KyMAN/OpoTests
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
919006f699
OpoTests/Public/md/gemini/01/02.ens.md
mbruzon 919006f699 #wip(md): More exams.
2026-03-13 20:38:02 +01:00

7.7 KiB
Raw Blame History

Las 3 pruebas de fuego del Tema 20:

Más allá de la Triada

Imagina que tienes que explicarle a un concejal por qué en los trámites electrónicos del ayuntamiento no basta con asegurar que el sistema no se caiga (Disponibilidad), que nadie cambie los datos (Integridad) y que no haya filtraciones (Confidencialidad). ¿Por qué el ENS hace tantísimo hincapié en añadir la Autenticidad y la Trazabilidad? Ponme un ejemplo práctico del día a día de la administración donde esto sea crítico.

Respuesta

Respondiendo a ciegas, lo primero es ver qué es cada cosa para mi:

  • Disponibilidad: Que los recursos estén siempre accesibles.
  • Integridad: Que los recursos sean los que se exponen y no modificaciones o alteraciones, más aún cuando éstas no son controladas.
  • Confidencialidad: Aislar los recursos disponibles según los permisos de acceso a los mismos evitando que éstos se expongan fuera de su marco objetivo.
  • Autenticidad: Tener la capacidad de que lo se hace esté identificado por alguien concreto, que es lo que permite regular el acceso al material o recursos con caracter confidencial.
  • Trazabilidad: Es la capacidad de poder hacer un seguimiento histórico de qué ha pasado con un recurso, desde que se pone a disposición hasta que se elimina por el motivo que sea, incluyendo todo aquello que sucedió por el medio, para detectar posibles intrusiones al sistema no deseadas.

La Administración Pública requiere de los ciudadanos, o de otras Administraciones, una relación en la cual hay procedimientos, trámites, publicaciones, notificaciones, etc. Todo ello puede tener distintos grados de sensibilidad cara la privacidad y seguridad, siendo de caracter público aquello que se publica sin una línea de autenticación, y otros que requieren de más grado de autenticación o menos según la sensibilidad de la información a compartir. Para aquella información que requiere de tener un seguimiento, ya sea de vida o de accesos, es cuando hablamos de la Autenticidad y la Trazabilidad, para saber quién y cuándo se hizo X acción, ya sea sólo ver, o modificaciones.

Al ser un marco tan importante y por temas que pueden incluso estar sujetos a plazos, éstos requieren de siempre estar disponibles en el marco de tiempo que éste lo exija para cada caso, así como poder corroborar que aquello que se consume sea el original o auténtico y no algo que pudiere estar alterado o no ser auténtico.

Hechando, ahora sí, un vistazo a la Ley, nos encontramos que son las Dimensiones de la Seguridad, que viene siendo aquello que nos determina a qué y cómo afecta, y con lo que podemos valorar el impacto sobre el mismo. Esto no excluye lo anterior, pero el tecnicismo vendría por esta vía. Ésto lo encontramos en el Apartado 2, de las Dimensiones de la Seguridad, del Anexo I, de las Cateogrías de Seguridad de los Sistemas de Información, del Real Decreto 311/2022, del 2 de Mayo por el que se aprueba el Esquema Nacional de Seguridad.

Corrección

  • Valoración: ¡Muy bien defendido!
  • Feedback: Tus definiciones a ciegas son totalmente válidas y operativas. En la Administración Pública, la confidencialidad y la disponibilidad no bastan porque hay responsabilidades legales. El ejemplo práctico perfecto que encaja con tu explicación sería el Registro Electrónico: si un ciudadano presenta un recurso el último día de plazo, necesitas Autenticidad (saber fehacientemente que es él mediante Cl@ve o certificado digital) y Trazabilidad (el sello de tiempo exacto que demuestra que lo entregó antes de las 23:59). Has pillado la esencia perfectamente y el apunte al Anexo I del RD 311/2022 lo remata de diez.

El termómetro del riesgo

El ENS clasifica los sistemas en categoría Básica, Media o Alta. Si te dan un sistema nuevo para administrar, ¿qué criterio exacto utilizas para decidir en qué cajón (categoría) meterlo?

