ESQUEMA NACIONAL

DE SEGURIDAD
PRINCIPIOS BSICOS

1- Seguridad integral
1.1 Proceso integral de los elementos tcnicos, humanos, materiales y organizativos.
1.2 Concienciacin del personal que intervienen en el proceso y sus responsabilidades.
2- Gestin de riesgos
2.1 Anlisis y gestin de riesgos permanentemente actualizados.
2.2 Mantenimiento de un entorno controlado, minimizando todos los riesgos hasta
un alto nivel de seguridad.
3- Prevencin, reaccin y recuperacin
3.1 Contemplar aspectos de prevencin, deteccin y correccin para evitar las
amenazas, tanto de la informacin, como de los servicios.
3.2 Prevencin y eliminacin de amenazas que afecten al sistema, para ello se
dispone de disuasin y reduccin de la exposicin.
3.3 Se dispondr de medidas de reaccin, para acortar los tiempos de respuesta ante
incidentes.
3.4 Disposicin de medios de recuperacin casi inmediata.
3.5 Garanta de conservacin de los datos en soporte electrnico, al igual que de los
servicios mientras se disponga de la informacin.
4- Lneas de defensa
4.1 Disponer de estrategias de proteccin en mltiples capas de seguridad, de forma
que ante el fallo de una de las capas:
4.1.1 Ganar tiempo de reaccin ante incidentes.
4.1.2 Reducir la probabilidad de que el sistema sea comprometido
globalmente.
4.1.3 Minimizar el impacto final.
4.2 Disponer de lneas de defensa organizativa, fsicas y lgicas.
5- Reevaluacin peridica
5.1 Revisin y actualizacin peridica de los sistemas de seguridad.
6- Funcin diferenciada
6.1 Diferenciacin de los responsables de la informacin, del servicio y de la
seguridad, disponiendo en todo momento de las atribuciones de cada responsable y
los mecanismos de coordinacin y resolucin de conflictos. Estos roles son:
6.1.1 Responsable de la informacin. Determina los requisitos de la
informacin tratada.
6.1.2 Responsable del servicio. Determina los requisitos de los servicios
prestados.
6.1.3 Responsable de seguridad. Toma de decisiones para satisfacer los
requisitos de la seguridad de la informacin y de los servicios.

REQUISITOS MNIMOS

La poltica de seguridad se establece en base a los principios bsicos indicados y es de

aplicacin en base a los siguientes requisitos mnimos, siempre identificados en base a los
riesgos identificados de cada sistema:

1- Organizacin e implantacin del proceso de seguridad

1.1 La seguridad debe comprometer a todos los miembros de la organizacin.
2- Anlisis y gestin de los riesgos
 2.1 Cada organizacin con tratamiento de datos, es responsable de su propia gestin
de riesgos.
2.2 La gestin se realizar por medio del anlisis y tratamiento de los riesgos a los
que estn expuestos.
2.3 Las medidas adoptadas para mitigar o suprimir los riesgos debern estar
justificadas y sern proporcionales a los riesgos.
3- Gestin de personal
3.1 Todo el personal relacionado con la informacin y los sistemas deber estar
formado e informado de sus deberes y obligaciones en materia de seguridad, y estas
ser supervisadas para garantizar su cumplimiento.
3.2 El personal relacionado con la informacin y los sistemas, ejercitar y aplicar los
principios de seguridad en el desempeo de su cometido.
3.3 El significado y alcance del uso seguro del sistema se concretar y plasmar en
unas normas de seguridad.
3.4 Para la correccin y el no repudio, cada usuario debe disponer de un acceso
nico y personal a la informacin y los servicios, que le identifique de forma certera.
4- Profesionalidad
4.1 La seguridad de los sistemas estar atendida, revisada y auditada en todo
momento por personal cualificado en la seguridad, tanto para la instalacin, el
mantenimiento, la gestin de incidencias y el desmantelamiento.
4.2 Todo el personal recibir formacin especfica para garantizar la seguridad de las
tecnologas de la informacin.
4.3 Debe exigirse de manera objetiva y no discriminatoria, que las organizaciones
que les presten servicios, cuenten con niveles de seguridad adecuados.
5- Automatizacin y control de los accesos
5.1 El acceso a los sistemas de informacin deber ser controlado y limitado a sus
usuarios, procesos, dispositivos y otros sistemas, debidamente autorizados y
restringiendo los accesos no necesarios.
6- Proteccin de las instalaciones
6.1 Los sistemas de almacenamiento de datos debern estar en reas separadas y
con un control de acceso adecuado.
7- Adquisicin de productos
7.1 Para la adquisicin de productos de seguridad de las tecnologas, se dar un alto
valor a los productos que dispongan de una funcionabilidad certificada de seguridad
relacionada con el objeto de su adquisicin.
7.2 La certificacin indicada en el punto anterior, deber estar acorde a las
normativas y estndares de mayor reconocimiento internacional en el mbito de
seguridad.
7.3 Se determinar el criterio a cumplir en funcin del uso previsto del producto.
Este criterio ser determinado por la orden ministerial PRE/2740/2007, de 19 de
septiembre, determinada por las normas internacionales.
8- Seguridad por defecto
Los sistemas de seguridad debern ser diseados y configurarse con los siguientes
patrones:
8.1 El sistema proporcionar la mnima funcionabilidad requerida, sin
funcionabilidades adicionales que generen un punto crtico en la seguridad.
8.2 Las funciones de operacin, administracin y registro de actividad sern las
mnimas necesarias, y se asegurar que slo son accesibles por las personas, o desde
 emplazamientos o equipos autorizados, pudiendo exigirse restricciones horarias y de
puntos de acceso.
8.3 En un sistema de explotacin se eliminarn o desactivarn mediante
configuracin, las funciones que no sean necesarias, o incluso, aquellas que sean
inadecuadas al fin que se persigue.
8.4 El uso ordinario del sistema ha de ser sencillo y seguro, de forma que un uso
inseguro, requiera de un acto consciente por parte del usuario.
9- Integridad y actualizacin del sistema
9.1 Todo elemento fsico o lgico requerir autorizacin formal previa a su
instalacin.
9.2 Se deber conocer en todo momento el estado de seguridad de los sistemas, en
relacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las
actualizaciones, reaccionando con diligencia para gestionar el riesgo a la vista del
estado de seguridad.
10- Proteccin de la informacin almacenada y en trnsito
10.1 En la estructura de la seguridad de los sistemas, se prestar especial atencin a
la informacin almacenada o en trnsito, con especial atencin a los sistemas de
cifrado dbil, como los afectados por la tecnologa MDM.
10.2 Forman parte de la seguridad los procedimientos que aseguren la recuperacin
y conservacin a largo plazo de los documentos electrnicos.
10.3 Toda informacin en soporte no electrnico, que haya sido causa o
consecuencia directa de la informacin electrnica, deber estar protegida con el
mismo grado de seguridad que esta.
11- Prevencin ante otros sistemas de informacin interconectados
11.1 El sistema ha de proteger el permetro.
12- Registro de actividad
12.1 Ofreciendo plenas garantas del derecho al honor, a la intimidad personal y
familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre
proteccin de datos personales, de funcin pblica o laboral, y dems disposiciones
que resulten de aplicacin, se registrarn las actividades de los usuarios, reteniendo la
informacin necesaria para monitorizar, analizar, investigar y documentar actividades
indebidas o no autorizadas, permitiendo identificar en cada momento a la persona
responsable.
13- Incidentes de seguridad
13.1 Se establecer un sistema de deteccin y reaccin frente a cdigo malicioso.
13.2 Realizacin de registro de incidentes de seguridad y las acciones de tratamiento
realizadas.
14- Continuidad de la actividad
14.1 Los sistemas dispondrn de copias de seguridad y establecern los mecanismos
necesarios para garantizar la continuidad de las operaciones en caso de prdida de los
medios habituales de trabajo.
15- Mejora continua del proceso de seguridad
15.1 El proceso integral de seguridad implantado deber ser actualizado y mejorado
de forma constante. Para ello, se aplicarn los criterios y mtodos reconocidos
relativos a la gestin de las tecnologas de la informacin.

