El Esquema Nacional de Seguridad. - Parte 4.

Questions and Answers

¿Qué tipo de evaluación requiere el refuerzo R2 en “Análisis de riesgos"?

• Evaluación informal.
• Análisis por expertos externos.
• Pruebas de estrés técnico.
• Análisis formal. (correct)

¿Qué garantiza la dimensión de Disponibilidad según el ENS?

• La identidad del usuario.
• El almacenamiento seguro de claves.
• La trazabilidad de los accesos.
• El acceso a los servicios sin interrupciones. (correct)

¿Qué medida exige que los usuarios solo tengan acceso a lo estrictamente necesario para desempeñar sus funciones?

• Control de acceso compartido.
• Mínimo privilegio. (correct)
• Política de roles.
• Política de acceso total.

¿Cuál es el papel del “sistema de métricas” dentro del ENS?

Evaluar el estado de seguridad con indicadores. (D)

¿Qué tipo de medida es el “Bloqueo del puesto de trabajo"?

Técnica de protección. (B)

¿Qué permite el principio de “Prevención, detección y respuesta”?

Reaccionar a incidentes de forma oportuna y eficiente. (D)

¿Qué elemento recoge los requisitos de cada medida y sus refuerzos en el ENS?

El Anexo II del ENS. (D)

¿Qué acción se menciona como ejemplo de trazabilidad?

Registro de accesos por parte de usuarios. (D)

¿Cuál es una medida del marco organizativo?

Normativa de seguridad. (A)

¿Qué acción se realiza tras identificar los activos y dimensiones de seguridad?

Se determina la categoría de seguridad del sistema. (C)

¿Qué establece el principio de vigilancia continua?

La supervisión constante del estado de seguridad. (B)

¿Qué medida no es aplicable en categoría Básica en el apartado de Recursos Externos?

Contratación y acuerdos de nivel de servicio. (D)

¿Qué se considera una amenaza según el ENS?

Una interrupción no planificada del servicio. (D)

¿Qué medida es aplicable a todas las categorías en "Protección de infraestructuras"?

Áreas separadas con control de acceso. (D)

¿Qué principio implica aplicar medidas equilibradas a los riesgos y servicios tratados?

Proporcionalidad. (D)

¿Qué ley regula el derecho a la seguridad de los datos en las relaciones con la administración pública?

Ley 39/2015. (D)

¿Qué establece el artículo 2 del ENS respecto a su ámbito de aplicación?

Que aplica a todo el sector público y proveedores tecnológicos. (D)

¿Qué color representa medidas aplicables en categoría Básica o superior?

Verde. (D)

¿Qué dimensión protege la identidad de quien accede o firma electrónicamente?

Autenticidad. (D)

¿Qué componente del ENS permite realizar una reevaluación periódica de la seguridad?

Análisis y gestión de riesgos. (D)

¿Qué tipo de medida se encuentra dentro de “Protección de los servicios"?

Protección del correo electrónico. (C)

¿Qué se requiere para cumplir con la “Declaración de Aplicabilidad”?

Firmarla por el responsable de seguridad. (D)

¿Qué dimensión permite rastrear accesos indebidos o filtraciones de datos?

Trazabilidad. (C)

¿Qué subapartado se encarga de los servicios alojados en entornos cloud?

Servicios en la nube. (A)

¿Qué tipo de análisis se usa en categoría Media en el “Análisis de riesgos”?

Análisis semiformal. (C)

¿Qué ley define el objeto del ENS como política de seguridad en el uso de medios electrónicos?

Ley 40/2015. (D)

Flashcards

¿Qué implica el refuerzo R2 en 'Análisis de riesgos'?

Análisis exhaustivo y documentado de riesgos, más riguroso que el semiformal (R1), para entornos de categoría Alta.

¿Qué garantiza la Disponibilidad según el ENS?

Garantiza el acceso continuo a los servicios, evitando interrupciones y fallos que impidan su utilización.

¿Qué exige el principio de mínimo privilegio?

Asegura que cada usuario tenga solo los privilegios necesarios para sus funciones, minimizando riesgos de usos indebidos.

¿Cuál es el papel del 'sistema de métricas'?

Evaluar la seguridad del sistema a través de indicadores medibles.

¿Qué es el 'Bloqueo del puesto de trabajo'?

