Lectura pública del tema
1. Accesibilidad, diseño universal y usabilidad
1. Accesibilidad, diseño universal y usabilidad
🎯 Idea clave
- La accesibilidad garantiza que los productos, servicios y entornos digitales sean utilizables por todas las personas, independientemente de sus capacidades físicas, sensoriales o cognitivas.
- El diseño universal busca crear soluciones que sean accesibles y útiles para el mayor número posible de usuarios sin necesidad de adaptaciones específicas.
- La usabilidad se centra en la eficacia, eficiencia y satisfacción con la que los usuarios alcanzan sus objetivos al interactuar con un sistema.
- Las normativas como WCAG 2.1, UNE 139803 y el Real Decreto 1112/2018 establecen los requisitos legales para la accesibilidad en la Administración General del Estado.
- La Ley 11/2023 refuerza la obligatoriedad de cumplir con estándares de accesibilidad en los servicios digitales públicos.
- La integración de estos conceptos mejora la inclusión, la experiencia de usuario y el cumplimiento normativo en los sistemas de información.
📚 Desarrollo
Concepto de accesibilidad. La accesibilidad en el ámbito digital se refiere a la capacidad de un sistema, producto o servicio para ser utilizado por todas las personas, incluyendo aquellas con discapacidades temporales o permanentes. Esto abarca desde la percepción de la información hasta la interacción con interfaces, asegurando que los contenidos sean comprensibles, operables y robustos. En la Administración General del Estado, la accesibilidad no es solo una recomendación técnica, sino una obligación legal que busca eliminar barreras y promover la igualdad de oportunidades en el acceso a la información pública.
Diseño universal. El diseño universal persigue la creación de entornos, productos y servicios que sean inherentemente accesibles para el mayor espectro posible de usuarios, sin requerir adaptaciones posteriores. Este enfoque se basa en siete principios fundamentales: uso equitativo, flexibilidad, simplicidad, información perceptible, tolerancia al error, bajo esfuerzo físico y tamaño adecuado para el acceso. En el contexto de los sistemas de información de la AGE, el diseño universal se aplica desde la fase de concepción, evitando soluciones que excluyan a determinados grupos de usuarios.
Usabilidad y su relación con la accesibilidad. La usabilidad se define como la medida en que un sistema puede ser utilizado por usuarios específicos para alcanzar objetivos concretos con eficacia, eficiencia y satisfacción. Aunque está estrechamente relacionada con la accesibilidad, no son conceptos idénticos: mientras la accesibilidad se enfoca en la eliminación de barreras, la usabilidad prioriza la experiencia del usuario. Sin embargo, un sistema accesible suele ser más usable, ya que ambos conceptos comparten principios como la claridad, la consistencia y la adaptabilidad a las necesidades del usuario.
Normativa aplicable. En España, la accesibilidad digital está regulada por varias normas clave. El Real Decreto 1112/2018 transpone la Directiva (UE) 2016/2102 y establece los requisitos de accesibilidad para los sitios web y aplicaciones móviles del sector público, incluyendo la AGE. Las Pautas de Accesibilidad para el Contenido Web (WCAG 2.1) proporcionan criterios técnicos detallados, organizados en tres niveles de conformidad (A, AA y AAA). La norma UNE 139803 adapta estos criterios al contexto español, mientras que la Ley 11/2023 refuerza la obligatoriedad de cumplir con estos estándares en todos los servicios digitales públicos.
Principios de las WCAG 2.1. Las WCAG 2.1 se estructuran en torno a cuatro principios fundamentales: perceptible, operable, comprensible y robusto. Cada principio incluye directrices específicas, como proporcionar alternativas textuales para contenidos no textuales, asegurar la navegabilidad mediante teclado o garantizar que los contenidos sean legibles y predecibles. Estos principios son de aplicación obligatoria en los sistemas de información de la AGE, y su cumplimiento se evalúa mediante auditorías técnicas y pruebas con usuarios reales.
