cdigo. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilidades asocia das a inyeccin de cdigo malicioso.
.

Implementada mp.s.2.7 3. Se previenen intentos de escalado de privilegios? Estado 75% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de escalado de privilegios No es posible ejecutar acciones hacindose pasar por otro usuario Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin de intrusiones. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilidades asociadas al escalado de privilegios una vez se produce la intrusin sobre el sistema. Implementada mp.s.2.8 4. Se previenen ataques de "cross site scripting"?? Estado 75% Prioridad Media

Pgina 185 de 237

Tipo Tarea

Configuracin tcnica

Subproyecto

[FCE] Fortalecimiento de configuraciones en equipos y aplicaciones

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismos contra ataques "cross site scripting" No es posible cargar contenidos Adobe Flash desde ubicaciones externas al servidor Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de cross site scripting. Adems, deber contemplarse en la fase de diseo de aplicaciones propias que vayan a ser servicios accesibles desde Internet la capacidad de la aplicacin para evitar vulnerabilidades asocia das a cross site scripting.
.

Implementada mp.s.2.9 5. Se previenen ataques de manipulacin de "proxys"? o "cachs"? Estado 75% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Configuracin tcnica Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismos para impedir ataques de manipulacin de "proxys" o "cachs" Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de manipulacin o re encaminamiento de proxys o caches, envenenamiento de DNS, etc.
.

Implementada mp.s.2.10 6. Se limpian los documentos publicados? Estado 0% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Configuracin tcnica Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.info.6] Existe un procedimiento para limpiar los documentos que van a ser transferidos a otro dominio de seguri dad Existe un procedimiento para limpiar los documentos que van a ser publicados electrnicamente Se utilizan herramientas evaluadas para la limpieza de datos innecesarios Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la limpieza de metadatos de los documentos que vayan a ser accesibles. Tambin podrn incluirse determinadas pautas a seguir por el em pleado en documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organiza cin", donde se especifiquen cuales son las normas a aplicar para la publicacin de informacin accesible a travs de la Web de la Organizacin.
.

Implementada mp.s.2.11 7. Se realizan auditoras de seguridad y pruebas de penetracin? Estado 0% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Revisin de registros Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se cumple [mp.sw.2] Existe un procedimiento de paso a preproduccin Contempla pruebas de aceptacin en materia de seguridad Contempla que no se deteriora la seguridad de otros componentes del servicio Las pruebas se realizan en un entorno aislado (pre produccin) Realizan pruebas con datos ficticios Realizan pruebas con datos reales asegurando el nivel de seguridad correspondiente

Pgina 186 de 237

Existe un anlisis de vulnerabilidades Ver resolucin de alguna vulnerabilidad Existen pruebas de penetracin Checklist con pruebas de integracin Dispone de auditoras de cdigo fuente Tarea a generar Comprobar si se realizan de forma peridica actividades para la revisin de vulnerabilidades y test de intrusin sobre los sistemas que estarn en explotacin o que vayan a suponer la ejecucin del procedimiento documen tado de paso a produccin.

* mp.s.8 PROTECCIN FRENTE A LA DENEGACIN DE SERVICIO

.

mp.s.8.1 1. Se ha planificado y dotado al sistema de capacidad suficiente para atender a la carga prevista con holgura? Estado 50% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Elaboracin de documentacin Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento para contrastar lo que el sistema puede soportar Ver [op.pl.4] Hallazgo Se realiza, pero no est documentado el procedimiento. Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta las capacidades y necesidades de ancho de banda para evitar sobrepasar los recursos disponibles. Implementada mp.s.8.2 2. Se han desplegado tecnologas para prevenir los ataques conocidos de denega cin de servicio (Denial of Service)? Estado 100% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Configuracin tcnica Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismos de seguridad para prevenir los ataques por Denegacin de Servicio Dispone de Firewall con identificacin y proteccin frente a DoS Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de denegacin de servicio. Implementada
.

mp.s.8.3 3. Se ha establecido un sistema de deteccin de ataques de denegacin de servi cio? Estado 100% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Configuracin tcnica Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de monitorizacin de peticiones al servidor Tarea a generar Dotar la arquitectura de los sistemas de informacin de tecnologas que permitan la deteccin y mitigacin de ataques de denegacin de servicio. Implementada

Pgina 187 de 237

mp.si PROTECCIN DE LOS SOPORTES DE INFORMACIN * mp.si.1 ETIQUETADO

.

Implementada mp.si.1.1 1. Se encuentran etiquetados los soportes de informacin? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un procedimiento para etiquetar todos los soportes Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para identificar el nivel de seguridad asignado a un soporte.
.

Implementada mp.si.1.2 1.1. Revela el contenido? Estado 75% Prioridad

Media [MNP] Desarrollo del marco normativo y Tipo Tarea Revisin de registros Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia No se conoce el contenido de un soporte por su etiquetado a priori Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio que permita a los usuarios mediante inspeccin visual o mediante una consulta a un repositorio conocer el nivel de proteccin sin revelar o proporcionar informacin que cual es la naturaleza del contenido.
.

mp.si.1.3 1.2. Indica el nivel de seguridad de la informacin contenida de mayor califica cin? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Revisin de registros Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una clasificacin de forma no comprensible por alguien ajeno al sistema Tarea a generar Considerar en la elaboracin del procedimiento documentado de clasificacin, marcado y etiquetado de infor macin y soportes, establecer un criterio de marcado que identifique el nivel de informacin sin revelar cual es la naturaleza del contenido. Implementada
.

mp.si.1.4 1.3. Pueden los usuarios entender el significado de las etiquetas, bien mediante simple inspeccin, bien mediante recurriendo a un repositorio que lo explique? Estado 100% Prioridad Media [FOR] Formacin y concienciacin en Tipo Tarea Elaboracin de documentacin Subproyecto materia de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Los usuarios conocen y aplican los procedimientos asociados a cada nivel de informacin Tarea a generar Dar difusin y distribuir el procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes para que sea conocido y accesible por los empleados de la Organizacin. Implementada

Pgina 188 de 237

* mp.si.2 CRIPTOGRAFA
.

mp.si.2.1 1. Se aplican mecanismos criptogrficos, en particular, a todos los dispositivos Implementada removibles (CD, DVD, discos USB, u otros de naturaleza anloga) que garanticen la confiden cialidad e integridad de la informacin contenida? Estado 0% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Elaboracin de documentacin Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un criterio que relaciona tipo de informacin con tipo de proteccin criptogrfica Tarea a generar Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acredi tados a emplear en la proteccin de los soportes de datos y en qu tipos de soportes se aplicarn en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLO GA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD.

* mp.si.3 CUSTODIA
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un inventario de todos los soportes de informacin en uso: Etiqueta Contenido Actual Ubicacin Fsica Responsable Tarea a generar Elaborar un inventario de soportes de la Organizacin, donde se especifique qu soportes se tienen registrados, en qu lugar se encuentra y cual es el periodo de retencin de dichos registros. Implementada mp.si.3.2 1.1. Garantiza el control de acceso con medidas fsicas, lgicas o ambas? Estado 25% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [mp.if.1] Existe un inventario con las salas del organismo Existe un inventario de equipos existentes Existe poltica o normativa documentada al respecto donde se relaciona equipos y salas Existe un documento con los registros de acceso al CPD Existe una relacin de los perfiles que tienen acceso a las areas especificadas Dispone de cmaras de vigilancia Dispone de cerradura electrnica Existe un procedimiento de acceso Ver [mp.if.7] Existe un registro de entrada y salida Existe una relacin de equipamiento que debe registrarse Est establecida la segregacin de funciones: autorizacin, ejecucin y registro Son llevadas al menos por dos personas diferentes

mp.si.3.1 1. Se aplica la debida diligencia y control a los soportes de informacin que permanecen bajo la responsabilidad de la organizacin? 75% Prioridad Media [GSA] Gestin de soportes de almacena Elaboracin de documentacin Subproyecto miento 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 189 de 237

Ver [mp.si.2] Existe un criterio que relaciona tipo de informacin con tipo de proteccin criptogrfica Utiliza algoritmos criptogrficos acreditados por el CCN Se utilizan productos certificados Si no utilizan productos certificados se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Establecer medidas de control de acceso fsico a las salas de acceso limitado donde se encuentren los soportes de forma que quede registro y trazabilidad de cada acceso. El personal deber ser previamente autorizado y las medidas de seguridad evitarn el acceso no autorizado a dichas ubicaciones. Implementada mp.si.3.3 1.2. Garantiza que se respeten las exigencias de mantenimiento del fabricante, en especial en lo referente a temperatura, humedad y otros agresores medioambientales? 100% Prioridad Media Elaboracin de documentacin Subproyecto [PFI] Proteccin fsica de infraestructuras 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Existen equipos de aire acondicionado Existen medidores de humedad Existe un procedimiento donde se reflejan los mrgenes especificados por el fabricante de los equipos Tarea a generar Dotar las salas donde se vayan a albergar soportes de las medidas de prevencin de incendios que sean necesa rias para garantizar las condiciones tcnicas y medioambientales y establecidas por las normativas de planes de emergencia y evacuacin contra incendios de locales y edificios.

* mp.si.4 TRANSPORTE
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un registro de salida y entrada Tarea a generar Establecer controles de entrada y salida de soportes de las salas de acceso limitado donde se encuentren de forma que quede registro y trazabilidad de cada movimiento de soportes con informacin. Dichos movimientos debern ser previamente autorizados. El periodo de retencin de estos registros deber garantizar los requisi tos de auditora establecidos por la Direccin.
.

mp.si.4.1 1. Dispone de un registro de salida que identifica al transportista que recibe el soporte para su traslado? 75% Prioridad Media [MNP] Desarrollo del marco normativo y Revisin de registros Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe un transportista asignado al soporte Tarea a generar Establecer controles de entrada y salida de soportes de las salas de acceso limitado donde se encuentren de forma que quede registro y trazabilidad de cada movimiento de soportes con informacin. Dichos movimientos debern ser previamente autorizados. El periodo de retencin de estos registros deber garantizar los requisi tos de auditora establecidos por la Direccin.

mp.si.4.2 2. Dispone de un registro de entrada que identifica al transportista que lo en trega? 100% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 190 de 237

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un procedimiento rutinario que coteja las salidas con las llegadas Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de revisin de entradas y salidas de soportes de forma que se de termine con qu periodicidad se cotejarn los registros anotados con el estado del inventario y la presencia fsica de los soportes correspondientes en los lugares utilizados para el almacenamiento. Dicho procedimiento documentado debe servir para la deteccin de prdidas, extravos o robos de soportes.
.

mp.si.4.3 3. Dispone de un procedimiento rutinario que coteja las salidas con las llegadas y levanta las alarmas pertinentes cuando se detecte algn incidente? 50% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Ver [mp.si.2] Existe un criterio que relaciona tipo de informacin con tipo de proteccin criptogrfica Utiliza algoritmos criptogrficos acreditados por el CCN Se utilizan productos certificados Si no utilizan productos certificados se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Documentar la normativa de gestin de claves criptogrficas cuales sern los algoritmos criptogrficos acredi tados a emplear en la proteccin de los soportes de datos y en qu tipos de soportes se aplicarn en base a las recomendaciones establecidas por el Centro Criptolgico Nacional a travs de la gua CCN STIC 807 CRIPTOLO GA DE EMPLEO EN EL ESQUEMA NACIONAL DE SEGURIDAD.
.

mp.si.4.4 4. Utiliza medios de proteccin criptogrfica correspondientes al nivel de califi cacin de la informacin contenida de mayor nivel? 0% Prioridad Media Proyecto tcnico Subproyecto [UCR] Uso de criptografa 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada mp.si.4.5 4.1. Gestiona las claves de forma segura? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Ver [op.exp.11] Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de gestin de claves criptogrficas que detalle las actividades a realizar en cada una de las fases del ciclo de vida de las claves (Generacin, instalacin, transporte, revocacin, custodia, copia de seguridad y destruccin) y que cumpla con la normativa de gestin de claves criptogrficas establecida por la Organizacin.

