PDF de programación - ESQUEMA NACIONAL DE SEGURIDAD GESTIÓN Y USO DE DISPOSITIVOS MÓVILES

SIN CLASIFICAR



GUÍA DE SEGURIDAD

(CCN-STIC 827)

ESQUEMA NACIONAL DE SEGURIDAD
GESTIÓN Y USO DE DISPOSITIVOS

MÓVILES



MAYO 2014

SIN CLASIFICAR

CCN-STIC 827



ENS – Gestión y Uso de Dispositivos Móviles

SIN CLASIFICAR



Edita:



 Editor y Centro Criptológico Nacional, 2014
NIPO: 002-14-026-0

Fecha de Edición: mayo de 2014



El Ministerio de Hacienda y Administraciones Públicas ha financiado el desarrollo del presente documento y sus
anexos. El Sr. Carlos Galán ha participado en la elaboración del presente documento y sus anexos.


LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.



AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante
alquiler o préstamo públicos.



Centro Criptológico Nacional

2

SIN CLASIFICAR

CCN-STIC 827



ENS – Gestión y Uso de Dispositivos Móviles

SIN CLASIFICAR

PRÓLOGO

El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones,
y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la
prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones públicas.

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico
Nacional en su artículo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de
seguridad, y al empleo de tecnologías de seguridad adecuadas.

Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la existencia
de la serie de documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de
los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las
tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mínimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo
para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de
proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.


Mayo de 2014



Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional



Centro Criptológico Nacional

3

SIN CLASIFICAR

CCN-STIC 827



ENS – Gestión y Uso de Dispositivos Móviles

SIN CLASIFICAR

ÍNDICE



1.

2.

OBJETO DEL DOCUMENTO ......................................................................................................................5

ÁMBITO DE APLICACIÓN .........................................................................................................................6

3.

LOS DISPOSITIVOS MÓVILES: ASPECTOS DE SEGURIDAD ...........................................................7
3.1. CARACTERÍSTICAS GENERALES DE LOS DISPOSITIVOS MÓVILES .......................................................................... 7
3.2. LOS DISPOSITIVOS MÓVILES CONSIDERADOS EN ESTA GUÍA. ............................................................................... 7
3.3. PENETRACIÓN DE LOS DISPOSITIVOS MÓVILES Y OBJETIVOS DE SEGURIDAD .................................................... 8
3.4. LOS RIESGOS DERIVADOS DE LA MOVILIDAD ........................................................................................................... 9
3.5. EL USO DE DISPOSITIVOS MÓVILES NO-CONFIABLES ........................................................................................ 10
3.6. USO DE REDES INSEGURAS ..................................................................................................................................... 11
3.7. USO DE APLICACIONES NO-CONFIABLES ............................................................................................................. 12
3.8.
INTERCONEXIÓN CON OTROS SISTEMAS............................................................................................................... 13
3.9. USO DE CONTENIDOS NO-CONFIABLES ................................................................................................................ 14
3.10.
EL USO DE SERVICIOS DE LOCALIZACIÓN ......................................................................................................... 15

4.

LA GESTIÓN DE LOS DISPOSITIVOS MÓVILES ............................................................................... 16
4.1. TIPOS DE GESTIÓN ................................................................................................................................................... 16
4.2. GRUPOS DE MEDIDAS DE SEGURIDAD .................................................................................................................... 18

EL DESPLIEGUE DE LA SEGURIDAD DE LOS DISPOSITIVOS MÓVILES EN LOS

5.
ORGANISMOS ........................................................................................................................................................ 22
5.1.
INICIACIÓN ................................................................................................................................................................. 23
5.2. DESARROLLO ............................................................................................................................................................. 30
5.3.
IMPLANTACIÓN ......................................................................................................................................................... 31
5.4. OPERACIÓN Y MANTENIMIENTO............................................................................................................................ 33
5.5. RETIRADA .................................................................................................................................................................. 34

EL USO DE LOS DISPOSITIVOS MÓVILES EN LOS ORGANISMOS PÚBLICOS EN FUNCIÓN

6.
DE LOS NIVELES DE SEGURIDAD DEL ENS .................................................................................................. 35

ANEXO A: LA APLICACIÓN DE LAS MEDIDAS DE SEGURIDAD DEL ENS. ........................................... 39

ANEXO B: ASPECTOS DE DECISIÓN SOBRE BYOD..................................................................................... 55

ANEXO C: MODELO DE NORMATIVA DE SEGURIDAD EN EL USO DE DISPOSITIVOS MÓVILES EN
EL <<ORGANISMO>> ......................................................................................................................................... 57

ANEXO D: REFERENCIAS ................................................................................................................................... 64



Centro Criptológico Nacional

4

SIN CLASIFICAR

CCN-STIC 827



ENS – Gestión y Uso de Dispositivos Móviles

SIN CLASIFICAR

1. OBJETO DEL DOCUMENTO

1. El propósito esta Guía es establecer unas pautas de carácter general que puedan resultar de
aplicación a entidade