El Esquema Nacional de Seguridad (ENS) Real Decreto 311/2022,

Questions and Answers

¿Cuál es el principal objeto del documento según el Artículo 1?

Sancionar a las empresas que no cumplan con las normas.

Regular la publicidad en medios digitales.

Establecer un marco de seguridad para datos personales. (correct)

Promover el uso de tecnologías emergentes.

¿Qué principio establece la gestión de la seguridad basada en riesgos según el Artículo 7?

La gestión de la seguridad debe adaptarse a los riesgos específicos. (correct)

La seguridad solo aplica a sistemas críticos.

La seguridad debe ser opcional según la entidad.

Los riesgos no deben ser considerados en la seguridad.

Según el Artículo 12, ¿qué se requiere en una política de seguridad?

Una evaluación general de tecnologías.

Una auditoría anual del personal.

Una planificación para el desarrollo de software.

Un enfoque claro en la protección de datos personales. (correct)

¿Qué se menciona en el Artículo 10 respecto a la vigilancia continua?

Es fundamental para la mejora de la seguridad.

Según el Artículo 14, ¿qué proceso se debe llevar a cabo para la gestión de riesgos?

Identificación, análisis y tratamiento de riesgos.

¿Qué aspecto de la seguridad se aborda en el Artículo 25?

Manejo de incidentes de seguridad.

Según el Artículo 38, ¿qué procedimientos se mencionan para determinar la conformidad?

Procedimientos de auditoría internos y externos.

¿Qué implica la mejora continua del proceso de seguridad según el Artículo 27?

Revisión y ajuste periódicos de políticas y medidas de seguridad.

¿Cuál es el enfoque principal del artículo 28?

Establecer requisitos mínimos de seguridad.

¿Cuál de las siguientes afirmaciones acerca de las medidas de seguridad es correcta?

Deben ser equivalentes en protección.

¿Qué asegura el artículo 30 en relación al cumplimiento?

Esquemas de acreditación de entidades de configuración segura.

¿Cuál es la finalidad del capítulo IV?

Auditar la seguridad y responder a incidentes.

¿Cuáles son los temas tratados en los artículos 33 y 34?

La prevención, detección y respuesta a incidentes de seguridad.

¿Qué establece la disposición transitoria única?

Un plazo de veinticuatro meses para adecuar sistemas a las normativas.

¿Cuál es uno de los objetivos de la auditoría de seguridad mencionada?

Generar informes sobre el estado de seguridad.

¿Qué regula el capítulo V de los artículos 35 a 38?

Las normas de conformidad.

¿Qué contempla la tercera disposición adicional?

El principio de no causar un daño significativo al medio ambiente.

¿Cuál de las siguientes es una concordancia entre el artículo 39 y el contexto general?

Establece la necesidad de una actualización permanente.

¿Qué aspecto se enfatiza en el artículo 32?

El rol de la Comisión Sectorial de Administración Electrónica.

¿Qué establece el anexo I?

Las categorías de seguridad de los sistemas de información.

¿Cuál es el objetivo del principio de 'mínimo privilegio' mencionado en los artículos 12 a 27?

Limitar el acceso a información sensible solo a quienes lo necesiten.

¿Cuáles son los tres grupos en los que se estructura el anexo II respecto a las medidas de seguridad?

Marco organizativo, marco operacional, medidas de protección

¿Qué principio NO se menciona como parte de la buena regulación en el real decreto?

Innovación

Según el real decreto, el ENS busca asegurar la disponibilidad de qué aspectos clave?

Acceso, confidencialidad, integridad, trazabilidad y autenticidad

¿Cuál es el objetivo del nuevo sistema de referencias en el marco de seguridad?

Actualizar controles y sub-controles

¿Qué aspecto relacionado con el procedimiento de elaboración del real decreto se menciona?

Tramitación de urgencia acordada por el Consejo de Ministros

¿Qué documento se menciona como regulador del Esquema Nacional de Seguridad (ENS)?

Ley de Régimen Jurídico del Sector Público

¿Cuál es uno de los principios que guía la elaboración del nuevo real decreto?

Proporcionalidad

¿A cuál de los siguientes no se aplica el presente real decreto?

A organismos privados

¿Qué se busca con la auditoría del ENS?

Facilitar la implantación y auditoría de la seguridad

El principio de necesidad en el real decreto se refiere a:

La necesidad de proteger adecuadamente la información

La modificación del marco táctico y operativo se realiza debido a:

El avance de las ciberamenazas y sus salvaguardas

El real decreto se aprobó en virtud de las competencias de qué artículos de la Constitución?

Artículos 149.1.18.ª, 149.1.21.ª y 149.1.29.ª

¿Cuál de los siguientes es un objetivo clave del ENS?

Asegurar la calidad y la certidumbre de los servicios públicos

¿Qué requiere atención especial para la información clasificada según el decreto?

Medidas complementarias de seguridad específicas

¿Cuál es el primer objetivo de la Estrategia Nacional de Ciberseguridad 2019?

Seguridad y resiliencia de las redes y sistemas de información del sector público

¿Cuántas líneas de acción se proponen en la Estrategia Nacional de Ciberseguridad 2019?

7 líneas de acción

¿Cuántas medidas específicas se incluyen en el primer objetivo de la Estrategia Nacional de Ciberseguridad 2019?

24 medidas

¿Cuál es el propósito principal de las medidas de prevención dentro de un sistema de seguridad?

Reducir la posibilidad de que las amenazas se materialicen.

¿Qué aspecto es considerado prioritario en la implementación de la seguridad en el ciberespacio?

Recursos económicos, humanos y tecnológicos

¿Qué objetivo tiene el Plan Nacional de Ciberseguridad aprobado en marzo de 2022?

Establecer iniciativas para los próximos tres años

Las medidas de detección tienen como objetivo principal:

Descubrir la presencia de un ciberincidente.

¿Cuál es un componente clave de la Estrategia Nacional de Ciberseguridad 2019?

Consolidación de un marco nacional coherente e integrado

¿Qué se busca lograr con las medidas de respuesta en un sistema de información?

Restaurar la información y servicios afectados por un incidente.

Según la Estrategia de Seguridad Nacional, ¿qué se necesita para enfrentar los riesgos en el ciberespacio?

Colaboración entre el sector público y las empresas

La vigilancia continua en un sistema de información permite:

Detectar actividades o comportamientos anómalos.

¿Cuál de las siguientes es una táctica de injerencia extranjera mencionada?

Control de infraestructuras críticas

Las líneas de defensa en un sistema de seguridad se componen de:

Medidas de naturaleza organizativa, física y lógica.

¿Cuál es uno de los desafíos que enfrenta la ciberseguridad a medida que aumenta el papel de la tecnología en la sociedad?

Manipulación de plataformas de redes sociales

Una política de seguridad debe incluir, entre otros, los siguientes aspectos:

Los objetivos de la organización.

¿Qué aspecto debe actualizarse en el Esquema Nacional de Seguridad (ENS)?

Marco normativo y contexto estratégico

La diferencia entre el responsable de la seguridad y el responsable del servicio es:

El responsable de seguridad se encarga de gestionar activos, mientras que el del servicio gestiona procesos operativos.

¿Qué papel juega la reevaluación periódica en la seguridad de un sistema de información?

Permite actualizar y adecuar medidas de seguridad a la evolución de los riesgos.

¿Cómo se describe el tipo de riesgo en el ciberespacio según las estrategias de ciberseguridad?

Demasiado grande para abordarlo solo

¿Cuál es uno de los objetivos relacionados con la protección de datos en la Estrategia Nacional de Ciberseguridad 2019?

Mejorar la coordinación en la seguridad

Una estrategia de protección en un sistema de información debe ser:

Combinada y formada por múltiples capas de seguridad.

La política de seguridad de la información tiene como función principal:

Establecer las reglas para la gestión y protección de la información.

¿Cuál es un requisito clave para el cumplimiento de la Estrategia Nacional de Ciberseguridad 2019?

Implantación de medidas de seguridad efectivas

¿Cuál es un componente importante de las medidas de respuesta dentro de un sistema de información?

Desarrollar procedimientos de restauración de la información.

Las medidas de disuasión dentro de la seguridad de la información:

Buscan reducir la superficie de exposición.

La evaluación permanente del estado de la seguridad permite:

Detectar vulnerabilidades y deficiencias de configuración.

¿Cuál es el propósito principal del Esquema Nacional de Seguridad (ENS)?

Determinar la política de seguridad en el uso de medios electrónicos.

¿Qué articulo del Real Decreto 3/2010 menciona la formación como una disposición adicional?

Disposición adicional primera.

¿Qué se busca garantizar con el ENS en relación a la información tratada?

Que se mantenga sin interrupciones ni modificaciones no autorizadas.

¿Qué ha evolucionado en la ciberseguridad desde 2010 en España y en la Unión Europea?

Transformación digital y aumento de amenazas cibernéticas.

Según la Ley 36/2015, de Seguridad Nacional, ¿por qué es importante la ciberseguridad?

Es básica para preservar derechos y libertades de los ciudadanos.

¿Qué establece el Real Decreto 1150/2021 acerca del ciberespacio?

Que es un espacio común caracterizado por su accesibilidad.

¿Qué marco normativo se ha modificado para abordar la ciberseguridad en España y Europa desde 2010?

El marco de protección de datos y seguridad de redes.

¿Cómo se relacionan las administraciones públicas según la Ley 40/2015?

A través de medios electrónicos que garantizan seguridad e interoperabilidad.

¿Qué se busca proteger a través del ENS en el contexto de las entidades públicas y privadas?

La confidencialidad y integridad de la información.

¿Cuál es una de las amenazas evidenciadas en el incremento de la ciberseguridad?

Ciberataques con mayor volumen y frecuencia.

¿Qué categoría se menciona en el Anexo I del ENS?

Categorías de seguridad de los sistemas.

¿Qué implica el respeto al principio de 'no causar un perjuicio significativo' al medioambiente?

Incorporar consideraciones ambientales en la gestión de riesgos.

¿Qué se entiende por 'interoperabilidad' en el contexto del ENS?

La habilidad de diferentes sistemas para comunicarse y trabajar juntos.

¿Cuál es una de las funciones del Anexo III del ENS?

Realizar auditorías de la seguridad.

¿Qué obliga a las entidades del sector privado en relación con el servicio prestado al sector público según la normativa aplicable?

A tener una política de seguridad aprobada.

¿Cuál de los siguientes principios NO se menciona como básico del Esquema Nacional de Seguridad?

Gestión de la seguridad basada en la ignorancia.

¿Qué tipo de evaluación debe realizar el responsable del tratamiento de datos personales según la normativa adecuada?

Evaluación de impacto en la protección de datos.

¿Cuál es el objetivo último de la seguridad de la información según la legislación vigente?

Garantizar que una organización cumpla sus objetivos.

En relación con los sistemas de información que tratan datos personales, ¿qué normativa se debe aplicar?

El Reglamento (UE) 2016/679 y otras normativas relacionadas.

¿Qué debe hacer el delegado de protección de datos en caso de un análisis de riesgos?

Asesorar al responsable o encargado del tratamiento.

¿Qué elemento NO es parte del proceso integral que se considera para la seguridad de la información?

Elementos estéticos.

¿Qué se establece en el artículo 17 del Real Decreto-ley 7/2022?

La gestión de la seguridad de las redes y servicios electrónicos.

¿Qué se espera de los pliegos de prescripciones administrativas en los contratos del sector público?

Que contemplen requisitos de conformidad con el ENS.

¿Cuál de las siguientes es una forma de garantizar la seguridad según el enfoque de gestión de riesgos?

Reducir los riesgos a niveles aceptables mediante medidas adecuadas.

¿Qué principio se relaciona con la necesidad de monitorear continuamente la seguridad de la información?

Reevaluación periódica.

¿Cuál de las siguientes afirmaciones sobre la política de seguridad en entidades que trabajan con el sector público es incorrecta?

Su aplicación es opcional para las entidades del sector privado.

Según el reglamento, ¿qué debe prevalecer en la gestión de la seguridad de la información?

Las medidas derivadas del análisis de riesgos y evaluación de impacto.

¿Cuál de los siguientes aspectos NO es parte de la atención a la concienciación en el proceso de seguridad?

Ignorancia deliberada de las políticas de seguridad.

¿Cuál es el objetivo de introducir la capacidad de ajustar los requisitos del ENS?

