KyMAN/OpoTests
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
919006f699
OpoTests/Public/md/gemini/01/03.ens.md
mbruzon 919006f699 #wip(md): More exams.
2026-03-13 20:38:02 +01:00

8.0 KiB
Raw Blame History

Simulacro Tipo Test: ENS (Nivel Avanzado)

Pregunta 1

Según el RD 311/2022 por el que se regula el Esquema Nacional de Seguridad, ¿cuál es el criterio fundamental para determinar la categoría (Básica, Media o Alta) de un sistema de información?

  • A) El grado de sensibilidad de la información tratada y la criticidad de los servicios que se prestan a los ciudadanos o a otras administraciones.
  • B) La valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios sobre las dimensiones de seguridad.
  • C) El nivel de amenaza detectado y cuantificado por el Centro Criptológico Nacional durante las auditorías previas de la infraestructura tecnológica.
  • D) La clasificación de la información según la Ley de Protección de Datos y la disponibilidad presupuestaria para aplicar controles.

Respuestas

A ciegas te digo la B por las siguientes razones:

  • A) Aquí se define una parte de la Seguridad por la cual también se puede hacer valoración a partir de encapsular o repartir entre las distintas Dimensiones de la Seguridad, pero no son el cómputo del todo. Es decir, es algo incompleto, lejos de llegar a poder determinar una categoría de Seguridad.
  • B) Aplicando simple mecánica, sólo por salir la palabra impacto ya es esta; pero por si hubiere trampa bajo ésta, la analizamos más afondo y podemos ver que la opción engloba completamente el ámbito cara incidentes de seguridad conjunto las dimensiones de la misma, por tanto, esta es la correcta pues habla del Apartado 1 y del 2 del Anexo I para dar el Apartado 3 que es el que se busca.
  • C) Aquí describe literalmente una auditoría la cual está certificando el nivel de amenaza pues el CCN o audita o es notificado, y en este caso, audita. Por tanto, habla de la creación del Certificado de Conformidad.
  • D) Esta no tiene nada que ver pues los Niveles de Seguridad no se basan en la información, sino en el impacto sobre los medios informáticos y la propia información, pero no de categorías de la información.

Anotaciones: Aquí me la juego y lo dejo sin mirar la ley, a ver si retengo algo. ¡Jajajaja!

Corrección

  • Tu respuesta: B | Correcta: B
  • Feedback: Impecable. Has localizado la palabra mágica (impacto) y has sabido razonar por qué las demás eran distractores. Tienes clarísimo que la categoría no la da lo "bonita" o "sensible" que sea la información, sino el impacto real de un desastre sobre las dimensiones de seguridad. Un punto entero para ti.

Pregunta 2

Una entidad local acaba de desplegar un nuevo sistema de información que, tras el análisis correspondiente, ha sido categorizado como de nivel MEDIO. Para dar cumplimiento normativo al ENS, ¿qué procedimiento es exigible para determinar la conformidad de dicho sistema?

  • A) Una Declaración de Conformidad, elaborada, revisada y firmada de manera interna por el Responsable de Seguridad de la propia entidad local.
  • B) Un Informe de Auditoría Interna Bianual, que deberá ser remitido al Centro Criptológico Nacional para su correspondiente validación y archivo.
  • C) Una Certificación de Conformidad, expedida por una entidad de certificación independiente tras la superación de una auditoría formal.
  • D) Una Acreditación Oficial de Seguridad, otorgada de manera exclusiva por la Secretaría General de Administración Digital del Ministerio.

