El Esquema Nacional de Seguridad. - Parte 1.

Questions and Answers

¿Qué principio establece que la seguridad debe ser abordada desde todos los elementos humanos, materiales, técnicos, jurídicos y organizativos del sistema?

• Seguridad como proceso integral. (correct)
• Reevaluación periódica.
• Existencia de líneas de defensa.
• Diferenciación de responsabilidades.

¿Cuál es la finalidad principal del Esquema Nacional de Seguridad según la Ley 40/2015?

• Fomentar la innovación tecnológica en las administraciones.
• Imponer sanciones a los administradores de sistemas.
• Garantizar el acceso gratuito a los servicios electrónicos.
• Establecer la política de seguridad en el uso de medios electrónicos. (correct)

¿Qué documento debe firmar el responsable de seguridad tras seleccionar las medidas del ENS?

• Informe de seguimiento de la administración digital.
• Certificación de cumplimiento.
• Declaración de Aplicabilidad. (correct)
• Anexo de políticas públicas.

¿Qué dimensiones de seguridad deben considerarse para valorar el impacto de incidentes según el ENS?

Confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. (A)

¿Qué tipo de medidas se encuentran dentro del marco organizativo del ENS?

Medidas relacionadas con la organización global de la seguridad. (B)

¿Qué medida de seguridad se aplica a la dimensión de Autenticidad en nivel Medio y Alto con refuerzo?

Identificación avanzada. (B)

¿Qué nivel de categoría de un sistema de información corresponde cuando al menos una dimensión de seguridad alcanza el nivel Alto?

Categoría Alta. (D)

¿Qué ley redefine el ámbito de aplicación del Real Decreto 3/2010 a todo el sector público?

Ley 40/2015. (B)

¿Cuál de estas medidas no pertenece al marco operacional del ENS?

Identificación de las personas. (B)

¿Cuál es la medida específica relacionada con la protección de la información en soporte físico?

Marcado de soportes. (C)

¿Cuál de los siguientes no es un requisito mínimo del ENS?

Protección de la marca institucional. (C)

¿Qué principio exige la evaluación y actualización continua de las medidas de seguridad?

Reevaluación periódica. (A)

¿Qué se entiende por “seguridad basada en los riesgos”?

La gestión continua del riesgo para minimizar su impacto. (A)

¿Qué documento estableció por primera vez el Esquema Nacional de Seguridad?

Real Decreto 3/2010. (C)

¿Qué tipo de medida se encuentra dentro del subapartado “op. nub”?

Protección de servicios en la nube. (D)

¿Cuál es uno de los principios del ENS en cuanto a acceso a la información?

Mínimo privilegio. (C)

¿Qué dimensión de seguridad actúa sobre la no interrupción del servicio?

Disponibilidad. (D)

¿Cuál de las siguientes opciones se considera un refuerzo en la medida “Análisis de riesgos”?

Análisis de riesgos semiformal (+R1) o formal (+R2). (D)

¿Cuál es la única medida aplicable en el subapartado "op. nub"?

Protección de servicios en la nube. (A)

¿Qué medida se encuentra dentro del subapartado de Protección de los Servicios?

Protección del correo electrónico. (B)

¿Qué medida se aplica en la categoría Básica y se refuerza en la Media y Alta dentro del subapartado “Protección de los Equipos”?

Puesto de trabajo despejado. (C)

¿Qué subapartado dentro del marco operacional contempla el “Análisis de impacto”?

Continuidad del servicio. (C)

¿Qué tipo de sistemas también están sujetos al ENS, además de los públicos?

Sistemas privados que provean soluciones al sector público. (C)

¿Qué ocurre si una dimensión de seguridad no se ve afectada en un sistema de información?

No se le asigna ningún nivel. (D)

¿Qué elemento garantiza el seguimiento del cumplimiento normativo de un contratista en el ENS?

Declaración o Certificación de Conformidad. (C)

Flashcards

¿Principio de seguridad integral?

La seguridad debe abordarse desde todos los elementos del sistema.