Adaptar el ENS a la realidad de colectivos específicos.

¿Qué se busca fomentar mediante la revisión de principios básicos del ENS?

La vigilancia continua y la reducción de vulnerabilidades.

¿Qué plan se menciona como parte de la actualización del ENS?

Plan de Digitalización de las Administraciones Públicas 2021-2025.

¿Cómo se complementan los requisitos del ENS en entidades del sector privado?

Conforme a las relaciones contractuales con el sector público.

¿Qué regula el capítulo II del real decreto sobre el ENS?

Los principios básicos que deben regir el ENS.

¿Cuál de las siguientes opciones NO es un principio básico del ENS mencionado?

Gestión totalmente manual de la seguridad.

¿Qué se establece para la seguridad de las redes y servicios 5G?

Se deben cumplir requisitos específicos según el Real Decreto-ley 7/2022.

¿Qué instituye el Centro de Operaciones de Ciberseguridad?

Una referencia para otras administraciones públicas en materia de ciberseguridad.

¿Qué tipo de información se menciona como parte del ámbito de aplicación del ENS?

Información que trata datos personales y clasificados.

¿Cuál es una característica del 'perfil de cumplimiento específico' del ENS?

Facilita la adaptación sin comprometer la protección.

¿Qué aborda el capítulo I del real decreto?

Las disposiciones generales y la definición de términos aplicables.

¿Por qué es relevante la transformación digital para el ENS?

Incrementa los riesgos asociados a la información pública.

¿Cuál es la finalidad del Acuerdo de Consejo de Ministros de 25 de mayo de 2021?

Mandar el fortalecimiento del marco normativo en ciberseguridad.

¿Qué tipo de entidades debe cumplir los requisitos del ENS?

Entidades del sector privado que prestan servicios al sector público.

¿Cuál es uno de los derechos que se establece en la Ley 39/2015 en relación con las administraciones públicas?

Derecho a la seguridad de los datos personales

¿Qué regula el Real Decreto 203/2021 en el ámbito del sector público?

El cumplimiento de medidas de seguridad en el ENS

¿Qué fue actualizado por el Real Decreto 951/2015?

El Esquema Nacional de Seguridad

¿Qué ley ordena la implantación de medidas de seguridad en el tratamiento de datos personales?

Ley Orgánica de Protección de Datos Personales

El Reglamento (UE) 2019/881 establece medidas para qué aspecto concreto?

La certificación de la ciberseguridad

La Directiva NIS está relacionada con qué aspecto de la seguridad?

La seguridad de las redes y sistemas de información

¿Qué documento establece criterios para la gestión de incidentes de seguridad?

Real Decreto 12/2018

La Ley Orgánica 7/2021 establece la obligación de aplicar medidas de seguridad del ENS para qué tipo de datos?

Datos personales tratados para fines penales

El Real Decreto 43/2021 desarrolla aspectos relacionados con qué tema?

Seguridad de las redes y sistemas de información

¿Cuál de las siguientes leyes se relaciona con la identificación electrónica según la normativa europea?

Reglamento eIDAS

Las medidas de seguridad para el tratamiento de datos deben adaptarse a cuál de los siguientes criterios?

Criterios de determinación del riesgo

¿Qué Real Decreto regula el Esquema Nacional de Seguridad desde su implementación?

Real Decreto 3/2010

¿Qué aspecto de la ciberseguridad se aborda en la Ley Orgánica 3/2018?

Protección de datos personales

¿Qué figura se encarga de la supervisión de las obligaciones de seguridad de los proveedores de servicios digitales según el Real Decreto 43/2021?

La entidad supervisora designada

¿Cuál de los siguientes no es un requisito mínimo para la política de seguridad?

Organización del proceso de ventas

¿Cuál es la función principal del responsable de la seguridad según las directrices establecidas?

Supervisar la implantación de medidas de seguridad

¿Qué debe hacer cada organización con respecto a la gestión de riesgos en sus sistemas de información?

Realizar un análisis y tratamiento de los riesgos

¿Qué aspecto es esencial en la formación del personal vinculado a sistemas de información?

Información sobre deberes y responsabilidades

¿Qué implica el principio de mínimo privilegio en la política de seguridad?

Restringir el acceso a la información solo a lo necesario

¿Cuál de las siguientes afirmaciones sobre el responsable del sistema es correcta?

Puede delegar la implementación de seguridad en administradores

¿Qué se debe hacer en situaciones excepcionales donde el responsable de seguridad y el responsable del sistema sean la misma persona?

Aplicar medidas compensatorias

¿Cómo deben ser las medidas adoptadas para mitigar riesgos según la normativa?

Demostradas como necesarias y proporcionales a los riesgos

¿Qué documento regulará el Esquema de Certificación de Responsables de la Seguridad?

Instrucción Técnica de Seguridad

¿Qué se busca con la mejora continua del proceso de seguridad?

Fortalecer la efectividad en la gestión de seguridad

¿Quién es responsable de determinar los requisitos de la información tratada?

El responsable de la información

¿Qué debe incluir la política de seguridad respecto a los sistemas interconectados?

Prevenir riesgos provenientes de otros sistemas interconectados

¿Cuál es uno de los objetivos de la Política de Seguridad mencionada?

Proteger la información durante su tránsito

¿Qué es necesario para los servicios externalizados en cuanto a seguridad?

Designar un POC que supervise el cumplimiento de requisitos de seguridad

¿Cuál es el propósito del control de acceso a los sistemas de información?

Limitar el acceso a usuarios no autorizados.

¿Qué debe hacerse con las funciones que no son necesarias en un sistema de información?

Desactivarlas o eliminarlas.

¿Cómo debe ser la recuperación de la información almacenada, según las directrices establecidas?

Asegurada mediante procedimientos adecuados.

¿Qué aspecto se debe considerar especialmente al proteger información en tránsito?

Las comunicaciones en redes abiertas.

¿Qué se requiere antes de incluir o modificar un elemento en el catálogo de activos de un sistema?

Una autorización formal previa.

¿Qué implica el principio de mínimo privilegio en un sistema de información?

Limitar derechos de acceso a lo necesario para el desempeño del trabajo.

¿Qué debe llevar a cabo el organismo encargado de la certificación de productos de seguridad?

Certificar la funcionalidad de seguridad requerida.

¿Cuál es uno de los objetivos de realizar un análisis de riesgos en sistemas interconectados?

Proteger el perímetro del sistema de información.

¿Qué acción se debe tomar si no hay productos o servicios certificados disponibles?

Seguir un criterio excepcional establecido.

¿Qué proceso es necesario para garantizar la integridad de un sistema de información?

Evaluación continua y autorización para cambios.

¿Qué medidas deben aplicarse a la información no electrónica relacionada con datos electrónicos?

Protegerla con el mismo grado de seguridad.

¿Qué se espera de la funcionalidad del sistema según el principio del mínimo privilegio?

Que brinde solo las funciones imprescindibles.

¿Cuál es el enfoque hacia la seguridad de las tecnologías de la información que se debe seguir al adquirir productos?

Optar por productos certificados según la categoría de seguridad.

¿Qué significa la abreviatura 'n.a.' en el contexto de cumplimiento normativo?

No aplica a efectos de cumplimiento normativo

¿Cómo se representa la posibilidad de elegir entre refuerzos de seguridad?

Entre corchetes y separados por 'o'

¿Qué color indica que una medida se aplica solo en categoría ALTA?

Rojo

¿Cuál de los siguientes elementos no forma parte de la política de seguridad según los requisitos?

El análisis de riesgos

¿Qué indica un refuerzo de seguridad marcado como 'R'?

Aumenta la exigencia de seguridad

Los procedimientos de seguridad deben incluir requisitos relacionados con:

Normas de uso y responsabilidad

Para establecer la estructura del comité de seguridad, se debe detallar:

Ámbito de responsabilidad y personas integrantes

Según la normativa, un refuerzo de seguridad opcional puede aplicarse cuando:

El análisis de riesgos lo recomienda

¿Qué se espera de la documentación de seguridad según los requisitos establecidos?

Debe ser accesible y gestionada adecuadamente

¿Qué implican los colores usados en la clasificación de medidas de seguridad?

Indican diferentes categorías de cumplimiento

¿Qué se retendrá en el registro de actividades de los usuarios según el real decreto?

Información estrictamente necesaria

¿Cuál es un objetivo de analizar las comunicaciones entrantes o salientes según el real decreto?

Impedir el acceso no autorizado

¿Qué se requiere para corregir o exigir responsabilidades a los usuarios que acceden al sistema?

Una identificación única

¿Qué documentará la entidad titular sobre la gestión de incidentes de seguridad?

Procedimientos de gestión de incidentes

Según el real decreto, ¿qué debe garantizarse para asegurar la continuidad de las operaciones?

Copias de seguridad

¿Qué implica el enfoque de mejora continua del proceso de seguridad?

Actualizar y mejorar de forma regular el proceso

¿Cuáles son las medidas mínimas a adoptar según el real decreto?

Medidas adaptables a las necesidades específicas de los sistemas

¿Qué papel juegan las infraestructuras comunes en el cumplimiento del real decreto?

Facilitan el cumplimiento de las disposiciones

¿Qué describe el concepto de 'Declaración de Aplicabilidad' mencionada en el decreto?

La formalización de medidas de seguridad adoptadas

¿Qué se considera al establecer medidas de seguridad según el real decreto?

La tecnología utilizada y los riesgos identificados

Las medidas de seguridad pueden ser reemplazadas por otras compensatorias siempre que:

Se justifiquen por su eficacia

¿Qué factores se toman en cuenta para la implementación de perfiles de cumplimiento específicos?

El análisis de riesgos y la categoría de seguridad

¿Qué aspecto de los sistemas de información es crucial para prevenir ataques según el real decreto?

La actualización de protocolos de seguridad

¿Cuál es la función principal del CCN en relación con la ciberseguridad en el sector público?

Desarrollar un programa de formación y herramientas necesarias.

Según el artículo 36, ¿qué se incluye en el ciclo de vida de los servicios y sistemas?

Especificaciones de seguridad y procedimientos de control.

¿Qué se requiere para los sistemas de categoría MEDIA o ALTA según el artículo 38?

Una auditoría para la certificación de conformidad.

¿Cuál es el principio bajo el cual se determina la categoría de seguridad de un sistema de información?

Equilibrio entre importancia y esfuerzo de seguridad.

¿A quién corresponde la facultad para modificar la categoría de seguridad de un sistema?

Los responsables de la información o servicios afectados.

¿Qué involucra la actualización permanente del Esquema Nacional de Seguridad (ENS)?

Adaptación a nuevos estándares y riesgos emergentes.

¿Qué tipo de capacitación se propone para el personal de las entidades del sector público?

Sensibilización y formación en ciberseguridad.

¿Qué se asegura con la publicidad de las declaraciones y certificaciones de conformidad?

Confianza en la gestión de la ciberseguridad.

Según el artículo 41, ¿quién es responsable de la seguridad de un sistema de información?

Los responsables de la seguridad y de la información afectada.

¿Qué se busca lograr a través de los mecanismos de control establecidos por las entidades según el artículo 37?

Cumplimiento efectivo del ENS.

¿Qué se entiende por el principio de proporcionalidad en la categorización de sistemas?

La seguridad debe ser suficiente para los riesgos identificados.

¿Qué organismo es responsable de garantizar la interoperabilidad en ciberseguridad según el artículo 35?

CCN.

¿Qué tipo de entidad llevará a cabo la autoevaluación para la conformidad según el artículo 38?

Entidades con sistemas de categoría BÁSICA.

¿Qué entidad del sector público debe notificar al CCN sobre incidentes significativos en la seguridad de los sistemas de información?

Las entidades del sector público

¿Cuál es la función principal del CSIRT de referencia cuando un operador esencial sufre un incidente?

Coordinarse con el Ministerio del Interior a través de su Oficina de Coordinación

¿Quién debe participar en la autorización de la reconexión tras un incidente de seguridad que afecta al ámbito de la Intervención General?

La Intervención General de la Administración del Estado

¿Qué tipo de incidentes deben notificar las organizaciones del sector privado que prestan servicios a entidades públicas?

Incidentes que les afecten a ellos

¿Qué rol ejerce el CCN tras un incidente de seguridad según el contenido proporcionado?

