Implantación del Esquema Nacional de Seguridad en las Entidades Locales. - Parte 3.

Questions and Answers

¿Qué tipo de entidades deben cumplir con el ENS, además de las administraciones públicas?

• Empresas contratistas o proveedoras de servicios públicos. (correct)
• Universidades extranjeras.
• ONG que colaboren con ayuntamientos.
• Ciudadanos que accedan a servicios electrónicos.

¿Qué categoría de sistema puede ser evaluada mediante autoevaluación sin necesidad de entidad certificadora?

• Crítica.
• Alta.
• Básica. (correct)
• Media.

¿Qué documento electrónico acompaña a una Declaración de Conformidad emitida por una entidad pública?

• Certificación firmada por el CCN.
• Distintivo de Declaración de Conformidad en formato PDF-A. (correct)
• Captura de pantalla del sistema conforme.
• Justificante de la auditoría interna.

¿Dónde debe estar accesible el Distintivo de Declaración de Conformidad?

En la sede electrónica o página web de la entidad. (D)

¿Qué indica el artículo 3 del ENS respecto a los sistemas que tratan datos personales?

Deben cumplir también el RGPD y la LOPDGDD. (C)

¿Qué prevalece si el análisis de riesgos indica medidas más exigentes que el ENS?

Las medidas del análisis de riesgos. (B)

¿Quién puede realizar auditorías internas en una entidad?

Personal propio o auditores externos. (C)

¿Qué organismo elaboró inicialmente la metodología MAGERIT?

Consejo Superior de Administración Electrónica. (A)

¿Qué permite la herramienta PILAR?

Analizar y gestionar riesgos según MAGERIT. (C)

¿Cuál es el órgano competente para aprobar la política de seguridad de la información en la Administración General del Estado?

El Ministro del ramo. (D)

¿Quién podría aprobar la política de seguridad en una entidad local, por analogía?

El Alcalde, mediante Decreto o Resolución. (C)

¿Qué órgano debe aprobar la política de seguridad si afecta derechos y obligaciones de terceros?

El Pleno de la Corporación. (B)

¿Qué dos comités se describen como habituales en entidades medianas o grandes?

Comité de Seguridad Corporativa y Comité de Seguridad de la Información. (C)

¿Qué responsabilidades abarca el Comité de Seguridad Corporativa?

Seguridad física, de la información, compliance y contingencia. (A)

¿Qué principio fundamental exige separar funciones y responsabilidades en el ENS?

Principio de diferenciación de responsabilidades. (C)

¿Qué función tiene el Comité de Seguridad de la Información?

Aplicar y evaluar medidas técnicas y organizativas de seguridad. (B)

¿Qué documento debe contener los roles y funciones dentro del sistema de seguridad?

Política de seguridad. (B)

¿Qué órgano designa formalmente al responsable de seguridad en una entidad local?

El Alcalde. (D)

¿Qué función corresponde al responsable del sistema?

Garantizar que el sistema se ajusta al ENS. (C)

¿Qué función tiene el responsable de la información?

Determinar los fines y medios del tratamiento. (B)

¿Qué diferencia principal hay entre el responsable del servicio y el responsable del sistema?

El del servicio garantiza el funcionamiento del servicio asociado al sistema. (A)

¿Qué debe hacer el responsable del sistema si detecta una deficiencia de seguridad?

Aplicar las medidas correctoras necesarias. (D)

¿Qué herramienta permite coordinar incidentes y amenazas en tiempo real?

LUCIA. (D)

¿Qué ocurre si no se notifica una violación de seguridad en 72 horas?

La notificación debe incluir los motivos del retraso. (D)

¿Quién mantiene actualmente la metodología MAGERIT?

Secretaría General de Administración Digital. (B)

Flashcards

¿Quién debe cumplir el ENS?

Empresas que prestan servicios a la administración pública deben garantizar la seguridad según el ENS.

¿Qué categoría se autoevalúa?

La categoría Básica puede ser evaluada internamente sin certificación externa.

Formato del Distintivo de Conformidad

El Distintivo de Declaración de Conformidad debe estar en formato PDF-A.

¿Dónde se accede al Distintivo?

El Distintivo de Declaración de Conformidad debe estar accesible en la sede electrónica o web de la entidad.

Datos personales y el ENS

El artículo 3 del ENS indica que el RGPD y la LOPDGDD se aplican a sistemas que tratan datos personales.

¿Qué prevalece: análisis o ENS?

Prevalecen las medidas del análisis de riesgos si son más exigentes que las del ENS.

¿Quién audita internamente?

Las auditorías internas pueden ser realizadas por personal propio o auditores externos.

Origen de MAGERIT

El Consejo Superior de Administración Electrónica elaboró inicialmente la metodología MAGERIT.

¿Qué hace la herramienta PILAR?

La herramienta PILAR permite analizar y gestionar riesgos según MAGERIT.

¿Quién aprueba la política de seguridad?

El Ministro del ramo es el órgano competente para aprobar la política de seguridad de la información en la Administración General del Estado.

¿Quién aprueba en lo local?

Por analogía, el Alcalde podría aprobar la política de seguridad en una entidad local.

¿Quién aprueba si afecta a terceros?

El Pleno de la Corporación debe aprobar la política de seguridad si afecta derechos de terceros.

Comités habituales

Comité de Seguridad Corporativa y Comité de Seguridad de la Información son habituales en entidades medianas o grandes.

Responsabilidades del Comité Corporativo

El Comité de Seguridad Corporativa abarca seguridad física, de la información, compliance y contingencia.

Principio clave del ENS

El principio de diferenciación de responsabilidades exige separar funciones en el ENS.

Función del Comité de Información

El Comité de Seguridad de la Información aplica y evalúa medidas técnicas y organizativas de seguridad.