Finalidad del ENS según la Ley 40/2015

Establecer una política de seguridad para proteger los sistemas electrónicos del sector público.

¿Declaración de Aplicabilidad?

Documento donde se formalizan las medidas seleccionadas según el ENS.

Dimensiones de seguridad según el ENS

Confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad.

¿Medidas del marco organizativo del ENS?

Medidas relacionadas con la organización global de la seguridad.

Medida de Autenticidad con refuerzo

Identificación avanzada.

Nivel de sistema con dimensión Alta

Categoría Alta.

Ley que redefine el ámbito del Real Decreto 3/2010

Ley 40/2015.

¿Medida no operacional del ENS?

Identificación de las personas.

Medida para proteger la información física

Marcado de soportes.

¿No es requisito mínimo del ENS?

Protección de la marca institucional.

Principio de evaluación continua de la seguridad

Reevaluación periódica.

¿Seguridad basada en los riesgos?

La gestión continua del riesgo para minimizar su impacto.

Documento inicial del Esquema Nacional de Seguridad

Real Decreto 3/2010.

Medida 'op. nub' del ENS

Protección de servicios en la nube.

Principio de acceso a la información del ENS

Mínimo privilegio.

Dimensión de seguridad para la no interrupción

Disponibilidad.

Refuerzo en la medida 'Análisis de riesgos'

Análisis de riesgos semiformal (+R1) o formal (+R2).

Medida aplicable en 'op. nub'

Protección de servicios en la nube.

Medida del subapartado de Protección de los Servicios

Protección del correo electrónico.

Study Notes

Principio de Seguridad Integral

• La seguridad debe abordarse considerando todos los elementos del sistema: humanos, materiales, técnicos, jurídicos y organizativos.
• Este principio implica que la seguridad no debe ser vista como una acción aislada, sino como un proceso que abarca todos los aspectos.

Finalidad del Esquema Nacional de Seguridad (ENS)

• La finalidad principal del ENS, según la Ley 40/2015, es establecer una política de seguridad en el uso de medios electrónicos.
• El ENS busca proteger los sistemas, datos y servicios electrónicos que utiliza el sector público, garantizando los derechos y deberes digitales.

Documento a Firmar Tras Seleccionar Medidas del ENS

• El responsable de seguridad debe firmar una Declaración de Aplicabilidad después de seleccionar las medidas del ENS.
• Este documento formaliza las medidas seleccionadas y sirve como base para el plan de adecuación.

Dimensiones de Seguridad para Valorar Impacto de Incidentes

• Las dimensiones de seguridad clave establecidas por el ENS (CITAD) para valorar el impacto de incidentes son: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad.
• Estas dimensiones son esenciales para determinar el nivel de seguridad requerido en cada aspecto del sistema de información.

Medidas Dentro del Marco Organizativo del ENS

• Las medidas dentro del marco organizativo del ENS están relacionadas con la organización global de la seguridad.
• El marco organizativo se centra en políticas, normativas, procedimientos y procesos de autorización.

Medidas de Autenticidad en Nivel Medio y Alto

• La medida de seguridad que se aplica a la dimensión de Autenticidad en nivel Medio y Alto con refuerzo es la "Identificación avanzada".
• Esta medida forma parte del control de acceso y se aplica para garantizar la autenticidad y trazabilidad de los usuarios.

Nivel de Categoría de un Sistema de Información

• Si al menos una dimensión de seguridad alcanza el nivel Alto, el sistema se considera de Categoría Alta.
• El ENS establece que el sistema se categoriza según la dimensión de mayor nivel.

Ley que Redefine el Ámbito de Aplicación del Real Decreto 3/2010

• La Ley 40/2015 redefine el ámbito de aplicación del Real Decreto 3/2010 a todo el sector público.
• Esta ley amplía el ámbito del ENS más allá de la administración electrónica, afectando a todo el sector público.

Medida No Perteneciente al Marco Operacional del ENS

• La identificación de las personas no pertenece al marco operacional del ENS.
• La identificación de las personas se considera parte del marco de protección (mp.if).