Accesibilidad en la AGE. La Administración General del Estado debe garantizar que todos sus servicios digitales cumplan con los estándares de accesibilidad, no solo por exigencia legal, sino también como parte de su compromiso con la inclusión y la transparencia. Esto implica adaptar portales web, aplicaciones móviles, documentos electrónicos y cualquier otro medio de interacción con el ciudadano. Además, se promueve la formación de los empleados públicos en materia de accesibilidad y la incorporación de estos requisitos en los pliegos de contratación de servicios tecnológicos.
Beneficios del enfoque integrado. La integración de accesibilidad, diseño universal y usabilidad en los sistemas de información de la AGE aporta múltiples ventajas. Mejora la experiencia de todos los usuarios, reduce la necesidad de adaptaciones posteriores, aumenta la eficiencia en la prestación de servicios públicos y refuerza la imagen de una administración moderna y comprometida con los derechos ciudadanos. Además, el cumplimiento normativo evita sanciones y garantiza la alineación con las políticas europeas en materia de inclusión digital.
🧩 Elementos esenciales
- Accesibilidad: Capacidad de un sistema para ser utilizado por personas con discapacidad, eliminando barreras físicas, sensoriales o cognitivas.
- Diseño universal: Enfoque que busca crear soluciones accesibles para el mayor número de usuarios sin adaptaciones específicas.
- Usabilidad: Grado en que un sistema permite a los usuarios alcanzar sus objetivos con eficacia, eficiencia y satisfacción.
- WCAG 2.1: Pautas internacionales que establecen criterios técnicos para la accesibilidad web, organizados en tres niveles de conformidad.
- UNE 139803: Norma española que adapta las WCAG al contexto nacional, proporcionando directrices específicas para la accesibilidad.
- Real Decreto 1112/2018: Norma que regula la accesibilidad de los sitios web y aplicaciones móviles del sector público en España.
- Ley 11/2023: Legislación que refuerza la obligatoriedad de cumplir con estándares de accesibilidad en los servicios digitales públicos.
- Principios WCAG 2.1: Perceptible, operable, comprensible y robusto, como base para evaluar la accesibilidad de un sistema.
- Niveles de conformidad: A (mínimo), AA (recomendado) y AAA (óptimo), que determinan el grado de accesibilidad de un sistema.
- Inclusión digital: Objetivo de garantizar que todas las personas, independientemente de sus capacidades, puedan acceder a los servicios digitales.
- Auditorías de accesibilidad: Evaluaciones técnicas y pruebas con usuarios para verificar el cumplimiento de los estándares.
- Formación en accesibilidad: Capacitación de empleados públicos para integrar requisitos de accesibilidad en los sistemas de información.
🧠 Recuerda
- La accesibilidad no es opcional en la AGE: es una obligación legal y un compromiso con la inclusión.
- El diseño universal beneficia a todos los usuarios, no solo a las personas con discapacidad.
- Las WCAG 2.1 son la referencia técnica principal para evaluar la accesibilidad de los sistemas digitales.
- El Real Decreto 1112/2018 y la Ley 11/2023 son las normas clave que regulan la accesibilidad en la Administración.
- La usabilidad y la accesibilidad son conceptos complementarios, pero no idénticos.
- Un sistema accesible debe ser perceptible, operable, comprensible y robusto.
- La AGE debe garantizar la accesibilidad en todos sus servicios digitales, desde portales web hasta aplicaciones móviles.
- El cumplimiento normativo evita sanciones y mejora la imagen de la administración.
- La formación en accesibilidad es esencial para integrar estos requisitos desde la fase de diseño.
- La accesibilidad no es un añadido, sino un requisito transversal en el desarrollo de sistemas de información.
2. Acceso y usabilidad de las tecnologías, productos y servicios relacionados con la sociedad de la información
2. Acceso y usabilidad de las tecnologías, productos y servicios relacionados con la sociedad de la información
🎯 Idea clave
- El acceso a las tecnologías de la información debe garantizar la igualdad de oportunidades para todos los ciudadanos, incluyendo personas con discapacidad.
- La usabilidad se centra en diseñar productos y servicios intuitivos, eficientes y satisfactorios para el usuario final.
- Los principios de diseño universal buscan eliminar barreras tecnológicas mediante soluciones inclusivas desde el origen.
- La Administración General del Estado prioriza estándares abiertos y herramientas accesibles en sus servicios digitales.
- La confidencialidad y disponibilidad de la información son requisitos esenciales en los puestos de usuario final.
- La integración de criterios de seguridad en el desarrollo de sistemas asegura la protección de datos en entornos digitales.
📚 Desarrollo
Acceso universal. El acceso a las tecnologías de la información en la sociedad actual debe ser equitativo, eliminando barreras que puedan excluir a colectivos vulnerables. La Administración General del Estado (AGE) promueve la adopción de estándares que faciliten la interoperabilidad y el uso de herramientas accesibles, garantizando que todos los ciudadanos puedan interactuar con los servicios públicos digitales sin limitaciones técnicas o físicas.
Usabilidad como requisito. La usabilidad se define como la capacidad de un producto o servicio para ser utilizado de manera efectiva, eficiente y satisfactoria por sus usuarios. En el ámbito de la AGE, esto implica diseñar interfaces intuitivas, con flujos de trabajo claros y adaptados a las necesidades de los ciudadanos. La evaluación de la usabilidad incluye pruebas con usuarios reales para identificar y corregir posibles obstáculos en la interacción.
Diseño universal aplicado. El diseño universal busca crear soluciones tecnológicas que sean utilizables por el mayor número de personas posible, sin necesidad de adaptaciones posteriores. En el contexto de la AGE, esto se traduce en la implementación de pautas como el uso de contrastes adecuados, textos legibles, navegación por teclado y compatibilidad con tecnologías de asistencia, como lectores de pantalla o dispositivos de entrada alternativos.
Estándares y normativa. La AGE se rige por normativas como el Esquema Nacional de Interoperabilidad (ENI) y el Esquema Nacional de Seguridad (ENS), que establecen requisitos técnicos para garantizar la accesibilidad y la seguridad en los servicios digitales. Estos marcos normativos exigen que los productos y servicios cumplan con estándares internacionales, como las Pautas de Accesibilidad para el Contenido Web (WCAG), para asegurar su compatibilidad con diferentes dispositivos y plataformas.
Confidencialidad y disponibilidad. En los puestos de usuario final, la confidencialidad de la información se protege mediante mecanismos como el cifrado de datos, la autenticación multifactor y el control de accesos. La disponibilidad, por su parte, se garantiza mediante infraestructuras redundantes, copias de seguridad y protocolos de recuperación ante incidencias. Estos aspectos son críticos en entornos administrativos, donde la pérdida o filtración de datos puede tener consecuencias legales y operativas.
Seguridad en el desarrollo. La integración de criterios de seguridad desde las fases iniciales del desarrollo de sistemas es fundamental para prevenir vulnerabilidades. La AGE aplica metodologías como DevSecOps, que incorporan pruebas de seguridad automatizadas, revisiones de código y auditorías periódicas. Esto asegura que los productos y servicios digitales cumplan con los requisitos de protección de datos y resistencia a ciberamenazas.
Herramientas corporativas. La AGE utiliza herramientas como LDAP para la gestión de identidades y Kubernetes para la orquestación de contenedores, lo que facilita la integración de soluciones accesibles y seguras. Además, se priorizan soluciones autoalojadas o de código abierto para mantener la soberanía tecnológica y reducir dependencias externas. La colaboración entre organismos en proyectos transversales refuerza la coherencia y la eficiencia en la implementación de estas tecnologías.
Formación y concienciación. La capacitación de los empleados en el uso de tecnologías accesibles y seguras es un pilar fundamental. La AGE promueve programas de formación en metodologías ágiles, herramientas de desarrollo colaborativo y buenas prácticas en ciberseguridad. Esto asegura que los técnicos auxiliares de informática puedan apoyar eficazmente a los equipos de desarrollo y garantizar el cumplimiento de los estándares establecidos.
