FAQ INES

1. Preguntas generales de uso de la herramienta INES

1. ¿Por qué no puedo ver el cuadro de mando?
Para que el cuadro de mando se active es necesario que el nivel de rellenado de la herramienta supere el 50% y que estén registrados los valores máximos de cada dimensión de seguridad en la pestaña de “Categorización de los sistemas”, con el fin de que haya la suficiente cantidad de información como para que se pueda generar un número significativo de indicadores y sus comparaciones.

2. Identificación del organismo

7. ¿Por qué no puedo modificar la sección “1. DATOS GENERALES” y qué debo hacer si necesito cambiar un dato?

Los datos de identificación del organismo se rellenan de forma automática al comienzo de la campaña. Dichos datos se solicitan al registrarse en la solución INES.

Si encuentra una discrepancia deberá comunicarlo a la dirección Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., indicando el organismo y  la cuestión a modificar.

3. Categorización de los sistemas

13. ¿Cómo relleno el dato de nivel máximo de las dimensiones de seguridad (Disponibilidad / Autenticidad /Integridad / Confidencialidad / Trazabilidad)?
Se deben revisar todos los activos esenciales (activos de tipo información y/o de tipo servicio) y/o todos los sistemas de información, e indicar el valor máximo de entre todos ellos para dichas dimensiones de seguridad. Ver guía CCN-STIC-803 Valoración de los sistemas.

4. Análisis y Gestión de Riesgos

16. ¿Cómo debo interpretar el concepto de activo esencial?
Un activo esencial es todo aquél activo de tipo información y/o de tipo servicio en tu análisis de riesgos, que son aquellos activos cuyas dimensiones de seguridad han tenido que ser valoradas.

5. Actividades organizativas

18. ¿Cómo debo interpretar el concepto de independencia del responsable de seguridad respecto del responsable del sistema?
Se debe interpretar considerando que el rol de responsable de seguridad recae sobre una persona distinta a la que ostenta el rol de responsable de sistema. Además, el responsable de seguridad no debe depender del responsable del sistema, porque en este caso su función quedaría claramente mediatizada por su superior, impidiendo la adecuada toma de decisiones.

6. Recursos

22. ¿Cómo debo interpretar el dato de número de administradores de seguridad?

Se debe interpretar como el sumatorio del número de personas con permisos de administrador sobre la seguridad del sistema (ASS) o de algún componente del sistema (se incluyen tanto servidores como equipos de usuario final y los que administran productos de seguridad) y del número de personas con permisos de administrador de sistemas, si tienen control de administración sobre las funciones de seguridad del sistema. Suma lo mismo personal fijo o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios de seguridad, se imputarán también los recursos humanos indicados en el contrato de prestación de servicios.

No se consideran administradores de seguridad y por tanto se excluyen aquellas personas que dentro de una aplicación específica su rol es el de administrador solo y parcialmente de dicha aplicación (por ejemplo, controlando exclusivamente los cambios de claves de las cuentas de usuarios de su departamento, sin posibilidad de cambiar privilegios de acceso).

No se hará distinciones en función de la categoría de la persona.

A continuación, se detallan las actividades que desarrolla la persona que ostente alguno de los dos (2) roles relacionados con la administración:

  • El administrador de la seguridad del sistema o administrador de Seguridad (ASS) es aquella persona que:
    • Implementa, gestiona y supervisa las medidas de seguridad aplicables al Sistema de Información.
    • Gestiona, configura y actualiza el hardware y software en el que se basan los mecanismos y servicios de seguridad del Sistema de Información.
    • Gestiona las autorizaciones concedidas a los usuarios y monitoriza que la actividad realizada se ajusta a lo autorizado.
    • Monitoriza el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema
    • Aplica los Procedimientos Operativos de Seguridad y aprobar los cambios en la configuración vigente del Sistema de Seguridad
  • El administrador del sistema (AS) es la persona que tiene como misión, la implantación, configuración y mantenimiento de los servicios TIC.

Se destaca que es habitual que ambos roles recaigan sobre la misma persona o grupo de personas.

7. Interconexión con otros sistemas

29. ¿Cuáles son los Niveles de Madurez?
  • L0 - Inexistente (0%)

Esta medida no existe o no se está siendo aplicada en este momento.

  • L1 - Inicial/ad hoc (10%)

En el nivel L1 de madurez, el proceso existe, pero no se gestiona. Cuando la organización no proporciona un entorno estable. El éxito o fracaso del proceso depende de la competencia y buena voluntad de las personas y es difícil prever la reacción ante una situación de emergencia. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta. El éxito del nivel L1 depende de tener personal de alta calidad.

  • L2 - Reproducible, pero intuitivo (50%)

En el nivel L2 de madurez, la eficacia del proceso depende de la buena suerte y de la buena voluntad de las personas. Existe un mínimo de planificación que proporciona una pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas. Todavía hay un riesgo significativo de exceder las estimaciones de coste y riesgo.

  • L3 - Proceso definido (80%)

Se dispone un catálogo de procesos que se mantiene actualizado. Estos procesos garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos particulares al proceso general. Hay normativa establecida y procedimientos para garantizar la reacción profesional ante los incidentes. Se ejerce un mantenimiento regular. Las oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido (o no planificado). El éxito es algo más que buena suerte: se merece. Una diferencia importante entre el nivel L2 y el nivel L3 es la coordinación entre departamentos y proyectos, coordinación que no existe en el nivel L2, y que se gestiona en el nivel L3.

  • L4 - Gestionado y medible (90%)

Cuando se dispone de un sistema de medidas y métricas para conocer el desempeño (eficacia y eficiencia) de los procesos. La Dirección es capaz de establecer objetivos cualitativos a alcanzar y dispone de medios para valorar si se han alcanzado los objetivos y en qué medida. En el nivel L4 de madurez, el funcionamiento de los procesos está bajo control con técnicas estadísticas y cuantitativas. La confianza es cuantitativa, mientras que en el nivel L3, la confianza era solamente cualitativa.

  • L5 - Optimizado (100%)

El nivel L5 de madurez se centra en la mejora continua de los procesos con mejoras tecnológicas incrementales e innovadoras. Se establecen objetivos cuantitativos de mejora. Y se revisan continuamente para reflejar los cambios en los objetivos de negocio, utilizándose como indicadores en la gestión de la mejora de los procesos. En este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los procesos basada en los resultados de las medidas e indicadores.

8. Aplicación de la seguridad

36. ¿Cómo debo interpretar el concepto de sistemas que emplean contraseñas?
Se debe interpretar considerando el total de sistemas de información para las que sus usuarios se autentican mediante una contraseña que el propio usuario puede modificar a su voluntad.

9. Gestión de incidentes

52. ¿Cuáles son los niveles en los que se clasifican los incidentes de seguridad?
Los incidentes de seguridad se clasifican en 5 niveles dependiendo de su gravedad, de acuerdo a lo establecido en la Guía CCN-STIC 817 ENS. Gestión de ciberincidentes. Estos niveles son, de mayor a menor, Crítico, Muy Alto, Alto, Medio o Bajo. Solo se solicita información de aquellos que tienen un impacto significativo que incluye las categorías (alto, muy alto y crítico). Ver sección 2.2 de la guía CCNSTIC 824 Informe nacional del estado de seguridad de los sistemas TIC.

10. Indicadores clave de riesgo

54. ¿Cómo debo interpretar el concepto de equipos de usuario en los que la configuración y su gestión están bajo el control exclusivo de los técnicos del organismo?
Se debe interpretar como aquellos equipos en los que el usuario no tiene privilegios de administración sobre el equipo.

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT