Medidas de Seguridad a implementar según el Esquema Nacional de Seguridad

Las Medidas de Seguridad que están contempladas en el Esquema Nacional de Seguridad (ENS) representan uno de los mejores métodos utilizados para proteger la información, sistemas de información y redes de cualquier organización hoy en día.

Pero, ¿cuáles son esas medidas de seguridad?

En este artículo te voy a realizar una división de todas ellas, así como una descripción de ejemplos de algunas de ellas para que puedas implementarlas en tu organización.

Si te interesa el Esquema Nacional de Seguridad, no dejes de leer este artículo con atención.

Cuáles son las medidas de seguridad contempladas en el Esquema Nacional de Seguridad

El ENS está estructurado para garantizar la protección adecuada de la información y la continuidad de los servicios electrónicos.

La normativa define un conjunto de medidas de seguridad que se recogen en el Anexo II del Real Decreto 311/2022 de 03 de mayo.

Estas medidas se pueden agrupar en tres grandes bloques:

• Marco organizativo: Este bloque abarca la definición de la política de seguridad y diferentes procedimientos de seguridad.
• Marco operacional: Se centra en el control y la explotación de los sistemas de información. Dentro de este bloque se incluyen diversas subcategorías que abarcan desde el control de acceso, la explotación, los servicios en la nube, la continuidad del servicio y la monitorización del sistema.
• Medidas de protección: Este bloque está dirigido a proteger físicamente y de manera lógica los activos de información. Comprende medidas para proteger las instalaciones e infraestructuras, la gestión del personal, la protección de equipos, comunicaciones, soportes, aplicaciones informáticas, la propia información y los servicios que se prestan.

Estas medidas se relacionan directamente con las diferentes dimensiones de seguridad:

• Confidencialidad,
• Integridad,
• Disponibilidad,
• Autenticidad

Es decir cada una de las medidas que se describen hace alusión a qué dimensión de la seguridad aplica.

A su vez estas medidas están planteadas para ser cumplidas para un tipo de categoría del sistema de información BASICA,MEDIA, ALTA.

Si quieres saber como categorizar tu sistema de información entre BÁSICA, MEDIA, ALTA según el ENS te recomiendo que leas este artículo Cómo Identificar el Nivel de categoría según el Esquema Nacional de Seguridad

Simbología en las Medidas de Seguridad del ENS

En muchas de las medidas de seguridad te encontrarás con la simbología “+R1”, “+R2”, “+R3”, “+R4”

¿qué significan los “+R1”, “+R2”, “+R3”, “+R4” cuando aparecen en una medida de seguridad?

Pues que se debe de aplicar una mayor exigencia, es decir, Refuerzos de seguridad R, que se suman al requisito base de la medida de seguridad.

Por lo tanto, dependiendo de la medida de seguridad que estés leyendo y para el nivel de categoría que aplique la medida de seguridad, deberás de aplicar además del requisito, uno varios de esos Refuerzos “+R1”, “+R2”, “+R3”, “+R4”.

Por ejemplo:

Si lees la medida de seguridad “op.pl.1 Análisis de Riesgos” verás como para la categoría MEDIA y ALTA aparecen +R1 y +R2 respectivamente.

Esto significa que los sistemas de información categorizados como MEDIA aparte del requisito, se tendrá que cumplir el Refuerzo R1.

Y para los sistemas de información categorizados como ALTA aparte del requisito, se tendrá que cumplir el Refuerzo R2.

Por otro lado, si te encuentras con [Rn o Rn+1] por ejemplo [R2 o R3], significa que puedes elegir entre aplicar un Refuerzo u otro.

El ENS emplea una codificación de colores que significa lo siguiente:

• Verde: indica que una medida se aplica en sistemas de categoría BÁSICA o superior.
• Amarillo: indica qué medidas y refuerzos empiezan a aplicar en categoría MEDIA o superior;
• Rojo: indica qué medidas o refuerzos son solo de aplicación en categoría ALTA o requieren un esfuerzo en seguridad superior al de categoría MEDIA.

Medidas de seguridad del Esquema Nacional de Seguridad – Bloque: Marco organizativo

En este bloque de medidas de seguridad se describe el cómo tienes que definir tu política de seguridad, la cual también está recogida en el artículo 12 del ENS.

