Red Seguridad 091

red seguridad cuarto trimestre 2020 19 dades y organismos; una coopera- ción basada en un valor fundamental: el intercambio de información sobre incidentes para mejorar y agilizar la detección y actuación frente a posi- bles ciberataques. Referencias 1. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Disponible en: https:// www.boe.es/boe/dias/2010/01/29/ pdfs/BOE-A-2010-1330.pdf 2. Virtual SOC: https://www.ccn.cni. es/index.php/es/ccn-cert-menu-es/ virtual-soc 3. EMMA, control de acceso a las infraestructuras de red: https:// www.ccn-cert.cni.es/soluciones- seguridad/emma.html 4. CLARA, herramienta de audito- ría de cumplimiento con el ENS: https://www.ccn-cert.cni.es/solu- ciones-seguridad/clara.html 5. INES (Informe Nacional del Estado de Seguridad): https://www.ccn -cert. cni.es/soluciones-seguridad/ines.html 6. AMPARO, asistente de Implantación de Seguridad y Conformidad del ENS: https://www.ccn-cert.cni.es/ soluciones-seguridad/amparo.html 7. ANA (Automatización y Normalización de Auditorías): https:// www.ccn-cert.cni.es/soluciones- seguridad/ana.html res, control de configuración (como es el caso de la herramienta CLARA 4 desarrollada por el CCN-CERT), la formación y capacitación de usuarios y especialistas, adopción de end- points de seguridad, operación del perímetro, etc. En paralelo, se elabora, revisa, aprueba y publica el marco normati- vo, previamente analizado, que per- mite y da pie a la implementación de las medidas técnicas anteriormente citadas. 3. Conformidad El siguiente paso que se sigue es com- probar si los sistemas han implemen- tado el marco normativo y las medidas técnicas de seguridad de acuerdo al compromiso adoptado en el Plan de Adecuación y Declaración de Aplicabilidad asociada. Sin embargo, antes de que tenga lugar esta auditoría de certificación, la entidad debe realizar una preaudi- toría interna (validación) para verificar que hay conformidad con todas las medidas del Esquema y no se detec- tan no conformidades. Revisados los sistemas por parte de la entidad, esta solicita la certificación a una enti- dad de certificación acreditada por la Entidad Nacional de Acreditación (ENAC), cuyos profesionales llevarán a cabo una revisión documental y una inspección presencial para com- probar la capacidad del sistema de garantizar la integridad, disponibili- dad, autenticidad, confidencialidad y trazabilidad de los servicios presta- dos y la información tratada, almace- nada o transmitida. Tras ello, se elabora el informe de auditoría que, de ser favorable, permitirá a la entidad obtener la cer- tificación de conformidad y, de esta manera, conseguir el reconocimiento formal a la labor realizada para su satisfacción. 4. Gestión continua de la seguridad Por último, desde el vSoC implanta- do se llevará a cabo la adecuación definitiva de las entidades vinculadas o dependientes y nuevas entidades, así como el mantenimiento y gestión de la seguridad de las entidades cer- tificadas. En este sentido, desde el vSoC se propondrán objetivos e hitos de mejora continua a corto, medio y largo plazo, a través de acciones de preven- ción, operación, respuesta, formación y mejora. Para ello, el CCN pone a dis- posición de las entidades herramien- tas que permiten realizar una gestión continua de la seguridad, como son INES (Informe Nacional del Estado de Seguridad) 5 , AMPARO (asisten- te de Implantación de Seguridad y Conformidad del ENS) 6 y ANA (Automatización y Normalización de Auditorías) 7 . Implantado y ya en operación el vSoC, todas aquellas entidades loca- les que se adscriben a este comien- zan a recibir el apoyo del CCN-CERT en la gestión de la seguridad de sus tecnologías de la información y comunicación. Este apoyo se traduce en una serie de servicios concretos, como pueden ser la asistencia en remoto y presencial en caso de inci- dente, la ayuda en su resolución, la notificación de incidentes correlados, el asesoramiento en ciberseguridad, la remisión de alertas sobre vulnera- bilidades y el análisis forense digital, etc. De esta manera, entran a formar parte de la comunidad de referencia conformada por el CCN-CERT, enti- opinión servicios esenciales monográfico Ciclo de revisión del estado de la ciberseguridad mediante la herramienta INES.