DIMENSIONES DE LA SEGURIDAD
Para determinar el impacto que tendra un incidente que afectara la seguridad de la
informacin y sus sistemas sobre una organizacin, se tendrn en cuenta las siguientes
dimensiones de la seguridad, que sern identificadas por sus correspondientes iniciales en
maysculas:

1- Disponibilidad (D)
2- Autenticidad (A)
3- Integridad (I)
4- Confidencialidad (C)
5- Trazabilidad (T)

DETERMINACIN DEL NIVEL DE SEGURIDAD

Una informacin o servicio puede verse afectados en una o ms dimensiones de seguridad.

Cada una de esas dimensiones afectada tendr uno de los siguientes niveles:

1 Bajo. Las consecuencias de un incidente de seguridad afecta a alguna de las

dimensiones descritas en el punto anterior, creando un perjuicio limitado
sobre las funciones de la organizacin, sus activos o sobre individuos.
Son perjuicios limitados los siguientes:
1- La reduccin de forma apreciable de la capacidad de la organizacin para
atender eficazmente con sus obligaciones, aunque sigan
desempendose.
2- El sufrimiento de un dao menor por los activos de la organizacin.
3- El incumplimiento legal de alguna ley o regulacin, que tenga carcter de
ser sustentable.
4- Causar un perjuicio menor a algn individuo, siendo este fcilmente
reparable.
5- Otro de naturaleza anloga.

2 Medio. Las consecuencias de un incidente de seguridad afecta a alguna de las

dimensiones descritas en el punto anterior, creando un perjuicio grave sobre
las funciones de la organizacin, sus activos o sobre individuos.
Son perjuicios graves los siguientes:
1- La reduccin de forma significativa de la capacidad de la organizacin para
atender eficazmente con sus obligaciones, aunque sigan desempendose.
2- El sufrimiento de un dao significativo por los activos de la organizacin.
3- El incumplimiento legal de alguna ley o regulacin, o el incumplimiento
formal que no tenga carcter de subsanable.
4- Causar un perjuicio menor a algn individuo, de difcil reparacin.
5- Otro de naturaleza anloga.

3 Alto. Las consecuencias de un incidente de seguridad afecta a alguna de las

dimensiones descritas en el punto anterior, creando un perjuicio muy grave
sobre las funciones de la organizacin, sus activos o sobre individuos.
Son perjuicios graves los siguientes:
1- La anulacin de la capacidad de la organizacin para atender a alguna de
sus obligaciones, aunque sigan desempendose.
2- El sufrimiento de un dao muy grave, e incluso irreparable, por los activos
de la organizacin.
 3- El incumplimiento grave de alguna ley o regulacin.
4- Causar un perjuicio grave a algn individuo, de difcil o imposible
reparacin.
5- Otro de naturaleza anloga.

MBITO DEL NIVEL DE SEGURIDAD

Las medidas de seguridad se dividen en tres grupos:

1- Marco organizativo (org). Constituido por el conjunto de medidas relacionadas con la

organizacin global de la seguridad.
2- Marco operacional (op). Formado por las medidas a tomar para proteger la operacin
del sistema como conjunto integral de componentes para un fin.
3- Medidas de proteccin (mp). Se centran en proteger activos concretos, segn su
naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

AFECTADAS BAJO MEDIO ALTO ORG MARCO ORGANIZATIVO

categora aplica = = Org.1 Poltica de seguridad
categora aplica = = Org.2 Normativa de seguridad
categora aplica = = Org.3 Procedimientos de seguridad
categora aplica = = Org.4 Proceso de autorizacin

AFECTADAS BAJO MEDIO ALTO OP MARCO OPERACIONAL

Op.pl Planificacin
categora n.a. + ++ Op.pl.1 Anlisis de riesgos
categora aplica = = Op.pl.2 Arquitectura de seguridad
categora aplica = = Op.pl.3 Adquisicin de nuevos componentes
D n.a. Aplica = Op.pl.4 Dimensionamiento/Gestin capacidades
Categora n.a. n.a. Aplica Op.pl.5 Componentes certificados
Op.acc Control de acceso
AT Aplica = = Op.acc.1 Identificacin
ICAT Aplica = = Op.acc.2 Requisitos de acceso
ICAT n.a. Aplica = Op.acc.3 Segregacin de funciones y tareas
ICAT Aplica = = Op.acc.4 Proceso de gestin de derechos de acceso
ICAT Aplica = ++ Op.acc.5 Mecanismo de autenticacin
ICAT Aplica = ++ Op.acc.6 Acceso local (local logon)
ICAT Aplica = = Op.acc.7 Acceso remoto (remote login)
Op.exp Explotacin
Categora Aplica = = Op.exp.1 Inventario de activos
Categora Aplica = = Op.exp.2 Configuracin de seguridad
Categora n.a. Aplica = Op.exp.3 Gestin de la configuracin
Categora Aplica = = Op.exp.4 Mantenimiento
Categora n.a. Aplica = Op.exp.5 Gestin de cambios
Categora aplica = = Op.exp.6 Proteccin frente a cdigo daino
Categora n.a. Aplica = Op.exp.7 Gestin de incidencias
T n.a. n.a. Aplica Op.exp.8 Registro de la actividad de los usuarios
Categora n.a. Aplica = Op.exp.9 Registro de la gestin de incidencias
T n.a. n.a. Aplica Op.exp.10 Proteccin de los registros de actividad
Categora aplica = + Op.exp.11 Proteccin de claves criptogrficas
Op.ext Servicios extremos
Categora n.a. Aplica = Op.ext.1 Contratacin de acuerdos de nivel servicio
Categora n.a. Aplica = Op.ext.2 Gestin diaria
D n.a. n.a. Aplica Op.ext.3 Medios alternativos
Op.cont Continuidad del servicio
D n.a. Aplica = Op.cont.1 Anlisis de impacto
D n.a. n.a. Aplica Op.cont.2 Plan de continuidad
D n.a. n.a. Aplica Op.cont.3 Pruebas peridicas
Op.mon Monitorizacin del sistema
Categora n.a. n.a. Aplica Op.mon.1 Deteccin de intrusin
categora n.a. n.a. Aplica Op.mont.2 Sistema de mtricas

