I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
d)
Sec. I. Pág. 49799
Amenazas físicas.
Está dirigido a destruir, inutilizar, alterar o robar activos físicos de la infraestructura
física que alberga la funciones/elementos de red.
Entre las amenazas principales destacan el sabotaje o terrorismo contra los
elementos críticos de equipamiento de red, las catástrofes naturales, el
malfuncionamiento de la red de energía y la posible sustracción de equipamiento de red
para la extracción de información sensible y su posterior explotación.
e) Escasa formación y concienciación de los empleados en materia de
ciberseguridad, así como mala praxis en la gestión de la evolución de los riesgos
identificados.
Por un lado, el hecho de que los empleados no estén concienciados en materia de
seguridad aumenta la probabilidad de ocurrencia de incidentes tales como ataques
ransomware y otro tipo de malware. La falta de formación en materia de seguridad y
operación aumenta la probabilidad de errores de configuración por desconocimiento que
expongan los activos a riesgos innecesarios.
Además de todo esto, si no se lleva a cabo un buen procedimiento de gestión de
riesgos, controlando su evolución en la red, será imposible plantear un plan de
prioridades y ejecutar las medidas de seguridad de manera eficiente.
ANEXO III
Gestión de riesgos a nivel nacional
Una vez identificadas en el anexo II las distintas amenazas que afectan
pormenorizadamente a las redes y servicios 5G, y con ello, la situación inicial de riesgo,
la siguiente fase es prever aquellas medidas de seguridad necesarias para solventar,
disminuir o paliar los riesgos identificados.
Estas medidas son:
1.
Medidas de seguridad genéricas:
1.1
Configuraciones de seguridad para el equipamiento:
a) Políticas de gestión de identidad, permitiendo garantizar tanto la autenticación
(verificar que quién accede es quién dice ser), como la autorización (acceder solo con los
privilegios que sean estrictamente necesarios) cuando se accede a los nodos.
b) Políticas de gestión del ciclo de vida del usuario.
c) Capacidades de trazabilidad y políticas de auditoría, permitiendo que quede
registrado todos los accesos (quién y cuándo se conecta y desconecta de los nodos), así
como los comandos ejecutados y las alarmas que identifican un posible fallo en el
equipo.
d) Buenas prácticas de seguridad cuando se definen y gestionan las credenciales y
accesos de los usuarios, siempre forzando que las credenciales sean robustas.
e) Capacidad de ser configurados de tal manera que no den información detallada
en el caso que falle el acceso y se establezcan políticas de bloqueo que dificulten la
obtención de credenciales.
1.1.2
Bastionado:
a) Autoprotección de los nodos, asegurándose que solo estén activos los servicios
necesarios para su correcto funcionamiento.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1.1.1 Configuraciones relacionadas con la identificación, autenticación, control,
auditoría y monitorización en el acceso al plano de gestión de los nodos. Los nodos
deben ser configurados con:
Núm. 106
Miércoles 1 de mayo de 2024
d)
Sec. I. Pág. 49799
Amenazas físicas.
Está dirigido a destruir, inutilizar, alterar o robar activos físicos de la infraestructura
física que alberga la funciones/elementos de red.
Entre las amenazas principales destacan el sabotaje o terrorismo contra los
elementos críticos de equipamiento de red, las catástrofes naturales, el
malfuncionamiento de la red de energía y la posible sustracción de equipamiento de red
para la extracción de información sensible y su posterior explotación.
e) Escasa formación y concienciación de los empleados en materia de
ciberseguridad, así como mala praxis en la gestión de la evolución de los riesgos
identificados.
Por un lado, el hecho de que los empleados no estén concienciados en materia de
seguridad aumenta la probabilidad de ocurrencia de incidentes tales como ataques
ransomware y otro tipo de malware. La falta de formación en materia de seguridad y
operación aumenta la probabilidad de errores de configuración por desconocimiento que
expongan los activos a riesgos innecesarios.
Además de todo esto, si no se lleva a cabo un buen procedimiento de gestión de
riesgos, controlando su evolución en la red, será imposible plantear un plan de
prioridades y ejecutar las medidas de seguridad de manera eficiente.
ANEXO III
Gestión de riesgos a nivel nacional
Una vez identificadas en el anexo II las distintas amenazas que afectan
pormenorizadamente a las redes y servicios 5G, y con ello, la situación inicial de riesgo,
la siguiente fase es prever aquellas medidas de seguridad necesarias para solventar,
disminuir o paliar los riesgos identificados.
Estas medidas son:
1.
Medidas de seguridad genéricas:
1.1
Configuraciones de seguridad para el equipamiento:
a) Políticas de gestión de identidad, permitiendo garantizar tanto la autenticación
(verificar que quién accede es quién dice ser), como la autorización (acceder solo con los
privilegios que sean estrictamente necesarios) cuando se accede a los nodos.
b) Políticas de gestión del ciclo de vida del usuario.
c) Capacidades de trazabilidad y políticas de auditoría, permitiendo que quede
registrado todos los accesos (quién y cuándo se conecta y desconecta de los nodos), así
como los comandos ejecutados y las alarmas que identifican un posible fallo en el
equipo.
d) Buenas prácticas de seguridad cuando se definen y gestionan las credenciales y
accesos de los usuarios, siempre forzando que las credenciales sean robustas.
e) Capacidad de ser configurados de tal manera que no den información detallada
en el caso que falle el acceso y se establezcan políticas de bloqueo que dificulten la
obtención de credenciales.
1.1.2
Bastionado:
a) Autoprotección de los nodos, asegurándose que solo estén activos los servicios
necesarios para su correcto funcionamiento.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1.1.1 Configuraciones relacionadas con la identificación, autenticación, control,
auditoría y monitorización en el acceso al plano de gestión de los nodos. Los nodos
deben ser configurados con:
