1
¿Se dispone en la organización de una Política de Seguridad de la Información (PSI) o, en su caso, se ha adherido a la política de seguridad de la institución de la que depende o está vinculada?
2
¿Se dispone de normativa interna de la organización donde se determine el uso correcto de equipos, servicios e instalaciones, así como lo que se considera uso indebido?
3
¿Dispone de algún documento donde se detallen las tareas del sistema (copias de seguridad, configuración de los equipos, etc.)?
4
¿Se mantiene evidencias, mediante formularios, correos o herramientas de ticketing de autorización para los siguientes elementos?
5
Utilización de instalaciones, habituales y alternativas
6
Entrada de equipos en producción, en particular, equipos que involucren criptografía.
7
Entrada de aplicaciones en producción.
8
Establecimiento de enlaces de comunicaciones con otros sistemas.
9
Utilización de medios de comunicación, habituales y alternativos.
10
Utilización de soportes de información.
11
Utilización de equipos móviles. Se entenderá por equipos móviles ordenadores portátiles, tabletas, teléfonos móviles u otros de naturaleza análoga.
12
Utilización de servicios de terceros, bajo contrato o convenio, concesión, encargo, etc.
1
¿Se dispone de un análisis de riesgos documentado y plan de tratamiento de riesgos, cuya última iteración se ha realizado en fecha adecuada?
2
¿Se dispone de documentación de las instalaciones, incluyendo áreas y puntos de acceso y diagramas de las líneas de defensa, puntos de interconexión a otros sistemas o a otras redes, incluyendo internet o redes públicas en general, cortafuegos, balanceadores, enrutadores, segmentación de redes, etc.?
3
¿Existe un procedimiento para planificar la adquisición de nuevos componentes del sistema, que atienda a las conclusiones del análisis de riesgos, que sea acorde a la arquitectura de seguridad escogida y que contemple las necesidades técnicas, de formación y de financiación, de forma conjunta?
4
¿Se ha realizado un estudio respecto a las necesidades de almacenamiento de información durante procesamiento y durante el período que deba retenerse, al menos con carácter previo a la puesta en explotación de los sistemas?
5
¿Se utiliza el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero que deban formar parte de la arquitectura de seguridad del sistema?
6
¿Se dispone implementados mecanismos de control de acceso, alineados con el proceso de altas y bajas de empleados / usuarios internos de la organización?
7
¿Los derechos de acceso de cada recurso, se establecen según las decisiones de la persona responsable del recurso, ateniéndose a la política y/o normativa de seguridad del sistema?
8
¿Se segregan aquellas funciones que, ante determinadas circunstancias, podrían culminar en conflicto de interés como, por ejemplo, desarrollo y operación?
9
Dispone de una Política de control de acceso y la política de acceso remoto?
10
Respecto a las contraseñas. ¿Se aplican criterio de calidad para las contraseñas: longitud, complejidad, número?
11
¿Se mantiene la seguridad de las cuentas y las credenciales de los usuarios externos, mediante mecanismos de control de acceso?
12
Respecto a los accesos remotos ¿Se contemplan aspectos de seguridad y autorización?
13
¿Tiene implantado en los sistemas doble factor de autenticación?
14
¿Se dispone de un inventario de activos: equipos de usuario, portátiles, dispositivos, móviles, ¿discos duros externos, impresoras, aplicaciones, etc. ¿Indicando quién es el responsable del mismo?
15
¿Se están utilizando guías de bastionado para los elementos de configuración, equipos servidores?
16
¿Se gestiona de forma continua la configuración de los componentes del sistema?
17
¿Se dispone de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones?
18
¿Se gestionan los cambios que se realizan en el sistema de información?
19
¿Existe una solución centralizada de antivirus para todos los equipos y sistemas operativos?
20
¿Se dispone de procedimiento de gestión de incidentes de seguridad?
21
¿Se registran las actividades del sistema generando un registro de auditoría que incluye, al menos, el identificador del usuario o entidad asociado al evento, fecha y hora, sobre qué información se realiza el evento, tipo de evento y el resultado del evento (fallo o éxito), según la política de seguridad y los procedimientos asociados a la misma?
22
¿Se realiza un proceso de extracción de conclusiones y aprendizaje, a partir de los incidentes de seguridad registrados?
23
Se utilizan certificados de empleado público, de sede electrónica, ¿etc.?
24
Con anterioridad a la efectiva utilización de los recursos externos, ¿Se establece contractualmente un Acuerdo de Nivel de Servicio (ANS/SLA) que incluya las características del servicio prestado, lo que debe entenderse como ‘servicio mínimo admisible’, así como, la responsabilidad del proveedor y las consecuencias de eventuales incumplimientos
25
¿Se dispone de mecanismos de seguimiento y supervisión del desarrollo del servicio, así como de reporte y coordinación ante posibles incidencias?
26
¿Se analizan los riesgos y se adoptan medidas respecto a un posible incidente originado en la cadena de suministro?
27
¿Requieren autorización y se documentan todas las interconexiones de sistemas?
28
¿Los sistemas de información que soportan servicios prestados desde la nube cumplen con las medidas de seguridad pertinentes?
29
¿Se ha realizado un análisis de impacto (BIA) en los servicios en el ámbito del ENS?
30
¿Se dispone de un Plan de Continuidad documentado, coherente con los resultados del BIA?
31
¿Se realizan pruebas periódicas del Plan de Continuidad?
32
¿Está prevista la disponibilidad de medios alternativos para poder seguir prestando servicio cuando los medios habituales no estén disponibles?
33
¿Se dispone de herramientas de detección y/o prevención de intrusiones (IDS/IPS)?