Además también describe una serie de documentos que deben tener las organizaciones para contemplar:

• El uso correo de equipos y servicios.
• Responsabilidad del personal respecto al cumplimiento o violación de la normativa: derechos, deberes y medidas disciplinarias.

Por último se incluyen procesos formales que deben tener las organizaciones para describir el cómo se llevan a cabo las autorizaciones en:

• La instalación de aplicaciones.
• Puesta en producción de equipos.
• Establecimiento de medios de comunicación.
• etc.

Medidas de seguridad del Esquema Nacional de Seguridad – Bloque: Marco operacional

El marco operacional incluye procesos fundamentales como:

• La planificación y ejecución del análisis de riesgos.
• Controles de accesos físicos y lógicos.
• Gestión de procesos operativos en explotación o producción.
• Gestión de contratación externa
• Continuidad del servicio.
• Monitorización del sistema.

Son medidas de seguridad muy relacionadas con la operación y explotación de los servicios de una organización.

Medidas de Seguridad Marco operacional – Planificación

Este bloque incluye medidas como:

• El realizar un análisis de riesgos
• Describir la arquitectura de seguridad.
• Como dimensionas y gestionas la capacidad.
• Cómo comprar componentes (productos y servicios) certificados por el ENS.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los controles y registros específicos que deberás de tener implementados son:

• Un análisis de riesgos en el que tengas en cuenta las 5 dimensiones de seguridad.
• Describir un procedimiento y demostrar cómo calculas la capacidad de tu organización para entregar tu servicio al mercado.
• La certificación de los componentes que has comprado y que forman parte de la arquitectura de seguridad de la organización.

Medidas de Seguridad Marco operacional – Control de acceso

El control de acceso es una de las medidas más críticas dentro del marco operacional.

¿Por qué?

Pues porque debes garantizar que sólo las personas y procesos autorizados accedan a los sistemas de información para prevenir intrusiones, fugas de datos y otros incidentes de seguridad.

El control de acceso implica que debes de implementar mecanismos que limiten el acceso a la información y sistemas a usuarios, procesos, dispositivos o sistemas autorizados. Esto incluye:

• Sistemas de autenticación que sean robustos.
• Políticas de gestión de contraseñas y autenticación multifactor.
• Registro y monitoreo de los accesos.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los controles y registros específicos que exigen estas medidas son:

• Registro de accesos: Un registro detallado donde se documente quién, cuándo y desde dónde se accede a cada sistema o dato sensible.
• Políticas de acceso: Documentos normativos que establezcan los criterios y procedimientos para la concesión, modificación y revocación de permisos.
• Auditorías de acceso: Registros de auditorías periódicas que verifiquen que solo se están dando accesos a usuarios autorizados.

Cómo podrías elaborar estos registros:

1. Definiendo roles: Identificar y clasificar a los usuarios en función de las funciones y el nivel de acceso necesario.
2. Implementando procesos de autenticación: Seleccionar e implementar herramientas que permitan la verificación de identidad, como contraseñas seguras y autenticación de dos factores.
3. Documentando y haciendo seguimiento: Crear y mantener un registro actualizado de los accesos, que incluya fechas, horas, usuarios, y actividades realizadas.
4. Revisiones periódicas: Realizar auditorías regulares para identificar y corregir accesos indebidos o superfluos.

 Medidas de Seguridad Marco operacional – Explotación

La explotación se refiere al conjunto de medidas y controles que aseguran la operación diaria de los sistemas de información.

Estas medidas garantizan que el sistema funcione de forma segura y estable

Dentro de las medidas de seguridad de explotación se incluyen, entre otros aspectos:

• Los procedimientos para la operación y mantenimiento de los sistemas.
• Las políticas de actualización y revisión periódica de la seguridad.
• Los mecanismos para la detección temprana de fallos o incidentes.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los controles y registros específicos que exigen estas medidas son:

• Registro de operaciones: Documentación de todas las actividades operativas que se realizan en el sistema, incluyendo mantenimientos, actualizaciones y revisiones.
• Control de versiones: Registro que documente las actualizaciones realizadas en el software y hardware del sistema, junto con las evaluaciones de impacto de cada cambio.
• Plan de contingencia: Documento que contenga los procedimientos a seguir en caso de incidentes, garantizando la restauración de la información y la continuidad del servicio.

Cómo podrías elaborar estos registros:

1. Documentando: Para cada operación o mantenimiento (principalmente los críticos) deberías de documentarlos con un diagrama de flujo o con un manual de procedimiento.
2. Implementando herramientas de monitoreo: Utilizar sistemas de monitorización que registren en tiempo real la actividad del sistema.
3. Estableciendo de protocolos de actualización: Definir y documentar protocolos para la actualización del sistema, incluyendo la revisión de vulnerabilidades y la aplicación de parches.
4. Realizando Simulacros y pruebas de contingencia: Realizar pruebas periódicas de los planes de contingencia y registrar los resultados para su análisis y mejora.

Medidas de Seguridad Marco operacional – Recursos Externos

Las medidas de seguridad relacionadas con los Recursos externos se refieren a las medidas y controles que se deben aplicar cuando el sistema de información se apoya en servicios, soluciones o productos proporcionados por terceros.

Este subgrupo es muy importante para garantizar que, al externalizar parte de la operación o gestión del sistema, se mantenga un nivel de seguridad equivalente al exigido en el ENS.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los controles y registros específicos que exigen estas medidas son:

• Evaluar y seleccionar proveedores: Evaluar la capacidad del proveedor para cumplir con los requisitos de seguridad del ENS, revisando certificaciones que tenga realizadas y auditorías previas que haya superado.
• Establecer Cláusulas contractuales de seguridad: Los contratos o acuerdos deben incluir disposiciones que obliguen al proveedor a cumplir con los estándares de seguridad del ENS.
• Auditorías y revisiones de seguridad: Deberías de llevar un registro de las auditorías realizadas a los proveedores y a los recursos externos, documentando los hallazgos, recomendaciones y acciones correctivas aplicadas.
• Seguimiento de la cadena de suministro: Implementar controles que permitan el seguimiento continuo de la seguridad en la cadena de suministro, para asegurar que todos los agentes externos que influyen en la seguridad del sistema cumplan con las medidas exigidas.

Cómo podrías elaborar estos registros:

1. Documentando una Evaluación previa de proveedores: realizar un análisis de riesgos específico para cada proveedor o recurso externo. Teniendo en cuenta criterios relacionados con la seguridad de la información.
2. Redactando cláusulas contractuales: incluir en cada contrato cláusulas claras que obliguen al proveedor a implementar las medidas de seguridad del ENS.
3. Registro de auditorías y seguimiento: almacenar las auditorías y revisiones realizadas a los proveedores.

Medidas de Seguridad Marco operacional – servicios en la nube

Cada vez más, los servicios en la nube se han convertido en parte fundamental de la infraestructura tecnológica de muchas organizaciones.

El Esquema Nacional de Seguridad contempla medidas específicas para la gestión y seguridad de estos servicios

La seguridad en la nube está bastante relacionado con el bloque anterior de recursos externos ya que implica:

• Seleccionar proveedores que cumplan con las certificaciones y requisitos de seguridad.
• Implementar controles que aseguren la segregación de datos y el acceso restringido.
• La gestión de la continuidad del servicio, considerando las posibles vulnerabilidades inherentes a la nube.

La única medida de seguridad está detallada aquí:

Algunos de los Controles y registros específicos que exige esta medida son:

• Contrato y evaluación de proveedores: Registro donde se documenten los criterios de selección y evaluación de proveedores de servicios en la nube.
• Control de acceso y segregación de datos: Registros de las políticas y mecanismos implementados para garantizar que los datos se mantengan aislados y seguros.
• Auditorías de seguridad en la nube: Documentación de las auditorías realizadas a los proveedores y al servicio en la nube para verificar el cumplimiento de las medidas de seguridad.

Medidas de Seguridad Marco operacional – Continuidad del servicio

La continuidad del servicio es esencial para asegurar que, ante cualquier incidente, se garantice la operatividad del sistema de información.

Esta medida se centra en preparar y planificar respuestas ante interrupciones, de modo que el servicio se restablezca en el menor tiempo posible y con el menor impacto para la organización.

Para cumplir con estas medidas, debes establecer mecanismos y procedimientos que aseguren:

• La identificación y evaluación de riesgos que puedan interrumpir el servicio.
• La elaboración de planes de continuidad operativa.
• La realización de pruebas y simulacros para garantizar que, en caso de incidente, se puedan ejecutar las medidas correctivas sin contratiempos.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los controles y registros específicos que se exigen en estas medidas son:

• Plan de continuidad: Documento formal que defina las medidas, responsabilidades y procedimientos a seguir en caso de interrupciones.
• Registro de pruebas de continuidad: Documentar cada simulacro o prueba de contingencia, evaluando la eficacia de las medidas aplicadas.

Cómo podrías elaborar estos registros:

1. Identificando procesos críticos: Realizar un análisis detallado para identificar los sistemas y procesos esenciales.
2. Diseñar el plan de continuidad para los procesos críticos: Elaborar un documento que contemple escenarios de desastres, medidas preventivas, protocolos de actuación y tiempos de recuperación.
3. Realizar de simulacros: Ejecutar pruebas periódicas y documentar los resultados para mejorar continuamente el plan.

Medidas de Seguridad Marco operacional – Monitorización del sistema

La monitorización del sistema es un aspecto importante que permite detectar, de forma temprana, cualquier anomalía o comportamiento inusual en el funcionamiento del sistema de información.

Una adecuada monitorización contribuye a la prevención temprana y respuesta ante incidentes de seguridad.

La monitorización consiste en:

• Implementar herramientas que vigilen en tiempo real la actividad del sistema de información.
• Generar alertas automáticas ante la detección de actividades sospechosas.
• Revisar de mantera constante los registros de actividad para identificar vulnerabilidades

Las diferentes medidas de seguridad detalladas están aquí:

Algunos Controles y registros específicos que debes implementar con estas medidas:

• Registro de monitorización: Documentación que recoja de forma continua la actividad del sistema, incluyendo logs, alertas y eventos relevantes.
• Plan de respuesta ante incidentes: Registro que detalle los pasos a seguir en caso de detectar un incidente durante la monitorización.
• Auditorías de monitorización: Informes periódicos que evalúen la eficacia de las herramientas de monitorización y la capacidad de respuesta del sistema.

Cómo podrías tener estos registros:

1. Implementando herramientas de monitorización: Seleccionar y configurar sistemas de vigilancia (IDS/IPS, SIEM, etc.) que recojan la actividad de los sistemas.
2. Definición de umbrales y alertas: Establecer criterios claros para la generación de alertas automáticas.
3. Documentación de eventos: Crear un formato estandarizado para el registro de eventos y la respuesta a incidentes.
4. Revisión y análisis periódicos: Establecer revisiones periódicas para analizar los registros y actualizar los procedimientos en función de las nuevas amenazas.

Medidas de seguridad del Esquema Nacional de Seguridad – Bloque: Protección

El bloque de medidas de protección está enfocado en salvaguardar los activos de información de la organización.

Abarca desde la protección física de las instalaciones hasta la protección de la información misma.

Medidas de protección – Protección de las instalaciones e infraestructuras

La protección de las instalaciones e infraestructuras se refiere a la implementación de controles que aseguren que los sistemas de información y sus componentes (hardware, redes, etc.) se encuentren en entornos seguros.

Esto implica medidas tanto físicas como lógicas.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los Controles y registros específicos que debes implementar son:

• Registro de acceso físico: Documentar el acceso a las instalaciones donde se encuentran los sistemas críticos.
• Políticas de seguridad física: Normativas que especifiquen los mecanismos de control de acceso a áreas restringidas (por ejemplo, sistemas de video vigilancia, control de entradas, etc.).
• Plan de mantenimiento y revisión de infraestructuras: Registro de las inspecciones y mantenimientos preventivos que se realizan en las instalaciones.

