Tema 77. El Esquema Nacional de Seguridad. Ley de la protección de las infraestructuras críticas.

OPE 2025. TFA INFORMÁTICA

Claro, voy a detallar más los apartados del Tema 77: El Esquema Nacional de Seguridad y la Ley de la Protección de las Infraestructuras Críticas. A continuación, verás una expansión de los conceptos clave y los puntos más relevantes para comprender a fondo este tema.


1. El Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es el marco legal en España que establece las bases para la protección de la seguridad de la información en el ámbito de la Administración Pública. Su objetivo es proporcionar un marco común de seguridad para los sistemas de información gestionados por las administraciones públicas, garantizando la protección de la información sensible y la infraestructura digital frente a diversas amenazas.

Objetivos del ENS:

  1. Proteger la información sensible: Asegurar que la información gestionada por los organismos públicos esté protegida frente a accesos no autorizados, alteraciones o destrucción.
  2. Establecer un marco normativo común para la seguridad de la información, que sea aplicable a todas las administraciones públicas.
  3. Garantizar la confianza de los ciudadanos en los servicios públicos digitales, promoviendo la seguridad y la fiabilidad en las plataformas electrónicas que gestionan información personal.
  4. Mejorar la ciberseguridad de los sistemas de información públicos mediante la adopción de medidas preventivas, correctivas y reactivas.

Ámbito de aplicación:

El ENS no solo cubre los sistemas internos de las administraciones públicas, sino también los sistemas de información relacionados con proveedores externos y cualquier tercera parte que esté involucrada en la gestión de datos del sector público.

  • Gobierno Central: Ministerios y sus dependencias.
  • Gobiernos Autonómicos: Consejerías, instituciones autónomas, y entidades de las comunidades autónomas.
  • Administraciones Locales: Ayuntamientos y organismos dependientes.
  • Organismos Públicos y Entidades del Sector Público.

Estructura del ENS:

El ENS se organiza en tres niveles de seguridad en función de los riesgos y consecuencias asociados a la pérdida de disponibilidad, integridad, confidencialidad o autenticidad de la información en los sistemas:

  • Nivel Básico: Aplica a sistemas cuya pérdida de disponibilidad o integridad tendría consecuencias limitadas para la entidad. Requiere un mínimo de medidas de seguridad.
  • Nivel Medio: Aplica a sistemas cuya pérdida de disponibilidad o integridad afectaría significativamente al funcionamiento de la Administración Pública. Requiere medidas de seguridad más estrictas que el nivel básico.
  • Nivel Alto: Aplica a sistemas críticos cuya pérdida de disponibilidad, integridad o confidencialidad tendría consecuencias graves o críticas para la seguridad nacional, servicios esenciales o la vida de los ciudadanos. Requiere la adopción de las más altas medidas de protección.

Principios fundamentales del ENS:

  1. Protección de la Información: Asegurar la confidencialidad, integridad y disponibilidad de la información gestionada en los sistemas de información públicos.
  2. Gestión de riesgos: Implica una evaluación continua de los riesgos y amenazas a los que están expuestos los sistemas, así como la implementación de medidas adecuadas para mitigarlos.
  3. Responsabilidad y Gestión: Asignación de responsabilidades claras en cuanto a la seguridad de los sistemas, y una gestión eficiente y continua de las políticas de seguridad.
  4. Seguridad tecnológica: Uso de tecnologías avanzadas, como criptografía, cortafuegos y sistemas de detección de intrusiones, para proteger los sistemas de información.
  5. Gestión de Incidentes: Desarrollar y aplicar procedimientos de respuesta ante incidentes de seguridad, para identificar, contener y remediar cualquier posible brecha de seguridad.

Requisitos técnicos:

  • Autenticación y control de acceso: Implementación de sistemas de identificación de usuarios y control de acceso robustos para garantizar que solo los usuarios autorizados accedan a la información.
  • Cifrado de datos: La información confidencial debe cifrarse para evitar su lectura no autorizada, tanto en reposo como en tránsito.
  • Seguridad en las comunicaciones: Asegurar que las comunicaciones entre los sistemas de información sean seguras y resistentes a intercepciones y manipulaciones.
  • Monitorización y auditoría: Implementación de sistemas para monitorizar y auditar el uso y acceso a los sistemas, permitiendo detectar posibles incidentes de seguridad.

