VIDEO
HIGHLIGHT
Log InSign up
Módulo 3 Clase 1 Ciberseguridad, ENSP1 y Categorización sistemas info
SummaryTranscriptChat

Módulo 3 Clase 1 Ciberseguridad, ENSP1 y Categorización sistemas info

Introducción a la Ciberseguridad en España

Estructura del Módulo de Ciberseguridad

  • El módulo se dividirá en dos clases, enfocándose primero en el esquema nacional de seguridad y luego en la categorización de sistemas de información.
  • La ciberseguridad es un tema recurrente en los exámenes A1 y A2, abarcando aspectos como firma electrónica, protección de datos y herramientas del CCN.

Conceptos Clave de Ciberseguridad

  • La ciberseguridad implica una gran cantidad de términos y organismos que pueden resultar difíciles de memorizar debido a su complejidad.
  • Se definirá la ciberseguridad como el conjunto de acciones para garantizar un uso seguro y responsable de redes y sistemas, incluyendo medidas para prevenir ciberataques.

Marco Legal y Normativo

Importancia del Marco Legal

  • La Ley 39, Ley 40 y el Real Decreto 2032021 son fundamentales para establecer medidas de seguridad ante las amenazas digitales.
  • La estrategia nacional de ciberseguridad (2019) es crucial ya que establece directrices diseñadas por organismos competentes.

Seguridad Nacional

  • La ciberseguridad forma parte integral de la defensa nacional, no limitándose a medidas individuales como proteger un USB.

Ciberespacio: Definición y Desafíos

Características del Ciberespacio

  • El ciberespacio se define como un espacio global caracterizado por su apertura funcional, dinamismo e ausencia de soberanía.

Amenazas en el Ciberespacio

  • Las ciberamenazas son disrupciones maliciosas que afectan elementos tecnológicos; no deben confundirse con ataques ya manifestados.

Diversidad y Complejidad de las Amenazas

Tipos de Amenazas

  • Las amenazas varían en capacidades y motivaciones, lo que complica la defensa contra ellas.
  • Ejemplos incluyen desde robos simples hasta ataques sofisticados dirigidos a obtener información sensible.

Ciberespionaje

  • El ciberespionaje involucra adversarios con altos niveles técnicos que utilizan múltiples métodos para alcanzar sus objetivos.

Ciberespionaje y Amenazas Híbridas

Conceptos Clave del Ciberespionaje

  • El ciberespionaje permite a los espías operar desde casa, reduciendo riesgos físicos. Se observa un aumento en las amenazas híbridas, como se evidenció en el conflicto entre Rusia y Ucrania.
  • Las amenazas híbridas incluyen ciberataques a infraestructuras críticas, robo de datos y manipulación de la información para influir en la opinión pública.

Cibercriminalidad y Tipologías

  • La cibercriminalidad abarca diversas actividades ilegales que pueden clasificarse según su naturaleza: ciberdelitos, ciberterrorismo y hacktivismo.
  • Ejemplos de hacktivismo incluyen acciones de grupos como Greenpeace o representaciones culturales como "Mr. Robot".

Estrategia Nacional de Ciberseguridad

Estructura de la Estrategia

  • La estrategia nacional de ciberseguridad tiene objetivos claros, líneas de acción y medidas específicas para abordar las amenazas.
  • Es fundamental entender que la ciberseguridad no es un concepto aislado; está integrada dentro de una estrategia más amplia que involucra al Consejo de Seguridad Nacional.

Objetivos Generales

  • El objetivo principal es garantizar un uso seguro del ciberespacio en España, protegiendo derechos ciudadanos y promoviendo el progreso socioeconómico.

Líneas de Acción Específicas

  • Se busca reforzar la seguridad y resiliencia de redes e infraestructuras críticas, incluyendo servicios esenciales como agua y energía.
  • Medidas clave incluyen el esquema nacional de seguridad para proteger infraestructuras críticas, así como establecer centros operativos para gestionar incidentes.

Fomento de la Ciberseguridad

Implicaciones Sociales y Empresariales

  • Se enfatiza la importancia del compromiso con la ciberseguridad tanto en el sector público como privado, fomentando una cultura proactiva entre ciudadanos y empresas.

Colaboración Internacional

  • La estrategia también incluye colaborar a nivel internacional (OTAN, ONU), promoviendo un ciberespacio abierto y seguro que respete los intereses nacionales.