Cómo podrías elaborar estos registros:

1. Teniendo un Inventario de activos: Elaborar un listado de todos los activos físicos y tecnológicos que requieren protección.
2. Estableciendo controles de acceso: Definir y documentar quién tiene acceso a cada área, mediante listas o sistemas electrónicos.
3. Registrando incidencias y mantenimiento: Crear un sistema para registrar cada actividad de mantenimiento o incidencia relacionada con la seguridad física.

Medidas de protección – Gestión del personal

La gestión del personal es siempre el eslabón más débil de la seguridad. Debido a los errores humanos, a la confianza, a los despistes…

Para paliar esto debes implementar medidas que aseguren la formación, concienciación y control del personal involucrado en el manejo de los sistemas de información.

Dar mucha formación y concienciación a los empleados, en especial a los nuevos que entran en tu organización.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los Controles y registros específicos que deberás tener para cumplir estas medidas son:

• Registro de formación en seguridad: Documentar todas las capacitaciones y acciones de concienciación realizadas al personal.
• Políticas de uso seguro: Instrucciones y normas que regulen el comportamiento y uso de los sistemas de información.
• Evaluaciones de desempeño y riesgos asociados al personal: Registro de auditorías internas que verifiquen el cumplimiento de las normas de seguridad.

Cómo podrías elaborar estos registros:

1. Teniendo un Plan de formación: Diseñar un plan anual de formación en seguridad para todos los empleados.
2. Revisando las políticas de uso: Elaborar y actualizar manuales de procedimientos que expliquen el uso seguro de los sistemas.
3. Evaluar riesgos asociados al personal: Establecer un protocolo para evaluar y mitigar riesgos derivados del factor humano, mediante encuestas o evaluaciones periódicas.

Medidas de protección – Protección de los equipos

La protección de los equipos implica implementar controles que eviten que el hardware (PC, servidores, dispositivos móviles, etc.) sea vulnerado o manipulado de forma no autorizada, y que garantice su funcionamiento seguro.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos Controles y registros específicos que deberás tener para cumplir con estas medidas son:

• Un Inventario de equipos: Un registro actualizado de todos los dispositivos que forman parte del sistema de información.
• Políticas de mantenimiento y actualización de hardware: Normativas que aseguren el mantenimiento preventivo y la actualización oportuna de los equipos.

Cómo podrías elaborar estos registros:

1. Listado de activos: Crear un inventario detallado con la descripción, ubicación y responsable de cada equipo.
2. Procedimientos de mantenimiento: Definir protocolos para el mantenimiento regular y la actualización de sistemas operativos en cada equipo.

Medidas de protección – Protección de las comunicaciones

La protección de las comunicaciones se enfoca en garantizar que la transmisión de información, tanto interna como externa, se realice de forma segura.

Esto abarca desde el cifrado de datos en tránsito hasta la implementación de canales de comunicación seguros.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos Controles y registros específicos que debes tener para cumplir con estas medidas son:

• Registro de configuraciones de red: Documentación de la configuración de redes y protocolos de comunicación seguros.
• Políticas de cifrado: Normativas que especifiquen el uso de tecnologías de cifrado para proteger la información transmitida.

Cómo podrías elaborar estos registros:

1. Definir protocolos de cifrado: Establecer las tecnologías de cifrado a utilizar para proteger la transmisión de datos.
2. Documentar configuraciones de red: Crear un manual o registro detallado de la configuración de la red, incluyendo firewalls, VPN y otros dispositivos de seguridad.

Medidas de protección – Protección de los soportes de información

La protección de los soportes de información se refiere a garantizar que todos los medios físicos y digitales que almacenan datos (discos duros, memorias USB, documentos en papel, etc.) estén debidamente protegidos contra el acceso no autorizado, la pérdida o la destrucción.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los Controles y registros específicos que debes tener para cumplir con estas medidas son las siguientes:

• Políticas de gestión de soportes: Documentos normativos que establezcan los procedimientos para el almacenamiento, transporte, acceso y eliminación segura de la información.
• Registro de incidencias en soportes: Documentar incidentes relacionados con la pérdida o manipulación indebida de soportes.

Cómo podrías elaborar estos registros:

1. Definir procedimientos de manipulación: Elaborar un manual que especifique cómo se debe manejar cada tipo de soporte, desde su almacenamiento hasta su eliminación.
2. Registro de incidencias y mantenimiento: Establecer formularios de reporte para cualquier incidencia que afecte a los soportes de información.