2. Ley de la Protección de las Infraestructuras Críticas (LPIC)

La Ley de Protección de las Infraestructuras Críticas (LPIC) tiene como objetivo principal la protección de las infraestructuras esenciales para el funcionamiento de un país, cuya destrucción o interrupción podría tener un impacto grave en la seguridad nacional, la salud pública, el orden público, la economía o el bienestar social.

Objetivos de la LPIC:

  1. Definir y catalogar las infraestructuras críticas: La ley establece qué infraestructuras deben ser consideradas críticas, es decir, que si se ven comprometidas o destruidas, pueden afectar de forma severa a la sociedad.
  2. Proteger contra amenazas: La ley exige la adopción de medidas preventivas y de protección contra ataques terroristas, ciberataques, desastres naturales, y otros incidentes que puedan poner en peligro el funcionamiento de estas infraestructuras.
  3. Colaboración público-privada: Muchas infraestructuras críticas están gestionadas por empresas privadas, por lo que es esencial la cooperación entre la Administración pública y las entidades privadas para garantizar la protección adecuada.
  4. Recuperación ante desastres: La ley establece la necesidad de desarrollar planes de contingencia y recuperación para asegurar que, en caso de un incidente, las infraestructuras puedan restaurarse lo más rápidamente posible y con el menor impacto para la sociedad.

Infraestructuras Críticas:

Las infraestructuras críticas son aquellas cuyo colapso o daño tendría consecuencias graves para la seguridad nacional o el bienestar social. Ejemplos de infraestructuras críticas incluyen:

  • Energía: Suministro de electricidad, gas, y petróleo.
  • Transporte: Aeropuertos, puertos, carreteras, ferrocarriles, etc.
  • Telecomunicaciones: Redes de telecomunicaciones y sistemas de transmisión de datos.
  • Servicios sanitarios: Hospitales, centros de salud, y suministros de medicamentos.
  • Suministro de agua y alimentos: Provisión de agua potable y alimentos.

Medidas de protección y resiliencia:

  • Medidas preventivas: Establecimiento de sistemas de vigilancia y monitoreo continuo para detectar amenazas antes de que se materialicen.
  • Protección física y técnica: Instalación de cercas, sistemas de alarmas, cámaras de vigilancia y el uso de ciberseguridad avanzada para evitar ataques informáticos.
  • Planes de recuperación: Creación de protocolos de acción rápida y planes de contingencia para restaurar las infraestructuras críticas en caso de un ataque o desastre.
  • Evaluación continua de riesgos: Los responsables deben realizar auditorías regulares para identificar las vulnerabilidades y riesgos potenciales de las infraestructuras críticas.

Coordinación pública-privada:

Dado que muchas infraestructuras críticas están gestionadas por empresas privadas, la ley exige una estrecha coordinación entre el sector público y el privado para asegurar una respuesta rápida ante cualquier amenaza. Además, los planes de protección y respuesta deben ser desarrollados de forma conjunta.


Relación entre el ENS y la LPIC

Aunque ambas leyes abordan aspectos de la seguridad, sus focos son algo distintos: el ENS se centra en la protección de los sistemas de información del sector público, mientras que la LPIC se ocupa de la protección de las infraestructuras físicas y servicios esenciales.

Ambas leyes comparten un objetivo común: garantizar la resiliencia y la continuidad de los servicios esenciales ante cualquier amenaza, ya sea cibernética o física. Además, ambas leyes exigen la gestión de riesgos, el establecimiento de planes de contingencia, y la implementación de medidas preventivas para proteger a los ciudadanos y a los servicios esenciales del país.


Este es un desglose más detallado de los puntos clave de ambos marcos legislativos, El Esquema Nacional de Seguridad y La Ley de la Protección de las Infraestructuras Críticas.

