CCN Stic 824 Ens Informe Ines

SIN CLASIFICAR
GUA DE SEGURIDAD
(CCN-STIC-824)
ESQUEMA NACIONAL DE SEGURIDAD

INFORME NACIONAL DEL ESTADO DE
SEGURIDAD
Octubre de 2016
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
Edita:
CENTRO CRIPTOLOGICO NACIONAL

2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrnico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2016.10.18 09:42:23 +02'00'
Editor y Centro Criptolgico Nacional, 2016

NIPO: 002-16-007-1
Fecha de Edicin: octubre de 2016
J.A. Maas ha participado en el desarrollo del presente documento, que ha sido financiado por el Ministerio de
Hacienda y Administraciones Pblicas.
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las sanciones
establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del mismo mediante alquiler
o prstamo pblicos.
Centro Criptolgico Nacional 2

SIN CLASIFICAR
SIN CLASIFICAR
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico Nacional
en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de
la informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema Nacional
de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de enero de desarrollo del Esquema Nacional de Seguridad,
modificado por el Real Decreto 951/2015, de 23 de octubre, fija los principios bsicos y requisitos mnimos
as como las medidas de seguridad a implantar en los sistemas de la Administracin, y promueve la
elaboracin y difusin de guas de seguridad de las tecnologas de la informacin y las comunicaciones por
parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Octubre de 2016
Flix Sanz Roldn

Secretario de Estado
Director del Centro Criptolgico Nacional

SIN CLASIFICAR
SIN CLASIFICAR
NDICE
1 INTRODUCCIN ................................................................................................................................... 6
2 MTRICAS BSICAS ........................................................................................................................... 7
2.1 NIVELES DE MADUREZ .............................................................................................................................. 7
2.2 NIVEL DE UN INCIDENTE ........................................................................................................................... 8
3 CARACTERIZACIN DEL SISTEMA DE INFORMACIN ........................................................... 10
3.1 IDENTIFICACIN ..................................................................................................................................... 10
3.2 ACTIVOS ESENCIALES ............................................................................................................................. 11
3.3 CUMPLIMIENTO DEL ANEXO II DEL ENS ................................................................................................ 11
4 INDICADORES BSICOS ................................................................................................................... 15
4.1 ORGANIZACIN DE LA SEGURIDAD ......................................................................................................... 15
4.1.1 Actividades .......................................................................................................................................... 15
4.1.2 Normativa y procedimientos de seguridad .......................................................................................... 16
4.2 IDENTIFICACIN Y AUTENTICACIN ....................................................................................................... 18
4.2.1 Interna ................................................................................................................................................. 18
4.2.2 Externa ................................................................................................................................................ 19
4.3 SERVICIOS SUBCONTRATADOS ................................................................................................................ 20
4.4 ELEMENTOS DEL ENS ............................................................................................................................ 21
4.4.1 Procesos crticos ................................................................................................................................. 21
4.4.2 Proceso de autorizacin [org.4] ......................................................................................................... 21
4.4.3 Anlisis de riesgos [op.pl.1] ............................................................................................................... 22
4.4.4 Proceso de gestin de derechos de acceso [op.acc.4] ........................................................................ 23
4.4.5 Configuracin de seguridad ................................................................................................................ 23
4.4.6 Gestin de cambios ............................................................................................................................. 24
4.4.7 Continuidad de operaciones................................................................................................................ 26
4.4.8 Formacin ........................................................................................................................................... 27
4.5 GESTIN DE INCIDENTES ........................................................................................................................ 28
4.5.1 Tiempo de respuesta (das) a los incidentes de seguridad de la informacin (confidencialidad) ....... 29
4.5.2 Tiempo de respuesta (horas) a los incidentes de interrupcin del servicio (disponibilidad) .............. 30
4.6 RECURSOS .............................................................................................................................................. 32
4.7 DESGLOSE DEL PRESUPUESTO ................................................................................................................ 34
4.8 AUDITORAS ........................................................................................................................................... 35
4.8.1 Auditoras de alto nivel ....................................................................................................................... 37
4.8.2 Auditoras tcnicas .............................................................................................................................. 38
4.8.3 Certificaciones de conformidad actualizadas ..................................................................................... 38
4.9 KRI KEY RISK INDICATORS (INDICADORES CLAVE DE RIESGO) .......................................................... 38
4.9.1 Derechos de los usuarios .................................................................................................................... 38
4.9.2 Dispositivos propios del usuario (BYOD) ........................................................................................... 39
4.9.3 Rotacin de personal........................................................................................................................... 39
5 INDICADORES AGREGADOS ........................................................................................................... 39
5.1 ORGANIZACIN DE LA SEGURIDAD ......................................................................................................... 39
5.2 ENS ANEXO II ..................................................................................................................................... 40
5.3 GESTIN DE INCIDENTES ........................................................................................................................ 41
5.4 AUDITORAS ........................................................................................................................................... 42
6 IM - NDICE DE MADUREZ ............................................................................................................... 43
6.1 EJEMPLOS DE CLCULO DEL NDICE DE MADUREZ ................................................................................. 44
7 IC - NDICE DE CUMPLIMIENTO .................................................................................................... 47
7.1 EJEMPLOS DE CLCULO DEL NDICE DE CUMPLIMIENTO ........................................................................ 48

SIN CLASIFICAR
SIN CLASIFICAR
8 TRANSFERENCIA DE DATOS EN XML .......................................................................................... 49

8.1 EJEMPLO DE ACTIVOS............................................................................................................................. 51
8.2 EJEMPLO DE MEDIDAS DE SEGURIDAD .................................................................................................... 51
8.3 ETIQUETAS DEFINIDAS PARA OTROS .................................................................................................... 51
9 INTERCONEXIN CON OTROS SISTEMAS ................................................................................... 52
9.1 ARQUITECTURA DE LA FRONTERA .......................................................................................................... 52
9.2 HERRAMIENTAS DE SEGURIDAD .............................................................................................................. 53
9.3 ACCESO REMOTO DE EQUIPOS PORTTILES ............................................................................................ 54
10 REFERENCIAS .................................................................................................................................... 54

SIN CLASIFICAR
SIN CLASIFICAR
1 INTRODUCCIN
1. El Esquema Nacional de Seguridad (ENS) exige evaluar regularmente el estado de seguridad
de los sistemas de informacin:
Artculo 35. Informe del estado de la seguridad.
El Comit Sectorial de Administracin Electrnica recoger la informacin

relacionada con el estado de las principales variables de la seguridad en los sistemas
de informacin a los que se refiere el presente Real Decreto, de forma que permita
elaborar un perfil general del estado de la seguridad en las Administraciones
pblicas.
El Centro Criptolgico Nacional articular los procedimientos necesarios para la

recogida y consolidacin de la informacin, as como los aspectos metodolgicos
para su tratamiento y explotacin, a travs de los correspondientes grupos de trabajo
que se constituyan al efecto en el Comit Sectorial de Administracin Electrnica
y en la Comisin de Estrategia TIC para la Administracin General del Estado.
2. As mismo, el ENS exige establecer un sistema de medicin de la seguridad del sistema:

Anexo II Medidas de seguridad
4 Marco operacional [op]
4.6 Monitorizacin del sistema [op.mon]
4.6.2 Sistema de mtricas [op.mon.2]
dimensiones todas
categora bsica media alta
aplica + ++
Categora BSICA
Se recopilarn los datos necesarios atendiendo a la categora del sistema para
conocer el grado de implantacin de las medidas de seguridad que apliquen de las
detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por
el artculo 35.
Categora MEDIA
Adems, se recopilarn datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de los incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
3. Este documento describe una serie de medidas e indicadores con 2 destinatarios:

SIN CLASIFICAR
SIN CLASIFICAR
1. el propio organismo propietario del sistema de informacin

2. el informe anual del estado de seguridad de la administracin pblica espaola
4. En ambos casos se busca
una estimacin preventiva de la seguridad, va anlisis del cumplimiento de
determinados aspectos que se han estimado crticos para cualquier organismo
una estimacin de la eficacia y eficiencia de las actividades llevadas a cabo en materia
de seguridad
una estimacin del esfuerzo humano y econmico dedicado a seguridad TIC
5. Para algunos indicadores se marcan
lneas amarillas que detectan una deficiencia leve, un problema potencial que debe
estudiarse antes de que sea grave
lneas rojas que detectan una deficiencia grave que debe corregirse a la mayor
brevedad posible
6. Se prev recopilar esta informacin anualmente sobre un amplio espectro de la
administracin pblica espaola de forma que podamos al cabo de unos aos ver la evolucin
del pas, y que cada organismo pueda cotejar su posicin particular respecto de la media
nacional. A tal fin, las herramientas PILAR (de anlisis y gestin de riesgos), LUCA (de
gestin de incidentes) y otras, incorporarn mecanismos para recopilar y exportar los
indicadores que les competan.
7. Las mtricas e indicadores presentados en esta gua derivan del marco descrito en la gua
CCN-STIC-815 sobre Mtricas e Indicadores para el ENS.
2 MTRICAS BSICAS
8. Esta seccin describe algunas mtricas que se van a usar en diferentes indicadores.
2.1 NIVELES DE MADUREZ