Estructura de la Ciberseguridad en el Sistema de Seguridad Nacional

Consejo de Seguridad Nacional

  • La ciberseguridad se integra dentro del sistema de seguridad nacional, donde el presidente y sus ministros forman un consejo que asiste en la dirección de políticas.
  • El Comité de Situación, apoyado por el Departamento de Seguridad Nacional, actúa en gestión de crisis y es más dinámico que el Consejo de Seguridad Nacional.
  • Este consejo incluye altos funcionarios como el presidente, ministra de Defensa y otros líderes relevantes para la toma de decisiones estratégicas.

Consejo Nacional de Ciberseguridad

  • El director del Centro Nacional de Inteligencia (CNI) preside este consejo debido a su rol como secretario estatal y director del CCN.
  • Se menciona que las funciones del Consejo son variadas e incluyen aspectos técnicos relacionados con la ciberseguridad.

Foro Nacional de Ciberseguridad

  • Su objetivo es fomentar la cultura cibernética, apoyar a la industria e I+D+I, y promover formación y talento mediante colaboración público-privada.
  • La administración pública no puede estar ajena a temas críticos como la seguridad nacional; empresas estratégicas son fundamentales para la supervivencia del país.

Coordinación Interministerial

  • La Comisión Permanente de Ciberseguridad facilita coordinación operativa entre ministerios en materia cibernética.
  • Esta comisión se encarga de operacionalizar interacciones entre diferentes partes involucradas en ciberseguridad.

Equipos CERT

  • Los CERT (Computer Emergency Response Teams), conocidos también como CESRT o CERTS, son responsables por coordinar respuestas ante incidentes cibernéticos.
  • Estos equipos gestionan emergencias relacionadas con incidentes cibernéticos, asegurando una respuesta rápida ante ataques potenciales.
  • Se discuten protocolos para alertar sobre incidentes; estos organismos canalizan información crítica rápidamente para mitigar daños.

Criptología y Ciberseguridad en España

Introducción al CCN CERT

  • El Centro Criptológico Nacional (CCN) se enfoca en cuatro áreas clave de la ciberseguridad: prevención, protección, detección y respuesta.
  • Fundado en 2006, el CCN CERT se encarga de la ciberseguridad del sector privado y de empresas estratégicas como Telefónica e Indra.
  • Actúa como un centro gubernamental nacional para gestionar incidentes cibernéticos que afectan a organismos públicos y empresas.

Historia de la Ciberseguridad

  • La ciberseguridad tiene raíces históricas que datan desde el nacimiento de la informática y la criptología, con ejemplos como los códices utilizados por reyes para enviar mensajes cifrados.
  • Se menciona el uso histórico de palomas mensajeras para transmitir información segura, destacando la importancia del intercambio seguro de datos.

Coordinación entre Organismos

  • En caso de incidentes que afecten a operadores críticos del sector público, el CCN CERT colabora con el CNPIC (Centro Nacional para la Protección de Infraestructuras Críticas).
  • Es crucial recordar que el CCN CERT se centra en la administración pública y empresas estratégicas; esto es importante para exámenes o evaluaciones.

Rol del INCIBE

  • El Instituto Nacional de Ciberseguridad (INCIBE), ubicado en León, realiza actividades educativas sobre ciberseguridad dirigidas a colegios e institutos.
  • Aunque su nombre puede llevar a confusión, el INCIBE no es el CERT principal para la administración pública; su enfoque está más dirigido hacia el sector privado.

Actividades Educativas y Ciudadanas

  • El INCIBE ofrece consejos prácticos a ciudadanos sobre cómo asegurar sus dispositivos electrónicos y fomentar una cultura de ciberseguridad.
  • Realiza actividades educativas en instituciones educativas, promoviendo conciencia sobre seguridad digital entre jóvenes.

Coordinación Internacional

  • El INCIBE coordina esfuerzos con otros equipos nacionales e internacionales para mejorar las respuestas ante delitos cibernéticos.
  • En situaciones que afectan al sector privado crítico, Incibecer CERT trabaja junto con otras oficinas del Ministerio del Interior para gestionar incidentes.

Ciberseguridad y Estructuras de Coordinación

Responsabilidades del Mando Conjunto del Ciberespacio

  • El mando conjunto del ciberespacio es responsable de la planificación, dirección, coordinación, control y ejecución de acciones en el ámbito cibernético para asegurar la libertad de acción de las fuerzas armadas.

Importancia de los CERTs

  • Se menciona que las fuerzas armadas tienen un CERT especial. La seguridad cibernética es crucial, especialmente si se considera un ataque a sistemas críticos como el sistema de protección antimisiles.
  • Se hace referencia a los CERT sectoriales y su relevancia en exámenes académicos. Se aconseja no perder tiempo con información excesiva.

