Auditoria de seguridad de accesos remotos

Jesús R. Ortega

Modulo 3: día 2 y 3

auditoria acceso remoto

Curso 1

Guillermo Obispo

Jesús R. Ortega

Jorge Navas

auditoria IT

M1

Jorge Navas Elorza

seguridad informática

M2

Guillermo Obispo San Román

acceso remoto

M3

Jesús Rodríguez Ortega

M3: agenda

día 1: tecnología: acceso remoto

día 2: normativa: lista de comprobación 1

día 3: normativa: lista de comprobación 2

día 4: trazabilidad: logs

normativa

Normativa

dia 2

Ley 11/2002

normativa

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI), encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la información y de protección de la información clasificada, a la vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional (CCN).

Ley 421/2004

normativa

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, el Centro realiza, a través del Centro Criptológico Nacional, regulado
por el Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con
la seguridad de las TIC, orientadas a la formación de personal experto, al empleo de tecnologías de
seguridad adecuadas y a la aplicación de políticas y procedimientos de seguridad

Ley 11/2007

normativa

La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos reconoce a los ciudadanos su derecho a relacionarse electrónicamente con las administraciones públicas, así como la obligación de éstas a garantizar ese derecho.

Es la primera norma con rango de ley que se centra enteramente en la problemática propia de la administración electrónica.

El art. 42.2 emplaza a la creación del ENS

RD 3/2010

normativa

El Real Decreto 3/2010 por el que se regula el ENS en el ámbito de la Administración electrónica, contribuye a mejorar la ciberseguridad
española y mantener las infraestructuras y los sistemas de información de todas las administraciones públicas con unos niveles óptimos de seguridad.

 

Todo ello, con el fin de generar confianza y garantías
en el uso de estas tecnologías, protegiendo la confidencialidad de los datos y garantizando su
autenticidad, integridad y disponibilidad.

normativa

Guías

dia 2

guías

CCN

listado de guías

últimas guías

versión de la guía

incluidas en 00-index

auditoría

guías

auditoría

guías

CCN-STIC 802: Guía de auditoría

El objeto de la auditoría es dar cumplimiento a lo establecido en el RD 3/2010, específicamente en el artículo 34 y en el Anexo III, y verificar el cumplimiento de los requisitos establecidos en los capítulos II y III y en los Anexos I y II del ENS

 

Finalmente la auditoría debe sustentar la confianza que merece el sistema auditado sobre el nivel de seguridad implantado;

auditoría

guías

CCN-STIC 803 Valoración de  Sistemas

Esta guía pretende definir los criterios para determinar el nivel de seguridad
requerido en cada dimensión. El ENS establece tres categorías de seguridad para los sistemas de información: BÁSICA, MEDIA y ALTA:

  • Un SI será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
  • será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO y ninguna alcanza un nivel superior.
  • y será de categoría BÁSICA si alguna de sus

dimensiones de seguridad alcanza el nivel BAJO y ninguna alcanza un
nivel superior

dimensiones:

Confidencialidad, Autenticidad, Disponibilidad, Integridad, Trazabilidad

Esta guía pretende definir los criterios para determinar el nivel de seguridad
requerido en cada dimensión. El ENS establece tres categorías de seguridad para los sistemas de información: BÁSICA, MEDIA y ALTA:

auditoría

guías

MAGERIT v3

Metodología de Análisis y Gestión
de Riesgos
de los Sistemas de Información.

sustentación metodológica de la identificación de
escenarios de riesgo, su análisis y evaluación, su coherencia y documentación y  de verificación del inventario de activos

PILAR

...

auditoría

guías

CCN-STIC-815. ENS: Métricas e indicadores

Establecer un sistema de medición de la
seguridad del sistema así como un conjunto de indicadores que mida el desempeño real del sistema en
materia de seguridad, en los siguientes aspectos:

  • Grado de implantación de las medidas de seguridad
  • Eficacia y eficiencia de las medidas de seguridad
  • Impacto de los incidentes de seguridad.

...

auditoría

guías

LUCIA

Gestión de ciberincidentes

Recopilación y envío de incidentes al CCN

INES

...

CCN-STIC 817 Gestión de ciberincidentes

auditoría

guías

CCN-STIC 824: Informe Nacional del Estado de Seguridad de los sistemas TIC

RD 3/2010 - Artículo 35. Informe del estado de la seguridad.
El CSAE recogerá la información relacionada con el estado
de las principales variables de la seguridad en los sistemas de información a los que se refiere el RD, de forma que permita elaborar un perfil general del estado de la seguridad en las AAPP.

INES

auditoría

guías

Esta guía busca ayudar a los responsables de los sistemas para que puedan implantar rápida y efectivamente las medidas requeridas, sin perjuicio de que empleen recursos propios o recurran a proveedores y productos externos.


Para cada medida se proporciona:

  • una descripción más amplia que la proporcionada en el ENS,
  • referencias externas que ayuden a su comprensión y realización,
  • relación con medidas o controles en otros esquemas de seguridad,
  • relación con los principios básicos recogidos en el ENS

...

CCN-STIC 804 ENS. Guía de implantación

auditoría

guías

La guía CCN-STIC-808 Verificación del cumplimiento del ENS describe las pruebas a realizar en el conjunto de las medidas de seguridad.

dia 2

4

4

5

7

3

3

2

11

31

8

40

5

4

5

5

2

4

7

Cumplimiento de artículos del ENS

808

4

4

5

7

3

3

2

11

31

8

40

5

4

5

5

2

4

7

org : marco organizativo

808

org 1: Plan de Seguridad

org 2: Normativa de Seguridad

org 3: Procedimientos de Seguridad

org 4: Proceso de autorización

org : plan de seguridad

marco organizativo

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos.
h) Seguridad por defecto.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.

aprobado por el titular del órgano superior

ejemplo: copias de seguridad...descripción de los objetivos de protección de la información y formas de logarlo; normativa que aplique; personas responsables;....

org : plan de seguridad

marco organizativo

ejemplo: copias de seguridad...descripción de los objetivos de protección de la información y formas de logarlo; normativa que aplique; personas responsables;....

ejemplo: copias de seguridad...descripción detallada y precisa de como realizar estos procesos; quién tiene que hacerlos; que autorizaciones necesita; qué programas y versiones utiliza; como se encripta la información;....

proceso formal de autorizaciones (responsables, solicitud, justificación, formularios,...):

uso de las instalaciones: ejemplo acceso al CPD / CPD de respaldo

puesta en producción de nuevos equipos ( en especial criptográficos)

puesta en producción de nuevas aplicaciones

establecimiento de enlaces de comunicaciones

utilización de medios telemáticos de comunicación

utilización de soportes de información

utilización de dispositivos móviles

utilización de servicios de terceros, bajo contrato o Convenio

...

org : plan de seguridad

marco organizativo

op : marco operacional

808

5

7

3

3

2

11

31

op.pl : planificación

operacional

identificación de activos

identifica amenazas

identifica salvaguardas

identifica riesgos residuales

MAGERIT v3

PILAR

op.pl : planificación

operacional

op.pl : planificación

operacional

documentación de las instalaciones

CPD, zona de acceso público, zona de carga y descarga, zona de operadores, etc

inventario de los sistemas de información

detalla los puntos de acceso?

precisa los equipos? (servidor de correo, ficheros,...)