9. En varios indicadores se utilizan los niveles de madurez para evaluarlos. Se sigue el modelo
CMM1, usado para calificar la madurez de procesos. En varias frmulas que agregan datos
para derivar indicadores, se traduce el nivel por un porcentaje.
nivel significado porcentaje
L0 inexistente 0%
L1 inicial / ad hoc 10%
L2 reproducible, pero intuitivo 50%
L3 proceso definido 80%
L4 gestionado y medible 90%
L5 optimizado 100%
1
CMM CapabilityMaturity Model Modelo de madurez de capacidad o proceso.
SIN CLASIFICAR
SIN CLASIFICAR
10. L0 - Inexistente
11. En el nivel L0 de madurez no hay nada.
12. L1 Inicial / ad hoc
13. En el nivel L1 de madurez, el proceso existe, pero no se gestiona. El xito depende de buena
suerte. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de
respuesta.
14. El xito del nivel L1 depende de tener personal de alta calidad.
15. L2 - Reproducible pero intuitivo
16. En el nivel L2 de madurez, la eficacia del proceso depende de la buena suerte y de la buena
voluntad de las personas. Los xitos son repetibles, pero no hay plan para los incidentes ms
all de la reaccin heroica.
17. Todava hay un riesgo significativo de exceder las estimaciones de coste y tiempo.
18. L3 - Proceso definido
19. Se despliegan y se gestionan los procesos. Hay normativa establecida y procedimientos para
garantizar la reaccin profesional ante los incidentes. Se ejerce un mantenimiento regular. Las
oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido (o
no planificado).
20. El xito es algo ms que buena suerte: se merece.
21. L4 Gestionado y medible
22. Usando medidas, la direccin puede controlar empricamente la eficacia y la efectividad de
los procesos. En particular, la direccin puede fijar metas cuantitativas de la calidad. En el
nivel L4 de madurez, el funcionamiento de los procesos est bajo control con tcnicas
estadsticas y cuantitativas. La confianza es cuantitativa, mientras que en el nivel L3, la
confianza era solamente cualitativa.
23. L5 - Optimizado
24. El nivel L5 de madurez se centra en la mejora continua de los procesos con mejoras
tecnolgicas incrementales e innovadoras. Se establecen objetivos cuantitativos de mejora. Y
se revisan continuamente para reflejar los cambios en los objetivos de negocio, utilizndose
como indicadores en la gestin de la mejora de los procesos.
2.2 NIVEL DE UN INCIDENTE

25. Un incidente de seguridad tiene un cierto impacto sobre el sistema de informacin. Usaremos
los niveles descritos en la gua CCN-STIC 817, Gestin de Ciberincidentes, tabla 4, Criterios
de determinacin del Nivel de Impacto, que se resume a continuacin:

SIN CLASIFICAR
SIN CLASIFICAR
Nivel Descripcin
I0 IRRELEVANTE No hay impacto apreciable sobre el sistema
No hay daos reputacionales apreciables
I1 BAJO La categora ms alta de los sistemas de informacin afectados
es BSICA
El ciberincidente precisa para resolverse menos de 1 JP2
Daos reputacionales puntuales, sin eco meditico
I2 MEDIO La categora ms alta de los sistemas de informacin afectados
es MEDIA
Afecta a ms de 10 equipos con informacin cuya mxima
categora es BSICA
El ciberincidente precisa para resolverse entre 1 y 10 JP
Daos reputacionales apreciables, con eco meditico (amplia
cobertura en los medios de comunicacin)
I3 ALTO La categora ms alta de los sistemas de informacin afectados
es ALTA
categora es BSICA
categora es MEDIA
Daos reputacionales de difcil reparacin, con eco meditico
(amplia cobertura en los medios de comunicacin) y afectando
a la reputacin de terceros
I4 MUY ALTO Afecta a sistemas clasificados RESERVADO
categora es BSICA
categora es MEDIA
categora es ALTA
Daos reputacionales a la imagen del pas (marca Espaa)
Afecta apreciablemente a actividades oficiales o misiones en el
extranjero
Afecta apreciablemente a una infraestructura crtica
2
JP Jornada-persona; estimacin del esfuerzo necesario para realizar una tarea cuya unidad equivale a una jornada
de trabajo ininterrumpido de un trabajador medio.
SIN CLASIFICAR
SIN CLASIFICAR
I5 - CRTICO Afecta a sistemas clasificados SECRETO

categora es MEDIA
categora es ALTA
Afecta a ms de 10 equipos con informacin clasificada
RESERVADO
El ciberincidente precisa para resolverse ms de 50 JP
Afecta apreciablemente a la seguridad nacional
Afecta gravemente a una infraestructura crtica
3 CARACTERIZACIN DEL SISTEMA DE INFORMACIN

26. En esta seccin se trata de caracterizar el sistema de informacin evaluado. Tiene inters a
efectos estadsticos, aunque tambin proporciona una foto de alto nivel de lo que maneja el
organismo.
3.1 IDENTIFICACIN
27. Datos generales.
Identificacin
Organismo denominacin del organismo
Responsable de la seguridad nombre y apellidos
Responsable del sistema nombre y apellidos
etiqueta org
descripcin denominacin del organismo
tipo texto
valores texto libre
etiqueta rseg
descripcin responsable de la seguridad
tipo texto
valores texto libre
etiqueta rsis
descripcin responsable del sistema
tipo texto
valores texto libre
etiqueta users.total
descripcin nmero de personas con acceso al sistema de informacin
tipo nmero
valores >0

SIN CLASIFICAR
SIN CLASIFICAR
medida El nmero de personas con acceso al sistema de informacin se puede medir

como el nmero de cuentas en el sistema, asumiendo que el nmero de cuentas
por persona es, prcticamente, 1.
etiqueta stic_p
descripcin nmero de personas con responsabilidad de administracin de seguridad TIC
tipo nmero
valores >0
medida El nmero de administradores de seguridad se mide como el nmero usuarios
que tienen permisos de administrador sobre la seguridad del sistema o de algn
componente del sistema.
Se incluyen tanto servidores como equipos de usuario final.
3.2 ACTIVOS ESENCIALES

28. Por cada activo esencial, su valoracin en cada dimensin de seguridad. Ver Anexo I del ENS.
activo tipo D3 I C A T
informacin
servicio
informacin
servicio
informacin
servicio
informacin
servicio
3.3 CUMPLIMIENTO DEL ANEXO II DEL ENS

29. Se mide por medio de niveles de madurez que se describen la seccin 2.1.
medidas madurez o n.a.4

org Marco organizativo
[org.1] Poltica de seguridad
[org.2] Normativa de seguridad
[org.3] Procedimientos de seguridad
[org.4] Proceso de autorizacin
3
D (Disponibilidad), I (Integridad), C (Confidencialidad), A (Autenticidad) y T (Trazabilidad).
4
n.a. Acrnimo que se lee como no aplica o no es aplicable. Se emplea cuando una cierta medida de seguridad
no es relevante en el sistema. Por ejemplo, no hay nada que decir del correo electrnico si el sistema no emplea este
servicio.
SIN CLASIFICAR
SIN CLASIFICAR
medidas madurez o n.a.

op Marco operacional
[op.pl] Planificacin
[op.pl.1] Anlisis de riesgos
[op.pl.2] Arquitectura de seguridad
[op.pl.3] Adquisicin de nuevos componentes
[op.pl.4] Dimensionamiento / Gestin de capacidades
[op.pl.5] Componentes certificados
[op.acc] Control de acceso
[op.acc.1] Identificacin
[op.acc.2] Requisitos de acceso
[op.acc.3] Segregacin de funciones y tareas
[op.acc.4] Proceso de gestin de derechos de acceso
[op.acc.5] Mecanismo de autenticacin
[op.acc.6] Acceso local
[op.acc.7] Acceso remoto
[op.exp] Explotacin
[op.exp.1] Inventario de activos
[op.exp.2] Configuracin de seguridad
[op.exp.3] Gestin de la configuracin
[op.exp.4] Mantenimiento
[op.exp.5] Gestin de cambios
[op.exp.6] Proteccin frente a cdigo daino
[op.exp.7] Gestin de incidentes
[op.exp.8] Registro de la actividad de los usuarios
[op.exp.9] Registro de la gestin de incidentes
[op.exp.10] Proteccin de los registros de actividad
[op.exp.11] Proteccin de claves criptogrficas
[op.ext] Servicios externos
[op.ext.1] Contratacin y acuerdos de nivel de servicio
[op.ext.2] Gestin diaria
[op.ext.9] Medios alternativos
[op.cont] Continuidad del servicio
[op.cont.1] Anlisis de impacto

SIN CLASIFICAR
SIN CLASIFICAR
[op.cont.2] Plan de continuidad

[op.cont.3] Pruebas peridicas
[op.mon] Monitorizacin del sistema
[op.mon.1] Deteccin de intrusin
[op.mon.2] Sistema de mtricas
medidas madurez o n.a.

mp Medidas de proteccin
[mp.if] Proteccin de las instalaciones e infraestructuras
[mp.if.1] reas separadas y con control de acceso
[mp.if.2] Identificacin de las personas
[mp.if.3] Acondicionamiento de los locales
[mp.if.4] Energa elctrica
[mp.if.5] Proteccin frente a incendios
[mp.if.6] Proteccin frente a inundaciones
[mp.if.7] Registro de entrada y salida de equipamiento
[mp.if.9] Instalaciones alternativas
[mp.per] Gestin del personal
[mp.per.1] Caracterizacin del puesto de trabajo
[mp.per.2] Deberes y obligaciones
[mp.per.3] Concienciacin
[mp.per.4] Formacin
[mp.per.9] Personal alternativo
[mp.eq] Proteccin de los equipos
[mp.eq.1] Puesto de trabajo despejado
[mp.eq.2] Bloqueo de puesto de trabajo
[mp.eq.3] Proteccin de equipos porttiles
[mp.eq.9] Medios alternativos
[mp.com] Proteccin de las comunicaciones
[mp.com.1] Permetro seguro
[mp.com.2] Proteccin de la confidencialidad
[mp.com.3] Proteccin de la autenticidad y de la integridad
[mp.com.4] Segregacin de redes
[mp.com.9] Medios alternativos