Roles y funciones: ¿dónde?

La política de seguridad debe contener los roles y funciones dentro del sistema de seguridad.

Designación del responsable local

El Alcalde designa formalmente al responsable de seguridad en una entidad local.

Función del responsable del sistema

El responsable del sistema debe garantizar que el sistema se ajusta al ENS.

Función del responsable de la información

El responsable de la información determina los fines y medios del tratamiento.

Study Notes

Cumplimiento del ENS

• Las empresas privadas que prestan servicios a la administración pública deben garantizar seguridad según el ENS.

Autoevaluación de Sistemas

• Los sistemas de categoría Básica pueden ser autoevaluados sin una entidad certificadora externa.

Declaración de Conformidad

• Un Distintivo de Declaración de Conformidad en formato PDF-A acompaña a la Declaración emitida por una entidad pública.
• El distintivo debe estar firmado electrónicamente y en formato PDF-A para asegurar su autenticidad.

Accesibilidad del Distintivo

• El Distintivo de Declaración de Conformidad debe estar accesible en la sede electrónica o página web de la entidad.
• Esto está según las directrices del ENS.

Artículo 3 del ENS

• El artículo 3 del ENS indica que los sistemas que manejan datos personales deben cumplir con el RGPD y la LOPDGDD.
• Se aplican las normativas de protección de datos personales, como el RGPD y la Ley Orgánica 3/2018.

Análisis de Riesgos vs. ENS

• Si el análisis de riesgos indica medidas más exigentes que el ENS, prevalecen las medidas del análisis de riesgos.
• En la evaluación de impacto, prevalecen si son más rigurosas que las del ENS.

Auditorías Internas

• Las auditorías internas pueden ser realizadas por personal propio o auditores externos.
• Esto difiere de las auditorías de certificación.

Metodología MAGERIT

• El Consejo Superior de Administración Electrónica elaboró inicialmente la metodología MAGERIT.
• Actualmente la Secretaría General de Administración Digital mantiene MAGERIT.

Herramienta PILAR

• La herramienta PILAR permite analizar y gestionar riesgos según la metodología MAGERIT en los sistemas de información.

Política de Seguridad de la Información

• En la Administración General del Estado, cada ministerio aprobará su propia política de seguridad.
• El Ministro del ramo es quien la aprueba.

Política de Seguridad en Entidades Locales

• Por analogía, el Alcalde puede aprobar la política de seguridad en una entidad local mediante Decreto o Resolución.
• Esto recae en el Alcalde como responsable del gobierno y administración municipal.

Aprobación de Políticas de Seguridad

• Si la política de seguridad afecta derechos y obligaciones de terceros, debe ser aprobada por el Pleno de la Corporación.
• Esto se debe a que el Pleno tiene competencias para aprobar ordenanzas y reglamentos.

Comités en Entidades Medianas o Grandes

• Los dos comités habituales son el Comité de Seguridad Corporativa y el Comité de Seguridad de la Información.
• Uno se centra en la seguridad global y el otro en la seguridad de la información específicamente.

Responsabilidades del Comité de Seguridad Corporativa

• El Comité de Seguridad Corporativa abarca la seguridad física, de la información, compliance y contingencia.
• Tiene un enfoque amplio e integral sobre aspectos clave de la seguridad organizativa.

Principio de Diferenciación de Responsabilidades

• El principio fundamental exige separar funciones y responsabilidades en el ENS.
• Obliga a definir y separar claramente los roles de los responsables.

Funciones del Comité de Seguridad de la Información

• El Comité de Seguridad de la Información tiene la función de aplicar y evaluar medidas técnicas y organizativas de seguridad.
• Se centra en aplicar y evaluar las medidas de seguridad en los sistemas de información, conforme a la política aprobada.

Documentación de Roles y Funciones

• La política de seguridad debe contener los roles y funciones dentro del sistema de seguridad.
• Recoge las funciones, responsabilidades y roles del personal implicado, garantizando la asignación de tareas.

Designación del Responsable de Seguridad

• En una entidad local, el Alcalde designa formalmente al responsable de seguridad.
• Esto se hace por analogía con la Administración General del Estado.

Función del Responsable del Sistema

• El responsable del sistema debe garantizar que el sistema se ajusta al ENS.
• Vela por que dicho sistema cumpla los requisitos del ENS y gestiona los medios necesarios.

Función del Responsable de la Información

• El responsable de la información tiene la función de determinar los fines y medios del tratamiento de la información.
• Decide para qué se usa la información, cómo se trata y los controles que se aplican a su protección.

Diferencia entre Responsable del Servicio y del Sistema

• El responsable del servicio garantiza el funcionamiento del servicio asociado al sistema.
• Asegura que el servicio funciona adecuadamente, incluso si opera sobre un sistema gestionado por otro responsable.

Deficiencias de Seguridad

• Si el responsable del sistema detecta una deficiencia de seguridad, debe aplicar las medidas correctoras necesarias.
• Debe actuar corrigiendo cualquier deficiencia para mantener la seguridad y adecuación del sistema.

Herramienta para Coordinar Incidentes y Amenazas

• LUCIA permite coordinar incidentes y amenazas en tiempo real.
• Es una lista unificada desarrollada por el CCN para intercambiar información de incidentes y amenazas.

Notificación de Violaciones de Seguridad

• Si no se notifica una violación de seguridad en 72 horas, la notificación debe incluir los motivos del retraso.
• El artículo 33 del RGPD exige que si la notificación se realiza fuera de plazo, debe justificarse el motivo del retraso.

Mantenimiento de la Metodología MAGERIT

• La Secretaría General de Administración Digital mantiene actualmente la metodología MAGERIT.
• Aunque fue desarrollada inicialmente por el Consejo Superior de Administración Electrónica.