CPD, zona de acceso público, zona de carga y descarga, zona de operadores, etc

describe las redes de datos existentes?

líneas de defensa?....cortafuegos, DMZ,...

documentación del sistema de identificación y autenticación de usuarios.

sistema de directorio (DA, LAPD,...)

op.pl : planificación

operacional

op.pl : planificación

operacional

op.pl : planificación

operacional

redundancia

doble linea defensiva

op.pl : planificación

operacional

¿ubicación de la VPN?

VPN

op.pl : planificación

operacional

proceso formal para planificar la adquisición de nuevos componentes

¿Es acorde con la arquitectura de seguridad [op.pl.2]? 

¿Contempla las necesidades técnicas, de formación y de financiación de forma conjunta?

¿Atiende las conclusiones del análisis de riesgos [op.pl.1]?

op.pl : planificación

operacional

¿Antes de la puesta en explotación, se han estudiado las necesidades de dimensionamiento?

¿Cubre las necesidades de almacenamiento de información: durante su procesamiento y durante el periodo que deba retenerse?

¿Cubre las necesidades de instalaciones y medios auxiliares?

¿Cubre las necesidades de procesamiento?

D

¿Cubre las necesidades de personal: cantidad y cualificación profesional?

¿Cubre las necesidades de comunicación?

op.pl : planificación

operacional

¿Se utilizan sistemas que hayan sido evaluados conforme a normas europeas o internacionales?

¿Están los certificados por el ENS?

CCN-STIC-105

CCN-STIC-813

op : marco operacional

808

5

7

3

3

2

11

31

op.acc: control de acceso

operacional

¿Cada usuario o proceso que accede al sistema tiene asignado un identificador?

identificadores por "roles"

¿Se puede saber a quién corresponde?

¿Se puede saber qué derechos tiene?

A, T

¿baja del usuario...baja del identificador?

 ¿El identificador se mantiene durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas?

¿El nivel de la dimensión de autenticidad del mecanismo de autenticación de los sistemas de información a los que se accede se corresponde con el nivel de seguridad de los sistemas de identificación electrónica?

op.acc: control de acceso

operacional

A, T

DA: Directorio Activo

Comprobar estos permisos es un proceso bastante premioso (DA, SF, Apps, BBDD)

op.acc: control de acceso

operacional

A, T

¿El nivel de la dimensión de autenticidad del mecanismo de autenticación de los sistemas de información a los que se accede se corresponde con el nivel de seguridad de los sistemas de identificación electrónica?

ENS: nivel bajo -> Nivel 2 eiDAS: un sólo factor de autentificación

Evidencia: Existe una correspondencia entre el nivel de autenticidad definido y el nivel de seguridad equivalente de acuerdo al artículo 8 del Reglamento nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

ENS: nivel medio -> Nivel 3 eiDAS: dos factores de autentificación

ENS: nivel alto -> Nivel 4 eiDAS: dos factores de autentificación (biometría, certificado HW)

op.acc: control de acceso

operacional

Para acceder a cualquier recurso es necesario estar identificado y autenticado previamente

¿Derechos de acceso de cada recurso según  la política y normativa de seguridad del sistema? 

I, C, A, T

¿Incluye el mecanismo la protección frente al acceso a los componentes del sistema y a sus ficheros o registros de configuración?

op.acc: control de acceso

operacional

I, C, A, T

¿Incluye el mecanismo la protección frente al acceso a los componentes del sistema y a sus ficheros o registros de configuración?

Acceso a administración y configuración:

por consola (aplicación local o via navegador)

comprobar si necesita "logearse" con permisos

en base de datos (aplicación local de acceso a la bd)

en el sistema de ficheros (con el navegador de archivos)

pedir que muestren los permisos de acceso a un  fichero de configuración, de la aplicación, de un log,...

pedir que muestren los permisos de acceso a un  fichero de configuración, de la aplicación, de un log,...

op.acc: control de acceso

operacional

¿Existe segregación de funciones y tareas?

I, C, A, T

¿Contempla la incompatibilidad de tareas de desarrollo con las de operación?

¿Contempla la incompatibilidad de tareas de “configuración y mantenimiento del sistema” con las de operación?

¿Contempla la incompatibilidad de tareas de “auditoría o supervisión” con las de cualquier otra función relacionada con el sistema?

CCN-STIC-801

op.acc: control de acceso

operacional

¿Se limitan los privilegios del usuario al mínimo necesario para cumplir sus obligaciones?

¿Puede sólo y exclusivamente el personal con competencia para ello conceder, alterar o anular la autorización de acceso a los recursos conforme a los criterios establecidos por su responsable?

CCN-STIC-801

I, C, A, T

op.acc: control de acceso

operacional

¿Se limitan los privilegios del usuario al mínimo necesario para cumplir sus obligaciones?

¿Puede sólo y exclusivamente el personal con competencia para ello conceder, alterar o anular la autorización de acceso a los recursos conforme a los criterios establecidos por su responsable?

I, C, A, T

puede ser complicado saber esto con precisión

forma habitual: existen grupos de usuarios a los que se asigna permisos:

en base de datos: los grupos pueden estar en tablas de la aplicación...

en el sistema de ficheros inspeccionar la consola de DA ver grupos y usuarios y ver los permisos al sistema de ficheros de la aplicación

por consola comprobar con diferentes usuarios si se puede cambiar permisos

op.acc: control de acceso

operacional

¿Se encuentra identificado el mecanismo de autenticación en cada sistema?

Si utilizan contraseñas ¿cumplen las reglas básicas de calidad?

I, C, A, T

I, C, A, T

I, C, A, T

¿Se activa una vez que esté bajo el control del usuario? 

¿Están las credenciales bajo el control exclusivo del usuario?

¿Ha confirmado el usuario que ha recibido las credenciales, y que conoce y acepta las obligaciones que implica su tenencia?

¿Se cambian las credenciales con la periodicidad?

