76 lines
5.9 KiB
Markdown
76 lines
5.9 KiB
Markdown
> **Bloque 1: Preguntas de desenvolvemento curto (Galego e Castelán)**
|
|
|
|
# 1. (Tema 28 / ENS - Principios Básicos) - Galego
|
|
|
|
No simulacro anterior mencionaches de memoria os principios básicos do ENS, entre os que se atopa o de "Liñas de defensa" (ou defensa en profundidade). Explica brevemente en que consiste este principio de seguridade. Para demostralo, pon un exemplo práctico de como aplicarías este concepto aos servidores web do Concello de Ferrol.
|
|
|
|
## Resposta
|
|
|
|
Indo a cegas diría que a liña de defensa son aqueles recursos ou medios que se poñen fronte a ameazas, como antivirus, Firewall, etc. Un exemplo podería ser que para poder garantir a seguridade na rede corporativa, para poder operar dunha forma centralizada poría un antivirus que a partires de axentes poidan monitorizala seguridade do entorno compreto de rede, como liña de defensa, ainda que se poden aplicar estratexias de prevención, pero estaríamos a falar doutros principios, como pode selo Firewall, sondas de monitorización, etc.
|
|
|
|
## Corrección
|
|
|
|
**Avaliación Técnica**: A túa intuición sobre o uso de antivirus e devasas (firewalls) vai polo bo camiño, pero faltou o concepto central. O principio das "Liñas de Defensa" (ou defensa en profundidade) non se refire a ter ferramentas soltas, senón a ter **múltiples capas superpostas**. A idea é que se unha capa falla, a seguinte consiga frear a ameaza.
|
|
|
|
No teu exemplo para o servidor web do Concello de Ferrol, a aplicación correcta deste principio sería:
|
|
|
|
1. *Primeira liña*: Un Firewall de perímetro e un WAF (Web Application Firewall) para filtrar o tráfico de entrada.
|
|
2. *Segunda liña*: O servidor web colocado nunha rede illada (DMZ), separada da rede interna do concello.
|
|
3. *Terceira liña*: O sistema operativo do servidor actualizado e con "hardening" (peche de portos innecesarios e antivirus/EDR).
|
|
4. *Cuarta liña*: Control de accesos restrinxido aos ficheiros da web e bases de datos cifradas.
|
|
|
|
# 2. (Tema 29 / ENI - Dimensións e NTI) - Castelán
|
|
|
|
El Esquema Nacional de Interoperabilidad (ENI) persigue que las Administraciones Públicas puedan comunicarse y compartir datos sin fricciones. Para ello, se basa en distintas dimensiones de interoperabilidad. ¿Cuáles son las tres dimensiones principales de interoperabilidad que define el ENI? Además, explica brevemente qué papel juegan las Normas Técnicas de Interoperabilidad (NTI) para conseguir que esas dimensiones sean una realidad.
|
|
|
|
## Respuesta
|
|
|
|
Esta la tuve que mirar. Su respuesta se encuentra en el Artículo 6, del Carácter Multidimensional de la Interoperabilidad, del Capítulo II, de los Principios Básicos, del ENI. Las dimensiones, concretamente, son:
|
|
|
|
- Dimensión organizativa.
|
|
- Dimensión semántica.
|
|
- Dimensión técnica.
|
|
|
|
Ahora, ya habiendo recordado esto, vamos a ciegas y explico cada una de ellas:
|
|
|
|
- Dimensión organizativa: la capacidad o acuerdo que tengan que alcanzar las Administraciones entre sí para que la comunicación Interoperacional puede efectuarse.
|
|
- Dimensión semántica: que determina cómo se van a comunicar, es decir, las reglas sintácticas que se usaran para enviar la información.
|
|
- Dimensión técnica: que viene siendo los recursos físicos o lógicos que se requieren para poder garantizar que la comunicación Interoperacional, en base a las necesidades que se determinan en los puntos anteriores se pueda garantizar.
|
|
|
|
## Corrección
|
|
|
|
**Evaluación Técnica**: Excelente trabajo al consultar la ley y memorizar el Artículo 6. Las tres dimensiones (Organizativa, Semántica y Técnica) están correctísimas, y la forma en que las dedujiste y explicaste con tus propias palabras ha sido brillante. La dimensión semántica es, de hecho, garantizar que la información significa lo mismo para ambas partes.
|
|
|
|
*Lo que faltó*: Te dejaste en el tintero la segunda parte de la pregunta sobre el papel de las NTI (Normas Técnicas de Interoperabilidad). Las NTI son fundamentales porque son las guías prácticas que dicen *cómo* cumplir esas dimensiones. Por ejemplo, establecen cuáles son los formatos de documentos admisibles (PDF/A, XML), los estándares de firmas electrónicas o los protocolos de comunicación seguros.
|
|
|
|
# 3. (Tema 29 / ENS - Categorización e Medidas) - Galego
|
|
|
|
Segundo o ENS, a aplicación daquelas medidas de seguridade (organizativas, operacionais e de protección) debe ser proporcionada á categoría do sistema. Como se determina se un sistema de información é de categoría BÁSCIA, MEDIA ou ALTA? Que dous factores fundamentais hai que avaliar de forma preceptiva para chegar a esa conclusión?
|
|
|
|
## Resposta
|
|
|
|
Falando a cegas diría que a partires dos dous primeiros Apartados do Anexo I que determinan, na súa orde temos:
|
|
|
|
1. Os 3 conceptos entendidos como impacto na seguridade:
|
|
- Obxetivos.
|
|
- Protección dos activos.
|
|
- Garantir o ordenamento xurídico.
|
|
2. As dimensións da seguridade, ás cales son:
|
|
- Confidencialidade.
|
|
- Integridade.
|
|
- Trazabilidade.
|
|
- Autenticidade.
|
|
- Dispoñibilidade.
|
|
|
|
A partires destos casos temos os niveis da seguridade e as categorías de seguridade, os cales, consecutivamente son os Apartados 3 e 4, e baséanse consecutivamente nos elementos anteriores cando éstes vense afectados nasgunha casuística.
|
|
|
|
## Corrección
|
|
|
|
**Avaliación Técnica**: Fuches directamente á esencia do Anexo I, o que demostra que sabes onde buscar a estrutura do ENS. Listaches moi ben as dimensións da seguridade (Confidencialidade, Integridade, etc.).
|
|
|
|
Non obstante, para afinar a resposta técnica: a categoría (BÁSICA, MEDIA ou ALTA) determínase avaliando o **nivel de impacto** (Baixo, Medio ou Alto) que un incidente de seguridade tería. E os dous factores fundamentais que o ENS obriga a avaliar de forma preceptiva para calcular ese impacto son:
|
|
|
|
1. A **información** tratada.
|
|
2. Os **servizos** prestados.
|
|
|
|
É dicir, colles a información e os servizos, avalías o impacto en caso de perda de confidencialidade, integridade, etc., e o impacto máis alto define a categoría global do sistema. |