Estructura del Ministerio del Interior

  • El Ministerio del Interior incluye diversas instituciones como la policía y la Guardia Civil, además de tener un centro tecnológico para coordinar esfuerzos en materia de seguridad.
  • La Secretaría de Estado de Seguridad tiene un papel fundamental en la gestión y supervisión de delitos informáticos.

Infraestructuras Críticas

  • El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) se encarga de supervisar todas las infraestructuras críticas en España, desde carreteras hasta centros de datos.

Funciones Técnicas y Autoridad

  • La oficina técnica del Ministerio coordina aspectos relacionados con ciberdelitos. Es esencial que los ciudadanos comprendan cómo actuar ante estos delitos.
  • La autoridad policial juega un papel clave en la seguridad cibernética, siendo responsables también del ejercicio legal ante incidentes.

Cooperación Internacional en Ciberseguridad

  • Se menciona el foro FIRST como una red internacional importante para responder a incidentes cibernéticos. Este foro incluye participantes gubernamentales y privados.
  • La ENISA (Agencia Europea para la Seguridad de las Redes y la Información) es mencionada como una entidad relevante dentro del contexto europeo sobre seguridad informática.

¿Qué es el Esquema Nacional de Seguridad?

Introducción al CCN y su contexto

  • Se menciona un documento del Consejo de Europa que aborda la eliminación del fraude y robo de identidad a través de técnicas como phishing y farming.
  • El foro europeo principal para CERT, que colabora e innova en ciberseguridad, es parte de Terena, una asociación dedicada a la investigación y educación en redes.

Importancia del Esquema Nacional de Seguridad

  • Se discute la dificultad para recordar las siglas relacionadas con ciberseguridad, destacando la importancia del CER (Equipos de Respuesta).
  • La necesidad de estructurar el aprendizaje sobre el Esquema Nacional de Seguridad se enfatiza debido a su complejidad.

Cambios en el Esquema Nacional de Seguridad

  • El actual Esquema Nacional deroga el anterior (2010), introduciendo cambios significativos que son relevantes para su estudio.
  • Este esquema aplica a todo el sector público y sus proveedores, ofreciendo un marco común con principios básicos y medidas de seguridad.

Medidas y objetivos del esquema

  • Las medidas de seguridad son numerosas; se aconseja aprender una estructura básica en lugar de memorizar todos los detalles.
  • El esquema busca proteger datos y servicios mediante un conjunto definido de estrategias y acciones.

Conceptos clave: Información vs. Servicios

  • Se diferencia entre información (datos tratados) y servicios (funciones web o accesos), crucial para entender los activos a proteger.
  • La protección abarca acceso, confidencialidad, integridad, autenticidad, disponibilidad y conservación en medios electrónicos.

Contexto normativo del Esquema

  • El esquema no surge aisladamente; está contextualizado dentro de un marco normativo más amplio que incluye referencias cruzadas entre leyes.
  • Se hace referencia al Real Decreto 3/2010 como base histórica del actual esquema, subrayando la interrelación entre ciberseguridad y defensa nacional.

Esquema Nacional de Seguridad y su Aplicación

Introducción al Esquema Nacional de Seguridad

  • El Esquema Nacional de Seguridad establece la política de seguridad en el uso de medios electrónicos, garantizando la confidencialidad y seguridad de los datos personales según la Ley 39.
  • Las normas relacionadas con el Esquema Nacional de Seguridad otorgan responsabilidades a las entidades al desplegar sistemas de información, mencionando específicamente el Real Decreto 2032021.

Requisitos para Sistemas Públicos

  • Se requiere que los portales web de administraciones públicas cumplan con estándares específicos como sistemas de identificación, firma electrónica y archivo electrónico único bajo el esquema nacional.
  • La certificación en el Esquema Nacional es crucial; se discutirá más sobre este tema en futuras sesiones, incluyendo ejemplos prácticos como un certificado del Ministerio de Sanidad.

Relación con Normativas Europeas

  • Se menciona la relación entre el Esquema Nacional de Seguridad y normativas europeas como eIDAS, RGPD y la Ley Orgánica de Protección de Datos.
  • La Directiva NIS 2 es una legislación clave en ciberseguridad a nivel europeo que busca mejorar la preparación y respuesta ante incidentes informáticos entre Estados miembros.

Importancia del Cumplimiento

  • La Directiva NIS 2 exige que los Estados cuenten con equipos adecuados para responder a incidentes, promoviendo una cultura generalizada de seguridad en sectores críticos como energía, transporte y salud.
  • El ámbito del Esquema Nacional se aplica a todo el sector público según lo estipulado por la Ley 40, abarcando también sistemas que manejan información clasificada.