AFECTADAS BAJO MEDIO ALTO MP MEDIDAS DE PROTECCIN

Mp.if Proteccin de las instalaciones y red
categora aplica = = Mp.if.1 reas separadas y con control de acceso
categora aplica = = Mp.if.2 Identificacin de las personas
categora aplica = = Mp.if.3 Acondicionamientos de los locales
D aplica + = Mp.if.4 Energa elctrica
D aplica = = Mp.if.5 Proteccin frente a incendios
D n.a. aplica = Mp.if.6 Proteccin frente a inundaciones
categora aplica = = Mp.if.7 Registro de entrada y salida de equipos
D n.a. n.a. aplica Mp.if.9 Instalaciones alternativas
Mp.per Gestin del personal
categora n.a. aplica = Mp.per.1 Caracterizacin del puesto de trabajo
categora aplica = = Mp.per.2 Deberes y obligaciones
categora aplica = = Mp.per.3 Concienciacin
categora aplica = = Mp.per.4 Formacin
D n.a. n.a. aplica Mp.per.9 Personal alternativo
Mp.eq Proteccin de los equipos
categora aplica + = Mp.eq.1 Puesto de trabajo despejado
A n.a. aplica + Mp.eq.2 Bloqueo de puesto de trabajo
Categora aplica = + Mp.eq.3 Proteccin de equipos porttiles
D n.a. aplica = Mp.eq.9 Medios alternativos
Mp.com Proteccin de las comunicaciones
categora aplica = + Mp.com.1 Permetro seguro
C n.a. aplica + Mp.com.2 Proteccin de la confidencialidad
IA aplica + ++ Mp.com.3 Proteccin de la autenticidad e integridad
categora n.a. n.a. aplica Mp.com.4 Segregacin de redes
D n.a. n.a. aplica Mp.com.9 Medios alternativos
Mp.si Proteccin de los soportes de informacin
C aplica = = Mp.si.1 Etiquetado
IC n.a. aplica + Mp.si.2 Criptografa
categora aplica = = Mp.si.3 Custodia
categora aplica = = Mp.si.4 Transporte
C n.a. aplica = Mp.si.5 Borrado y destruccin
Mp.sw Proteccin de las aplicaciones informticas
categora n.a. aplica = Mp.sw.1 Desarrollo
categora aplica + ++ Mp.sw.2 Aceptacin y puesta en servicio
Mp.info Proteccin de la informacin
categora Aplica = = Mp.info.1 Datos de carcter personal
C Aplica + = Mp.info.2 Calificacin de la informacin
C n.a. n.a. aplica Mp.info.3 Cifrado
IA Aplica + ++ Mp.info.4 Firma electrnica
T n.a. n.a. Aplica Mp.info.5 Sellos de tiempo
C Aplica = = Mp.info.6 Limpieza de documentos
D n.a. aplica = Mp.info.9 Copias de seguridad (backup)
Mp.s Proteccin de los servicios
categora aplica = = Mp.s.1 Proteccin del correo electrnico
categora aplica = = Mp.s.2 Proteccin de servicios y aplicaciones web
D n.a. aplica + Mp.s.8 Proteccin frente a denegacin de servicio
D n.a. n.a. aplica Mp.s.9 Medios alternativos

Aplica: Debe ser aplicada una determinada medida de seguridad.

n.a.: No aplica

=: Mismas exigencias que nivel anterior

+ y ++: Indica el incremento de exigencias graduado en funcin del nivel

D, A, I, C, T: Protege especficamente una dimensin de seguridad

DESCRIPCIN PUNTOS ORG, OP Y MP

MARCO ORGANIZATIVO
1- Poltica de seguridad [org.1]: La poltica de seguridad ser aprobada por el rgano
superior competente que corresponda, de acuerdo con lo establecido en el artculo 11,
y se plasmar en un documento escrito, en el que, de forma clara, se precise, al
menos, lo siguiente:
1.1 Los objetivos o misin de la organizacin.
1.2 El marco legal y regulatorio en el que se desarrollarn las actividades.
1.3 Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y
renovacin.
1.4 La estructura del comit o los comits para la gestin y coordinacin de la
seguridad, detallando su mbito de responsabilidad, los miembros y la relacin
con otros elementos de la organizacin.
1.5 Las directrices para la estructuracin de la documentacin de seguridad del
sistema, su gestin y acceso.

2- Normativa de seguridad [org.2]: Se dispondr de una serie de documentos que

describan:
2.1 El uso correcto de equipos, servicios e instalaciones.
2.2 Lo que se considerar uso indebido.
2.3 La responsabilidad del personal con respecto al cumplimiento o violacin de
estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la
legislacin vigente.
 3- Procedimientos de seguridad [org.3]: Se dispondr de una serie de documentos que
detallen de forma clara y precisa:
3.1 Cmo llevar a cabo las tareas habituales.
3.2 Quin debe hacer cada tarea.
3.3 Cmo identificar y reportar comportamientos anmalos.

4- Proceso de autorizacin [org.4]: Se establecer un proceso formal de autorizaciones

que cubra todos los elementos del sistema de informacin:
4.1 Utilizacin de instalaciones, habituales y alternativas.
4.2 Entrada de equipos en produccin, en particular, equipos que involucren
Criptografa.
4.3 Entrada de aplicaciones en produccin.
4.4 Establecimiento de enlaces de comunicaciones con otros sistemas.
4.5 Utilizacin de medios de comunicacin, habituales y alternativos.
4.6 Utilizacin de soportes de informacin.
4.7 Utilizacin de equipos mviles. Se entender por equipos mviles
ordenadores porttiles, PDA, u otros de naturaleza anloga.

MARCO OPERACIONAL
Planificacin

5- Anlisis de riesgos [op.pl.1]: Segn categora.

Categora BSICA
Bastar un anlisis informal, realizado en lenguaje natural. Es decir, una exposicin textual que
describa los siguientes aspectos:

a) Identifique los activos ms valiosos del sistema.

b) Identifique las amenazas ms probables.
c) Identifique las salvaguardas que protegen de dichas amenazas.
d) Identifique los principales riesgos residuales.

Categora MEDIA
Se deber realizar un anlisis semi-formal, usando un lenguaje especfico, con un catlogo bsico
de amenazas y una semntica definida. Es decir, una presentacin con tablas que describa los
siguientes aspectos:

a) Identifique y valore cualitativamente los activos ms valiosos del sistema.

b) Identifique y cuantifique las amenazas ms probables.
c) Identifique y valore las salvaguardas que protegen de dichas amenazas.
d) Identifique y valore el riesgo residual.

Categora ALTA
Se deber realizar un anlisis formal, usando un lenguaje especfico, con un fundamento
matemtico reconocido internacionalmente. El anlisis deber cubrir los siguientes aspectos:

a) Identifique y valore cualitativamente los activos ms valiosos del sistema.

b) Identifique y cuantifique las amenazas posibles.
c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
d) Identifique y valore las salvaguardas adecuadas.

6- Arquitectura de seguridad [op.pl.2]: La seguridad del sistema ser objeto de un planteamiento

integral detallando, al menos, los siguientes aspectos:
 a) Documentacin de las instalaciones:
1. reas.
2. Puntos de acceso.
b) Documentacin del sistema:
1. Equipos.
2. Redes internas y conexiones al exterior.
3. Puntos de acceso al sistema (puestos de trabajo y consolas de administracin).
c) Esquema de lneas de defensa:
1. Puntos de interconexin a otros sistemas o a otras redes, en especial si se trata de
Internet.
2. Cortafuegos, DMZ, etc.
3. Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que pudieran
perforar simultneamente varias lneas de defensa.
d) Sistema de identificacin y autenticacin de usuarios:
1. Uso de claves concertadas, contraseas, tarjetas de identificacin, biometra, u otras
de naturaleza anloga.
2. Uso de ficheros o directorios para autenticar al usuario y determinar sus derechos de
acceso.
e) Controles tcnicos internos:
1. Validacin de datos de entrada, salida y datos intermedios.
f) Sistema de gestin con actualizacin y aprobacin peridica.