¿Se deshabilitan las credenciales cuando la entidad termina su relación con el sistema?

op.acc: control de acceso

operacional

Pedir la normativa de contraseñas y autentificación

I, C, A, T

I, C, A, T

I, C, A, T

Pedir que se creen uno o dos usuarios con diferentes "roles"

Cambiar la contraseña intentando usar opciones no permitidas

Comprobar que al recibir las credenciales iniciales, se acompaña con doc de responsabilidades y obligaciones

La periodicidad, la podéis comprobar con vuestro propio usuario

Con uno de los usuarios pedir el "cese"...y que muestren a posteriori cuando se deshabilitó la cuenta (...)

op.acc: control de acceso

operacional

¿Se utiliza doble factor de autenticación?

Si utilizan contraseñas ¿cumplen las reglas básicas de calidad?

I, C, A, T

I, C, A, T

I, C, A, T

¿Las credenciales utilizadas han sido obtenidas tras un registro previo?

¿Se suspenden las credenciales tras un periodo definido de no utilización?

Respecto a los tokens...¿El algoritmo está acreditado o certificado? 

¿Las credenciales utilizadas han sido obtenidas tras un registro previo?

op.acc: control de acceso

operacional

¿Se previene la revelación de información del sistema? 

¿Se limita el número de intentos fallidos de acceso?

I, C, A, T

I, C, A, T

I, C, A, T

¿Se registran los accesos con éxito y los fallidos? 

¿Informa el sistema al usuario de sus obligaciones después de obtener el acceso?

¿Informa el sistema al usuario del último acceso con su identidad con éxito?

¿Se limita el horario, fechas y lugar desde donde se accede?

¿Se han establecido puntos en los que el sistema requerirá una renovación de la autenticación del usuario?

op.acc: control de acceso

operacional

I, C, A, T

I, C, A, T

I, C, A, T

similar al acceso remoto

"logearse" a una hora concreta, apuntarla y luego pedir el listado de acceso (o pedir que lo muestren). Comprobar si informa de la última conexión realizada

tras una revisión de la aplicación, comprobar que si se cambia de nivel de seguridad la aplicación vuelve a pedir las credenciales necesarias

op.acc: control de acceso

operacional

¿Se garantiza la seguridad del sistema cuando acceden remotamente usuarios u otras entidades? 

¿Está documentado lo que puede hacerse remotamente?

I, C, A, T

I, C, A, T

¿Se han autorizado previamente los accesos remotos?

op : marco operacional

808

5

7

3

3

2

11

31

día 1: tecnología: acceso remoto

día 3: normativa: lista de comprobación 2

día 2: normativa: lista de comprobación 1

día 4: trazabilidad: logs

M3: agenda

op.exp: explotación

operacional

¿Dispone de un inventario del sistema?

¿Identifica la naturaleza de los elementos?

¿Identifica a los responsables de los elementos? 

¿Se mantiene actualizado?

op.exp: explotación

operacional

¿Indica que se retiren las cuentas y contraseñas estándar?

¿El sistema proporciona la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad?

¿Dispone de un procedimiento de bastionado de los sistemas previo a su entrada en operación? 

op.exp: explotación

operacional

master de instalación

servidores

desktop

diferentes S.O.

automatizado

parametrizado

op.exp: explotación

operacional

Las medidas de seguridad serán respetuosas con el usuario y protegerán a éste, salvo que se exponga conscientemente a un riesgo. ¿indica el sistema esa posibilidad al usuario, y tiene éste que dar su consentimiento expreso asumiendo el riesgo?

¿La configuración por defecto es segura?

op.exp: explotación

operacional

¿Se gestiona de forma continua la configuración? 

Cumple los requisitos de las medidas [op.acc.4], [op.exp.2], [op.exp.4] y [op.exp.7]

op.exp: explotación

operacional

¿Atiende a las especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los sistemas? 

 ¿Efectúa un seguimiento continuo de los anuncios de defectos?

¿Dispone de un plan de mantenimiento del equipamiento físico y lógico?

¿Dispone de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones, teniendo en cuenta el cambio en el riesgo de cara a su priorización?

op.exp: explotación

operacional

¿Atiende a las especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los sistemas? 

¿Efectúa un seguimiento continuo de los anuncios de defectos?

¿Dispone de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones, teniendo en cuenta el cambio en el riesgo de cara a su priorización?

contratos de mantenimiento

HW, SW

DEV->PRE->PRO

automatizar

op.exp: explotación

operacional

¿Dispone de un control continuo de cambios realizados en el sistema?

¿Analiza todos los cambios anunciados por el fabricante o proveedor para determinar su conveniencia para ser incorporados o no?

¿Antes de poner en producción una nueva versión o una versión parcheada se comprueba en un equipo que no esté en producción (equivalente al de producción en los aspectos que se comprueban) que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario?

¿Se planifican los cambios para reducir el impacto sobre la prestación de los servicios afectados?

¿Se determina mediante análisis de riesgos si los cambios son relevantes para la seguridad del sistema? En caso de que el cambio implique una situación de riesgo de nivel alto ¿es aprobado el cambio explícitamente de forma previa a su implantación?

op.exp: explotación

operacional

entornos de trabajo

producción

pre

producción

desarrollo

test automatizados

integración continua

¿vuelta a atrás?

op.exp: explotación

operacional

¿Dispone de mecanismos de prevención y reacción frente a código dañino (virus, gusanos, troyanos, programas espía y “malware” en general)?

¿Siguen un mantenimiento conforme a las recomendaciones del fabricante?

op.exp: explotación

operacional

comprobar que está instalado, que está funcionando y que está actualizado

por muestreo, en algún puesto y en algún servidor

normalmente hay un equipo que centraliza y controla las instalaciones del av

En cada equipo debe estar instalado un antivirus/anti-malware

comprobar que está operativo. Intentar acceder al registro del puesto observado en el muestreo. Comprobar las fechas de actualización...

tecnología en continuo cambio y evolución

op.exp: explotación

operacional

¿Dispone de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema?

¿Incluye el reporte tanto de incidentes, como de eventos de seguridad y debilidades, detallando los criterios de clasificación y el escalado de la notificación?

¿Incluye la toma de medidas urgentes, contemplando la detención de servicios, el aislamiento del sistema afectado, la recogida de evidencias y protección de los registros (según convenga al caso)?

¿Incluye la asignación de recursos para investigar las causas, analizar las consecuencias y resolver el incidente? 

¿Incluye el aviso a las partes interesadas (internas y externas)?

op.exp: explotación

operacional

¿Dispone de un proceso integral para hacer frente a incidentes que puedan tener un impacto en la seguridad del sistema?

¿Incluye medidas de prevención de la repetición del incidente?

¿Incluye en los procedimientos de usuario la identificación y forma de tratar el incidente?

¿Incluye el actualizar, extender, mejorar u optimizar los procedimientos de resolución de incidentes?

