3. Otras disposiciones. . (2024/15-47)
Resolución de 21 de diciembre de 2023, de la Cámara de Cuentas de Andalucía, por la que se ordena la publicación del Informe de fiscalización sobre la gestión de la valoración de las personas con discapacidad. Ejercicio 2021.
84 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 15 - Lunes, 22 de enero de 2024
página 458/50
El registro de incidentes actual, basado en la herramienta GesTIC, no registra la
trazabilidad que pueda ser usada para sustentar una demanda judicial o que pueda
llevar a cabo actuaciones disciplinarias. Además, no se analizan los incidentes para
determinar los eventos auditables, tal y como se establece en la medida 4.3.9.
• No se emplea algoritmos para la generación de las claves y carece de un procedimiento
de gestión de claves criptográficas tal como se indica en la medida 4.3.11.
• No se ha obtenido evidencia sobre el cumplimiento de las medidas [op.ext.1] y
[op.exp.7] de acuerdo con la medida 4.4.2.
• La medida 4.6.1 indica la necesidad de disponer herramientas de detección o de
prevención de intrusión. La Consejería de Igualdad, Políticas Sociales y Conciliación no
tiene implementadas este tipo de herramientas.
e. Las debilidades relativas al marco de protección son:
• El Comité de Seguridad de la Consejería de Igualdad, Políticas Sociales y Conciliación no
tiene aprobado la caracterización de los puestos de trabajo tal como se indica en la
medida 5.2.1.
• La medida 5.2.2 establece, entre otros aspectos, que se informará a cada persona que
trabaje en el sistema, de los deberes y responsabilidades de su puesto de trabajo en
materia de seguridad, donde a) se especificarán las medidas disciplinarias aplicables.
Las medidas disciplinarias no se especifican.
• No se ha contemplado los aspectos formativos en cuanto a la detección y reacción a
incidentes, especificados en la medida 5.2.4.
• No se ha aprobado la normativa que sustenta los apartados c y d especificados en la
medida 5.3.3. del Anexo II del RD 3/2010, relativos a la protección de portátiles que
sean susceptibles de salir de las instalaciones de la organización y no puedan
beneficiarse de la protección física correspondiente, con un riesgo manifiesto de
pérdida o robo.
• No se ha implantado la medida 5.3.4 ni un procedimiento documentado. Dicha medida
debe garantizar la existencia y disponibilidad de medios alternativos de tratamiento de
la información para el caso de que fallen los medios habituales.
• Carece del procedimiento documentado en la medida 5.4.3, además no puede
garantizarse que tenga implantada dicha medida. Dicha medida debe asegurarse de la
protección de la autenticidad y la integridad.
• No se puede garantizar que la criptografía se aplique a todos los dispositivos
removibles, tal y como se establece en la medida 5.5.2.
• Tal y como se establece en la medida 5.6.1, en cuanto al desarrollo de aplicaciones,
debe tomar en consideración los aspectos de seguridad a lo largo de todo el ciclo de
vida, así como tratar específicamente los datos usados en pruebas. En el ámbito
temporal de actuación, se aplica la metodología Métrica para el desarrollo de SISS, y
que tiene desplegada un marco de desarrollo de proyectos. Sin embargo, no se
contemplan los aspectos de seguridad y el trato de datos usados en pruebas.
• No se han realizado comprobaciones en materia de seguridad, ni realiza el análisis de
vulnerabilidades y las pruebas de penetración, según se establece en la medida 5.6.2.
• No han sido redactados los procedimientos relacionados con la etiquetación y el
tratamiento de la información en consideración al nivel de seguridad requerido, que se
indican en la medida 5.7.2 del apartado 5 del marco organizativo.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00295528
•
Boletín Oficial de la Junta de Andalucía
Número 15 - Lunes, 22 de enero de 2024
página 458/50
El registro de incidentes actual, basado en la herramienta GesTIC, no registra la
trazabilidad que pueda ser usada para sustentar una demanda judicial o que pueda
llevar a cabo actuaciones disciplinarias. Además, no se analizan los incidentes para
determinar los eventos auditables, tal y como se establece en la medida 4.3.9.
• No se emplea algoritmos para la generación de las claves y carece de un procedimiento
de gestión de claves criptográficas tal como se indica en la medida 4.3.11.
• No se ha obtenido evidencia sobre el cumplimiento de las medidas [op.ext.1] y
[op.exp.7] de acuerdo con la medida 4.4.2.
• La medida 4.6.1 indica la necesidad de disponer herramientas de detección o de
prevención de intrusión. La Consejería de Igualdad, Políticas Sociales y Conciliación no
tiene implementadas este tipo de herramientas.
e. Las debilidades relativas al marco de protección son:
• El Comité de Seguridad de la Consejería de Igualdad, Políticas Sociales y Conciliación no
tiene aprobado la caracterización de los puestos de trabajo tal como se indica en la
medida 5.2.1.
• La medida 5.2.2 establece, entre otros aspectos, que se informará a cada persona que
trabaje en el sistema, de los deberes y responsabilidades de su puesto de trabajo en
materia de seguridad, donde a) se especificarán las medidas disciplinarias aplicables.
Las medidas disciplinarias no se especifican.
• No se ha contemplado los aspectos formativos en cuanto a la detección y reacción a
incidentes, especificados en la medida 5.2.4.
• No se ha aprobado la normativa que sustenta los apartados c y d especificados en la
medida 5.3.3. del Anexo II del RD 3/2010, relativos a la protección de portátiles que
sean susceptibles de salir de las instalaciones de la organización y no puedan
beneficiarse de la protección física correspondiente, con un riesgo manifiesto de
pérdida o robo.
• No se ha implantado la medida 5.3.4 ni un procedimiento documentado. Dicha medida
debe garantizar la existencia y disponibilidad de medios alternativos de tratamiento de
la información para el caso de que fallen los medios habituales.
• Carece del procedimiento documentado en la medida 5.4.3, además no puede
garantizarse que tenga implantada dicha medida. Dicha medida debe asegurarse de la
protección de la autenticidad y la integridad.
• No se puede garantizar que la criptografía se aplique a todos los dispositivos
removibles, tal y como se establece en la medida 5.5.2.
• Tal y como se establece en la medida 5.6.1, en cuanto al desarrollo de aplicaciones,
debe tomar en consideración los aspectos de seguridad a lo largo de todo el ciclo de
vida, así como tratar específicamente los datos usados en pruebas. En el ámbito
temporal de actuación, se aplica la metodología Métrica para el desarrollo de SISS, y
que tiene desplegada un marco de desarrollo de proyectos. Sin embargo, no se
contemplan los aspectos de seguridad y el trato de datos usados en pruebas.
• No se han realizado comprobaciones en materia de seguridad, ni realiza el análisis de
vulnerabilidades y las pruebas de penetración, según se establece en la medida 5.6.2.
• No han sido redactados los procedimientos relacionados con la etiquetación y el
tratamiento de la información en consideración al nivel de seguridad requerido, que se
indican en la medida 5.7.2 del apartado 5 del marco organizativo.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00295528
•
