El Esquema Nacional de Seguridad. - Parte 2.

Questions and Answers

¿Qué elemento garantiza el seguimiento del cumplimiento normativo de un contratista en el ENS?

• Declaración o Certificación de Conformidad. (correct)
• Registro de incidencias.
• Documento de requisitos funcionales.
• Resolución de categoría básica.

¿Qué tipo de refuerzo se representa con corchetes y la palabra “o” en el Anexo II del ENS?

• Refuerzo condicionado.
• Refuerzo alternativo. (correct)
• Refuerzo obligatorio.
• Refuerzo exclusivo para nivel bajo.

¿Cuál es la función principal de la vigilancia continua según el ENS?

• Automatizar copias de seguridad.
• Detectar actividades anómalas y vulnerabilidades. (correct)
• Proteger las conexiones de red locales.
• Generar estadísticas de usuarios.

¿Qué medida del ENS se relaciona directamente con la dimensión de trazabilidad y autenticidad?

Identificación. (A)

¿Qué ley incluye entre los derechos de las personas el derecho a la seguridad de los datos personales en sistemas públicos?

Ley 39/2015. (B)

¿Qué tipo de medida se aplica al “Bloqueo de puesto de trabajo”?

De protección. (C)

¿Qué dimensión de seguridad busca prevenir la filtración de información no autorizada?

Confidencialidad. (A)

¿Qué medida se refiere a identificar quién accede a una red WIFI o firma un documento?

Autenticidad. (A)

¿Qué debe hacer una entidad pública si contrata una empresa privada para servicios tecnológicos conforme al ENS?

Exigir la Declaración o Certificación de Conformidad con el ENS. (B)

¿Qué característica tienen las medidas de seguridad según el Anexo II del ENS?

Tienen carácter de mínimos exigibles. (A)

¿Cuál es el objetivo de aplicar el principio de “existencia de líneas de defensa”?

Proteger el sistema en múltiples niveles ante fallos. (B)

¿Qué implica aplicar el principio de “mínimo privilegio”?

Asignar solo los permisos imprescindibles para la tarea. (A)

¿Qué medida protege físicamente las infraestructuras según el ENS?

Áreas separadas con control de acceso. (B)

¿Qué dimensión está relacionada con asegurar que un documento electrónico no ha sido modificado?

Integridad. (A)

¿Qué medida corresponde al subapartado de “Gestión de personal"?

Caracterización del puesto de trabajo. (B)

¿Qué dimensión se asegura con el “registro de accesos por parte de usuario”?

Trazabilidad. (D)

¿Qué refuerzo se aplica en el nivel Alto para “Protección de servicios en la nube"?

Servicios certificados y Guías de Configuración de Seguridad Específicas. (D)

¿Qué medida de seguridad incluye el uso de “métricas”?

Sistema de métricas. (C)

¿Qué principio implica preparar al personal para evitar errores por desconocimiento?

Concienciación en seguridad. (C)

¿Qué categoría tiene un sistema si ninguna dimensión supera el nivel Bajo?

Básica. (B)

¿Cuál es el objetivo del principio de “prevención, detección y respuesta”?

Minimizar el impacto de amenazas sobre la información. (B)

¿Qué subapartado incluye la medida "Detección de intrusión"?

Monitorización del sistema. (D)

¿Qué subapartado contiene la medida "Contratación y acuerdos de nivel de servicio"?

Recursos externos. (C)

¿Qué medida solo es aplicable al nivel Alto dentro de la dimensión de Disponibilidad?

Plan de continuidad. (A)

¿Qué dimensión se asegura al disponer de sistemas de control de acceso físicos en instalaciones?

Confidencialidad. (D)

¿Qué debe tener en cuenta el responsable de seguridad al seleccionar medidas adicionales al mínimo exigible?

La naturaleza de la información y el riesgo. (A)

Flashcards

Declaración o Certificación de Conformidad

Documento que demuestra el cumplimiento de los requisitos del ENS por el proveedor.

Refuerzo alternativo en Anexo II

Indica que se puede elegir uno de varios refuerzos, según convenga.

Función principal de la vigilancia continua

Identificar comportamientos inesperados y posibles amenazas antes de que ocurran.

Identificación (ENS)

Permite registrar y comprobar acciones del usuario dentro del sistema.

Ley 39/2015

Reconoce el derecho a la protección de datos personales, incluyendo la seguridad.

Bloqueo de puesto de trabajo

Impide el acceso no autorizado a un puesto de trabajo desatendido.