Determinar el riesgo de reconexión del sistema afectado

¿Con qué finalidad se elaboran las series de documentos CCN-STIC?

Para ofrecer recomendaciones sobre seguridad de la información

¿Qué se busca lograr con la formación destinada al personal del sector público en el área de seguridad de la información?

Facilitar la actualización de conocimientos

¿Qué aspecto se debe considerar al analizar el impacto de un incidente en un operador con incidencia en la Defensa Nacional?

Si el incidente puede impactar en el funcionamiento del Ministerio de Defensa

¿Qué tipo de información debe recopilar el CCN-CERT para investigar un incidente de seguridad?

Registros de auditoría y configuraciones de los sistemas afectados

¿Cuáles son los servicios que el CCN-CERT debe prestar tras un incidente de seguridad?

Soporte y coordinación para el tratamiento de vulnerabilidades

¿Qué debe hacer el operador crítico tras sufrir un incidente relevante?

Informar su CSIRT de referencia inmediatamente

¿Cuál es la principal responsabilidad del INCIBE-CERT?

Coordinar la respuesta a incidentes para entidades de derecho privado

¿Qué entidad coordina la respuesta técnica de los CSIRT en el ámbito de la seguridad de la información del sector público?

El CCN

¿Cuál es la duración que tienen los sistemas preexistentes para adecuarse al ENS tras la entrada en vigor del real decreto?

Veinticuatro meses

¿Qué principio debe respetar todas las actuaciones en el marco del Plan de Recuperación?

No causar un perjuicio significativo al medioambiente

¿Cuál de las siguientes dimensiones de seguridad NO se menciona estándarmente?

Resiliencia

¿Qué se debe realizar anualmente según las disposiciones sobre la categoría de seguridad de los sistemas de información?

Una re-evaluación de la categoría de seguridad

¿Qué nivel de seguridad se aplica cuando las consecuencias de un incidente son limitadas?

BAJO

¿Qué normativa queda derogada por el nuevo real decreto?

Real Decreto 3/2010

¿Quién tiene la autoridad para dictar las disposiciones necesarias para la aplicación del real decreto?

La persona titular del Ministerio de Asuntos Económicos

¿Cuáles son las consecuencias de un incidente catalogado como de nivel MEDIO?

Causar un perjuicio moderado

¿Qué condición se menciona para los sistemas de información que ya tenían Distintivos de Conformidad antes de la entrada en vigor del real decreto?

Pueden renovar sus distintivos de conformidad.

¿Cuántas dimensiones de seguridad deben considerarse para determinar la categoría de seguridad de un sistema?

Cinco

¿Cuándo entrará en vigor el real decreto tras su publicación?

Al mes siguiente

¿Qué se entiende por perjuicio limitado en el nivel BAJO de seguridad?

El incumplimiento formal de una ley

¿Qué principios competenciales atribuye la Constitución al Estado según el real decreto?

Régimen jurídico de administraciones públicas y telecomunicaciones

¿Qué implica la entrada en vigor del nuevo real decreto?

La derogación de normas contradictorias

¿Qué se entiende por perjuicio grave dentro de un incidente de seguridad?

La reducción significativa de la capacidad organizativa para desarrollar sus funciones.

¿Cuál de las siguientes definiciones corresponde a un nivel ALTO de seguridad?

La anulación efectiva de la capacidad organizativa.

Según el sistema de categorización de seguridad, ¿cómo se clasifica un sistema de información que alcanza un nivel de seguridad MEDIO?

MEDIA.

¿Qué implica la selección de medidas de seguridad en relación a las dimensiones relevantes?

Evaluar según la categoría de seguridad del sistema y sus dimensiones.

¿Qué ocurre con la categoría de seguridad de un sistema si ninguna de sus dimensiones alcanza un nivel superior?

La categoría se considerará MEDIO.

¿Qué medidas de seguridad se centran en proteger activos concretos?

Medidas de protección.

¿Qué representa el nivel de seguridad más alto de un sistema de información?

Al menos una dimensión alcanza el nivel ALTO.

¿Cuál es un objetivo fundamental al determinar la categoría de seguridad de un sistema de información?

Identificar el nivel de seguridad correspondiente a cada dimensión.

¿Qué se necesita para aplicar un nivel de medidas de seguridad diferente en subsistemas?

Los subsistemas deben poder segregarse del sistema principal.

¿Cuál es un efecto de un incidente de seguridad en la categoría BÁSICA?

Causar un daño menor a una persona.

¿Cuál de las siguientes es una característica de un sistema de categoría ALTA?

Al menos una dimension debe alcanzar un nivel ALTO.

¿Qué implica un perjuicio muy grave en relación a las dimensiones de seguridad?

La incapacidad total para cumplir funciones.

¿Qué se requiere para la adecuada categorización de seguridad de los sistemas de información?

Seguir los criterios establecidos por las guías CCN-STIC.

¿Cuál de las siguientes medidas no corresponde a un marco operativo?

Establecer políticas organizativas de seguridad.

¿Con qué frecuencia se debe realizar una auditoría regular ordinaria de los sistemas de información según lo estipulado?

Cada dos años

¿Qué tipo de auditoría debe realizarse siempre que ocurran modificaciones sustanciales en los sistemas de información?

Auditoría extraordinaria

¿Quién es responsable de hacer un análisis del informe de auditoría?

El responsable de la seguridad

¿Qué debe incluir un informe de auditoría según las especificaciones?

Los hallazgos de cumplimiento e incumplimiento

¿Cuál es una de las funciones del CCN según lo mencionado?

Articular la respuesta a incidentes de seguridad

¿Qué se contempla en las instrucciones técnicas de seguridad relacionadas con sistemas en la nube?

Condiciones para su evaluación y auditoría

¿Qué aspecto puede llevar a la extensión del plazo de auditoría regular ordinaria?

Impedimentos de fuerza mayor

¿Cuál es el objetivo del CCN al recoger información sobre el estado de la seguridad?

Elaborar un perfil general del estado de la seguridad

¿Qué requisitos debe cumplir un sistema de categoría ALTA tras una auditoría?

Puede ser suspendido hasta que se subsanen deficiencias

¿Qué niveles de cumplimiento se deben atender durante la auditoría de seguridad?

Categorías y perfiles específicos

¿Cuál es el rol del CCN en la seguridad de los sistemas de información?

Coordinar las respuestas a incidentes a nivel nacional

¿Qué debe hacerse si se producen incidentes de seguridad según la estructura CCN-CERT?

Articular la respuesta a nivel nacional

¿Qué se requiere para el tratamiento y explotación de la información sobre el estado de la seguridad?

Procedimientos y aspectos metodológicos

¿Cuál es uno de los objetivos de las auditorías de seguridad?

Evaluar el cumplimiento de requerimientos del ENS

¿Cuál es el principal objetivo de la interoperabilidad en las administraciones públicas?

Facilitar la prestación conjunta de servicios.

¿Qué recoge el artículo 156 de la Ley 40/2015?

El Esquema Nacional de Interoperabilidad (ENI).

¿Qué aspecto NO se menciona como parte de las condiciones necesarias para la cooperación entre administraciones públicas?

Formación continua del personal.

¿Quién coordina el trabajo para la elaboración del Esquema Nacional de Interoperabilidad?

El Ministerio de Política Territorial y Función Pública.

¿Qué papel tienen las normas técnicas de interoperabilidad?

Concretan detalles para facilitar la interoperabilidad.

¿Qué se busca asegurar mediante la interoperabilidad entre las administraciones públicas?

La seguridad y protección de datos personales.

¿Cuál es uno de los resultados esperados de la interoperabilidad según la Ley 40/2015?

Mayor eficacia en la prestación de servicios.

¿A qué se refiere el Esquema Nacional de Interoperabilidad (ENI)?

A criterios y recomendaciones sobre seguridad y normalización de información.

¿Cuál es uno de los principales objetivos del Esquema Nacional de Interoperabilidad (ENI)?

Crear condiciones para la interoperabilidad y el ejercicio de derechos

¿Qué elemento se incluye en la interoperabilidad organizativa según el ENI?

El mantenimiento de inventarios de información administrativa

¿Cómo se define la interoperabilidad técnica en el marco del ENI?

Garantizar la independencia en la elección y adaptación

¿Cuál es un aspecto que se contempla en la reutilización dentro del ENI?

La consulta de soluciones disponibles para libre reutilización

¿Qué principios básicos de la interoperabilidad se mencionan en el ENI?

Interoperabilidad multidimensional y soluciones multilaterales

¿Qué papel tiene la Red SARA según el ENI?

Facilitar la conectividad entre administraciones públicas

¿Qué se busca con la política de firma electrónica y certificados en el ENI?

Establecer un estándar para la firma electrónica utilizado por otras administraciones

¿Qué aspecto de interoperabilidad se relaciona con los modelos de datos de intercambio?

Interoperabilidad semántica

¿Cuál es una de las categorías en que se estructuran los controles de auditoría del ENI?

Marco organizativo

¿Qué se busca evitar con el ENI en la toma de decisiones tecnológicas de las administraciones públicas?

Discriminación por elección tecnológica

¿Cuál es la relación entre la interoperabilidad y la seguridad según el ENI?

Ambas se conciben desde una perspectiva integral

¿Qué se establece a través de la Disposición adicional primera en el ENI?

Creación de normas técnicas de interoperabilidad

¿Qué es esencial para valorar el cumplimiento del ENI?

Auditoría de cumplimiento del ENI

¿Qué objetivo tiene la participación de la industria en las políticas de interoperabilidad según el ENI?

Comunicar los requisitos de interoperabilidad

¿Cuál de los siguientes principios se centra en la vigilancia continua y la reevaluación periódica de la seguridad?

Existencia de líneas de defensa

En el contexto del Esquema Nacional de Seguridad, ¿qué aspecto NO se menciona específicamente en los artículos relacionados con la política de seguridad?

Instrucción y capacitación del personal

El artículo 20 se refiere al principio del mínimo privilegio. ¿Qué significa este principio en la gestión de la seguridad?

Limitar el acceso a solo lo necesario para el cumplimiento de funciones

En referencia a la auditoría de la seguridad, ¿qué se espera que haga la administración en virtud del artículo 31?

Realizar auditorías de seguridad de manera periódica y estructurada

¿Cuál de los siguientes artículos establece la importancia de la mejora continua en el proceso de seguridad?

Artículo 27

¿Cuál de las siguientes leyes establece la obligación de aplicar medidas de seguridad a los tratamientos de datos personales por parte de autoridades públicas competentes?

Ley Orgánica 7/2021

¿Qué reglamento europeo se menciona como relacionado con la identificación electrónica y servicios de confianza en transacciones electrónicas?

Reglamento eIDAS

¿Cuál es una de las finalidades del Esquema Nacional de Seguridad (ENS) mencionado en el contenido?

Asegurar la disponibilidad, integridad y confidencialidad de la información

¿Qué disposición adicional de la Ley Orgánica 3/2018 ordena la implantación de medidas de seguridad para el tratamiento de datos personales?

Primera

¿Qué entidad queda bajo el marco de regulación de la Directiva NIS (Security of Network and Information Systems)?

Los operadores de servicios esenciales

¿Cuál es uno de los objetivos específicos de la Estrategia Nacional de Ciberseguridad 2019?

Consolidar un marco nacional coherente de protección de datos

¿Cuántas líneas de acción se proponen para alcanzar los objetivos de la Estrategia Nacional de Ciberseguridad 2019?

Siete

¿Cuál es la principal ventaja de introducir un 'perfil de cumplimiento específico' en el ENS?

Permite adaptar el ENS a la realidad de diferentes colectivos.

¿Qué relación existe entre el Plan de Digitalización de las Administraciones Públicas y el ENS?

El Plan incluye la actualización del ENS para mejorar la ciberseguridad.

¿Qué se menciona como una necesidad para abordar la evolución de las amenazas cibernéticas?

Aumentar recursos económicos y humanos

¿Cuál es uno de los riesgos que enfrenta el ciberespacio según el contexto actual?

Injerencias extranjeras que afectan procesos democráticos

¿Cuál es uno de los principios básicos que deben regir el ENS según el capítulo II?

Diferenciación de responsabilidades.

¿Qué debes considerar al aplicar los requisitos del ENS a los sistemas del sector privado?

Deben garantizar el mismo nivel de seguridad que el sector público.

