TELEX ha implementat diverses mesures de seguretat proporcionals a la naturalesa de la informació i els serveis a protegir i tenint en compte la categoria dels sistemes afectats.
La seguretat com un procés integral i mínim privilegi
La seguretat s’entén com un procés integral constituït per tots els elements tècnics, humans, materials, jurídics i organitzatius relacionats amb el sistema. L’aplicació de l’Esquema Nacional de Seguretat a TELEX, estarà presidida per aquest principi, que exclou qualsevol actuació puntual o tractament conjuntural.
S’ha de prestar la màxima atenció a la conscienciació de les persones que intervenen en el procés i als seus responsables jeràrquics, per evitar que la ignorància, la manca d’organització i coordinació o instruccions inadequades constitueixin fonts de risc per a la seguretat.
Els sistemes d’informació s’han de dissenyar i configurar atorgant els mínims privilegis necessaris per a l’exercici correcte, cosa que implica incorporar els aspectes següents:
- El sistema proporcionarà la funcionalitat imprescindible perquè l’organització assoleixi els objectius competencials o contractuals.
- Les funcions d’operació, administració i registre d’activitat seran les mínimes necessàries, i s’assegurarà que només les desenvolupen les persones autoritzades, des d’emplaçaments o equips així mateix autoritzats; podent exigir-se, si és el cas, restriccions d’horari i punts d’accés facultats.
- En un sistema d’explotació s’eliminaran o desactivaran, mitjançant el control de la configuració, les funcions que siguin innecessàries o inadequades per tal que es persegueix. L’ús ordinari del sistema ha de ser senzill i segur, de manera que una utilització insegura requereixi un acte conscient per part de l’usuari.
- S’aplicaran guies de configuració de seguretat per a les diferents tecnologies, adaptades a la categorització del sistema, per eliminar o desactivar les funcions que siguin innecessàries o inadequades.
Vigilància contínua, re-avaluació periòdica i Integritat, actualització del sistema i millora contínua del procés de seguretat
La vigilància contínua per part de TELEX permetrà la detecció d’activitats o comportaments anòmals i la resposta oportuna.
L’avaluació permanent de l’estat de la seguretat dels actius permetrà mesurar-ne l’evolució, detectant vulnerabilitats i identificant deficiències de configuració.
Les mesures de seguretat es re-avaluaran i actualitzaran periòdicament, adequant-ne l’eficàcia a l’evolució dels riscos i els sistemes de protecció, podent arribar a un replantejament de la seguretat, si fos necessari.
La inclusió de qualsevol element físic o lògic al catàleg actualitzat d’actius del sistema, o la seva modificació, requerirà autorització formal prèvia.
L’avaluació i la monitorització permanents permetran adequar l’estat de seguretat dels sistemes atenent les deficiències de configuració, les vulnerabilitats identificades i les actualitzacions que els afectin, així com la detecció primerenca de qualsevol incident que tingui lloc sobre aquests.
El procés integral de seguretat implantat haurà de ser actualitzat i millorat de manera contínua. Per això, s’aplicaran els criteris i mètodes reconeguts a la pràctica nacional i internacional relatius a la gestió de la seguretat de les tecnologies de la informació.
Gestió de personal i professionalitat
Tothom, propi o aliè relacionat amb els sistemes d’informació de TELEX, dins de l’àmbit de l’ENS, seran formats i informats dels seus deures, obligacions i responsabilitats en matèria de seguretat. La seva actuació serà supervisada per verificar que se segueixen els procediments establerts.
El significat i l’abast de l’ús segur del sistema es concretarà i plasmarà en unes normes de seguretat que seran aprovades per la direcció o l’òrgan superior corresponent. De la mateixa manera, es determinaran els requisits de formació i experiència necessària del personal per al desenvolupament del lloc de treball.
La seguretat dels sistemes d’informació estarà atesa i serà revisada i auditada per personal qualificat, dedicat i instruït en totes les fases del cicle de vida: planificació, disseny, adquisició, construcció, desplegament, explotació, manteniment, gestió d’incidències i desmantellament.