Confidencialidad

Asegura la información controlando quién accede a qué.

Autenticidad

Garantiza la identidad de usuarios y asocia acciones a personas u organismos verificados.

Contratación de empresa privada (ENS)

Exigir la Declaración o Certificación de Conformidad con el ENS.

Medidas de seguridad (Anexo II del ENS)

Representan el punto de partida obligatorio para cualquier sistema dentro del ENS.

Principio de existencia de líneas de defensa

Proteger el sistema en múltiples niveles para mitigar fallos.

Principio de mínimo privilegio

Asignar solo los permisos imprescindibles para realizar una tarea.

Áreas separadas con control de acceso

Restringir el acceso físico a los recursos y protegerlos.

Integridad de la información

Asegura que la información no ha sido alterada accidental o maliciosamente.

Caracterización del puesto de trabajo.

Definir claramente funciones, responsabilidades y permisos de cada puesto.

Registro de accesos por parte de usuario

Permite saber quién accedió, cuándo y desde dónde.

Protección de servicios en la nube (nivel Alto)

Servicios certificados y guías de configuración de seguridad específicas.

Sistema de métricas

Evaluar el estado de seguridad a través de indicadores objetivos.

Concienciación en seguridad

El desconocimiento o falta de instrucciones adecuadas pueden ser riesgos importantes.

Objetivo del principio de prevención, detección y respuesta

Minimizar el impacto de amenazas sobre la información y servicios.

Study Notes

Seguimiento del Cumplimiento Normativo

• Para garantizar el seguimiento del cumplimiento normativo de un contratista en el ENS, se utiliza la Declaración o Certificación de Conformidad.
• Este documento prueba que el proveedor cumple los requisitos del ENS
• La entidad pública contratante puede solicitarlo para verificación en cualquier momento.

Tipos de Refuerzo en el Anexo II del ENS

• El refuerzo alternativo se representa con corchetes y la palabra "o" en el Anexo II del ENS.
• En el Anexo II se utiliza la notación [Rn o Rn+1] para indicar que puede elegirse uno de varios refuerzos, según convenga y no aplicar todos a la vez.

Función Principal de la Vigilancia Continua

• La vigilancia continua tiene como función principal detectar actividades anómalas y vulnerabilidades.
• La vigilancia continua permite identificar comportamientos no esperados en el sistema y analizar el estado de la seguridad.
• Se puede responder ante posibles amenazas antes de que se hagan efectivas.

Trazabilidad y Autenticidad en el ENS

• La medida del ENS que se relaciona directamente con la trazabilidad y autenticidad es la identificación.
• La identificación es esencial para registrar y comprobar las acciones de cada usuario dentro del sistema

Protección de Datos Personales en Sistemas Públicos

• La Ley 39/2015 incluye, entre los derechos de las personas, el derecho a la seguridad de los datos personales en sistemas públicos.
• En su artículo 13, esta ley reconoce el derecho a la protección de los datos personales en sistemas y aplicaciones de las administraciones públicas.

Bloqueo de Puesto de Trabajo

• El "Bloqueo de puesto de trabajo" es una medida de protección.
• Esta medida se encuentra dentro del marco de protección de la autenticidad del sistema, impidiendo el acceso no autorizado a un puesto desatendido.

Confidencialidad de la Información

• La confidencialidad es la dimensión de seguridad para prevenir la filtración de información no autorizada.
• La confidencialidad se asegura controlando quién accede a qué información.
• Se evitan accesos a personas no autorizadas o no previstas.

Autenticidad en Redes y Documentos

• La medida que se refiere a identificar quién accede a una red WIFI o firma un documento es la autenticidad.
• La autenticidad busca garantizar la identidad de los usuarios y asegurar que las acciones estén asociadas a personas u organismos verificados.

Contratación de Servicios Tecnológicos con el ENS

• Una entidad pública debe exigir la Declaración o Certificación de Conformidad con el ENS al contratar una empresa privada para servicios tecnológicos.
• Esto asegura legal y técnicamente que la empresa cumple con las medidas del ENS y forma parte de los requisitos del contrato.

Medidas de Seguridad según el Anexo II del ENS

• Las medidas de seguridad según el Anexo II del ENS tienen carácter de mínimos exigibles.
• Estas medidas son el punto de partida obligatorio para cualquier sistema dentro del ENS.
• Es importante destacar que el responsable de seguridad puede ampliar estas medidas.