¿Qué acuerdo se alcanzó el 9 de marzo en el Parlamento Europeo relacionado con la ciberseguridad?

Resolución sobre injerencias extranjeras en la democracia

¿Cuál es uno de los efectos evidentes de los cambios en la ciberseguridad en España y la Unión Europea desde 2010?

Incremento en la transformación digital y ciberataques más sofisticados.

Según la Estrategia Nacional de Ciberseguridad 2021, ¿qué caracteriza al ciberespacio como un desafío para la Seguridad Nacional?

Su naturaleza interconectada y falta de soberanía clara.

¿Qué aspecto se aborda en la disposición transitoria del real decreto?

El periodo de tiempo para la implementación de las reformas.

¿Cuál es un principio clave que deben seguir las administraciones públicas al relacionarse entre sí según la Ley 40/2015?

Interoperabilidad y seguridad de los sistemas.

El Real Decreto 1008/2017 establece la Estrategia de Seguridad Nacional 2017. ¿Qué aspecto enfatiza especialmente?

La ciberseguridad como un ámbito de especial interés.

¿Qué destaca el artículo 10 de la Ley 36/2015 referente a la ciberseguridad?

Requiere atención específica para preservar derechos y libertades.

¿Cuál es uno de los requisitos mínimos establecidos en los artículos 12 a 27 para el proceso de seguridad?

Gestión de personal

Según el artículo 28, ¿qué se requiere para adaptar las medidas de seguridad establecidas en el anexo II?

Documentación que justifique su equivalencia

El capítulo VI del real decreto se centra en la obligación de:

Actualizar permanentemente las normativas de seguridad

¿Cuál de las siguientes disposiciones adicionales regula las instrucciones técnicas de seguridad?

Segunda disposición adicional

¿Qué aspecto se aborda en el artículo 32 respecto al estado de la seguridad?

La participación de la Comisión Sectorial de Administración Electrónica

El marco organizativo del anexo II se refiere a qué aspecto de la seguridad?

La gestión global de la seguridad dentro de la organización.

La modificación de las medidas de seguridad del anexo II busca principalmente:

Adaptar las medidas a las ciberamenazas actuales.

El principio de proporcionalidad en la regulación de seguridad implica que:

La regulación debe ser suficiente para alcanzar los objetivos de seguridad.

El Esquema Nacional de Seguridad se aplica a los sistemas de información que:

Son utilizados por entidades públicas en su desempeño.

El principio de transparencia en la elaboración del real decreto se refiere a:

La necesidad de públicas de los procesos de consulta y audiencia.

¿Qué aspecto NO se considera parte de la gestión de la seguridad según el artículo 7?

Prevención de amenazas externas

Según el artículo 5, ¿cuál de los siguientes principios básicos NO está relacionado con el Esquema Nacional de Seguridad?

Conformidad con normativas internacionales

¿Qué medida se prioriza según el artículo 6 en la construcción de un proceso de seguridad integral?

Concienciación de los responsables jerárquicos

En referencia al tratamiento de datos personales, ¿cuál es una exigencia bajo el Reglamento (UE) 2016/679 mencionada en el artículo 3?

Obtener el consentimiento explícito del afectado

Según el artículo 4, ¿cuál de las siguientes leyes complementa los requisitos para la gestión de seguridad en redes 5G?

Real Decreto-ley 7/2022

Study Notes

El Esquema Nacional de Seguridad (ENS)

• El Real Decreto 3/2010, de 8 de enero, estableció el ENS para garantizar la seguridad de la información y los servicios de las entidades del sector público.
• El ENS buscaba establecer medidas para la seguridad de sistemas, datos, comunicaciones y servicios electrónicos, facilitando el ejercicio de derechos y obligaciones de los ciudadanos.
• La progresiva transformación digital de la sociedad, el nuevo escenario de la ciberseguridad y el avance de las tecnologías han generado la necesidad de actualizar el ENS.

Cambios en el Entorno de Ciberseguridad

• Existe un notable incremento de los ciberataques con mayor sofisticación y actores con mayores capacidades técnicas.
• La dependencia de las tecnologías de la información y la comunicación (TIC) aumenta el impacto de las amenazas cibernéticas.
• Se reconoce la importancia de la ciberseguridad en el ámbito de la seguridad nacional y la necesidad de políticas para proteger los derechos y libertades de los ciudadanos.

Evolución del Marco Legal sobre Seguridad

• Desde 2010, se han modificado tanto el marco europeo como el español en relación a la seguridad nacional, regulación del procedimiento administrativo, el régimen jurídico del sector público, la protección de datos personales y la seguridad de las redes y sistemas de información.
• La Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, considera la ciberseguridad de especial interés para la seguridad nacional.
• El Real Decreto 1008/2017, de 1 de diciembre, y el Real Decreto 1150/2021, de 28 de diciembre, aprueban la Estrategia de Seguridad Nacional, identificando al ciberespacio como un espacio global con riesgos específicos.
• La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, amplía el ámbito de aplicación del ENS al sector público, promoviendo la interoperabilidad y seguridad de los sistemas.
• La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, incluye el derecho a la protección de datos personales en las relaciones con las administraciones públicas.
• El Real Decreto 203/2021, de 30 de marzo, concreta la obligación de cumplimiento de las medidas de seguridad del ENS en la actuación y funcionamiento del sector público por medios electrónicos.

Actualizaciones y Adaptaciones del ENS

• El Real Decreto 951/2015, de 23 de octubre, actualizó el ENS a la luz de la experiencia y conocimiento en su aplicación, la situación de la ciberseguridad y la evolución del marco legal.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, modificó las medidas de seguridad del ENS en el tratamiento de datos personales, al considerar que las medidas de seguridad del ENS también se deben aplicar a las entidades del sector privado que colaboren con entidades públicas en la prestación de servicios públicos.
• La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, ha establecido la obligación de aplicar las medidas del ENS a los tratamientos de datos personales por parte de las autoridades públicas competentes.

Marco Legal Europeo y Nacional sobre Seguridad de Redes y Sistemas de Información

• El Reglamento (UE) N.º 526/2013 del Parlamento Europeo y del Consejo de 21 de mayo de 2013 relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA).
• El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación.
• La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS).
• El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en España, ha sido desarrollado por el Real Decreto 43/2021, de 26 de enero.

Importancia de la Ciberseguridad

• La Estrategia de Seguridad Nacional de 2017 reconoce la importancia de fortalecer las capacidades de prevención, detección y respuesta a los ciberataques.
• El Consejo de Seguridad Nacional aprobó la Estrategia Nacional de Ciberseguridad 2019, con el objetivo de establecer directrices generales en el ámbito de la ciberseguridad.
• El Plan Nacional de Ciberseguridad, aprobado en 2022, incluye cerca de 150 iniciativas para fortalecer la ciberseguridad en los próximos tres años.
• La Estrategia Nacional de Ciberseguridad 2019 también destaca la necesidad de un marco nacional coherente que garantice la protección de la información y de los datos personales.

Necesidad de Actualizar el ENS

• La evolución de las amenazas, los vectores de ataque, los mecanismos de respuesta y la necesidad de mantener la conformidad con las regulaciones europeas y nacionales de aplicación, exigen la adaptación de las medidas de seguridad.
• Fortalecer la ciberseguridad demanda recursos económicos, humanos y tecnológicos.
• El riesgo en el ciberespacio es demasiado grande para que el sector público o las empresas lo aborden por sí solos, requiriendo la colaboración de ambos.

Razones para Actualizar el ENS

• Alinear el ENS con el marco normativo y estratégico existente para garantizar la seguridad en la administración digital.
• Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad específica de ciertos colectivos o tipos de sistemas.

Esquema Nacional de Seguridad (ENS)

• El Real Decreto regula el Esquema Nacional de Seguridad (ENS) establecido en la Ley 40/2015 de Régimen Jurídico del Sector Público.
• El ENS define los principios básicos y requisitos mínimos para proteger la información y los servicios del sector público.
• Se aplica a todas las entidades del sector público, incluyendo los sistemas de información que tratan información clasificada.
• También se aplica a los sistemas de información del sector privado que presten servicios a las entidades públicas.
• El objetivo del ENS es garantizar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de la información.

Principios básicos del ENS

• Seguridad Integral: considerar todos los aspectos de la seguridad.
• Gestión de la seguridad basada en los riesgos: identificar, analizar, evaluar y gestionar los riesgos.
• Prevención, detección, respuesta y conservación: detectar y responder a los incidentes, y conservar la integridad de la información.
• Existencia de líneas de defensa: establecer capas de protección para evitar que un solo fallo comprometa todo el sistema.
• Vigilancia continua y reevaluación periódica: monitorear el entorno y actualizar las medidas de seguridad según sea necesario.
• Diferenciación de Responsabilidades: asignar responsabilidades por la seguridad del sistema.

Requisitos mínimos del ENS

• Organización e implantación del proceso de seguridad: establecer un proceso de gestión de seguridad.
• Gestión de riesgos: analizar, evaluar y gestionar los riesgos identificados.
• Gestión de personal: asegurar que el personal tenga la formación y los conocimientos adecuados.
• Profesionalidad: asegurar la competencia y la cualificación del personal responsable de las acciones de seguridad.
• Autorización y control de accesos: controlar el acceso a la información en función del rol y la necesidad de cada usuario.
• Protección de las instalaciones: proteger las instalaciones físicas donde se encuentran los sistemas de información.
• Adquisición de productos de seguridad y contratación de servicios de seguridad: asegurar que los productos y servicios utilizados sean seguros.
• Mínimo privilegio: otorgar a los usuarios solo los permisos necesarios para realizar su trabajo.
• Integridad y actualización del sistema: instalar actualizaciones de seguridad para corregir vulnerabilidades.
• Protección de la información almacenada y en tránsito: proteger la información tanto durante el almacenamiento como en tránsito.
• Prevención ante otros sistemas de información interconectados: gestionar los riesgos de conexión con otros sistemas.
• Registro de la actividad y detección de código dañino: registrar la actividad del sistema y detectar posibles amenazas.
• Incidentes de seguridad: establecer procedimientos para la gestión de incidentes.
• Continuidad de la actividad: asegurar la continuidad de los servicios en caso de incidentes.
• Mejora continua del proceso de seguridad: evaluar y mejorar continuamente el proceso de seguridad

Perfiles de cumplimiento específicos

• El Real Decreto introduce el concepto de perfiles de cumplimiento específicos que pueden ser aprobados por el Centro Criptológico Nacional.
• Estos perfiles permiten una mejor adaptación del ENS a las necesidades de cada entidad, optimizando los recursos y manteniendo un nivel de seguridad adecuado.
• La norma permite la implementación de esquemas de acreditación para asegurar la implementación de configuraciones seguras.

### Auditoría de la seguridad

• El Real Decreto establece un proceso de auditoría para evaluar el cumplimiento del ENS.
• El proceso de auditoría se describe en el artículo 31.

### Informe del estado de la seguridad

• El artículo 32 define el papel de la Comisión Sectorial de Administración Electrónica, el CCN y los órganos competentes en la elaboración del informe del estado de la seguridad.

### Respuesta a incidentes de seguridad

• El Real Decreto regula la respuesta a incidentes de seguridad, tanto para entidades del sector público como para entidades privadas proveedora de servicios.

Normas de conformidad

• Administración Digital (artículo 35)
• Ciclo de vida de servicios y sistemas (artículo 36)
• Mecanismos de control (artículo 37)
• Procedimientos de determinación de la conformidad con el ENS (artículo 38)

Actualización del ENS

• El artículo 39 establece la obligatoriedad de actualización permanente del ENS.

### Categorización de los sistemas de información

• El artículo 40 define las categorías de seguridad de los sistemas de información.
• El artículo 41 establece las facultades para la categorización de los sistemas de información.

###  Disposiciones adicionales

• La primera disposición adicional regula los programas de sensibilización, concienciación y formación para el personal del sector público.
• La segunda disposición adicional regula las instrucciones técnicas de seguridad y las guías de seguridad de las tecnologías de la información y la comunicación.
• La tercera disposición adicional establece el cumplimiento del principio "do not significant harm" (DNSH) en materia de medioambiente.

Disposiciones transitorias

• La disposición transitoria única fija un plazo de veinticuatro meses para que los sistemas de información que existían antes de la entrada en vigor del Real Decreto se adapten al ENS.