De manera objectiva i no discriminatòria s’exigirà que les organitzacions que ens proporcionen serveis comptin amb professionals qualificats i amb uns nivells idonis de gestió i maduresa dels serveis prestats.
Gestió de la seguretat basada en els riscos, anàlisi i gestió de riscos
L’anàlisi i la gestió dels riscos serà part essencial del procés de seguretat i serà una activitat continuada i permanentment actualitzada.
La gestió dels riscos permetrà mantenir un entorn controlat i minimitzar els riscos a nivells acceptables. La reducció a aquests nivells es realitzarà mitjançant una aplicació apropiada de mesures de seguretat, de manera equilibrada i proporcionada a la naturalesa de la informació tractada, dels serveis a prestar i dels riscos a què estiguin exposats.
Aquesta gestió es realitzarà per mitjà de l’anàlisi i el tractament dels riscos a què està exposat el sistema. Sense perjudici del que disposa l’annex II, s’emprarà alguna metodologia reconeguda internacionalment. Les mesures adoptades per mitigar o suprimir els riscos han d’estar justificades i, en tot cas, hi ha una proporcionalitat entre elles i els riscos.
Incidents de seguretat, prevenció, detecció, reacció i recuperació
TELEX disposa de procediments de gestió d’incidents de seguretat d’acord amb allò previst a l’article 33, la Instrucció Tècnica de Seguretat corresponent, i de mecanismes de detecció, criteris de classificació, procediments d’anàlisi i resolució, així com de les vies de comunicació a les parts interessades.
La seguretat del sistema contemplarà les accions relatives als aspectes de prevenció, detecció i resposta, a fi de minimitzar-ne les vulnerabilitats i aconseguir que les amenaces sobre aquest no es materialitzin o que, en el cas de fer-ho, no afectin greument la informació que maneja o als serveis que presta.
Les mesures de prevenció podran incorporar components orientats a la dissuasió o a la reducció de la superfície d’exposició, han d’eliminar o reduir la possibilitat que les amenaces arribin a materialitzar-se.
Les mesures de detecció aniran dirigides a descobrir la presència d’un ciberincident.
Les mesures de resposta es gestionaran en temps oportú, estaran orientades a la restauració de la informació i els serveis que poguessin haver-se vist afectats per un incident de seguretat.
El sistema d’informació garantirà la conservació de les dades i informació en suport electrònic.
De la mateixa manera, el sistema mantindrà els serveis disponibles durant tot el cicle vital de la informació digital, a través d’una concepció i procediments que siguin la base per a la preservació del patrimoni digital.
Existència de línies de defensa i prevenció davant d’altres sistemes d’informació interconnectats
TELEX ha implementat una estratègia de protecció del sistema d’informació constituïda per múltiples capes de seguretat, constituïdes per mesures organitzatives, físiques i lògiques, de manera que quan una capa ha estat compromesa permeti desenvolupar una reacció adequada davant de els incidents que no s’han pogut evitar, reduint la probabilitat que el sistema sigui compromès en conjunt i minimitzar-ne l’impacte final.
Es protegirà el perímetre del sistema d’informació, especialment, quan el sistema de TELEX es connecta a xarxes públiques, tal com es defineixen a la legislació vigent en matèria de telecomunicacions, reforçant-se les tasques de prevenció, detecció i resposta a incidents de seguretat.
En tot cas, s’analitzaran els riscos derivats de la interconnexió del sistema amb altres sistemes i se’n controlarà el punt d’unió. Per a l’adequada interconnexió entre sistemes cal atenir-se al que disposa la instrucció tècnica de seguretat corresponent.
Diferenciació de responsabilitats, organització i implantació del procés de seguretat
TELEX ha organitzat la seva seguretat comprometent a tots els membres de la corporació mitjançant la designació de diferents rols de seguretat amb responsabilitats clarament diferenciades, tal com es recull a l’apartat de “MODEL DE GOVERNANÇA” del present document.