SIN CLASIFICAR
SIN CLASIFICAR
[mp.si] Proteccin de los soportes de informacin

[mp.si.1] Etiquetado
[mp.si.2] Criptografa
[mp.si.3] Custodia
[mp.si.4] Transporte
[mp.si.5] Borrado y destruccin
[mp.sw] Proteccin de las aplicaciones informticas
[mp.sw.1] Desarrollo
[mp.sw.2] Aceptacin y puesta en servicio
[mp.info] Proteccin de la informacin
[mp.info.1] Datos de carcter personal
[mp.info.2] Calificacin de la informacin
[mp.info.3] Cifrado
[mp.info.4] Firma electrnica
[mp.info.5] Sellos de tiempo
[mp.info.6] Limpieza de documentos
[mp.info.9] Copias de seguridad (backup)
[mp.s] Proteccin de los servicios
[mp.s.1] Proteccin del correo electrnico
[mp.s.2] Proteccin de servicios y aplicaciones web
[mp.s.8] Proteccin frente a la denegacin de servicio
[mp.s.9] Medios alternativos
30. Umbrales de madurez; vase seccin 2.1.

categora rojo inferior amarillo inferior nivel adecuado
ALTA L2 L3 L4 o superior
MEDIA L1 L2 L3 o superior
BSICA L0 L1 L2 o superior

SIN CLASIFICAR
SIN CLASIFICAR
4 INDICADORES BSICOS
31. Se describen los datos que se recopilarn para ser informados anualmente.
4.1 ORGANIZACIN DE LA SEGURIDAD

Organizacin de la seguridad
1 2 3 4 5 se dispone de una poltica de seguridad aprobada
1 2 3 4 5 el responsable de la seguridad es independiente del
responsable del sistema
1 2 3 4 5 el anlisis de riesgos est actualizado al ltimo ao
1 2 3 4 5 se dispone de una declaracin de aplicabilidad actualizada
1 2 3 4 5 se mantiene actualizado el plan de seguridad para estar
adaptado al ENS
1 2 3 4 5 se dispone de una declaracin o certificacin de
conformidad actualizada
4.1.1 ACTIVIDADES
32. Se analizan varias actividades organizativas, establecindose una escala cualitativa de
valoracin en 5 niveles. A saber:
1 no se ha iniciado la actividad
2 la actividad est solamente iniciada
3 la actividad est en curso
4 est prcticamente completada
5 actividad completada
etiqueta b_policy
descripcin se dispone de una poltica de seguridad aprobada
tipo entero
valores rango 1-5
objetivo 5
etiqueta rseg-rsis
descripcin el responsable de la seguridad es independiente del responsable del sistema
tipo entero
valores rango 1-5
objetivo 5

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta b_risk
descripcin el anlisis de riesgos est actualizado al ltimo ao
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_soa
descripcin se dispone de una declaracin de aplicabilidad actualizada
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_plan
descripcin se mantiene actualizado el plan de seguridad para estar adaptado al ENS
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_cert
descripcin se dispone de una declaracin o certificacin de conformidad actualizada
tipo entero
valores rango 1-5
objetivo 5
4.1.2 NORMATIVA Y PROCEDIMIENTOS DE SEGURIDAD

Normativa de seguridad
porcentaje de normas de seguridad implantadas %
Procedimientos operativos de seguridad (POS)
porcentaje de procedimientos de seguridad implantados %
etiqueta policies.p
descripcin porcentaje de normas de seguridad implantadas
tipo porcentaje
valores 0% .. 100%
objetivo 100%
medida es imposible ser objetivo; el responsable de la seguridad realizar una
estimacin aproximada, plasmada en un nmero redondo, evidentemente sin
decimales.
Pueden facilitarse algunas pautas:
100% no hay ninguna norma pendiente de implantar
90% slo falta implantar algunos elementos de detalle
80% prcticamente todas las normas estn implantadas
50% la implantacin progresa adecuadamente
10% hemos empezado a implantar algunas normas
0% no hay ninguna norma implantada

SIN CLASIFICAR
SIN CLASIFICAR
33. Umbrales: Porcentaje de normas de seguridad implantadas

ALTA < 50% < 80% > 80%
MEDIA < 33% < 70% > 70%
BSICA < 25% < 60% > 60%
etiqueta pos.p
descripcin porcentaje de procedimientos operativos de seguridad implantados
tipo porcentaje
valores 0% .. 100%
objetivo 100%
medida es imposible ser objetivo; el responsable de la seguridad realizar una
estimacin aproximada, plasmada en un nmero redondo, evidentemente sin
decimales.
Pueden facilitarse algunas pautas:
100% no hay ningn procedimiento pendiente de implantar
90% slo falta implantar algunos elementos de detalle
80% prcticamente todos los procedimientos estn implantados
50% la implantacin progresa adecuadamente
10% hemos empezado a implantar algunos procedimientos
0% no hay ningn procedimiento implantado
34. Umbrales: Porcentaje de procedimientos operativos de seguridad implantados

ALTA < 75% < 95% > 95%
MEDIA < 50% < 66% > 66%
BSICA - < 33% > 33%

SIN CLASIFICAR
SIN CLASIFICAR
4.2 IDENTIFICACIN Y AUTENTICACIN

35. Se trata de inventariar el uso de los diferentes mecanismos disponibles para acceder al sistema.
Se contabilizan puntos de acceso en los que se requiere la identificacin del usuario.
IDENTIFICACIN Y AUTENTICACIN
Personal interno
puntos de acceso que emplean contraseas %
puntos de acceso que emplean tokens %
puntos de acceso que emplean biometra %
Usuarios externos
puntos de acceso que emplean contraseas %
puntos de acceso que emplean claves concertadas %
puntos de acceso que emplean tokens %
(ej. DNI electrnico)
puntos de acceso que emplean doble canal %
(ej. contraseas de un solo uso sobre SMS)
4.2.1 INTERNA
36. Mecanismo de autenticacin para personal interno (trabajadores del organismo, propios o
subcontratados)
etiqueta ia.int.password
descripcin puntos de acceso que emplean contraseas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con contrasea
etiqueta ia.int.token
descripcin puntos de acceso que emplean tokens
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con token
etiqueta ia.int.bio
descripcin puntos de acceso que emplean biometra
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar biomtricamente

SIN CLASIFICAR
SIN CLASIFICAR
4.2.2 EXTERNA
37. Mecanismo de autenticacin para usuarios externos: usuarios que no son personal del
organismo
etiqueta ia.ext.password
descripcin puntos de acceso que emplean contraseas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con contrasea
etiqueta ia.ext.cc
descripcin puntos de acceso que emplean claves concertadas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con claves concertadas
etiqueta ia.ext.token
descripcin puntos de acceso que emplean tokens
(ej. DNI electrnico)
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con token
etiqueta ia.ext.2
descripcin puntos de acceso que emplean doble canal
(ej. contraseas de un solo uso sobre SMS)
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con doble canal

SIN CLASIFICAR
SIN CLASIFICAR
4.3 SERVICIOS SUBCONTRATADOS

38. Servicios proporcionados por terceros, bien sea por medio de contrato o de convenio.
39. Se incluirn los que estn en produccin, sin que consten los que estn en pruebas o
experimentacin.
Servicios de
comunicaciones
ISP5 acceso a Internet
hosting6 housing7 alojamiento de servidor www8
copias de seguridad
equipamiento hardware de respaldo
instalaciones de respaldo
(centro alternativo)
SaaS9 PaaS10 IaaS11 en la nube
identificacin y autenticacin
firma electrnica
sellos de tiempo
seguridad gestionada
40. Se marcarn los que apliquen de los siguientes
Servicios de comunicaciones
Servicios de acceso a Internet (ISP)
Servicios de alojamiento de servidor web
Servicios de copias de seguridad
Servicios de equipamiento hardware de respaldo
Servicios de instalaciones de respaldo (centro alternativo)
Servicios en la nube
Servicios de identificacin y autenticacin
Servicios de firma electrnica
Servicios de sello de tiempo
Servicios de seguridad gestionada (monitorizacin, gestin de logs, )
5
ISP Internet Service Provider Proveedor de acceso a Internet
6
hosting Hospedaje donde el proveedor proporciona la infraestructura fsica y lgica.
7
housing Hospedaje donde los equipos son del cliente y el proveedor simplemente los acoge en sus instalaciones.
8
www Servidor de pginas de navegacin web.
9
SaaS Software as a Service El proveedor proporciona la aplicacin software.
10
PaaS Platform as a Service El proveedor proporciona la plataforma y el cliente instala sus aplicaciones.
11
IaaS- Infrastructure as a Service El proveedor proporciona el equipo y el cliente instala desde el sistema operativo
en adelante.
SIN CLASIFICAR
SIN CLASIFICAR
4.4 ELEMENTOS DEL ENS

4.4.1 PROCESOS CRTICOS
Proceso madurez
Proceso de autorizacin [org.4]
Anlisis de riesgos [op.pl.1]
Gestin de derechos de acceso [op.acc.4]
Gestin de incidentes [op.exp.7]
Concienciacin y formacin [mp.per.3 + mp.per.4]
Configuracin de seguridad [op.exp.2] +
Gestin de la configuracin [op.exp.3]
Mantenimiento [op.exp.4] +
Gestin de cambios [op.exp.5]
Continuidad de operaciones
[op.cont.1 op.cont.2 op.cont.3
mp.if.9 mp.per.9 mp.eq.9 mp.com.9 mp.info.9 mp.s.9
op.ext.9]
41. Se mide por medio de niveles de madurez que se describen la seccin 2.1.
categora rojo inferior amarillo inferior objetivo

ALTA L212 L3 L4 o superior
MEDIA L1 L2 L3 o superior
BSICA L0 L1 L2 o superior
4.4.2 PROCESO DE AUTORIZACIN [ORG.4]

42. Indicadores de eficacia.
43. Se mide el nmero de incidentes debidos a fallos del proceso de autorizacin.
etiqueta process.org-4.n_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2)
debidos a fallos del proceso de autorizacin
tipo entero
valores 0
objetivo 0
12
Los niveles de madurez se describen en la seccin 2.1.
SIN CLASIFICAR
SIN CLASIFICAR
etiqueta process.org-4.n_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2)
tipo entero
valores 0
objetivo 0
etiqueta process.org-4.p_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2) por usuario
tipo porcentaje
frmula process.org-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.org-4.p_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2) por usuario
tipo porcentaje
process.org-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
4.4.3 ANLISIS DE RIESGOS [OP.PL.1]