En caso de afectar el incidente a ficheros con datos de carácter personal ¿contempla su gestión además lo dispuesto en la legislación vigente de tratamiento de datos de carácter personal?

op.exp: explotación

operacional

VPN+IDS/IPS+FIREWALL+AV+...

Segmentación de la red

micro segmentación

op.exp: explotación

operacional

pedir proceso documentado...

existe un sistema de notificación de incidentes (automatizado..)

consultar si existen incidentes reportados y documentados

consultar acciones realizadas tras un incidente

op.exp: explotación

operacional

informar al CCN-CERT

op.exp: explotación

operacional

¿Se registran todas las actividades de los usuarios en el sistema especialmente activando los registros de actividad en los servidores?

¿La determinación de las actividades a registrar y su nivel de detalle se determina en base al análisis de riesgos del sistema?

¿Indican quién realiza la actividad, ¿cuándo la realiza y sobre qué información, sea cual sea el usuario?

¿Incluye la actividad de los operadores y administradores del sistema?

¿Incluye tanto las actividades realizadas con éxito como los intentos fracasados?

T

T

T

op.exp: explotación

operacional

¿Se revisan informalmente los registros de actividad en busca de patrones anormales?

T

T

T

¿Se dispone de un sistema automático de recolección de registros y correlación de eventos?

CCN-STIC-105

op.exp: explotación

operacional

T

T

T

¿Se dispone de un sistema automático de recolección de registros y correlación de eventos?

logs

SIEM

CARMEN

SIEM/logs adecuados a las necesidades de auditoria (apps, servicios, sistemas,...)

op.exp: explotación

operacional

¿Se registran todas las actuaciones relacionadas con la gestión de incidentes ([op.exp.7])?

¿Se revisa la determinación de los eventos auditables en base al análisis de los incidentes?

¿Se registran el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente?

¿Se registran aquellas evidencias que puedan, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos?

CCN-STIC-817

op.exp: explotación

operacional

¿Se encuentran protegidos los registros del sistema

¿Está determinado el periodo de retención de los mismos?

¿La fecha y hora de los mismos está asegurada? 

T

¿Se encuentran protegidos frente a su modificación o eliminación por personal no autorizado?

¿Las copias de seguridad, si existen, se ajustan a los mismos requisitos?

op.exp: explotación

operacional

¿Se encuentran protegidos los registros del sistema

T

inventario logs de auditoria

procedimientos de operación, protección, salvaguarda

hora del sistema sincronizada?

NTP (Network Time Protocol)

ROA - Hora oficial en España

op.exp: explotación

operacional

¿Se protegen las claves criptográficas durante todo su ciclo de vida?

¿Se utilizan medios de generación aislados de los medios de explotación?

¿Las claves retiradas de operación que deban ser archivadas, lo son en medios aislados de los de explotación? 

CCN-STIC-807

¿Las copias de seguridad, si existen, se ajustan a los mismos requisitos?

op.exp: explotación

operacional

¿Se utilizan medios de generación y custodia en explotación evaluados o dispositivos criptográficos certificados?

¿Los medios de generación y custodia en explotación emplean algoritmos acreditados por el CCN?

¿Los medios de custodia en explotación están protegidos?

op.exp: explotación

operacional

¿Se utilizan medios de generación y custodia en explotación evaluados o dispositivos criptográficos certificados?

HSM

hardware security module

Servidores, DA

Directorio Activo

localizar ubicación y consultar permisos

op : marco operacional

808

5

7

3

3

2

11

31

op.ext: servicios externos

operacional

¿Se han analizado los riesgos de la contratación de servicios externos?

¿Las características del servicio prestado?

Previamente a la utilización de recursos externos se ha establecido:

¿Lo que se considera calidad mínima y las consecuencias de su incumplimiento?

¿Las responsabilidades de las partes?

CCN-STIC-823

op.ext: servicios externos

operacional

¿Dispone de un sistema rutinario para medir el cumplimiento de las obligaciones de servicio?

¿Dispone de un procedimiento para neutralizar cualquier desviación fuera del margen de tolerancia acordado? 

¿Se han establecido el mecanismo y los procedimientos de coordinación para llevar a cabo las tareas de mantenimiento de los sistemas afectados por el acuerdo?

¿Se han establecido el mecanismo y los procedimientos de coordinación en caso de incidentes y desastres?

op.ext: servicios externos

operacional

¿Dispone de un plan para reemplazar el servicio por medios alternativos en caso de indisponibilidad del servicio contratado?

¿El servicio alternativo ofrece las mismas garantías de seguridad que el servicio habitual?

¿El plan de reemplazamiento de servicios se vertebra dentro del plan de continuidad de la organización?

D

op : marco operacional

808

5

7

3

3

2

11

31

op.cont: continuidad del servicio

operacional

¿Se ha realizado un análisis de impacto?

¿Identifica los requisitos de disponibilidad de cada servicio?

¿Identifica los elementos que son críticos para la prestación de cada servicio?

PILAR

D

op.cont: continuidad del servicio

operacional

¿Identifica los requisitos de disponibilidad de cada servicio?

D

RAID (0, 1, 5,...)

Clusters: Servidor de ficheros, Web, Bases de Datos, DNS, DA/DC, Correo, Firewall, VPN, ....: HW+SW

discos extraíbles en caliente

fuente alimentación redundada

ventiladores redundandos

virtualización

servicio activo-activo, activo-pasivo

CPD principal, CPD de respaldo,...

op.cont: continuidad del servicio

operacional

¿Dispone de un plan de continuidad?

¿Identifica funciones, responsabilidades y actividades a realizar?

¿Existe una previsión de los medios alternativos que se van a conjugar para poder seguir prestando los servicios?

D

¿Están los medios alternativos planificados y materializados en acuerdos o contratos con los proveedores correspondientes?

¿Han recibido las personas afectadas por el plan la formación específica relativa a su papel en el mismo? 

¿Es parte integral y armónica de los planes de continuidad de la organización en otras materias ajenas a la seguridad?

op.cont: continuidad del servicio

operacional

¿Se realizan pruebas periódicas para localizar y corregir, en su caso, los errores o deficiencias que puedan existir en el plan de continuidad?

D

op.cont: continuidad del servicio

operacional

D

comunicaciones

op : marco operacional

808

5

7

3

3

2

11

31

op.mon: monitorización del sistema

operacional

¿Dispone de herramientas de detección o prevención de intrusión?

CCN-STIC-818

CCN-STIC-432

op.mon: monitorización del sistema

operacional

¿Se recopilan los datos necesarios atendiendo a la categoría del Sistema para conocer el grado de implantación de las medidas de seguridad?

¿Miden el grado de implantación de las medidas de seguridad que apliquen de las detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por el artículo 35 Informe del estado de la seguridad?

