TEMA 10

Acceso electrónico de los ciudadanos a los

servicios públicos y normativa de desarrollo.
La gestión electrónica de los procedimientos
administrativos: registros, notificaciones y uso
de medios electrónicos. Esquema Nacional de
Seguridad y de Interoperabilidad. Normas
técnicas de Interoperabilidad.
BLOQUE I TEMA 10

Real Decreto 4/2010, de 8 de enero, por el que se regula el

Esquema Nacional de Interoperabilidad en el ámbito de la
Administración Electrónica

Principios básicos

Artículo 4 Principios básicos del Esquema Nacional de Interoperabilidad

Principios específicos de la interoperabilidad:

a) La interoperabilidad como cualidad integral.
b) Carácter multidimensional de la interoperabilidad.
c) Enfoque de soluciones multilaterales.

Artículo 5 La interoperabilidad como cualidad integral (Pregunta examen)

La interoperabilidad se tendrá presente de forma integral desde la

concepción de los servicios y sistemas y a lo largo de su ciclo de vida:
planificación, diseño, adquisición, construcción, despliegue,
explotación, publicación, conservación y acceso o interconexión con los
mismos.

Artículo 6 Carácter multidimensional de la interoperabilidad

La interoperabilidad se entenderá contemplando sus dimensiones

organizativa, semántica y técnica.

Artículo 7 Enfoque de soluciones multilaterales

Se favorecerá la aproximación multilateral a la interoperabilidad de forma

que se puedan obtener las ventajas derivadas del escalado, de la aplicación
de las arquitecturas modulares y multiplataforma, de compartir, de
reutilizar y de colaborar.

ANEXO

Glosario de términos (Pregunta examen)

Aplicación de fuentes abiertas: Aquella que se distribuye con una licencia

que permite la libertad de ejecutarla, de conocer el código fuente, de
modificarla o mejorarla y de redistribuir copias a otros usuarios.

Cadena de interoperabilidad: Expresión de la interoperabilidad en el

despliegue de los sistemas y los servicios como una sucesión de elementos
enlazados e interconectados, de forma dinámica, a través de interfaces y
con proyección a las dimensiones técnica, semántica y organizativa.

Documento electrónico: Información de cualquier naturaleza en forma

electrónica, archivada en un soporte electrónico según un formato
determinado y susceptible de identificación y tratamiento diferenciado.

Esquema de metadatos: Instrumento que define la incorporación y gestión

de los metadatos de contenido, contexto y estructura de los documentos
electrónicos a lo largo de su ciclo de vida.

135
BLOQUE I TEMA 10

Estándar abierto: Aquél que reúne las siguientes condiciones:

o Que sea público y su utilización sea disponible de manera gratuita o
a un coste que no suponga una dificultad de acceso,
o Que su uso y aplicación no esté condicionado al pago de un derecho
de propiedad intelectual o industrial.
Ficheros de implementación de las políticas de firma: Son la representación
en lenguaje formal (XML o ASN.1) de las condiciones establecidas en la
política de firma, acorde a las normas técnicas establecidas por los
organismos de estandarización.

Firma electrónica: Conjunto de datos en forma electrónica, consignados

junto a otros o asociados con ellos, que pueden ser utilizados como medio
de identificación del firmante.

Interoperabilidad: Capacidad de los sistemas de información, y por ende

de los procedimientos a los que éstos dan soporte, de compartir datos y
posibilitar el intercambio de información y conocimiento entre ellos.

Interoperabilidad organizativa: Es aquella dimensión de la

interoperabilidad relativa a la capacidad de las entidades y de los
procesos a través de los cuales llevan a cabo sus actividades para
colaborar con el objeto de alcanzar logros mutuamente acordados relativos
a los servicios que prestan.

Interoperabilidad semántica: Es aquella dimensión de la interoperabilidad

relativa a que la información intercambiada pueda ser interpretable de
forma automática y reutilizable por aplicaciones que no intervinieron en
su creación.

Interoperabilidad técnica: Es aquella dimensión de la interoperabilidad

relativa a la relación entre sistemas y servicios de tecnologías de la
información, incluyendo aspectos tales como las interfaces, la
interconexión, la integración de datos y servicios, la presentación de la
información, la accesibilidad y la seguridad, u otros de naturaleza
análoga.

Interoperabilidad en el tiempo: Es aquella dimensión de la

interoperabilidad relativa a la interacción entre elementos que
corresponden a diversas oleadas tecnológicas; se manifiesta especialmente
en la conservación de la información en soporte electrónico.

Lista de servicios de confianza (TSL): Lista de acceso público que recoge

información precisa y actualizada de aquellos servicios de certificación
y firma electrónica que se consideran aptos para su empleo en un marco de
interoperabilidad de las Administraciones públicas españolas y europeas.

Marca de tiempo: La asignación por medios electrónicos de la fecha y, en

su caso, la hora a un documento electrónico.

Metadato: Dato que define y describe otros datos. Existen diferentes tipos
de metadatos según su aplicación.

