1. Preguntas generales de uso de la herramienta INES
2. Identificación del organismo
Los datos de identificación del organismo se rellenan de forma automática al comienzo de la campaña. Dichos datos se solicitan al registrarse en la solución INES.
Si encuentra una discrepancia deberá comunicarlo a la dirección
3. Categorización de los sistemas
4. Análisis y Gestión de Riesgos
5. Actividades organizativas
6. Recursos
Se debe interpretar como el sumatorio del número de personas con permisos de administrador sobre la seguridad del sistema (ASS) o de algún componente del sistema (se incluyen tanto servidores como equipos de usuario final y los que administran productos de seguridad) y del número de personas con permisos de administrador de sistemas, si tienen control de administración sobre las funciones de seguridad del sistema. Suma lo mismo personal fijo o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios de seguridad, se imputarán también los recursos humanos indicados en el contrato de prestación de servicios.
No se consideran administradores de seguridad y por tanto se excluyen aquellas personas que dentro de una aplicación específica su rol es el de administrador solo y parcialmente de dicha aplicación (por ejemplo, controlando exclusivamente los cambios de claves de las cuentas de usuarios de su departamento, sin posibilidad de cambiar privilegios de acceso).
No se hará distinciones en función de la categoría de la persona.
A continuación, se detallan las actividades que desarrolla la persona que ostente alguno de los dos (2) roles relacionados con la administración:
- El administrador de la seguridad del sistema o administrador de Seguridad (ASS) es aquella persona que:
- Implementa, gestiona y supervisa las medidas de seguridad aplicables al Sistema de Información.
- Gestiona, configura y actualiza el hardware y software en el que se basan los mecanismos y servicios de seguridad del Sistema de Información.
- Gestiona las autorizaciones concedidas a los usuarios y monitoriza que la actividad realizada se ajusta a lo autorizado.
- Monitoriza el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema
- Aplica los Procedimientos Operativos de Seguridad y aprobar los cambios en la configuración vigente del Sistema de Seguridad
- El administrador del sistema (AS) es la persona que tiene como misión, la implantación, configuración y mantenimiento de los servicios TIC.
Se destaca que es habitual que ambos roles recaigan sobre la misma persona o grupo de personas.
7. Interconexión con otros sistemas
- L0 - Inexistente (0%)
Esta medida no existe o no se está siendo aplicada en este momento.
- L1 - Inicial/ad hoc (10%)
En el nivel L1 de madurez, el proceso existe, pero no se gestiona. Cuando la organización no proporciona un entorno estable. El éxito o fracaso del proceso depende de la competencia y buena voluntad de las personas y es difícil prever la reacción ante una situación de emergencia. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta. El éxito del nivel L1 depende de tener personal de alta calidad.
- L2 - Reproducible, pero intuitivo (50%)
En el nivel L2 de madurez, la eficacia del proceso depende de la buena suerte y de la buena voluntad de las personas. Existe un mínimo de planificación que proporciona una pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas. Todavía hay un riesgo significativo de exceder las estimaciones de coste y riesgo.
- L3 - Proceso definido (80%)
Se dispone un catálogo de procesos que se mantiene actualizado. Estos procesos garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos particulares al proceso general. Hay normativa establecida y procedimientos para garantizar la reacción profesional ante los incidentes. Se ejerce un mantenimiento regular. Las oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido (o no planificado). El éxito es algo más que buena suerte: se merece. Una diferencia importante entre el nivel L2 y el nivel L3 es la coordinación entre departamentos y proyectos, coordinación que no existe en el nivel L2, y que se gestiona en el nivel L3.
- L4 - Gestionado y medible (90%)
Cuando se dispone de un sistema de medidas y métricas para conocer el desempeño (eficacia y eficiencia) de los procesos. La Dirección es capaz de establecer objetivos cualitativos a alcanzar y dispone de medios para valorar si se han alcanzado los objetivos y en qué medida. En el nivel L4 de madurez, el funcionamiento de los procesos está bajo control con técnicas estadísticas y cuantitativas. La confianza es cuantitativa, mientras que en el nivel L3, la confianza era solamente cualitativa.
- L5 - Optimizado (100%)
El nivel L5 de madurez se centra en la mejora continua de los procesos con mejoras tecnológicas incrementales e innovadoras. Se establecen objetivos cuantitativos de mejora. Y se revisan continuamente para reflejar los cambios en los objetivos de negocio, utilizándose como indicadores en la gestión de la mejora de los procesos. En este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los procesos basada en los resultados de las medidas e indicadores.