7- Adquisicin de nuevos componentes [op.pl.3]: Se establecer un proceso formal para

planificar la adquisicin de nuevos componentes del sistema, proceso que:

a) Atender a las conclusiones del anlisis de riesgos: [op.pl.1].

b) Ser acorde a la arquitectura de seguridad escogida: [op.pl.2].
c) Contemplar las necesidades tcnicas, de formacin y de financiacin de forma conjunta.

8- Dimensionamiento / gestin de capacidades [op.pl.4]: Con carcter previo a la puesta en

explotacin, se realizar un estudio previo que cubrir los siguientes aspectos:

a) Necesidades de procesamiento.
b) Necesidades de almacenamiento de informacin: durante su procesamiento y durante el
periodo que deba retenerse.
d) Necesidades de comunicacin.
e) Necesidades de personal: cantidad y cualificacin profesional.
f) Necesidades de instalaciones y medios auxiliares.

9- Componentes certificados [op.pl.5]: Se utilizarn preferentemente sistemas, productos o

equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas
europeas o internacionales y que estn certificados por entidades independientes de reconocida
solvencia. Tendrn la consideracin de normas europeas o internacionales, ISO/IEC 15408 u
otras de naturaleza y calidad anlogas. Tendrn la consideracin de entidades independientes de
reconocida solvencia las recogidas en los acuerdos o arreglos internacionales de reconocimiento
mutuo de los certificados de la seguridad de la tecnologa de la informacin u otras de naturaleza
anloga.

Control de acceso. [op.acc]

El control de acceso cubre el conjunto de actividades preparatorias y ejecutivas para que una
determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del sistema para
realizar una determinada accin. El control de acceso que se implante en un sistema real ser un
punto de equilibrio entre la comodidad de uso y la proteccin de la informacin. En sistemas de
nivel Bajo, se primar la comodidad, mientras que en sistemas de nivel Alto se primar la
proteccin. En todo control de acceso se requerir lo siguiente:

a) Que todo acceso est prohibido, salvo concesin expresa.

b) Que la entidad quede identificada singularmente [op.acc.1].
c) Que la utilizacin de los recursos est protegida [op.acc.2].
 d) Que se definan para cada entidad los siguientes parmetros: a qu se necesita acceder,
con qu derechos y bajo qu autorizacin [op.acc.4].
e) Sern diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].
f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5].
g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).
Con el cumplimiento de todas las medidas indicadas se garantizar que nadie acceder a
recursos sin autorizacin. Adems, quedar registrado el uso del sistema ([op.exp.8]) para
poder detectar y reaccionar a cualquier fallo accidental o deliberado.
Cuando se interconecten sistemas en los que la identificacin, autenticacin y autorizacin
tengan lugar en diferentes dominios de seguridad, bajo distintas responsabilidades, en los
casos en que sea necesario, las medidas de seguridad locales se acompaarn de los
correspondientes acuerdos de colaboracin que delimiten mecanismos y procedimientos
para la atribucin y ejercicio efectivos de las responsabilidades de cada sistema ([op.ext]).

10- Identificacin [op.acc.1]: La identificacin de los usuarios del sistema se realizar de acuerdo
con lo que se indica a continuacin:

a) Se asignar un identificador singular para cada entidad (usuario o proceso) que accede al
sistema, de tal forma que:
1. Se puede saber quin recibe y qu derechos de acceso recibe.
2. Se puede saber quin ha hecho algo y qu ha hecho.
b) Las cuentas de usuario se gestionarn de la siguiente forma:
1. Cada cuenta estar asociada a un identificador nico.
2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la
organizacin; cuando el usuario cesa en la funcin para la cual se requera la cuenta de usuario;
o, cuando la persona que la autoriz, da orden en sentido contrario.
3. Las cuentas se retendrn durante el periodo necesario para atender a las necesidades de
trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le
denominar periodo de retencin.

11- Requisitos de acceso [op.acc.2]: Los requisitos de acceso se atendern a lo que a continuacin
se indica:

a) Los recursos del sistema se protegern con algn mecanismo que impida su utilizacin, salvo
a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso, se establecern segn las decisiones de la persona
responsable del recurso, atenindose a la poltica y normativa de seguridad del sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus ficheros o
registros de configuracin.

12- Segregacin de funciones y tareas [op.acc.3]: El sistema de control de acceso se organizar de

forma que se exija la concurrencia de dos o ms personas para realizar tareas crticas, anulando
la posibilidad de que un solo individuo autorizado, pueda abusar de sus derechos para cometer
alguna accin ilcita. En concreto, se separarn al menos las siguientes funciones:

a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.

13- Proceso de gestin de derechos de acceso [op.acc.4]: Los derechos de acceso de cada usuario,
se limitarn atendiendo a los siguientes principios:

a) Mnimo privilegio. Los privilegios de cada usuario se reducirn al mnimo estrictamente

necesario para cumplir sus obligaciones. De esta forma se acotan los daos que pudiera causar
una entidad, de forma accidental o intencionada.
b) Necesidad de conocer. Los privilegios se limitarn de forma que los usuarios slo accedern
al conocimiento de aquella informacin requerida para cumplir sus obligaciones.
c) Capacidad de autorizar. Slo y exclusivamente el personal con competencia para ello, podr
conceder, alterar o anular la autorizacin de acceso a los recursos, conforme a los criterios
establecidos por su propietario.
14- Mecanismo de autenticacin [op.acc.5]: Los mecanismos de autenticacin frente al sistema se
adecuarn al nivel del sistema atendiendo a las consideraciones que siguen. Las guas CCN-
STIC desarrollarn los mecanismos concretos adecuados a cada nivel.

- Nivel BAJO
a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas, o
dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales como
certificados software u otros equivalentes o mecanismos biomtricos.
b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas.
c) Se atender a la seguridad de los autenticadores de forma que:
1. Los autenticadores se activarn una vez estn bajo el control efectivo del usuario.
2. Los autenticadores estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones que
implica su tenencia, en particular el deber de custodia diligente, proteccin de su
confidencialidad e informacin inmediata en caso de prdida.
4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica de la
organizacin, atendiendo a la categora del sistema al que se accede.
5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (persona, equipo o
proceso) que autentican termina su relacin con el sistema.
- Nivel MEDIO
a) No se recomendar el uso de claves concertadas.
b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos
(tokens) o componentes lgicos tales como certificados software u otros equivalentes o
biomtricos.
c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la contrasea y
renovacin frecuente.
- Nivel ALTO
a) Los autenticadores se suspendern tras un periodo definido de no utilizacin.
b) No se admitir el uso de claves concertadas.
c) Se exigir el uso de dispositivos fsicos (tokens) personalizados o biometra.
d) En el caso de utilizacin de dispositivos fsicos (tokens) se emplearn algoritmos acreditados
por el Centro Criptolgico Nacional.
e) Se emplearn, preferentemente, productos certificados [op.pl.5].

15- Acceso local [op.acc.6]: Se considera acceso local al realizado desde puestos de trabajo dentro
de las propias instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las
dimensiones de seguridad:

- Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a acceder al
mismo. La informacin revelada a quien intenta acceder, debe ser la mnima imprescindible
(los dilogos de acceso proporcionarn solamente la informacin indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de acceso una
vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de obtener el
acceso.
- Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
- Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la sesin
establecida.