136
BLOQUE I TEMA 10

Metadato de gestión de documentos: Información estructurada o

semiestructurada que hace posible la creación, gestión y uso de documentos
a lo largo del tiempo en el contexto de su creación. Los metadatos de
gestión de documentos sirven para identificar, autenticar y contextualizar
documentos, y del mismo modo a las personas, los procesos y los sistemas
que los crean, gestionan, mantienen y utilizan.

Modelo de datos: Conjunto de definiciones (modelo conceptual),

interrelaciones (modelo lógico) y reglas y convenciones (modelo físico)
que permiten describir los datos para su intercambio.

Nodo de interoperabilidad: Organismo que presta servicios de interconexión

técnica, organizativa y jurídica entre sistemas de información para un
conjunto de Administraciones Públicas bajo las condiciones que éstas
fijen.

Sello de tiempo: La asignación por medios electrónicos de una fecha y hora

a un documento electrónico con la intervención de un prestador de servicios
de certificación que asegure la exactitud e integridad de la marca de
tiempo del documento.

Sellado de tiempo: Acreditación a cargo de un tercero de confianza de la

fecha y hora de realización de cualquier operación o transacción por medios
electrónicos.

Servicio de interoperabilidad: Cualquier mecanismo que permita a las

Administraciones públicas compartir datos e intercambiar información
mediante el uso de las tecnologías de la información.

EXPEDIENTE ELECTRÓNICO
Definición y estructura (Pregunta examen)
La Ley 39/2015, de 1 de octubre, define en su artículo 70 el expediente
administrativo como el “conjunto ordenado de documentos y actuaciones que
sirven de antecedente y fundamento a la resolución administrativa, así
como las diligencias encaminadas a ejecutarla”, estableciendo además que
“los expedientes tendrán formato electrónico”.
Para garantizar la vinculación de los documentos electrónicos que
conforman un expediente, la Ley define el índice electrónico “como un
índice numerado y autentificado de todos los documentos que contenga cuando
se remita”, estableciendo además que “La autenticación del citado índice
garantizará la integridad e inmutabilidad del expediente electrónico
generado desde el momento de su firma y permitirá su recuperación siempre
que sea preciso”
Atendiendo a lo anterior, el apartado III de la NTI de Expediente
Electrónico define los componentes del expediente electrónico:
Los componentes de un expediente electrónico son:
a) Documentos electrónicos, que cumplirán las características de
estructura y formato establecidas en la Norma Técnica de
Interoperabilidad de Documento electrónico.

137
BLOQUE I TEMA 10

Los documentos electrónicos podrán incluirse en un expediente

electrónico bien directamente como elementos independientes, bien
dentro de una carpeta, entendida ésta como una agrupación de
documentos electrónicos creada por un motivo funcional, o bien como
parte de otro expediente, anidado en el primero.

b) Índice electrónico, que según lo establecido en el artículo 32.2 de

la Ley 11/2007, de 22 de junio, de acceso electrónico de los
ciudadanos a los Servicios Públicos, garantizará la integridad del
expediente electrónico y permitirá su recuperación siempre que sea
preciso.

El índice electrónico recogerá el conjunto de documentos electrónicos

asociados al expediente en un momento dado y, si es el caso, su
disposición en carpetas o expedientes.

c) Firma del índice electrónico por la Administración, órgano o entidad

actuante de acuerdo con la normativa aplicable.
d) Metadatos obligatorios. Huella digital, sello electrónico y todos los
códigos que sirvan para identificar el origen y las características
del documento.
Los metadatos mínimos obligatorios del expediente electrónico:
a) Serán los definidos en el anexo I.
b) Se asociarán en la formación del expediente para su remisión o puesta
a disposición.
c) No serán modificados en ninguna fase posterior del procedimiento
administrativo, a excepción de modificaciones necesarias para la
corrección de errores u omisiones en el valor inicialmente asignado.
Nota: Esquema de Metadatos para la Gestión del Documento Electrónico (e-
EMGDE) tiene como última versión la 2.0. (Pregunta Examen)
Los metadatos mínimos obligatorios del Documento Electrónico según Norma
Técnica de Interoperabilidad son:
o Versión NTI.
o Identificador.
o Órgano.
o Fecha captura.
o Origen ciudadano Administración.
o Estado elaboración.
o Tipo Documento.