Pgina 191 de 237

mp.si.5 BORRADO Y DESTRUCCIN

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un procedimiento que especifica si un soporte debe ser objeto de borrado seguro Dispone de un procedimiento que especifica el mtodo de borrado seguro Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte.
.

mp.si.5.1 1. Los soportes, sean o no electrnicos, que vayan a ser reutilizados para otra informacin o liberados a otra organizacin, son borrados de forma segura? 50% Prioridad Media [GSA] Gestin de soportes de almace Elaboracin de documentacin Subproyecto namiento 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un procedimiento de destruccin seguro para aquellos soportes que no puedan recibir un borrado seguro Hallazgo Existe el procedimiento, pero no est documentado. Tarea a generar Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte.
.

mp.si.5.2 2. Se destruyen de forma segura los soportes cuando la naturaleza del soporte no permita un borrado seguro? 50% Prioridad Media [GSA] Gestin de soportes de almace Elaboracin de documentacin Subproyecto namiento 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un mecanismo de borrado seguro adecuado al nivel de clasificacin de la informacin contenida Dispone de un mecanismo de destruccin segura adecuado al nivel de clasificacin de la informacin conteni da Hallazgo Se deben utilizar destructoras de soportes y documentos. Tarea a generar Establecer un procedimiento documentado de clasificacin, marcado y etiquetado de informacin y soportes de forma que se determine el criterio para proceder al borrado seguro de datos y los algoritmos a utilizar segn el nivel de seguridad asignado a un soporte.
.

mp.si.5.3 3. Se destruyen de forma segura los soportes segn el tipo de la informacin contenida? 50% Prioridad Media [GSA] Gestin de soportes de almace Elaboracin de documentacin Subproyecto namiento 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada mp.si.5.4 4. Se emplean preferentemente productos certificados? Estado 100% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [UCR] Uso de criptografa

Pgina 192 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se utilizan productos certificados Si no utilizan productos certificados se tienen que encontrar debidamente acreditados y aprobados por el responsable Tarea a generar Verificar que las caractersticas tcnicas del hardware o software de borrado seguro de datos a adquirir dispo nen de las acreditaciones y certificaciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional.

mp.sw PROTECCIN DE LAS APLICACIONES INFORMTICAS * mp.sw.1 DESARROLLO DE APLICACIONES

.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de al menos dos entornos desarrollo y produccin Dispone de un inventario que identifica qu servidores se utilizan para desarrollo Tarea a generar Verificar que se dispone de dos entornos: pruebas y preproduccin, sobre el que realizar simulaciones y prue bas de cambios que puedan afectar al entorno en explotacin.
.

mp.sw.1.1 1. Se desarrollan aplicaciones sobre un sistema diferente y separado del de produccin? 100% Prioridad Media Configuracin tcnica Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada mp.sw.1.2 2. Existen herramientas o datos de desarrollo en el entorno de produccin? Estado 50% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia No dispone de la misma herramienta o dato en desarrollo que en produccin Tarea a generar Verificar que se dispone en el entorno de explotacin de herramientas que son tambin utilizadas en los entor nos de pruebas o preproduccin para la gestin de cdigo fuente, compilacin o cualquier tarea relacionada con el desarrollo software.
.

Implementada mp.sw.1.3 3. Aplica una metodologa de desarrollo reconocida? Estado 50% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una metodologa de desarrollo Hallazgo En ocasiones se exige Mtrica 3 en Pliegos. Tarea a generar Seleccionar una metodologa de desarrollo software. Dicha metodologa debe documentar cuales son los crite rios y fases a contemplar en el anlisis, diseo y desarrollo de aplicaciones software propias de la Organizacin.
.

Implementada Estado Tipo Tarea

mp.sw.1.4 3.1. Toma en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida? 100% Prioridad Media Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones

Pgina 193 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia La metodologa considera aspectos de seguridad a lo largo de todo el ciclo de vida Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe contemplar la necesidad de establecer requisitos de seguridad dentro del ciclo de vida del desarrollo de aplicaciones software propias de la Organizacin. Implementada mp.sw.1.5 3.2. Trata especficamente los datos usados en pruebas? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia La metodologa trata especficamente los datos usados en pruebas Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe documentar cuales son los criterios para tratar los datos a utilizar en el entorno de pruebas o preproduccin dentro del desarrollo de aplicaciones software propias de la Organi zacin.
.

Implementada mp.sw.1.6 3.3. Permite la inspeccin del cdigo fuente? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dicha metodologa de desarrollo permite la inspeccin del cdigo fuente Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe contemplar como posible actividad o fase la inspeccin o auditora de cdigo fuente en el entorno de pruebas o preproduccin dentro del desarrollo de aplicaciones software propias de la Organizacin. Implementada mp.sw.1.7 4. Los mecanismos de identificacin y autenticacin son parte integral del diseo del sistema? 100% Prioridad Media Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de una poltica o normativa documenta respecto al diseo de un sistema que contempla los meca nismo de identificacin y autenticacin Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe contemplar la necesidad de establecer en la fase de diseo de requisitos software sobre mecanismos de identificacin y autenticacin a contemplar dentro del desarrollo de aplicaciones software propias de la Organizacin.
.

Implementada mp.sw.1.8 4.1. Y los mecanismos de proteccin de la informacin tratada? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones

Pgina 194 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dicha poltica o normativa respecto al diseo contempla los mecanismo de proteccin de la informacin trata da Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe contemplar la necesidad de establecer en la fase de diseo de requisitos software sobre la proteccin y custodia de informacin dentro del desarrollo de aplicaciones softwa re propias de la Organizacin.
.

Implementada mp.sw.1.9 4.2. Y la generacin y tratamiento de pistas de auditora? Estado 100% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dicha poltica o normativa respecto al diseo contempla la generacin y tratamiento de pistas de auditoria Hallazgo Mtrica 3 incorpora esta funcionalidad. Tarea a generar La metodologa de desarrollo software debe contemplar la necesidad de establecer en la fase de diseo de requisitos software sobre la generacin de pistas de auditora y trazabilidad sobre datos o usos de la aplicacin dentro del desarrollo de aplicaciones software propias de la Organizacin.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Realizan pruebas con datos ficticios Realizan pruebas con datos reales asegurando el nivel de seguridad correspondiente Tarea a generar Considerar en la elaboracin del procedimiento documentado de paso a produccin establecer una actividad para la realizacin de pruebas y chequeos que toda nueva instalacin debe garantizar o que debe superar como resultado de pruebas de integracin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin.

mp.sw.1.10 5. Se realizan las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin con datos reales? 25% Prioridad Media Configuracin tcnica Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* mp.sw.2 ACEPTACIN Y PUESTA EN SERVICIO

.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Existe un procedimiento de paso a preproduccin Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer un procedimiento documentado de paso a produccin que tenga en cuenta cuando se realizarn dichas actividades, qu pruebas previas sern necesario superar antes de proceder a la actualizacin de los

mp.sw.2.1 1. Dispone de un plan de pruebas antes de pasar a produccin para comprobar el correcto funcionamiento de la aplicacin? 25% Prioridad Media Elaboracin de documentacin Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 195 de 237

entornos de explotacin, cmo se valorar el tipo de paso y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informacin.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Contempla pruebas de aceptacin en materia de seguridad Tarea a generar Considerar en la elaboracin del procedimiento documentado de paso a produccin establecer una actividad para la revisin del cumplimiento de la lista de verificaciones y pruebas que debe superar como resultado de pruebas de integracin y aceptacin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. Implementada mp.sw.2.3 1.2. Comprueba que no se deteriora la seguridad de otros componentes del servicio? 0% Prioridad Media Elaboracin de documentacin Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

mp.sw.2.2 1.1. Comprueba que se cumplen los criterios de aceptacin en materia de seguridad? 25% Prioridad Media Elaboracin de documentacin Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Contempla que no se deteriora la seguridad de otros componentes del servicio Tarea a generar Considerar en la elaboracin del procedimiento documentado de paso a produccin establecer una actividad para la revisin del cumplimiento de la lista de verificaciones y pruebas que debe superar como resultado de pruebas de integracin y aceptacin. Para ello, es deseable elaborar un checklist de verificaciones que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin. Implementada mp.sw.2.4 1.3. Se realizan en un entorno aislado? Estado 25% Prioridad Media Tipo Tarea Comprobacin tcnica insitu Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Las pruebas se realizan en un entorno aislado (pre produccin) Tarea a generar Verificar que se dispone de un entorno de pruebas o preproduccin sobre el que realizar simulaciones y prue bas de cambios que puedan afectar al entorno en explotacin. Implementada mp.sw.2.5 1.4. Utilizan datos reales? Estado 0% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Realizan pruebas con datos ficticios Realizan pruebas con datos reales asegurando el nivel de seguridad correspondiente Tarea a generar Verificar si los entornos de pruebas utilizan datos reales y por tanto, deben estar sometidos a idnticas medidas que los entornos en explotacin o por el contrario, sobre ellos se aplica algn procedimiento que permita la disociacin de informacin de forma que transforme esa informacin en datos ficticios e irreales.

Pgina 196 de 237

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Existe un anlisis de vulnerabilidades Ver resolucin de alguna vulnerabilidad Hallazgo No se realiza en profundidad. Tarea a generar Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se ana lizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informacin. Implementada mp.sw.2.7 2.1. Y se le realiza una prueba de penetracin? Estado 0% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [DSA] Desarrollo seguro de aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existen pruebas de penetracin Hallazgo No se realizan tests de intrusin. Tarea a generar Considerar en la elaboracin del procedimiento documentado de paso a produccin establecer una actividad para la revisin de vulnerabilidades y test de intrusin sobre los sistemas que estarn en explotacin. Para ello, es deseable elaborar un checklist de verificaciones de auditora y seguridad que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de paso a produccin.

mp.sw.2.6 2. Previamente a la entrada en servicio, se le realiza un anlisis de vulnerabili dades? 25% Prioridad Media Elaboracin de documentacin Subproyecto [DSA] Desarrollo seguro de aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

op MARCO OPERACIONAL op.acc CONTROL DE ACCESO * op.acc.1 IDENTIFICACIN

.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Procedimiento de creacin altas de nuevos usuarios en el sistema Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Especificar en la normativa de control de acceso que la asignacin del identificador nico en el sistema permita la identificacin de forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado de forma que el procedimiento documentado de altas ga rantice que no existan usuarios conocidos por ms de una persona o proceso.
.

op.acc.1.1 1. Cada entidad (usuario o proceso) que accede al sistema tiene asignado un identificador singular? 50% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.acc.1.2 1.1. Se puede saber a quin corresponde? Estado 100% Prioridad Media

Pgina 197 de 237

Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una relacin de los identificadores con sus usuarios Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin un registro de entrega de forma que se pueda conocer cada identificador a quin corresponde.
.