16- Acceso remoto [op.acc.7]: Se considera acceso remoto al realizado desde fuera de las propias
instalaciones de la organizacin, a travs de redes de terceros. Se garantizar la seguridad del
sistema cuando accedan remotamente usuarios u otras entidades, lo que implicar proteger tanto
 el acceso en s mismo (como [op.acc.6]) como el canal de acceso remoto (como en [mp.com.2] y
[mp.com.3]).

Nivel MEDIO
Se establecer una poltica especfica de lo que puede hacerse remotamente, requirindose
autorizacin positiva.
Explotacin [op.exp].

Explotacin [op.ext]
17- Inventario de activos [op.exp.1]: Se mantendr un inventario actualizado de todos los
elementos del sistema, detallando su naturaleza e identificando a su propietario; es decir, la
persona que es responsable de las decisiones relativas al mismo.

18- Configuracin de seguridad [op.exp.2]: Se configurarn los equipos previamente a su entrada

en operacin, de forma que:

a) Se retiren cuentas y contraseas estndar.

b) Se aplicar la regla de mnima funcionalidad:
1. El sistema debe proporcionar la funcionalidad requerida para que la organizacin alcance
sus objetivos y ninguna otra funcionalidad.
2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni de
auditora, reduciendo de esta forma su permetro al mnimo imprescindible.
3. Se eliminar o desactivar mediante el control de la configuracin, aquellas funciones que
no sean de inters, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se
persigue.
c) Se aplicar la regla de seguridad por defecto:
1. Las medidas de seguridad sern respetuosas con el usuario y protegern a ste, salvo que
se exponga conscientemente a un riesgo.
2. Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
3. El uso natural, en los casos que el usuario no ha consultado el manual, ser un uso seguro.

19- Gestin de la configuracin [op.exp.3]: Se gestionar de forma continua la configuracin de

los componentes del sistema de forma que:
a) Se mantenga en todo momento la regla de funcionalidad mnima ([op.exp.2]).
b) Se mantenga en todo momento la regla de seguridad por defecto ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.
acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidencias (ver [op.exp.7]).

20- Mantenimiento [op.exp.4]: Para mantener el equipamiento fsico y lgico que constituye el
sistema, se aplicar lo siguiente:

a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y

mantenimiento de los sistemas.
b) Se efectuar un seguimiento continuo de los anuncios de defectos.
c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo aplicar las
actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorizacin tendr en
cuenta la variacin del riesgo en funcin de la aplicacin o no de la actualizacin.

21- Gestin de cambios [op.exp.5]: Se mantendr un control continuo de cambios realizados en el

sistema, de forma que:

a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
b) Antes de poner en produccin una nueva versin o una versin parcheada, se comprobar
en un equipo que no est en produccin, que la nueva instalacin funciona correctamente y
no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de
pruebas ser equivalente al de produccin en los aspectos que se comprueban.
 c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los servicios
afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la seguridad
del sistema. Aquellos cambios que impliquen una situacin de riesgo de nivel alto sern
aprobados explcitamente de forma previa a su implantacin.

22- Proteccin frente a cdigo daino [op.exp.6]: Se considera cdigo daino: los virus, los
gusanos, los troyanos, los programas espas, conocidos en terminologa inglesa como spyware,
y en general, todo lo conocido como malware. Se dispondr de mecanismos de prevencin y
reaccin frente a cdigo daino con mantenimiento de acuerdo a las recomendaciones del
fabricante.

23- Gestin de incidencias [op.exp.7]: Se dispondr de un proceso integral para hacer frente a los
incidentes que puedan tener un impacto en la seguridad del sistema, incluyendo:

a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado de la

notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios, el
aislamiento del sistema afectado, la recogida de evidencias y proteccin de los registros,
segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1. Prevenir que se repita el incidente.
2. Incluir en los procedimientos de usuario la identificacin y forma de tratar el incidente.
3. Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidencias.
La gestin de incidentes que afecten a datos de carcter personal tendr en cuenta lo
dispuesto en el Real Decreto 1720 de 2007, en lo que corresponda.

24- Registro de la actividad de los usuarios [op.exp.8]: Se registrarn todas las actividades de los
usuarios en el sistema, de forma que:

a) El registro indicar quin realiza la actividad, cuando la realiza y sobre qu informacin.

b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y
administradores del sistema en cuanto pueden acceder a la configuracin y actuar en el
mantenimiento del mismo.
c) Deben registrarse las actividades realizadas con xito y los intentos fracasados.
d) La determinacin de qu actividades debe en registrarse y con qu niveles de detalle se
determinar a la vista del anlisis de riesgos realizado sobre el sistema ([op.pl.1]).

25- Registro de la gestin de incidencias [op.exp.9]: Se registrarn todas las actuaciones

relacionadas con la gestin de incidencias, de forma que:

a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones del

sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda judicial,
o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el
personal interno, sobre proveedores externos o a la persecucin de delitos. En la
determinacin de la composicin y detalle de estas evidencias, se recurrir a asesoramiento
legal especializado.
c) Como consecuencia del anlisis de las incidencias, se revisar la determinacin de los
eventos auditables.

26- Proteccin de los registros de actividad [op.exp.10]: Se protegern los registros del sistema,
de forma que:

a) Se determinar el periodo de retencin de los registros.

b) Se asegurar la fecha y hora. Ver [mp.info.5].
 c) Los registros no podrn ser modificados ni eliminados por personal no autorizado.
d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.

27- Proteccin de claves criptogrficas [op.exp.11]: Las claves criptogrficas se protegern

durante todo su ciclo de vida: (1) generacin, (2) transporte al punto de explotacin, (3) custodia
durante la explotacin, (4) archivo posterior a su retirada de explotacin activa y (5) destruccin
final.

- Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios aislados
de los de explotacin.
- Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

Servicios externos [op.ext]

Cuando se utilicen recursos externos a la organizacin, sean servicios, equipos, instalaciones o
personal, deber tenerse en cuenta que la delegacin se limita a las funciones. La organizacin
sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que
impacten sobre la informacin manejada y los servicios finales prestados por la organizacin.

La organizacin dispondr las medidas necesarias para poder ejercer su responsabilidad y

mantener el control en todo momento.

28- Contratacin y acuerdos de nivel de servicio [op.ext.1]: Previa a la utilizacin de recursos

externos se establecern contractualmente las caractersticas del servicio prestado y las
responsabilidades de las partes. Se detallar lo que se considera calidad mnima del servicio
prestado y las consecuencias de su incumplimiento.

29- Gestin diaria [op.ext.2]: Para la gestin diaria del sistema, se establecern los siguientes
puntos:

a) Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio y el

procedimiento para neutralizar cualquier desviacin fuera del margen de tolerancia acordado
([op.ext.1]).
b) El mecanismo y los procedimientos de coordinacin para llevar a cabo las tareas de
mantenimiento de los sistemas afectados por el acuerdo.
c) El mecanismo y los procedimientos de coordinacin en caso de incidencias y desastres
(ver [op.exp.7]).

30- Medios alternativos [op.ext.9]: Estar prevista la provisin del servicio por medios alternativos
en caso de indisponibilidad del servicio contratado. El servicio alternativo disfrutar de las
mismas garantas de seguridad que el servicio habitual.