138
BLOQUE I TEMA 10

Normas técnicas de Interoperabilidad (Pregunta examen)

El Esquema Nacional de Interoperabilidad establece la serie de Normas

Técnicas de Interoperabilidad que son de obligado cumplimiento por las
AA.PP. y que desarrollan aspectos concretos de la interoperabilidad entre
las AA.PP. y con los ciudadanos. Se trata de las normas que siguen junto
con sus guías de aplicación y otros documentos de apoyo:
o Catálogo de estándares
o Documento electrónico
o Digitalización de documentos
o Expediente electrónico
o Política de firma electrónica y de certificados de la Administración
o Protocolos de intermediación de datos
o Relación de modelos de datos

139
BLOQUE I TEMA 10

o Política de gestión de documentos electrónicos

o Requisitos de conexión a la Red de comunicaciones de las
Administraciones Públicas españolas
o Procedimientos de copiado auténtico y conversión entre documentos
electrónicos, así como desde papel u otros medios físicos a formatos
electrónicos
o Modelo de Datos para el intercambio de asientos entre las Entidades
Registrales
o Reutilización de recursos de información
o Reutilización y transferencia de tecnología
o Declaración de conformidad con el Esquema Nacional de
Interoperabilidad
o URL´s de esquemas XML
Plataforma de intermediación del Ministerio de Hacienda y Administraciones
Públicas

Funciones. (Pregunta examen)

1.El Ministerio de Hacienda y Administraciones Públicas funcionará como

un nodo de interoperabilidad mediante la plataforma de Intermediación que,
atendiendo a la definición de nodo de interoperabilidad recogida en el
Real Decreto 4/2010, de 8 de enero, prestará funcionalidades comunes para
el intercambio de información entre Emisores y Requirentes.

2.Rol de la Plataforma de intermediación del Ministerio de Hacienda y

Administraciones Públicas:

a) Gestionará los Cesionarios y Requirentes según las condiciones

establecidas por cada Cedente.
b) No almacenará información personal de ningún ciudadano derivada de
cualquier transacción de intercambio de datos.
c) Asegurará la confidencialidad e integridad de la información
intercambiada a través de los mecanismos correspondientes.
d) Mantendrá un portal web informativo con toda la documentación
relativa a la Plataforma.
e) Mantendrá el sistema en funcionamiento 24x7.
f) Dará soporte a las organizaciones y gestionará todas las
comunicaciones e incidencias producidas colaborando para ello con
Requirentes y Emisores.
g) Mantendrá un centro de atención a usuarios e integradores que canalice
todas las incidencias relativas al sistema e informará sobre los
datos de contacto del mismo.
h) Elaborará informes de actividad y uso de la Plataforma considerando
las consultas realizadas desde y hacia cada organización.
i) Evolucionará y mantendrá sus sistemas garantizando la seguridad y
privacidad de los datos acorde a la normativa aplicable.
j) Colaborará en las labores de auditoría siempre que el Emisor o el
Cedente así lo requiera y defina, conservando los datos de
trazabilidad y estadísticos acordados, proporcionando acceso a los
mismos cuando sea necesario y permitiendo reproducir la secuencia de
operaciones llevadas a cabo por el sistema.

140
BLOQUE I TEMA 10

Adecuación al Esquema Nacional de Interoperabilidad (Pregunta examen)

Para la adecuación al ENI es de interés la Guía de auditoría de
cumplimiento del ENI (Abre en nueva ventana) que tiene por objetivo
facilitar que se pueda realizar una valoración del cumplimiento de las
medidas de interoperabilidad, señalando una lista de controles sobre el
Esquema Nacional de Interoperabilidad. Dichos controles se estructuran en
tres categorías siguiendo el modelo del ENS:
a) Marco organizativo, referido a aquellos controles cuyo cumplimiento
exige medidas horizontales, como los aspectos jurídicos, de políticas
de actuación o determinadas decisiones, frecuentemente referidas a
la gobernanza de la interoperabilidad.
b) Marco operacional, referido a aquellos controles cuyo cumplimiento
requiere la adopción de prácticas, procedimientos y medidas alineadas
con la administración de la interoperabilidad como un conjunto,
incluyendo el diseño, la implementación, la configuración y
explotación de sistemas interoperables.
c) Medidas técnicas, que suponen requisitos concretos que permiten
garantizar la interoperabilidad, incluyendo formatos, vocabularios o
protocolos.

Real Decreto 311/2022, de 3 de mayo, por el que se regula el

Esquema Nacional de Seguridad

ANEXO I

Categorías de seguridad de los sistemas de información

1.Fundamentos para la determinación de la categoría de seguridad de un

sistema de información

La determinación de la categoría de seguridad de un sistema de información

se basará en la valoración del impacto que tendría sobre la organización
un incidente que afectase a la seguridad de la información tratada o de
los servicios prestados para:

a) Alcanzar sus objetivos.

b) Proteger los activos a su cargo.
c) Garantizar la conformidad con el ordenamiento jurídico.

Anualmente, o siempre que se produzcan modificaciones significativas en

los citados criterios de determinación, deberá re-evaluarse la categoría
de seguridad de los sistemas de información concernidos.

2.Dimensiones de la seguridad

A fin de determinar el impacto que tendría sobre la organización un

incidente que afectara a la seguridad de la información tratada o de los
servicios prestados y, en su consecuencia, establecer la categoría de
seguridad del sistema de información en cuestión, se tendrán en cuenta las
siguientes dimensiones de la seguridad, que se identificarán por sus
correspondientes iniciales en mayúsculas:
a) Confidencialidad [C].

141
BLOQUE I TEMA 10

b) Integridad [I].
c) Trazabilidad [T].
d) Autenticidad [A].
e) Disponibilidad [D].