Implementada op.acc.1.3 1.2. Se puede saber qu derechos tiene? Estado 100% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una relacin de los identificadores con sus permisos Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin un registro de entrega de forma que se pueda conocer por cada identificador qu privilegios o perfil tiene asignado.
.

op.acc.1.4 1.3. Se inhabilita el identificador cuando el usuario deja la organizacin, cesa Implementada en la funcin para la cual se requera la cuenta de usuario o cuando la persona que la autori z da orden en sentido contrario? Estado 50% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Procedimiento de baja o modificacin en las responsabilidades del usuario Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin la inhabilitacin del identificador qu es dado de baja conservando los registros de trazabilidad que sean considerados necesarios.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Existe un periodo de tiempo establecido cuando un usuario cesa o cambia de puesto de trabajo, periodo para atender las necesidades de trazabilidad Tarea a generar Configurar las opciones de auditora sobre los mecanismos de identificacin y autenticacin para que una vez producida la baja del usuario se conserven los registros de acceso durante el tiempo que sea considerado ade cuado (Periodo de retencin de evidencias) de forma que se puedan atender las necesidades de auditora y trazabilidad.

op.acc.1.5 1.4. El identificador se mantiene durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas? 100% Prioridad Media Configuracin tcnica Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 198 de 237

* op.acc.2 REQUISITOS DE ACCESO

.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de un procedimiento documentado que especifique que los sistemas, previos a su puesta en explota cin o ya en produccin debern solicitar la identificacin y autenticacin del usuario para acceder al sistema Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio disponga de mecanismos de control de acceso que requiera la identifica cin y autenticacin de usuarios.
.

op.acc.2.1 1. Se protegen los recursos del sistema con algn mecanismo que impida su utilizacin (salvo a las entidades que disfruten de derechos de acceso suficientes)? 50% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia El acceso a los ficheros de configuracin del sistema slo est autorizado al personal tcnico Tarea a generar Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio disponga de mecanismos de proteccin de los archivos de sistema y con figuracin que puedan comprometer la seguridad del equipo.
.

op.acc.2.2 1.1. Incluye la proteccin frente al acceso a los componentes del sistema y a sus ficheros o registros de configuracin? 100% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

op.acc.2.3 2. Se establecen los derechos de acceso de cada recurso segn las decisiones Implementada de la persona responsable del recurso, atenindose a la poltica y normativa de seguridad del sistema? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia La poltica y normativa de seguridad del sistema especifica quin es el responsable de cada recurso y, por lo tanto, es tambin responsable de la asignacin de autorizacin y nivel de acceso a cada recurso Tarea a generar Establecer un procedimiento documentado de configuracin segura de sistemas y recursos de forma que todo recurso previo a su puesta en servicio asigne los mnimos privilegios al personal tcnico que requiera acceso para gestin, mantenimiento u operacin del equipo.

* op.acc.3 SEGREGACIN DE FUNCIONES Y TAREAS

.

Implementada op.acc.3.1 1. Existe segregacin de funciones y tareas? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE RECURSOS HUMANOS (Organizacin) Evidencia Dispone de un esquema de funciones y tareas en el que se contemplan las que son incompatibles en una mis ma persona

Pgina 199 de 237

Hallazgo Se establece en los RPTs (Relacin de Puestos de Trabajo), aunque no en todos los casos. Tarea a generar Especificar en la normativa de control de acceso cuales sern las funciones tcnicas segregadas de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios. Implementada Estado Tipo Tarea op.acc.3.2 1.1. Contempla la incompatibilidad de tareas de desarrollo con las de opera cin? 50% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE RECURSOS HUMANOS (Organizacin)

Fecha Prevista Responsable Evidencia En el esquema de funciones aparecen "desarrollo" y "operacin", y estn marcadas como incompatibles entre s Tarea a generar Especificar en la normativa de control de acceso cuales sern las funciones tcnicas segregadas entre las reas de desarrollo y operacin de sistemas de forma que el procedimiento documentado de altas, bajas o modifica ciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia En el esquema de funciones aparecen "configuracin y mantenimiento del sistema" y "operacin", y estn marcadas como incompatibles entre s Tarea a generar Especificar en la normativa de control de acceso cuales sern las funciones tcnicas segregadas entre las reas de operacin de sistemas y de mantenimiento de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios.
.

op.acc.3.3 1.2. Contempla la incompatibilidad de tareas de configuracin y mantenimien to del sistema con las de de operacin? 50% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE RECURSOS HUMANOS (Organizacin)

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia En el esquema de funciones aparece "auditora o supervisin del sistema" y est marcada como incompatibles con todas las dems Tarea a generar Especificar en la normativa de control de acceso cuales sern las funciones tcnicas segregadas entre las reas de operacin de sistemas y de auditora, seguridad o supervisin del sistema de forma que el procedimiento documentado de altas, bajas o modificaciones de usuarios en sistemas de informacin garantice el principio de mnimos privilegios.

op.acc.3.4 1.3. Contempla la incompatibilidad de tareas de auditora o supervisin con las de cualquier otra funcin relacionada con el sistema? 0% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.acc.4 PROCESO DE GESTIN DE DERECHOS DE ACCESO

.

Implementada Estado Tipo Tarea

op.acc.4.1 1. Se limitan los privilegios de cada usuario al mnimo estrictamente necesa rio para acceder a la informacin requerida y para cumplir sus obligaciones? 75% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico

Pgina 200 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una poltica o normativa de seguridad especifique que a cada usuario slo se le proporcionarn los privi legios mnimos para cumplir sus obligaciones Hallazgo No se realiza en todos los casos. Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin la asignacin por defecto de los mnimos privilegios de acceso que sean necesarios para desempear las funciones y responsabilidades asignadas al empleado.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de un procedimiento documentado que especifica que la modificacin de privilegios vendr precedi da de una solicitud del responsable del recurso al que va a concedrsele acceso Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin quienes sern las personas autorizadas para solicitar el alta, modificacin o baja de usuarios o privi legios sobre el sistema de informacin.

op.acc.4.2 2. Puede slo y exclusivamente el personal con competencia para ello conce der, alterar o anular la autorizacin de acceso a los recursos conforme a los criterios esta blecidos por su responsable? 75% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.acc.5 MECANISMO DE AUTENTICACIN

.

Implementada op.acc.5.1 1. Se encuentra identificado el mecanismo de autenticacin en cada recurso? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un listado de recursos que requieren autenticacin y su mecanismo de autenticacin correspondiente (p.ej.: la intranet requiere autenticacin mediante usuario y contrasea) Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Especificar en la normativa de control de acceso los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin, y sobre qu sistemas son utilizados.
.

Implementada op.acc.5.2 1.1. Si utilizan contraseas cumplen las reglas bsicas de calidad? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una poltica o normativa documentada que especifica: contraseas de ms de 5 caracteres, que contengan caracteres alfabticos y numricos, que no repitan caracteres consecutivamente, que no sean de fcil conjetura (fechas significativas, familiares)

Pgina 201 de 237

Tarea a generar Especificar en la normativa de control de acceso cuales son los criterios para garantizar la correcta calidad de las contraseas cuando el mtodo de identificacin y autenticacin se base en usuario y contrasea.
.

Implementada op.acc.5.3 1.2. Se activa una vez que est bajo el control efectivo del usuario? Estado 100% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia La cuenta del usuario no se habilita hasta que ste haya confirmado la recepcin del autenticador Tarea a generar Garantizar que la cuenta del usuario no ser habilitada hasta que la persona recoja de forma segura su identifi cador y contrasea asociado y sea informado de las normas de uso de los sistemas de informacin.
.

Implementada op.acc.5.4 1.3. Estn los autenticadores bajo el control exclusivo del usuario? Estado 75% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia El autenticador slo lo tiene el usuario. En caso de tratarse de una contrasea, sta slo la conoce el usuario (p.ej.: la contrasea se almacena en el sistema de forma cifrada) Hallazgo Esta medida de seguridad no siempre se cumple. En ocasiones los identificadores y contraseas son comparti dos por varios usuarios. Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de nuevo personal, el cambio de privilegios o la baja en los sistemas de informacin. Dicho proceso puede formalizarse mediante un proce dimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de informacin.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Existe un registro de cada usuario confirmando la recepcin del identificador y en el mismo se le informa de esos aspectos Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin la entrega de las "Normas de uso de los sistemas de informacin" de forma que se informe al usuario cuales son sus obligaciones respecto a la custodia del identificador y contrasea.
.

op.acc.5.5 1.4. Ha confirmado el usuario que ha recibido el identificador, y que conoce y acepta las obligaciones que implica su tenencia, en particular el deber de custodia diligen te, proteccin de su confidencialidad e informacin inmediata en caso de prdida? 25% Prioridad Media Revisin de registros Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de una poltica o normativa de seguridad documentada que especifica la periodicidad en el cambio de los autenticadores Tarea a generar Especificar en la normativa de control de acceso la periodicidad con la que cadudan los identificadores y contra

op.acc.5.6 1.5. Se cambian los autenticadores con la periodicidad marcada por la poltica de la organizacin (atendiendo a la categora del sistema al que se accede)? 100% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 202 de 237

seas de usuarios en el sistema de informacin. Implementada op.acc.5.7 1.6. Se retiran y deshabilitan los autenticadores cuando la entidad (persona, equipo o proceso) que autentican terminan su relacin con el sistema? 50% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de un procedimiento documentado ligado a la gestin de recursos humanos para avisar a los respon sables de la gestin de usuarios en el sistema de los cambios en las relaciones con los usuarios Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer en el procedimiento documentado de altas, bajas y modificaciones de usuarios en sistemas de in formacin cmo sern informados los cambios de funciones del personal y cmo ello generar las correspon dientes modificaciones en la asignacin de privilegios en el sistema.
.

Implementada op.acc.5.8 2. Se utilizan claves concertadas? Estado 25% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia No se recomendar el uso de claves concertadas Hallazgo Se suelen utilizar claves concertadas en el acceso a los sistemas. Tarea a generar Verificar que el mtodo de identificacin y autenticacin no emplea claves concertadas.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dispone de una poltica o normativa de seguridad documentada que especifica adems del nivel bsico a la periodicidad frecuente en el cambio de los autenticadores Hallazgo Las contraseas no suelen disponer de complejidad en su composicin (mnimo 8 caracteres, uso de mayscu las y minsculas, caracteres alfabticos y numricos, etc.). Tarea a generar Especificar en la normativa de control de acceso unos requisitos elevados de complejidad y fortaleza de contra seas a emplear por parte de usuarios en el sistema de informacin as como la renovacin frecuente de los mismos. Cuando sea posible, se seleccionarn como mecanismos de autenticacin dispositivos fsicos (tokens) o componentes lgicos tales como certificados software u otros equivalentes o biomtricos.

op.acc.5.9 3. Si utilizan contraseas cumplen las polticas rigurosas de calidad y renova cin? 25% Prioridad Media Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.acc.6 ACCESO LOCAL (LOCAL LOGON)

.

Implementada Estado Tipo Tarea Fecha Prevista Responsable

op.acc.6.1 1. Se previene la revelacin de informacin del sistema? 0% Prioridad Media Configuracin tcnica Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 203 de 237

Evidencia Existe dilogos de acceso, que no revelen informacin sobre los sistemas Normativa de control de acceso Tarea a generar Configurar los mecanismos de identificacin y autenticacin para que con carcter previo se informe mediante un cartel o letrero del acceso restringido a sistemas de informacin privados y que no revelen la identidad de anteriores conexiones o usuarios segn se haya establecido en la normativa de control de acceso.
.

Implementada op.acc.6.2 2. Se limita el nmero de intentos fallidos de acceso? Estado 50% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia La normativa de control de acceso especifica el nmero mximo de intentos fallidos de acceso, especificando qu accin tomar llegado el caso Normativa de control de acceso Hallazgo Esta medida de seguridad no est implantada en todos los sistemas y aplicativos. Tarea a generar Configurar los mecanismos de identificacin y autenticacin para que limite el nmero mximo de intentos fallidos tolerados antes del bloqueo del usuario segn se haya establecido en la normativa de control de acceso.
.