Continuidad del servicio [op.cont]

31- Anlisis de impacto [op.cont.1]: Se realizar un anlisis de impacto que permita determinar:

a) Los requisitos de disponibilidad de cada servicio medidos como el impacto de una

interrupcin durante un cierto periodo de tiempo.
b) Los elementos que son crticos para la prestacin de cada servicio.

32- Plan de continuidad [op.cont.2]: Se desarrollar un plan de continuidad que establezca las
acciones a ejecutar en caso de interrupcin de los servicios prestados con los medios habituales.
Este plan contemplar los siguientes aspectos:

a) Se identificarn funciones, responsabilidades y actividades a realizar.

 b) Existir una previsin de los medios alternativos que se va a conjugar para poder seguir
prestando los servicios.
c) Todos los medios alternativos estarn planificados y materializados en acuerdos o
contratos con los proveedores correspondientes.
d) Las personas afectadas por el plan recibirn formacin especfica relativa a su papel en
dicho plan.
e) El plan de continuidad ser parte integral y armnica de los planes de continuidad de la
organizacin en otras materias ajenas a la seguridad.

33- Pruebas peridicas [op.cont.3]: Se realizarn pruebas peridicas para localizar y, corregir en su
caso, los errores o deficiencias que puedan existir en el plan de continuidad

Monitorizacin del sistema [op.mon]

El sistema estar sujeto a medidas de monitorizacin de su actividad.

34- Deteccin de intrusin [op.mon.1]: Se dispondrn de herramientas de deteccin o de

prevencin de intrusin.

35- Sistema de mtricas [op.mon.2]: Se establecer un conjunto de indicadores que mida el

desempeo real del sistema en materia de seguridad, en los siguientes aspectos:

a) Grado de implantacin de las medidas de seguridad.

b) Eficacia y eficiencia de las medidas de seguridad.
c) Impacto de los incidentes de seguridad.

Medidas de proteccin [mp]

Las medidas de proteccin, se centrarn en proteger activos concretos, segn su naturaleza, con
el nivel requerido en cada dimensin de seguridad.

Proteccin de las instalaciones e infraestructuras [mp.if]

36- reas separadas y con control de acceso [mp.if.1]: El equipamiento de instalar en reas
separadas especficas para su funcin. Se controlarn los accesos a las reas indicadas de forma
que slo se pueda acceder por las entradas previstas y vigiladas.

37- Identificacin de las personas [mp.if.2]: El mecanismo de control de acceso se atendr a lo que
se dispone a continuacin:

a) Se identificar a todas las personas que accedan a los locales donde hay equipamiento que
forme parte del sistema de informacin.
b) Se registrarn las entradas y salidas de personas.

38- Acondicionamiento de los locales [mp.if.3]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes, dispondrn de elementos adecuados para el eficaz
funcionamiento del equipamiento all instalado. Y, en especial:

a) Condiciones de temperatura y humedad.

b) Proteccin frente a las amenazas identificadas en el anlisis de riesgos.
c) Proteccin del cableado frente a incidentes fortuitos o deliberados.

39- Energa elctrica [mp.if.4]: Los locales donde se ubiquen los sistemas de informacin y sus
componentes dispondrn de la energa elctrica, y sus tomas correspondientes, necesaria para su
funcionamiento, de forma que en los mismos:

a) Se garantizar el suministro de potencia elctrica.

b) Se garantizar el correcto funcionamiento de las luces de emergencia.
 Nivel MEDIO
Se garantizar el suministro elctrico a los sistemas en caso de fallo del suministro general,
garantizando el tiempo suficiente para una terminacin ordenada de los procesos,
salvaguardando la informacin.

40- Proteccin frente a incendios [mp.if.5]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes se protegern frente a incendios fortuitos o deliberados,
aplicando al menos la normativa industrial pertinente.

41- Proteccin frente a inundaciones [mp.if.6]: Los locales donde se ubiquen los sistemas de
informacin y sus componentes se protegern frente a incidentes fortuitos o deliberados
causados por el agua.

42- Registro de entrada y salida de equipamiento [mp.if.7]: Se llevar un registro pormenorizado

de toda entrada y salida de equipamiento, incluyendo la identificacin de la persona que autoriza
de movimiento.

43- Instalaciones alternativas [mp.if.9]: Se garantizar la existencia y disponibilidad de

instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estn
disponibles. Las instalaciones alternativas disfrutarn de las mismas garantas de seguridad que
las instalaciones habituales.

Gestin del personal [mp.per]

44- Caracterizacin del puesto de trabajo [mp.per.1]: Cada puesto de trabajo se caracterizar de
la siguiente forma:

a) Se definirn las responsabilidades relacionadas con cada puesto de trabajo en materia de

seguridad. La definicin se basar en el anlisis de riesgos.
b) Se definirn los requisitos que deben satisfacer las personas que vayan a ocupar el puesto
de trabajo, en particular, en trminos de confidencialidad.
c) Dichos requisitos se tendrn en cuenta en la seleccin de la persona que vaya a ocupar
dicho puesto, incluyendo la verificacin de sus antecedentes laborales, formacin y otras
referencias.

45- Deberes y obligaciones [mp.per.2]:

1. Se informar a cada persona que trabaje en el sistema, de los deberes y responsabilidades de
su puesto de trabajo en materia de seguridad.
a) Se especificarn las medidas disciplinarias a que haya lugar.
b) Se cubrir tanto el periodo durante el cual se desempea el puesto, como las obligaciones
en caso de trmino de la asignacin, o traslado a otro puesto de trabajo.
c) Se contemplar el deber de confidencialidad respecto de los datos a los que tenga acceso,
tanto durante el periodo que estn adscritos al puesto de trabajo, como posteriormente a su
terminacin.
2. En caso de personal contratado a travs de un tercero:
a) Se establecern los deberes y obligaciones del personal.
b) Se establecern los deberes y obligaciones de cada parte.
c) Se establecer el procedimiento de resolucin de incidentes relacionados con el
incumplimiento de las obligaciones.

46- Concienciacin [mp.per.3]: Se realizarn las acciones necesarias para concienciar

regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema
alcance los niveles exigidos.

En particular, se recordar regularmente:

a) La normativa de seguridad relativa al buen uso de los sistemas.

b) La identificacin de incidentes, actividades o comportamientos sospechosos que deban ser
reportados para su tratamiento por personal especializado.
c) El procedimiento de reporte de incidencias de seguridad, sean reales o falsas alarmas.
47- Formacin [mp.per.4]: Se formar regularmente al personal en aquellas materias que requieran
para el desempeo de sus funciones, en particular en lo relativo a:

a) Configuracin de sistemas.
b) Deteccin y reaccin a incidentes.
c) Gestin de la informacin en cualquier soporte en el que se encuentre. Se cubrirn al menos
las siguientes actividades: almacenamiento, transferencia, copias, distribucin y destruccin.

48- Personal alternativo [mp.per.9]: Se garantizar a existencia y disponibilidad de otras personas

que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual. El
personal alternativo deber estar sometido a las mismas garantas de seguridad que el personal
habitual.

Proteccin de los equipos [mp.eq]

49- Puesto de trabajo despejado [mp.eq.1]: Se exigir que los puestos de trabajo permanezcan
despejados, sin ms material encima de la mesa que el requerido para la actividad que se est
realizando en cada momento

Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.