### Disposiciones derogatorias

• Se deroga el Real Decreto 3/2010 de 8 de enero, así como otras disposiciones que se opongan a lo dispuesto en este Real Decreto.

### Disposiciones finales

• La primera disposición final enumera los títulos competenciales.
• La segunda disposición final habilita al Ministerio de Asuntos Económicos y Transformación Digital para dictar las disposiciones necesarias para la aplicación y desarrollo del Real Decreto.
• La tercera disposición final ordena la entrada en vigor del Real Decreto el día siguiente a su publicación en el Boletín Oficial del Estado.

### Anexos

• El anexo I regula las categorías de seguridad de los sistemas de información.
• El anexo II detalla las medidas de seguridad divididas en tres grupos: marco organizativo, marco operacional y medidas de protección.
• El anexo III se ocupa de la auditoría de la seguridad.
• El anexo IV incluye el glosario de términos y definiciones.

### Principios de buena regulación

• El Real Decreto cumple con los principios de buena regulación, como necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.
• El Real Decreto se ajusta al Plan Anual Normativo de la Administración General del Estado para el año 2022.
• El proyecto ha sido sometido a consulta a las comunidades autónomas, la Federación Española de Municipios y Provincias, la Comisión Sectorial de Administración Electrónica, la Comisión Nacional de los Mercados y la Competencia y la Agencia Española de Protección de Datos.
• El Real Decreto no introduce ninguna variación en materia de cargas administrativas.

### Principios básicos del Esquema Nacional de Seguridad

• El objetivo último de la seguridad de la información es garantizar que una organización puede cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información.

• La seguridad se entiende como un proceso integral que incluye todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información.

• El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.

• La seguridad del sistema debe contemplar las acciones relativas a la prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.

• El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.

• La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.

• Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección.

Política de Seguridad y Requisitos Mínimos de Seguridad

• Cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente.

• En la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del Departamento.

• La Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital dispondrá de su propia política de seguridad, que será aprobada por la persona titular de la misma.

• La política de seguridad se establecerá de acuerdo con los principios básicos señalados en el capítulo II y se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos de seguridad y contratación de servicios de seguridad.
  • Mínimo privilegio.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de la actividad y detección de código dañino.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

### Organización e Implantación del Proceso de Seguridad

• La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.

• La política de seguridad, en aplicación del principio de diferenciación de responsabilidades, deberá ser conocida por todas las personas que formen parte de la organización e identificar de forma inequívoca a los responsables de velar por su cumplimiento.

• El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos.

• En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado.

Análisis y Gestión de los Riesgos

• Cada organización que desarrolle e implante sistemas para el tratamiento de la información o la prestación de servicios realizará su propia gestión de riesgos.

• Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.

Gestión de Personal

• El personal, propio o ajeno, relacionado con los sistemas de información deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad.

• El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente.

Profesionalidad

• La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida.

• Las entidades del ámbito de aplicación de este real decreto exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.

• Las organizaciones determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.

Autorización y Control de los Accesos

• El acceso controlado a los sistemas de información deberá estar limitado a los usuarios, procesos, dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.

Protección de las Instalaciones

- Los sistemas de información y su infraestructura de comunicaciones asociada deberán permanecer en áreas controladas y disponer de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.

### Adquisición de Productos de Seguridad y Contratación de Servicios de Seguridad

• En la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación de este real decreto, se utilizarán aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

Mínimo Privilegio

• Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño.

• Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.

Integridad y Actualización del Sistema

• La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.

• La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten.

Protección de Información Almacenada y en Tránsito

• En la organización e implantación de la seguridad se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.

• Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información cuando ello sea exigible.

• Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica deberá estar protegida con el mismo grado de seguridad que ésta.

Prevención ante otros Sistemas de Información Interconectados

• Se protegerá el perímetro del sistema de información, especialmente, si se conecta a redes públicas, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.

• Se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión.

Registro de Actividad y Detección de Código Dañino

• El sistema deberá registrar toda actividad susceptible de afectar a la seguridad del sistema, incluyendo el acceso a recursos, la ejecución de comandos, la configuración del sistema y las operaciones de los usuarios.

• El sistema deberá ser capaz de detectar y bloquear código dañino. ### Registro de actividad

• Se registrarán las actividades de los usuarios para analizar, investigar y documentar actividades indebidas o no autorizadas.

• La información recopilada permitirá identificar a la persona que realiza cada acción.

• Se aplicarán las normas de protección de datos personales, función pública o laboral.

Seguridad de los sistemas de información

• Se analizarán las comunicaciones entrantes y salientes para garantizar la seguridad de los sistemas de información.
• El análisis se realizará de forma limitada y proporcionada con el objetivo de impedir el acceso no autorizado a las redes y sistemas de información.
• Se utilizarán los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación establecidos en el Reglamento General de Protección de Datos.

### Incidentes de seguridad

• Cada entidad titular de los sistemas de información deberá contar con procedimientos de gestión de incidentes de seguridad.
• Estos procedimientos deben estar alineados con la Instrucción Técnica de Seguridad correspondiente y, en caso de tratarse de un operador de servicios esenciales o un proveedor de servicios digitales, de acuerdo con el anexo del Real Decreto 43/2021.
• Se implementarán mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, además de cauces de comunicación a las partes interesadas y el registro de las actuaciones.
• El registro de las acciones servirá para mejorar continuamente la seguridad del sistema.

Continuidad de la actividad

• Los sistemas contarán con copias de seguridad para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.

Mejora continua del proceso de seguridad

• El proceso de seguridad del sistema se actualizará y mejorará continuamente.
• Se aplicarán los criterios y métodos reconocidos a nivel nacional e internacional para la gestión de la seguridad de las tecnologías de la información.

Cumplimiento de los requisitos mínimos

• Las entidades deberán adoptar las medidas y refuerzos de seguridad indicados en el anexo II.
• Las medidas mínimas se definirán en base a los activos de los sistemas de información, la categoría del sistema y las decisiones para la gestión de riesgos.
• El responsable de seguridad podrá incluir medidas adicionales en función del estado de la tecnología, la naturaleza de la información tratada o los servicios prestados.
• Se formalizará una Declaración de Aplicabilidad, firmada por el responsable de seguridad, que detalla la relación de medidas de seguridad seleccionadas.
• Las medidas de seguridad del anexo II podrán ser reemplazadas por otras compensatorias, siempre que protejan del riesgo de forma equivalente o mejor.
• La Declaración de Aplicabilidad incluirá la correspondencia entre las medidas compensatorias implementadas y las medidas del anexo II.

Infraestructuras y servicios comunes

• Se fomenta la utilización de infraestructuras y servicios comunes de las administraciones públicas para facilitar el cumplimiento del real decreto.
• Cada administración pública determinará los supuestos concretos de utilización de estas infraestructuras y servicios.

Perfiles de cumplimiento específicos y acreditación de entidades

• Se podrán implementar perfiles de cumplimiento específicos para determinadas entidades o sectores de actividad, con medidas de seguridad adaptadas a sus características.
• Se implementarán esquemas de acreditación de entidades y validación de personas para garantizar la seguridad de las soluciones o plataformas suministradas por terceros.
• El CCN validará y publicará los perfiles de cumplimiento específicos y los esquemas de acreditación y validación.
• Las condiciones para la implementación local de sistemas o servicios originalmente en la nube se detallarán en las instrucciones técnicas de seguridad.

Auditoría de la seguridad

• Se realizarán auditorías regulares a los sistemas de información, al menos cada dos años, para verificar el cumplimiento del Esquema Nacional de Seguridad (ENS).
• Se deberá realizar una auditoría extraordinaria en caso de modificaciones sustanciales en el sistema.
• La categoría del sistema y el perfil de cumplimiento específico determinarán la frecuencia de la auditoría.
• Se aplicarán criterios, métodos de trabajo y normalización nacional e internacional reconocidos.
• El informe de auditoría deberá dictaminar sobre el cumplimiento del real decreto, identificando hallazgos de cumplimiento e incumplimiento.
• El informe también deberá incluir los criterios metodológicos de auditoría, el alcance y el objetivo de la auditoría, los datos y observaciones que sustentan las conclusiones.
• Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad.
• El responsable de seguridad analizará el informe y presentará sus conclusiones al responsable del sistema para que se tomen medidas correctoras.
• El responsable del sistema podrá suspender temporalmente el tratamiento de información si se detectan deficiencias graves.
• Los informes de auditoría podrán ser requeridos por los responsables de cada organización y por el CCN.

Informe del estado de la seguridad

• La Comisión Sectorial de Administración Electrónica recopilará información sobre el estado de la seguridad en los sistemas de información.
• Se elaborará un informe general del estado de la seguridad, que incluirá un perfil del estado de la seguridad en las entidades titulares de los sistemas de información.
• El CCN articulará los procedimientos para la recogida, consolidación y tratamiento de la información.
• Los resultados del informe se utilizarán para impulsar medidas que mejoren continuamente el estado de la seguridad.

### Capacidad de respuesta a incidentes de seguridad

• El CCN articulará la respuesta a los incidentes de seguridad a través de la estructura CCN-CERT.
• Las entidades del sector público deberán notificar al CCN los incidentes con impacto significativo en la seguridad de los sistemas de información.
• La coordinación entre los CSIRT de referencia, el Ministerio del Interior y el ESPDEF-CERT del Mando Conjunto del Ciberespacio se activa en caso de incidente en operadores esenciales y operadores con incidencia en la Defensa Nacional.
• El CCN ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT).
• El CCN-CERT determinará el riesgo de reconexión del sistema afectado y recomendará medidas para reducir el impacto.
• La Secretaría General de Administración Digital autorizará la reconexión a los medios y servicios comunes, tras un informe del CCN-CERT sobre el nivel de riesgo.
• Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán los incidentes a INCIBE-CERT, que informará al CCN-CERT.

Prestación de servicios de respuesta a incidentes de seguridad

• El CCN-CERT prestará servicios de soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad.
• Se recabarán informes, registros de auditoría y configuraciones de los sistemas afectados para investigar los incidentes.
• Se investigarán y divulgarán las mejores prácticas sobre seguridad de la información.
• Se ofrecerá formación al personal del sector público especialista en seguridad de las tecnologías de la información.
• Se informará sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información.

### Administración digital

• Se aplicará el real decreto a la seguridad de los sistemas de información que sustentan la administración digital.
• El CCN garantizará la interoperabilidad en materia de ciberseguridad y criptografía.

Ciclo de vida de servicios y sistemas

• Se incluirán las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, junto con los procedimientos de control.

### Mecanismos de control

• Las entidades titulares de los sistemas de información establecerán mecanismos de control para garantizar el cumplimiento del ENS.

### Conformidad con el Esquema Nacional de Seguridad

• Se implementará un proceso para determinar la conformidad de los sistemas de información con el ENS.

• Los sistemas de categoría MEDIA o ALTA deberán someterse a una auditoría para la certificación de su conformidad.

• Los sistemas de categoría BÁSICA solo requerirán de una autoevaluación.

• Los procedimientos de autoevaluación y auditoría se realizarán según lo dispuesto en el artículo 31 y el anexo III. ### Capítulo VI: Actualización del Esquema Nacional de Seguridad

• El ENS se actualizará de forma constante.

• La actualización se adapta a:

  • Los servicios ofrecidos por las entidades públicas.
  • La evolución tecnológica.
  • Los nuevos estándares internacionales de seguridad y auditoría.
  • Los riesgos a los que se expongan los sistemas de información.

Capítulo VII: Categorización de los sistemas de información

• La seguridad de un sistema se determina según la importancia de la información que maneja y los servicios que brinda.
• Se establece un equilibrio entre la importancia de los servicios y el esfuerzo de seguridad necesario, siguiendo el principio de proporcionalidad.
• La categoría de seguridad se define en función del impacto que tendría un incidente de seguridad en la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de la información o los servicios.
• El responsable de la información o los servicios afectados evalúa el impacto potencial.
• El responsable de la seguridad determina la categoría del sistema.

Disposición adicional primera: Formación

• El CCN y el INAP desarrollarán programas de formación, sensibilización y concienciación para el personal de las entidades públicas.
• Estos programas se centran en la ciberseguridad y el ENS.

Disposición adicional segunda: Desarrollo del Esquema Nacional de Seguridad

• La Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital aprobará las instrucciones técnicas de seguridad.
• Estas instrucciones tendrán en cuenta las normas armonizadas por la Unión Europea.
• El CCN elaborará y difundirá guías de seguridad de las tecnologías de la información y la comunicación, especialmente de la serie 800.