🧩 Elementos esenciales
- Accesibilidad: Capacidad de un producto o servicio para ser utilizado por personas con discapacidad, cumpliendo estándares como WCAG.
- Usabilidad: Grado en que un sistema puede ser utilizado de manera eficiente, efectiva y satisfactoria por sus usuarios.
- Diseño universal: Enfoque que busca crear soluciones tecnológicas utilizables por el mayor número de personas sin adaptaciones.
- Estándares abiertos: Tecnologías basadas en especificaciones públicas que garantizan la interoperabilidad y evitan dependencias de proveedores.
- Confidencialidad: Protección de la información para que solo sea accesible por personas autorizadas.
- Disponibilidad: Garantía de que los sistemas y datos estén accesibles cuando se necesiten, incluso ante incidencias.
- Autenticación multifactor: Mecanismo de seguridad que requiere dos o más métodos de verificación para acceder a un sistema.
- Cifrado de datos: Técnica que protege la información mediante algoritmos que la hacen ilegible para terceros no autorizados.
- DevSecOps: Metodología que integra la seguridad en todas las fases del desarrollo de software, desde el diseño hasta la implementación.
- Tecnologías de asistencia: Herramientas como lectores de pantalla o teclados adaptados que facilitan el acceso a personas con discapacidad.
- Esquema Nacional de Seguridad (ENS): Marco normativo que establece los requisitos de seguridad en los sistemas de información de la AGE.
- Esquema Nacional de Interoperabilidad (ENI): Normativa que garantiza la compatibilidad y el intercambio de información entre sistemas de la Administración.
🧠 Recuerda
- El acceso a las tecnologías debe ser equitativo y sin barreras para todos los ciudadanos.
- La usabilidad mejora la experiencia del usuario y reduce errores en la interacción con los servicios digitales.
- El diseño universal evita la necesidad de adaptaciones posteriores al crear soluciones inclusivas desde el origen.
- Los estándares como WCAG y las normativas ENS y ENI son clave para garantizar la accesibilidad y seguridad en la AGE.
- La confidencialidad y disponibilidad de la información son requisitos críticos en los puestos de usuario final.
- La seguridad debe integrarse desde las primeras fases del desarrollo de sistemas, no como una capa añadida posteriormente.
- Las herramientas corporativas como LDAP y Kubernetes facilitan la implementación de soluciones accesibles y seguras.
- La formación en metodologías ágiles y buenas prácticas de seguridad es esencial para los técnicos auxiliares de informática.
- La soberanía tecnológica se promueve mediante el uso de soluciones autoalojadas o de código abierto.
- La colaboración entre organismos refuerza la coherencia y eficiencia en la implementación de tecnologías accesibles.
3. Confidencialidad y disponibilidad de la información en puestos de usuario final
3. Confidencialidad y disponibilidad de la información en puestos de usuario final
🎯 Idea clave
- La confidencialidad garantiza que la información solo sea accesible para usuarios autorizados en los puestos de trabajo.
- La disponibilidad asegura que los datos estén accesibles cuando sean necesarios para el desempeño de funciones administrativas.
- Los puestos de usuario final son puntos críticos de exposición a riesgos de seguridad en la Administración General del Estado.
- Las medidas técnicas y organizativas deben equilibrar protección y operatividad en entornos de trabajo reales.
- La gestión de permisos y el cifrado son herramientas clave para preservar la confidencialidad en terminales de usuario.
- La redundancia y las copias de seguridad son esenciales para garantizar la disponibilidad ante fallos o incidentes.
📚 Desarrollo
Definición de confidencialidad. La confidencialidad en puestos de usuario final se refiere a la protección de la información contra accesos no autorizados, tanto internos como externos. En la Administración General del Estado, esto implica que solo el personal con permisos explícitos puede acceder a datos sensibles, como expedientes administrativos o información personal de ciudadanos. La implementación de controles de acceso basados en roles (RBAC) es una práctica habitual para limitar la exposición de la información.
