Ciberseguridad: Estrategia Nacional 2019

Questions and Answers

¿Qué artículo aborda la adquisición de productos de seguridad y la contratación de servicios de seguridad?

• Artículo 29
• Artículo 21
• Artículo 17
• Artículo 19 (correct)

El principio de 'mínimo privilegio' se detalla en el artículo:

• Artículo 17
• Artículo 20 (correct)
• Artículo 27
• Artículo 23

¿Cuál de los siguientes NO está relacionado con la protección de información almacenada y en tránsito?

• Artículo 26
• Artículo 31 (correct)
• Artículo 24
• Artículo 22

¿Qué artículo se enfoca en la identificación y registro de actividad y detección de código dañino?

Artículo 24 (C)

El artículo que define la mejora continua del proceso de seguridad es:

Artículo 27 (B)

El capítulo IV trata principalmente sobre:

Auditoría, informe e incidentes de seguridad (B)

¿Qué artículo trata sobre la prestación de servicios de respuesta a incidentes de seguridad para entidades del sector público?

Artículo 34 (D)

La administración digital y el ciclo de vida de los servicios y sistemas se describen en el artículo:

Artículo 35 (C)

¿Qué documento establece las directrices generales en el ámbito de la ciberseguridad en España?

Estrategia Nacional de Ciberseguridad 2019 (D)

¿Cuál es el objetivo general de la Estrategia Nacional de Ciberseguridad 2019?

Promover un ciberespacio seguro y fiable. (C)

¿Cuántos objetivos específicos se establecen en la Estrategia Nacional de Ciberseguridad 2019?

5 (D)

¿En qué año se aprobó la Estrategia Nacional de Ciberseguridad 2019?

2019 (C)

¿Cuál de los siguientes documentos establece las medidas para el cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales?

Real Decreto 43/2021 (A)

¿Qué medidas se toman como referencia para el cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales?

Las recogidas en el anexo II del Real Decreto 3/2010. (C)

¿Qué iniciativa se menciona en el texto como un paso clave para desarrollar la Estrategia Nacional de Ciberseguridad 2019?

La aprobación del Plan Nacional de Ciberseguridad. (C)

¿Qué objetivo específico de la Estrategia Nacional de Ciberseguridad 2019 se desarrolla a través de la medida de asegurar la plena implantación del Esquema Nacional de Seguridad?

Seguridad y resiliencia de las redes y sistemas de información y comunicaciones del sector público. (C)

Además de las ciberataques, ¿qué otras tácticas de injerencia extranjera se mencionan en el texto?

Todas las anteriores (D)

Según el texto, ¿qué es el ENS?

Un conjunto de normas y directrices para la seguridad de la administración digital (C)

¿Qué herramienta se menciona que ayuda a comprender la situación de la seguridad digital en la Unión Europea?

El Informe Nacional del Estado de la Seguridad (INES) (D)

De acuerdo con el texto, ¿cuál es uno de los objetivos principales de la actualización del ENS?

Alinear el ENS con el marco normativo y estratégico actual (D)

Según el texto, ¿qué impacto ha tenido la expansión del ENS?

Ha permitido una mayor comprensión de la situación de seguridad digital (C)

De acuerdo con el texto, ¿qué se pretende lograr al actualizar el ENS?

Simplificar, precisar y armonizar los mandatos del ENS (B)

¿Qué se busca lograr con la capacidad de ajustar los requisitos del ENS?

Ajustar el ENS a las características de distintos colectivos o sistemas (C)

Según el texto, ¿qué tipo de presiones se ejercen sobre ciudadanos extranjeros?

Políticas, para condicionar su voto en las elecciones (C)

¿Qué concepto se propone incluir en el ENS para mejorar su eficacia?

Perfil de cumplimiento específico (C)

¿Cuál es uno de los objetivos de la actualización del ENS?

Reducir vulnerabilidades (D)

¿Con qué Plan de Digitalización se relaciona la aprobación del nuevo real decreto?

Plan de Digitalización de las Administraciones Públicas 2021-2025 (B)

¿Qué organismo se mencionó como referencia para mejorar el cumplimiento del ENS?

Centro de Operaciones de Ciberseguridad (B)

¿Qué mandato se expresó en el Acuerdo de Consejo de Ministros del 25 de mayo de 2021?

Aprobar un real decreto que refuerce el marco normativo (D)

¿Cuántos artículos tiene estructurado el nuevo real decreto?

41 (B)

¿Cuál de las siguientes no es una disposición del nuevo real decreto?

Disposición normativa (A)

¿Qué se busca como parte del desarrollo del Plan de Digitalización en el contexto del ENS?

Alinear las regulaciones con la Unión Europea (A)

¿Cuál de los siguientes no es un principio básico que debe regir el ENS según el artículo 5?

Interconexión de sistemas de información (D)

¿Qué artículo establece la posibilidad de realizar auditorías de seguridad?

Artículo 30 (D)

¿Qué comprende el proceso de gestión de riesgos según los artículos mencionados?