Certificaciones y Sector Privado

  • Las entidades privadas que ofrecen servicios al sector público deben estar certificadas bajo el Esquema Nacional; esto incluye requisitos específicos en contratos públicos.
  • Se destaca un portal donde se pueden consultar las certificaciones vigentes del ENS, mostrando cómo estas medidas son esenciales para garantizar la seguridad informática.

Esquema Nacional de Seguridad y Principios Básicos

Introducción a las Redes 5G

  • Se menciona la referencia a las redes 5G, su instalación y explotación por entidades del sector público. Esto se considera un tema inusual que puede generar preguntas.

Principios Básicos de LENS

  • Se propone una lista numerada de los siete principios básicos de LENS para facilitar el aprendizaje y evitar confusiones en exámenes.

Detalle de los Principios

  • Los principios incluyen:
  • Seguridad como proceso integral.
  • Gestión de la seguridad basada en riesgos, donde el análisis de riesgos es fundamental.

Componentes Clave de la Seguridad

  • La seguridad se basa en cuatro pilares:
  • Prevención, detección, respuesta y conservación.
  • Importancia de tener líneas de defensa (firewalls).

Vigilancia Continua

  • Es crucial mantener vigilancia continua sobre la seguridad del sistema e implementar revaluaciones periódicas.

Concienciación sobre Seguridad

  • La concienciación entre las personas involucradas es esencial para garantizar la seguridad del sistema.

Medidas Preventivas

  • Definición y ejemplos:
  • Prevención implica actuar antes que curar; medidas como disuasión y reducción de superficie expuesta son clave.

Detección y Respuesta ante Incidentes

  • La detección busca identificar ciberincidentes como ransomware mediante patrones anómalos en el tráfico.

Conservación de Datos

  • Las medidas deben garantizar la conservación adecuada de datos e información mediante backups regulares.

Tipos de Medidas en Seguridad

  • Existen diferentes tipos de medidas: organizativas, físicas y lógicas. Cada tipo tiene un enfoque específico para abordar problemas distintos.

Evaluación Permanente del Estado de Seguridad

  • Es necesario realizar evaluaciones continuas para detectar comportamientos anómalos y asegurar que no haya descuidos en la vigilancia.

Diferenciación de Responsabilidades

  • Se discute cómo diferenciar responsabilidades entre los responsables del servicio, información, seguridad y sistemas dentro del contexto organizacional.

Ejemplo Práctico

  • En un caso práctico relacionado con mediadores, se explica quién es responsable por cada aspecto (información vs. servicio).

Conclusión sobre Responsabilidades

  • Se enfatiza la importancia de distinguir entre responsabilidad del sistema e implementación operativa para una gestión efectiva dentro del esquema nacional.

Introducción a la Política de Seguridad de la Información

Conceptos Fundamentales

  • La política de seguridad es esencial para gestionar y proteger la información en una organización, estableciendo directrices claras.
  • Debe incluir contenido mínimo, objetivos, misión de la organización y el marco regulatorio aplicable según el contexto (ej. ley de energía, ley estadística).
  • Es crucial identificar roles y funciones dentro del ámbito de seguridad, definiendo deberes y responsabilidades específicas.

Estructura Organizativa

  • Se requiere una estructura clara para los comités que gestionan la seguridad, así como directrices sobre documentación y acceso a esta.
  • La política de seguridad es obligatoria para todas las administraciones públicas, incluyendo organismos autónomos como DGT o ESGAT.

Requisitos Mínimos en Seguridad

Implementación y Cumplimiento

  • Los requisitos mínimos se ajustan a los riesgos identificados; cada organismo debe tener su propia política adaptada a sus necesidades.
  • Se presentan principios básicos y medidas de seguridad que son fundamentales para entender el esquema nacional.

Desafíos en el Aprendizaje

  • Aprender todos los requisitos puede ser complicado; se recomienda practicar con tests para facilitar la retención del conocimiento.

Organización e Implantación del Proceso de Seguridad

Responsabilidades Clave

  • Cada responsable debe determinar los requisitos específicos relacionados con la información tratada y los servicios prestados.
  • Es importante distinguir entre responsables de información y responsables del sistema; ambos pueden variar según el tipo de servicio.

Gestión Externa

  • En caso de externalización, debe haber un responsable interno que supervise la implementación adecuada de las medidas de seguridad.
  • La subcontratación es posible pero debe estar justificada; siempre se necesita un contacto designado para asegurar la protección adecuada.

