Podcast
Questions and Answers
¿Quién debe elaborar el Plan de Adecuación al Esquema Nacional de Seguridad si no se ha designado aún al responsable de seguridad?
¿Quién debe elaborar el Plan de Adecuación al Esquema Nacional de Seguridad si no se ha designado aún al responsable de seguridad?
- El Comité de Seguridad.
- La persona designada temporalmente. (correct)
- Cualquier funcionario del área TIC.
- El Alcalde.
¿Qué tipo de política de seguridad pueden tener los municipios?
¿Qué tipo de política de seguridad pueden tener los municipios?
- Una política común elaborada por el Estado.
- Una política de seguridad regional aprobada por el Ministerio.
- Una política unificada para todo el país aprobada por el CCN.
- Una política común elaborada por la entidad comarcal o provincial. (correct)
¿Qué metodología de análisis de riesgos se menciona explícitamente como reconocida y pública?
¿Qué metodología de análisis de riesgos se menciona explícitamente como reconocida y pública?
- ISO/IEC 27001.
- OWASP.
- COBIT.
- MAGERIT. (correct)
¿Qué herramienta se utiliza para aplicar la metodología MAGERIT?
¿Qué herramienta se utiliza para aplicar la metodología MAGERIT?
¿Qué permite asumir un riesgo residual mayor o menor en función de los recursos de la entidad?
¿Qué permite asumir un riesgo residual mayor o menor en función de los recursos de la entidad?
¿Qué tipo de documento recoge las medidas necesarias tras detectar insuficiencias en seguridad?
¿Qué tipo de documento recoge las medidas necesarias tras detectar insuficiencias en seguridad?
¿Qué tipo de documento es aprobado por el Comité de Seguridad tras detectar deficiencias?
¿Qué tipo de documento es aprobado por el Comité de Seguridad tras detectar deficiencias?
¿Qué distingue a los sistemas de información de categoría Básica en relación con las auditorías?
¿Qué distingue a los sistemas de información de categoría Básica en relación con las auditorías?
¿Qué herramienta facilita la comunicación del Informe del Estado de Seguridad?
¿Qué herramienta facilita la comunicación del Informe del Estado de Seguridad?
¿Cuál es la periodicidad mínima para realizar una auditoría de seguridad ordinaria?
¿Cuál es la periodicidad mínima para realizar una auditoría de seguridad ordinaria?
¿Qué sucede si la auditoría ordinaria no puede realizarse en el plazo establecido por causas de fuerza mayor?
¿Qué sucede si la auditoría ordinaria no puede realizarse en el plazo establecido por causas de fuerza mayor?
¿Qué tipo de auditorías pueden realizarse con personal interno o externo, pero sin ser oficiales?
¿Qué tipo de auditorías pueden realizarse con personal interno o externo, pero sin ser oficiales?
¿Qué distintivo se obtiene tras una autoevaluación positiva en sistemas de categoría Básica?
¿Qué distintivo se obtiene tras una autoevaluación positiva en sistemas de categoría Básica?
¿Qué entidad puede emitir una Certificación de Conformidad con el ENS?
¿Qué entidad puede emitir una Certificación de Conformidad con el ENS?
¿Cuál es uno de los contenidos mínimos del Distintivo de Declaración de Conformidad?
¿Cuál es uno de los contenidos mínimos del Distintivo de Declaración de Conformidad?
¿Qué documento sirve como base para emitir una Aprobación Provisional de Conformidad (APC)?
¿Qué documento sirve como base para emitir una Aprobación Provisional de Conformidad (APC)?
¿Qué herramienta ha desarrollado el CCN para coordinar incidentes de seguridad?
¿Qué herramienta ha desarrollado el CCN para coordinar incidentes de seguridad?
¿Qué nivel de impacto se considera significativo y debe notificarse obligatoriamente al CCN?
¿Qué nivel de impacto se considera significativo y debe notificarse obligatoriamente al CCN?
¿Qué artículo del RGPD regula la notificación de incidentes que afecten a datos personales?
¿Qué artículo del RGPD regula la notificación de incidentes que afecten a datos personales?
¿Cuál es el plazo máximo para notificar una violación de datos personales al AEPD según el RGPD?
¿Cuál es el plazo máximo para notificar una violación de datos personales al AEPD según el RGPD?