Identificación, análisis, evaluación y tratamiento de riesgos (C)

¿Qué medida de seguridad puede ser reemplazada por otra compensatoria?

Medidas recogidas en el anexo II (A)

¿Qué aspecto se enfatiza en el artículo 29 respecto a las administraciones públicas?

La utilización de infraestructuras comunes (D)

¿Qué clave se resalta para asegurar la integridad del sistema?

Actualización del sistema (D)

¿Cuál de los siguientes es un requisito para la protección de la información según el capítulo III?

Prevención ante sistemas interconectados (D)

¿Qué se promueve con la mejora continua del proceso de seguridad?

Incremento de protocolos de seguridad (B)

¿Cuál es uno de los fines para analizar las comunicaciones entrantes o salientes según las disposiciones de seguridad?

Impedir el acceso no autorizado a redes y sistemas de información (C)

¿Qué principio NO se menciona en la normativa sobre la gestión de datos personales?

Minimización de los costos (D)

¿Qué debe realizar cada usuario que accede al sistema de información para asegurar los derechos de acceso?

Estar identificado de forma única (B)

¿Cuál es un aspecto esencial de la gestión de incidentes de seguridad que debe tener la entidad titular de los sistemas?

Procedimientos de gestión de incidentes (D)

¿Qué se establece para garantizar la continuidad de las operaciones en caso de pérdida de medios habituales?

Mecanismos de copia de seguridad (A)

¿Cuál es un objetivo del proceso integral de seguridad implantado en los sistemas de información?

Ser actualizado y mejorado de forma continua (A)

¿Cuál de los siguientes NO es un mecanismo mencionado para la gestión de incidentes de seguridad?

Eliminación de registros (D)

¿Qué tipo de ataque se busca evitar mediante el análisis de comunicaciones?

Ataques de denegación de servicio (C)

Flashcards

Profesionalidad

Compromiso y ética en el trabajo dentro de un contexto profesional.

Mínimo privilegio

Principio de otorgar solo los accesos necesarios para realizar tareas.

Protección de la información

Medidas para mantener segura la información almacenada y en tránsito.

Registro de actividad

Proceso de documentar acciones en un sistema para la detección de incidentes.

Incidentes de seguridad

Eventos que comprometen la integridad de la seguridad de un sistema.

Mejora continua

Proceso de ajustar y optimizar prácticas de seguridad constantemente.

Auditoría de la seguridad

Evaluación y revisión del estado de la seguridad en un sistema.

Ciclo de vida de servicios

Fases que atraviesan los servicios desde su creación hasta su retiro.

Injerencia extranjera

Tácticas utilizadas para influir en la política de otro país.

Ciberataques

Ataques dirigidos a sistemas informáticos para causar daño o robar información.

Desinformación

Difusión intencionada de información falsa o engañosa.

Manipulación de redes sociales

Alterar información en redes para influir en opiniones o comportamientos.

Espionaje

Obtención secreta de información de un país o entidad.

ENS

Marco de ciberseguridad que busca proteger la administración digital.

Estrategia Nacional de Ciberseguridad

Plan que establece directrices para mejorar la ciberseguridad en el país.

CCN-CERT

Entidad que proporciona capacidades de respuesta a incidentes de seguridad.

Principios básicos del ENS

Son los lineamientos fundamentales a seguir para garantizar la seguridad nacional.

Gestión de la seguridad basada en riesgos

Proceso que identifica, analiza y evalúa riesgos para aplicar medidas de seguridad.

Prevención y detección

Acciones para evitar incidentes y detectar amenazas de seguridad eficazmente.

Líneas de defensa

Estructuras o medidas implementadas para proteger la información y servicios.

Requisitos mínimos de seguridad

Conjunto de medidas necesarias para asegurar la protección adecuada de la información.

Medidas compensatorias

Alternativas a las medidas de seguridad estándar que ofrecen protección equivalente.

Perfiles de cumplimiento

Esquemas específicos para evaluar la ejecución de configuraciones seguras.

Perfil de cumplimiento específico

Concepto aprobado por el Centro Criptológico Nacional para adaptar el ENS eficazmente.

Plan de Digitalización 2021-2025

Iniciativa para modernizar las Administraciones Públicas en España.

Ciberseguridad

Medidas y principios para proteger sistemas informáticos contra ataques.

Centro de Operaciones de Ciberseguridad

Referente para mejorar el cumplimiento del ENS en entidades públicas.

Real Decreto

Normativa que sustituye al Real Decreto 3/2010 para reforzar la ciberseguridad.

Acuerdo de Consejo de Ministros

Decisión que mandata la aprobación de nuevas medidas de ciberseguridad.

Regulaciones de la Unión Europea

Normativas que buscan incrementar la ciberseguridad en los sistemas de información.

Vigilancia continua

Proceso para monitorizar las vulnerabilidades de ciberseguridad de forma constante.

Real Decreto-ley 12/2018

Reglamento que establece el marco de seguridad de redes e información en España.

Real Decreto 43/2021

Desarrolla el marco de seguridad establecido por el Real Decreto-ley 12/2018.

Estrategia de Seguridad Nacional 2017

Establece lineamientos para el uso seguro de redes y sistemas de información en España.

Estrategia Nacional de Ciberseguridad 2019

Define objetivos y líneas de acción para mejorar la ciberseguridad en España.

Objetivos de Ciberseguridad

Incluye un objetivo general y cinco específicos en la Estrategia Nacional de Ciberseguridad.

Líneas de acción

Siete acciones necesarias para alcanzar los objetivos de la ciberseguridad.

Esquema Nacional de Seguridad

Marco que asegura la seguridad de la información en el sector público y servicios esenciales.

Plan Nacional de Ciberseguridad

Aprobado en marzo de 2022, incluye cerca de 150 iniciativas para los próximos tres años.

Seguridad de la información

Protección de sistemas de información contra accesos no autorizados.

Principio de minimización de datos

Recopilar solo los datos necesarios para un fin específico.

Análisis de comunicaciones

Evaluar mensajes entrantes y salientes para garantizar seguridad.

Identificación única de usuarios

Cada usuario debe ser identificado de manera exclusiva en el sistema.

Incident Management

Procedimientos para gestionar y responder a incidentes de seguridad.

Copias de seguridad

Respaldo de datos para asegurar la continuidad de operaciones.

Mecanismos de detección

Herramientas y procedimientos para identificar incidentes de seguridad.

Study Notes

Real Decreto 311/2022, de 3 de mayo, Esquema Nacional de Seguridad

• Objeto: Regular el Esquema Nacional de Seguridad (ENS).
• Ámbito de aplicación: Todas las entidades del sector público, según la Ley 40/2015, de 3 de mayo. Incluye sistemas de información que tratan datos personales.
• Sistemas de información que tratan datos personales: Debe cumplir con el Reglamento (UE) 2016/679 (GDPR) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), además de otras normativas aplicables.
• Principios básicos del ENS:
  • Seguridad integral.
  • Gestión de la seguridad basada en los riesgos.
  • Prevención, detección, respuesta y conservación.
  • Existencia de líneas de defensa.
  • Vigilancia continua.
  • Reevaluación periódica.
  • Diferenciación de responsabilidades.
• Política de seguridad y requisitos mínimos de seguridad: define directrices para la protección de información y servicios.
• Organización e implantación del proceso de seguridad: procedimientos para la aplicación de las medidas de seguridad.
• Análisis y gestión de los riesgos: requiere un análisis continuo y actualizado de los riesgos.
• Gestión de personal: formación e información sobre deberes y obligaciones en materia de seguridad.
• Profesionalidad: exige personal cualificado para la seguridad de los sistemas.
• Autorización y control de los accesos: acceso limitado a usuarios, procesos y dispositivos autorizados.
• Protección de las instalaciones: medidas para proteger las instalaciones de los sistemas de información.
• Adquisición de productos de seguridad y contratación de servicios de seguridad: deben estar certificados.
• Mínimo privilegio: aplicar la menor cantidad de privilegios necesarios.
• Integridad y actualización del sistema: mantenimiento, supervisión y actualizaciones.
• Protección de la información almacenada y en tránsito: medidas para proteger la información.
• Prevención ante otros sistemas de información interconectados: protocolos de seguridad para evitar la exposición a otros sistemas.
• Registro de actividad y detección de código dañino: registro de actividades para monitorear posibles amenazas.
• Incidentes de seguridad: procedimientos para la gestión de incidentes.
• Continuidad de la actividad: planes para mantener operaciones en caso de problemas.
• Mejora continua: actualización y adecuación constante del proceso de seguridad.
• Diferenciación de responsabilidades: roles y funciones definidos para cada responsable.
• Auditoría de la seguridad: auditorías regulares para verificar el cumplimiento.
• Informe del estado de la seguridad: reporte sobre el estado general de la seguridad.
• Capacidad de respuesta a incidentes de seguridad: procedimientos para manejar incidentes.
• Prestación de servicios de respuesta a incidentes de seguridad: servicios disponibles para el sector público.
• Normas de conformidad: requisitos para asegurar la conformidad.
• Actualización permanente: proceso continuo de actualización del ENS.
• Categorización de los sistemas de información: clasifica los sistemas en función de sus riesgos.
• Facultades: poderes y responsabilidades de los organismos implementadores.
• Disposiciones adicionales: enfocadas en la formación, seguridad medioambiental y adecuación de sistemas.
• Disposiciones transitorias: plazos para la adecuación de sistemas existentes.
• Disposiciones finales: sobre títulos competenciales, desarrollo normativo y entrada en vigor.
• Anexos: información adicional sobre categorías de seguridad, medidas de seguridad, auditorías y glosario.

Description

Este cuestionario evalúa tu conocimiento sobre la Estrategia Nacional de Ciberseguridad de 2019 en España. Se abordarán temas como la adquisición de productos de seguridad, la protección de la información y los principios de seguridad. Contesta preguntas específicas sobre los artículos relevantes y sus objetivos.