50- Bloqueo de puesto de trabajo [mp.eq.2]: El puesto de trabajo se bloquear al cabo de un

tiempo prudencial de inactividad, requiriendo una nueva autenticacin del usuario para reanudar
la actividad en curso.

Categora ALTA
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde dicho
puesto de trabajo.

51- Proteccin de porttiles [mp.eq.3]: Los equipos que abandonen las instalaciones de la
organizacin y no puedan beneficiarse de la proteccin fsica correspondiente, con un riesgo
manifiesto de prdida o robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:

a) Se llevar un inventario de equipos porttiles junto con una identificacin de la persona

responsable del mismo y un control regular de que est positivamente bajo su control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de incidencias,
de prdidas o sustracciones.
c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad exterior y
controle las opciones de acceso al interior cuando el equipo se conecte a redes, en particular si el
equipo se conecta a redes pblicas.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la
organizacin. Se considerarn claves de acceso remoto aquellas que sean capaces de habilitar un
acceso a otros equipos de la organizacin, u otras de naturaleza anloga.

Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha sido
manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.

52- Medios alternativos [mp.eq.9]: Se garantizar la existencia y disponibilidad de medios

alternativos de tratamiento de la informacin para el caso de que fallen los medios habituales.
Estos medios alternativos estarn sujetos a las mismas garantas de proteccin.

Igualmente, se establecer un tiempo mximo para que los equipos alternativos entren en
funcionamiento.

Proteccin de las comunicaciones [mp.com]

53- Permetro seguro [mp.com.1]: Se dispondr un sistema cortafuegos que separe la red interna
del exterior. Todo el trfico deber atravesar dicho cortafuegos que slo dejara transitar los
flujos previamente autorizados.

Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante dispuestos en
cascada.
b) Se dispondrn sistemas redundantes.

54- Proteccin de la confidencialidad [mp.com.2]:

Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del
propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y utilizacin de la
red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].

55- Proteccin de la autenticidad y de la integridad [mp.com.3]:

Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes de
intercambiar informacin alguna (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. Y se activarn los
procedimientos previstos de tratamiento del incidente Se considerarn ataques activos:
1. La alteracin de la informacin en transito
2. La inyeccin de informacin espuria
3. El secuestro de la sesin por una tercera parte

Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes fuera del
propio dominio de seguridad.
b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.

Nivel ALTO
a) Se valorar positivamente en empleo de dispositivos hardware en el establecimiento y
utilizacin de la red privada virtual.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].

56- Segregacin de redes [mp.com.4]: La segregacin de redes acota el acceso a la informacin y,

consiguientemente, la propagacin de los incidentes de seguridad, que quedan restringidos al
entorno donde ocurren.

La red se segmentar en segmentos de forma que haya:

a) Control de entrada de los usuarios que llegan a cada segmento.

b) Control de salida de la informacin disponible en cada segmento.
c) Las redes se pueden segmentar por dispositivos fsicos o lgicos. El punto de interconexin
estar particularmente asegurado, mantenido y monitorizado (como en [mp.com.1]).

57- Medios alternativos [mp.com.9]: Se garantizar la existencia y disponibilidad de medios

alternativos de comunicacin para el caso de que fallen los medios habituales. Los medios
alternativos de comunicacin:

a) Estarn sujetos y proporcionar las mismas garantas de proteccin que el medio habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
 Proteccin de los soportes de informacin [mp.si]
58- Etiquetado [mp.si.1]: Los soportes de informacin se etiquetarn de forma que, sin revelar su
contenido, se indique el nivel de seguridad de la informacin contenida de mayor calificacin.

Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien mediante
simple inspeccin, bien mediante el recurso a un repositorio que lo explique.

59- Criptografa. [mp.si.2]: Esta medida se aplica, en particular, a todos los dispositivos
removibles. Se entendern por dispositivos removibles, los CD, DVD, discos USB, u otros de
naturaleza anloga.

Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la integridad de la

informacin contenida.

Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].

60- Custodia [mp.si.3]: Se aplicar la debida diligencia y control a los soportes de informacin que
permanecen bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones:

a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mpl.if.7]) o lgicas

([mp.si.2]), o ambas.
b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en
lo referente a temperatura, humedad y otros agresores medioambientales.

61- Transporte [mp.si.4]: El responsable de sistemas garantizar que los dispositivos permanecen
bajo control y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un
lugar a otro.

Para ello:

a) Se dispondr de un registro de salida que identifique al transportista que recibe el soporte para
su traslado.
b) Se dispondr de un registro de entrada que identifique al transportista que lo entrega.
c) Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas y levante las
alarmas pertinentes cuando se detecte algn incidente.
d) Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes al nivel de
calificacin de la informacin contenida de mayor nivel.
e) Se gestionarn las claves segn [op.exp.11].

62- Borrado y destruccin [mp.si.5]: La medida de borrado y destruccin de soportes de

informacin se aplicar a todo tipo de equipos susceptibles de almacenar informacin,
incluyendo medios electrnicos y no electrnicos.

a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin sern objeto de un borrado seguro de su anterior contenido.
b) Se destruirn de forma segura los soportes, en los siguientes casos:
1. Cuando la naturaleza del soporte no permita un borrado seguro.
2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin contenida.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].

Proteccin de las aplicaciones informticas [mp.sw]

63- Desarrollo de aplicaciones [mp.sw.1]:

a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del de

produccin, no debiendo existir herramientas o datos de desarrollo en el entorno de produccin.
 b) Se aplicar una metodologa de desarrollo reconocida que:
1. Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de vida.
2. Trate especficamente los datos usados en pruebas.
3. Permita la inspeccin del cdigo fuente.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1. Los mecanismos de identificacin y autenticacin.
2. Los mecanismos de proteccin de la informacin tratada.
3. La generacin y tratamiento de pistas de auditora.
d) Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin no se
realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente.

64- Aceptacin y puesta en servicio [mp.sw.2]:

Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1. Se cumplen los criterios de aceptacin en materia de seguridad.
2. No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure el nivel de
seguridad correspondiente.

Categora MEDIA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.

Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.
b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.

Proteccin de la informacin [mp.info]

65- Datos de carcter personal [mp.info.1]: Cuando el sistema trate datos de carcter personal, se
estar a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo,
sin perjuicio de cumplir, adems, las medidas establecidas por este real decreto.

Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango de ley
se remita a las normas sobre datos de carcter personal en la proteccin de informacin.

66- Calificacin de la informacin [mp.info.2]:

1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza de la

misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin manejada por
el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en cada
organizacin, determinarn el nivel de seguridad requerido, dentro del marco establecido en el
artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el apartado anterior
para asignar a cada informacin el nivel de seguridad requerido, y ser responsable de su
documentacin y aprobacin formal.
5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad de
modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores.

Nivel MEDIO
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que se ha de
etiquetar y tratar la informacin en consideracin al nivel de seguridad que requiere; y
precisando cmo se ha de realizar:
 a) Su control de acceso.
b) Su almacenamiento.
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.

67- Cifrado de la informacin [mp.info.3]: Para el cifrado de informacin se estar a lo que se

indica a continuacin:

a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su

almacenamiento como durante su transmisin. Slo estar en claro mientras se est haciendo uso
de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en [mp.com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto en
[mp.si.2].

68- Firma electrnica [mp.info.4]: La firma electrnica es un mecanismo de prevencin del

repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera
desdecirse de la informacin firmada.

La firma electrnica garantiza la autenticidad del signatario y la integridad del contenido.

