Ens

Question 1

ENS ¿Cuál es la Ley y el Real Decreto donde aparece el ENS Esquema Nacional de Seguridad?

Answer 1

LEY:

• 40/2015 (art. 156)

REAL DECRETO:

• RD 951/2015

Question 2

ENS ¿En qué tres niveles se puede categorizar tus sistemas de operaciones, organizaciones, etc.?

Answer 2

• Alta: nivel máximo de exigencia en seguridad, para sistemas con información o servicios críticos.
• Media: nivel intermedio, con requisitos de seguridad relevantes pero no extremos.
• Baja: nivel básico, para sistemas con menor impacto en caso de incidente.

Artículo 43 y siguientes del RD 951/2015 (Esquema Nacional de Seguridad).

Question 3

ENS ¿Cuáles son las 5 Dimensiones de la Seguridad?

Answer 3

1️⃣ Autenticidad: confirmar la identidad de los usuarios y la procedencia de la información.
2️⃣ Disponibilidad: garantizar el acceso a la información y servicios cuando se necesite.
3️⃣ Integridad: asegurar que la información no sea alterada de forma indebida.
4️⃣ Confidencialidad: garantizar que solo las personas autorizadas accedan a la información.
5️⃣ Trazabilidad: dejar constancia de las acciones realizadas para garantizar responsabilidad y auditoría.

Artículo 43 del RD 951/2015 (Esquema Nacional de Seguridad).

Question 4

ENS ¿Cuáles son los 3 tipos de MARCOS del ENS y cuántas medidas de seguridad tiene cada uno?

Answer 4

• Marco organizativo: Son 4 medidas de seguridad, relacionadas con la gestión y organización de la seguridad. Política de seguridad, Normativa de Seguridad, Procedimiento de Seguridad, Proceso de autorización…
• Marco de protección: Son 40 medidas de seguridad, centradas en proteger los sistemas y la información. Planificación, control de acceso, monitorización…
• Marco operacional: Son 31 medidas de seguridad, enfocadas en la operación y mantenimiento seguro de los sistemas. Instalaciones e infraestructura, gestión de personal, protección de equipos, protección de comunicaciones…

Artículo 27 y Anexos del RD 951/2015 (Esquema Nacional de Seguridad).

Question 5

ENS ¿Es necesario que tu sistema de operaciones u organización estén CERTIFICADAS? ¿Qué conlleva? ¿Qué empresa lo hace? ¿Qué 3 conformidades hay?

Answer 5

• Sí, es necesario para garantizar que los sistemas cumplen con las medidas del ENS y asegurar la confianza, seguridad e interoperabilidad en la Administración Electrónica.
• Conlleva una auditoría y la obtención de un certificado que avala el cumplimiento de los requisitos de seguridad establecidos en el ENS.
• La entidad encargada de emitir estos certificados en España es AENOR (Asociación Española de Normalización y Certificación).

CERTIFICADO DE CONFORMIDAD: niveles de adecuación según el ENS
- ALTA
- MEDIA
- BAJA

Artículo 41 y 42 del RD 951/2015 (Esquema Nacional de Seguridad).

Question 6

ENS ¿Para qué sirve la Guía STIC - 800? ¿Qué dos Chicas del CCN tienen que ver con la obtención de certificados?

Answer 6

• La Guía STIC - 800 sirve para orientar la aplicación práctica del Esquema Nacional de Seguridad (ENS), proporcionando directrices y buenas prácticas para cumplir con los requisitos de seguridad en los sistemas de la Administración Pública.
• Relaciona los controles del ENS con los estándares de seguridad internacionales (como ISO/IEC 27001).

CHICAS DEL CCN: son herramientas y guías técnicas del CCN-CERT que apoyan la obtención de certificados dentro del ENS:
- INÉS: Informe Nacional del Estado de Seguridad, sistema que mide y analiza el nivel de madurez y cumplimiento del ENS en las organizaciones públicas.
- CLARA: Custodia de Logs y Repositorio de Auditoría, solución técnica que asegura la trazabilidad, conservación y consulta de los registros de actividad, fundamentales para auditorías y certificaciones.

Artículo 18 del RD 951/2015 (Esquema Nacional de Seguridad).

Question 7

CICLO DE ADECUACIÓN DEL ENI Explica qué se hace en cada ciclo, y en qué guíaCCN-STIC se basa:

Answer 7

1️⃣
- QUÉ: Preparar y aprobar la política de seguridad
- GUÍA: CCN-STIC 805
Explicación: Se define la política de seguridad del sistema de información, que establece principios, objetivos y compromisos.

2️⃣
- QUÉ: Definir roles y asignar personas
- GUÍA: CCN-STIC 801
Explicación: Se identifican responsables y se asignan funciones claras para la gestión de la seguridad de la información.

3️⃣
- QUÉ: Valorar y categorizar el sistema (información y servicios)
- GUÍA: CCN-STIC 803
Explicación: Se evalúa la importancia de los activos y se determina el nivel de seguridad (alto, medio, bajo) que corresponde.

4️⃣
- QUÉ: Realizar análisis de riesgos
- GUÍA: (basado en metodologías del CCN)
Explicación: Se identifican amenazas, vulnerabilidades e impactos para establecer medidas de seguridad adecuadas.

5️⃣
- QUÉ: Preparar y aprobar la declaración de aplicabilidad
- GUÍA: CCN-STIC 804
Explicación: Se documenta qué medidas del ENS aplican al sistema y el estado de su implantación.

6️⃣
- QUÉ: Implantar, operar y monitorizar el sistema
- GUÍA: (según guías CCN de operación y monitorización)
Explicación: Se ponen en marcha las medidas de seguridad, se gestionan los servicios y se supervisan los sistemas de forma continua.

7️⃣
- QUÉ: Auditar cada dos años
- GUÍA: CCN-STIC 802, 808
Explicación: Se realizan auditorías periódicas para verificar el cumplimiento del ENS y detectar posibles debilidades.

8️⃣
- QUÉ: Mejorar la seguridad
- GUÍA: CCN-STIC 809, 815
Explicación: Se aplican medidas de mejora continua para mantener actualizado el sistema frente a nuevos riesgos y necesidades.

Artículo 29 del RD 951/2015 (Esquema Nacional de Interoperabilidad).

Question 8

FIRMA ELECTRÓNICA ¿En qué consiste la firma electrónica? ¿Qué pasos sigue?

Answer 8

1️⃣
- QUÉ: Partimos de un documento en formato XML o binario.
- Explicación: Se selecciona el documento electrónico que se quiere firmar digitalmente.

2️⃣
- QUÉ: Se genera un resumen (hash) del documento.
- CUÁLES:
- SHA 256/384/512
- SHA 1 → 160 bits
- MD5 → 128 bits
- Explicación: Este proceso convierte el contenido en una huella digital única que representa el documento original.

3️⃣
- QUÉ: Se genera un residuo o Message Digest.
- Explicación: El Message Digest es el resultado del algoritmo hash, un valor único que cambia totalmente si el documento se modifica, garantizando la integridad.

5️⃣
- QUÉ: Se aplica el algoritmo criptográfico ASIMÉTRICO con la clave privada del firmante sobre el hash. (Ejemplos: ElGamal, RSA, DSA, Diffie-Hellman, Curva Elíptica).
- Explicación: Esto crea la firma electrónica, que asegura la autenticidad del firmante y la integridad del contenido.

4️⃣
- QUÉ: Se genera la firma electrónica BÁSICA y se incorpora al documento o se asocia a él.
- Explicación: El documento firmado adquiere validez jurídica y puede ser verificado mediante la clave pública del firmante.

Artículo 10 y 11 de la Ley 39/2015 y RD 951/2015 (ENS).

Question 9

FIRMA ELECTRÓNICA ¿En qué consiste la firma AVANZADA - AdES? ¿Por qué son fundamentales los metadatos?

Answer 9

• La firma AVANZADA - AdES consiste en la firma básica más los metadatos asociados al documento.
• Estos metadatos (como información del firmante, fecha, política de firma, huellas digitales, etc.) son fundamentales porque permiten verificar la validez, integridad y contexto jurídico del documento firmado.
• ‼️ Según los METADATOS se distinguen las distintas versiones de la firma avanzada: XAdES, CAdES, PAdES…

Question 10

FIRMA ELECTRÓNICA En las diferentes firmas XAdES ¿qué significan las distintas letras?

Answer 10

• BES: (Basic Electronic Signature) → firma electrónica básica con el hash y el certificado del firmante.
• T: añade un sello de tiempo que demuestra en qué momento se firmó el documento.
• C: incluye referencias a los datos de validación (certificados y listas de revocación necesarias`).
• X: incorpora información adicional sobre la validez de la firma a lo largo del tiempo (sellos de tiempo extendidos).
• XL: añade todos los datos necesarios para la validación a largo plazo, incluso si los certificados expiran.
• A: (Archival) garantiza la validez de la firma durante periodos muy largos, con mecanismos de renovación de validez en el tiempo.

Question 11

FIRMA ELECTRÓNICA ¿En qué consisten las firmas XML? ¿Cuál es su estándar? ¿Cuáles son sus versiones?

Answer 11

• Las firmas XML son firmas electrónicas aplicadas a documentos en formato XML, que permiten verificar la identidad del firmante y asegurar que el contenido no ha sido alterado.

ESTÁNDAR:

• XMLDSIG (XML Digital Signature), definido por el consorcio W3C, establece cómo estructurar y validar firmas en documentos XML. ‼️También sirven para firmar cualquier documento.

VERSIONES:

• ENVELOPING: la firma contiene al documento firmado dentro de sí misma.
• ENVELOPED: la firma está incrustada dentro del documento XML que se firma.
• DETACHED: la firma está separada del documento, pero incluye una referencia al contenido original.

Norma Técnica de Interoperabilidad y estándar XMLDSIG (W3C).