Disposición adicional tercera: Respeto al medio ambiente

• Las actuaciones en el marco del PRTR deberán respetar el principio DNSH (Do No Significant Harm) y las condiciones de etiquetado climático y digital.

Disposición transitoria única: Adecuación de sistemas

• Los sistemas de información existentes tendrán 24 meses para adaptarse al ENS.
• Los sistemas preexistentes con distintivos de conformidad podrán mantenerlos durante 24 meses, pero deben renovarse según el Real Decreto 3/2010.
• Los nuevos sistemas de información deben cumplir con el ENS desde su concepción.

Disposición derogatoria única: Derogación normativa

• Se deroga el Real Decreto 3/2010, que regulaba el ENS en el ámbito de la Administración Electrónica.

Disposición final primera: Títulos competenciales

• La competencia exclusiva sobre las bases del régimen jurídico de las administraciones públicas, las telecomunicaciones y la seguridad pública recae en el Estado.

Disposición final segunda: Desarrollo normativo

• El Ministerio de Asuntos Económicos y Transformación Digital dictará las disposiciones necesarias para la aplicación y desarrollo del real decreto.

Disposición final tercera: Entrada en vigor

• Este real decreto entra en vigor al día siguiente de su publicación en el BOE.

Anexo I: Categorías de seguridad de los sistemas de información

• La categoría de seguridad se basa en la evaluación del impacto de un incidente en la organización.
• Se consideran:
  • Impacto en el cumplimiento de objetivos.
  • Impacto en los activos a su cargo.
  • Impacto en la conformidad con el ordenamiento jurídico.
• Se evalúa anualmente o cuando se produce un cambio significativo.
• Se usan cinco dimensiones de seguridad:
  • Confidencialidad (C)
  • Integridad (I)
  • Trazabilidad (T)
  • Autenticidad (A)
  • Disponibilidad (D)
• Cada dimensión se clasifica como BAJO, MEDIO o ALTO, según el impacto.
• Si no se ve afectada, no se asigna ningún nivel.
  • BAJO: perjuicio limitado en las funciones, activos o individuos.
  • MEDIO: perjuicio grave en las funciones, activos o individuos.
  • ALTO: perjuicio muy grave, incluso irreparable, en las funciones, activos o individuos.
• Si un sistema trata información y presta servicios con diferentes niveles de seguridad, se utiliza el nivel más alto.
• Se definen tres categorías de seguridad:
  • ALTA: una o más dimensiones alcanzan el nivel ALTO.
  • MEDIA: una o más dimensiones alcanzan el nivel MEDIO, ninguna llega a ALTO.
  • BÁSICA: una o más dimensiones alcanzan el nivel BAJO, ninguna llega a MEDIO o ALTO.

Anexo II: Medidas de Seguridad

• Se definen tres marcos de medidas:
  • Marco organizativo (ORG): medidas relacionadas con la organización global de la seguridad.
  • Marco operacional (OP): medidas para proteger la operación del sistema como conjunto integral.
  • Medidas de protección (MP): medidas para proteger activos concretos.
• La selección de medidas depende de:
  • Los tipos de activos presentes.
  • Las dimensiones de seguridad relevantes.
  • El nivel de seguridad de cada dimensión.
  • La categoría de seguridad del sistema.
• Se usan guías CCN-STIC para perfiles de cumplimiento específicos.

### Marco organizativo [ORG]

• Política de seguridad [org.1]:
  • Objetivo, misión de la organización.
  • Marco legal y regulatorio.
  • Roles y funciones de seguridad, responsabilidades.
  • Comité de gestión y coordinación de seguridad.
  • Estructura para la documentación de seguridad.
• Normativa de seguridad [org.2]:
  • Uso correcto de equipos, servicios e instalaciones.
  • Responsabilidad del personal, medidas disciplinarias.
• Procedimientos de seguridad [org.3]:
  • Los procedimientos se especifican en las guías CCN-STIC.
• Gestión de riesgos [org.4]:
  • Identificación y análisis de riesgos.
  • Evaluación de la probabilidad y el impacto de los riesgos.
  • Planificación para minimizar los riesgos.
• Planes de respuesta a incidentes [org.5]:
  • Se establecen procesos ante incidentes de seguridad.
  • Se definen los roles y responsabilidades del personal.
  • Se incluyen mecanismos para la recuperación y mitigación.
• Gestión de la configuración del sistema [org.6]:
  • Se registra la configuración del sistema de información.
  • Se registran los cambios realizados en el sistema.
• Gestión de vulnerabilidades [org.7]:
  • Se gestionan las vulnerabilidades identificadas, incluyendo la valoración y el tratamiento de las mismas.
  • Se integran con la gestión de riesgos.
• Seguimiento, auditoría y evaluación de la seguridad [org.8]:
  • Se realiza un seguimiento de la seguridad del sistema.
  • Se ejecutan auditorías en el sistema.
  • Se evalúa regularmente la eficacia de las medidas de seguridad.

Marco operacional [OP]

• Control de acceso [op.1]:
  • Se regula el acceso a los sistemas y la información.
  • Se establecen mecanismos de autentificación.
  • Se implementan mecanismos de autorización.
• Seguridad de la información [op.2]:
  • Se protegen la información confidencial, sensible e importante.
  • Se implementan medidas para garantizar la integridad, la disponibilidad y la trazabilidad de la información.
• Seguridad del sistema operativo [op.3]:
  • Se implementan medidas de seguridad para el sistema operativo.
  • Se configura elsistema operativo con medidas de seguridad.
• Seguridad de la red [op.4]:
  • Se implementan medidas de seguridad para la red.
  • Se controla el acceso a la red.
  • Se protegen los datos que circulan por la red.
• Seguridad de los servicios [op.5]:
  • Se garantiza la seguridad de los servicios ofrecidos.
  • Se implementan medidas para proteger los servicios de ataques.
• Controles de encriptación [op.6]:
  • Se utiliza la encriptación para proteger la información confidencial.
  • Se implementan mecanismos criptográficos.
• Gestión de logs [op.7]:
  • Se registran los eventos del sistema.
  • Se almacenan los registros de forma segura.
• Análisis de logs [op.8]:
  • Se analizan los registros para detectar posibles incidentes de seguridad.
  • Se interpretan los registros con herramientas específicas.

Medidas de protección [MP]

• Prevención de pérdida de datos [mp.1]:
  • Se toman medidas para evitar la pérdida de datos.
  • Se realizan copias de seguridad.
  • Se almacenan las copias de seguridad de forma segura.
• Prevención de acceso no autorizado [mp.2]:
  • Se implementan medidas para evitar el acceso no autorizado a la información.
  • Se controlan los accesos a los sistemas.
  • Se protege la información confidencial.
• Protección de la infraestructura [mp.3]:
  • Se toman medidas para proteger la infraestructura del sistema.
  • Se implementan medidas de seguridad física.
  • Se establecen medidas de seguridad para los dispositivos que conforman el sistema.
• Detección y respuesta a intrusiones [mp.4]:
  • Se implementan medidas para detectar intrusiones en el sistema.
  • Se toman medidas para responder a las intrusiones.
• Gestión de errores [mp.5]:
  • Se implementan mecanismos de gestión de errores.
  • Se registra la información relacionada con los errores.
• Monitorización y seguridad de aplicaciones [mp.6]:
  • Se monitorizan las aplicaciones del sistema.
  • Se implementan medidas de seguridad para las aplicaciones del sistema.
• Gestión de la identidad y el acceso [mp.7]:
  • Se gestionan las identidades de los usuarios.
  • Se controla el acceso de los usuarios al sistema.
• Seguridad del desarrollo [mp.8]:
  • Se incluye la seguridad en el proceso de desarrollo de software.
  • Se implementan medidas de seguridad en el código fuente del software.
• Cumplimiento de la legislación y la normativa [mp.9]:
  • Se garantiza el cumplimiento de la legislación y la normativa.
  • Se aplican las normas de seguridad vigentes.

Introducción al Esquema Nacional de Interoperabilidad (ENI)

• La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye la interoperabilidad como principio general de actuación para las Administraciones Públicas.
• El artículo 156 de la Ley 40/2015 define el ENI que establece criterios y recomendaciones para garantizar la interoperabilidad en el uso de medios electrónicos.
• El ENI está regulado en el Real Decreto 4/2010, de 8 de enero, y se basa en el Marco Europeo de Interoperabilidad.
• La elaboración del ENI contó con la participación de diversas instituciones, incluyendo las Administraciones Públicas y asociaciones de la industria tecnológica.

Objetivos del ENI

• Facilitar la toma de decisiones tecnológicas que garanticen la interoperabilidad y eviten la discriminación entre ciudadanos.
• Proporcionar elementos comunes para guiar la actuación de las Administraciones Públicas en materia de interoperabilidad, facilitando la interacción entre ellas.
• Facilitar la implementación de políticas de seguridad, promoviendo la racionalidad técnica y economías de escala.

Elementos del ENI

• Principios básicos de la interoperabilidad: la interoperabilidad como cualidad integral desde la concepción de los servicios y sistemas, multidimensional y basada en soluciones multilaterales.
• Interoperabilidad organizativa: publicación de servicios a través de la Red SARA, utilización de nodos de interoperabilidad y mantenimiento de inventarios de información administrativa.
• Interoperabilidad semántica: publicación y aplicación de modelos de datos de intercambio, horizontales y sectoriales, para infraestructuras, servicios y herramientas comunes.
• Interoperabilidad técnica: uso de estándares para garantizar la independencia en la elección tecnológica y la no discriminación de los ciudadanos.
• Infraestructuras y servicios comunes: elementos de dinamización, simplificación y propagación de la interoperabilidad, facilitando la relación multilateral.
• Reutilización de aplicaciones y documentación: licenciamiento de aplicaciones, documentación y otros objetos de información para su uso por las Administraciones Públicas y ciudadanos.
• Interoperabilidad de firma electrónica y certificados: política de firma electrónica y certificados como referencia para otras Administraciones Públicas.
• Recuperación y conservación del documento electrónico: garantizar la interoperabilidad a lo largo del tiempo del documento electrónico.

Ámbito de aplicación del ENI

• Se aplica al ámbito subjetivo establecido en las leyes 39/2015 y 40/2015 sobre el sector público institucional.

Adecuación al ENI

• La Guía de auditoría de cumplimiento del ENI facilita la valoración del cumplimiento de las medidas de interoperabilidad.
• Los controles de la guía se estructuran en tres categorías: Marco organizativo, Marco operacional y Medidas técnicas.

Evolución del ENI

• El ENI es un documento en continua evolución para adaptarse a las nuevas necesidades y tecnologías.