44. Indicadores predictivos, de implantacin.
etiqueta assets.essential.total
descripcin nmero de activos esenciales
tipo entero
valores >0
etiqueta process.op-pl-1.n
descripcin nmero de elementos esenciales con un anlisis de riesgos actualizado
en el ltimo ao
tipo entero
valores 0 .. assets.essential.total
objetivo assets.essential.total

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta process.op-pl-1.p
descripcin proporcin de elementos esenciales con un anlisis de riesgos actualizado
en el ltimo ao
tipo porcentaje
frmula process.op-pl-1.n / assets.essential.total
valores 0% .. 100%
objetivo 100%
4.4.4 PROCESO DE GESTIN DE DERECHOS DE ACCESO [OP.ACC.4]

46. Se mide el nmero de incidentes debidos a fallos del proceso de gestin de derechos de acceso.
etiqueta process.op-acc-4.n_high
debidos a fallos del proceso de gestin de derechos de acceso
tipo entero
valores 0
objetivo 0
etiqueta process.op-acc-4.n_medium
tipo entero
valores 0
objetivo 0
etiqueta process.op-acc-4.p_high
tipo porcentaje
frmula process.op-acc-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-acc-4.p_medium
tipo porcentaje
frmula process.op-acc-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
4.4.5 CONFIGURACIN DE SEGURIDAD

47. Indicadores relativos a las medidas de seguridad [op.exp.2] y [op.exp.3]

SIN CLASIFICAR
SIN CLASIFICAR

49. Se mide el nmero de incidentes debidos a fallos del proceso de establecimiento y
mantenimiento de la configuracin de seguridad.
etiqueta process.op-exp-2.n_high
debidos a fallos del proceso de establecimiento y mantenimiento de la
configuracin de seguridad
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-2.n_medium
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-2.p_high
tipo porcentaje
frmula process.op-exp-2.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-2.p_medium
tipo porcentaje
frmula process.op-exp-2.n_medium / users.total
valores 0% .. 100%
objetivo 0%
4.4.6 GESTIN DE CAMBIOS

50. Indicadores relativos a las medidas de seguridad [op.exp.4] y [op.exp.5]

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta process.op-exp-4.t50_high
descripcin tiempo que se tarda en actualizar el 50% del software desde que se anuncia una
actualizacin hasta que se ha aplicado; activos de nivel ALTO
tipo real
valores das
objetivo 0
etiqueta process.op-exp-4.t90_high
actualizacin hasta que se ha aplicado; activos de nivel ALTO
tipo real
valores das
objetivo process.op-exp-4.t50_high
etiqueta process.op-exp-4.s30_high
descripcin activos de nivel ALTO que llevan ms de 30 das pendientes de que se aplique
una actualizacin
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.t50_medium
actualizacin hasta que se ha aplicado; activos de nivel MEDIO
tipo real
valores das
objetivo 0
etiqueta process.op-exp-4.t90_medium
actualizacin hasta que se ha aplicado; activos de nivel MEDIO
tipo real
valores das
objetivo process.op-exp-4.t50_medium

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta process.op-exp-4.s30_medium
descripcin activos de nivel MEDIO que llevan ms de 30 das pendientes de que se aplique
una actualizacin
tipo entero
valores 0
objetivo 0

53. Se mide el nmero de incidentes debidos a fallos del proceso de mantenimiento y gestin de
cambios.
etiqueta process.op-exp-4.n_high
debidos a fallos del proceso de mantenimiento y gestin de cambios
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.n_medium
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.p_high
tipo porcentaje
frmula process.op-exp-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-4.p_medium
tipo porcentaje
frmula process.op-exp-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
4.4.7 CONTINUIDAD DE OPERACIONES

54. Indicadores relativos a las medidas de seguridad [op.cont.*] y [mp.*.9]
55. Indicadores predictivos, de implantacin.

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta process.op-cont.bia_high
descripcin porcentaje de servicios esenciales de nivel ALTO con un anlisis de impacto
actualizado al ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
etiqueta process.op-cont.drp_high
descripcin porcentaje de servicios esenciales de nivel ALTO con un plan de continuidad
actualizado al ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
etiqueta process.op-cont.test_high
descripcin porcentaje de servicios esenciales de nivel ALTO
que han sido verificados en el ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
56. Indicadores de eficacia

etiqueta process.op-cont.hours
descripcin horas sin servicio en el ltimo ao
tipo real
valores horas
objetivo 0
4.4.8 FORMACIN
Formacin
stic_p nmero de personas con responsabilidad de administracin de seguridad TIC
nmero total de horas dedicadas en el ltimo ao a tareas de formacin en materia
de seguridad
calculado nmero de horas dedicadas a formacin del personal en materia de seguridad,
dividido por el nmero de personas dedicadas a la seguridad

SIN CLASIFICAR
SIN CLASIFICAR
57. Indicadores predictivos.

etiqueta train.nh
descripcin nmero total de horas dedicadas en el ltimo ao a tareas de formacin en
materia de seguridad
tipo real
valores 0
medida horas de curso * nmero de asistentes por curso
etiqueta train.nhp
descripcin nmero de horas dedicadas a formacin del personal en materia de seguridad,
dividido por el nmero de personas dedicadas a la seguridad
tipo real
frmula train.nh / stic_p (ver seccin 3.1)
valores 0
58. Tasas bajas de formacin pueden llevar a un esfuerzo propio en la materia, o a la utilizacin
de recursos centrales de formacin.
4.5 GESTIN DE INCIDENTES

Gestin de incidentes -- Tiempo de respuesta
Seguridad de la informacin (confidencialidad): das
nivel nmero T(50) T(90) sup(30)
(seccin 2.2)
I5 CRTICO +
I4 - MUY ALTO
I3 - ALTO
Interrupcin del servicio (disponibilidad): horas
nivel nmero T(50) T(90) sup(30)
(seccin 2.2)
I5 CRTICO +
I4 - MUY ALTO
I3 - ALTO
59. Seguridad de la informacin. Incidentes que afectan a la confidencialidad o integridad de la

informacin.
T(50) tiempo que se tarda en resolver el 50% de los incidentes
sup(30) nmero de incidentes que llevan ms de 30 das abiertos

SIN CLASIFICAR
SIN CLASIFICAR
60. Interrupcin del servicio. Incidentes que afectan a la disponibilidad del servicio prestado.
sup(30) nmero de incidentes que llevan ms de 30 horas abiertos
4.5.1 TIEMPO DE RESPUESTA (DAS) A LOS INCIDENTES DE SEGURIDAD DE LA

INFORMACIN (CONFIDENCIALIDAD)
etiqueta incidents.i.n_high
descripcin Nmero de incidentes de seguridad de la informacin de nivel I4 ms los de
nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores 0
etiqueta incidents.i.t50_high
descripcin Nmero de das en que se han resuelto el 50% de los incidentes de seguridad
de la informacin de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo
ao.
tipo entero
valores das
etiqueta incidents.i.t90_high
de la informacin de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo
ao.
tipo entero
valores das
etiqueta incidents.i.s30_high
descripcin Nmero de incidentes de seguridad de la informacin de nivel I4 ms los de
nivel I5 (seccin 2.2) que llevan ms de 30 das abiertos
tipo entero
valores 0
etiqueta incidents.i.n_medium
descripcin Nmero de incidentes de seguridad de la informacin de nivel I3 (seccin 2.2)
en el ltimo ao.
tipo entero
valores 0

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta incidents.i.t50_medium
de la informacin de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores das
etiqueta incidents.i.t90_medium
de la informacin de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores das
etiqueta incidents.i.s30_medium
descripcin Nmero de incidentes de seguridad de la informacin de nivel I3 (seccin 2.2)
que llevan ms de 30 das abiertos
tipo entero
valores 0
61. Umbrales: das que se tarda en cubrir el porcentaje de incidentes cerrados, relativos a
seguridad de la informacin (confidencialidad)
T(50) T(90)
nivel amarillo rojo amarillo rojo
(seccin 2.2) superior superior superior superior
I5 CRTICO > 2d > 5d > 5d > 30d
I4 - MUY ALTO
I3 - ALTO > 7d > 30d > 30d > 90d
4.5.2 TIEMPO DE RESPUESTA (HORAS) A LOS INCIDENTES DE INTERRUPCIN

DEL SERVICIO (DISPONIBILIDAD)
etiqueta incidents.d.n_high
descripcin Nmero de incidentes de disponibilidad de nivel I4 ms los de nivel I5
(seccin 2.2) en el ltimo ao.
tipo entero
valores 0
etiqueta incidents.d.t50_high
descripcin Nmero de horas en que se han resuelto el 50% de los incidentes de
disponibilidad de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta incidents.d.t90_high
disponibilidad de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.s30_high
descripcin Nmero de incidentes de seguridad de disponibilidad de nivel I4 ms los de
nivel I5 (seccin 2.2) que llevan ms de 24 horas abiertos
tipo entero
valores 0
etiqueta incidents.d.n_medium
descripcin Nmero de incidentes de disponibilidad de nivel I3 (seccin 2.2) en el ltimo
ao.
tipo entero
valores 0
etiqueta incidents.d.t50_medium
disponibilidad de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.t90_medium
disponibilidad de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.s30_medium
descripcin Nmero de incidentes de disponibilidad de nivel I3 (seccin 2.2) que llevan
ms de 24 horas abiertos
tipo entero
valores 0