CCN-STIC-824

CCN-STIC-815

op.mon: monitorización del sistema

operacional

¿Permiten valorar el sistema de gestión de incidentes

LUCIA

CCN-STIC-817

INES

op.mon: monitorización del sistema

operacional

¿Miden la eficiencia de las medidas de seguridad incluyendo recursos consumidos?

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.if: protección de las instalaciones e infraestructuras

¿El equipamiento ha sido instalado en áreas separadas específicas para su función?

¿Se controlan los accesos?

¿El equipamiento ha sido instalado en áreas separadas específicas para su función?

protección

mp.if: protección de las instalaciones e infraestructuras

¿Se identifican a todas las personas que accedan a estos locales?

¿Se dispone de un mecanismo de control de acceso a los locales donde hay equipamiento que forme parte del sistema de información?

¿Se registran las entradas y salidas de personas? 

protección

mp.if: protección de las instalaciones e infraestructuras

¿Se controlan los accesos?

protección

pedir normativa y procedimientos

tratar de entrar y comprobar proc.

hay registro? Pedir a posteriori

hay cámaras? Pedir cintas

mp.if: protección de las instalaciones e infraestructuras

¿Cuentan con protección del cableado frente a incidentes fortuitos o deliberados?

¿Cuentan con protección frente a las amenazas identificadas en el análisis de riesgos?

protección

¿Los locales donde se ubican los sistemas de información y sus componentes disponen de las adecuadas condiciones de temperatura y humedad?

mp.if: protección de las instalaciones e infraestructuras

protección

pedir normativa y procedimientos; planos

inspección visual

disposición del cableado

mp.if: protección de las instalaciones e infraestructuras

¿Se dispone de las tomas eléctricas necesarias?

D

D

¿Se garantiza el suministro de potencia eléctrica?

¿Se garantiza el correcto funcionamiento de las luces de emergencia?

¿Se garantiza el suministro de potencia eléctrica en caso de fallo del suministro general?

protección

mp.if: protección de las instalaciones e infraestructuras

D

D

protección

pedir normativa y procedimientos; planos; inspecciones;...

inspección visual (regletas, enchufes, tendido,...)

comprobar UPS. Ver instalaciones

fuerza eléctrica redundada? varios proveedores?

mp.if: protección de las instalaciones e infraestructuras

¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incendios fortuitos o deliberados?

D

protección

mp.if: protección de las instalaciones e infraestructuras

D

protección

pedir normativa y procedimientos; planos; inspecciones;...

inspección visual (extintores, sprinklers, ventilación, materiales, ...)

comprobar fecha de revisión de un extintor; comprobar normativa

mp.if: protección de las instalaciones e infraestructuras

¿Se protegen los locales donde se ubiquen los sistemas de información y sus componentes frente a incidentes fortuitos o deliberados causados por el agua?

D

protección

mp.if: protección de las instalaciones e infraestructuras

¿Se lleva un registro pormenorizado de toda entrada y salida de equipamiento, incluyendo la identificación de la persona que autoriza el movimiento?

protección

mp.if: protección de las instalaciones e infraestructuras

protección

¿Está garantizada la existencia y disponibilidad de instalaciones alternativas para poder trabajar en caso de que las instalaciones habituales no estén disponibles?

D

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.per: gestión de personal

¿Se ha caracterizado cada puesto de trabajo?

D

¿Define las responsabilidades relacionadas con cada puesto de trabajo?

¿Define los requisitos que deben satisfacer las personas que vayan a ocupar el puesto de trabajo, en particular en términos de confidencialidad?

¿Los requisitos del puesto de trabajo se tienen en cuenta en la selección de la persona que vaya a ocupar dicho puesto, incluyendo la verificación de sus antecedentes laborales, formación y otras referencias?

protección

mp.per: gestión de personal

¿Se ha caracterizado cada puesto de trabajo?

D

protección

pedir relación de puestos detallada

elegir un usuario y comprobar accesos

este proceso es de poca eficiencia si no está automatizado y son sólo papeles...

comprobar en portal de acceso remoto

incidente->localización->aislamiento

micro segmentación

mp.per: gestión de personal

¿Se informa a cada persona que trabaja en el sistema de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad?

¿Se especifican las medidas disciplinarias a que haya lugar?

¿Se especifica que cubre tanto el periodo durante el cual se desempeña el puesto como las obligaciones en caso de término de la asignación o traslado a otro puesto de trabajo?

¿Se especifica que el deber de confidencialidad respecto de los datos a los que tenga acceso cubre el periodo durante el cual se desempeña el puesto como en caso de término de la asignación o traslado a otro puesto de trabajo?

protección

mp.per: gestión de personal

¿Se han establecido, en el caso de personal contratado a través de un tercero, los deberes y obligaciones del personal?

¿Se han establecido los deberes y obligaciones de cada parte?

¿Se ha establecido el procedimiento de resolución de incidentes relacionados con el incumplimiento de las obligaciones?

protección

mp.per: gestión de personal

¿Se realizan acciones para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos?

¿Forma parte del contenido la identificación de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado?

¿Forma parte del contenido la normativa de seguridad relativa al buen uso de los sistemas?

¿Forma parte del contenido el procedimiento de reporte de incidentes de seguridad, sean reales o falsas alarmas? 

protección

mp.per: gestión de personal

¿Se forma regularmente al personal en aquellas materias que requieran para el desempeño de sus funciones?

¿Cubre la detección y reacción a incidentes?

¿Cubre la configuración de sistemas?

¿Cubre la gestión de la información en cualquier soporte en el que se encuentre?

protección

mp.per: gestión de personal

¿Está garantizada la existencia y disponibilidad de otras personas que se puedan hacer cargo de las funciones en caso de indisponibilidad del personal habitual?

¿Está sometido a las mismas garantías de seguridad que el personal habitual?

D

protección

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.eq: protección de equipos

¿Se exige que los puestos de trabajo permanezcan despejados, sin más material encima de la mesa que el requerido para la actividad que se está realizando en cada momento?

¿Se guarda este material en lugar cerrado cuando no se está utilizando?

protección

mp.eq: protección de equipos

¿El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso?

¿Pasado un cierto tiempo, superior al anterior, se cancelan las sesiones abiertas desde dicho puesto de trabajo?

A

A

protección

mp.eq: protección de equipos

¿Son protegidos adecuadamente los equipos que sean susceptibles de salir de las instalaciones de la organización y no puedan beneficiarse de la protección física correspondiente, con un riesgo manifiesto de pérdida o robo?

¿Se ha establecido un canal de comunicación para informar, al servicio de gestión de incidentes, de pérdidas o sustracciones?

¿Se lleva un inventario de los mismos junto con una identificación de la persona responsable del mismo?