Disponibilidad como requisito operativo. La disponibilidad asegura que los sistemas y datos estén accesibles en el momento en que los usuarios finales los necesiten para realizar sus funciones. En entornos administrativos, la interrupción del acceso a la información puede paralizar trámites esenciales, como la gestión de subvenciones o la atención al ciudadano. Por ello, se emplean mecanismos como sistemas redundantes, balanceadores de carga y planes de contingencia para minimizar el tiempo de inactividad.
Riesgos en puestos de usuario final. Los terminales de trabajo son especialmente vulnerables a amenazas como el phishing, el malware o el acceso físico no autorizado. La confidencialidad puede verse comprometida por prácticas inadecuadas, como el uso de contraseñas débiles o la falta de cifrado en dispositivos portátiles. La disponibilidad, por su parte, puede verse afectada por fallos de hardware, cortes de red o ataques de denegación de servicio (DoS). La concienciación del usuario y la aplicación de políticas de seguridad son fundamentales para mitigar estos riesgos.
Medidas técnicas para la confidencialidad. Entre las soluciones técnicas más utilizadas se encuentran el cifrado de discos duros, la autenticación multifactor (MFA) y la segmentación de redes. El cifrado protege los datos almacenados en caso de robo o pérdida de dispositivos, mientras que el MFA añade una capa adicional de seguridad al requerir más de un método de verificación. La segmentación de redes, por su parte, limita el acceso a recursos críticos solo a aquellos usuarios que lo necesiten para su trabajo.
Estrategias para garantizar la disponibilidad. Para asegurar la disponibilidad, la Administración General del Estado implementa soluciones como copias de seguridad automatizadas, sistemas de alimentación ininterrumpida (SAI) y entornos de recuperación ante desastres. Las copias de seguridad deben realizarse con frecuencia y almacenarse en ubicaciones seguras, preferiblemente fuera de las instalaciones principales. Los SAI protegen contra cortes de suministro eléctrico, mientras que los planes de recuperación ante desastres permiten restaurar los sistemas en el menor tiempo posible tras un incidente.
Políticas organizativas. Además de las medidas técnicas, es esencial establecer políticas claras que regulen el uso de los puestos de trabajo. Estas políticas deben incluir directrices sobre el manejo de información sensible, la gestión de contraseñas y la obligación de bloquear los terminales al ausentarse. La formación periódica del personal en buenas prácticas de seguridad es un complemento indispensable para reducir errores humanos, que son una de las principales causas de incidentes de confidencialidad y disponibilidad.
Cumplimiento normativo. La confidencialidad y la disponibilidad están reguladas por normativas como el Esquema Nacional de Seguridad (ENS), que establece requisitos específicos para la protección de la información en el sector público. El ENS exige la implementación de medidas de seguridad proporcionales al nivel de clasificación de los datos, así como la realización de auditorías periódicas para verificar su cumplimiento. El incumplimiento de estas obligaciones puede acarrear sanciones y, lo que es más importante, poner en riesgo la confianza de los ciudadanos en la Administración.
🧩 Elementos esenciales
- Confidencialidad: Protección de la información contra accesos no autorizados mediante controles de acceso y cifrado.
- Disponibilidad: Accesibilidad de los datos cuando sean necesarios, garantizada por redundancia y copias de seguridad.
- Autenticación multifactor (MFA): Método de verificación que combina dos o más factores para aumentar la seguridad en el acceso.
- Cifrado de datos: Técnica que protege la información almacenada o transmitida mediante algoritmos criptográficos.
- Segmentación de redes: División de la red en segmentos para limitar el acceso a recursos críticos.
- Copias de seguridad: Proceso de duplicación de datos para su recuperación en caso de pérdida o corrupción.
- Sistemas de alimentación ininterrumpida (SAI): Dispositivos que proporcionan energía temporal durante cortes eléctricos.
- Políticas de seguridad: Conjunto de normas y procedimientos que regulan el uso de los sistemas y la información.
- Formación en seguridad: Actividades destinadas a concienciar y capacitar al personal en buenas prácticas de protección de datos.