Respuesta

Hablando a ciegas, dependerá de la sensibilidad y del servicio que se esté aplicando, incluyendo la posibilidad de que algunas partes se muevan en un nivel, otras partes en otro y otras en el que queda. Al ser una respuesta ambigua con respecto a las posibles situaciones que se puedan dar, establecidas en el Anexo II, tras esta respuesta a ciegas, voya dar un repaso visual del tema y exponer los casos por encima, pues se abre un abanico enorme aquí, intentándolo resumir.

Ahora que ya estoy mirando la ley en cuestión, tenemos que en el Anexo I, de las Categorías de Seguridad de los Sistemas Informáticos, del Real Decreto 311/2022, del 3 de Mayo por el que se regula el Esquema Nacional de Seguridad, tenemos que el Apartado 1 nos habla de los objetivos a alcanzar, es decir, los motivos por lo que aplicar y valorar; y el Apartado 2 de las Dimensiones de la Seguridad que condicionan los distintos flancos que afectan a la seguridad en sí y que requieren de ser valorados. Con ello, se puede hablar de los niveles de seguridad que vienen establecidos en el Apartado 3, de la Determinación del Nivel de Seguridad Requerido en una Dimensión de Seguridad. Con el cómputo de todo ello, podemos hacer una valoración, pero claro, nos faltaría saber de qué es el sistema, a qué afecta, qué requiere, etc. Para poder analizar una posible valoración a nivel de Declaración de Conformidad.

Corrección

  • Valoración: Bien enfocado, pero te faltó la "palabra mágica".
  • Feedback: Razonas bien que depende de la sensibilidad y del servicio. Cuando vayas al examen, la palabra clave que tienes que buscar para este punto es IMPACTO. El criterio exacto que establece el ENS para meter un sistema en un cajón u otro es evaluar el impacto que tendría un incidente de seguridad sobre las dimensiones que vimos antes.
    • Impacto Limitado -> Categoría Básica.
    • Impacto Grave -> Categoría Media.
    • Impacto Muy Grave o desastroso -> Categoría Alta.

El papeleo de la seguridad

Tu entidad tiene un sistema de categoría Básica y otro de categoría Media/Alta. Llega el momento de demostrar al mundo que hacéis las cosas bien. ¿Cuál es la diferencia fundamental entre la "Declaración de Conformidad" y la "Certificación de Conformidad"?

Respuesta

Hablando a ciegas, recuerdo que la Declaración de Conformidad es un informe que se hace desde el propio departamento responsable o desde el responsable de Seguridad donde se hace una valoración de los riesgos, los medios y las acciones a llevar a cabo sobre éstas, pero para que éste pueda estar validado y certificado ha de pasar un procedimiento tras su creación.

Ahora que miré la ley creo que aquí me colé a base de bien. Según el Apartado 1 del Artículo 38, de los Procedimientos de Determinación de la Conformidad con el Esquema Nacional de Seguridad, del Capítulo V, de las Normas de Conformidad, del Real Decreto 311/2022, del 3 de Mayo, por el que se regula el Esquema Nacional de Seguridad, la Certificación es un nivel que se aplica al grando Medio y Alto, el cual sale de una auditoría, por lo que se entiende que como resultado de haber mirado que lo conforme con la Declaración de Conformidad se cumple, según el Apartado 2 del Artículo 31, de la Auditoría de la Seguridad, del Capítulo IV, de la Seguridad de los Sistemas: Auditoría, Informe e Incidentes de Seguridad, del mismo Real Decreto.

Corrección

  • Valoración: ¡Excelente corrección!
  • Feedback: Un 10 por darte cuenta del patinazo y buscar la solución en el Artículo 38. Así es exactamente como funciona:
    • Declaración (Básica): Es una autoevaluación. La propia entidad revisa que cumple y "declara" que todo está en orden.
    • Certificación (Media/Alta): No vale con tu palabra. Tiene que venir un tercero (una entidad certificadora independiente) a hacerte una auditoría (Art. 31) y darte el sello oficial.