3.Determinación del nivel de seguridad requerido en una dimensión de

seguridad

Una información o un servicio pueden verse afectados en una o más de sus

dimensiones de seguridad. Cada dimensión de seguridad afectada se
adscribirá a uno de los siguientes niveles de seguridad: BAJO, MEDIO o
ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a
ningún nivel.

A.-Nivel BAJO. Se aplicará cuando las consecuencias de un incidente de

seguridad que afecte a alguna de las dimensiones de seguridad supongan un
perjuicio limitado sobre las funciones de la organización, sobre sus
activos o sobre los individuos afectados.

Se entenderá por perjuicio limitado:

1) La reducción de forma apreciable de la capacidad de la
organización para desarrollar eficazmente sus funciones y
competencias, aunque estas sigan desempeñándose.
2) Causar un daño menor en los activos de la organización.
3) El incumplimiento formal de alguna ley o regulación, que tenga
carácter de subsanable.
4) Causar un perjuicio menor a algún individuo, que pese a resultar
molesto, pueda ser fácilmente reparable.
5) Otros de naturaleza análoga.
B.-Nivel MEDIO. Se aplicará cuando las consecuencias de un incidente de
seguridad que afecte a alguna de las dimensiones de seguridad supongan un
perjuicio grave sobre las funciones de la organización, sobre sus activos
o sobre los individuos afectados.

Se entenderá por perjuicio grave:

1) La reducción significativa de la capacidad de la organización
para desarrollar eficazmente sus funciones y competencias,
aunque estas sigan desempeñándose.
2) Causar un daño significativo en los activos de la organización.
3) El incumplimiento material de alguna ley o regulación, o el
incumplimiento formal que no tenga carácter de subsanable.
4) Causar un perjuicio significativo a algún individuo, de difícil
reparación.
5) Otros de naturaleza análoga.
C.-Nivel ALTO. Se aplicará cuando las consecuencias de un incidente de
seguridad que afecte a alguna de las dimensiones de seguridad supongan un
perjuicio muy grave sobre las funciones de la organización, sobre sus
activos o sobre los individuos afectados.

Se entenderá por perjuicio muy grave:

1) La anulación efectiva de la capacidad de la organización para
desarrollar eficazmente sus funciones y competencias.

142
BLOQUE I TEMA 10

2) Causar un daño muy grave, e incluso irreparable, de los activos

de la organización.
3) El incumplimiento grave de alguna ley o regulación.
4) Causar un perjuicio grave a algún individuo, de difícil o
imposible reparación.
5) Otros de naturaleza análoga.

Cuando un sistema de información trate diferentes informaciones y preste

diferentes servicios, el nivel de seguridad del sistema en cada dimensión
será el mayor de los establecidos para cada información y cada servicio.

4.Determinación de la categoría de seguridad de un sistema de información

Se definen tres categorías de seguridad: BÁSICA, MEDIA y ALTA.

a) Un sistema de información será de categoría ALTA si alguna de sus

dimensiones de seguridad alcanza el nivel de seguridad ALTO.
b) Un sistema de información será de categoría MEDIA si alguna de sus
dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y
ninguna alcanza un nivel de seguridad superior.
c) Un sistema de información será de categoría BÁSICA si alguna de
sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna
alcanza un nivel superior.
La determinación de la categoría de seguridad de un sistema de información
sobre la base de lo indicado en el apartado anterior, no implicará que se
altere, por este hecho, el nivel de seguridad de las dimensiones de
seguridad que no han influido en la determinación de la categoría de
seguridad del mismo.

5.Secuencia de actuaciones para determinar la categoría de seguridad de

un sistema

Identificación del nivel de seguridad correspondiente a cada información

y servicio, en función de las dimensiones de seguridad, teniendo en cuenta
lo establecido en el apartado 3 anterior.

Determinación de la categoría de seguridad del sistema, según lo

establecido en el apartado 4 anterior.

ANEXO II

Medidas de Seguridad (Pregunta examen)

Disposiciones generales

1.Para lograr el cumplimiento de los principios básicos y requisitos

mínimos establecidos se aplicarán las medidas de seguridad indicadas en
este anexo, las cuales serán proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categoría de seguridad del sistema de información a proteger.
2.Las medidas de seguridad se dividen en tres grupos:

143
BLOQUE I TEMA 10

a) Marco organizativo [org]. Constituido por el conjunto de medidas

relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger
la operación del sistema como conjunto integral de componentes para
un fin.
c) Medidas de protección [mp]. Se centran en proteger activos concretos,
según su naturaleza y la calidad exigida por el nivel de seguridad
de las dimensiones afectadas.
Perímetro seguro (Pregunta examen)
Se dispondrá de un sistema de protección perimetral que separe la red
interna del exterior. Todo el tráfico deberá atravesar dicho sistema.
Todos los flujos de información a través del perímetro deben estar
autorizados previamente.
La Instrucción Técnica de Seguridad de Interconexión de Sistemas de
Información determinará los requisitos establecidos en el perímetro que
han de cumplir todos los componentes del sistema en función de la
categoría.
Medidas de protección (Pregunta examen)
Las medidas de protección estarán dirigidas a proteger activos concretos,
según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
a) Áreas separadas y con control de acceso (básica – media – alta)
b) Identificación de las personas (básica – media – alta)
c) Acondicionamiento de los locales (básica – media – alta)
d) Energía eléctrica (básica)
e) Protección frente a incendios (básica – media – alta)
f) Protección frente a inundaciones (media – alta)
g) Registro de entrada y salida de equipamiento (básica – media – alta)

Copias de Seguridad (Pregunta examen)

Se realizarán copias de seguridad que permitan recuperar datos perdidos,
accidental o intencionadamente. La periodicidad y los plazos de retención
de estas copias de seguridad se determinarán en la normativa interna de
la organización relativa a copias de seguridad.
Los procedimientos de respaldo establecidos indicarán:
a) Frecuencia de las copias.
b) Requisitos de almacenamiento en el propio lugar.
c) Requisitos de almacenamiento en otros lugares.
d) Controles para el acceso autorizado a las copias de respaldo.
Refuerzo R1-Pruebas de recuperación.
Los procedimientos de copia de seguridad y restauración deben probarse
regularmente. Su frecuencia dependerá de la criticidad de los datos y del
impacto que cause la falta de disponibilidad.
Refuerzo R2-Protección de las copias de seguridad.
Al menos, una de las copias de seguridad se almacenará de forma separada
en lugar diferente, de tal manera que un incidente no pueda afectar tanto
al repositorio original como a la copia simultáneamente.

144
BLOQUE I TEMA 10

Soluciones - CCN-Cert (Pregunta examen)

NOMBRE DESCRIPCIÓN ¿COINCIDE?
ADA Plataforma de Análisis Avanzado de malware NO
AMPARO Implantación de Seguridad y Conformidad ENS NO
ANA Automatización y Normalización de Auditorías SI
ATENEA Plataforma de desafíos de seguridad NO
CARLA Protección y trazabilidad de dato en información NO
corporat.
CARMEN Defensa de ataques avanzados APT NO
CCN-DROID Seguridad para dispositivos con S.O. Android NO
CLARA Herramienta para analizar las características de NO
seguridad técnica definidas a través del Real
Decreto 3/2010 por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica.
CLARA ENS (Windows 7,10, server 2008, 2008R2, 2012,
2012R2, 2016) y CLARA ENS LINUX (CentOS 7,8)
CLAUDIA Herramientas para la detección de amenazas NO
complejas en el puesto de usuario. Solución endpoint
integrada con CARMEN.
microCLAUDIA Basada en el motor de CLAUDIA, proporciona NO
protección contra código dañino de tipo RANSOMWARE.
Se descarga de la nube 1 vez y ya luego no necesita
conectarse.
ELENA Simulador de Técnicas de Cibervigilancia. Permite a NO
los usuarios tomar el rol de analista en un entorno
simulado de investigación basado en situaciones
reales
ENMA Control de Acceso a las infraestructuras de red. NO
Vigilancia sobre la red. Autenticación y
segregación. Automatización de auditorías de
seguridad de la infraestructura de red. SOLUCION
MODULAR (visibilidad, control/respuesta,
segmentación, cumplimiento, BYOD, Gestión de
invitados y vigilancia de acceso remoto). Se
necesita integrar ROCIO en soluciones de control de
acceso
GLORIA Plataforma para la gestión de incidentes y amenazas SI
de ciberseguridad a través de técnicas de (Gest)
correlación compleja de eventos o análisis de (Incidentes
patrones para la identificación de anomalías. y
Amenazas)
INES Solución desarrollada por el CCN para la gobernanza NO
de la ciberseguridad, que permite evaluar
regularmente el estado de la seguridad de los
sistemas TIC de las entidades y su adecuación al
Esquema Nacional de Seguridad (ENS) adaptándose a
otros estándares o normas reguladoras en caso
necesario. (2 modalidades: Entidad matriz y Entidad
individ).
IRIS Plataforma desarrollada por el CCN-CERT para ¿SI?
conocer en tiempo real el estado de la
ciberseguridad del sector público y la situación de
la ciberamenaza a nivel nacional. Se usan mapas
interactivos y representaciones gráficas visuales.
(Interactive Representation Information System???)
o quizás IRIS por visual.

145
BLOQUE I TEMA 10

LORETO CCP (Content Collaboration Platform). NO

Almacenamiento en la nube para la colaboración
entre entidades. Permite el trabajo en remoto.
Proporciona eficiencia al tener la información de
colaboración disponible
LUCIA (Listado Unificado de Coordinación de Incidentes y SI
Amenazas). Gestiona los incidentes cibernéticos en
las entidades del ámbito de aplicación del ENS.
Incidentes propios del Organismo, otros
provenientes del Sistema de Alerta Temprana de Red
SARA (SATSARA)y los que provienen del Sistema de
Alerta Temprana de Internet (SAT-INET).
MARIA Plataforma MultiAntivirus en tiempo Real. Análisis SI
estático de código dañino a través de múltiples
motores antivirus y antimalware para plataformas
Windows y Linux. Analiza ficheros subidos de forma
aislada. Podría sacarse abreviatura MultiAntivirus
en tiempo Real con Información Aislada. Integrada
en ADA
MARTA Plataforma avanzada de multi-sandboxing dedicada al NO
análisis automatizado de múltiples tipos de
ficheros que pudieran tener un comportamiento
malicioso. Tiene interfaz web. Análisis estático,
dinámico y post-análisis. MARTA y MARIA se integran
en ADA
MÓNICA Sistema Automatizado de Gestión de Información y NO
Eventos de Seguridad que recoge en una única
plataforma toda la información existente sobre
amenazas potenciales, permitiendo reaccionar a los
ataques y también anticiparse.
PILAR Herramienta de Análisis y Gestión de Riesgos de NO
Sistemas de Información.
• Versiones de Pilar:
• Versión Integra (PILAR).
• Versión para PYMES y Admin, local (PILAR
BASIC).
• Versión reducida (microPILAR).
• Personalización de Herramientas (RMAT).
o Traducida a 8 idiomas.
o Gratuita para el sector público.
o Utilizada por más de 500 organismos públicos.
o Módulos de cumplimiento ENS.
o Verificación RGPD.
o Integrada con INES.
REYES Repositorio común y Estructurado de Amenazas y SI
Código Dañino. Conlleva Detección, Análisis y
Respuesta.
• La detección se realiza mediante blacklists,
Bloqueo de DNS, IDS, firewall, Proxy e IPS.
• El Análisis se realiza mediante la tecnología
MISP (Malware Information Sharing Platform),
que contiene elementos como Passivetotal,
Virtustotal, CENSYS, CCNCERT, Marta y Lucía.
La respuesta al problema la devuelve mediante IOC y
reglas YARA.
ROCIO Herramienta de Auditoría de cumplimiento con el
ENS/STIC en dispositivos de red. Es una solución
para la automatización de las tareas básicas

146
BLOQUE I TEMA 10

realizadas por un auditor de seguridad sobre equipos

de comunicaciones (enrutadores, conmutadores y
cortafuegos) y sirve para verificar el nivel de
seguridad de dichos equipos. Se emplea cargando el
fichero de configuración del dispositivo en
cuestión.
VANESA Plataforma de grabaciones y emisiones online.
Facilita la tarea de formación y sensibilización
con su comunidad de referencia.
ANGELES Aplicación de formación y capacitación y talento de
CCN.

CAPÍTULO II
Principios básicos
Artículo 5 Principios básicos del Esquema Nacional de Seguridad (Pregunta
examen)
El objeto último de la seguridad de la información es garantizar que una
organización podrá cumplir sus objetivos, desarrollar sus funciones y
ejercer sus competencias utilizando sistemas de información. Por ello, en
materia de seguridad de la información deberán tenerse en cuenta los
siguientes principios básicos:
a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.
Artículo 6 La seguridad como un proceso integral
1. La seguridad se entiende como un proceso integral constituido por todos
los elementos humanos, materiales, técnicos, jurídicos y organizativos
relacionados con el sistema de información. La aplicación del ENS estará
presidida por este principio, que excluye cualquier actuación puntual o
tratamiento coyuntural.
2.Se prestará la máxima atención a la concienciación de las personas que
intervienen en el proceso y la de los responsables jerárquicos, para evitar
que, la ignorancia, la falta de organización y de coordinación o de
instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad.
Artículo 7 Gestión de la seguridad basada en los riesgos
1.El análisis y la gestión de los riesgos es parte esencial del proceso
de seguridad, debiendo constituir una actividad continua y permanentemente
actualizada.
2.La gestión de los riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos a niveles aceptables. La reducción a
estos niveles se realizará mediante una apropiada aplicación de medidas
de seguridad, de manera equilibrada y proporcionada a la naturaleza de la
información tratada, de los servicios a prestar y de los riesgos a los que
estén expuestos.

147
BLOQUE I TEMA 10

Artículo 8 Prevención, detección, respuesta y conservación

1.La seguridad del sistema debe contemplar las acciones relativas a los
aspectos de prevención, detección y respuesta, al objeto de minimizar sus
vulnerabilidades y lograr que las amenazas sobre el mismo no se
materialicen o que, en el caso de hacerlo, no afecten gravemente a la
información que maneja o a los servicios que presta.
2.Las medidas de prevención, que podrán incorporar componentes orientados
a la disuasión o a la reducción de la superficie de exposición, deben
eliminar o reducir la posibilidad de que las amenazas lleguen a
materializarse.
3.Las medidas de detección irán dirigidas a descubrir la presencia de un
ciberincidente.
4.Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán
orientadas a la restauración de la información y los servicios que pudieran
haberse visto afectados por un incidente de seguridad.
5.Sin merma de los restantes principios básicos y requisitos mínimos
establecidos, el sistema de información garantizará la conservación de los
datos e información en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo
el ciclo vital de la información digital, a través de una concepción y
procedimientos que sean la base para la preservación del patrimonio
digital.
Artículo 9 Existencia de líneas de defensa
1.El sistema de información ha de disponer de una estrategia de protección
constituida por múltiples capas de seguridad, dispuesta de forma que,
cuando una de las capas sea comprometida, permita:
a) Desarrollar una reacción adecuada frente a los incidentes que no han
podido evitarse, reduciendo la probabilidad de que el sistema sea
comprometido en su conjunto.
b) Minimizar el impacto final sobre el mismo.
2.Las líneas de defensa han de estar constituidas por medidas de naturaleza
organizativa, física y lógica.
Artículo 10 Vigilancia continua y reevaluación periódica
1.La vigilancia continua permitirá la detección de actividades o
comportamientos anómalos y su oportuna respuesta.
2.La evaluación permanente del estado de la seguridad de los activos
permitirá medir su evolución, detectando vulnerabilidades e identificando
deficiencias de configuración.
3.Las medidas de seguridad se reevaluarán y actualizarán periódicamente,
adecuando su eficacia a la evolución de los riesgos y los sistemas de
protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese
necesario.

148
BLOQUE I TEMA 10

Artículo 11 Diferenciación de responsabilidades

1.En los sistemas de información se diferenciará el responsable de la
información, el responsable del servicio, el responsable de la seguridad
y el responsable del sistema.
2.La responsabilidad de la seguridad de los sistemas de información estará
diferenciada de la responsabilidad sobre la explotación de los sistemas
de información concernidos.
3.La política de seguridad de la organización detallará las atribuciones
de cada responsable y los mecanismos de coordinación y resolución de
conflictos.
CAPÍTULO V
Normas de conformidad
Artículo 35 Administración digital
1.La seguridad de los sistemas de información que sustentan la
administración digital se regirá por lo establecido en este real decreto.
2.El CCN es el órgano competente para garantizar la debida
interoperabilidad en materia de ciberseguridad y criptografía, en relación
con la aplicación del Real Decreto 4/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Interoperabilidad en el ámbito de la
administración electrónica.
Artículo 36 Ciclo de vida de servicios y sistemas
Las especificaciones de seguridad se incluirán en el ciclo de vida de los
servicios y sistemas, acompañadas de los correspondientes procedimientos
de control.
Artículo 37 Mecanismos de control
Cada entidad titular de los sistemas de información comprendidos en el
ámbito de aplicación de este real decreto y, en su caso, sus organismos,
órganos, departamentos o unidades, establecerán sus mecanismos de control
para garantizar de forma real y efectiva el cumplimiento del ENS.
Artículo 38 Procedimientos de determinación de la conformidad con el
Esquema Nacional de Seguridad (Pregunta examen)
1.Los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para
la certificación de su conformidad, sin perjuicio de la auditoría de la
seguridad, mientras que los sistemas de categoría BÁSICA solo requerirán
de una autoevaluación para su declaración de la conformidad, sin perjuicio
de que se puedan someter igualmente a una auditoria de certificación.
Tanto el procedimiento de autoevaluación como la auditoría de
certificación se realizarán según lo dispuesto en el artículo 31 y el
anexo III y en los términos que se determinen en la correspondiente
Instrucción Técnica de Seguridad, que concretará asimismo los requisitos
exigibles a las entidades certificadoras.

149
BLOQUE I TEMA 10

Resolución de 13 de abril de 2018, de la Secretaría de Estado

de Función Pública, por la que se aprueba la Instrucción Técnica
de Seguridad de Notificación de Incidentes de Seguridad
Notificación obligatoria de los incidentes con nivel de impacto Alto, Muy
alto y Crítico (Pregunta examen)
En todo caso, en las Administraciones Públicas serán de obligatoria
notificación al CCN en el momento en que se produzcan, los incidentes de
seguridad que por su nivel de impacto potencial sean calificados con el
nivel de CRÍTICO, MUY ALTO o ALTO, mediante el empleo de las herramientas
desarrolladas al efecto de la notificación de incidentes.
Orden HAP/1949/2014, de 13 de octubre, por la que se regula el
Punto de Acceso General de la Administración General del Estado
y se crea su sede electrónica.
Artículo 3. Contenido y funcionalidades. (Pregunta examen)
1.El PAG deberá garantizar, de forma gradual y progresiva a medida que los
recursos y desarrollos técnicos lo permitan, el acceso a los siguientes
servicios:
a) Los portales de los Departamentos ministeriales y Organismos públicos
vinculados o dependientes.
b) Su sede electrónica y las sedes electrónicas de los Departamentos
ministeriales y de los Organismos públicos vinculados o dependientes.
c) Los servicios que la Administración pone a disposición de los
ciudadanos y especialmente, los más usados por los ciudadanos.
d) Portal de transparencia.
e) Otros portales destacados de ámbito estatal como el portal de Datos
abiertos, la Ventanilla Única de la Directiva de Servicios y aquellos
de similar naturaleza.
f) Las áreas restringidas o privadas para los usuarios.
2.Además, el PAG contendrá información administrativa de carácter
horizontal de los Departamentos ministeriales y Organismos públicos,
vinculados o dependientes como las ayudas, becas, subvenciones, empleo
público y legislación, que sean de interés para el ciudadano.