Implementada op.acc.6.3 3. Se registran los accesos con xito y los fallidos? Estado 25% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia El sistema de registro almacena tanto los accesos con xito como los fallidos Normativa de control de acceso Tarea a generar Configurar los mecanismos de auditoria para registrar los intentos de acceso fallidos y con xito al sistema se gn se haya establecido en la normativa de control de acceso.
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Una vez habiendo accedido con xito al sistema, ste muestra un aviso con las obligaciones del usuario Normativa de control de acceso Tarea a generar Configurar los mecanismos de identificacin y autenticacin para que con carcter previo se informe mediante un cartel o letrero de la existencia de unas normas de uso de los sistemas de informacin donde se detallan las funciones y responsabilidades del usuario segn se haya establecido en la normativa de control de acceso.
.

op.acc.6.4 4. Informa el sistema al usuario de sus obligaciones inmediatamente despus de obtener el acceso? 0% Prioridad Media Configuracin tcnica Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.acc.6.5 5. Informa el sistema al usuario del ltimo acceso con su identidad con xito? Estado 25% Prioridad Media Tipo Tarea Configuracin tcnica Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Una vez habiendo accedido con xito al sistema, ste muestra la fecha y hora del ltimo acceso con xito de ese usuario

Pgina 204 de 237

Normativa de control de acceso Tarea a generar Configurar los mecanismos de auditora para una vez autenticado el acceso se informe los Registros de audito ra de accesos el ltimo acceso con xito de su identidad

* op.acc.7 ACCESO REMOTO (REMOTE LOGIN)

.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Cumple los requisitos de las medidas [op.acc.6] Acceso local (local logon), [mp.com.2] Proteccin de la confi dencialidad y [mp.com.3] Proteccin de la autenticidad y de la integridad Normativa de control de acceso Hallazgo Acceso seguro por VPN en buena parte de los casos, aunque no en todos. Tarea a generar Revisar las medidas de identificacin y autenticacin sobre el control de acceso para que cumplan con la nor mativa de control de acceso establecida.
.

op.acc.7.1 1. Se garantiza la seguridad del sistema cuando acceden remotamente usua rios u otras entidades? 75% Prioridad Media Revisin de registros Subproyecto [CAL] Control de acceso lgico 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.acc.7.2 2. Est documentado lo que puede hacerse remotamente? Estado 25% Prioridad Media Tipo Tarea Elaboracin de documentacin Subproyecto [CAL] Control de acceso lgico Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de una poltica o normativa documentada que regula las actividades que pueden realizarse remota mente Normativa de control de acceso Hallazgo Generalmente esta normativa no se encuentra documentada. Tarea a generar Especificar en la normativa de control de acceso cuales son los medios de acceso remoto y teletrabajo autoriza dos que son vlidos para la Organizacin.

op.cont CONTINUIDAD DE NEGOCIO * op.cont.1 ANLISIS DE IMPACTO

.

Implementada op.cont.1.1 1. Se ha realizado un anlisis de impacto que determine? Estado 0% Prioridad Media Tipo Tarea Proyecto tcnico Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento documentado para el anlisis de impacto de una contingencia en la continuidad del servicio, este contempla su revisin peridica o actualizacin tras cambios en los sistemas (ligado a [op.exp.3], [op.exp.4] y [op.exp.5]) y su aprobacin por la Direccin Tarea a generar Seleccionar una metodologa de anlisis de impacto en el negocio. Dicha metodologa puede ser informal pero debe documentar cuales son los servicios crticos y los tiempos mximos de tolerancia de interrupciones (MTD) de la Organizacin en caso de contingencia o desastre.
.

Pgina 205 de 237

Implementada op.cont.1.1 1.1. Identifica los requisitos de disponibilidad de cada servicio? Estado 0% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [PCN] Plan de continuidad de negocio Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dicho anlisis de impacto identifica los requisitos de disponibilidad de cada servicio (medido como el impacto de una interrupcin durante un cierto periodo de tiempo, RTO y RPO de los servicios) Tarea a generar Comprobar que en los documentos de anlisis de impacto en el negocio identifican los requisitos de recupera cin de cada servicio (RTO, Return Time Objective) y los requisitos de prdidas de datos tolerables (RPO, Return Point Objective).
.

Implementada

Estado Tipo Tarea Fecha Prevista Responsable Evidencia Dicho anlisis de impacto identifica los elementos que son crticos para la prestacin de cada servicio, bien sean propios o proporcionados por externos Tarea a generar Comprobar que en los documentos de anlisis de impacto en el negocio identifican los recursos tcnicos nece sarios para la prestacin de servicios y las dependencias tecnolgicas y de otros suministros que son esenciales para garantizar la normalidad de operaciones.

op.cont.1.1 1.2. Identifica los elementos que son crticos para la prestacin de cada servi cio? 0% Prioridad Media Revisin de registros Subproyecto [PCN] Plan de continuidad de negocio 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

op.exp EXPLOTACIN * op.exp.01 INVENTARIO DE ACTIVOS

.

Implementada op.exp.1.1 1. Dispone de un inventario del sistema? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un inventario de los elementos que componen el sistema, en el que se detalla su naturaleza Tarea a generar Elaborar un inventario de los recursos que forman la arquitectura lgica de los sistemas de informacin de la Organizacin.
.

Implementada op.exp.1.2 1.1. Identifica a los responsables de los elementos? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Cada elemento del inventario tiene especificado quin es su responsable Hallazgo Pendiente de documentar. Tarea a generar Asignar a dicho inventario quienes son las personas responsables de la operacin y mantenimiento.
.

Implementada op.exp.1.3 1.2. Se mantiene actualizado?

Pgina 206 de 237

Estado Tipo Tarea

50%

Fecha Prevista Responsable Evidencia Dispone de un procedimiento documentado que especifica el responsable y la frecuencia de su revisin y/o actualizacin. El inventario refleja que la fecha de ltima revisin y/o actualizacin concuerda con la especifica da en el procedimiento Hallazgo Pendiente de establecer periodos de revisin. Tarea a generar Establecer un procedimiento documentado de gestin del cambio que garantice que el inventario de los siste mas de informacin es peridicamente revisado y se mantiene actualizado. Para ello, el procedimiento docu mentado de autorizacin de cambios en sistemas de informacin deber tener en cuenta cuales son las modifi caciones realizadas y cmo afecta al inventario actual existente.

Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Prioridad

* op.exp.02 CONFIGURACIN DE SEGURIDAD

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de un procedimiento documentado que indica las actividades a realizar en los sistemas (perfil de seguridad) para su configuracin segura previa a su entrada en operacin Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer un procedimiento documentado de configuracin segura de sistemas y recursos que detalle las acti vidades previas a la puesta en produccin y garantice la proteccin previa del equipamiento y la deshabilitacin de todas las opciones y servicios que no sern empleados.
.

op.exp.2.1 1. Dispone de un procedimiento de fortificacin o bastionado de los sistemas previo a su entrada en operacin? 50% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.exp.2.2 1.1. Indica que se retiren las cuentas y contraseas estndar? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia El procedimiento indica que se retiren las cuentas y contraseas estndar Tarea a generar Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin y deshabilitacin de las cuentas y contraseas por defecto.
.

Implementada Estado Tipo Tarea Fecha Prevista Responsable Evidencia

op.exp.2.3 1.2. Indica que el sistema proporcione la funcionalidad requerida para que la organizacin alcance sus objetivos y ninguna otra funcionalidad? 50% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 207 de 237

El procedimiento indica que se desactiven las funcionalidades no requeridas, ni necesarias, ni de inters o inadecuadas, ya sean gratuitas, de operacin, administracin o auditora Tarea a generar Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos establecer una actividad para la revisin del cumplimiento de la lista de verificaciones y chequeos que toda nueva instalacin debe garantizar. Para ello, es deseable elaborar un checklist de verificaciones y bastionado de equipos que sirva de gua y normalice el conjunto de aspectos a revisar en cada ejecucin del procedimiento documentado de fortalecimiento de configuraciones.
.

op.exp.2.4 2. En caso de existir situaciones que puedan poner en riesgo la seguridad indi Implementada ca el sistema esa posibilidad al usuario, y tiene ste que dar su consentimiento expreso asumiendo el riesgo? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Si el usuario realiza una accin que puede poner en riesgo la seguridad pero la organizacin la consiente bajo la responsabilidad del usuario Pedir registros de consentimiento Hallazgo El sistema lo cumple, pero no est documentado formalmente. Tarea a generar Considerar en la elaboracin del procedimiento documentado de configuracin segura de sistemas y recursos que si el usuario decide no aplicar todas las restricciones y opciones de bastionado sobre el equipo, al menos quede documentado que asume el nivel de riesgo derivado de dicha decisin.

* op.exp.03 GESTIN DE LA CONFIGURACIN

.

Implementada op.exp.3 1. Se gestiona de forma continua la configuracin? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Cumple los requisitos de las medidas [op.acc.4] proceso de gestin de derechos de acceso, [op.exp.2] Configu racin de la Seguridad [op.exp.4] Mantenimiento y [op.exp.7] Gestin de incidencias Dispone de un procedimiento documentado que indica la frecuencia y motivos por los que se debe modificar la configuracin del sistema e incluye: la aprobacin del responsable, la documentacin del cambio, las pruebas de seguridad del sistema bajo la nueva configuracin, y la retencin de la configuracin previa por un tiempo restablecido Consultar si se dispone de copias de seguridad de la configuracin actual y la inmediata anterior de los dife rentes componentes Tarea a generar Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de infor macin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equi pos en los entornos operativos, cuente con el nivel de autorizacin necesario para poder realizar dichas accio nes y contemple procesos de copia de seguridad y protocolos de marcha atrs en caso de problemas con el cambio que deben ser deshechos.

Pgina 208 de 237

* op.exp.04 MANTENIMIENTO
.

Implementada op.exp.4.1 1. Dispone de un plan de mantenimiento del equipamiento fsico y lgico? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento documentado que indica la frecuencia y componentes a revisar Solicitar evidencias de la ejecucin del plan Tarea a generar Establecer un procedimiento documentado de gestin del mantenimiento hardware y software que tenga en cuenta todos los aspectos a controlar para garantizar el correcto funcionamiento y actualizacin de los equipos en los entornos operativos as como la planificacin temporal de dichas tareas.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de las especificaciones de los fabricantes en lo relativo a instalacin y mantenimiento de los sistemas Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin del mantenimiento hardware y soft ware establecer una actividad para verificar que se garantizan los requisitos especificados por el fabricante para el correcto funcionamiento y conservacin de los recursos supervisados.
.

op.exp.4.2 1.1. Atiende a las especificaciones de los fabricantes en lo relativo a instala cin y mantenimiento de los sistemas? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.exp.4.3 1.2. Efecta un seguimiento continuo de los anuncios de defectos? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de mecanismos para el seguimiento continuo (p.ej.: suscripcin a lista de correo de avisos de defectos por parte del fabricante o un proveedor) Tarea a generar Seleccionar las fuentes de informacin relevantes que permitan conocer el estado de la seguridad de los pro ductos y los anuncios realizados por fabricantes o proveedores respecto a vulnerabilidades conocidas y actuali zaciones o parches que mitiguen dichos fallos. En la medida de lo posible, garantizar la recepcin de esa infor macin mediante suscripciones en foros especializados o el seguimiento de publicaciones y noticias relaciona das con esta problemtica.
.

op.exp.4.4 1.3. Dispone de un procedimiento para analizar, priorizar y determinar cundo Implementada aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones, teniendo en cuenta el cambio en el riesgo de cara a su priorizacin? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de un procedimiento documentado: que indica quin y con qu frecuencia monitorizar

Pgina 209 de 237

analizar, priorizar cundo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer un procedimiento documentado de gestin de vulnerabilidades que tenga en cuenta cuando se ana lizarn las vulnerabilidades, cmo se valorarn y qu criterio se utilizar para determinar la prioridad y urgencia de aplicacin, de forma que sea incorporado a la planificacin de cambios segn el procedimiento establecido de gestin de la configuracin y el cambio de sistemas de informacin.

* op.exp.05 GESTIN DE CAMBIOS

.

