Bloque 1 ENS

¿Cuál es el objetivo del Esquema Nacional de Seguridad (ENS)?. Establecer la política de seguridad en la utilización de medios electrónicos. Regular el comercio electrónico. Proteger los derechos de autor en internet. Promover el uso de software libre.

¿Cómo está constituido el Esquema Nacional de Seguridad (ENS)?. Por normas internacionales de seguridad. Por principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Por directrices de la Unión Europea. Por recomendaciones de empresas tecnológicas.

¿En qué Real Decreto se regula el Esquema Nacional de Seguridad?. Real Decreto 123/2021. Real Decreto 456/2020. Real Decreto 311/2022. Real Decreto 789/2019.

¿Cuáles de los siguientes son principios básicos del ENS?. Seguridad como proceso integral. Gestión de la seguridad basada en los riesgos. Innovación tecnológica. Prevención, detección, respuesta y conservación. Automatización de procesos.

Selecciona los principios básicos del ENS. Existencia de líneas de defensa. Vigilancia continua. Reevaluación periódica. Diferenciación de responsabilidades. Reducción de costos.

Identifica los principios básicos del ENS: Seguridad como proceso integral. Gestión de la seguridad basada en los riesgos. Prevención, detección, respuesta y conservación. Vigilancia continua. Mejora continua.

Elige los principios básicos del ENS: Reevaluación periódica. Diferenciación de responsabilidades. Seguridad como proceso integral. Gestión de la seguridad basada en los riesgos. Innovación en ciberseguridad.

Selecciona los principios básicos del ENS. Gestión de la seguridad basada en los riesgos. Vigilancia continua. Prevención, detección, respuesta y conservación. Existencia de líneas de defensa. Reevaluación periódica. Diferenciación de responsabilidades. Seguridad como proceso integral. Automatización de procesos. Innovación en ciberseguridad. Mejora continua.

¿Cuál de las siguientes opciones describe correctamente la política de seguridad de la información?. Conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. Procedimientos para la implementación de nuevas tecnologías en la organización. Estrategias de marketing para la promoción de servicios de seguridad. Normas para la contratación de personal de seguridad.

¿Cuáles de los siguientes son REQUISITOS MÍNIMOS para la política de seguridad según el ENS?. Organización e implantación del proceso de seguridad. Adquisición de productos de software para gestión contable. Autorización y control de los accesos. Revisión semestral de licencias de software. Análisis y gestión de los riesgos. Protección de las instalaciones. Auditoría de código fuente. Gestión de personal.

Selecciona los requisitos correctos relacionados con la protección y continuidad según el ENS: Continuidad de la actividad. Protección de la información almacenada y en tránsito. Gestión de las cuentas de redes sociales. Registro de la actividad y detección de código dañino. Implementación de sistema de backup automático mensual. Mínimo privilegio. Prevención ante otros sistemas de información interconectados. Mejora continua del proceso de seguridad.

¿Cuáles de las siguientes medidas de seguridad son parte de los requisitos mínimos del ENS?. Protección de las instalaciones. Gestión de personal. Copias de seguridad en la nube. Incidentes de seguridad. Revisión de políticas de confidencialidad de usuarios. Integridad y actualización del sistema. Autorización y control de accesos. Auditoría financiera trimestral.

¿Cuáles de los siguientes puntos están directamente relacionados con la gestión de riesgos y la mejora continua según el ENS?. Prevención ante otros sistemas de información interconectados. Registro de la actividad y detección de código dañino. Análisis y gestión de los riesgos. Profesionalidad. Gestión de personal. Mejora continua del proceso de seguridad. Adquisición de productos de seguridad y contratación de servicios de seguridad. Incidentes de seguridad.

Responsables de la política de seguridad. Responsable de la información. Responsable del servicio. Responsable de la seguridad. Responsable del sistema.