¿Se ha limitado la información y los servicios accesibles a los mínimos imprescindibles, en el ámbito de operación del servidor, cuando un equipo portátil se conecta remotamente a través de redes que no estén bajo control de la organización?

¿Se ha establecido un canal de comunicación para informar, al servicio de gestión de incidentes, de pérdidas o sustracciones?

¿Se requiere autorización previa de los responsables de la información y servicios accesibles a través de Internet y otras redes que no sean de confianza?

¿Se evita, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la organización?

protección

mp.eq: protección de equipos

¿Se le ha dotado de detectores de violación que permitan saber si el equipo ha sido manipulado y activen los procedimientos previstos de gestión del incidente?

¿Se protege la información de nivel alto almacenada en el disco mediante cifrado?

protección

mp.eq: protección de equipos

¿Está garantizada la existencia y disponibilidad de medios alternativos de tratamiento de la información en caso de indisponibilidad de los medios habituales?

Dicho procedimiento contempla que los medios alternativos están sometidos a las mismas garantías de seguridad que los habituales.

D

¿Se ha establecido un tiempo máximo para que los equipos alternativos entren en funcionamiento?

protección

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.com: protección de las comunicaciones

 ¿Dispone de cortafuegos que separe la red interna del exterior?

¿El sistema de cortafuegos consta de dos o más equipos de diferente fabricante dispuestos en cascada?

¿Se dispone de sistemas redundantes?

CCN-STIC-500

CCN-STIC-408

protección

mp.com: protección de las comunicaciones

¿Se emplean VPN cuando la comunicación discurre por redes fuera del propio dominio de seguridad?

¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN?

¿Emplean algoritmos acreditados por el CCN?

CCN-STIC-816

CCN-STIC-416

protección

C

C

¿Se emplean productos certificados?

mp.com: protección de las comunicaciones

¿Se asegura la autenticidad del otro extremo de un canal de comunicación antes de intercambiar información alguna?

CCN-STIC-807

CCN-STIC-416

protección

I, A

I, A

I, A

¿Se previenen ataques activos (alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte), garantizando que al menos serán detectados, y se activarán los procedimientos previstos de tratamiento del incidente?

¿Se utilizan mecanismos de autenticación de los previstos en la normativa de aplicación?

mp.com: protección de las comunicaciones

¿Se emplean redes privadas virtuales cuando la comunicación discurre por redes fuera del propio dominio de seguridad?

protección

I, A

I, A

I, A

¿Emplean algoritmos acreditados por el CCN?

Se aceptará cualquier mecanismo de autenticación de los previstos en la normativa de aplicación. ¿se utilizan claves concertadas?

mp.com: protección de las comunicaciones

¿Se emplean redes privadas virtuales cuando la comunicación discurre por redes fuera del propio dominio de seguridad?

protección

I, A

I, A

I, A

¿Se emplean preferentemente dispositivos hardware en el establecimiento y utilización de la VPN?

¿Se emplean productos certificados?

Se aceptará cualquier mecanismo de autenticación de los previstos en la normativa de aplicación. ¿Se utilizan claves concertadas?

mp.com: protección de las comunicaciones

¿Se encuentra la red segmentada?

CCN-STIC-500

CCN-STIC-408

protección

¿Existe control de entrada de los usuarios que llegan a cada segmento?

¿Existe control de salida de la información disponible en cada segmento?

¿Está el punto de interconexión particularmente asegurado, mantenido y monitorizado?

mp.com: protección de las comunicaciones

¿Está garantizada la existencia y disponibilidad de medios alternativos de comunicación en caso de indisponibilidad de los medios habituales?

protección

¿Están sometidos a las mismas garantías de seguridad que los habituales?

¿Se ha establecido un tiempo máximo para que los equipos alternativos entren en funcionamiento?

D

mp.com: protección de las comunicaciones

protección

D

mp.com: protección de las comunicaciones

protección

D

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.si: protección soportes de información

¿Se encuentran etiquetados los soportes de información?

protección

¿Revela el contenido?

¿Indica el nivel de seguridad de la información contenida de mayor calificación?

D

¿Pueden los usuarios entender el significado de las etiquetas, bien mediante simple inspección, bien mediante recurriendo a un repositorio que lo explique?

¿Se aplica tanto a aquellos en soporte electrónico como no electrónico (que hayan sido causa o consecuencia directa de la información electrónica dentro del alcance del ENS)?

mp.si: protección soportes de información

¿Se aplican mecanismos criptográficos, en particular, a todos los dispositivos extraibles (CD, DVD, discos USB, u otros de naturaleza análoga) que garanticen la confidencialidad

protección

¿Emplean algoritmos acreditados por el CCN?

I, C

¿Se emplean productos certificados?

I, C

CCN-STIC-807

mp.si: protección soportes de información

¿Se aplica la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de la organización?

protección

¿Garantiza que se respeten las exigencias de mantenimiento del fabricante, en especial en lo referente a temperatura, humedad y otros agresores medioambientales?

¿Garantiza el control de acceso con medidas físicas, lógicas o ambas?

mp.si: protección soportes de información

Pedir el soporte que corresponda a una carpeta del servidor de ficheros

protección

comprobar como está custodiado

comprobar etiquetado

si se guardan fuera de la oficina, comprobar el registro de movimientos

mp.si: protección soportes de información

¿Dispone de un registro de salida que identifica al transportista que recibe el soporte para su traslado?

protección

¿Gestiona las claves de forma segura?

¿Dispone de un registro de entrada que identifica al transportista que lo entrega?

¿Utiliza medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel?

mp.si: protección soportes de información

¿Dispone de un registro de salida que identifica al transportista que recibe el soporte para su traslado?

protección

¿Gestiona las claves de forma segura?

¿Dispone de un registro de entrada que identifica al transportista que lo entrega?

¿Utiliza medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel?

C

CCN-STIC-404

C

mp.si: protección soportes de información

¿Se destruyen de forma segura los soportes cuando la naturaleza del soporte no permita un borrado seguro?

protección

¿Se destruyen de forma segura los soportes según el tipo de la información contenida?

¿Utiliza medios de protección criptográfica correspondientes al nivel de calificación de la información contenida de mayor nivel?

C

CCN-STIC-404

C

¿Se emplean productos certificados?

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.sw: protección aplicaciones informáticas

¿Se desarrollan aplicaciones sobre un sistema diferente y separado del de producción?

protección

¿Existen herramientas o datos de desarrollo en el entorno de producción?

¿Aplica una metodología de desarrollo reconocida?

C

¿Trata específicamente los datos usados en pruebas?

¿Toma en consideración los aspectos de seguridad a lo largo de todo el ciclo de vida?

¿Permite la inspección del código fuente?