Respuestas

Esta la veo clara por descarte, y digo que es la B por lo siguiente:

  • A) La Declaración de Conformidad es obligatoria y no es más que un documento que valora internamente los riesgos y el impacto de los mismos sobre la infraestructura digital que un Responsable de Seguridad tiene a su cargo, el cual está elaborado por éste mismo. El problema radica en que esto es la base, pues cara un Nivel Medio o Alto requiere de la Certificación de Conformidad que partiría de una Auditoría del CCN el cual se apoyará en la Delcaración de Conformidad para certificarla.
  • B) El CCN es el encargado de auditar el impacto de los riesgos sobre una ingraestructura digital, el cual puede ir ayudado por la Declaración de Conformidad, para dar lugar a un Certificado de Conformidad para este Nivel de Seguridad. En este punto, se sobreentiende que la estar planteando la Certificación de Conformidad, éste ya posee la Declaración de Conformidad, motivo por el cual se entiende que es ésta la respuesta correcta.
  • C) La certificación ha de estar expedida por una entidad certificadora independiente, el CCN, pero no cualquiera, y se haría en conjunto a la Auditoría, es decir, el Certificado de Conformidad es la resultante de la Auditoría, no un complemento a la Auditoría.
  • D) Esta ya no tiene sentido pues no existe una Acreditación Oficial de Seguridad, sino una Declaración de Conformidad, y para niveles Medio y Alto, ha de terminar en una Certificación de Conformidad, pero no esto.

Anotaciones: Esta también me la juego. Sin mirar. ¡Jajajaja!

Corrección

  • Tu respuesta: B | Correcta: C
  • Feedback: Aquí el tribunal de la oposición te ha tendido una trampa mortal y has caído con todo el equipo. Es un error de concepto muy común. Pensaste que el CCN (Centro Criptológico Nacional) audita todo, pero ¡imagínate si tuvieran que ir por todos los ayuntamientos y diputaciones de España auditando sistemas de nivel Medio! No darían abasto.
  • La realidad: El RD 311/2022 dice que para el nivel Medio y Alto necesitas una Certificación de Conformidad (Opción C). ¿Y quién la hace? Una entidad de certificación independiente (empresas auditoras privadas que están acreditadas por ENAC, no el CCN directamente). El CCN elabora las guías y normas, pero no te hace la auditoría de tu entidad local.

Pregunta 3

El ENS se asienta sobre una serie de principios básicos que deben regir toda acción en materia de seguridad. ¿Cuál de los siguientes enunciados NO se corresponde con uno de los principios básicos establecidos en el RD 311/2022?

  • A) La prevención, detección, respuesta y conservación ante posibles incidentes de ciberseguridad para garantizar la continuidad.
  • B) La diferenciación de responsabilidades, separando claramente las figuras del responsable de la información, del servicio, de la seguridad y del sistema.
  • C) La dependencia exclusiva de soluciones tecnológicas de ciberseguridad que hayan sido previamente certificadas por organismos internacionales.
  • D) La gestión de la seguridad basada en los riesgos, evaluando continuamente las amenazas y vulnerabilidades del sistema.

Respuestas

En esta la veo clara, la B.

  • A) Aquí hay poco que decir pues nombra literalmente 4 de los principios más un objetivo, que es la continuidad de los servicios.
  • B) Aquí sólo habla de los participantes a nivel de responsabilidad, no de los principios, por eso es esta la respuesta.
  • C) Aquí no me acuerdo cual era el principio, pero sé que describe uno de los 7 principios que permite el objetivo de garantizar la máxima detección o protección, evitando un entorno cerrado de pruebas, internacionalizándolo y globalizándolo. La información compartida es poder.
  • D) Aquí nos habla de la prevención y la preservación para el mismo motivo a partir de la evaluación de amenazas y vulnerabilidades.

Anotaciones: Me la juego. Olín todo sin mirar. ¡Jajaja!

Corrección

  • Tu respuesta: B | Correcta: C
  • Feedback: Otra trampa clásica de test donde la intuición choca con la literalidad de la ley. Marcaste la B pensando que la "Diferenciación de responsabilidades" no era un principio, ¡pero es el Artículo 11 del ENS! Es uno de los 7 pilares fundamentales: que el que opera el sistema no sea el mismo que vigila la seguridad (para que no sea juez y parte).
  • La realidad: La opción que NO es un principio (y por tanto la correcta a marcar) es la C. El ENS no exige una dependencia exclusiva de soluciones certificadas por organismos internacionales. Hay productos nacionales y catálogos propios (como el CPSTIC) que son perfectamente válidos e incluso preferentes. La palabra "exclusiva" era el veneno en esa frase.