¿Qué debe hacer la organización prestataria de servicios externalizados en relación con la seguridad de la información tratada y el servicio prestado?. Designar un POC (Punto o Persona de Contacto) para la seguridad de la información tratada y el servicio prestado. Designar un comité de apoyo en materia de seguridad. Designar un equipo de desarrollo de software. Designar un responsable de ciberseguridad.

En el contexto del Esquema Nacional de Seguridad (ENS), ¿cuáles de las siguientes afirmaciones sobre el Punto o Persona de Contacto (POC) son INCORRECTAS?. El POC puede pertenecer solo a la organización que contrata el servicio. El POC puede pertenecer tanto a la organización que gestiona el servicio como a la que lo ofrece de forma externalizada. La organización contratante deja de ser responsable del cumplimiento del ENS cuando externaliza un servicio. El POC asegura que las políticas de seguridad se respeten entre la organización contratante y el proveedor externalizado. El POC gestiona la relación con el proveedor externo y los usuarios finales del servicio. La coordinación del POC no es necesaria en servicios externalizados. El POC garantiza la correcta implementación y gestión de las medidas de seguridad entre ambas partes.

¿Qué es la Declaración de Aplicabilidad y quién la firma?. Un documento que describe las medidas de seguridad seleccionadas para un sistema de información, firmado por el responsable de seguridad. Un informe de auditoría interna, firmado por el auditor principal. Un plan de contingencia, firmado por el director de TI. Un manual de usuario, firmado por el administrador del sistema.

¿Cuál es el objetivo de los Perfiles de Cumplimiento Específico actualizados por el Centro Criptológico Nacional (CCN) en las guías de seguridad de las TIC 890 A y 890 C?. Facilitar el cumplimiento del Esquema Nacional de Seguridad (ENS) para categoría BÁSICA en sistemas de información de entidades con dificultades para adecuarse al ENS. Proveer un manual de usuario para sistemas de información en entidades públicas. Describir las medidas de seguridad para sistemas de información de categoría ALTA. Ofrecer una certificación de calidad para sistemas de información en el sector privado.

En la Estructura de Gobernanza de las TIC en la AGE, ¿qué carácter tienen los servicios comunes y qué implican para los medios y servicios particulares de la unidad?. Son opcionales y complementan los medios y servicios particulares de la unidad. Son obligatorios y sustituyen a los medios y servicios particulares que puedan haberse creado en la unidad. Son recomendados y pueden ser utilizados junto con los medios y servicios particulares de la unidad. Son temporales y se utilizan solo en casos de emergencia.

¿Cuáles son los dos tipos de auditoría de seguridad que se realizan para fiscalizar la aplicación de las medidas de seguridad?. general y específica. general y extraordinaria. Anual y bianual. Anual y bianual.

¿Con qué frecuencia se realiza la auditoría de seguridad de carácter general y qué sucede si hay un impedimento de fuerza mayor durante esta auditoría?. Cada año. Cada tres años y luego debe realizarse una auditoría extraordinaria paso un año. Cada dos años y puede postergarse por tres meses si ocurre algún impedimento de fuerza mayor. Cada cinco años y se pospone indefinidamente.

¿Cuándo se requiere una auditoría extraordinaria?. Cada año. Cuando la aplicación sufre una gran modificación. Cada cinco años. Cuando lo solicita el representante de seguridad.

¿Qué se elabora para medir el grado de cumplimiento de las medidas de seguridad y qué ofrece dicho informe? ¿A quiénes se presenta?. Un informe de auditoría que ofrece medidas correctoras y se presenta al representante del sistema y al representante de seguridad. Un plan de acción que ofrece una evaluación financiera y se presenta al director general y al jefe de recursos humanos. Un manual de procedimientos que ofrece un análisis de mercado y se presenta al equipo de desarrollo y al equipo de ventas. Un reporte mensual que ofrece un plan de marketing y se presenta al departamento de finanzas y al departamento legal.