Implementada op.exp.5.1 1. Dispone de un control continuo de cambios realizados en el sistema? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Procedimiento de gestin del cambio: frecuencia y motivos por lo que se debe cambiar aprobacin del responsable documentacin del cambio pruebas tras el cambio retencin copia de seguridad Tarea a generar Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de infor macin que tenga en cuenta todos los aspectos a controlar previo a la modificacin o actualizacin de los equi pos en los entornos operativos.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Dispone de evidencias de los cambios anunciados y su aplicacin o no Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para valorar la necesidad del cambio y su viabili dad/oportunidad para planificar o rechazar dicha solicitud de cambio o configuracin.
.

op.exp.5.2 1.1. Analiza todos los cambios anunciados por el fabricante o proveedor para determinar su conveniencia para ser incorporados o no? 25% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

op.exp.5.3 1.2. Antes de poner en produccin una nueva versin o una versin parcheada se comprueba en un equipo que no est en produccin (equivalente al de produccin en los Implementada aspectos que se comprueban) que la nueva instalacin funciona correctamente y no dismi nuye la eficacia de las funciones necesarias para el trabajo diario? Estado 0% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Revisin de registros Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Realizacin de una batera de pruebas para garantizar su buen funcionamiento en produccin

Pgina 210 de 237

Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para realizar pruebas del cambio a efectuar en el entorno de produccin sobre equipos similares en los entornos de preproduccin o prueba de forma que se verifique que dichas modificaciones no tendrn consecuencias en los entornos reales. Implementada Estado Tipo Tarea op.exp.5.4 1.3. Se planifican los cambios para reducir el impacto sobre la prestacin de los servicios afectados? 75% Prioridad Media [POS] Procesos de operacin tcnica de Revisin de registros Subproyecto la seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Fecha Prevista Responsable Evidencia Existe un calendario donde se contemplen la realizacin de los cambios previstos Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para planificar y programar el momento adecuado en el que se realizar el cambio o configuracin de forma afecte o altere lo menos posible el funcionamiento normal de los entornos reales.
.

op.exp.5.5 1.4. Se determina mediante anlisis de riesgos si los cambios son relevantes Implementada para la seguridad del sistema? En caso de que el cambio implique una situacin de riesgo de nivel alto es aprobado el cambio explcitamente de forma previa a su implantacin? Estado 0% Prioridad Media [POS] Procesos de operacin tcnica de Tipo Tarea Revisin de registros Subproyecto la seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Los cambios contemplan la actualizacin previa al cambio del anlisis de riesgos Si implica riesgo alto, requiere aprobacin por parte del responsable Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin establecer una actividad para valorar segn el anlisis de riesgo realizado cual es la criticidad e impacto posible que debiera asumirse en caso de posibles incidencias en la ejecucin del cambio.

* op.exp.06 PROTECCIN FRENTE A CDIGO DAINO

.

Implementada op.exp.6.1 1. Dispone de mecanismos de prevencin y reaccin frente a cdigo daino? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de procedimiento documentado y configuracin en los sistemas Dispone de herramientas de proteccin Tarea a generar Dotar a las medidas de seguridad tcnicas de herramientas de prevencin y deteccin de cdigo malicioso.
.

Implementada Estado Tipo Tarea

op.exp.6.2 1.1. Siguen un mantenimiento conforme a las recomendaciones del fabrican te? 100% Prioridad Media [POS] Procesos de operacin tcnica de Revisin de registros Subproyecto la seguridad

Pgina 211 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existen actualizaciones con frecuencia Tarea a generar Establecer un procedimiento documentado de gestin y revisin de software antimalware de forma que se determine el periodo de actualizacin de patrones de firmas a establecer, el despliegue de dichas actualizacio nes sobre los diferentes equipos y sistemas protegidos, el anlisis de resultados obtenidos y la valoracin del rendimiento y eficacia de los productos utilizados.

* op.exp.07 GESTIN DE INCIDENCIAS

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe un procedimiento de gestin de incidencias Es conocido por todo el personal Hallazgo Existe el procedimiento, pero no est documentado formalmente. Tarea a generar Establecer un procedimiento documentado de notificacin de incidentes de seguridad que garantice el registro de los eventos que supongan un problema o puedan suponer un problema potencial y que pudiera ser notifica do por cualquier usuario.
.

op.exp.7.1 1. Dispone de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema? 50% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Se notifican todo tipo de incidencias Existe un sistema de notificacin automatizada Existe un escalado de incidencias Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para registrar la informacin comunicada as como la categorizacin asignada y el nivel de escalado que ha requerido dicha notificacin.
.

op.exp.7.2 1.1. Incluye el reporte de incidentes reales o sospechados, detallando el esca lado de la notificacin? 25% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

op.exp.7.3 1.2. Incluye la toma de medidas urgentes, contemplando la detencin de ser Implementada vicios, el aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros (segn convenga al caso)? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una catalogacin por prioridades e urgencia

Pgina 212 de 237

Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la catalogacin por prioridades de las incidencias a registrar y el nivel de escalado que pudiera requerir dicha notificacin.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Asignacin de recursos para investigar las causas del incidente, analizar las consecuencias y resolver el inci dente Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la asignacin de recursos a los incidentes notificados de forma que se empiece a trabajar en su resolucin.
.

op.exp.7.4 1.3. Incluye la asignacin de recursos para investigar las causas, analizar las consecuencias y resolver el incidente? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.exp.7.5 1.4. Incluye el aviso a las partes interesadas (internas y externas)? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Notificacin y avisos a las partes interesadas Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la notificacin a las partes interesadas de lo sucedido.
.

Implementada op.exp.7.6 1.5. Incluye medidas de prevencin de la repeticin del incidente? Estado 50% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Se analizan las causas del incidente para que no vuelva a suceder Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes establecer una actividad para la valoracin de los tipos de incidente y las posibles causas que los pudieran estar ocasionando. Implementada Estado Tipo Tarea op.exp.7.7 1.6. Incluye en los procedimientos de usuario la identificacin y forma de tratar el incidente? 0% Prioridad Media [MNP] Desarrollo del marco normativo Configuracin tcnica Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Fecha Prevista Responsable Evidencia Existe un base de conocimiento de los incidentes ms comunes Tarea a generar Establecer sobre la informacin registrada de los diferentes incidentes un sistema que permita crear una base de conocimiento de forma que incidentes similares puedan ya ser resueltos en base a la informacin almacena da de la resolucin de tareas anteriores.
.

Pgina 213 de 237

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe una revisin peridica del procedimiento de gestin de incidencias Tarea a generar Revisar peridicamente el contenido de los procedimientos de notificacin y gestin de incidentes para ajustar o realizar mejoras que permitan la reduccin del nmero de incidentes.
.

op.exp.7.8 1.7. Incluye el actualizar, extender, mejorar u optimizar los procedimientos de resolucin de incidencias? 25% Prioridad Media [MNP] Desarrollo del marco normativo Revisin de registros Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia La gestin de incidencias est alineado o integrado con el de gestin de incidencias de la LOPD Contempla la casustica de la LOPD Tarea a generar Considerar en la elaboracin del procedimiento documentado de notificacin de incidentes incluir la informa cin necesaria que debe ser recopilada segn establece el R.D. 1720/2007 en materia de gestin de incidentes relacionadas con datos de carcter personal.

op.exp.7.9 1.8. En caso de afectar el incidente a ficheros con datos de carcter personal contempla su gestin adems lo dispuesto en la LO 15/1999? 50% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.exp.09 REGISTRO DE LA GESTIN DE INCIDENCIAS

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe un procedimiento de gestin de incidencias Existe un registro con todas las incidencias Hallazgo Existe el procedimiento, pero no est documentado formalmente y no todas las actuaciones se registran. Tarea a generar Establecer un procedimiento documentado de gestin de incidentes de seguridad que garantice el registro de los eventos que supongan un problema o puedan suponer un problema potencial y que requieran acciones correctoras o acciones de mejora.
.

op.exp.9.1 1. Se registran todas las actuaciones relacionadas con la gestin de incidencias ([op.exp.7])? 50% Prioridad Media [POS] Procesos de operacin tcnica de Elaboracin de documentacin Subproyecto la seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Incluye en el procedimiento las incidencias ligadas al la gestin de la configuracin y gestin del cambio

op.exp.9.2 1.1. Se registran el reporte inicial, las actuaciones de emergencia y las modifi caciones del sistema derivadas del incidente? 0% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 214 de 237

Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de incidentes, establecer una activi dad para registrar las actuaciones desarrolladas para la resolucin del incidente y las modificaciones o cambios que se hayan tenido que realizar para solventar el mismo.
.

op.exp.9.3 1.2. Se registran aquellas evidencias que puedan, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones Implementada disciplinarias sobre el personal interno, sobre proveedores externos o a la persecucin de delitos? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una gua de evidencias digitales, para la recogida de tales evidencias tal que puedan utilizarse en una demanda judicial Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de incidentes, establecer una activi dad para la valoracin del incidente por si de l pudieran derivarse acciones judiciales de forma que se recojan aquellos registros y trazas que permitan posteriormente aportar las evidencias digitales que pudieran ser nece sarias y relevantes.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe un anlisis de incidencias que determine que eventos deben ser auditados Tarea a generar Considerar en la elaboracin del procedimiento documentado de gestin de incidentes establecer una actividad para la valoracin de los incidentes que se van registrando, su categorizacin y problemtica por si de ello pu dieran detectarse incrementar las necesidades de auditora o proporcionar ms mecanismos de monitorizacin o trazabilidad que permitan recoger informacin suficiente para reducir o mitigar las problemticas detectadas.

op.exp.9.4 2. Se revisa la determinacin de los eventos auditables en base al anlisis de las incidencias? 0% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.exp.11 PROTECCIN DE CLAVES CRIPTOGRFICAS

.

Implementada op.exp.11.1 1. Se protegen las claves criptogrficas durante todo su ciclo de vida? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un procedimiento para la proteccin de las claves criptogrficas: Durante su generacin Transporte al punto de explotacin Custodia Archivo Destruccin final Hallazgo Se redactan contratos con agencias de certificacin (ACCV, FNMT, @firma, etc.). Tarea a generar Establecer un procedimiento documentado de gestin de claves criptogrficas que detalle las actividades a

Pgina 215 de 237

realizar en cada una de las fases del ciclo de vida de las claves (Generacin, instalacin, transporte, revocacin, custodia, copia de seguridad y destruccin) y que cumpla con la normativa de gestin de claves criptogrficas establecida por la Organizacin.
.

Implementada op.exp.11.2 2. Se utilizan medios de generacin aislados de los medios de explotacin? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Elaboracin de documentacin Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Dispone de normativa donde se establezcan que los medios de generacin deben estar aislados de los medios de explotacin Hallazgo Gestionado por la autoridad de certificacin. Tarea a generar Documentar la normativa de gestin de claves criptogrficas donde explcitamente se determine la obligacin de separar los medios de generacin de claves de los medios en produccin o explotacin.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Las claves retiradas se archivan en contenedores fsicos seguros o en contenedores criptogrficos aislados de los de explotacin Hallazgo Gestionado por autoridad de certificacin. Tarea a generar Documentar la normativa de gestin de claves criptogrficas donde explcitamente se determine la obligacin de custodiar separar los medios de generacin de claves de los medios en produccin o explotacin.
.

op.exp.11.3 3. Las claves retiradas de operacin que deban ser archivadas, lo son en me dios aislados de los de explotacin? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe una poltica que los medios de generacin y custodia de explotacin son evaluados o se trata de disposi tivos criptogrficos certificados Hallazgo Generacin por la autoridad de certificacin. El proyecto de Sede Electrnica contempla estas cuestiones. Tarea a generar Documentar la normativa de gestin de claves criptogrficas cuales sern los medios de generacin de claves a utilizar as como qu algoritmos o dispositivos criptogrficos sern empleados tanto en la generacin como en la custodia, archivo y transporte.
.

op.exp.11.4 4. Se utilizan medios de generacin y custodia en explotacin evaluados o dispositivos criptogrficos certificados? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

op.exp.11.5 5. Los medios de generacin y custodia en explotacin emplean algoritmos acreditados por el CCN? 100% Prioridad Media Comprobacin tcnica insitu Subproyecto [MNP] Desarrollo del marco normativo

Pgina 216 de 237

y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe una poltica que especifique q los medios de generacin deben emplear algoritmos acreditados por el CCN Hallazgo Las autoridades de certificacin utilizan algoritmos acreditados por CCN. Tarea a generar Verificar que los medios de generacin y custodia de claves criptogrficas se encuentran acreditados por el Centro Criptolgico Nacional o gozan de las certificaciones tcnicas pertinentes.
.

Implementada op.exp.11.6 6. Los medios de custodia en explotacin estn protegidos? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo Tipo Tarea Comprobacin tcnica insitu Subproyecto y procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Los medios de custodia en explotacin deben emplear tarjetas inteligentes protegidas por contrasea Hallazgo Los certificados de servidor estn protegidos por contrasea. Tarea a generar Verificar que los medios de custodia de claves criptogrficas empleados en explotacin emplean tarjetas cripto grficas protegidas por contrasea o dispositivos criptogrficos.

op.ext SERVICIOS EXTERNOS * op.ext.1 CONTRATOS Y ACUERDOS DE NIVEL DE SERVICIO

.