¿Incluye normas de programación segura?

mp.sw: protección aplicaciones informáticas

¿Los mecanismos de identificación y autenticación son parte integral del diseño del sistema?

protección

¿Se realizan las pruebas anteriores a la implantación o modificación de los sistemas de información con datos reales?

CCN-STIC-205

C

¿Y la generación y tratamiento de pistas de auditoría?

¿Y los mecanismos de protección de la información tratada?

METRICA v3

mp.sw: protección aplicaciones informáticas

¿Dispone de un plan de pruebas antes de pasar a producción para comprobar el correcto funcionamiento de la aplicación?

protección

¿Comprueba que se cumplen los criterios de aceptación en materia de seguridad?

¿Comprueba que no se deteriora la seguridad de otros componentes del servicio?

METRICA v3

¿Se realizan en un entorno aislado?

¿Utilizan datos reales?

mp.sw: protección aplicaciones informáticas

¿Previamente a la entrada en servicio, se le realiza un análisis de vulnerabilidades?

protección

¿Y se le realiza una prueba de penetración?

¿Y se considera la oportunidad de realizar una auditoría de código fuente?

¿Y un análisis de coherencia en la integración en los procesos?

mp.sw: protección aplicaciones informáticas

¿Previamente a la entrada en servicio, se le realiza un análisis de vulnerabilidades?

protección

entornos de trabajo

producción

pre

producción

desarrollo

test automatizados

integración continua

Integración continua (github, subversion, ...)

Test automatizados (código + seguridad (sonarQube),  ...)

Pruebas automatizados (desarrolladas a medida...)

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.info: protección de la información

¿Se ha identificado si el sistema trata datos de carácter personal?

protección

En caso de tratar datos de carácter personal ¿se aplica la normativa vigente?

mp.info: protección de la información

¿Se califica la información conforme a lo establecido legalmente sobre la naturaleza de la misma?

protección

¿Establece la política de seguridad quién es el responsable de cada información manejada por el sistema?

C

C

¿Recoge la política de seguridad, directa o indirectamente, los criterios que en la organización determinan el nivel de seguridad requerido?

¿El responsable de cada información sigue los criterios determinados en la política de seguridad para asignar a cada información el nivel de seguridad requerido y es responsable de su documentación y aprobación formal?

¿El responsable de cada información en cada momento tiene en exclusiva la potestad de modificar el nivel de seguridad requerido, de acuerdo a la política de seguridad?

CCN-STIC-001

mp.info: protección de la información

¿Existen procedimientos que describan en detalle la forma en que se ha de etiquetar y tratar la información?

protección

¿Contempla su control de acceso?

C

C

¿Contempla su almacenamiento?

¿Contempla la realización de copias?

¿Contempla el etiquetado de soportes?

¿Contempla su transmisión telemática?

¿Y contempla cualquier otra actividad relacionada con dicha información?

mp.info: protección de la información

¿Se cifra la información con un nivel alto en confidencialidad tanto durante su almacenamiento como durante su transmisión?

protección

¿Contempla el uso de criptografía en comunicaciones

C

CCN-STIC-955B

¿Contempla el uso de criptografía en los soportes de información?

¿Permanece sólo en claro la información con un nivel alto en confidencialidad mientras se está haciendo uso de ella?

CCN-STIC-807

mp.info: protección de la información

¿Dispone de una Política de Firma Electrónica aprobada por el órgano superior competente que corresponda?

protección

I, A

CCN-STIC-405

I, A

I, A

¿Se firman electrónicamente los documentos que requieren capacidad probatoria según la ley de procedimiento administrativo común de las AAPP?

En el caso de que se utilicen otros mecanismos de firma electrónica sujetos a derecho, ¿se incorporan medidas compensatorias suficientes que ofrezcan garantías equivalentes o superiores en lo relativo a prevención del repudio?

910/2014-eIDAS

mp.info: protección de la información

Si se emplean sistemas de firma electrónica avanzada, ¿se emplean certificados cualificados?

protección

I, A

I, A

I, A

¿Se emplean preferentemente certificados reconocidos?

¿Se emplean algoritmos acreditados por el CCN?

¿Se garantiza la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquella soporte, sin perjuicio de que se pueda ampliar ese periodo de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación?

¿Se adjunta a la firma, o se referencia, el certificado?

Certificado cualificado: un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I del Reglamento (UE) 910/2014.

Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten, de conformidad con lo que dispone el capítulo II del Título II de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica

mp.info: protección de la información

protección

I, A

I, A

I, A

¿Se garantiza la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquella soporte, sin perjuicio de que se pueda ampliar ese periodo de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación?

¿Se adjunta a la firma, o se referencia, el certificado?

¿Se adjuntan a la firma, o se referencian, los datos de verificación y validación?

¿Se protegen la firma, el certificado y los datos de verificación y validación con un sello de tiempo?

¿Verifica y valida el organismo que recaba documentos firmados la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad el certificado, los datos de verificación y validación, y el sello de tiempo? 

¿La firma electrónica de documentos por parte de la Administración anexa o referencia sin ambigüedad el certificado, los datos de verificación y validación, y el sello de tiempo? 

mp.info: protección de la información

protección

I, A

I, A

I, A

¿Se emplean certificados cualificados?

¿Se emplean dispositivos cualificados de creación de firma?

¿Se emplean productos certificados?

mp.info: protección de la información

protección

T

¿Se aplican sellos de tiempo a aquella información que sea susceptible de ser utilizada como evidencia en el futuro?

¿Se renuevan regularmente los sellos de tiempo hasta que la información protegida ya no sea requerida por el proceso administrativo al que da soporte?

¿Los datos pertinentes para la verificación posterior de la fecha son tratados con la misma seguridad que la información fechada a efectos de disponibilidad, integridad y confidencialidad?

¿Se utilizan productos certificados o servicios externos admitidos?

¿Se emplean “sellos cualificados de tiempo electrónicos” acordes a la normativa europea en la materia?

CCN-STIC-807

910/2014-eIDAS

Artículo 42

Requisitos de los sellos cualificados de tiempo electrónicos

1.   Un sello cualificado de tiempo electrónico cumplirá los requisitos siguientes:

a)

vincular la fecha y hora con los datos de forma que se elimine razonablemente la posibilidad de modificar los datos sin que se detecte;

b)

basarse en una fuente de información temporal vinculada al Tiempo Universal Coordinado, y

c)

haber sido firmada mediante el uso de una firma electrónica avanzada o sellada con un sello electrónico avanzado del prestador cualificado de servicios de confianza o por cualquier método equivalente.

mp.info: protección de la información

protección

C

¿Existe un procedimiento para limpiar (retirar la información contenida en campos ocultos, metadatos, comentarios o revisiones) todos los documentos que van a ser transferidos a otro dominio de seguridad, salvo cuando dicha información sea pertinente para el receptor del documento? 