¿Qué tipo de documento incluirá tareas, planificación y recursos para corregir deficiencias?
¿Qué tipo de documento incluirá tareas, planificación y recursos para corregir deficiencias?
¿Qué instrumento recoge la relación de medidas aplicables según la categoría del sistema?
¿Qué instrumento recoge la relación de medidas aplicables según la categoría del sistema?
¿Cuál es uno de los principales objetivos de los perfiles de cumplimiento específico?
¿Cuál es uno de los principales objetivos de los perfiles de cumplimiento específico?
¿Quién valida y publica los perfiles de cumplimiento específico?
¿Quién valida y publica los perfiles de cumplimiento específico?
¿Qué significa el acrónimo APC en el contexto del ENS?
¿Qué significa el acrónimo APC en el contexto del ENS?
Flashcards
¿Quién elabora el Plan de Adecuación?
¿Quién elabora el Plan de Adecuación?
Si no se ha designado al responsable de seguridad, elabora el plan de adecuación al ENS.
Política de seguridad municipal
Política de seguridad municipal
Una política común elaborada por la entidad comarcal o provincial.
¿Qué es MAGERIT?
¿Qué es MAGERIT?
Metodología pública y reconocida para análisis de riesgos y actualmente mantenida por la Secretaría General de Administración Digital.
¿Qué es PILAR?
¿Qué es PILAR?
Signup and view all the flashcards
¿Qué permite el catálogo de medidas?
¿Qué permite el catálogo de medidas?
Signup and view all the flashcards
¿Qué es el Plan de Mejora?
¿Qué es el Plan de Mejora?
Signup and view all the flashcards
Aprobación del Plan de Mejora
Aprobación del Plan de Mejora
Signup and view all the flashcards
Auditorías en sistemas de categoría Básica
Auditorías en sistemas de categoría Básica
Signup and view all the flashcards
¿Qué es INES?
¿Qué es INES?
Signup and view all the flashcards
Periodicidad de auditoría ordinaria
Periodicidad de auditoría ordinaria
Signup and view all the flashcards
Auditoría no realizada a tiempo
Auditoría no realizada a tiempo
Signup and view all the flashcards
Tipos de auditorías con personal interno
Tipos de auditorías con personal interno
Signup and view all the flashcards
Autoevaluación positiva
Autoevaluación positiva
Signup and view all the flashcards
¿Quién certifica el ENS?
¿Quién certifica el ENS?
Signup and view all the flashcards
Contenido del Distintivo de Conformidad
Contenido del Distintivo de Conformidad
Signup and view all the flashcards
Base para Aprobación Provisional de Conformidad
Base para Aprobación Provisional de Conformidad
Signup and view all the flashcards
Herramienta para coordinar incidentes
Herramienta para coordinar incidentes
Signup and view all the flashcards
Nivel de impacto notificable al CCN
Nivel de impacto notificable al CCN
Signup and view all the flashcards
Artículo RGPD: Notificación de incidentes
Artículo RGPD: Notificación de incidentes
Signup and view all the flashcards
Plazo para notificar violación de datos
Plazo para notificar violación de datos
Signup and view all the flashcards
Study Notes
Plan de Adecuación al Esquema Nacional de Seguridad (ENS)
- Si no se ha designado al responsable de seguridad, el Plan de Adecuación al ENS debe ser elaborado por la persona designada temporalmente.
- Esto asegura que el proceso de adecuación no se detenga por falta de designación formal.
Políticas de Seguridad Municipales
- Los municipios deben tener una política de seguridad común elaborada por la entidad comarcal o provincial.
- Esta política debe asumir la entidad local comarcal o provincial.
- Esto permite una gestión más eficiente y coordinada de la seguridad.
Metodología de Análisis de Riesgos MAGERIT
- MAGERIT se menciona explícitamente como una metodología pública y reconocida para el análisis de riesgos.
- Es mantenida por la Secretaría General de Administración Digital con colaboración del CCN.
- Está soportada por la herramienta PILAR.
Herramienta PILAR
- PILAR es la herramienta utilizada para aplicar la metodología MAGERIT.
- Facilita el análisis y la gestión de riesgos bajo esa metodología específica.
Asunción de Riesgo Residual
- El catálogo de medidas permite asumir un riesgo residual mayor o menor.
