Procedimiento de Comunicación de Inicio y Cierre del Servicio de Evaluación de Seguridad

Procedimiento

A continuación, se detalla el procedimiento que deberá seguir la Oficina de Calidad Sectorial en las diferentes etapas del Servicio de Evaluación de Seguridad.

Inicio del servicio

Como requisito previo, es necesario disponer del formulario de seguridad cumplimentado para el caso de aplicaciones web y servicios web. Éste se encuentra en el portal de Desarrollo de Servicios Digitales PLT_S08-Seguridad de sistemas de información_Datos previos evaluación_v01r00.

La primera acción del procedimiento consiste en notificar la inicialización del servicio mediante el envío de un correo electrónico a los equipos implicados y/o potencialmente afectados, con el fin de garantizar la coordinación y trazabilidad de este.

El correo se enviará desde la cuenta general, en este correo se incluirán, como destinatarios, los siguientes grupos y/o responsables:

  • Equipo de Gestión de incidentes de Seguridad

  • Responsable de la USTIC establecida de cada Centro de Competencia (En el caso de que lo haya)

  • Equipo de coordinación de Sistemas establecido en cada Centro de Competencia

En el correo se incluirán, en copia, los siguientes grupos y/o responsables:

  • Gestor de la demanda establecido en el Centro de Competencia

  • Dirección del proyecto SWF-L3 por parte de ADA

  • Jefa de Proyecto SWF-L3 por parte de SOPRA

  • DP/GP correspondiente del sistema al que se le realiza el servicio

El asunto del correo electrónico será:

[CC] – [Componente] – Inicio de evaluación de seguridad

Siendo cada sigla lo siguiente:

  • CC. Prefijo asociado al centro de competencia. El objetivo es identificar de manera clara a cuál corresponde. Valores posibles:
    • PRESIDENCIA

    • UNIVERSIDADES

    • HACIENDA

    • TCD. Turismo, Cultura, Deporte, Justicia.

    • IGUALDAD

    • SALUD

    • FOMENTO

    • SOSTENIBILIDAD

  • Componente. Se corresponde con el componente/aplicación al cual se le va a realizar las pruebas de seguridad.

 

Ejemplo: [PRESIDENCIA] – [SIEL-WS] - Inicio de evaluación de seguridad.

El cuerpo o contenido del correo electrónico será:

Se van a realizar pruebas de Seguridad sobre la aplicación XXX, perteneciente al Centro de Competencias XXX, en el entorno de Pruebas:

(URL)

(Servidor:  XXX)

(Dirección IP:  XXX)

 

Las pruebas se van a realizar desde el día de hoy (dd/mm/aaaa) hasta el (dd/mm/aaaa). No obstante, si se completaran las pruebas con anterioridad, se informará vía correo del fin de estas.

La/Las IP/IPs desde donde se realizarán las pruebas es/son (XXX).

 

Finalización del servicio

Una vez finalizado el servicio se elaborarán dos informes de certificación:

  • Informe con detalle técnico. Incluirá la información detallada de cómo se han detectado las vulnerabilidades, junto con las evidencias correspondientes. Este informe será almacenado, según cada centro de competencia y debe ser accesible para DP/GP.
  • Informe sin detalle técnico: Incluirá un resumen de las vulnerabilidades detectadas, pero sin dar evidencias de su posible explotación. Estará disponible en el tiquet de la petición asociada al servicio.

 

Debido a que la información tratada en el informe es de carácter sensible, es necesario cumplir con la obligación del control ENS [mp.info2]

Para cumplir esta política hay que añadir la etiqueta “USO OFICIAL LIMITADO (TLP: AMBER)” en el campo denominado Confidencial, incluido en la Hoja de Control del propio informe. Es recomendable no emplear la etiqueta STRICT por si hubiera que escalar algún incidente detectado a algún SOC externo.

Una vez almacenado ambos informes, se procederá a gestionar el tiquet de la petición del servicio y, además, se notificará mediante un correo electrónico de la finalización del servicio.

Este correo se enviará desde la cuenta general, se incluirán, como destinatarios, los siguientes grupos y/o responsables:

  • Equipo de Gestión de incidentes de Seguridad

  • Responsable de la USTIC establecida de cada Centro de Competencia (En el caso de que lo haya)

En el correo se incluirán, en copia, los siguientes grupos y/o responsables:

  • Gestor de la demanda establecido en el Centro de Competencia

  • Dirección del proyecto SWF-L3 por parte de ADA

  • Jefa de Proyecto SWF-L3 por parte de SOPRA

  • DP/GP correspondiente del sistema al que se le realiza el servicio

El asunto del correo electrónico será:

[CC] – [Componente] – Finalización de evaluación de seguridad

Siendo cada sigla lo siguiente:

  • CC. Prefijo asociado al centro de competencia. El objetivo es identificar de manera clara a cuál corresponde. Valores posibles:
    • PRESIDENCIA

    • UNIVERSIDADES

    • HACIENDA

    • TCD. Turismo, Cultura, Deporte, Justicia

    • IGUALDAD

    • SALUD

    • FOMENTO

    • SOSTENIBILIDAD

  • Componente. Se corresponde con el componente/aplicación al cual se le va a realizar las pruebas de seguridad.

 

Ejemplo: [PRESIDENCIA] – [SIEL-WS] - Finalización de evaluación de seguridad.

El cuerpo o contenido del correo electrónico será:

Se han completado las pruebas de Seguridad de la aplicación XXX en el tiquet XXX. No se han detectado vulnerabilidades. / Las vulnerabilidades detectadas son las siguientes:

 

[En base al tipo de pruebas de seguridad realizadas, consultar el apartado ANEXO correspondiente]

Por último, para cumplir con la política ENS, es necesario establecer en el correo electrónico el nivel de confidencialidad C3\ ES Confidencial.

Interfaz de usuario gráfica, Texto, Aplicación El contenido generado por IA puede ser incorrecto.

 


FECHA ACTUALIZACIÓN

25/11/2025

Contenido interno

Esta página muestra contenido adicional si accedes con tus credenciales y tu perfil está autorizado

Índice

Te puede interesar