Implementada op.ext.1.1 1. Se han analizado los riesgos de la contratacin de servicios externos? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Elaboracin de documentacin Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE CONTRATACIN (Organizacin) Evidencia Existencia en el anlisis de riesgos de servicios externos con la calificacin de riesgo asociado Hallazgo Se incluyen el Pliegos los riesgos de la contratacin. Tarea a generar Valorar los riesgos derivados del tercero para contemplar qu requisitos de seguridad deben garantizarse en la prestacin de dichos servicios suministrados por externos.
.

Implementada op.ext.1.2 2.1. Se han identificado las caractersticas del servicio prestado? Estado 100% Prioridad Media [AJS] Aspectos jurdicos relacionados Tipo Tarea Elaboracin de documentacin Subproyecto con seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE CONTRATACIN (Organizacin) Evidencia Procedimiento documentado de contratacin de servicios externos que solicite al proveedor las caractersticas del servicio a prestar Hallazgo Establecidas en Pliegos.

Pgina 217 de 237

Tarea a generar Establecer un procedimiento documentado de contratacin de servicios externos que especifique qu clusulas de contratacin hay que incorporar y cmo se determinarn y medirn los acuerdos de nivel de servicio esta blecidos entre la Organizacin y el prestador.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia El procedimiento de contratacin de servicios externos requiere tambin el detalle de lo que se considera calidad mnima y las consecuencias para el proveedor de su incumplimiento Tarea a generar Contemplar en el procedimiento documentado de contratacin de servicios externos cmo se definirn los niveles mnimos y qu tipo de consecuencias o penalizaciones supondrn para el proveedor.
.

op.ext.1.2 2.2. Lo que se considera calidad mnima y las consecuencias de su incumpli miento? 100% Prioridad Media [AJS] Aspectos jurdicos relacionados Revisin de registros Subproyecto con seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE CONTRATACIN (Organizacin)

Implementada op.ext.1.2 2.3. Las responsabilidades de las partes? Estado 100% Prioridad Media [AJS] Aspectos jurdicos relacionados Tipo Tarea Revisin de registros Subproyecto con seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE CONTRATACIN (Organizacin) Evidencia El procedimiento de contratacin de servicios externos requiere tambin el establecimiento de las funciones o roles, obligaciones y responsabilidades de cada parte Hallazgo Establecidas en Pliegos. Tarea a generar Contemplar en el procedimiento documentado de contratacin de servicios externos quienes sern los diferen tes responsables tanto por parte de la Organizacin como por parte del prestador para la gestin, manteni miento y supervisin del cumplimiento del contrato firmado.

* op.ext.2 GESTIN DIARIA

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Registros de seguimiento y monitorizacin de los acuerdos de nivel de servicio contratados con terceros Hallazgo Establecido en Pliegos. Tarea a generar Elaborar peridicamente los informes de seguimiento de servicios externos.
.

op.ext.2.2 1. Dispone de un sistema rutinario para medir el cumplimiento de las obliga ciones de servicio? 100% Prioridad Media [AJS] Aspectos jurdicos relacionados Revisin de registros Subproyecto con seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE CONTRATACIN (Organizacin)

Implementada Estado Tipo Tarea

op.ext.2.1 1. Dispone de un sistema rutinario para medir el cumplimiento de las obliga ciones de servicio? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad

Pgina 218 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE CONTRATACIN (Organizacin) Evidencia Procedimiento documentado que define la frecuencia de medicin del cumplimiento de las obligaciones de servicio, el responsable de dicha medicin y el protocolo de actuacin en caso de incumplimiento Hallazgo Se suelen recoger en Pliegos las caractersticas del servicio externo. Tarea a generar Establecer un procedimiento documentado de seguimiento de servicios externos de forma que se especifique de qu forma se realizan las actividades de seguimiento de los servicios prestados por terceros.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento documentado que define la frecuencia de medicin del cumplimiento de las obligaciones de servicio y el protocolo de actuacin en caso de incumplimiento o degradacin en la calidad acordada en [op.ext.1] Hallazgo Recogido en procedimiento de control de cumplimiento del Pliego. Tarea a generar Contemplar en el procedimiento documentado de seguimiento de servicios externos cmo se realizara la ges tin de incidentes ante cualquier desviacin de lo acordado o de los niveles mnimos exigibles al servicio.
.

op.ext.2.1 2. Dispone de un procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE CONTRATACIN (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento documentado que define el mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo de nivel de servicio (ANS) Tarea a generar Contemplar en el procedimiento documentado de seguimiento de servicios externos cmo se realizara la coor dinacin y mantenimiento de los sistemas afectados por la prestacin de servicios externos.
.

op.ext.2.1 3. Se han establecido el mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE CONTRATACIN (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento de gestin de incidencias sobre el servicio externo relacionado con el definido en [op.exp.7] Tarea a generar Contemplar en el procedimiento documentado de seguimiento de servicios externos cmo se realizara la ges tin de incidentes ante una contingencia en la propia organizacin o el prestador externo que suponga la acti vacin del Plan de continuidad de Negocio.

op.ext.2.1 4. Se han establecido el mecanismo y los procedimientos de coordinacin en caso de incidencias y desastres? 100% Prioridad Media [MNP] Desarrollo del marco normativo Elaboracin de documentacin Subproyecto y procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE CONTRATACIN (Organizacin)

Pgina 219 de 237

op.pl PLANIFICACIN * op.pl.1 ANLISIS DE RIESGOS

Implementada op.pl.1.1 1. Dispone de un anlisis de riesgos, al menos, informal? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Proyecto tcnico Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documento anlisis aprobado por Direccin Metodologa lenguaje natural y simple Procedimiento de revisin y aprobacin del anlisis de riesgos Hallazgo Realizacin de anlisis de riesgos como parte del Plan de Adecuacin ENS. Tarea a generar Seleccionar una metodologa de anlisis y gestin del riesgo y realizar un estudio de los mismos para la Organi zacin. Dicha metodologa puede ser informal pero debe documentar cuales son los criterios utilizados para la estimacin de activos y amenazas que da por fruto una determinada manera de calcular el riesgo.
.

Implementada op.pl.1.2 1.1. Identifica los activos ms valiosos del sistema? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Principales servicios que presta la organizacin Tarea a generar Comprobar que en los documentos de anlisis de riesgos estn identificados los activos ms valiosos.
.

Implementada op.pl.1.3 1.2. Identifica las amenazas ms probables? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Amenazas ms probables Tarea a generar Comprobar que en los documentos de anlisis de riesgos las amenazas ms probables se encuentran identifica das.
.

Implementada op.pl.1.4 1.3. Identifica las salvaguardas que protegen de dichas amenazas? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Salvaguardas de que se disponen Tarea a generar Comprobar que en los documentos de anlisis de riesgos se identifican las salvaguardas que protegen las ame nazas de la Organizacin.

Pgina 220 de 237

Implementada op.pl.1.5 1.4. Identifica los principales riesgos residuales? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Aprobacin de los riesgos residuales Tarea a generar Comprobar que en los documentos de anlisis de riesgos se identifican los riesgos residuales de la Organizacin.
.

Implementada op.pl.1.6 2. Dispone de un anlisis de riesgos, al menos, semi formal? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Proyecto tcnico Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documento anlisis aprobado por Direccin Metodologa definida y lenguaje especfico Procedimiento de revisin y aprobacin del anlisis de riesgos Hallazgo Metodologa MAGERIT v.2 Tarea a generar Seleccionar una metodologa formal de anlisis y gestin del riesgo y realizar un estudio de los mismos para la Organizacin.
.

Implementada op.pl.1.7 2.1. Identifica y valora cualitativamente los activos ms valiosos del sistema? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Servicios y elementos q los sustentan, valorados cualitativamente Tarea a generar Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los activos ms valio sos del sistema.
.

Implementada op.pl.1.8 2.2. Identifica y cuantifica las amenazas ms probables? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Amenazas ms probables y cuantificadas Tarea a generar Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa
.

op.pl.1.9 2.3. Identifica y valora las salvaguardas que protegen de dichas amenazas (p.ej.: Implementada extintor en todos los pasillos, antivirus en todos los servidores, puerta con cerradura slo en el CPD, etc.)? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Revisin de registros Subproyecto formacin

Pgina 221 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Salvaguardas de que se disponen y eficacia Tarea a generar Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa las salvaguardas que protegen las amenazas de la Organizacin. Implementada op.pl.1.10 2.4. Identifica y valora el riesgo residual? Estado 100% Prioridad Media [GSI] Gestin de la seguridad de la in Tipo Tarea Aprobacin formal Subproyecto formacin Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Aprobacin de los riesgos residuales respecto a una tabla de equivalencia Tarea a generar Comprobar que en los documentos de anlisis de riesgos se valoran de forma cualitativa los riesgos residuales de la Organizacin.

* op.pl.2 ARQUITECTURA DE SEGURIDAD

.

Implementada op.pl.2.1 1. Dispone de documentacin de las instalaciones? Estado 50% Prioridad Media Tipo Tarea Revisin de registros Subproyecto [PFI] Proteccin fsica de infraestructuras Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documentacin descriptiva de las instalaciones Hallazgo Pendiente de documentar para todos los sistemas e infraestructuras. Tarea a generar Disponer de documentacin que describa la arquitectura fsica de los sistemas de informacin de la Organiza cin y las infraestructuras fsicas donde estos son albergados.
.

Implementada op.pl.2.2 1.1. Precisa las reas? Estado 0% Tipo Tarea

Fecha Prevista Responsable Evidencia Limitacin de zonas o reas existentes (p.ej.: CPD, zona de acceso pblico, zona de carga y descarga, zona de operadores, etc.) Tarea a generar Disponer de una clasificacin de las reas fsicas de las instalaciones donde se albergan los sistemas de informa cin de la Organizacin.
.

Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Prioridad

Implementada op.pl.2.3 1.2. Precisa los puntos de acceso? Estado 50% Prioridad Tipo Tarea

Fecha Prevista Responsable Evidencia Identificar puntos de acceso (p.ej.: puerta principal, salida de emergencia, etc.)

Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 222 de 237

Tarea a generar Identificar los puntos de acceso a las instalaciones donde se albergan los sistemas de informacin de la Organi zacin.
.

Implementada op.pl.2.4 2. Dispone de documentacin del sistema? Estado 0% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Revisin de registros Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Inventario Sistemas de informacin y un procedimiento para su revisin (bien explcitamente o implcitamente en los documentos de gestin de cambios) Tarea a generar Disponer de documentacin sobre la arquitectura lgica de los sistemas de informacin de la Organizacin as como un procedimiento documentado de revisin, gestin del cambio y actualizacin del inventario de los sis temas de informacin.
.

Implementada op.pl.2.5 2.1. Precisa los equipos? Estado 0% Prioridad Tipo Tarea

Fecha Prevista Responsable Evidencia Inventario Sistemas de informacin. (p.ej.: servidor de correo, robot de backup, etc.) Tarea a generar Disponer de un inventario de los recursos que forman la arquitectura lgica de los sistemas de informacin de la Organizacin.
.

Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.2.6 2.2. Precisa las redes internas y conexiones al exterior? Estado 0% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Revisin de registros Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Incluye en el inventario de redes y elementos de red que forman la arquitectura de comunicaciones Tarea a generar Disponer de documentacin sobre la arquitectura fsica y lgica de las comunicaciones que interconectan los sistemas de informacin de la Organizacin con el resto de organizaciones.
.

Implementada op.pl.2.7 2.3. Precisa los puntos de acceso al sistema? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Incluye en el Inventario de los modos de acceso Tarea a generar Identificar los puntos de acceso lgico a la arquitectura de los sistemas de informacin de la Organizacin.
.

Implementada op.pl.2.8 3. Dispone y tiene documentacin de lneas de defensa? Estado 0% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Revisin de registros Subproyecto seguridad

Pgina 223 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Incluye en el inventario equipos de seguridad (p.ej.: firewalls, antivirus, antispam, antiphishing, etc.) Hallazgo Se dispone de lneas de defensa, pero no suele estar documentado. Tarea a generar Disponer de documentacin sobre la arquitectura lgica de las comunicaciones y las medidas de proteccin perimetral que vigilan la interconexin de los sistemas de informacin de la Organizacin con el resto de orga nizaciones.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Incluye en el inventario interconexiones externas Tarea a generar Disponer de documentacin sobre la arquitectura fsica y lgica de las comunicaciones que interconectan los sistemas de informacin de la Organizacin con el resto de organizaciones.
.

op.pl.2.9 3.1. Precisa los puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de Internet? 0% Prioridad Media [MOS] Monitorizacin operativa de la Revisin de registros Subproyecto seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.2.10 3.2. Precisa los cortafuegos, DMZ, etc.? Estado 25% Prioridad Media [MOS] Monitorizacin operativa de la Tipo Tarea Revisin de registros Subproyecto seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Incluye en el inventario equipos de seguridad (p.ej.: la conexin con Internet se realiza a travs de un firewall, etc.) Tarea a generar Disponer de documentacin sobre la arquitectura lgica de las comunicaciones y las medidas de proteccin perimetral que vigilan la interconexin de los sistemas de informacin de la Organizacin con el resto de orga nizaciones.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Utiliza sistemas distintos con software distinto (p.ej.: el antivirus del firewall es diferente del antivirus del ser vidor de correo, el sistema operativo del router es diferente del sistema operativo del firewall, etc.) Tarea a generar Seleccionar tecnologas de seguridad distintas en los diferentes elementos de proteccin perimetral para evitar que una vulnerabilidad sobre un determinado producto software o fabricante pudiera comprometer de golpe a todos los equipos de proteccin. Implementada Estado Tipo Tarea op.pl.2.12 4. Dispone de documentacin del sistema de identificacin y autenticacin de usuarios? 100% Prioridad Media Elaboracin de documentacin Subproyecto [MNP] Desarrollo del marco normativo y

op.pl.2.11 3.3. Precisa la utilizacin de tecnologas diferentes para prevenir vulnerabili dades que pudieran perforar simultneamente varias lneas de defensa? 0% Prioridad Media [FCE] Fortalecimiento de configuraciones Proyecto tcnico Subproyecto en equipos y aplicaciones 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 224 de 237

procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documento que detalla los sistemas de identificacin y autenticacin de usuarios Normativa de control de acceso Tarea a generar Documentar la normativa de control de acceso (identificacin y autenticacin de usuarios para cada sistema o servicio). Implementada Estado Tipo Tarea op.pl.2.13 4.1. Precisa el uso de claves concertadas, contraseas, tarjetas de identifica cin, biometra, u otras de naturaleza anloga? 100% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Fecha Prevista Responsable Evidencia Documentacin de la autenticacin a los sistemas Normativa de control de acceso Tarea a generar Especificar en la normativa de control de acceso los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin. Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Documentacin de la gestin de contraseas y almacenaje Normativa de control de acceso Tarea a generar Especificar en la normativa de control de acceso cuales son los repositorios de informacin empleados por los mtodos de identificacin y autenticacin de usuarios que son vlidos para la Organizacin.

op.pl.2.14 4.2. Precisa de ficheros o directorios para autenticar al usuario y determinar sus derechos de acceso (p.ej.: /etc/passwd en Linux, Active Directory en Windows, etc.)? 100% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.2.15 5. Dispone y tiene documentacin de los controles tcnicos internos? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documentacin del intercambio de documentacin con otros sistemas Normativa de control de acceso Tarea a generar Especificar en la normativa de control de acceso cmo se controlan los datos una vez en los sistemas (p.ej.: el intercambio de informacin con otros sistemas va acompaado de hashes para evitar su alteracin, etc.). Implementada op.pl.2.16 5.1. Precisa la validacin de datos de entrada, salida y datos intermedios? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin)

Pgina 225 de 237

Evidencia Documentacin de cmo se controlan validan las entradas o salidas de datos a utilizar por las aplicaciones Normativa de control de acceso Tarea a generar Especificar en la normativa de control de acceso qu mecanismos de seguridad se implantarn para evitar pro blemas en los formularios de entrada, tratamiento o salida de datos de los sistemas de informacin.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Proceso de autorizacin y revisin de la arquitectura de seguridad (ej altas de nuevos usuarios, nuevos acce sos, conexiones Tarea a generar Establecer un procedimiento documentado de gestin de cambios de los sistemas de informacin. Dicho proce so puede formalizarse mediante un procedimiento documentado de autorizacin de cambios en sistemas de informacin.

op.pl.2.17 6. Dispone de documentacin del sistema de gestin con actualizacin y apro bacin peridica? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.pl.3 ADQUISICIN DE NUEVOS COMPONENTES

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento de requisitos de adquisicin de nuevos componentes Hallazgo Pendiente de documentar. Tarea a generar Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de infor macin. Dicho proceso puede formalizarse mediante un procedimiento documentado de autorizacin de cam bios en sistemas de informacin.
.

op.pl.3.1 1. Existe un proceso formal para planificar la adquisicin de nuevos componen tes del sistema? 25% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.3.2 1.1. Atiende las conclusiones del anlisis de riesgos [op.pl.1]? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Atiende al anlisis de riesgos y se han estudiado sus riesgos Tarea a generar Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin el nivel de riesgo de los elementos afectados por los cambios y los diferentes tipos de actuaciones segn el nivel de riesgo y criticidad de los equipos afectados por los cambios.
.

Implementada op.pl.3.3 1.2. Es acorde con la arquitectura de seguridad [op.pl.2]? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad

Pgina 226 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Esta en conformidad con el resto del sistema Tarea a generar Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin cuales son las medidas de proteccin perimetral establecidas de forma que los cambios no elimi nen o reduzcan las medidas ya existentes y deber valorar cmo quedan las medidas de seguridad tras los cam bios realizados garantizando al menos el mismo nivel que ya exista.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Se tienen contemplados requisitos tcnicos y de formacin y mantenimiento Tarea a generar Considerar en el procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de informacin que los nuevos equipos cumplan los requisitos tcnicos necesarios para que su incorporacin no suponga el fallo o avera de los recursos ya existentes operativos y deber valorar cmo afectarn los nuevos recursos sobre el funcionamiento de los sistemas ya existentes para evitar cualquier incidente ocasionado por la incorporacin de estos nuevos recursos.

op.pl.3.4 1.3. Contempla las necesidades tcnicas, de formacin y de financiacin de forma conjunta? 100% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

* op.pl.4 DIMENSIONAMIENTO / GESTIN DE CAPACIDADES

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento de gestin de capacidades Hallazgo Pendiente de documentar. Tarea a generar Establecer un procedimiento documentado de gestin de la configuracin y el cambio de los sistemas de infor macin que tenga en consideracin la gestin de capacidades y las necesidades de dimensionamiento de los sistemas de informacin. Ello se puede materializar en un procedimiento documentado de gestin de cambios en los sistemas de informacin.

op.pl.4.1 1. Antes de la puesta en explotacin, se han estudiado las necesidades de di mensionamiento? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.4.2 1.1. Cubre las necesidades de procesamiento? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Necesidades de cpu, memoria, dispositivos Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta las capacidades y necesidades de cpu, memoria, dispositivos que vayan a ser aadidos para evitar sobrepasar los recursos disponibles.

Pgina 227 de 237

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Tener en cuenta volumen de datos generado, das, dispositivos Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta las capacidades y necesidades de almacenamiento para evitar sobrepasar los recursos disponibles.
.

op.pl.4.3 1.2. Cubre las necesidades de almacenamiento de informacin: durante su pro cesamiento y durante el periodo que deba retenerse? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada op.pl.4.4 1.3. Cubre las necesidades de comunicacin? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Tener en cuenta ancho de banda disponible, datos a transmitir Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta las capacidades y necesidades de ancho de banda para evitar sobrepasar los recursos disponibles.
.

Implementada op.pl.4.5 1.4. Cubre las necesidades de personal: cantidad y cualificacin profesional? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Tener en cuenta personal y cualificacin adecuada Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta el nivel de conocimiento y capacidades tcnicas del personal responsable para evitar errores o el desconocimiento en la gestin y manejo del nuevo equipamiento o aplicaciones.
.

Implementada op.pl.4.6 1.5. Cubre las necesidades de instalaciones y medios auxiliares? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Tener en cuenta necesidades de instalacin y ocupacin Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que tenga en cuenta las capacidades de las instalaciones y medios auxiliares existentes para evitar sobrepasar los recursos disponibles.

Pgina 228 de 237

* op.pl.5 COMPONENTES CERTIFICADOS

.

op.pl.5.1 1. Se utilizan preferentemente sistemas, productos o equipos cuyas funcionali Implementada dades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o interna cionales? Estado 100% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Procedimiento de adquisicin de componentes conforme a normas europeas o internacionales (ISO/IEC 15408 Common Criteria). Diseo, anlisis, nivel de confianza... Hallazgo Se utilizan sistemas, productos y equipos certificados, y se establece como requisito en los Pliegos. Tarea a generar Considerar en la elaboracin del procedimiento documentado de autorizacin de cambios en sistemas de in formacin que se verifiquen las caractersticas tcnicas del equipamiento de forma que se garantice el cumpli miento de los requisitos tcnicos necesarios y se avale dicho cumplimiento con las certificaciones tcnicas que sean pertinente solicitar.
.

Implementada op.pl.5.2 2. Y estn certificados por entidades independientes de reconocida solvencia? Estado 100% Prioridad Media [FCE] Fortalecimiento de configuraciones Tipo Tarea Comprobacin tcnica insitu Subproyecto en equipos y aplicaciones Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Certificaciones emitida por entidades independientes de reconocida solvencia Tarea a generar Verificar que las caractersticas tcnicas del equipamiento a adquirir disponen de las acreditaciones y certifica ciones mnimas exigibles segn las recomendaciones establecidas por el Centro Criptolgico Nacional.

org MARCO ORGANIZATIVO * org.1 POLTICA DE SEGURIDAD

.

Implementada org.1.1 1. Dispone de una poltica de seguridad escrita? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Documento impreso o electrnico firmado digitalmente Hallazgo Se dispone de borrador de poltica de seguridad, elaborado durante el Plan de Adecuacin ENS. Pendiente de aprobar por el rgano Competente. Tarea a generar Elaborar un documento escrito que formalice la Poltica de seguridad de la Organizacin de acuerdo a los con tenidos mnimos que debe tener dicho documento. Implementada Estado Tipo Tarea org.1.2 1.1. Ha sido aprobada por el rgano superior competente (de acuerdo a lo esta blecido en el artculo 11 del RD 3/2010)? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Aprobacin formal Subproyecto procedimental de seguridad

Pgina 229 de 237

Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe acta o registro firmado aprobacin por el Comit de Seguridad Tarea a generar Aprobar la Poltica de seguridad por parte del organismo superior competente que corresponda segn el Articu lo 11 del R.D. 3/2010.
.

Implementada org.1.3 1.2. Precisa los objetivos y misin de la organizacin? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Definicin de los objetivos y misin dentro de la poltica de seguridad Hallazgo Los precisar una vez sea aprobada la poltica de seguridad. Tarea a generar Definir dentro del documento Poltica de seguridad un apartado que detalle los Objetivos y Misin de la Organi zacin.
.

