Número 36 - Martes, 20 de febrero de 2024

página 1358/5

Prevención: Para prevenir en la medida de lo posible que la información o los servicios
se vean afectados por incidentes de ciberseguridad, deberán implantarse las medidas
mínimas de seguridad determinadas por el ENS, así como cualquier control identificado a
través de una evaluación de amenazas y riesgos.
Detección: Se deberá monitorizar la operativa de manera continua para detectar
anomalías en los niveles de prestación de los servicios y poder actuar en consecuencia.
Se establecerán mecanismos de detección, análisis y reporte que lleguen a las personas
responsables de forma periódica y cuando se produzca una desviación significativa de
los parámetros que se hayan establecido como normales.
Respuesta: Para cumplir con este principio se deberán:
i) Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
ii) Designar puntos de contacto para las comunicaciones con respecto a incidentes
detectados en los distintos departamentos.
iii) 
Establecer protocolos para el intercambio de información relacionada con el
incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de
Respuesta a Emergencias (CERT).
Conservación: Para cumplir con este principio y para garantizar la disponibilidad de
los servicios críticos, se deberán desarrollar planes de continuidad de los sistemas TIC y
actividades de recuperación.
2. Principios particulares y responsabilidades específicas. Las directrices fundamentales
de seguridad se concretan en un conjunto de principios particulares y responsabilidades
específicas, que se configuran como objetivos instrumentales que garantizan el
cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones de la
Cámara de Cuentas en dicha materia. Se establecen los siguientes principios particulares y
responsabilidades específicas:
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas
y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de los datos de carácter personal.
b) Gestión de activos de información: Los activos de información de la Cámara
de Cuentas se encontrarán inventariados y categorizados y estarán asociados a un
responsable.
c) Seguridad ligada a las personas: Se implantarán los mecanismos necesarios
para que cualquier persona que acceda, o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas seguras,
protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los
sistemas y los activos de información que contienen dichas áreas estarán suficientemente
protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y
actualización de las Tecnologías de la Información y Comunicaciones. La información que
se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida,
teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que
garanticen su seguridad. Para proteger las redes de la Cámara de Cuentas, se analizará
el tráfico cifrado de usuarios de forma automatizada. Se realizará la excepción en este
análisis de las categorías de navegación relacionadas con datos sensibles especialmente
protegidos de acuerdo con la normativa de protección de datos vigente, siempre que sea
posible la discriminación.
f) Control de acceso: Se limitará el acceso a los activos de información por parte
de usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00297181

BOJA

Boletín Oficial de la Junta de Andalucía