- Esto depende de los recursos disponibles por la entidad titular del sistema.
Documentación tras Deficiencias en Seguridad
- El Plan de mejora de la seguridad es el documento que recoge las medidas necesarias tras detectarse insuficiencias.
- Debe basarse en el informe de deficiencias detectadas.
- Debe incluir las tareas y recursos necesarios para subsanar los riesgos residuales.
Aprobación del Plan de Mejora de la Seguridad
- El Plan de mejora de la seguridad es aprobado por el Comité de Seguridad.
- Contiene las medidas a implantar, los plazos de ejecución y los recursos necesarios para la adecuación.
Auditorías en Sistemas de Información de Categoría Básica
- Los sistemas de información de categoría Básica no necesitan auditoría externa.
- Es suficiente con una autoevaluación documentada por el personal que gestiona el sistema o sus delegados.
Herramienta INES
- INES facilita la comunicación del Informe del Estado de Seguridad.
- Es utilizada para que las administraciones públicas comuniquen su Informe del Estado de Seguridad conforme al ENS.
Periodicidad de las Auditorías de Seguridad
- Las auditorías de seguridad ordinarias deben realizarse al menos cada dos años.
- Esto es necesario para verificar el cumplimiento de los requisitos del ENS.
Ampliación del Plazo de Auditoría
- Si la auditoría ordinaria no puede realizarse en el plazo establecido por causas de fuerza mayor, el plazo puede ampliarse tres meses.
- Esto se aplica a causas no imputables a la entidad titular del sistema.
Auditorías Internas
- Las auditorías internas pueden ser realizadas por personal interno o externo, pero sin ser oficiales.
- Su finalidad es confirmar la eficacia del sistema de gestión.
Distintivo tras Autoevaluación Positiva
- Tras una autoevaluación positiva en sistemas de categoría Básica, se obtiene un Distintivo de Declaración de Conformidad.
- Este distintivo electrónico acompaña a la Declaración de Conformidad.
Entidad Certificadora
- Las Certificaciones de Conformidad solo pueden ser expedidas por una entidad certificadora acreditada.
- Especialmente en categorías Media y Alta.
Contenido Mínimo del Distintivo
- Un contenido mínimo obligatorio del Distintivo de Declaración de Conformidad es la fecha de renovación de la declaración.
Aprobación Provisional de Conformidad (APC)
- El Plan de Acciones Correctivas sirve como base para emitir una Aprobación Provisional de Conformidad (APC).
- Para que el CCN emita la APC, se requiere un Plan de Acciones Correctivas que necesite más de tres meses de ejecución.
Herramienta LUCIA
- LUCIA es la herramienta desarrollada por el CCN para coordinar incidentes de seguridad.
- Automatiza la notificación y coordinación de incidentes de seguridad en las administraciones públicas.
Nivel de Impacto Significativo
- Se considera impacto significativo los niveles Alto, Muy Alto y Crítico.
- Estos niveles requieren notificación al CCN.
Artículo 33 del RGPD
- El Artículo 33 del RGPD regula la notificación de incidentes que afecten a datos personales.
- Este artículo regula la notificación de violaciones de seguridad de los datos personales a la autoridad de control.
Plazo para Notificar Violaciones de Datos al AEPD
- El plazo máximo para notificar una violación de datos personales al AEPD según el RGPD es de 72 horas.
- Esto se establece en el Artículo 33 del RGPD.
Plan de Mejora de la Seguridad
- El plan de mejora de la seguridad incluye tareas, planificación y recursos para corregir deficiencias.
Declaración de Aplicabilidad
- La declaración de aplicabilidad formaliza qué medidas son aplicables a un sistema según su categoría de seguridad.
- Se hace conforme al Anexo II del ENS.
Perfiles de Cumplimiento Específico
- Uno de los principales objetivos de los perfiles de cumplimiento específico es cumplir el principio de proporcionalidad.
- Estos perfiles adaptan las exigencias del ENS a las necesidades de entidades concretas.
Validación y Publicación de Perfiles
- El Centro Criptológico Nacional (CCN) valida y publica los perfiles de cumplimiento específico.
- Esto se considera una de sus competencias.
Significado de APC
- APC significa Aprobación Provisional de Conformidad en el contexto del ENS.
- Es emitida excepcionalmente por el CCN bajo ciertos requisitos.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.