### Introducción

• El Real Decreto 3/2010, de 8 de enero, estableció el Esquema Nacional de Seguridad (ENS) para la Administración Electrónica (AE)
• Su objetivo era regular la política de seguridad en la utilización de medios electrónicos
• El ENS pretendía garantizar:
  • La seguridad de la información
  • La seguridad de los servicios prestados por las entidades de la AE
  • La confianza de los ciudadanos en los servicios de la AE

### Cambios en el contexto

• Desde 2010 ha habido cambios significativos en España y en la Unión Europea:
  • Transformación digital de la sociedad
  • Nuevo escenario de la ciberseguridad
  • Avance de las tecnologías
• Los sistemas de información están expuestos a amenazas cibernéticas, con ciberataques que se incrementan en volumen, frecuencia y sofisticación
• La dependencia de las tecnologías de la información y las comunicaciones en la sociedad y la interconexión de sistemas de información aumentan el riesgo
• Las entidades públicas y privadas, las cadenas de suministro y los ciudadanos se encuentran amenazados
• Esto afecta a la ciberseguridad nacional, comprometiendo el desenvolvimiento social y económico del país, y el ejercicio de los derechos y libertades de los ciudadanos

### Actualización del ENS

• El Real Decreto 3/2010 establecía la necesidad de actualizar permanentemente el ENS
• Se han producido modificaciones en el marco europeo e español, sobre seguridad nacional, protección de datos personales y seguridad de redes y sistemas de información
• Se han aprobado varias leyes y decretos que afectan al ENS, incluyendo:
  • Ley 36/2015 de Seguridad Nacional
  • Real Decreto 1008/2017, Estrategia de Seguridad Nacional 2017
  • Real Decreto 1150/2021, Estrategia de Seguridad Nacional 2021
  • Ley 40/2015, Régimen Jurídico del Sector Público
  • Ley 39/2015, del Procedimiento Administrativo Común
  • Real Decreto 203/2021, Reglamento de actuación y funcionamiento del sector público por medios electrónicos
  • Real Decreto 951/2015, modificación del Real Decreto 3/2010
  • Ley Orgánica 3/2018, de Protección de Datos Personales
  • Ley Orgánica 7/2021, de protección de datos personales tratados para fines de prevención de delitos
  • Reglamento (UE) 526/2013, Agencia de Seguridad de las Redes de la Información de la UE (ENISA)
  • Reglamento (UE) 2019/881, relativo a ENISA y la certificación de la ciberseguridad
  • Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un nivel común de seguridad de las redes y sistemas de información
  • Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información
  • Real Decreto 43/2021, relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información
• La Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional el 12 de abril de 2019, establece la necesidad de asegurar la plena implantación del ENS
• El Plan Nacional de Ciberseguridad, aprobado el 29 de marzo de 2022, contempla 150 iniciativas para los próximos 3 años

### Necesidad de actualización

• La evolución de las amenazas, los nuevos vectores de ataque y la necesidad de mantener la conformidad y alineamiento con las regulaciones europeas y nacionales de aplicación exige actualizar las medidas de seguridad
• La implementación de la seguridad en el ciberespacio es una prioridad estratégica
• El sector público y las empresas deben trabajar juntos para afrontar el reto de la ciberseguridad
• El Parlamento Europeo ha aprobado una Resolución sobre injerencias extranjeras en procesos democráticos, que mencionan los ciberataques como una de las amenazas más importantes
• La experiencia acumulada sobre la aplicación del ENS, los informes sobre el estado de la seguridad, las guías de seguridad y los servicios del CCN-CERT, del Centro Criptológico Nacional (CCN), justifican la necesidad de actualizar el ENS

### Objetivos de la actualización

• Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital
• Introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas

Esquema Nacional de Seguridad (ENS)

• El Real Decreto 3/2010, de 8 de enero, sobre el Esquema Nacional de Seguridad (ENS), se actualiza con el Real Decreto 363/2022, de 3 de mayo, para reflejar la evolución tecnológica, las tendencias en ciberseguridad y los riesgos asociados a la transformación digital.

•  El nuevo real decreto busca una adaptación más eficaz y eficiente del ENS, racionalizando los recursos sin menoscabo de la protección perseguida.

•  Se integra con el Plan de Digitalización de las Administraciones Públicas 2021-2025, parte del Plan de Recuperación, Transformación y Resiliencia, y la agenda España Digital 2025.

•  La actualización del ENS busca alinear la seguridad de las entidades del sector público con las regulaciones europeas de ciberseguridad y establecer un marco de referencia para las demás administraciones públicas.

•  El nuevo decreto impulsa la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (COSE) como referente para las demás entidades públicas.

Ámbito de Aplicación

•  El real decreto se aplica a todo el sector público, definido en la Ley 40/2015, de 1 de octubre, sobre el Régimen Jurídico del Sector Público.

•  También se aplica a los sistemas que tratan información clasificada, con la posibilidad de medidas de seguridad complementarias.

•  El decreto se extiende a los sistemas de información del sector privado que prestan servicios a entidades públicas, imponiendo requisitos de seguridad similares.

•  Se incluye el cumplimiento de los requisitos del Real Decreto-ley 7/2022, de 29 de marzo, sobre la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (5G) para las entidades públicas que gestionen redes 5G.

Principios Básicos y Requisitos Mínimos del ENS

•  El decreto establece principios básicos como la seguridad integral, la gestión de riesgos, la prevención, la detección, la respuesta, la conservación, la existencia de líneas de defensa, la vigilancia continua y la reevaluación periódica.

•  Define requisitos mínimos para la protección de la información y los servicios, incluyendo aspectos como la organización e implantación del proceso de seguridad, la gestión de riesgos, la gestión de personal, la autorización y control de accesos, la protección de las instalaciones, la adquisición de productos de seguridad y la contratación de servicios de seguridad, el principio de mínimo privilegio, la integridad y actualización del sistema, la protección de la información almacenada y en tránsito, y la prevención ante otros sistemas de información interconectados.

•  Las entidades pueden utilizar medidas de seguridad compensatorias si justifican su equivalencia en protección a las establecidas en el anexo II.

•  Se fomenta el uso de infraestructuras y servicios comunes de las administraciones públicas para aumentar la eficiencia y la sinergia.

•  Se incluye la posibilidad de implementar “perfiles de cumplimiento específicos” y esquemas de acreditación para entidades que implementen configuraciones seguras.

Auditoría de Seguridad, Informe del Estado de Seguridad y Respuesta a Incidentes

•  El art. 31 detalla el procedimiento de auditoría y los informes correspondientes.

•  El art. 32 destaca el papel de la Comisión Sectorial de Administración Electrónica, el CCN y órganos competentes en el ámbito de la administración digital para el informe del estado de la seguridad.

•  Los artículos 33 y 34 regulan la capacidad de respuesta a incidentes de seguridad, distinguiendo entre aspectos relativos a la respuesta y la prestación de servicios de respuesta tanto a entidades públicas como privadas.

Conformidad con el ENS, Actualización y Categorización

•  El capítulo V define las normas de conformidad con el ENS, que incluyen la Administración Digital, el ciclo de vida de servicios y sistemas, los mecanismos de control y los procedimientos de determinación de la conformidad.

•  El capítulo VI obliga a una actualización permanente del ENS, de acuerdo con el marco jurídico vigente, la evolución tecnológica y los estándares de seguridad.

•  El capítulo VII establece el procedimiento de categorización de los sistemas de información, definiendo las categorías de seguridad y las facultades al respecto.

Disposiciones Adicionales y Finales

•  Las disposiciones adicionales regulan programas de sensibilización, concienciación y formación dirigidos al personal de las entidades públicas, instrucciones técnicas de seguridad y guías de seguridad, y el cumplimiento del principio de ‘no causar un perjuicio significativo’ al medioambiente.

•  La disposición transitoria única fija un plazo de 24 meses para que los sistemas existentes se adapten al nuevo ENS.

•  La disposición derogatoria suprime el Real Decreto 3/2010.

•  Las disposiciones finales enumeran los títulos competenciales, habilitan al Ministerio de Asuntos Económicos y Transformación Digital para la aplicación y desarrollo del real decreto, y establecen la fecha de entrada en vigor.

Anexos

•  El anexo I regula las categorías de seguridad de los sistemas de información.

•  El anexo II detalla las medidas de seguridad estructuradas en tres grupos: marco organizativo, marco operacional y medidas de protección.

•  El anexo III define la auditoría de seguridad.

•  El anexo IV incluye un glosario de términos y definiciones.

Definiciones del Esquema Nacional de Seguridad

• El real decreto define términos relacionados con la seguridad de la información en el Glosario del Anexo IV.

Principios Básicos del Esquema Nacional de Seguridad

• La seguridad de la información busca que las organizaciones cumplan sus objetivos.
• Los principios básicos incluyen: seguridad como proceso integral, gestión de riesgos, prevención, detección, respuesta y conservación, líneas de defensa, vigilancia continua, reevaluación periódica y diferenciación de responsabilidades.

La Seguridad como un Proceso Integral

• La seguridad abarca todos los elementos del sistema de información, incluyendo humanos, materiales, técnicos, jurídicos y organizativos.
• Se enfatiza la concienciación del personal para evitar riesgos derivados de la ignorancia o falta de coordinación.

Gestión de la Seguridad basada en los Riesgos

• El análisis y gestión de riesgos es fundamental para mantener un entorno controlado.
• Las medidas de seguridad deben ser proporcionales a la naturaleza de la información, los servicios y los riesgos.

Prevención, Detección, Respuesta y Conservación

• La seguridad del sistema debe incluir medidas de prevención, detección y respuesta.
• Las medidas de prevención reducen la posibilidad de que las amenazas se materialicen.
• Las medidas de detección identifican la presencia de un ciberincidente.
• Las medidas de respuesta restauran la información y servicios afectados por un incidente.
• Se garantiza la conservación de la información digital y la disponibilidad de los servicios.

Existencia de Líneas de Defensa

• El sistema de información debe tener diversas capas de seguridad.
• Si una capa se ve comprometida, el sistema debe ser capaz de responder adecuadamente y minimizar el impacto.
• Las líneas de defensa incluyen medidas organizativas, físicas y lógicas.

Vigilancia Continua y Reevaluación Periódica

• La vigilancia continua detecta actividades o comportamientos anómalos.
• La evaluación permanente evalúa el estado de seguridad de los activos, identifica vulnerabilidades y deficiencias.
• Las medidas de seguridad se reevaluan y actualizan periódicamente para adaptarse a la evolución de los riesgos y sistemas de protección.

Diferenciación de Responsabilidades

• Se distinguen roles como responsable de la información, responsable del servicio, responsable de la seguridad y responsable del sistema.
• La responsabilidad de la seguridad es independiente de la responsabilidad de la explotación de los sistemas.
• La política de seguridad define las atribuciones de cada responsable y mecanismos para la coordinación y resolución de conflictos.

Política de Seguridad y Requisitos Mínimos de Seguridad

• La política de seguridad define cómo una organización gestiona y protege la información y los servicios que ofrece.
• La política de seguridad debe incluir información sobre: objetivos de la organización, marco regulatorio, roles y funciones de seguridad, estructura del comité de seguridad, gestión de la documentación y los riesgos del tratamiento de datos personales.
• Cada administración pública debe contar con una política de seguridad formalmente aprobada.
• Los requisitos mínimos de seguridad se implementarán de acuerdo a los riesgos identificados en cada sistema.

Organización e Implantación del Proceso de Seguridad

• La seguridad de los sistemas de información involucra a todos los miembros de la organización.
• La política de seguridad debe ser conocida por todos los empleados y se debe identificar a los responsables de su cumplimiento.
• El responsable de la seguridad determina las decisiones sobre la seguridad de la información y los servicios, supervisa la implementación de medidas y reporta sobre estas cuestiones.
• El responsable del sistema implementa la seguridad en el sistema y supervisa su operación diaria.
• El responsable de la seguridad debe ser distinto del responsable del sistema y no debe existir dependencia jerárquica entre ellos.

Análisis y Gestión de los Riesgos

• Cada organización debe gestionar sus propios riesgos mediante análisis y tratamiento del riesgo.
• Se deben emplear metodologías reconocidas internacionalmente.
• Las medidas para mitigar los riesgos deben estar justificadas y ser proporcionales a los riesgos.

Gestión de Personal

• El personal relacionado con los sistemas de información debe recibir formación e información sobre sus responsabilidades en materia de seguridad.
• La actuación del personal debe ser supervisada para asegurar el cumplimiento de los procedimientos.

Profesionalidad

• Personal cualificado debe atender, revisar y auditar la seguridad de los sistemas de información.
• Las organizaciones deben exigir que los proveedores de servicios de seguridad cuenten con profesionales cualificados.
• Las organizaciones deben definir los requisitos de formación y experiencia para el personal.

Autorización y Control de los Accesos

• El acceso a los sistemas de información debe ser controlado y limitado a usuarios, procesos, dispositivos y sistemas de información debidamente autorizados.

Protección de las Instalaciones

• Los sistemas de información y su infraestructura de comunicaciones deben estar en áreas controladas con mecanismos de acceso adecuados.

Adquisición de Productos y Servicios de Seguridad

• Se deben adquirir productos y servicios de seguridad con funcionalidades de seguridad certificadas.
• Se debe considerar la categoría del sistema y el nivel de seguridad.
• El Organismo de Certificación del CCN determina los requisitos funcionales de seguridad, otras certificaciones y criterios para casos sin productos o servicios certificados.

Mínimo Privilegio

• Los sistemas de información deben diseñarse y configurarse con los mínimos privilegios necesarios.
• Se eliminan o desactivan funciones innecesarias o inadecuadas.
• Se usan guías de configuración de seguridad para eliminar funciones innecesarias.

Integridad y Actualización del Sistema

• Cualquier cambio en el sistema requiere de autorización formal previa.
• Se evalúa y monitoriza el estado de seguridad para la detección temprana de incidentes y la actualización de vulnerabilidades.