Medidas de protección – Protección de las aplicaciones informáticas

La protección de las aplicaciones informáticas se centra en asegurar que el software utilizado por la organización esté libre de vulnerabilidades y se mantenga actualizado frente a nuevas amenazas.

Esto incluye la evaluación de seguridad de las aplicaciones, la aplicación de parches y el control de cambios.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los Controles y registros específicos para cumplir con estas medidas son:

• Registro de versiones y parches: Documentación que indique las versiones de las aplicaciones y los parches aplicados.
• Políticas de control de cambios: Documentos que establezcan los procedimientos para realizar cambios en las aplicaciones de forma controlada.

Cómo elaborar estos registros:

1. Control de versiones: Implementar un sistema de registro donde se documente cada actualización o parche aplicado a las aplicaciones.
2. Auditorías de seguridad: Realizar y documentar evaluaciones periódicas de la seguridad de las aplicaciones, utilizando herramientas especializadas.
3. Documentación del control de cambios: Crear un protocolo formal para la solicitud, aprobación y seguimiento de cualquier modificación en las aplicaciones.

Medidas de protección  – Protección de la información

La protección de la información es el objetivo principal del ENS.

Se trata de garantizar que todos los datos, tanto en reposo como en tránsito, estén protegidos contra accesos no autorizados, modificaciones indebidas o pérdida.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos de los Controles y registros específicos que debes tener para cumplir con estas medidas son:

• Registro de políticas de cifrado y protección de datos: Documentos que especifiquen las tecnologías y protocolos utilizados para proteger la información.
• Auditorías de seguridad de la información: Registros de evaluaciones y pruebas de penetración que verifiquen el nivel de protección de los datos.
• Plan de respuesta ante incidentes de seguridad de la información: Documentación que detalle los procedimientos a seguir en caso de que se detecte una brecha de seguridad.

Cómo podrías elaborar estos registros:

1. Definir un protocolo de cifrado: Establecer y documentar las tecnologías de cifrado que se emplearán en la organización.
2. Crear un registro de auditorías de seguridad: Documentar cada evaluación o prueba de seguridad, indicando resultados y medidas correctivas.
3. Elaborar un plan de respuesta: Desarrollar y documentar un protocolo claro para la gestión de incidentes que afecten la integridad o confidencialidad de la información.

Medidas de Protección – Protección de los servicios

La protección de los servicios se refiere a las medidas que aseguran que los servicios prestados por la organización, ya sean internos o dirigidos a terceros, se mantengan operativos, seguros y confiables.

Las diferentes medidas de seguridad detalladas están aquí:

Algunos Controles y registros específicos que deberías tener para cumplir con estas medidas son:

• Medidas de seguridad implementadas en el correo electrónico: establecer protocolos sobre qué información se puede enviar y cómo enviarla, en especial si se trata de información confidencial.
• Políticas de calidad y control de servicios: Normativas que definan los estándares de seguridad y operatividad que deben cumplir los servicios, por ejemplo acuerdos SLA internos o con clientes.

Cómo elaborar estos registros:

1. Implementar herramientas para el cifrado de punto a punto de la información que viaja por correo electrónico. Un servicio como el de mailCrip podría ser válido para establecer esta comunicación segura.
2. Establecer y medir SLA internos o de clientes: medir los tiempos de respuesta ante incidencias, disponibilidad de un servicio, etc.

 

5. Conclusión

Como puedes haber leído, cada bloque de medidas de seguridad, junto con sus subcategorías, responde a la necesidad de adaptar la seguridad de la información a los diferentes niveles de riesgo y a las diversas dimensiones de seguridad existentes.

Y todo ello dependiendo del nivel de categoría de tus sistemas de información.

En cada medida de seguridad el Esquema Nacional de Seguridad es claro. Tu trabajo consistirá en demostrar con evidencias de que cumples cada uno de esos requisitos.

Espero haberte ayudado a identificar y reconocer las distintas medidas de seguridad que existen en el Esquema Nacional de Seguridad.

Fecha: 26 marzo 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022

Fuente imagen principal: Pixabay