SIN CLASIFICAR
SIN CLASIFICAR
62. Umbrales: horas que se tarda en cubrir el porcentaje de incidentes cerrados, relativos a
interrupcin del servicio (disponibilidad)
T(50) T(90)
nivel amarillo rojo amarillo rojo
(seccin 2.2) superior superior superior superior
I5 CRTICO > 2h > 5h > 5h > 30h
I4 - MUY ALTO
I3 - ALTO > 7h > 30h > 30h > 180h
63. Los niveles de madurez nos indican la calidad de las actividades desarrolladas para gestionar
la seguridad, son indicadores predictivos, pues una baja madurez de los mismos denota una
debilidad de cara a enfrentarnos a incidentes.
64. En cambio, los incidentes nos muestran la eficacia conseguida. El nmero de incidentes es un
poco relativo, pues no depende tanto de nosotros como de la parte atacante y, adems puede
haber diferentes criterios para clasificar un incidente de forma individualizada o fragmentada
en componentes. En cambio, los tiempos de respuesta son indicativos de la ventana de
oportunidad que le cedemos al atacante.
65. Lo idneo es cerrar todos los incidentes con presteza, aunque se mide el T(90) para no
engaarnos con incidentes insidiosos aislados.
66. Si T(90) es alto, es indicacin clara de que hay que mejorar el proceso de gestin de incidentes,
quizs necesitemos ms medios.
67. Si T(50) es claramente inferior a T(90) puede que nos encontremos con un sistema poco
profesionalizado pues si el sistema de gestin est bien dotado y bien procedimentado, T(50)
debe ser cercano a T(90). En estos casos debemos poner nfasis en elaborar procedimientos
que hagan el proceso sistemtico.
4.6 RECURSOS
68. Estimacin de la fraccin de recursos dedicados a seguridad de las tecnologas de
comunicacin e informacin sobre el total de recursos dedicados a tecnologas de
comunicacin e informacin.
Recursos dedicados a seguridad TIC sobre el total de recursos dedicados a TIC
fraccin de horas (en el ltimo periodo anual)

SIN CLASIFICAR
SIN CLASIFICAR
69. El organismo marcar su ubicacin en la siguiente escala de rangos, donde se indican tambin
los umbrales rojo y amarillo, inferior y superior, para cada categora de sistema.
categora < 1% 1% - 2% 2% - 4% 4% - 8% 8% - 16% > 16%

BSICA
MEDIA
ALTA
etiqueta p_stic_h
descripcin Porcentaje de horas dedicadas a seguridad TIC
sobre el total de horas dedicadas a TIC.
tipo porcentaje
frmula estimacin
valores 0% .. 100%
70. Son datos anuales, bien porque son estables a lo largo del ao, bien sumando los datos de cada
periodo. No cabe esperar una precisin superior al 10%.
71. Dedicacin TIC incluye todas las tareas relacionadas con Tecnologas de la Informacin y
Comunicaciones:
tareas tcnicas
tareas administrativas, incluyendo contratacin de personas, bienes y servicios.
tareas docentes (formacin)
72. Dedicacin STIC incluye todas las tareas relacionadas con la Seguridad de las TIC. Pueden
usarse las tareas a las que hace mencin el ENS como inventario:
tareas tcnicas: preventivas y de resolucin de incidentes
tareas administrativas, incluyendo contratacin de personas, bienes y servicios
tareas de concienciacin y formacin
tareas de comunicacin con las autoridades
73. No se har distinciones en funcin de la categora de la persona. Suma lo mismo personal fijo
o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios, se
imputar la carga de trabajo indicada en el contrato de prestacin de servicios.
74. Este indicador es predictivo. Una deficiencia de recursos es una invitacin a tener problemas
y dificultades para solucionar los incidentes. No obstante hay an poca informacin de dnde
deben estar las lneas amarillas y rojas. Probablemente los umbrales haya que revisarlos segn
vayamos teniendo ms datos.
75. En todo caso deben usarse para que los organismos busquen recursos (o reubiquen los recursos
disponibles) en caso de debilidad.

SIN CLASIFICAR
SIN CLASIFICAR
4.7 DESGLOSE DEL PRESUPUESTO

Presupuesto
TIC
fraccin del presupuesto TIC dedicado a seguridad TIC
fraccin del presupuesto STIC dedicado a concienciacin y formacin
fraccin del presupuesto STIC dedicado a personal externo
fraccin del presupuesto STIC dedicado a servicios externos
fraccin del presupuesto STIC dedicado a adquisicin y mantenimiento de
productos
76. Medidas e indicadores. Este apartado desglosa los datos econmicos recogidos en el apartado
anterior.
etiqueta budget.stic_p
descripcin fraccin del presupuesto TIC dedicado a seguridad TIC
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_aw_p
descripcin fraccin del presupuesto STIC dedicado a concienciacin y formacin
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_per_p
descripcin fraccin del presupuesto STIC dedicado a personal externo
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_s_p
descripcin fraccin del presupuesto STIC dedicado a servicios externos
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_eq_p
descripcin fraccin del presupuesto STIC dedicado a adquisicin y mantenimiento de
productos
tipo porcentaje
valores 0% .. 100%
77. Son datos anuales, bien porque son estables a lo largo del ao, bien promediando los datos de
cada periodo. No cabe esperar una precisin superior al 10%.

SIN CLASIFICAR
SIN CLASIFICAR
78. Presupuesto TIC incluye todo el gasto relacionado con Tecnologas de la Informacin y
Comunicaciones:
personal propio (en la proporcin que se dedica a TIC)
contratacin de personas, bienes y servicios.
tareas docentes (formacin)
79. Presupuesto STIC incluye la parte del gasto TIC relacionado con la Seguridad de las TIC.
Pueden usarse los elementos a los que hace mencin el ENS como inventario:
tcnicos: tareas preventivas y de resolucin de incidentes
contratacin de personas, bienes y servicios
gasto en concienciacin y formacin
80. No se har distinciones en funcin de la categora de la persona. Suma lo mismo personal fijo
o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios, se
imputar la carga de trabajo indicada en el contrato de prestacin de servicios.
4.8 AUDITORAS
81. Una auditora debe cubrir tanto aspectos de gobierno de la seguridad (lo que llamaremos
auditoras de alto nivel), como aspectos de implantacin de las medidas de seguridad (lo que
llamaremos una auditora tcnica). La siguiente tabla establece una relacin del tipo de
auditora requerida en el ENS en cada uno de los aspectos, sin perjuicio de que una auditora
completa debe cubrir todos y cada uno de los aspectos.
ANEXO III Auditora de la seguridad

1 Objeto de la auditora.
1.1 La seguridad de los sistemas de informacin de una organizacin
auditora ser auditada en los siguientes trminos:
de alto nivel a) Que la poltica de seguridad define los roles y funciones de los
responsables de la informacin, los servicios, los activos y la seguridad del
sistema de informacin.
de alto nivel b) Que existen procedimientos para resolucin de conflictos entre dichos
responsables.
de alto nivel c) Que se han designado personas para dichos roles a la luz del principio de
"separacin de funciones".
de alto nivel y d) Que se ha realizado un anlisis de riesgos, con revisin y aprobacin
tcnica anual.
tcnica e) Que se cumplen las recomendaciones de proteccin descritas en el
Anexo II, sobre Medidas de Seguridad, en funcin de las condiciones de
aplicacin en cada caso.
de alto nivel f) Que existe un sistema de gestin de la seguridad de la informacin,
documentado y con un proceso regular de aprobacin por la direccin.

SIN CLASIFICAR
SIN CLASIFICAR
82. Adems, una auditora puede terminar en una declaracin o certificacin de conformidad con
el ENS. Para esta conformidad se requiere atender tanto los aspectos de alto nivel como los
tcnicos, aadiendo un sello de conformidad si procede.
83. Como resultado de la auditora se pueden identificar una serie de no conformidades. Estas se
clasificarn de acuerdo a los siguientes criterios.
84. No conformidad
Incumplimiento de un requisito [ISO/IEC 17021-1:2015]; en nuestro caso incumplimiento
de lo establecido en el ENS.
85. No conformidad MAYOR
Cuando afecta a la capacidad del sistema de informacin para atender sus funciones (ENS
Artculo 1. Objeto). Un sistema no puede certificarse si adolece de una no conformidad
mayor.
Las no conformidades son clasificadas como mayores cuando existe una duda significativa
de que se haya implementado un control eficaz de proceso, o de que las medidas de
seguridad cumplan los requisitos especificados.
La existencia de un nmero significativo de no conformidades menores asociadas al
mismo requisito o cuestin podra demostrar una desviacin sistemtica y por tanto,
constituir una no conformidad mayor.
86. No conformidad menor
Las no conformidades son clasificadas como menores cuando no afectan a la capacidad
del sistema de proteccin para lograr los resultados previstos; pero o bien los requisitos se
cumplen de forma manifiestamente mejorable o se aprecian incoherencias entre requisitos
que deberan estar alineados.
Un sistema que adolezca de no conformidades menores deber presentar un plan de
acciones correctivas a corto plazo para optar a una certificacin temporal.
87. Las observaciones son comentarios significativos que, sin constituir una no conformidad
menor o mayor, deben tenerse en cuenta en futuras auditoras.
88. Una opcin de mejora es un comentario informativo aportado por el equipo de auditora y
que puede ser tenido en cuenta por el organismo, o no.
89. Se registrarn los siguientes aspectos:

SIN CLASIFICAR
SIN CLASIFICAR
AUDITORAS
Auditoras de alto nivel
Se dispone de una auditora actualizada de alto nivel
Nmero de no conformidades MAYORES
encontradas en la ltima auditora de alto nivel
Nmero de no conformidades MENORES
encontradas en la ltima auditora de alto nivel
Auditoras tcnicas
Se dispone de una auditora tcnica actualizada
Nmero de no conformidades MAYORES
encontradas en la ltima auditora tcnica
Nmero de no conformidades MENORES
encontradas en la ltima auditora tcnica
Certificaciones de conformidad con el ENS
El sistema disfruta de una certificacin actualizada de conformidad con el
ENS
Otras certificaciones de seguridad actualizadas:
4.8.1 AUDITORAS DE ALTO NIVEL

etiqueta audit.biz.b
descripcin Se dispone de una auditora actualizada de alto nivel
tipo boolean
valores true | false
etiqueta audit.biz.high
descripcin Nmero de no conformidades MAYORES encontradas en la ltima auditora de
alto nivel
tipo entero
valores 0
etiqueta audit.biz.medium
descripcin Nmero de no conformidades MENORES encontradas en la ltima auditora de
alto nivel
tipo entero
valores 0

SIN CLASIFICAR
SIN CLASIFICAR
4.8.2 AUDITORAS TCNICAS

etiqueta audit.tech.b
descripcin Se dispone de una auditora tcnica actualizada
tipo boolean
etiqueta audit.tech.high
descripcin Nmero de no conformidades MAYORES encontradas en la ltima auditora
tcnica
tipo entero
valores 0
etiqueta audit.tech.medium
descripcin Nmero de no conformidades MENORES encontradas en la ltima auditora
tcnica
tipo entero
valores 0
4.8.3 CERTIFICACIONES DE CONFORMIDAD ACTUALIZADAS

etiqueta ens_certs
descripcin Certificaciones de conformidad con el ENS actualizadas
tipo boolean
etiqueta s_certs
descripcin Otras certificaciones de seguridad actualizadas
tipo texto
valores formato libre
4.9 KRI KEY RISK INDICATORS (INDICADORES CLAVE DE RIESGO)

4.9.1 DERECHOS DE LOS USUARIOS
90. Se refiere a los equipos cliente empleados por el personal o trabajadores del organismo.
etiqueta client.conf_p
descripcin Porcentaje de equipos cliente de los usuarios internos sobre el total de equipos del
sistema en los que la configuracin y su gestin estn bajo control exclusivo de
los tcnicos del organismo
tipo porcentaje
valores 0% .. 100%
objetivo 100%

SIN CLASIFICAR
SIN CLASIFICAR
4.9.2 DISPOSITIVOS PROPIOS DEL USUARIO (BYOD13)

91. Se refiere a personal o trabajadores del organismo que emplean dispositivos propios para
acceder a los sistemas. Por ejemplo, porttiles, tabletas, telfonos inteligentes, etc.
etiqueta byod_p
descripcin Porcentaje de equipos de los usuarios internos (BYOD)
sobre el total de equipos del sistema
tipo porcentaje
valores 0% .. 100%
etiqueta byod.conf_p
descripcin Porcentaje de equipos de los usuarios internos (BYOD) sobre el total de equipos
del sistema en los que la configuracin y su gestin estn bajo control exclusivo
de los tcnicos del organismo.
Es decir, que el usuario NO tiene privilegios de administrador.
tipo porcentaje
valores 0% .. 100%
objetivo 100%
4.9.3 ROTACIN DE PERSONAL

92. Indicador predictivo.
etiqueta people.churn
descripcin Tasa de rotacin de personal dedicado a seguridad TIC en el ltimo ao
tipo porcentaje
frmula stic_p = nmero de personas dedicadas a seguridad TIC (media del ao)
people.out = nmero de personas dedicadas a seguridad TIC que abandonan el

organismo en el ltimo ao
people.churn = people.out / stic_p
valores 0% .. 100%
objetivo < 10%
5 INDICADORES AGREGADOS
93. Se presentan una serie de indicadores que agregan varios de los indicadores detallados
definidos en la seccin anterior. El objetivo es un cuadro de mando con unos pocos
indicadores que sinteticen el estado de seguridad del sistema de informacin.
94. Obviamente, cuando un indicador es malo, hay que recurrir a su desglose para entender por
qu.
5.1 ORGANIZACIN DE LA SEGURIDAD

95. Se usar la media de los siguientes indicadores:
13
BYOD Bring Your Own Device Uso de dispositivos del usuario como medio de trabajo.
SIN CLASIFICAR
SIN CLASIFICAR
indicador descripcin frmula

b_policy poltica de seguridad aprobada 1 0 puntos
rseg-rsis responsables independientes 2 10 puntos
3 50 puntos
b_risk anlisis de riesgos actualizados
4 80 puntos
b_soa declaracin de aplicabilidad actualizada
5 100 puntos
b_plan plan de seguridad ENS actualizado
b_cert declaracin o certificacin de conformidad
actualizada
policies_p normas de seguridad implantadas porcentaje puntos
ej. 75% 75 puntos
pos_p procdimientos de seguridad implantados
agg.org suma(puntos) / 8
96. El objetivo es 100%
5.2 ENS ANEXO II

97. Se definen 2 indicadores para calibrar la madurez de un sistema de informacin sujeto al
Esquema Nacional de Seguridad.
IM - ndice de madurez
derivado de la madurez de las medidas del Anexo II que son aplicables
(ver seccin 6)
IC - ndice de cumplimiento
derivado de la madurez de las medidas del Anexo II que son aplicables, teniendo
en cuenta la categora del sistema
(ver seccin 7)
etiqueta index.maturity.ens
descripcin ndice de madurez del ENS (Anexo II)
tipo entero
frmula ver seccin 6
valores 0 .. 100
objetivo por categora

SIN CLASIFICAR
SIN CLASIFICAR
etiqueta index.compliance.ens
descripcin ndice de cumplimiento del ENS (Anexo II)
tipo entero
frmula ver seccin 7
valores 0 .. 100
objetivo 100
98. Umbrales: ndice de madurez (IM)

categora rojo amarillo adecuado
ALTA < 66 < 80 > 80
MEDIA < 50 < 66 > 66
BSICA < 20 < 33 > 33
99. Umbrales: ndice de cumplimiento (IC)

categora rojo amarillo adecuado
ALTA < 75 < 95 > 95
MEDIA < 75 < 95 > 95
BSICA < 75 < 95 > 95
5.3 GESTIN DE INCIDENTES

100. Se usar el valor mximo de los siguientes indicadores:

SIN CLASIFICAR
SIN CLASIFICAR
indicador frmula descripcin

(niveles: ver seccin 2.2)
incidents.i.t50_high puntos valor * 4 Nmero de das en que se han
resuelto el 50% de los incidentes de
seguridad de la informacin de nivel
I4 ms los de nivel I5 en el ltimo
ao.
incidents.i.t90_high puntos valor * 4 Nmero de das en que se han
I4 ms los de nivel I5 en el ltimo
ao.
incidents.i.t50_medium puntos valor * 2 Nmero de das en que se han
I3 en el ltimo ao.
incidents.i.t90_medium puntos valor * 2 Nmero de das en que se han
I3 en el ltimo ao.
incidents.d.t50_high puntos valor * 4 Nmero de horas en que se han
disponibilidad de nivel I4 ms los de
nivel I5 en el ltimo ao.
incidents.d.t90_high puntos valor * 4 Nmero de horas en que se han
disponibilidad de nivel I4 ms los de
nivel I5 en el ltimo ao.
incidents.d.t50_medium puntos valor * 2 Nmero de horas en que se han
disponibilidad de nivel I3 en el
ltimo ao.
incidents.d.t90_medium puntos valor * 2 Nmero de horas en que se han
disponibilidad de nivel I3 en el
ltimo ao.
agg.incidents max(puntos)
101. El objetivo es 0. Cuanto ms bajo sea el indicador agregado, mejor nota para el sistema.
5.4 AUDITORAS
102. El objetivo es tener al menos una auditora actualizada de cada tipo (o una combinada, que se
marca como una de cada) y que no haya no conformidades significativas. Se combinarn los
siguientes indicadores de detalle:
indicador frmula descripcin

SIN CLASIFICAR
SIN CLASIFICAR
audit.biz.b 0 0 puntos auditora de alto nivel

audit.tech.b 1 o ms 50 puntos auditora tcnica
audit.biz.high puntos - valor * 4 auditora de alto nivel:
no conformidades MAYORES
audit.tech.high auditora de alto nivel:
no conformidades MENORES
audit.biz.medium puntos - valor * 2 auditora tcnica:
no conformidades MAYORES
audit.tech.medium auditora tcnica:
no conformidades MENORES
agg.audit suma(puntos)
si la suma es negativa:
0 puntos
103. El objetivo es 100: una auditora de alto nivel y una auditora tcnica, sin no conformidades
significativas.
6 IM - NDICE DE MADUREZ
104. Se toman en consideracin las medidas de seguridad que el responsable de la seguridad marca
como aplicables en su sistema. Solamente se consideran las medidas detalladas, sin tener en
cuenta los agrupamientos; es decir, las siguientes:
org.*
op.pl.*, op.acc.*, op.exp.*, op.ext.*, op.cont.*, op.mon.*
mp.if.*, mp.per.*, mp.eq.*, mp.com.*, mp.si.*, mp.sw.*, mp.info.*, mp.s.*
105. Si una medida es aplicable, tendr una valoracin M de madurez dentro de la tabla estndar
(ver seccin 2.1): L0, L1, L2, L3, L4 y L5.
106. y se la asigna una puntuacin (que a veces se conoce informalmente como porcentaje de
madurez por el hecho de trabajar en una escala entre 0 y 100).
madurez puntos
L0 0
L1 10
L2 50
L3 80
L4 90
L5 100
107. Si la medida est valorada en un rango, como puede ser L2-L3, se usa el valor medio de los
puntos; por ejemplo
puntos(L2-L3) = (puntos(L2) + puntos(L3)) / 2 = (50 + 80) / 2 = 65
108. En la inspeccin del sistema de informacin, se puede llegar a una estimacin ms elaborada
del nivel numrico de puntos, siempre dentro de los rangos arriba indicados. Se admite el uso
SIN CLASIFICAR
SIN CLASIFICAR
de esta estimacin en lugar de la propuesta en los prrafos anteriores. En el informe de