Medida de seguridad para evitar que un puesto quede expuesto cuando el usuario no está.

¿Qué permite 'Prevención, detección y respuesta'?

Permite reaccionar ante incidentes de manera rápida y efectiva, previniendo y detectando ataques a tiempo.

¿Qué es el Anexo II del ENS?

Documento que detalla cada medida de seguridad, su nivel de aplicación y los refuerzos exigidos o recomendables.

¿Qué es trazabilidad (ejemplo)?

Registrar y documentar quién accedió a qué recurso, cuándo y desde dónde.

¿Qué es una normativa de seguridad?

Conjunto de reglas que estructuran y organizan la gestión de la seguridad en una entidad.

¿Qué se hace tras identificar activos y dimensiones de seguridad?

Determinar qué nivel de seguridad necesita el sistema.

¿Qué establece la vigilancia continua?

La constante supervisión y evaluación del estado de seguridad del sistema.

¿Qué se considera una amenaza según el ENS?

Medidas para asegurar que un servicio no se vea afectado por interrupciones no planeadas afectando su disponibilidad.

¿Qué ley define el objeto del ENS?

Esta ley establece que el objeto del ENS es fijar una política de seguridad en el uso de los medios electrónicos.

¿Qué representa el color verde en el ENS?

Este color representa medidas aplicables en categoría Básica o superior.

¿Qué dimensión protege la identidad en el ENS?

Es la dimensión que protege la identidad digital, asegurando que las acciones online sean atribuibles a la persona correcta

¿Qué componente permite la reevaluación periódica?

Este componente es necesario para adaptarse a los cambios y mantener la seguridad al día.

¿Qué es la protección del correo electrónico?

Esta medida protege la seguridad en la gestión del correo, que es un vector de ataques.

¿Qué se requiere para la 'Declaración de Aplicabilidad'?

Este documento clave, debe ser aprobado, firmado y estar en cumplimiento del ENS.

¿Qué dimensión permite rastrear accesos indebidos?

La trazabilidad facilita la reconstrucción del sistema, identificando accesos no autorizados.

¿Qué incluye 'Servicios en la nube'?

Agrupa todas las medidas para proteger los servicios contratados o gestionados en la nube.

Study Notes

Análisis de Riesgos (Refuerzo R2)

• Un análisis de riesgos formal es requerido para el refuerzo R2.
• El refuerzo R2 contiene un análisis exhaustivo y documentado, para entornos de categoría Alta.

Dimensión de Disponibilidad (ENS)

• El acceso a los servicios sin interrupciones garantiza la dimensión de Disponibilidad acorde al ENS
• La dimensión requiere que los servicios estén disponibles cuando se necesiten, para así evitar fallos que impidan su utilización.

Medida de Acceso a Usuarios

• El mínimo privilegio es una medida que exige que los usuarios solo tengan acceso a lo estrictamente necesario para desempeñar sus funciones.
• Se minimiza así el riesgo de usos indebidos o incidentes por error humano.

Sistema de Métricas (ENS)

• El sistema de métricas tiene el papel de evaluar el estado de seguridad con indicadores.
• Permite una visión objetiva de la evolución de la seguridad mediante indicadores medibles.

Bloqueo del Puesto de Trabajo

• El bloqueo del puesto de trabajo es una medida de tipo técnico de protección.
• Previene que un puesto de trabajo quede expuesto en ausencia del usuario sin cerrar sesión.

Principio de Prevención, Detección y Respuesta

• Este principio implica reaccionar a incidentes de forma oportuna y eficiente.
• Existe la capacidad de respuesta ante ellos y se busca que se prevengan ataques y se detecten a tiempo.

Requisitos de Medidas y Refuerzos

• El Anexo II del ENS recoge los requisitos de cada medida y sus refuerzos.
• Se especifica detalladamente cada medida de seguridad y el nivel al que se aplican.

Ejemplo de Trazabilidad

• El registro de accesos por partes de usuarios, es un ejemplo de trazabilidad
• Se considera la capacidad de saber quién accedió a qué recurso, cuándo y desde dónde, permitiendo el seguimiento y análisis forense.

Medida del Marco Organizativo

• La normativa de seguridad es una medida del marco organizativo.
• Forma parte de las medidas que estructuran y organizan la gestión de la seguridad dentro de la entidad.

