III. Otras disposiciones. CORTES GENERALES. Fiscalizaciones. (BOE-A-2023-6150)
Resolución de 29 de noviembre de 2022, aprobada por la Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en relación con el Informe de fiscalización horizontal de la imposición y el cobro de sanciones en entidades con funciones de regulación y supervisión de mercados, ejercicios 2017 y 2018.
82 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 57
Miércoles 8 de marzo de 2023
Sec. III. Pág. 34787
por años ni por nombre. Al introducir en la búsqueda avanzada el nombre de un infractor, en un
apartado relativo a “información que se tiene sobre entidades”, no se incluye información sobre las
sanciones impuestas.
II.1.5. Análisis de la automatización de los procesos y de los sistemas informáticos
utilizados por las entidades fiscalizadas para la tramitación y cobro de las sanciones
II.1.5.1. EN LA CNMC
2.100. La CNMC monitoriza proactivamente, en relación con el Esquema Nacional de Seguridad
(ENS), el tráfico de red y los servidores para detectar comportamientos anómalos. En 2019
formalizó un contrato de servicios de seguridad que, entre otros componentes, incluía un servicio
de monitorización desde el CyberSOC1 de la empresa adjudicataria. Existe un SIEM (sistema de
gestión de información y eventos de seguridad) que analiza los logs de los servidores para
detectar comportamientos anómalos y generar alertas al CyberSOC.
2.101. La CNMC cuenta con personal especializado en seguridad informática. Así, en la Oficina
Técnica de Seguridad (área encuadrada dentro de la Subdirección de Sistemas y Tecnologías de
la Información y las Comunicaciones) cuenta, en la actualidad, con tres personas. Este equipo se
ocupa de forma expresa de la seguridad y de impulsar el avance en la implantación del ENS en la
Comisión.
2.102. El acceso a la aplicación WECO, herramienta informática utilizada por la CNMC para la
gestión de la tramitación y el seguimiento del estado de los diferentes procedimientos
sancionadores, se realiza utilizando el protocolo https, por lo que el tráfico entre el navegador del
usuario y el frontend se encuentra cifrado. Además el intercambio de ficheros utiliza el protocolo
sFTP para acceder al repositorio de documentos desde el backend. Además, tanto la parte
frontend como backend se encuentran en el mismo servidor, por lo que no se produce tráfico entre
estas dos capas.
2.103. La aplicación WECO, en el ámbito referente a los procedimientos sancionadores, y debido
a la información que maneja y los servicios que presta la aplicación, se ha categorizado como de
nivel medio en el ENS. La CNMC ha elaborado un plan de auditorías y realiza auditorías
periódicas de la aplicación. La última auditoría de seguridad sobre WECO fue realizada en
septiembre de 2020.
2.104. La CNMC cuenta con un sistema de control del acceso a los papeles impresos en las
impresoras, de tal forma que se requiere de un usuario y contraseña o tarjeta corporativa y la
presencia física en cualquiera de los equipos multifunción para poder obtener los trabajos
enviados a impresión. Existe una única impresora “virtual” a la que se envían los documentos
desde los PC. Además los trabajos enviados a imprimir y no ejecutados físicamente ante un
equipo multifunción son eliminados por la noche de la cola del servidor.
2.106. La aplicación WECO es la principal aplicación de la Comisión, utilizada para gestionar la
instrucción de los procedimientos sancionadores por el personal de la CNMC y para obtener
información sobre las denuncias presentadas, los documentos generados durante la tramitación
de los expedientes administrativos, y las notificaciones y sanciones impuestas. El desarrollo de la
Un CyberSoc es una plataforma que permite afrontar la gestión de vulnerabilidades, riesgos e incidentes
que puedan ocurrir en un sistema informático, en relación con los cuales emite informes de asesoramiento
al cliente
1
cve: BOE-A-2023-6150
Verificable en https://www.boe.es
2.105. No se controla la seguridad de dispositivos móviles mediante sistemas MDM (Mobile
Device Management) que aseguren el cumplimiento de unas políticas de seguridad.
Núm. 57
Miércoles 8 de marzo de 2023
Sec. III. Pág. 34787
por años ni por nombre. Al introducir en la búsqueda avanzada el nombre de un infractor, en un
apartado relativo a “información que se tiene sobre entidades”, no se incluye información sobre las
sanciones impuestas.
II.1.5. Análisis de la automatización de los procesos y de los sistemas informáticos
utilizados por las entidades fiscalizadas para la tramitación y cobro de las sanciones
II.1.5.1. EN LA CNMC
2.100. La CNMC monitoriza proactivamente, en relación con el Esquema Nacional de Seguridad
(ENS), el tráfico de red y los servidores para detectar comportamientos anómalos. En 2019
formalizó un contrato de servicios de seguridad que, entre otros componentes, incluía un servicio
de monitorización desde el CyberSOC1 de la empresa adjudicataria. Existe un SIEM (sistema de
gestión de información y eventos de seguridad) que analiza los logs de los servidores para
detectar comportamientos anómalos y generar alertas al CyberSOC.
2.101. La CNMC cuenta con personal especializado en seguridad informática. Así, en la Oficina
Técnica de Seguridad (área encuadrada dentro de la Subdirección de Sistemas y Tecnologías de
la Información y las Comunicaciones) cuenta, en la actualidad, con tres personas. Este equipo se
ocupa de forma expresa de la seguridad y de impulsar el avance en la implantación del ENS en la
Comisión.
2.102. El acceso a la aplicación WECO, herramienta informática utilizada por la CNMC para la
gestión de la tramitación y el seguimiento del estado de los diferentes procedimientos
sancionadores, se realiza utilizando el protocolo https, por lo que el tráfico entre el navegador del
usuario y el frontend se encuentra cifrado. Además el intercambio de ficheros utiliza el protocolo
sFTP para acceder al repositorio de documentos desde el backend. Además, tanto la parte
frontend como backend se encuentran en el mismo servidor, por lo que no se produce tráfico entre
estas dos capas.
2.103. La aplicación WECO, en el ámbito referente a los procedimientos sancionadores, y debido
a la información que maneja y los servicios que presta la aplicación, se ha categorizado como de
nivel medio en el ENS. La CNMC ha elaborado un plan de auditorías y realiza auditorías
periódicas de la aplicación. La última auditoría de seguridad sobre WECO fue realizada en
septiembre de 2020.
2.104. La CNMC cuenta con un sistema de control del acceso a los papeles impresos en las
impresoras, de tal forma que se requiere de un usuario y contraseña o tarjeta corporativa y la
presencia física en cualquiera de los equipos multifunción para poder obtener los trabajos
enviados a impresión. Existe una única impresora “virtual” a la que se envían los documentos
desde los PC. Además los trabajos enviados a imprimir y no ejecutados físicamente ante un
equipo multifunción son eliminados por la noche de la cola del servidor.
2.106. La aplicación WECO es la principal aplicación de la Comisión, utilizada para gestionar la
instrucción de los procedimientos sancionadores por el personal de la CNMC y para obtener
información sobre las denuncias presentadas, los documentos generados durante la tramitación
de los expedientes administrativos, y las notificaciones y sanciones impuestas. El desarrollo de la
Un CyberSoc es una plataforma que permite afrontar la gestión de vulnerabilidades, riesgos e incidentes
que puedan ocurrir en un sistema informático, en relación con los cuales emite informes de asesoramiento
al cliente
1
cve: BOE-A-2023-6150
Verificable en https://www.boe.es
2.105. No se controla la seguridad de dispositivos móviles mediante sistemas MDM (Mobile
Device Management) que aseguren el cumplimiento de unas políticas de seguridad.