inspeccin se documentar por qu se ha llegado a esta estimacin.
109. Por ltimo, para todas las medidas que son aplicables se calcula el valor medio de los puntos
asignados.
110. El resultado es un valor entre 0 y 100, que presenta como un entero entre 0 y 100 y a veces se
presenta como un porcentaje entre 0% y 100%.
6.1 EJEMPLOS DE CLCULO DEL NDICE DE MADUREZ
111. Sea un sistema de informacin14 con esta valoracin para las medidas que van a tomarse en
consideracin (las que estn sobre fondo verde):
cdigo nombre 2015 2016 2017
org Marco organizativo L2 L2 L2-L4
org.1 Poltica de Seguridad L2 L2 L2-L4
org.2 Normativa de seguridad n.a. n.a. n.a.
org.3 Procedimientos de seguridad n.a. n.a. n.a.
org.4 Proceso de autorizacin n.a. n.a. n.a.
op Marco operacional L2 L3 L3-L4
op.pl Planificacin L2 L3 L3-L4
op.pl.1 Anlisis de riesgos L2 L3 L3-L4
op.pl.2 Arquitectura de seguridad n.a. n.a. n.a.
op.pl.3 Adquisicin de nuevos componentes n.a. n.a. n.a.
op.pl.4 Dimensionamiento / Gestin de capacidades n.a. n.a. n.a.
op.pl.5 Componentes certificados n.a. n.a. n.a.
op.acc Control de acceso n.a. n.a. n.a.
op.exp Explotacin n.a. n.a. n.a.
op.ext Servicios externos n.a. n.a. n.a.
op.ext.1 Contratacin y acuerdos de nivel de servicio L0 L2 L4
op.ext.2 Gestin diaria L2 L3 L4
op.ext.9 Medios alternativos L1 L3 L3
op.cont Continuidad del servicio n.a. n.a. n.a.
op.mon Monitorizacin del sistema n.a. n.a. n.a.
mp Medidas de proteccin L2 L4 L4
mp.if Proteccin de las instalaciones e infraestructuras L2 L4 L4
mp.if.1 reas separadas y con control de acceso L2 L4 L4
mp.if.2 Identificacin de las personas L2 L3 L4
mp.if.3 Acondicionamiento de los locales n.a. n.a. n.a.
mp.if.4 Energa elctrica n.a. n.a. n.a.
mp.if.5 Proteccin frente a incendios n.a. n.a. n.a.
mp.if.6 Proteccin frente a inundaciones n.a. n.a. n.a.
mp.if.7 Registro de entrada y salida de equipamiento n.a. n.a. n.a.
mp.if.9 Instalaciones alternativas n.a. n.a. n.a.
mp.per Gestin del personal n.a. n.a. n.a.
14
El sistema es, evidentemente, ficticio. Su valoracin se ha realizado con PILAR, en 3 fases, forzando las medidas
que no aplican para permitir un clculo manual de los ndices.
SIN CLASIFICAR
SIN CLASIFICAR
mp.eq Proteccin de los equipos n.a. n.a. n.a.

mp.com Proteccin de las comunicaciones n.a. n.a. n.a.
mp.si Proteccin de los soportes de informacin n.a. n.a. n.a.
mp.sw Proteccin de las aplicaciones informticas (SW) n.a. n.a. n.a.
mp.info Proteccin de la informacin n.a. n.a. n.a.
mp.s Proteccin de los servicios n.a. n.a. n.a.
112. Se tienen en cuenta las siguientes medidas de seguridad:

113. El ndice de madurez en la fase 2015 es:

cdigo madurez puntos
org.1 L2 50
op.pl.1 L2 50
op.ext.1 L0 0
op.ext.2 L2 50
op.ext.9 L1 10
mp.if.1 L2 50
mp.if.2 L2 50
media: 37.143
IM: 37%

org.1 L2 50
op.pl.1 L3 80
op.ext.1 L2 50
op.ext.2 L3 80
op.ext.9 L3 80
mp.if.1 L4 90
mp.if.2 L3 80
media: 72.857
IM: 73%

SIN CLASIFICAR
SIN CLASIFICAR

org.1 L2-L4 (50+90)/2 = 70
op.pl.1 L3-L4 (80+90)/2 = 85
op.ext.1 L4 90
op.ext.2 L4 90
op.ext.9 L3 80
mp.if.1 L4 90
mp.if.2 L4 90
media: 85.000
IM: 85%
116. En el caso de que de la inspeccin del sistema se pueda realizar una estimacin ms ajustada,
podramos tener un escenario como en el siguiente ejemplo:
org.1 L2-L4 65
op.pl.1 L3-L4 82
op.ext.1 L4 95
op.ext.2 L4 90
op.ext.9 L3 75
mp.if.1 L4 92
mp.if.2 L4 86
media: 83.571
IM: 84%

SIN CLASIFICAR
SIN CLASIFICAR
7 IC - NDICE DE CUMPLIMIENTO
117. Se tienen en cuenta las medidas de seguridad del Anexo II que cumplen las siguientes
condiciones:
1. se cumplen los requisitos de obligatoriedad descritos en el Anexo II para esa medida y
2. el responsable de la seguridad marca la medida como aplicable en su sistema
118. Cada medida tendr una valoracin M de madurez dentro de la tabla estndar
L0, L1, L2, L3, L4, L5
119. Y el sistema tiene una categora BSICA, MEDIA o ALTA siguiendo los criterios de
valoracin del Anexo I.
120. A cada medida de proteccin se la asigna una puntuacin que depende de la categora del
sistema:
categora: BSICA MEDIA ALTA
madurez puntos
L0 0 0 0
L1 20 12 11
L2 100 62 56
L3 100 100 89
L4 100 100 100
L5 100 100 100
121. Si la medida est valorada en un rango, como puede ser L2-L3, se usa el valor medio de los
puntos.
122. Si la inspeccin del sistema ha llegado a una estimacin ms ajustada de la madurez en forma
de puntos o porcentaje, el clculo de los puntos equivalentes puede desarrollarse de acuerdo
a este algoritmo
double cumplimiento(int cat, int pm) {

if (cat == ALTA) {
double r = pm * 100.0 / 90;
if (r > 100)
r= 100;
return r;
}
if (cat == MEDIA) {
double r = pm * 100.0 / 80;
if (r > 100)
r= 100;
return r;
}
if (cat == BASICA) {
double r = pm * 100.0 / 50;
if (r > 100)
r= 100;
return r;
}
return 0;
}

SIN CLASIFICAR
SIN CLASIFICAR
123. Por ltimo, para todas las medidas que son obligatorias y aplicables se calcula el valor medio.
124. El resultado es un valor entre 0 y 100, que se presenta como un entero entre 0 y 100 o como
un porcentaje entre 0% y 100%.
7.1 EJEMPLOS DE CLCULO DEL NDICE DE CUMPLIMIENTO
125. Sea el mismo sistema de la seccin anterior, pero ahora tenemos en cuenta que el sistema es
de categora MEDIA. Dicha categora reduce las medidas obligatorias y aplicables a las
siguientes, donde se excluye op.ext.9 que solamente es obligatoria para categora alta:
126. El ndice de cumplimiento en la fase 2015 es:

org.1 L2 62
op.pl.1 L2 62
op.ext.1 L0 0
op.ext.2 L2 62
mp.if.1 L2 62
mp.if.2 L2 62
media: 51.666
IC: 52%

org.1 L2 62
op.pl.1 L3 100
op.ext.1 L2 62
op.ext.2 L3 100
mp.if.1 L4 100
mp.if.2 L3 100
media: 87.333
IC: 87%

SIN CLASIFICAR
SIN CLASIFICAR

org.1 L2-L4 (62+100)/2 = 81
op.pl.1 L3-L4 (100+100)/2 = 100
op.ext.1 L4 100
op.ext.2 L4 100
mp.if.1 L4 100
mp.if.2 L4 100
media: 96.833
IC: 97%
129. En el caso de que de la inspeccin del sistema se pueda realizar una estimacin ms ajustada,
podramos tener un escenario como en este ejemplo
cdigo madurez puntos madurez puntos cumplimiento
org.1 L2-L4 65 81.25
op.pl.1 L3-L4 82 100.00
op.ext.1 L4 95 100.00
op.ext.2 L4 90 100.00
mp.if.1 L4 92 100.00
mp.if.2 L4 86 100.00
media: 96.875
IC: 97%
8 TRANSFERENCIA DE DATOS EN XML15

130. Para reportar los datos de un organismo se emplear un formato XML como el que se describe
a continuacin, que facilitar la elaboracin estadstica de un panorama global compuesto por
varios organismos, e incluso de organismos que gestionan varios sistemas de informacin
analizados por separado.
131. El fichero XML tendr el siguiente formato:
<?xml version="1.0" encoding="UTF-8" ?>

<metrics id=ens >
{ activo_esencial }*
{ reporte_anual }*
</metrics>
activo_esencial ::=
<asset code type >
<name> texto </name>
{ valoracin }*
</asset>
valoracin ::=
<value dimension level />
15
XML eXtensible Markup Language
SIN CLASIFICAR
SIN CLASIFICAR
reporte_anual ::=
<report version=3 phase >
{ medida_de_proteccin }*
otros
</report>
medida_de_proteccin ::=
<perfil item percent >
madurez
</perfil>
132. La versin del REPORT es la 3 para referirse a esta versin de la gua 824.
133. Actualmente se trabaja con los perfiles
ENS Esquema Nacional de Seguridad, Anexo II
IP CCN-STIC-811 Interconexin de Sistemas
pero est previsto que se puedan incorporar otros perfiles en el futuro.
atributo ejemplo descripcin

code code=info cdigo del activo
type type=i tipo de activo:
i informacin
s servicio
is informacin + servicio
dimension dimension=C dimensin de seguridad:
D disponibilidad
I integridad
C confidencialidad
A autenticidad
T trazabilidad
level level=A valoracin (Anexo I del ENS)
A nivel ALTO
M nivel MEDIO
B nivel BAJO
item item=org.4 acrnimo de la medida en el Anexo II del ENS
percent percent=17 porcentaje de madurez; se expresa como un nmero
entero entre 0 y 100.
134. La madurez puede ser