Acciones Tras Identificar Activos y Dimensiones

• Se determina la categoría de seguridad del sistema tras identificar los activos y dimensiones de seguridad.
• Una vez conocidos los activos y dimensiones afectadas, se calcula la categoría en base al nivel más alto de todas ellas.

Principio de Vigilancia Continua

• La supervisión constante del estado de seguridad establece el principio de vigilancia continua.
• El sistema está siendo evaluado continuamente para detectar anomalías o brechas de forma inmediata.

Medida No Aplicable en Categoría Básica (Recursos Externos)

• La contratación y acuerdos de nivel de servicio no es aplicable en categoría Básica en el apartado de Recursos Externos.
• Se aplica a partir de la categoría Media, según lo establecido en el ENS.

Amenaza Según el ENS

• Una interrupción no planificada del servicio se considera una amenaza según el ENS.
• La amenaza se manifiesta cuando afecta a la disponibilidad o integridad del servicio, como en el caso de interrupciones no previstas.

Medida Aplicable en "Protección de Infraestructuras" (Todas las Categorías)

• Áreas separadas con control de acceso, es una medida aplicable a todas las categorías en "Protección de infraestructuras".
• Se exige desde el nivel Básico y protege físicamente el acceso a las infraestructuras críticas del sistema.

Principio de Aplicación de Medidas Equilibradas

• La proporcionalidad implica aplicar medidas equilibradas a los riesgos y servicios tratados.
• Las medidas deben ser proporcionales a la naturaleza de la información, los servicios prestados y los riesgos identificados.

Ley de Seguridad de Datos en la Administración Pública

• La Ley 39/2015 regula el derecho a la seguridad de los datos en las relaciones con la administración pública.
• El artículo 13 recoge explícitamente el derecho a la seguridad de los datos de las personas en sistemas públicos.

Ámbito de Aplicación del Artículo 2 del ENS

• El artículo 2 del ENS aplica a todo el sector público y proveedores tecnológicos.
• El ENS aplica no solo a organismos públicos, también a empresas privadas que presten servicios o soluciones tecnológicas para ellos.

Color Representativo de Medidas Aplicables

• El color verde representa medidas aplicables en categoría Básica o superior.
• El color verde en las tablas del Anexo II indica que una medida se aplica desde el nivel más básico de categorización.

Dimensión de Protección de Identidad

• La autenticidad es la dimensión que protege la identidad de quien accede o firma electrónicamente.
• Se garantiza que los actos digitales se atribuyan a la persona correcta, evitando suplantaciones.

Componente para la Reevaluación Periódica de Seguridad

• El análisis y gestión de riesgos del ENS permite realizar una reevaluación periódica de la seguridad.
• Debe mantenerse actualizado y adaptarse a los nuevos escenarios.

Medida Dentro de "Protección de los Servicios"

• La protección del correo electrónico se encuentra dentro de "Protección de los servicios".
• Se garantiza la seguridad en la gestión del correo electrónico, que puede ser un vector de amenazas.

Requisitos para Cumplir la "Declaración de Aplicabilidad"

• Firmarla por el responsable de seguridad es un requisito para cumplir con la "Declaración de Aplicabilidad".
• Este documento es clave para el cumplimiento del ENS y debe ser aprobado y firmado por la figura encargada de la seguridad.

Dimensión para Rastrear Accesos Indebidos

• La trazabilidad permite rastrear accesos indebidos o filtraciones de datos.
• Permite reconstruir acciones del sistema e identificar accesos no autorizados.

Subapartado para Servicios Alojados en la Nube

• Servicios en la nube es el subapartado que se encarga de los servicios alojados en entornos cloud.
• Agrupa las medidas relacionadas con la seguridad de servicios contratados o gestionados en la nube.

Tipo de Análisis en Categoría Media

• En categoría Media del "Análisis de riesgos" se usa un análisis semiformal.
• El refuerzo +R1 indica que se requiere un análisis semiformal con mayor nivel de detalle que uno básico.

Ley que Define el Objeto del ENS

• La Ley 40/2015 define el objeto del ENS como política de seguridad en el uso de medios electrónicos.
• En su artículo 156 establece que el objeto del ENS es fijar una política de seguridad en el uso de medios electrónicos.