Protección de la Información Almacenada y en Tránsito

• Se debe prestar especial atención a la protección de la información almacenada o en tránsito a través de equipos portátiles, dispositivos móviles, periféricos, soportes de información y redes abiertas.
• Se aplican procedimientos para la recuperación y conservación de documentos electrónicos.
• La información en soporte no electrónico relacionada con la información electrónica debe estar protegida con el mismo nivel de seguridad.

Prevención ante otros Sistemas de Información Interconectados

• Se protege el perímetro del sistema, especialmente si se conecta a redes públicas.
• Se analizan los riesgos de interconexión y se controla el punto de unión.

Registro de Actividad y Detección de Código Dañino

• Se registra la actividad del sistema para detección de comportamientos anómalos.
• Se implementan medidas para la detección de código dañino.

Registro de Actividades

• Se registrarán las actividades de los usuarios para monitorizar, analizar e investigar actividades indebidas.
• La información recopilada permitirá identificar a la persona responsable de cada acción.

Seguridad de los Sistemas de Información

• Las Administraciones públicas podrán analizar las comunicaciones entrantes y salientes, únicamente para garantizar la seguridad de la información.
• Esta medida se toma para evitar el acceso no autorizado, ataques de denegación de servicio y la distribución de código dañino.

Gestión de Incidentes de Seguridad

• Las entidades titulares de los sistemas de información dispondrán de procedimientos de gestión de incidentes de seguridad, según lo establecido en el artículo 33 y la Instrucción Técnica de Seguridad.
• Se utilizarán mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución.
• Se realizarán registros de las actuaciones para mejorar la seguridad del sistema.

Continuidad de la Actividad

• Se garantizará la continuidad de las operaciones en caso de pérdida de los medios habituales mediante copias de seguridad y mecanismos de respaldo.

Mejora Continua del Proceso de Seguridad

• El proceso de seguridad se actualizará y mejorará de forma continua, aplicando criterios y métodos nacionales e internacionales para la gestión de seguridad de las tecnologías de la información.

Cumplimiento de los Requisitos Mínimos

• Se adoptarán medidas y refuerzos de seguridad indicados en el anexo II, teniendo en cuenta los activos, la categoría del sistema y la gestión de los riesgos identificados.
• Se podrá ampliar las medidas de seguridad a criterio del responsable de seguridad, tomando en cuenta el estado de la tecnología, la información y los servicios prestados.
• Se deberá formalizar la relación de medidas de seguridad en un documento denominado Declaración de Aplicabilidad.
• Se podrán utilizar medidas compensatorias, siempre y cuando se justifique documentalmente que protegen al menos igual que las medidas del anexo II.

Infraestructuras y Servicios Comunes

• La utilización de infraestructuras y servicios comunes de las administraciones públicas, incluidos los compartidos o transversales, facilitará el cumplimiento del Real Decreto.
• Cada administración pública determinará los casos específicos de utilización de estas infraestructuras y servicios.

Perfiles de Cumplimiento Específicos y Acreditación de Entidades

• Se podrán implementar perfiles de cumplimiento específicos para entidades o sectores de actividad concretos, considerando las medidas de seguridad idóneas para una categoría de seguridad.
• Se podrán implementar esquemas de acreditación de entidades y validación de personas para garantizar la seguridad de plataformas suministradas por terceros que utilizan entidades públicas.
• El CCN validará y publicará los perfiles de cumplimiento específicos y esquemas de acreditación, de acuerdo con las instrucciones técnicas de seguridad.

Auditoría de la Seguridad

• Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, para verificar el cumplimiento del ENS.
• Se hará una auditoría extraordinaria ante modificaciones sustanciales en los sistemas de información.
• La auditoría se realizará en función de la categoría del sistema y se utilizarán criterios y métodos de trabajo generalmente reconocidos.
• El informe de auditoría deberá dictaminar sobre el grado de cumplimiento del Real Decreto, incluyendo los hallazgos y los datos en que se basan las conclusiones.
• Los informes de auditoría serán presentados al responsable del sistema y al responsable de la seguridad.
• En caso de sistemas de categoría ALTA, se podrá suspender temporalmente el tratamiento de información o la operación del sistema si se detectan graves deficiencias.

Informe del Estado de la Seguridad

• La Comisión Sectorial de Administración Electrónica recopilará información sobre el estado de la seguridad en los sistemas de información, para generar un informe general sobre el estado de la seguridad.
• El CCN articulará los procedimientos para la recopilación, consolidación y tratamiento de la información.
• Las autoridades competentes utilizarán los resultados del informe para impulsar medidas que mejoren la seguridad.

Capacidad de Respuesta a Incidentes de Seguridad

• El CCN facilitará la respuesta a los incidentes de seguridad a través de la estructura denominada CCN-CERT.
• Las entidades del sector público notificarán al CCN los incidentes que tengan un impacto significativo en la seguridad, de acuerdo con la Instrucción Técnica de Seguridad.
• Cuando un operador esencial sufra un incidente, se coordinará con el Ministerio del Interior.
• En caso de un incidente que afecte a la Defensa Nacional, se informará a la capacidad de respuesta e incidentes de seguridad del Ministerio de Defensa.
• El CCN coordinará la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) en el sector público.
• Después de un incidente, el CCN-CERT determinará el riesgo de reconexión del sistema, indicando los procedimientos a seguir y las salvaguardas a implementar.
• La Secretaría General de Administración Digital autorizará la reconexión a los medios y servicios comunes, si el riesgo es asumible.
• Las organizaciones del sector privado que presten servicios a entidades públicas notificarán los incidentes que les afecten al INCIBE-CERT, que lo comunicará al CCN-CERT.

Servicios de Respuesta a Incidentes de Seguridad

• El CCN-CERT prestará servicios de soporte y coordinación para la resolución de incidentes de seguridad.
• Se podrá recabar información y soportes informáticos para la investigación de incidentes.
• Se realizarán investigaciones y se divulgarán las mejores prácticas sobre la seguridad de la información.
• Se proporcionará formación al personal del sector público especialista en seguridad de la información.
• Se informará sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información.

Administración Digital

• La seguridad de los sistemas de información que sustentan la administración digital se regirá por el Real Decreto.
• El CCN garantizará la interoperabilidad en materia de ciberseguridad y criptografía.

Ciclo de Vida de Servicios y Sistemas

• Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los procedimientos de control.

Mecanismos de Control

• Cada entidad titular de los sistemas de información establecerá sus mecanismos de control para garantizar el cumplimiento del ENS.

Procedimientos de Determinación de la Conformidad

• Los sistemas de información serán objeto de un proceso para determinar su conformidad con el ENS.

• Los sistemas de categoría MEDIA o ALTA necesitarán una auditoría para la certificación de su conformidad.

• Los sistemas de categoría BÁSICA requerirán de una autoevaluación para su declaración de conformidad.

• Tanto la autoevaluación como la auditoría de certificación se realizarán según lo dispuesto en el artículo 31 y el anexo III.### Esquema Nacional de Seguridad (ENS)

• El ENS regula la seguridad de los sistemas de información en el ámbito de la Administración Electrónica.

• Se actualiza de forma permanente para adaptarse a las nuevas necesidades y tecnologías.

• Los sistemas de información se categorizan en función del impacto de un incidente de seguridad.

• Se establecen tres categorías: Básica, Media y Alta.

• La categoría se determina considerando varios factores: confidencialidad, integridad, trazabilidad, autenticidad, y disponibilidad.

• Un sistema de información se considera de categoría Alta si alguna de sus dimensiones de seguridad alcanza un nivel Alto.

• Un sistema de información se considera de categoría Media si alguna de sus dimensiones alcanza un nivel Medio, pero ninguna alcanza un nivel Alto.

• Un sistema de información se considera de categoría Básica si alguna de sus dimensiones alcanza un nivel Bajo, pero ninguna alcanza un nivel Medio o Alto.

Medidas de Seguridad

• Las medidas de seguridad se clasifican en: Marco Organizativo, Marco Operacional y Medidas de Protección.
• Las medidas de seguridad se deben aplicar de forma proporcional a:
  • Las dimensiones de seguridad relevantes en el sistema a proteger.
  • La categoría de seguridad del sistema de información a proteger.

Marco Organizativo

• Se basa en el conjunto de medidas relacionadas con la organización global de la seguridad.

Política de Seguridad

• Establecer una política de seguridad clara que defina, al menos:
  • Los objetivos de la organización.
  • El marco legal y regulatorio.
  • Los roles y responsabilidades en materia de seguridad.
  • La estructura del comité o comités de seguridad.
  • Las directrices para la gestión de la documentación de seguridad.
  • Se aplica en sistemas de categoría Básica, Media y Alta.

Normativa de Seguridad

• Disponer de documentación que describa:
  • El uso correcto de equipos, servicios e instalaciones.
  • La responsabilidad del personal en materia de seguridad.
  • Se aplica en sistemas de categoría Básica, Media y Alta.
  • Se recomienda desarrollar documentación específica según las guías CCN-STIC.

Procedimientos de Seguridad

• Establecer procedimientos específicos para:
  • Gestión de usuarios y accesos.
  • Gestión de incidencias de seguridad.
  • Auditorías de seguridad.
  • Gestión de copias de seguridad.
  • Restablecimiento de la actividad tras un incidente.
  • Se aplica en sistemas de categoría Básica, Media y Alta.
  • Se recomienda desarrollar documentación específica según las guías CCN-STIC.

Sensibilización y formación

• Desarrollar programas de formación sobre:
  • Sensibilización en ciberseguridad.
  • Conocimiento del ENS.
  • Herramientas y técnicas de seguridad.
  • Se aplica en sistemas de categoría Básica, Media y Alta.

Control de acceso físico

• Controlar el acceso físico a las instalaciones:
  • Identificación y autorización de personas.
  • Supervisión y vigilancia.
  • Control de acceso a áreas restringidas.
  • Se aplica en sistemas de categoría Media y Alta.
  • Se recomienda implementar medidas de seguridad adicionales como sistemas de videovigilancia.

Gestión de riesgos

• Realizar un análisis de riesgos:
  • Identificar las amenazas y vulnerabilidades.
  • Evaluar el impacto de los riesgos.
  • Implantar medidas de mitigación.
  • Revisar periódicamente la gestión de riesgos.
  • Se aplica en sistemas de categoría Básica, Media y Alta.
  • Se recomienda realizar una evaluación de riesgos anual o cuando se produzcan cambios significativos en el sistema.

Planificación de continuidad de negocio

• Desarrollar un plan de continuidad de negocio:
  • Definir los procesos críticos y las consecuencias de su interrupción.
  • Planificar acciones para minimizar el impacto de un incidente.
  • Establecer procedimientos para la recuperación de la actividad.
  • Probar periódicamente el plan de continuidad.
  • Se aplica en sistemas de categoría Media y Alta.

Gestión de proveedores

• Controlar la seguridad de los proveedores:
  • Evaluar la seguridad de los proveedores.
  • Establecer acuerdos de nivel de servicio.
  • Monitorizar las actividades de los proveedores.
  • Se aplica en sistemas de categoría Media y Alta.

Auditorías de seguridad

• Realizar auditorías de seguridad periódicas:
  • Evaluar el cumplimiento de la política de seguridad y las medidas de seguridad.
  • Identificar las vulnerabilidades y las áreas de mejora.
  • Corregir las deficiencias detectadas.
  • Se aplica en sistemas de categoría Básica, Media y Alta.
  • Se recomienda realizar auditorías de seguridad anuales o cuando se produzcan cambios significativos en el sistema.

Marco Operacional

• Se basa en el conjunto de medidas que protegen la operación del sistema como conjunto de componentes.
• No se explican en detalle en el texto, pero se menciona su existencia.

Medidas de Protección

• Se basan en la protección de activos concretos, según su naturaleza y el nivel de seguridad de las dimensiones afectadas.
• El texto incluye tablas y diagramas de flujo para cada medida de protección.

Description

Este cuestionario explora el Esquema Nacional de Seguridad establecido por el Real Decreto 311/2022,, centrándose en su importancia para la protección de la información y los servicios públicos. Además, analiza los cambios en el entorno de ciberseguridad y la creciente necesidad de políticas adaptativas. Prepárate para evaluar tus conocimientos sobre la seguridad cibernética y el ENS.