Cuando se emplee firma electrnica:

a) El signatario ser la parte que se hace responsable de la informacin, en la medida de sus

atribuciones.
b) Se dispondr de una Poltica de Firma Electrnica, aprobada por el rgano superior
competente que corresponda.

Nivel BAJO
Se emplear cualquier medio de firma electrnica de los previstos en la legislacin vigente.

Nivel MEDIO
1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin de la
informacin tratada. En todo caso:
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, certificados reconocidos.
c) Se emplearn, preferentemente, dispositivos seguros de firma.
2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo requerido
por la actividad administrativa que aqulla soporte, sin perjuicio de que se pueda ampliar este
perodo de acuerdo con lo que establezca la poltica de firma electrnica y de certificados que
sea de aplicacin. Para tal fin:
a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para su
verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
b) Se protegern la firma y la informacin mencionada en el apartado anterior con un sello
de tiempo.
c) El organismo que recabe documentos firmados por el administrado verificar y validar
la firma recibida en el momento de la recepcin, anexando o referenciando sin ambigedad
la informacin descrita en los epgrafes a) y b).
d) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes a y b.

Nivel ALTO
Se aplicarn las medidas de seguridad referentes a firma electrnica exigibles en el nivel Medio,
adems de las siguientes:
a) Se usarn certificados reconocidos.
b) Se usarn dispositivos seguros de creacin de firma.
 c) Se emplearn, preferentemente, productos certificados [op.pl.5].

69- Sellos de tiempo [mp.info.5]: Los sellos de tiempo prevendrn la posibilidad del repudio
posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser utilizada
como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la misma
seguridad que la informacin fechada a efectos de disponibilidad, integridad y confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida ya no sea
requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].

70- Limpieza de documentos [mp.info.6]: En el proceso de limpieza de documentos, se retirar de

estos toda la informacin adicional contenida en campos ocultos, meta-datos, comentarios o
revisiones anteriores, salvo cuando dicha informacin sea pertinente para el receptor del
documento.

Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como

ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio de informacin.

Se tendr presente que el incumplimiento de esta medida puede perjudicar:

a) Al mantenimiento de la confidencialidad de informacin que no debera haberse revelado al

receptor del documento.
b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informacin, que no
debe conocer el receptor del documento.
c) A la buena imagen de la organizacin que difunde el documento por cuanto demuestra un
descuido en su buen hacer.

71- Copias de seguridad (backup) [mp.info.9]: Se realizarn copias de respaldo que permitan
recuperar datos perdidos accidental o intencionadamente con una antigedad determinada.

Las copias de respaldo disfrutarn de la misma seguridad que los datos originales en lo que se
refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerar la
conveniencia o necesidad de que las copias de seguridad estn cifradas para garantizar la
confidencialidad.

Las copias de respaldo debern abarcar:

a) Informacin de trabajo de la organizacin.

b) Aplicaciones en explotacin, incluyendo los sistemas operativos.
c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza anloga.
d) Claves utilizadas para preservar la confidencialidad de la informacin.

Proteccin de los servicios [mp.s]

72- Proteccin del correo electrnico (e-mail) [mp.s.1]: El correo electrnico se proteger frente a
las amenazas que le son propias, actuando del siguiente modo:

a) La informacin distribuida por medio de correo electrnico, se proteger, tanto en el cuerpo

de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio del correo
electrnico, en concreto:
1. Correo no solicitado, en su expresin inglesa spam.
 2. Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros de
naturaleza anloga.
3. Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal determinado.
Estas normas de uso contendrn:
1. Limitaciones al uso como soporte de comunicaciones privadas.
2. Actividades de concienciacin y formacin relativas al uso del correo electrnico.

73- Proteccin de servicios y aplicaciones web [mp.s.2]: Los subsistemas dedicados a la

publicacin de informacin debern ser protegidos frente a las amenazas que les son propias.

a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la imposibilidad

de acceder a la informacin obviando la autenticacin, en particular tomando medidas en los
siguientes aspectos:
1. Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas
al protocolo determinado.
2. Se prevendrn ataques de manipulacin de URL.
3. Se prevendrn ataques de manipulacin de fragmentos de informacin que se
almacena en el disco duro del visitante de una pgina web a travs de su
navegador, a peticin del servidor de la pgina, conocido en terminologa inglesa
como cookies.
4. Se prevendrn ataques de inyeccin de cdigo.
b) Se prevendrn intentos de escalado de privilegios.
c) Se prevendrn ataques de cross site scripting.
d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan una accin
en representacin de otros, conocidos en terminologa inglesa como proxies y, sistemas
especiales de almacenamiento de alta velocidad, conocidos en terminologa inglesa como
cachs.

74- Proteccin frente a la denegacin de servicio [mp.s.8]:

Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de servicio (DOS
Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga prevista con
holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.

Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.
b) Se establecern procedimientos de reaccin a los ataques, incluyendo la comunicacin con el
proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros.

75- Medios alternativos [mp.s.9]: Se garantizar la existencia y disponibilidad de medios

alternativos para prestar los servicios en el caso de que fallen los medios habituales. Estos
medios alternativos estarn sujetos a las mismas garantas de proteccin que los medios
habituales.

AUDITORA DE SEGURIDAD
Objetivo de la auditora

1- Los siguientes trminos describen los objetivos a auditar:

a) Que la poltica de seguridad defina los roles y funciones de los responsables de la
informacin, los servicios, los activos y la seguridad de los sistemas de la
informacin.
 b) La existencia de los procedimientos para la resolucin de conflictos entre dichos
responsables.
c) Que existan las personas que cubran cada una de las funciones de responsabilidad.
d) Que se realice un anlisis de riesgo, revisado y aprobado de forma anual.
e) Que se estn cumpliendo las medidas de seguridad descrita en cada uno de los
puntos de los marcos organizativos, marco operacional y en las medidas de
proteccin.
f) Que exista un sistema de gestin de la seguridad de la informacin, correctamente
documentado y con revisiones y actualizaciones regulares.

2- Las auditoras sern basadas en la evidencia que permitan cumplimentar los siguientes
puntos:
a) Documentacin de los procedimientos.
b) Registro de incidencias.
c) Examen del personal afectado en el estado de la seguridad de la informacin.

Niveles de auditora

Los niveles de auditora a realizar a los sistemas de la informacin sern los

siguientes:

3- Auditora BSICA
a) Este nivel no requiere de una auditora, es suficiente con reevaluaciones del personal
que administre los sistemas de la informacin, o en su defecto, en quien se delegue
dichas funciones.
La reevaluacin debe ser documentada, indicando cada una de las medidas
implantadas y sus evaluaciones correspondientes.
b) Dichos informes de reevaluacin, deben ser analizados por el responsable de
seguridad correspondiente, que entregar las conclusiones al responsable del sistema
para realizar las medidas correctoras oportunas.

4- Auditoras MEDIA O ALTA

a) El informe final de auditora dictaminar el grado de cumplimiento del Esquema
Nacional de Seguridad (ENS), identificando las deficiencias y sugiriendo las
medidas correctoras adecuadas, as como otras complementarias. Este informe debe
incluir los criterios metodolgicos usados, el alcance, el objetivo de la auditora y
los datos, hechos y observaciones en los que se basan las conclusiones.
b) El informe de auditora ser analizado por el responsable de seguridad, quien
presentar sus conclusiones al responsable del sistema para que adopte las medidas
correctoras oportunas.