TELEX ha implementado varias medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.
La seguridad como un proceso integral y mínimo privilegio
La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales, jurídicos y organizativos relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad a TELEX, estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.
Se tiene que prestar la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para evitar que la ignorancia, la carencia de organización y coordinación o instrucciones inadecuadas constituyan fuentes de riesgo para la seguridad.
Los sistemas de información se tienen que diseñar y configurar otorgando los mínimos privilegios necesarios para el ejercicio correcto, cosa que implica incorporar los aspectos siguientes:
- El sistema proporcionará la funcionalidad imprescindible para que la organización logre los objetivos competenciales o contractuales.
- Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que solo las desarrollan las personas autorizadas, desde emplazamientos o equipos así mismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
- En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas para que se persigue. El uso ordinario del sistema tiene que ser sencillo y seguro, de forma que una utilización insegura requiera un acto consciente por parte del usuario.
- Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, para eliminar o desactivar las funciones que sean innecesarias o inadecuadas.
Vigilancia continua, re-evaluación periódica e integridad, actualización del sistema y mejora continua del proceso de seguridad
La vigilancia continua por parte de TELEX permitirá la detección de actividades o comportamientos anómalos y la respuesta oportuna.
La evaluación permanente del estado de la seguridad de los activos permitirá mesurar la evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
Las medidas de seguridad se re-evaluarán y actualizarán periódicamente, adecuando la eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuera necesario.
La inclusión de cualquier elemento físico o lógico al catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y la monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que los afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre estos.
El proceso integral de seguridad implantado tendrá que ser actualizado y mejorado de manera continua. Por eso, se aplicarán los criterios y métodos reconocidos a la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.
Gestión de personal y profesionalidad
Todo el mundo, propio o ajeno relacionado con los sistemas de información de TELEX, dentro del ámbito del ENTE, serán formados e informados de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será supervisada para verificar que se siguen los procedimientos establecidos.
El significado y el alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. Del mismo modo, se determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo del puesto de trabajo.
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases del ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
De manera objetiva y no discriminatoria se exigirá que las organizaciones que nos proporcionen servicios cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez de los servicios prestados.
Gestión de la seguridad basada en los riesgos, análisis y gestión de riesgos
El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será una actividad continuada y permanentemente actualizada.
La gestión de los riesgos permitirá mantener un entorno controlado y minimizar los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una aplicación apropiada de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a que estén expuestos.
Esta gestión se realizará por medio del análisis y el tratamiento de los riesgos a que está expuesto el sistema. Sin perjuicio del que dispone el anexo II, se empleará alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o suprimir los riesgos tienen que estar justificadas y, en todo caso, hay una proporcionalidad entre ellas y los riesgos.
Incidentes de seguridad, prevención, detección, reacción y recuperación
TELEX dispone de procedimientos de gestión de incidentes de seguridad de acuerdo con aquello previsto en el artículo 33, la Instrucción Técnica de Seguridad correspondiente, y de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas.
La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención, detección y respuesta, a fin de minimizar las vulnerabilidades y conseguir que las amenazas sobre este no se materialicen o que, en el caso de hacerlo, no afecten gravemente la información que maneja o a los servicios que presta.
Las medidas de prevención podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, tienen que eliminar o reducir la posibilidad que las amenazas lleguen a materializarse.
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
El sistema de información garantizará la conservación de los datos e información en apoyo electrónico.
Del mismo modo, el sistema mantendrá los servicios disponibles durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
Existencia de líneas de defensa y prevención ante otros sistemas de información interconectados
TELEX ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada ante los incidentes que no se han podido evitar, reduciendo la probabilidad que el sistema sea comprometido en conjunto y minimizar el impacto final.
Se protegerá el perímetro del sistema de información, especialmente, cuando el sistema de TELEX se conecta en redes públicas, tal como se definen a la legislación vigente en materia de telecomunicaciones, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
En todo caso, se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará el punto de unión. Para la adecuada interconexión entre sistemas hay que atenerse al que dispone la instrucción técnica de seguridad correspondiente.
Diferenciación de responsabilidades, organización e implantación del proceso de seguridad
TELEX ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal como se recoge en el apartado de “MODELO DE GOBERNANZA” del presente documento.
Autorización y control de los accesos
TELEX ha implementado mecanismos de control de acceso al sistema de información, limitándolo a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.
Protección de las instalaciones
TELEX ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.
Adquisición de productos de seguridad y contratación de servicios de seguridad
Para la adquisición de productos o contratación de servicios de seguridad TELEX, tendrá en cuenta la utilización de forma proporcionada a la categoría del sistema y el nivel de seguridad determinado, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
Para la contratación de servicios de seguridad se atenderá a aquello que se ha señalado en cuanto a la profesionalidad.
Protección de la información almacenada y en tráfico y continuidad de la actividad
TELEX prestará especial atención a la información almacenada o en tráfico a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los apoyos de información y las comunicaciones sobre redes abiertas, que se tendrán que analizar especialmente para conseguir una adecuada protección.
Se tienen que aplicar procedimientos que garanticen la recuperación y la conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación de este Real Decreto, cuando sea exigible.
Toda información en apoyo no electrónico que haya estado causa o consecuencia directa de la información electrónica a que hace referencia este Real Decreto, tiene que estar protegida con el mismo grado de seguridad que esta. Para hacerlo, se aplicarán las medidas que correspondan a la naturaleza del apoyo, de conformidad con las normas que sean aplicables.
Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
Registro de actividad y detección de código nocivo
TELEX, con el propósito de satisfacer el objeto de este Real Decreto, con garantías llenas del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y otras disposiciones que sean aplicables, registrará las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento la persona que actúa.
A fin de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación, y de conformidad con el que dispone el Reglamento General de Protección de Datos y el respecto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación allí enunciados, TELEX podrá, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado en las redes y sistemas de información, parar los ataques de denegación de servicio, evitar la distribución malintencionada de código nocivo así como otros daños en las redes y sistemas de información mencionadas.
Para corregir o, si procede, exigir responsabilidades, cada usuario que acceda al sistema de información tendrá que estar identificado de manera única, de forma que se sepa, en todo momento, quien recibe derechos de acceso, de qué tipo son estos, y quien ha realizado una determinada actividad.
Infraestructuras y servicios comunes
TELEX, tendrá en cuenta que la utilización de infraestructuras y servicios comunes de las administraciones públicas, incluidos los compartidos o transversales, facilitará el cumplimiento del que dispone este Real Decreto.
Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras
TELEX tendrá en cuenta la aplicación de los perfiles de cumplimiento específicos para empresas que sean de aplicación.