Este formato proporciona una visión clara y estructurada sobre los temas tratados en el video relacionado con la política de seguridad.

Responsabilidad y Gestión de Riesgos en la Seguridad Informática

Responsabilidad Patrimonial

  • La responsabilidad patrimonial recae sobre las personas, especialmente en el contexto de las oposiciones administrativas. Se plantea la posibilidad de que los informáticos también respondan con su patrimonio por acciones mal ejecutadas.

Gestión de Riesgos

  • Es crucial tener cuidado con lo que se firma en contratos públicos y certificaciones de calidad. La gestión de riesgos debe incluir un análisis riguroso y emplear metodologías reconocidas internacionalmente.

Requisitos Mínimos para la Seguridad

  • Los requisitos mínimos establecidos por Lens incluyen la necesidad de personal cualificado, autorización y control de accesos a funciones permitidas, así como una estrategia organizativa clara para la seguridad.

Protección Física y Certificación

  • Se enfatiza la importancia de proteger físicamente las instalaciones, incluyendo el acceso restringido al CPD (Centro de Procesamiento de Datos). Además, se menciona el uso del catálogo del CCN SPT para seleccionar productos y servicios certificados.

Esquema Nacional de Seguridad (ENS)

  • El ENS proporciona un marco común para proteger instituciones. Al aplicar sus directrices, se puede solicitar auditorías a entidades como ENOR para obtener certificaciones que validen el nivel de seguridad alcanzado.

Importancia del Mínimo Privilegio

  • El principio del mínimo privilegio es fundamental; los sistemas deben configurarse otorgando solo los permisos necesarios. Esto ayuda a prevenir accesos no autorizados y reduce riesgos internos.

Control y Auditoría

  • Es esencial llevar un registro detallado sobre quién tiene acceso a qué datos. Las funciones innecesarias deben ser eliminadas o desactivadas para mantener un entorno seguro tanto a nivel usuario como operador.

Estos puntos resumen aspectos clave sobre responsabilidad patrimonial, gestión de riesgos, requisitos mínimos en seguridad informática, protección física e importancia del mínimo privilegio dentro del contexto discutido.

¿Cómo garantizar la integridad y actualización de los sistemas?

Importancia de la actualización del sistema

  • La integridad y actualización del sistema son cruciales; sin actualizaciones, el sistema puede volverse obsoleto y vulnerable. Se menciona un caso de una academia con un modelo desactualizado desde 2019.
  • Los dispositivos móviles deben estar actualizados para evitar intrusiones. Se destaca la experiencia en el Instituto de Astrofísica de Canarias, donde se enfrentan a desafíos por la conectividad a internet.

Amenazas cibernéticas y protección de datos

  • La conectividad a internet en dispositivos como telescopios presenta riesgos significativos, ya que los hackers pueden infiltrarse fácilmente. Es esencial mantener sistemas actualizados para proteger la información.
  • Se debe implementar cifrado en dispositivos móviles, USBs y discos duros. Las comunicaciones deben ser seguras mediante VPN y otros métodos cifrados para proteger datos tanto almacenados como en tránsito.

Procedimientos de recuperación y conservación

  • Es vital realizar simulacros de recuperación de datos; un incidente previo mostró que no se pudo acceder a un backup necesario, lo que subraya la importancia de tener procedimientos efectivos.
  • La protección también debe extenderse al soporte físico (documentos en papel), asegurando que solo personal autorizado tenga acceso sin dejar trazas.

Identificación y gestión de usuarios

  • Cada usuario debe estar identificado única y claramente para registrar actividades dentro del sistema. Un ciberataque previo al CESIC resaltó problemas con el uso de usuarios genéricos.
  • La identificación clara es fundamental para gestionar accesos y detectar actividades sospechosas o maliciosas dentro del sistema informático.

Continuidad operativa ante incidentes

  • A pesar de ataques cibernéticos, es crucial mantener la continuidad del servicio. Esto es especialmente importante durante eventos críticos como elecciones, donde cualquier interrupción puede tener consecuencias legales graves.
  • El impacto económico puede ser recuperable, pero las fallas en cumplir derechos ciudadanos son irreparables. Por ello, asegurar la continuidad operativa es esencial para las administraciones públicas.

Mejora continua en seguridad

  • La mejora continua es clave en cualquier metodología relacionada con seguridad e infraestructura crítica. Este enfoque permite adaptarse a nuevas amenazas y mejorar constantemente los procesos existentes.
  • Se enfatiza la necesidad de estudiar bien estos conceptos para aplicarlos efectivamente en situaciones reales; se sugiere crear tablas o resúmenes útiles para facilitar el aprendizaje.

Esquema Nacional de Seguridad y Categorización de Sistemas

Introducción al Esquema Nacional de Seguridad

  • Se inicia la discusión sobre el Esquema Nacional de Seguridad (ENS), mencionando que se omiten temas como riesgos, cumplimiento, certificación y auditoría para enfocarse en cuestiones prácticas relacionadas con exámenes.

Importancia de la Categorización

  • La categorización de sistemas de información es crucial; puede ser solicitada directamente en los exámenes A1 y A2. Se enfatiza que cada sistema debe ser clasificado para aplicar medidas de seguridad adecuadas.

Ejemplos Prácticos

  • Se menciona que el Ministerio de Sanidad ha identificado diez sistemas de información relevantes, lo cual es un ejemplo práctico a considerar durante la categorización en un examen.

Proceso de Categorización

  • La categorización implica determinar la categoría de seguridad del sistema: alta, media o baja. Esta clasificación influye en las medidas necesarias para proteger el sistema.

Impacto y Proporcionalidad

  • La categoría asignada a un sistema modula el equilibrio entre los activos a proteger y el esfuerzo requerido para su seguridad. El principio de proporcionalidad es fundamental al decidir las medidas a implementar según la categoría del sistema.

Determinación del Impacto

  • Para categorizar correctamente, se debe evaluar el impacto potencial que tendría un incidente sobre la seguridad. Este impacto determina si una categoría es baja, media o alta, afectando así las medidas implementadas.

Reflexiones Finales sobre Categorización

  • Se recalca que no todas las categorías son igualmente críticas; por ejemplo, una categoría alta podría implicar situaciones graves como amenazas a la vida pública. Las categorías bajas también requieren medidas proporcionales aunque sean menos severas.

Función del Impacto en la Seguridad de la Información

Categorización de Incidentes

  • La categorización de incidentes se basa en el impacto que pueden tener sobre la organización, clasificándolos como alto, medio o bajo.
  • Se menciona que un ataque puede ser considerado un incidente y se introduce una metodología para categorizar estos eventos.

Metodología y Pasos a Seguir

  • El anexo uno de Lens proporciona pasos específicos para categorizar los sistemas de información, facilitando así la respuesta a preguntas sobre su seguridad.
  • La determinación de la categoría de seguridad se fundamenta en evaluar el impacto potencial que un incidente podría tener sobre los objetivos institucionales.

Fundamentos para Determinar Categorías de Seguridad

Evaluación del Impacto

  • Es crucial valorar cómo un incidente afectaría a la organización, incluyendo aspectos legales y protección de activos.
  • Se enfatiza en pensar en el impacto que tendría la revelación de secretos como parte del proceso evaluativo.

Dimensiones de Seguridad

  • Se introducen las dimensiones relevantes para cada activo informático y servicio, lo cual es esencial para su análisis.
  • Un glosario en el anexo 4 define conceptos clave como autenticidad y confidencialidad.

Dimensiones Clave en Seguridad

Autenticidad y Confidencialidad

  • La autenticidad asegura que una entidad es quien dice ser; esto incluye verificar fuentes de datos.
  • La confidencialidad implica que la información no debe ser accesible a individuos o entidades no autorizadas.

Otras Dimensiones Importantes

  • Las cinco dimensiones fundamentales son: autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad (AIT T).
  • La integridad garantiza que los activos informáticos no han sido alterados sin autorización.

Determinación del Nivel Requerido de Seguridad

Clasificación por Dimensiones

  • Para cada dimensión (autenticidad, confidencialidad), se debe determinar si el nivel requerido es bajo, medio o alto.
  • Este proceso involucra analizar todos los activos relacionados con el sistema para establecer sus niveles correspondientes.

Consideraciones Finales

  • Se hace hincapié en recordar las diferencias entre géneros gramaticales al clasificar categorías y niveles dentro del contexto de seguridad.

Niveles de Seguridad en la Gestión de Incidentes

Dimensiones de Seguridad y Niveles Asociados

  • Se establece que la autenticidad, confidencialidad e integridad tienen niveles de seguridad medio y bajo, dependiendo del impacto de un incidente sobre las funciones organizativas.
  • La autenticidad se considera de nivel bajo si el perjuicio es limitado, afectando mínimamente a los activos o individuos involucrados.
  • Un incidente donde un mediador no es quien dice ser puede causar diferentes grados de perjuicio: grave o muy grave, dependiendo del impacto en la organización.

