3. Otras disposiciones. . (2024/15-47)
Resolución de 21 de diciembre de 2023, de la Cámara de Cuentas de Andalucía, por la que se ordena la publicación del Informe de fiscalización sobre la gestión de la valoración de las personas con discapacidad. Ejercicio 2021.
84 páginas totales
Página
Número 15 - Lunes, 22 de enero de 2024
página 458/49
a. No se ha realizado la auditoría de seguridad que se establece en el artículo 34 del RD
3/2010.
b. No se dispone de la declaración de conformidad tal y como establece el artículo 41 del RD
3/2010 y el artículo V.5 de las Instrucciones Técnicas de Seguridad (ITS) de la Declaración
de Conformidad con el Esquema Nacional de Seguridad, relativo a la publicidad del
cumplimiento del ENS en su sede electrónica.
c. Las debilidades relativas al marco organizativo son:
• No tiene aprobados procedimientos relativos a la normativa de seguridad, que se
establece en la medida 3.2 del apartado 3.
• No tiene aprobados procedimientos de seguridad, incumpliendo con la medida 3.3 del
apartado 3 del. Se debe indicar que el Servicio de Informática ha elaborado
procedimientos internos para sus tareas diarias que no tiene carácter oficial.
d. Las debilidades relativas al marco operacional son:
• No ha realizado un análisis de riesgos tal y como se establece en la medida 4.1.1 del.
• Carece de la documentación relativa al proceso para planificar la adquisición de nuevos
componentes del sistema aprobada formalmente, incumpliendo con la medida 4.1.3.
• No cumple con los requisitos establecidos sobre la existencia de identificadores
singulares para usuarios que tengan diferentes roles frente al sistema, tal y como se los
apartados 1, 2 y 4b), de la medida 4.2.1
• No cuenta con un desarrollo de las funciones del sistema de control de acceso,
establecidas en la medida 4.2.3.
• La medida 4.2.4 establece los derechos de acceso de cada usuario y los límites de los
mismos. Los responsables de cada unidad son los que otorgan los permisos que han de
poseer los diferentes usuarios de los sistemas. No existe evidencia de un procedimiento
formal que recoja todos los requisitos establecidos en la norma.
• La medida 4.2.5, en el punto a) de la Categoría MEDIA, indica que se exigirá el uso de al
menos dos factores de autenticación. Durante el acceso a la aplicación SISS aplicación
se utiliza un certificado o un usuario y contraseña, no empleando doble factor.
• Se ha comprobado que, tras la autenticación de los usuarios en el sistema operativo,
no aparece un mensaje indicando la última vez que se autenticó dicho usuario y
directamente entra en el escritorio, incumpliendo de esta forma con la medida 4.2.6.
• Carece de una política específica destinada a garantizar la seguridad del sistema cuando
accedan remotamente usuarios u otras entidades, establecidas en la medida 4.2.7.
• No dispone de una política específica destinada procedimiento de configuración de la
seguridad, establecidas en la medida 4.3.2.
• No cuenta con una política específica destinada procedimiento de configuración de los
componentes del sistema, establecidas en la medida 4.3.3.
• En la medida 4.3.4 se establecen las pautas para mantener el equipamiento físico y
lógico que constituye el sistema. No puede dar cumplimiento a la atención de las
especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los
puestos de usuario al ser equipos ensamblados por integradores. Por otro lado, se
incumple la actualización de los parches, tanto de seguridad como de mejora de
funciones, en un sistema concreto como es GNU/Linux.
• No se han habilitado registros de la actividad de los usuarios y, por lo tanto, no se
realizan revisiones periódicas buscando patrones anormales, tal y como establece la
medida 4.3.8.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00295528
BOJA
Boletín Oficial de la Junta de Andalucía
página 458/49
a. No se ha realizado la auditoría de seguridad que se establece en el artículo 34 del RD
3/2010.
b. No se dispone de la declaración de conformidad tal y como establece el artículo 41 del RD
3/2010 y el artículo V.5 de las Instrucciones Técnicas de Seguridad (ITS) de la Declaración
de Conformidad con el Esquema Nacional de Seguridad, relativo a la publicidad del
cumplimiento del ENS en su sede electrónica.
c. Las debilidades relativas al marco organizativo son:
• No tiene aprobados procedimientos relativos a la normativa de seguridad, que se
establece en la medida 3.2 del apartado 3.
• No tiene aprobados procedimientos de seguridad, incumpliendo con la medida 3.3 del
apartado 3 del. Se debe indicar que el Servicio de Informática ha elaborado
procedimientos internos para sus tareas diarias que no tiene carácter oficial.
d. Las debilidades relativas al marco operacional son:
• No ha realizado un análisis de riesgos tal y como se establece en la medida 4.1.1 del.
• Carece de la documentación relativa al proceso para planificar la adquisición de nuevos
componentes del sistema aprobada formalmente, incumpliendo con la medida 4.1.3.
• No cumple con los requisitos establecidos sobre la existencia de identificadores
singulares para usuarios que tengan diferentes roles frente al sistema, tal y como se los
apartados 1, 2 y 4b), de la medida 4.2.1
• No cuenta con un desarrollo de las funciones del sistema de control de acceso,
establecidas en la medida 4.2.3.
• La medida 4.2.4 establece los derechos de acceso de cada usuario y los límites de los
mismos. Los responsables de cada unidad son los que otorgan los permisos que han de
poseer los diferentes usuarios de los sistemas. No existe evidencia de un procedimiento
formal que recoja todos los requisitos establecidos en la norma.
• La medida 4.2.5, en el punto a) de la Categoría MEDIA, indica que se exigirá el uso de al
menos dos factores de autenticación. Durante el acceso a la aplicación SISS aplicación
se utiliza un certificado o un usuario y contraseña, no empleando doble factor.
• Se ha comprobado que, tras la autenticación de los usuarios en el sistema operativo,
no aparece un mensaje indicando la última vez que se autenticó dicho usuario y
directamente entra en el escritorio, incumpliendo de esta forma con la medida 4.2.6.
• Carece de una política específica destinada a garantizar la seguridad del sistema cuando
accedan remotamente usuarios u otras entidades, establecidas en la medida 4.2.7.
• No dispone de una política específica destinada procedimiento de configuración de la
seguridad, establecidas en la medida 4.3.2.
• No cuenta con una política específica destinada procedimiento de configuración de los
componentes del sistema, establecidas en la medida 4.3.3.
• En la medida 4.3.4 se establecen las pautas para mantener el equipamiento físico y
lógico que constituye el sistema. No puede dar cumplimiento a la atención de las
especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los
puestos de usuario al ser equipos ensamblados por integradores. Por otro lado, se
incumple la actualización de los parches, tanto de seguridad como de mejora de
funciones, en un sistema concreto como es GNU/Linux.
• No se han habilitado registros de la actividad de los usuarios y, por lo tanto, no se
realizan revisiones periódicas buscando patrones anormales, tal y como establece la
medida 4.3.8.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00295528
BOJA
Boletín Oficial de la Junta de Andalucía