150
BLOQUE I TEMA 10

ANEXO Principios básicos, requisitos mínimos y medidas de

seguridad

Los principios básicos a tener en cuenta para garantizar que una

organización puede cumplir sus objetivos, desarrollar sus funciones y
ejercer sus competencias utilizando sistemas de información:

1. La seguridad como un proceso integral.

2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.

Los requisitos mínimos para permitir una protección adecuada de la

información y los servicios son:

1. Organización e implantación del proceso de seguridad.

2. Análisis y gestión de los riesgos.
3. Gestión de personal.
4. Profesionalidad.
5. Autorización y control de los accesos.
6. Protección de las instalaciones.
7. Adquisición de productos de seguridad y contratación de servicios de
seguridad.
8. Mínimo privilegio.
9. Integridad y actualización del sistema.
10. Protección de la información almacenada y en tránsito.
11. Prevención ante otros sistemas de información interconectados.
12. Registro de la actividad y detección de código dañino.
13. Incidentes de seguridad.
14. Continuidad de la actividad.
15. Mejora continua del proceso de seguridad.

MEDIDAS DE SEGURIDAD

Marco organizativo: Constituido por el conjunto de medidas relacionadas

con la organización global de la seguridad [org].

• Política de seguridad.
• Normativa de seguridad.
• Procedimientos de seguridad.
• Proceso de autorización.

Marco operacional: Formado por las medidas a tomar para proteger la

operación del sistema como conjunto integral de componentes para un fin
[op].
• Planificación:

o Análisis de riesgos.
o Arquitectura de Seguridad.
o Adquisición de nuevos

151
BLOQUE I TEMA 10

o componentes.
o Dimensionamiento/gestión de la capacidad.
o Componentes certificados.

• Control de acceso:

o Identificación.
o Requisitos de acceso.
o Segregación de funciones y tareas.
o Proceso de gestión de derechos de acceso.
o Mecanismo de autenticación (usuarios externos).
o Mecanismo de autenticación (usuarios de la organización).

• Explotación:

o Inventario de activos.
o Configuración de seguridad.
o Gestión de la configuración de seguridad.
o Mantenimiento y actualizaciones de seguridad.
o Gestión de cambios.
o Protección frente a código dañino.
o Gestión de incidentes.
o Registro de la actividad.
o Registro de la gestión de incidentes.
o Protección de claves criptográficas.

• Recursos externos:

o Contratación y acuerdos de nivel de servicio.

o Gestión diaria.
o Protección de la cadena de suministro.
o Interconexión de sistemas.

• Servicios en la nube:

o Protección de servicios en la nube.

• Continuidad del servicio:

o Análisis de impacto.
o Plan de continuidad.
o Pruebas periódicas.
o Medios alternativos.

• Monitorización del sistema:

o Detección de intrusión.
o Sistema de métricas.
o Vigilancia.

152
BLOQUE I TEMA 10

Medidas de protección: Se centran en proteger activos concretos, según su

naturaleza y la calidad exigida por el nivel de seguridad de las
dimensiones afectadas [mp].

• Protección de las instalaciones e infraestructuras:

o Áreas separadas y con control de acceso.

o Identificación de las personas.
o Acondicionamiento de los locales.
o Energía eléctrica.
o Protección frente a incendios.
o Protección frente a inundaciones.
o Registro de entrada y salida de equipamiento.

• Gestión del personal:

o Caracterización del puesto de trabajo.

o Deberes y obligaciones.
o Concienciación.
o Formación.

• Protección de los equipos:

o Puesto de trabajo despejado.

o Bloqueo de puesto de trabajo.
o Protección de dispositivos portátiles.
o Otros dispositivos conectados a la red.

• Protección de las comunicaciones:

o Perímetro seguro.
o Protección de la confidencialidad.
o Protección de la integridad y de la autenticidad.
o Separación de flujos de información en la red.

• Protección de los soportes de información:

o Marcado de soportes.
o Criptografía.
o Custodia.
o Transporte.
o Borrado y destrucción.

• Protección de las aplicaciones informáticas:

o Desarrollo de aplicaciones.
o Aceptación y puesta en servicio.

• Protección de la información:

o Datos personales.
o Calificación de la información.
o Firma electrónica.
o Sellos de tiempo.

153
BLOQUE I TEMA 10

o Limpieza de documentos.
o Copias de seguridad.

• Protección de los servicios

o Protección del correo electrónico.

o Protección de servicios y aplicaciones web.
o Protección de la navegación web.
o Protección frente a denegación de servicio.

154