SIN CLASIFICAR
SIN CLASIFICAR
madurez descripcin
n.a. no es de aplicacin
valor valor de madurez
min-max siendo min y max valores de madurez
valor de madurez descripcin

_ no hay datos
L0 nivel L0 no existe
L1 nivel L1 ad-hoc
L2 nivel L2 informal
L3 nivel L3 se sigue un procedimiento escrito
L4 nivel L4 se mide
L5 nivel L5 mejora continua
8.1 EJEMPLO DE ACTIVOS

<asset type="i" code="info">
<name>informacin</name>
<value dimension="I" level="A"/>
<value dimension="C" level="A"/>
<value dimension="A" level="A-"/>
<value dimension="T" level="A"/>
</asset>
<asset type="s" code="servicio">
<name>servicio prestado</name>
<value dimension="D" level="B"/>
</asset>
8.2 EJEMPLO DE MEDIDAS DE SEGURIDAD

<ens item=op.exp.3 percent=37 >_-L4</ens>
8.3 ETIQUETAS DEFINIDAS PARA OTROS

135. Ntese que el informe puede aadir otras etiquetas aprovechando la flexibilidad del formato
XML. Esta caracterstica se emplear para extender el conjunto en el futuro sin hipotecar los
datos recopilados en el pasado.
136. El formato ser el siguiente
etiqueta segn las tablas donde se definen los indicadores
valor segn el tipo del indicador
o nmeros reales: notacin internacional (punto decimal)
o porcentajes: nmero entero entre 0 y 100

SIN CLASIFICAR
SIN CLASIFICAR
o booleanos: true o false (verdadero o falso, aunque en el xml se utilizarn los trminos
en ingls)
137. Ejemplos
<index.compliance.ens>79</index.compliance.ens>
<index.maturity.ens>77</index.maturity.ens>
<audit.biz.high>0</audit.biz.high>
<incidents.i.t50_high>5.2</incidents.i.t50_high>
<budget.stic_p>5</budget.stic_p>
<audit.biz.b>false</audit.biz.b>
9 INTERCONEXIN CON OTROS SISTEMAS

138. Se usar como referencia la gua CCN STIC 811, que es de aplicacin a aquellos sistemas de
informacin que se conectan a otros para intercambiar datos y servicios. En esta gua nos
centraremos en la interconexin de nuestra red con Internet.
139. La primera pregunta determina si est seccin es aplicable o no
cdigo descripcin seleccionar
1 Indique si se conecta directamente a s
Internet. no
Si es a travs de otro organismo, indique a travs de otro
cul: organismo
140. Si la respuesta a esta primera pregunta es distinta de S, las secciones 9.1 y 9.2 no aplican
(n.a.).
9.1 ARQUITECTURA DE LA FRONTERA

141. Si tiene conexin directa a Internet, indique cmo. Se marca la arquitectura de la frontera que
corresponda:
BPS16 Sistema de proteccin perimetral seleccionar
bps.dpp-217 Cortafuegos (firewall)
bps.spp-118 Cortafuegos + proxy
bps.spp-2 Zona desmilitarizada con 1 cortafuegos y proxy
bps.spp-2* Zona desmilitarizada con 2 cortafuegos y proxy
bps.other otra arquitectura
16
BPS Boundary Protection System Sistema de Proteccin Perimetral.
17
DPP Dispositivo de Proteccin de Permetro.
18
SPP Sistema de Proteccin de Permetro.
SIN CLASIFICAR
SIN CLASIFICAR
dpp-2 spp-1
spp-2 spp-2*
142. Para la arquitectura que se haya seleccionado, indique la madurez de los procesos de
implantacin y operacin asociados a la misma.
9.2 HERRAMIENTAS DE SEGURIDAD

143. Si tiene conexin directa a Internet, indiqu qu herramientas de seguridad trabajan
protegiendo la frontera y, en su caso, el nivel de madurez de su empleo. La respuesta es n.a.
si no hay conexin a Internet o, por alguna razn justificable, la herramienta no tiene sentido
(por ejemplo, si no se sirven datos a Internet, no tiene sentido que se opere un DLP). Si la
herramienta sera til, pero no est desplegada, la madurez es L0, tanto si no se ha desplegado
por falta de recursos como si no se ha desplegado porque parece desproporcionada.
tools Herramientas de seguridad madurez

Se pide valorar la madurez del despliegue de herramientas
de seguridad en los servicios de frontera.
tools.1 Herramienta anti cdigo daino
tools.2 Anlisis de vulnerabilidades
tools.3 Anlisis de los registros de actividad (logs)
tools.4 IDS19 / IPS20 Deteccin y prevencin de intrusin
tools.5 Monitorizacin de trfico
tools.6 DLP21 Prevencin de fuga de datos
19
IDS Intrusion Detection System Sistema de deteccin de intrusin.
20
IPS Intrusion Prevention System Sistema de prevencin de intrusin.
21
DLP Data Loss Prevention Prevencin de fuga de datos.
SIN CLASIFICAR
SIN CLASIFICAR
tools.7 Escaneo de configuracin

tools.8 Verificacin de las funciones de seguridad
9.3 ACCESO REMOTO DE EQUIPOS PORTTILES

144. Si se permite el acceso de equipos exteriores a travs de Internet, responda a las siguientes
preguntas. Si no se permite, indique no aplican (n.a.).
145. Si se permite, indique la madurez de la implantacin y operacin de los procesos que soportan
el acceso remoto.
acceso remoto de equipos porttiles madurez

clear Acceso en claro n.a. si no hay
acceso
L0 si no se
accede en claro
vpn22 Redes privadas virtuales n.a. si no hay
Cuando se establecen canales seguros de comunicacin a acceso
travs de la red externa. L0 si no se usan
redes privadas
virtuales
10 REFERENCIAS
CCN-STIC-815
Indicadores y Mtricas en el ENS. 23.4.2012
RD 4/2010
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica. BOE n 25 de 29 de enero
de 2010.
RD 951/2015
Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto 3/2010, de 8
de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la
Administracin Electrnica. BOE n 264 de 4 de noviembre.
22
VPN Virtual Private Network Red Privada Virtual.
SIN CLASIFICAR

CCN Stic 824 Ens Informe Ines

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CCN Stic 824 Ens Informe Ines

Hochgeladen von

Copyright:

Verfügbare Formate

SIN CLASIFICAR

ESQUEMA NACIONAL DE SEGURIDAD

CENTRO CRIPTOLOGICO NACIONAL

Editor y Centro Criptolgico Nacional, 2016

Fecha de Edicin: octubre de 2016

Centro Criptolgico Nacional 2

Flix Sanz Roldn

Centro Criptolgico Nacional 3

Centro Criptolgico Nacional 4

8 TRANSFERENCIA DE DATOS EN XML .......................................................................................... 49

Centro Criptolgico Nacional 5

El Comit Sectorial de Administracin Electrnica recoger la informacin

El Centro Criptolgico Nacional articular los procedimientos necesarios para la

2. As mismo, el ENS exige establecer un sistema de medicin de la seguridad del sistema:

3. Este documento describe una serie de medidas e indicadores con 2 destinatarios:

Centro Criptolgico Nacional 6

1. el propio organismo propietario del sistema de informacin

2.1 NIVELES DE MADUREZ

2.2 NIVEL DE UN INCIDENTE

Centro Criptolgico Nacional 8

I5 - CRTICO Afecta a sistemas clasificados SECRETO

3 CARACTERIZACIN DEL SISTEMA DE INFORMACIN

Centro Criptolgico Nacional 10

medida El nmero de personas con acceso al sistema de informacin se puede medir

3.2 ACTIVOS ESENCIALES

3.3 CUMPLIMIENTO DEL ANEXO II DEL ENS

medidas madurez o n.a.4

medidas madurez o n.a.

Centro Criptolgico Nacional 12

[op.cont.2] Plan de continuidad

medidas madurez o n.a.

Centro Criptolgico Nacional 13

[mp.si] Proteccin de los soportes de informacin

30. Umbrales de madurez; vase seccin 2.1.

Centro Criptolgico Nacional 14

4.1 ORGANIZACIN DE LA SEGURIDAD

Centro Criptolgico Nacional 15

4.1.2 NORMATIVA Y PROCEDIMIENTOS DE SEGURIDAD

Centro Criptolgico Nacional 16

33. Umbrales: Porcentaje de normas de seguridad implantadas

34. Umbrales: Porcentaje de procedimientos operativos de seguridad implantados

Centro Criptolgico Nacional 17

4.2 IDENTIFICACIN Y AUTENTICACIN

Centro Criptolgico Nacional 18

Centro Criptolgico Nacional 19

4.3 SERVICIOS SUBCONTRATADOS

4.4 ELEMENTOS DEL ENS

categora rojo inferior amarillo inferior objetivo

4.4.2 PROCESO DE AUTORIZACIN [ORG.4]

4.4.3 ANLISIS DE RIESGOS [OP.PL.1]

Centro Criptolgico Nacional 22

4.4.4 PROCESO DE GESTIN DE DERECHOS DE ACCESO [OP.ACC.4]

4.4.5 CONFIGURACIN DE SEGURIDAD

Centro Criptolgico Nacional 23

48. Indicadores de eficacia.

4.4.6 GESTIN DE CAMBIOS

Centro Criptolgico Nacional 24

Centro Criptolgico Nacional 25

52. Indicadores de eficacia.

4.4.7 CONTINUIDAD DE OPERACIONES

Centro Criptolgico Nacional 26

56. Indicadores de eficacia

Centro Criptolgico Nacional 27