Clasificación del Perjuicio

  • El nivel de perjuicio se clasifica como bajo, medio o alto según la intensidad del daño causado por el incidente.
  • Se define "perjuicio limitado" como una reducción apreciable en la capacidad organizativa para cumplir sus funciones, aunque estas aún se realicen.

Ejemplos Prácticos de Perjuicios

  • Un ejemplo práctico indica que si una organización pasa de ocho servidores a dos debido a un ataque, el perjuicio es considerado limitado.
  • El "perjuicio grave" implica una reducción significativa que impide ofrecer servicios durante ciertas horas.

Consecuencias Legales y Normativas

  • El incumplimiento formal o material de leyes puede resultar en perjuicios graves; esto incluye situaciones donde podría haber consecuencias legales severas.
  • Un incumplimiento leve puede ser subsanable y considerado como un perjuicio bajo; sin embargo, uno grave podría llevar a juicios.

Impacto en Individuos y Activos

  • Causar un perjuicio menor a individuos puede ser reparable; sin embargo, daños irreparables son considerados muy graves y afectan significativamente a la organización.
  • La gestión adecuada del riesgo implica entender cómo cada tipo de daño afecta tanto a los activos como a las personas involucradas.

Categorización de Sistemas de Información

Perjuicios y Plazos

  • Se discute el concepto de "perjuicio limitado" en relación con la presentación de documentos, enfatizando que si se pasa el plazo, no se puede presentar debido a la culpa del individuo.
  • Se menciona un caso donde un sistema automático podría causar un "perjuicio grave", ejemplificando situaciones extremas como encarcelar a alguien o destruir propiedades.

Esquema Nacional de Seguridad

  • El CCN ha creado una guía (la 803) para ayudar en la categorización de sistemas de información, dado que es un proceso complicado.
  • La categoría del sistema se determina por la dimensión más alta obtenida durante la evaluación; si alguna dimensión es alta, el sistema será clasificado como alto.

Dimensiones y Categorización

  • Si todas las dimensiones son bajas, entonces la categoría del sistema será baja. También se menciona que algunas dimensiones pueden no aplicar.
  • Se plantea una pregunta sobre qué constituye exactamente un "sistema" al categorizar; se aclara que puede ser una aplicación específica.

Definición y Complejidad del Sistema

  • La discusión gira en torno a cómo definir lo que es un sistema de información, destacando su complejidad en contextos organizacionales.
  • Ejemplos como la Agencia Tributaria ilustran cómo diferentes activos e información pueden estar interconectados dentro de un único sistema.

Responsabilidades y Evaluaciones

  • Cada miembro del equipo tiene responsabilidades específicas sobre diferentes sistemas o proyectos, evaluando sus dimensiones individuales.
  • La categorización debe hacerse considerando las decisiones administrativas previas a involucrar empresas externas para asegurar claridad en los sistemas evaluados.

Certificación en el ENS y Categorización de Sistemas

Proceso de Certificación en el ENS

  • Se menciona la asistencia para certificarse en el ENS, con un plazo que termina el 5 de mayo. La importancia del tiempo es crucial para cumplir con los requisitos.
  • La complejidad del proceso se destaca al evaluar sistemas de información, especialmente en organismos como la Agencia Tributaria y la Seguridad Social.
  • Se discute cómo agrupar bases de datos bajo una misma pila tecnológica, lo que facilita la identificación de sistemas de información.

Dimensiones y Categorías de Seguridad

  • Se identifican cinco dimensiones clave (alto, bajo, medio) para determinar la seguridad del sistema. Esto incluye autenticidad y otras características relevantes.
  • El ENENS proporciona guías sobre criterios específicos para categorizar sistemas, basándose en experiencias previas con el antiguo ENS (normativa 803).
  • Las tablas proporcionadas ofrecen consejos útiles para quienes buscan entender mejor las categorizaciones necesarias en contextos administrativos.

Importancia de la Categorización

  • Se enfatiza que no solo es importante entender cómo categorizar, sino también saber utilizar correctamente las frases específicas requeridas durante este proceso.
  • La guía 803 define qué constituye un activo dentro del contexto informático: información y servicios a evaluar por su confidencialidad e integridad.

Evaluación de Activos

  • La evaluación debe seguir un orden específico según la guía 803; sin embargo, se sugiere invertirlo para asegurar que no se omita ninguna dimensión relevante.
  • Es común que la disponibilidad no sea considerada relevante y quede sin asignar a ningún nivel durante las evaluaciones estándar.