Autorització i control dels accessos
TELEX ha implementat mecanismes de control d’accés al sistema d’informació, limitant-ho als usuaris, processos, dispositius i altres sistemes d’informació, degudament autoritzats, i exclusivament a les funcions permeses.
Protecció de les instal·lacions
TELEX ha implementat mecanismes de control d’accés físic, prevenint els accessos físics no autoritzats, així com els danys a la informació i als recursos, mitjançant perímetres de seguretat, controls físics i proteccions generals en àrees.
Adquisició de productes de seguretat i contractació de serveis de seguretat
Per a l’adquisició de productes o contractació de serveis de seguretat TELEX, tindrà en compte la utilització de forma proporcionada a la categoria del sistema i el nivell de seguretat determinat, aquells que tinguin certificada la funcionalitat de seguretat relacionada amb l’objecte de la seva adquisició.
Per a la contractació de serveis de seguretat s’atendrà a allò que s’ha assenyalat quant a la professionalitat.
Protecció de la informació emmagatzemada i en trànsit i continuïtat de l’activitat
TELEX prestarà especial atenció a la informació emmagatzemada o en trànsit a través dels equips o dispositius portàtils o mòbils, els dispositius perifèrics, els suports d’informació i les comunicacions sobre xarxes obertes, que s’hauran d’analitzar especialment per aconseguir-ne una adequada protecció.
S’han d’aplicar procediments que garanteixin la recuperació i la conservació a llarg termini dels documents electrònics produïts pels sistemes d’informació compresos en l’àmbit d’aplicació d’aquest Reial decret, quan sigui exigible.
Tota informació en suport no electrònic que hagi estat causa o conseqüència directa de la informació electrònica a què fa referència aquest Reial decret, ha d’estar protegida amb el mateix grau de seguretat que aquesta. Per fer-ho, s’aplicaran les mesures que corresponguin a la naturalesa del suport, de conformitat amb les normes que siguin aplicables.
Els sistemes disposaran de còpies de seguretat i s’establiran els mecanismes necessaris per garantir la continuïtat de les operacions en cas de pèrdua dels mitjans habituals.
Registre d’activitat i detecció de codi nociu
TELEX, amb el propòsit de satisfer l’objecte d’aquest Reial decret, amb garanties plenes del dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge dels afectats, i d’acord amb la normativa sobre protecció de dades personals, de funció pública o laboral, i altres disposicions que siguin aplicables, registrarà les activitats dels usuaris, retenint la informació estrictament necessària per monitoritzar, analitzar, investigar i documentar activitats indegudes o no autoritzades, permetent identificar en cada moment la persona que actua.
A fi de preservar la seguretat dels sistemes d’informació, garantint la rigorosa observança dels principis d’actuació, i de conformitat amb el que disposa el Reglament General de Protecció de Dades i el respecte als principis de limitació de la finalitat, minimització de les dades i limitació del termini de conservació allí enunciats, TELEX podrà, en la mesura estrictament necessària i proporcionada, analitzar les comunicacions entrants o sortints, i únicament per als fins de seguretat de la informació, de manera que sigui possible impedir l’accés no autoritzat a les xarxes i sistemes d’informació, aturar els atacs de denegació de servei, evitar la distribució malintencionada de codi nociu així com altres danys a les xarxes i sistemes d’informació esmentades.
Per corregir o, si escau, exigir responsabilitats, cada usuari que accedeixi al sistema d’informació haurà d’estar identificat de manera única, de manera que se sàpiga, en tot moment, qui rep drets d’accés, de quina mena són aquests, i qui ha realitzat una determinada activitat.
Infraestructures i serveis comuns
TELEX, tindrà en compte que la utilització d’infraestructures i serveis comuns de les administracions públiques, inclosos els compartits o transversals, facilitarà el compliment del que disposa aquest Reial decret.
Perfils de compliment específics i acreditació d’entitats d’implementació de configuracions segures
TELEX tindrà en compte l’aplicació dels perfils de compliment específics per a empreses que siguin d’aplicació.