> **Simulacro Tipo Test: ENS (Asalto 2)** # Pregunta 1 Según el RD 311/2022, dentro de la organización de la seguridad y la diferenciación de responsabilidades, ¿quién tiene la potestad de determinar los requisitos de la información en materia de seguridad? - A) El Responsable de la Seguridad, figura encargada de dictaminar todas las políticas operativas, gestionar los riesgos de forma exclusiva y coordinar cualquier acción técnica con el Centro Criptológico Nacional. - B) El Responsable de la Información. - C) El Responsable del Sistema, ya que es el administrador principal con privilegios absolutos sobre la infraestructura del ayuntamiento y el único capaz de implementar los controles físicos. - D) El Comité de Dirección de Seguridad de la Información, previa consulta vinculante a los auditores externos contratados por la entidad para garantizar la total imparcialidad del proceso. ## Respuestas A ciegas diría que el Responsable de la Información, es decir, la B, pero por dos cosas: - Es una de las imágenes de responsabilidad dentro del mundo de la Seguridad dentro del ENS. - Es la respuesta más corta, y el otro día te dije que alargaras las falsas porque las correctas sobresalían de las demás, y fuiste al extremo contrario. ¡Jajajajajaja! Ahora bien, siendo honestos, aquí tuve que mirarlo por inseguridad, no sé si por los casos anteriores o qué, pero no me sentí seguro para responder. La respuesta correcta es la B pues el Punto A del Apartado 2 del Artículo 13, de la Organización e implantación del proceso de seguridad, del Capítulo III, de la Política de Seguridad y Requisitos Mínimos de Seguridad, del Real Decreto 311/2022, del 3 de Mayo por el que se regula el Esquema Nacional de Seguridad nos dice exactamente eso, que el Responsable de Información es el encargado de determinar los requisitos de la información tratada. Analizando las demás respuestas, la A está correcta cara la definición de Responsable de Seguridad, pero no tiene cabida para la respuesta buscada; el Responsable del Sistema no es el administrador en cuestión, sino el Responsable de desarrollar la forma concreta de implementar la seguridad y su supervisión, así que mal la definición y nada que ver con lo que se buscaba; y la última no existe de por sí, sólo el o los comités para la gestión y coordinación de la seguridad detallado en el Punto D del Apartado 1 del Artículo 12, de la Política de Seguridad y Requisitos Mínimos de Seguridad, del Capítulo III, con el mismo nombre, del mismo Real Decreto. ## Corrección ¡Correcto! Y muy bien hecho el ir a mirar la ley cuando sentiste inseguridad. El **Responsable de la Información** (Art. 13) es el "dueño" de los datos y, por tanto, quien decide qué requisitos de seguridad necesitan esos datos en concreto. Has desgranado perfectamente por qué las otras opciones eran inventos o funciones de otros roles. # Pregunta 2 En caso de que la entidad local sufra un incidente de seguridad que afecte a un sistema de categoría Alta, ¿a quién se debe notificar dicho incidente para obtener soporte y coordinación, según lo estipulado en el ENS? - A) Exclusivamente a la Agencia Española de Protección de Datos, adjuntando el informe pericial detallado y el registro de logs en un plazo máximo e improrrogable de setenta y dos horas desde su conocimiento. - B) Al CCN-CERT. - C) A la Secretaría General de Administración Digital, la cual se encargará de paralizar de forma inmediata los servidores afectados de la entidad local para garantizar la contención del ciberataque a nivel nacional. - D) Al Instituto Nacional de Ciberseguridad (INCIBE), siempre y cuando el ataque provenga de una red pública internacional no identificada previamente en las listas de amenazas del Estado. ## Respuestas Esta es la B, y lo sé por varios motivos: - El CCN-CERT es la entidad a la cual ha de comunicarse cara una falla de seguridad tan crucial, así como es la entidad que puede asesorar ante cualquier ámbito de seguridad a las Administraciones. - A mayores nos encontramos la trama de la longitud que te dije en la pregunta anterior. ¡JAjajajaja! Desglosando el resto de opciones: - A) La Agencia Española de Protección de Datos no se encarga de temas de ciberseguridad a excepción del tratamiento de la información de caracter temporal, lo cual no está detallado por ningún lado en la pregunta. - C) Aunque una de las acciones cara un incidente de seguridad es la contención, siempre se intentarán vías antes de tener que detener el servicio con objetivo de la continuidad. - D) INCIBE es para un asesoramiento fuera del ámbito de las Administraciones Públicas. > **Anotaciones**: Quizás no sea la mejor de las respuestas pero al menos fue a ciegas. ## Corrección ¡Correcto! Aquí has demostrado un conocimiento fundamental que salva vidas en la administración: saber quién es quién. Has separado perfectamente al **CCN-CERT** (el "ángel de la guarda" de las Administraciones Públicas) del **INCIBE** (para ciudadanos y empresas privadas) y de la **AEPD** (solo si hay filtración de datos personales, no por el ataque en sí). Esta disección la has hecho tú, no la longitud de la respuesta. # Pregunta 3 ¿Con qué periodicidad mínima ordinaria exige el ENS que se realicen las auditorías formales para los sistemas de información de categoría Media o Alta? - A) Anualmente, coincidiendo ineludiblemente con el cierre del ejercicio fiscal de la entidad y siempre bajo la supervisión directa e ininterrumpida de un interventor del Estado. - B) Solamente cuando se produzca una modificación sustancial en la arquitectura del sistema que afecte de manera crítica y directa a la base de datos de información personal de los ciudadanos. - C) Al menos cada dos años. - D) Cada cuatro años, a no ser que el Responsable del Sistema solicite una prórroga excepcional justificada mediante un informe técnico exhaustivo remitido al Ministerio competente. ## Respuestas Aquí nos pasa como las anteriores veces, aunque ésta sí la sabía, que es cada 2 años, y por tanto, es la C, pero es trampa por motivo de lo que hablamos antes de la longitud. ¡Jajajaja! ## Corrección ¡Correcto! Las famosas auditorías cada **2 años** para sistemas de categoría Media o Alta. Dato de memoria puro y duro que ya tienes fijado.