Principio de Existencia de Líneas de Defensa

• El objetivo de aplicar el principio de "existencia de líneas de defensa" es proteger el sistema en múltiples niveles ante fallos.
• Este principio establece que debe haber varias capas de seguridad que actúen y minimicen el impacto si una falla.

Principio de Mínimo Privilegio

• El principio de "mínimo privilegio" implica asignar solo los permisos imprescindibles para la tarea.
• Su objetivo es reducir los riesgos innecesarios, otorgando a cada usuario solo los accesos que realmente necesita para su función específica.

Protección Física de Infraestructuras

• La medida que protege físicamente las infraestructuras según el ENS es la separación en áreas con control de acceso.
• Estas áreas controladas restringen el acceso físico a los recursos.
• Esto protege las instalaciones e infraestructuras de accesos no autorizados.

Integridad de Documentos Electrónicos

• La integridad es la dimensión relacionada con asegurar que un documento electrónico no ha sido modificado.
• La integridad asegura que la información no ha sido alterada accidental o maliciosamente, siendo especialmente crítica en documentos oficiales.

Gestión de Personal

• La medida que corresponde al subapartado de "Gestión de personal" es la caracterización del puesto de trabajo.
• Esta medida busca definir claramente qué funciones, responsabilidades y permisos tiene cada puesto.
• Esto ayuda a evitar accesos indebidos o errores humanos.

Registro de Accesos por Parte de Usuario

• La dimensión que se asegura con el "registro de accesos por parte de usuario" es la trazabilidad.
• La trazabilidad permite saber quién accedió, cuándo y desde dónde.
• Esto deja un rastro completo para auditoría o investigación ante incidentes.

Protección de Servicios en la Nube (Nivel Alto)

• En el nivel Alto para "Protección de servicios en la nube", se aplica el refuerzo de Servicios certificados y Guías de Configuración de Seguridad Específicas.
• En niveles altos, los servicios cloud deben estar certificados e implementar guías específicas que garanticen una configuración segura.

Medidas de Seguridad con Métricas

• La medida de seguridad que incluye el uso de métricas es el Sistema de métricas.
• Esta medida se encuentra dentro del subapartado de monitorización y permite evaluar el estado de seguridad a través de indicadores objetivos.

Preparación del Personal y Concienciación

• El principio que implica preparar al personal para evitar errores por desconocimiento es la concienciación en seguridad.
• El ENS menciona que el desconocimiento o la falta de instrucciones adecuadas pueden ser riesgos importantes.

Categorización de Sistemas

• Si ninguna dimensión supera el nivel Bajo, un sistema tiene la categoría Básica.
• Según el procedimiento de categorización del ENS, un sistema se clasifica como de categoría Básica si todas las dimensiones están en nivel Bajo.

Objetivo del Principio de Prevención, Detección y Respuesta

• El objetivo del principio de "prevención, detección y respuesta" es minimizar el impacto de amenazas sobre la información.
• Este principio busca evitar que las amenazas lleguen a materializarse, y si lo hacen, que su efecto sea el menor posible sobre la información y servicios.

Detección de Intrusión

• La medida de "Detección de intrusión" se encuentra en el subapartado de Monitorización del sistema.
• Esta medida pertenece al subapartado encargado de vigilar el estado de seguridad del sistema, permitiendo detectar accesos indebidos o intentos de ataque mediante sistemas automatizados.

Contratación y Acuerdos de Nivel de Servicio

• La medida de "Contratación y acuerdos de nivel de servicio" se encuentra en el subapartado de Recursos externos.
• Esta medida está destinada a garantizar que los proveedores de servicios externos cumplan con niveles de seguridad acordes al ENS, dentro del apartado de relaciones con terceros.

Disponibilidad en Nivel Alto

• La medida solo aplicable al nivel Alto dentro de la dimensión de Disponibilidad es el Plan de continuidad.
• Este plan se exige únicamente cuando la disponibilidad alcanza el nivel más alto, buscando asegurar la prestación del servicio en caso de fallos críticos o catástrofes.

Control de Acceso Físico

• La dimensión que se asegura al disponer de sistemas de control de acceso físicos en instalaciones es la confidencialidad.
• Limitar físicamente el acceso a determinadas áreas ayuda a evitar que personas no autorizadas accedan a información sensible.

Selección de Medidas Adicionales

• El responsable de seguridad debe tener en cuenta la naturaleza de la información y el riesgo al seleccionar medidas adicionales al mínimo exigible.
• Aunque se parte de unos mínimos obligatorios, el responsable puede aumentar las medidas si el tipo de datos tratados o los riesgos a los que se expone lo requieren.