Medida Específica para Protección de Información en Soporte Físico

• El marcado de soportes es la medida específica relacionada con la protección de la información en soporte físico.
• Esta medida busca asegurar la confidencialidad de los datos, etiquetando el contenido y nivel de seguridad.

Requisito Mínimo No Incluido en el ENS

• La protección de la marca institucional no es un requisito mínimo del ENS.
• Los demás requisitos mínimos sí están contemplados para asegurar la información tratada.

Principio que Exige la Evaluación y Actualización Continua

• La reevaluación periódica es el principio que exige la evaluación y actualización continua de las medidas de seguridad.
• Esto implica revisar y adaptar las medidas de seguridad a los nuevos riesgos y cambios en los sistemas.

Significado de "Seguridad Basada en los Riesgos"

• "Seguridad basada en los riesgos" se refiere a la gestión continua del riesgo para minimizar su impacto.
• El análisis y gestión de riesgos son esenciales para crear un entorno seguro y controlado.

Documento que Estableció el Esquema Nacional de Seguridad Inicialmente

• El Real Decreto 3/2010 fue el documento normativo inicial que reguló el ENS.
• Fue actualizado posteriormente por el Real Decreto 311/2022.

Medida Dentro del Subapartado “op. nub”

• La protección de servicios en la nube es la medida que se encuentra dentro del subapartado “op. nub”.
• Este subapartado del marco operacional se ocupa de los servicios alojados en la nube.

Principio del ENS en Cuanto a Acceso a la Información

• El principio del ENS en cuanto a acceso a la información es el mínimo privilegio.
• Cada usuario debe tener solo los permisos estrictamente necesarios.

Dimensión de Seguridad que Actúa Sobre la No Interrupción del Servicio

• La disponibilidad es la dimensión de seguridad que actúa sobre la no interrupción del servicio.
• La disponibilidad garantiza que los servicios estén accesibles en todo momento.

Refuerzo en la Medida “Análisis de Riesgos”

• El análisis de riesgos semiformal (+R1) o formal (+R2) se considera un refuerzo en la medida “Análisis de riesgos”.
• El ENS establece estos refuerzos según el nivel de seguridad requerido.

Única Medida Aplicable en el Subapartado "op. nub"

• La protección de servicios en la nube es la única medida aplicable en el subapartado "op. nub".
• Regula la seguridad en servicios cloud, aplicable con distintos refuerzos según la categoría del sistema.

Medida Dentro del Subapartado de Protección de los Servicios

• La protección del correo electrónico es una medida dentro del subapartado de Protección de los Servicios.
• El correo electrónico es uno de los servicios esenciales que deben protegerse.

Medida en Categoría Básica y Reforzada en Media y Alta en "Protección de los Equipos"

• El puesto de trabajo despejado es una medida que se aplica en la categoría Básica y se refuerza en Media y Alta dentro del subapartado "Protección de los Equipos".
• Evita que información sensible quede expuesta en los puestos de trabajo.

Subapartado que Contempla el “Análisis de Impacto”

• La continuidad del servicio es el subapartado dentro del marco operacional que contempla el “Análisis de impacto”.
• El análisis de impacto evalúa los efectos de un incidente en la disponibilidad del servicio.

Sistemas Sujetos al ENS Además de los Públicos

• Los sistemas privados que provean soluciones al sector público también están sujetos al ENS.
• Esto es porque prestan servicios a entidades públicas.

Consecuencia si una Dimensión de Seguridad No Se Ve Afectada

• Si una dimensión de seguridad no se ve afectada en un sistema de información, no se le asigna ningún nivel.
• Esta dimensión no influye en la categorización ni se le asigna un nivel de seguridad.

Elemento que Garantiza el Cumplimiento Normativo de un Contratista

• La Declaración o Certificación de Conformidad garantiza el seguimiento del cumplimiento normativo de un contratista en el ENS.
• Este documento demuestra que el proveedor cumple con los requisitos del ENS.