Implementada org.1.3 1.3. Precisa el marco legal y regulatorio en el que se desarrollarn las actividades? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Identificacin de las leyes que les aplica Tarea a generar Definir dentro del documento Poltica de seguridad un apartado que detalle el Marco Legal y Regulatorio de la Organizacin.
.

org.1.3 1.4. Precisa los roles o funciones de seguridad, definiendo para cada uno, los de Implementada beres y responsabilidades del cargo, as como el procedimiento para su designacin y reno vacin? Estado 25% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Asignacin formal y definicin de Roles de seguridad (responsable de la informacin, responsable del servicio, responsable de seguridad, responsable del sistema, administradores, operadores, usuarios Hallazgo Pendiente de concretar en la poltica de seguridad los roles y funciones en materia de seguridad. Tarea a generar Definir en la Poltica de seguridad los Roles y Funciones de Seguridad de la organizacin
.

org.1.3 1.5. Precisa la estructura del comit/s para la gestin y coordinacin de la seguri Implementada dad, detallando su mbito de responsabilidad, los miembros y la relacin con otros elemen tos de la organizacin? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo)

Pgina 230 de 237

Responsable RESPONSABLE TIC (Organizacin) Evidencia Componentes del Comit de seguridad y si esta representado por todas las reas implicadas y la alta direccin Tarea a generar Dotar a la Organizacin de una estructura organizativa que de soporte a la gestin y coordinacin de la seguri dad, basada en Comits de Seguridad.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe ciclo de aprobacin o procedimiento de gestin de la documentacin de Seguridad Tarea a generar Definir la estructura jerrquica de la documentacin que dar soporte a la Poltica de Seguridad as como un procedimiento documentado de gestin y aprobacin de dicha documentacin.
.

org.1.3 1.6. Precisa las directrices para la estructuracin de la documentacin de seguri dad del sistema, su gestin y acceso? 75% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe documento de seguridad LOPD actualizado y refleja la realidad Tarea a generar Comprobar que el Documento de Seguridad LOPD se encuentra actualizado y es coherente con la Poltica de Seguridad.
.

org.1.3 1.7. En aquello en lo que se corresponda con el Documento de Seguridad exigido por el R.D. 1720/2007 hace referencia y es coherente con el mismo? 75% Prioridad Media [MNP] Desarrollo del marco normativo y Revisin de registros Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada org.1.4 1.8. Ha sido difundida o distribuida entre el personal afectado? Estado 0% Prioridad Media Formacin y difusin de normas y [MNP] Desarrollo del marco normativo y Tipo Tarea Subproyecto procedimientos procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Publicacin en la intranet, buzn, envi de email... Tarea a generar Comprobar que la Poltica de Seguridad se distribuye entre el personal afectado
.

Implementada org.1.5 1.9. Se tiene previsto una actualizacin la poltica de seguridad? Estado 75% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Procedimiento de revisin de poltica de seguridad Tarea a generar Establecer un procedimiento documentado de revisin y actualizacin de la Poltica de Seguridad que determi ne con qu periodicidad se realizar, quienes sern los responsables de dicha revisin y qu tipo de modifica ciones requerirn de nuevo la aprobacin de la nueva versin del documento.

Pgina 231 de 237

* org.2 NORMATIVA DE SEGURIDAD

.

org.2.1 1. Dispone de uno o varios documentos que constituyan la normativa de seguri dad escrita? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un registro documentado Esta aprobada por el Comit Procedimiento de revisin y firma regular Tarea a generar Definir la estructura del marco de normas y procedimientos de seguridad y elaborar un procedimiento docu mentado de control de documentos del marco normativo Implementada
.

Implementada org.2.2 1.1. Precisa el uso correcto de equipos, servicios e instalaciones? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe Norma de uso de los sistemas Proteccin de equipos desatendidos Uso del correo electrnico Acceso fsico a las instalaciones, etc. Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se indiquen cuales son las pautas de comportamiento adecuadas que se esperan de los usuarios y responsables de los sistemas de informacin.
.

Implementada org.2.3 1.2. Precisa lo que se considera uso indebido? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe normativa que indique lo que se considera un mal uso de los equipos, las instalaciones, la informa cin... Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se especifiquen cuales son las responsabilidades del personal con respecto al cumplimiento o violacin de estas normas de acuerdo con la legislacin vigente.
.

org.2.4 1.3. Precisa la responsabilidad del personal con respecto al cumplimiento o viola Implementada cin de estas normas (derechos, deberes y medidas disciplinarias de acuerdo con la legisla cin vigente)? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe un procedimiento disciplinario (ley 7/2007, de 12 de abril, del Estatuto Bsico del Empleado Pblico o adaptaciones particulares

Pgina 232 de 237

Tarea a generar Elaborar un documento escrito que formalice las "Normas de uso de los sistemas de informacin de la Organi zacin", donde se indiquen tambin cuales son los usos no correctos o indebidos de los sistemas de informa cin.
.

org.2.5 1.4. Ha sido difundida, as como cualquier actualizacin de la misma entre el per sonal afectado? Estado 0% Prioridad Media Formacin y difusin de normas y [MNP] Desarrollo del marco normativo y Tipo Tarea Subproyecto procedimientos procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Publicacin en la intranet, buzn, envi de email... Tarea a generar Dar difusin y distribuir el documento "Normas de uso de los sistemas de informacin de la Organizacin" para que sea conocido y accesible por los empleados de la Organizacin. Implementada

* org.3 PROCEDIMIENTOS DE SEGURIDAD

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimientos de seguridad aprobados por el comit Backup, altas de usuarios, incidencias... Hallazgo Se dispone de algunos procedimientos, pero queda pendiente documentar el resto, as como actualizar los ya redactados. Tarea a generar Definir la estructura y contenidos mnimos que debern especificar los procedimientos de seguridad. Al menos, debern indicar cmo llevar a cabo las tareas, quin debe hacerlas y cmo identificar y reportar comportamien tos anmalos.
.

org.3.1 1. Dispone de uno o varios documentos que constituyan los procedimientos de seguridad escritos? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada org.3.2 1.1. Precisan cmo llevar a cabo las tareas habituales? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Revisin de registros Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Cubren las tareas, qu se debe hacer, registros, etc. Tarea a generar Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que describa c mo se llevan a cabo las tareas especificadas.
.

Implementada org.3.3 1.2. Precisan quin debe hacer cada tarea? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Revisin de registros Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin)

Pgina 233 de 237

Evidencia Se asigna a cada tarea un rol Tarea a generar Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que describa los roles y responsabilidades del personal vinculado al procedimiento documentado de forma que establezca cla ramente quin debe hacerlas.
.

Implementada org.3.4 1.3. Precisan cmo identificar y reportar comportamientos anmalos? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Revisin de registros Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Procedimiento de gestin de incidencias Tarea a generar Contemplar en la estructura de todo procedimiento documentado de seguridad un apartado que detalle cmo se identificarn y reportarn comportamientos no esperados o anmalos en la ejecucin del procedimiento.

* org.4 PROCESO DE AUTORIZACIN

.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Procedimiento formal de autorizaciones de nuevos recursos Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que determine qu cambios requerirn autorizacin, cul ser el flujo de trabajo a seguir para la solicitud, revisin y autorizacin as como qu registro debe quedar de dicho procedimiento. Implementada Estado Tipo Tarea

org.4.1 1. Existe un proceso formal para las autorizaciones respecto a los sistemas de informacin? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Fecha Prevista Responsable Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple las modificaciones sobre las instalaciones donde residen los sistemas de informa cin. Este proceso debe establecer la persona o punto de contacto para autorizar un determinado componente o actuacin y debe dejar un registro documentado de dicha autorizacin. Implementada Estado Tipo Tarea Fecha Prevista org.4.3 1.2. Cubre la entrada de equipos en produccin, en particular, equipos que invo lucren criptografa? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo)

org.4.2 1.1. Cubre la utilizacin de instalaciones, tanto habituales como alternativas (p.ej.: acceso al CPD, etc.)? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 234 de 237

Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la incorporacin de nuevo equipamiento hardware en los entornos de produccin. Implementada Estado Tipo Tarea org.4.4 1.3. Cubre la entrada de aplicaciones en produccin (p.ej.: actualizacin de par ches en el sistema operativo, instalacin de nuevas aplicaciones, etc.)? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Fecha Prevista Responsable Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la gestin de cambios y actualizacin de sistemas operativos o aplicaciones en los entornos de produccin.
.

Implementada org.4.5 1.4. Cubre el establecimiento de enlaces de comunicaciones con otros sistemas? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la gestin de cambios y actualizacin de los equipos de interconexin y comunica ciones en los entornos de produccin.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos medios de comunicacin.
.

org.4.6 1.5. Cubre la utilizacin de medios de comunicacin (tanto habituales como alter nativos)? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Existe registro de solicitud y autorizacin Tarea a generar

org.4.7 1.6. Cubre la utilizacin de soportes de informacin (p.ej.: cintas de backup, DVD, memorias USB, etc.)? 0% Prioridad Media [MNP] Desarrollo del marco normativo y Elaboracin de documentacin Subproyecto procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 235 de 237

Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos soportes de informacin.
.

Implementada org.4.8 1.7. Cubre la utilizacin de equipos mviles (ordenadores porttiles, PDA, etc.)? Estado 0% Prioridad Media [MNP] Desarrollo del marco normativo y Tipo Tarea Elaboracin de documentacin Subproyecto procedimental de seguridad Fecha Prevista 13/12/2010 31/12/2012 (Periodo Corto Plazo) Responsable RESPONSABLE TIC (Organizacin) Evidencia Existe registro de solicitud y autorizacin Tarea a generar Establecer un procedimiento documentado de autorizacin para la incorporacin de recursos a los sistemas de informacin que contemple la utilizacin de nuevos equipos mviles.
.

Implementada Estado Tipo Tarea

Fecha Prevista Responsable Evidencia Publicacin en la intranet, buzn, envo de email... Tarea a generar Dar difusin y distribuir el procedimiento documentado de autorizacin de nuevos recursos para que sea cono cido y accesible por los empleados de la Organizacin.

org.4.9 1.8. Ha sido difundido, as como cualquier actualizacin de los mismos, entre el personal afectado? 0% Prioridad Media Formacin y difusin de normas y [MNP] Desarrollo del marco normativo y Subproyecto procedimientos procedimental de seguridad 13/12/2010 31/12/2012 (Periodo Corto Plazo) RESPONSABLE TIC (Organizacin)

Pgina 236 de 237

Crditos
Patrocinador del Proyecto: DIPUTACIN DE ALICANTE Direccin y Coordinacin del Proyecto: Jos Luis Verd Lpez. Jefe del Servicio de Informtica de la Diputacin de Alicante. Participantes (Tcnicos Informticos Municipales) o o o o o o o o o o o o o o o Ana Isabel Mora Ortiz (Ayuntamiento de Orihuela) Francisco Serrano Muoz (Ayuntamiento de El Pins) Gema Berenguer Candela (Ayuntamiento de Crevillente) Isidro Maci Marchante (Ayuntamiento de Hondn de las Nieves) Joaqun LLorca Lloret (Ayuntamiento de Finestrat) Jos Javier Chinchilla Ruiz (Ayuntamiento de Cocentaina) Juan Antonio Martnez Alfonso (Ayuntamiento de Aspe) Juan Antonio Vilaplana Esp (Ayuntamiento de Alcoi) Juan Manuel Ramos Crespo (Ayuntamiento de San Vicente del Raspeig) Juan Vicente Oller Redun (Ayuntamiento de Teulada) Luis Fabin Alzamora Ibarra (Ayuntamiento de Novelda) Mara Jess Snchez Dez (Ayuntamiento de Rojales) Pedro Sastre Catala (Ayuntamiento de Ondara) Salvador Llobel Puig (Ayuntamiento de Benissa) Valentn Gea de Gea (Ayuntamiento de Pilar de la Horadada)

Colaboracin de la empresa o o

a travs de:

Renato Aquilino Pujol CISA, CISM, CGEIT, L.A. ISO 27001 Jorge Royo Ballester CISA, E.U. Proteccin de Datos / Privacidad

Coordinacin administrativa: Pedro Saiz Pertusa. Dpto. Formacin y Calidad. Diputacin de Alicante.

Pgina 237 de 237

DepartamentodeFormacin 965.12.12.13 965.13.40.55 formacio@dip alicante.es http://formacion.ladipu.com/