CCN-STIC-835

mp.info: protección de la información

protección

C

¿Realizan copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada?

¿Abarcan la información de trabajo de la organización?

¿Abarcan las aplicaciones en explotación, incluyendo los sistemas operativos?

¿Abarcan los datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga?

¿Abarcan las claves utilizadas para preservar la confidencialidad de la información?

¿Disfrutan de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad?

¿Se verifica regularmente que la información respaldada está correctamente dispuesta para ser recuperada en caso de necesidad?

¿Se conservan en lugar(es) suficientemente independiente(s) de la ubicación normal de la información en explotación como para que los incidentes previstos en el análisis de riesgos no se den simultáneamente en ambos lugares? 

¿Existe un proceso de autorización para la recuperación de información de las copias de seguridad?

mp.info: protección de la información

protección

C

¿Realizan copias de respaldo que permitan recuperar datos perdidos accidental o intencionadamente con una antigüedad determinada?

Servidores de "backup"

agentes de "backup" en servidores a salvaguardar

Copias del sistema (S.O.) de todos los servidores

snapshots...o copias instantáneas

dispositivos de backup: cintas, SAN, NAS,...)

Normativa y procedimientos de "backup"

Normativa y procedimientos de recuperación

8

40

5

4

5

5

2

4

7

mp : medidas de protección

808

mp.s: protección de los servicios

protección

¿La información que se distribuye por medio de correo electrónico se protege, tanto en el cuerpo de los mensajes como en los anexos?

¿Se protege frente a problemas como del correo no solicitado (spam)?

¿Se protege la información de encaminamiento de mensajes y establecimiento de conexiones?

¿Se protege frente a código móvil de tipo “applet”?

¿Se protege frente a programas dañinos (virus, gusanos, troyanos, espías u otros de naturaleza análoga) relacionado con op.exp.6 Protección frente a código dañino?

mp.s: protección de los servicios

protección

¿Se han establecido normas de uso del correo electrónico? 

¿Contempla limitaciones al uso como soporte de comunicaciones privadas?

¿Se llevan a cabo actividades de concienciación y formación relativas al uso del correo electrónico?

CCN-STIC-814

mp.s: protección de los servicios

protección

¿Se protege la información de encaminamiento de mensajes y establecimiento de conexiones?

escritorio remoto: ventajas

AV/Malware:

todos los dispositivos

AV/Malware:

todos los dispositivos

mp.s: protección de los servicios

protección

¿Se encuentran protegidos los subsistemas dedicados a la publicación de información frente a las amenazas que les son propias?

¿Se evita que el servidor ofrezca acceso a los documentos por vías alternativas al protocolo determinado?

Cuando la información tenga algún tipo de control de acceso ¿se garantiza la imposibilidad de acceder a la información obviando la autenticación?

¿Se previenen ataques de manipulación de URL?

¿Se previenen ataques de manipulación de las cookies de los usuarios?

¿Se previenen intentos de escalado de privilegios?

mp.s: protección de los servicios

protección

¿Se previenen ataques de “cross site scripting”?

¿Se realizan auditorías de seguridad y pruebas de penetración?

¿Se previenen ataques de manipulación de “proxys” o “cachés”?

¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?

¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia? 

910/2014/eIDAS

CCN-STIC-812

mp.s: protección de los servicios

protección

¿Se previenen ataques de “cross site scripting”?

¿Se previenen ataques de manipulación de “proxys” o “cachés”?

¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?

¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia? 

¿Se previenen ataques de manipulación de URL?

¿Se previenen intentos de escalado de privilegios?

WAF

mp.s: protección de los servicios

protección

¿Se previenen ataques de “cross site scripting”?

¿Se previenen ataques de manipulación de “proxys” o “cachés”?

¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?

¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia? 

¿Se previenen ataques de manipulación de URL?

¿Se previenen intentos de escalado de privilegios?

mp.s: protección de los servicios

protección

¿Se previenen ataques de “cross site scripting”?

¿Se previenen ataques de manipulación de “proxys” o “cachés”?

¿Se emplean certificados de autenticación de sitio web acordes a la normativa europea en la materia?

¿Se emplean certificados cualificados de autenticación de sitio web acordes a la normativa europea en la materia? 

¿Se previenen ataques de manipulación de URL?

¿Se previenen intentos de escalado de privilegios?

select * from user_table
where username = 'sdaityari'
and password = 'mypassword';

SQL inyection

// Connect to SQL database
$db_query = "select * from user_table where
username = '".$user."'
AND password = '".$password."';";
// Execute query

significa: "dame toda la información accesible por user/pass"

select * from user_table where
username = 'admin';--' and password = 'mypassword'

el hacker introduce en el campo de autentificación de la app user: <<admin';-->>

// Connect to SQL database
$db_query = "select * from user_table where
username = '".$user."'
AND password = '".$password."';";
// Execute query

código PHP de la página (aplicación)

resultado: "dame todos los campos de la bd del usuario admin"

select * from user_table where
username = 'admin' and
password = 'password' or 1=1;--';

el hacker introduce en el campo de autentificación de la app password: «password’ or 1=1;--»

resultado: "dame todos los campos de la bd del usuario admin"

mp.s: protección de los servicios

protección

¿Se ha planificado y dotado al sistema de capacidad suficiente para atender a la carga prevista con holgura? 

¿Se han desplegado tecnologías para prevenir los ataques conocidos de denegación de servicio (Denial of Service (DoS)?

¿Se ha establecido un sistema de detección de ataques de DoS ?

CCN-STIC-820

CCN-STIC-412

D

D

D

¿Se ha establecido un procedimiento de reacción a los ataques, incluyendo la comunicación con el proveedor de comunicaciones?

¿Se impide el lanzamiento de ataques desde las propias instalaciones perjudicando a terceros?

mp.s: protección de los servicios

protección

¿Se ha establecido un sistema de detección de ataques de DoS ?

D

D

D

Aumentar la capacidad de respuesta de los servidores web

Contratar un servicio externo especializado, que "pare" o "suavice" el ataque

estos ataques suelen durar poco tiempo...cuestan dinero

Usar WAF (firewall de aplicación, capa 7)

Reconfigurar Servidor web

mp.s: protección de los servicios

protección

¿Está garantizada la existencia y disponibilidad de medios alternativos para prestar los servicios en caso de indisponibilidad de los medios habituales?

¿Están sometidos a las mismas garantías de seguridad que los habituales?

D

¿Se ha establecido un tiempo máximo para que los medios alternativos entren en funcionamiento?

g

r

а

с

i

a

s