- Esquema Nacional de Seguridad (ENS): Marco normativo que establece requisitos de seguridad para la Administración Pública.
- Recuperación ante desastres: Planes y procedimientos para restaurar los sistemas tras un incidente grave.
- Control de acceso basado en roles (RBAC): Modelo que asigna permisos según las funciones del usuario en la organización.
🧠 Recuerda
- La confidencialidad y la disponibilidad son dos pilares fundamentales de la seguridad de la información en puestos de usuario final.
- Los terminales de trabajo son puntos críticos de exposición a riesgos, por lo que requieren medidas técnicas y organizativas específicas.
- El cifrado y la autenticación multifactor son herramientas clave para proteger la confidencialidad.
- La redundancia y las copias de seguridad son esenciales para garantizar la disponibilidad de los datos.
- Las políticas de seguridad y la formación del personal son tan importantes como las soluciones técnicas.
- El Esquema Nacional de Seguridad (ENS) establece requisitos obligatorios para la protección de la información en la Administración.
- La segmentación de redes y el control de acceso basado en roles ayudan a limitar la exposición de la información.
- Los planes de recuperación ante desastres deben estar actualizados y probados periódicamente.
- La concienciación del usuario es fundamental para reducir errores humanos que comprometan la seguridad.
- El equilibrio entre seguridad y operatividad es clave para no obstaculizar el trabajo diario de los empleados públicos.
4. Conceptos de seguridad en el desarrollo de los sistemas
4. Conceptos de seguridad en el desarrollo de los sistemas
🎯 Idea clave
- La seguridad en el desarrollo de sistemas es un proceso transversal que debe integrarse desde las fases iniciales del ciclo de vida del software.
- Los principios de confidencialidad, integridad y disponibilidad (CID) guían las medidas de protección en entornos de desarrollo.
- La seguridad por diseño implica adoptar buenas prácticas como la revisión de código, el escaneo de vulnerabilidades y la gestión de permisos.
- Los repositorios de código deben implementar mecanismos de autenticación robusta, como la autenticación multifactor (MFA), para prevenir accesos no autorizados.
- La gestión de incidencias y la documentación de seguridad son elementos clave para garantizar la trazabilidad y la mejora continua.
- La Administración General del Estado prioriza soluciones que cumplan con el Esquema Nacional de Seguridad (ENS) y promuevan la soberanía tecnológica.
📚 Desarrollo
Integración de la seguridad en el ciclo de desarrollo. La seguridad no debe tratarse como una fase aislada, sino como un componente esencial en todas las etapas del desarrollo de sistemas. Esto incluye desde el diseño inicial hasta el despliegue y mantenimiento, asegurando que los riesgos se identifiquen y mitiguen de manera proactiva. En la AGE, esta integración se alinea con los requisitos del Esquema Nacional de Seguridad (ENS), que establece directrices para proteger la información en entornos públicos.
Revisión de código y control de cambios. La revisión de código mediante pull requests o merge requests permite detectar vulnerabilidades antes de que el software llegue a producción. Este proceso incluye comentarios en línea y la validación por parte de otros desarrolladores, lo que mejora la calidad y la seguridad del código. Además, la gestión de ramas (branching) y la fusión (merging) deben seguir políticas claras para evitar conflictos y garantizar la estabilidad del sistema.
Escaneo de vulnerabilidades y firmas digitales. Las herramientas de escaneo automático de vulnerabilidades son fundamentales para identificar debilidades en el código, las dependencias o la configuración. En la AGE, se emplean soluciones que permiten firmar digitalmente el código, asegurando su autenticidad e integridad. Esto es especialmente relevante en proyectos de código abierto o colaborativos entre organismos, donde la procedencia del código debe ser verificable.
Autenticación y gestión de permisos. La autenticación multifactor (MFA) es un requisito básico para acceder a repositorios y herramientas de desarrollo en la AGE. Además, la gestión de permisos debe seguir el principio de mínimo privilegio, otorgando solo los accesos necesarios para cada rol. Esto reduce el riesgo de fugas de información o modificaciones no autorizadas, especialmente en entornos donde colaboran múltiples equipos o organismos.