Ejemplos Prácticos

  • Se presentan ejemplos prácticos sobre cómo clasificar activos según sus características: autenticidad, confidencialidad e integridad son fundamentales en esta evaluación.
  • Se discuten posibles impactos negativos si hay brechas en seguridad; por ejemplo, robos o suplantaciones pueden tener consecuencias graves dependiendo del tipo de información involucrada.
  • Ejemplos concretos ilustran cómo una falta de autenticidad puede afectar gravemente a instituciones nacionales y ciudadanos individuales.

¿Cómo afecta la confidencialidad de los datos al ciudadano?

Importancia de la coherencia en las frases

  • La coherencia es clave al redactar frases para cada dimensión, especialmente en el A1 y A2. Se debe hablar del perjuicio al ciudadano, aunque sea subsanable, y que tenga sentido.

Consecuencias de brechas en la confidencialidad

  • Si se suplantan identidades, se pueden visualizar datos personales en concesiones de ayudas, lo que podría causar un perjuicio leve al ciudadano. La confidencialidad es fundamental.
  • Un incumplimiento normativo del RGPD puede ocurrir si los datos son expuestos, lo que también podría llevar a discriminación en la concesión de ayudas y aumentar el riesgo de ataques de ingeniería social.

Impacto grave en la defensa nacional

  • Una brecha en la confidencialidad puede alterar compromisos adquiridos por ministros, afectando gravemente a la defensa nacional y a la Unión Europea. Esto resalta la importancia de mantener altos estándares de seguridad.

Efectos negativos sobre reputación e integridad

  • La adulteración de información publicada puede tener un efecto negativo leve sobre la reputación del organismo involucrado, según lo indicado por la guía 803. Esto incluye situaciones donde notas alteradas podrían generar agravios comparativos en el acceso a universidades.

Estrategias para abordar preguntas durante exámenes

  • Es recomendable preparar varias frases para cada dimensión; esto permite responder adecuadamente incluso si solo se recuerda una frase clave durante el examen. Se enfatiza que no hay problema con usar respuestas más generales como "perjuicio legal" o "reputación".

¿Cómo determinar el nivel de disponibilidad?

Criterios para evaluar disponibilidad

  • El tiempo de recuperación objetivo (RTO) es crucial para determinar requisitos de disponibilidad; establece cuánto tiempo puede estar caído un servicio antes que cause problemas significativos.
  • Si un servicio está inactivo entre uno y cinco días, se considera bajo; sin embargo, sistemas críticos no deberían permitir caídas prolongadas sin consecuencias graves.

Ejemplos prácticos sobre impacto crítico

  • En situaciones críticas como incendios, una caída del sistema durante cuatro horas podría causar daños irreparables y poner vidas humanas en peligro; esto subraya cómo ciertos niveles deben ser considerados altos debido a sus implicaciones directas sobre seguridad pública.

Reflexiones finales sobre preparación académica

  • Los ejemplos claros ayudan a entender mejor las dimensiones discutidas; aprender frases específicas es esencial para manejar preguntas complejas durante evaluaciones académicas relacionadas con estos temas críticos.

Trazabilidad y Seguridad en Procedimientos Administrativos

Importancia de la Trazabilidad

  • La pérdida de trazabilidad puede dificultar la detección temprana de incidentes de seguridad, lo que podría resultar en sanciones para la administración.
  • La trazabilidad es esencial para esclarecer delitos, especialmente en ciberseguridad, permitiendo seguir los pasos de un delito cometido.
  • Sin trazabilidad, se corre el riesgo de incurrir en delitos graves por parte de la administración, como en el caso de incendios descontrolados donde no se pueden identificar a los agentes intervinientes.

Categorías de Seguridad del Sistema

  • La determinación de la categoría de seguridad se basa en la valoración del impacto que tendría un incidente sobre la organización. Esto incluye evaluar las dimensiones de seguridad y clasificarlas como no aplicable, bajo, medio o alto.
  • Se menciona el uso del anexo 1 del Real Decreto 311/2022 para categorizar sistemas de información según su nivel de seguridad.
  • Es importante estudiar las frases clave y criterios establecidos en guías como CCNC 803 para una correcta categorización del sistema.

Metodología para Categorizar Sistemas

  • Para categorizar un sistema, se deben valorar cinco dimensiones siguiendo las directrices establecidas; esto ayuda a determinar si el impacto es subsanable o grave.
  • Al final del proceso, se define una categoría específica (básica, media o alta) basada en el nivel más alto encontrado entre las dimensiones evaluadas.
  • Se enfatiza que practicar con ejemplos concretos es crucial para entender cómo aplicar esta metodología correctamente antes del examen o evaluación final.