3. Otras disposiciones. . (2025/77-45)
Resolución de 16 de abril de 2025, de la Oficina Andaluza contra el Fraude y la Corrupción, por la que se da publicidad a las normas que regulan la política de seguridad de la información en la institución, prevista por el Esquema Nacional de Seguridad.
17 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 77 - Jueves, 24 de abril de 2025
página 5734/4
4. Objetivos de seguridad de la información.
Se establecen como objetivos de seguridad de la información los siguientes:
I. Garantizar la calidad y la protección de la información y los servicios.
II. Lograr la plena concienciación de los usuarios respecto a la seguridad de la
información.
III. Gestionar los activos de información, bajo un inventario, clasificación y asignación
de un responsable.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
básico establecidas por el Anexo II del ENS, así como otras medidas adicionales que
pudiesen ser necesarias tras realizar el análisis de riesgos.
○ Medidas de detección. Se establecerán mecanismos de detección, comunicación
y gestión de incidentes de seguridad, de manera que cualquier incidente pudiese ser
detectado y tratado en el menor tiempo posible, estableciendo elementos de monitorización
y detección de anomalías y poniendo en marcha procedimientos específicos de respuestas
ante incidentes de seguridad, así como pautas para la comunicación por parte de los
usuarios de posibles incidentes de seguridad.
○ Medidas de respuesta. Se establecerán medidas de respuesta ante eventos que
pudiesen afectar a los servicios y/o la información, permitiendo:
- Responder eficazmente a los incidentes de seguridad.
- Desarrollar una reacción adecuada frente a los incidentes, reduciendo al máximo la
probabilidad de que el sistema sea comprometido en su conjunto.
- Designar un punto de contacto para comunicaciones si se detectan incidentes en
otras áreas o departamentos.
- Establecer protocolos para la coordinación e intercambio de información relacionada
con el incidente, incluyendo comunicaciones con las autoridades competentes.
3.4. Conservación. El sistema deberá garantizar, sin perjuicio de los principios básicos
o requisitos mínimos que se establecen a través de la presente PSI, la conservación de
los datos e información en soporte electrónico que se encuentre dentro del alcance del
ENS. Esta medida ayudará a garantizar también la disponibilidad de los servicios durante
todo el ciclo de vida de la información.
3.5. Existencia de líneas de defensa. Se debe establecer una estrategia de seguridad
robusta, los sistemas deben disponer de una protección basada en líneas de defensa,
creando múltiples capas de seguridad que interactuen y operen desde distintas esferas
para permitir el desarrollo continuo y cíclico de medidas de seguridad para evitar que
un incidente de seguridad afecte al sistema de información. De esta manera, cuando
una capa se viese comprometida, existirán más capas permitiendo poder reaccionar
ante aquellos incidentes que no pudiesen evitarse, reduciendo la probabilidad de que
el sistema se comprometa en su totalidad, minimizando el impacto final sobre el mismo.
Dichas líneas de defensa estarán constituídas por medidas de naturaleza organizativa,
física y lógica.
3.6. Vigilancia continua y reevaluación periódica. Existirán procesos de vigilancia
continua, de manera que se puedan detectar actividades o comportamientos anómalo
para darles respuesta rápidamente. Además, deberá existir una evaluación permanente
del estado de seguridad de los activos que permita medir su evolución, de manera que se
detecte vulnerabilidades y se puedan identificar posibles deficiencias de configuración, de
manera que también se reevalúen y actualicen las medidas de seguridad periódicamente
para adecuarlas tanto a la evolución de riesgos como de los sistemas de protección.
3.7. Diferenciación de responsabilidades. En los sistemas de información se
establecerán una separación de funciones y responsabilidades en la gestión de seguridad
de la información, de manera que se asegure la calidad del sistema de información y
se eviten posibles conflictos de intereses, asegurando la estabilidad de la seguridad,
mediante actuaciones coordinadas entre todos los roles implicados.
Boletín Oficial de la Junta de Andalucía
Número 77 - Jueves, 24 de abril de 2025
página 5734/4
4. Objetivos de seguridad de la información.
Se establecen como objetivos de seguridad de la información los siguientes:
I. Garantizar la calidad y la protección de la información y los servicios.
II. Lograr la plena concienciación de los usuarios respecto a la seguridad de la
información.
III. Gestionar los activos de información, bajo un inventario, clasificación y asignación
de un responsable.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
básico establecidas por el Anexo II del ENS, así como otras medidas adicionales que
pudiesen ser necesarias tras realizar el análisis de riesgos.
○ Medidas de detección. Se establecerán mecanismos de detección, comunicación
y gestión de incidentes de seguridad, de manera que cualquier incidente pudiese ser
detectado y tratado en el menor tiempo posible, estableciendo elementos de monitorización
y detección de anomalías y poniendo en marcha procedimientos específicos de respuestas
ante incidentes de seguridad, así como pautas para la comunicación por parte de los
usuarios de posibles incidentes de seguridad.
○ Medidas de respuesta. Se establecerán medidas de respuesta ante eventos que
pudiesen afectar a los servicios y/o la información, permitiendo:
- Responder eficazmente a los incidentes de seguridad.
- Desarrollar una reacción adecuada frente a los incidentes, reduciendo al máximo la
probabilidad de que el sistema sea comprometido en su conjunto.
- Designar un punto de contacto para comunicaciones si se detectan incidentes en
otras áreas o departamentos.
- Establecer protocolos para la coordinación e intercambio de información relacionada
con el incidente, incluyendo comunicaciones con las autoridades competentes.
3.4. Conservación. El sistema deberá garantizar, sin perjuicio de los principios básicos
o requisitos mínimos que se establecen a través de la presente PSI, la conservación de
los datos e información en soporte electrónico que se encuentre dentro del alcance del
ENS. Esta medida ayudará a garantizar también la disponibilidad de los servicios durante
todo el ciclo de vida de la información.
3.5. Existencia de líneas de defensa. Se debe establecer una estrategia de seguridad
robusta, los sistemas deben disponer de una protección basada en líneas de defensa,
creando múltiples capas de seguridad que interactuen y operen desde distintas esferas
para permitir el desarrollo continuo y cíclico de medidas de seguridad para evitar que
un incidente de seguridad afecte al sistema de información. De esta manera, cuando
una capa se viese comprometida, existirán más capas permitiendo poder reaccionar
ante aquellos incidentes que no pudiesen evitarse, reduciendo la probabilidad de que
el sistema se comprometa en su totalidad, minimizando el impacto final sobre el mismo.
Dichas líneas de defensa estarán constituídas por medidas de naturaleza organizativa,
física y lógica.
3.6. Vigilancia continua y reevaluación periódica. Existirán procesos de vigilancia
continua, de manera que se puedan detectar actividades o comportamientos anómalo
para darles respuesta rápidamente. Además, deberá existir una evaluación permanente
del estado de seguridad de los activos que permita medir su evolución, de manera que se
detecte vulnerabilidades y se puedan identificar posibles deficiencias de configuración, de
manera que también se reevalúen y actualicen las medidas de seguridad periódicamente
para adecuarlas tanto a la evolución de riesgos como de los sistemas de protección.
3.7. Diferenciación de responsabilidades. En los sistemas de información se
establecerán una separación de funciones y responsabilidades en la gestión de seguridad
de la información, de manera que se asegure la calidad del sistema de información y
se eviten posibles conflictos de intereses, asegurando la estabilidad de la seguridad,
mediante actuaciones coordinadas entre todos los roles implicados.