¿Cuál es la función principal de la Comisión Sectorial de Administración Electrónica?. Elaborar el Informe de Estado de Seguridad (INES), que genera un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información comprendidos en el ámbito de aplicación del ENS. Supervisar el cumplimiento de las normativas de seguridad y elaborar un plan de acción anual. Realizar auditorías trimestrales y presentar informes al director general. Desarrollar nuevas tecnologías de seguridad y ofrecer formación a los empleados.

¿Qué entidad se encarga de elaborar el Informe de Estado de Seguridad?. CCN-CERT. Comisión Sectorial de Administración Electrónica. Ministerio del Interior. CSIRT.

¿Qué deben notificar las entidades del sector público al CCN?. Incidentes con impacto significativo en la seguridad de los sistemas de información. Cambios en la infraestructura de TI. Actualizaciones de software. Brechas de datos personales.

¿Qué es el CCN-CERT?. Un equipo de respuesta a emergencias médicas. La estructura para articular la respuesta ante incidentes de seguridad creada por el CCN. Un comité de evaluación de riesgos. Un grupo de análisis de amenazas.

¿Cuál de los siguientes servicios NO es prestado por el CCN-CERT?. Soporte y coordinación para el tratamiento de vulnerabilidades. Investigación y divulgación a través de documentos CCN-STIC. Auditoría financiera. Formación.

¿Qué ofrecen las series de documentos CCN-STIC elaboradas por el CCN?. Normas y guías para la gestión de proyectos. Instrucciones y recomendaciones para aplicar el ENS y garantizar la seguridad de los sistemas de información. Manuales de usuario para software comercial. Informes financieros y económicos.

¿Qué tipo de evaluación es necesaria para otorgar la conformidad de que una aplicación o sitio cumple con los requisitos del ENS si el sistema es de categoría MEDIA o ALTA?. Una autoevaluación. Una auditoría. Ninguna de las anteriores. Una evaluación externa.

¿Qué tipo de evaluación es necesaria para otorgar la conformidad de que una aplicación o sitio cumple con los requisitos del ENS si el sistema es de categoría BÁSICA?. Una autoevaluación. Una auditoría. Ninguna de las anteriores. Una evaluación externa.

¿Cual es la definición de categoría de seguridad de un sistema de información según el Esquema Nacional de Seguridad (ENS)?. La clasificación de los sistemas de información en niveles de seguridad: BÁSICA, MEDIA y ALTA. La evaluación de la capacidad de los sistemas para resistir ciberataques. Equilibrio entre los sistemas (servicios e información) y el esfuerzo de seguridad en función de los riesgos que puedan afectarle, bajo el criterio del principio de proporcionalidad. La categorización de los usuarios según su nivel de acceso.

¿En función de qué se determina la categoría de seguridad?. La cantidad de usuarios que utilizan el sistema de información. La valoración del impacto que tendría un incidente sobre el sistema de información. El tipo de hardware utilizado para dar soporte al sistema de información. El costo del sistema.

¿Con qué frecuencia se debe realizar la re-evaluación de la categoría de seguridad de los sistemas de información según lo plasmado en eñ Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) ? a) Mensualmente b) Anualmente c) Cada cinco años d) Nunca. Mensualmente. Anualmente. Cada cinco años. Nunca.

¿Cuándo es necesario realizar una re-evaluación de la categoría de seguridad de los sistemas de información, además de la que se realiza con frecuencia anual?. Cuando se produzcan modificaciones significativas en los criterios de determinación. Cuando se cambie el equipo de TI. Cuando se instale un nuevo software. Cuando se realice una auditoría interna.

¿Cuánto tiempo tienen los sistemas de información preexistentes al Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) para adecuarse a lo que él regula?. 12 meses. 18 meses. 24 meses. 36 meses.

¿Cuándo deben los nuevos sistemas de información aplicar lo establecido en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) ?. Desde su concepción. Después de un año de operación. Después de una auditoría. Cuando se detecten fallos de seguridad.