34
Se da respuesta todos los años a la encuesta INÉS (Informe Nacional sobre el Estado de la Seguridad)- A través de la Plataforma - https://www.ccn-cert.cni.es/soluciones-seguridad/ines.html. ¡
35
¿Se dispone de un sistema automático de recolección de eventos de seguridad?
1
¿Se instala el equipamiento del sistema de información en áreas dotadas de adecuadas medidas de seguridad?
2
¿Se dispone de procedimientos de solicitud de acceso a CPD y salas técnicas, gestionando la concesión de autorizaciones temporales y permanentes?
3
¿Se acondicionan y controlan ambientalmente los locales donde se ubica el equipamiento y componentes esenciales de los sistemas de información, así como se dispone en ellos de un trazado organizado e identificado de los cables de señal y de alimentación?
4
Los locales donde se ubican los sistemas de información y sus componentes esenciales (CPD, sala técnica), ¿Disponen de tomas de energía eléctrica adecuadas, de modo que se garantice tanto el suministro como el correcto funcionamiento de las luces de emergencia? ¿Se garantiza el abastecimiento eléctrico durante el tiempo requerido, de forma armonizada con el BIA?
5
Los locales donde se ubican los sistemas de información y sus componentes esenciales (CPD y salas técnicas) ¿Están protegidos frente a incendios atendiendo, al menos, a la normativa industrial de aplicación?
6
¿Se dispone de sistemas de detección de humedad y de líquidos, habitualmente bajo el suelo técnico de CPD y salas técnicas, con atención a las pérdidas de los equipos de refrigeración ubicados en la sala, especialmente si funcionan con agua?
7
Para cada puesto de trabajo, relacionado directamente con el manejo de información o servicios en el ámbito ¿Se definen las responsabilidades en materia de seguridad?
8
¿Se definen e informa, a cada persona que trabaja en el sistema, de los deberes y responsabilidades de su puesto de trabajo en materia de seguridad?
9
¿Existe un plan de formación vs concienciación?
10
Se realizan acciones formativas que incluyan aspectos como configuración de sistemas, Detección y reacción ante incidentes y Gestión de la información en cualquier soporte en el que se encuentre. Se cubrirán al menos las siguientes actividades: almacenamiento, transferencia, copias, distribución y destrucción.
11
¿Dispone de alguna norma donde se establezca la necesidad de que los puestos de trabajo deban permanecer despejados sin más material (papel, memorias USB, etc.) encima de la mesa que el necesario en cada momento?
12
¿El puesto de trabajo se bloquea al cabo de un tiempo prudencial de inactividad, requiriendo una nueva autenticación del usuario para reanudar la actividad en curso?
13
¿Se ha establecido normativa de uso de los equipos portátiles, así como de acceso remoto mediante los mismos?
14
Dispone dispositivos conectados a la red tales como: Multifunción (Impresoras, escáneres, etc.), multimedia (proyectores, altavoces inteligentes, etc.), internet de las cosas, ¿dispositivos de invitados o dispositivos personales de los propios empleados (BYOD)?
15
¿Dispone un mapa de red/topología donde estén identificados los firewalls?
16
¿Se utilizan VPN? “Cuándo la comunicación discurre fuera del propio dominio de seguridad (ej., acceso remoto a los equipos), se emplean Redes Privadas Virtuales (VPNs)”
17
¿Se emplean mecanismos para garantizar la autenticidad y la integridad de las comunicaciones con el exterior?
18
¿Se ha segmentado la red, segregando el tráfico?
19
¿Se identifican los soportes que contienen información sensible con el nivel de seguridad de mayor calificación de la información contenida?
20
¿Se emplean mecanismos criptográficos para proteger los dispositivos removibles cuando es necesario?
21
¿Se utilizan soportes de información (memorias USB, discos duros externos, etc.)?
22
¿Se dispone de un registro de entrada / salida que identifique al transportista que entrega/recibe el soporte?
23
¿Se ha definido un procedimiento en el que se indique como se va a realizar el borrado seguro de soportes o la sistemática a realizar en el caso de la reutilización de soportes Ej. Reutilización de un portátil?
24
¿Se dispone y se aplica una metodología de desarrollo seguro reconocida?
25
Antes de su paso a producción ¿Se comprueba el correcto funcionamiento de la aplicación y de sus aspectos de seguridad?
26
¿Se ha procedido a la designación formal del DPD y se ha realizado la notificación a la AEPD?
27
¿Se han establecido criterios de calificación (o clasificación si se trata de información clasificada en base a la LSO o tratados internacionales) que permitan ajustar los requisitos de seguridad a dichos criterios?
28
¿Dispone de una Política de Firma Electrónica?
29
¿Se adoptan determinadas cautelas para la utilización de sellos de tiempo?
30
¿Dispone de Normativa de revisión y limpieza de metadatos no deseados?
31
¿Dispone de un procedimiento de respaldo (copias de seguridad) que indique la frecuencia de la realización de las copias, herramientas utilizadas, de que datos se realizan periodicidad de realización, plazos de retención requisitos de almacenamiento (interno o externo), controles para el acceso?
32
¿Se dispone de herramientas de filtrado del correo no deseado o ‘spam’?
33
¿Se previenen los siguientes ataques: ataques de manipulación de URL, manipulación de ‘cookies’, inyección de código, intentos de escalado de privilegios, ataques de ‘cross site scripting’?
34
¿Se han implementado las medidas de seguridad para proteger la navegación web?
35
¿Se han establecido medidas preventivas frente a ataques de denegación de servicio (DoS) y denegación de servicio distribuido (DDoS)