Integración con herramientas corporativas. Los sistemas de desarrollo en la AGE deben integrarse con herramientas como LDAP para la gestión de identidades, Jira para el seguimiento de incidencias y Kubernetes para el despliegue y orquestación de aplicaciones. Esta integración garantiza que los procesos de seguridad sean coherentes con las políticas corporativas y facilita la auditoría de accesos y cambios.
Documentación y buenas prácticas. La generación automática de documentación y la creación de wikis internas son prácticas esenciales para mantener la trazabilidad de los cambios y las decisiones de seguridad. En la AGE, se promueve la adopción de metodologías ágiles y frameworks de seguridad, como DevSecOps, que incorporan la seguridad en los flujos de trabajo de desarrollo y operaciones.
Cumplimiento normativo y soberanía tecnológica. La AGE prioriza soluciones que cumplan con el ENS y el Esquema Nacional de Interoperabilidad (ENI), favoreciendo el uso de estándares abiertos y software de código abierto. Esto no solo garantiza la seguridad, sino que también promueve la independencia tecnológica y la reutilización de soluciones entre organismos.
Gestión de incidencias y mejora continua. La seguridad en el desarrollo requiere un enfoque proactivo para identificar y resolver incidencias. Los sistemas de issue tracking y los tableros Kanban permiten gestionar vulnerabilidades y mejoras de manera estructurada, asegurando que los problemas se resuelvan en plazos adecuados y con la participación de todos los actores involucrados.
🧩 Elementos esenciales
- Seguridad por diseño: Incorporar medidas de seguridad desde las fases iniciales del desarrollo, evitando soluciones reactivas.
- Revisión de código: Proceso colaborativo para detectar vulnerabilidades mediante pull/merge requests y comentarios en línea.
- Escaneo de vulnerabilidades: Uso de herramientas automáticas para identificar debilidades en el código, dependencias o configuraciones.
- Autenticación multifactor (MFA): Mecanismo obligatorio para acceder a repositorios y herramientas de desarrollo en la AGE.
- Principio de mínimo privilegio: Otorgar solo los permisos necesarios para cada rol, reduciendo riesgos de accesos no autorizados.
- Firmas digitales: Garantizar la autenticidad e integridad del código mediante firmas verificables.
- Integración con LDAP: Gestión centralizada de identidades para asegurar coherencia en los accesos y permisos.
- DevSecOps: Framework que integra la seguridad en los flujos de desarrollo y operaciones, promoviendo la automatización.
- Documentación automática: Generación de documentación técnica y de seguridad para mantener la trazabilidad de los cambios.
- Cumplimiento del ENS: Adopción de medidas alineadas con el Esquema Nacional de Seguridad para proteger la información en entornos públicos.
- Soberanía tecnológica: Priorización de soluciones autoalojadas o de código abierto para garantizar la independencia tecnológica.
- Gestión de incidencias: Uso de herramientas como Jira o tableros Kanban para resolver vulnerabilidades de manera estructurada.
🧠 Recuerda
- La seguridad en el desarrollo es un proceso continuo, no una fase aislada.
- La revisión de código y el escaneo de vulnerabilidades son herramientas clave para prevenir riesgos.
- La autenticación multifactor (MFA) es obligatoria en la AGE para acceder a repositorios.
- El principio de mínimo privilegio reduce el riesgo de accesos no autorizados.
- La integración con herramientas corporativas como LDAP y Jira facilita la gestión de la seguridad.
- La documentación y las buenas prácticas son esenciales para mantener la trazabilidad.
- El cumplimiento del ENS y el ENI es prioritario en la AGE.
- La soberanía tecnológica se promueve mediante el uso de soluciones autoalojadas o de código abierto.
- La gestión de incidencias debe ser ágil y colaborativa para garantizar la mejora continua.
- La seguridad por diseño evita costes y riesgos asociados a soluciones reactivas.