¿Cuál de las siguientes opciones incluye únicamente términos que corresponden a las dimensiones de seguridad CITAD?. Confidencialidad, Integridad, Trazabilidad, Autenticidad, Disponibilidad. Confidencialidad, Integridad, Transparencia, Autenticidad, Durabilidad. Confidencialidad, Información, Trazabilidad, Autenticidad, Diversidad. Confidencialidad, Integridad, Trazabilidad, Autenticidad, Durabilidad.

¿Cuál es el nivel de las dimensiones de seguridad si el perjuicio es muy grave y produce la anulación efectiva de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias?. Bajo. Medio. Alto. Crítico.

Niveles de las dimensiones de seguridad ◦ Se definen tres niveles : Nivel Bajo. Nivel Medio. Nivel Alto.

◦ Se definen tres categorías: BÁSICA, MEDIA y ALTA. ALTA. MEDIA. BÁSICA.

¿Cuál es la secuencia correcta de actuaciones para determinar la categoría de un sistema?. Determinación de la categoría de seguridad del sistema y luego identificación del nivel de seguridad correspondiente a cada información y servicio. Identificación del nivel de seguridad correspondiente a cada información y servicio, en función de las dimensiones de seguridad, y luego determinación de la categoría de seguridad del sistema. Identificación del nivel de seguridad correspondiente a cada información y servicio, y luego determinación de las dimensiones de seguridad. Determinación de la categoría de seguridad del sistema y luego identificación de las dimensiones de seguridad.

Las medidas de seguridad se dividen en tres grupos. Marco organizativo [org]. Marco operacional [op]. Medidas de protección [mp].

¿Cuál es la secuencia correcta de pasos para la selección de las medidas de seguridad?. Determinación de la categoría del sistema, identificación de los tipos de activos presentes, determinación de las dimensiones de seguridad relevantes, determinación del nivel de seguridad correspondiente a cada dimensión de seguridad, selección de las medidas de seguridad. Identificación de los tipos de activos presentes, determinación de las dimensiones de seguridad relevantes, determinación del nivel de seguridad correspondiente a cada dimensión de seguridad, determinación de la categoría del sistema, selección de las medidas de seguridad. Identificación de los tipos de activos presentes, determinación del nivel de seguridad correspondiente a cada dimensión de seguridad, determinación de las dimensiones de seguridad relevantes, determinación de la categoría del sistema, selección de las medidas de seguridad. Selección de las medidas de seguridad, identificación de los tipos de activos presentes, determinación de las dimensiones de seguridad relevantes, determinación del nivel de seguridad correspondiente a cada dimensión de seguridad, determinación de la categoría del sistema.

Medidas y Dimensión a la que afecta. Identificación. Registro de la actividad. Bloqueo de puestos de trabajo. Otros dispositivos conectados a la red. Protección de confidencialidad. Marcado de soportes.

Medidas y Dimensión a la que afecta. Criptografía. Calificación de la Información. Firma Electrónica. Sellos de tiempo. Limpieza de documento. Copias de seguridad. Protección frente a Denegación de Servicio.

La serie 800. Guías. CCN-STIC 802. CCN-STIC 803. CCN-STIC 804. CCN-STIC 805. CCN-STIC 806. CCN-STIC 808. CCN-STIC 809. CCN-STIC 815. CCN-STIC 824.

A cual dimensión de seguridad corresponden las siguientes medidas de seguridad según el ENS. Dimensionamiento / gestión de la capacidad. Identificación. Registro de la actividad. Análisis de impacto. Plan de continuidad. Pruebas periódicas. Medios alternativos.

A cual dimensión de seguridad corresponden las siguientes medidas de seguridad según el ENS. Energía eléctrica. Protección frente a inundaciones. Otros dispositivos conectados a la red. Protección de la confidencialidad. Criptografía. Copias de seguridad. Protección frente a denegación de servicio.

A cual dimensión de seguridad corresponden las siguientes medidas de seguridad según el ENS. Protección frente a incendios. Marcado de Soportes. Calificación de la información. Firma electrónica. Criptografía. Sellos de tiempo. Limpieza de documentos. Bloqueo de puestos de trabajo.