¡Por supuesto! Aquí tienes el cuestionario para el Tema 77: El Esquema Nacional de Seguridad y la Ley de la Protección de las Infraestructuras Críticas, siguiendo el formato que hemos establecido previamente, con cuatro opciones, y con la argumentación de por qué la opción correcta es la adecuada y por qué las incorrectas no lo son.


Pregunta 1: ¿Cuál es el principal objetivo del Esquema Nacional de Seguridad (ENS)?

A) Garantizar la confidencialidad de los datos personales solo en las Administraciones locales.
B) Proteger la integridad, disponibilidad y confidencialidad de los sistemas de información en el ámbito de la Administración Pública.
C) Establecer una plataforma unificada de redes sociales para los funcionarios públicos.
D) Asegurar la privacidad de los datos ciudadanos en la red global de internet.

Respuesta correcta: B) Proteger la integridad, disponibilidad y confidencialidad de los sistemas de información en el ámbito de la Administración Pública.
Justificación: El ENS tiene como objetivo principal la protección de la información gestionada por las administraciones públicas, asegurando su confidencialidad, integridad y disponibilidad en función de los niveles de riesgo.
Por qué no son correctas las otras opciones:

  • A: Aunque el ENS aplica a todas las administraciones públicas, su alcance no se limita solo a las Administraciones locales ni a la protección de datos personales exclusivamente.
  • C: No tiene como objetivo crear plataformas de redes sociales; se centra en la seguridad de los sistemas de información públicos.
  • D: La seguridad en internet no es el objetivo central del ENS, que se enfoca en las administraciones públicas.

Pregunta 2: ¿Cuál de los siguientes niveles de seguridad del Esquema Nacional de Seguridad se aplica a sistemas críticos cuya pérdida de disponibilidad podría afectar gravemente a la seguridad nacional?

A) Nivel Bajo
B) Nivel Medio
C) Nivel Alto
D) Nivel Crítico

Respuesta correcta: C) Nivel Alto
Justificación: El Nivel Alto del ENS se aplica a sistemas cuya pérdida de disponibilidad, integridad o confidencialidad podría tener consecuencias graves para la seguridad nacional, la economía o el bienestar de los ciudadanos.
Por qué no son correctas las otras opciones:

  • A: El Nivel Bajo se aplica a sistemas cuya pérdida tendría consecuencias limitadas.
  • B: El Nivel Medio se refiere a sistemas cuyo compromiso podría afectar significativamente la operatividad, pero no a nivel crítico.
  • D: No existe un «Nivel Crítico» en el ENS.

Pregunta 3: ¿Qué aspecto de la seguridad abarca el Esquema Nacional de Seguridad (ENS) en relación con los sistemas de información en la Administración Pública?

A) Solo la protección física de los servidores.
B) La confidencialidad, integridad y disponibilidad de los datos y sistemas.
C) La creación de una infraestructura de redes sociales para los empleados públicos.
D) La creación de un sistema de mensajería instantánea entre los departamentos de las administraciones.

Respuesta correcta: B) La confidencialidad, integridad y disponibilidad de los datos y sistemas.
Justificación: El ENS establece principios clave relacionados con la protección de los sistemas de información, centrándose en asegurar que la información gestionada en el ámbito público se mantenga confidencial, íntegra y disponible en todo momento.
Por qué no son correctas las otras opciones:

  • A: Aunque la protección física es importante, el ENS se enfoca en la seguridad de los sistemas de información en su totalidad.
  • C y D: El ENS no se centra en la creación de plataformas de redes sociales o mensajería, sino en la seguridad de la información.

Pregunta 4: ¿Qué tipo de amenazas aborda la Ley de Protección de las Infraestructuras Críticas (LPIC)?

A) Solo ataques cibernéticos de origen nacional.
B) Amenazas físicas y cibernéticas que afectan a infraestructuras esenciales.
C) Exclusivamente ataques terroristas.
D) Solo desastres naturales como terremotos y tormentas.

Respuesta correcta: B) Amenazas físicas y cibernéticas que afectan a infraestructuras esenciales.
Justificación: La LPIC se ocupa de proteger las infraestructuras críticas frente a una amplia gama de amenazas, tanto físicas (como desastres naturales o ataques) como cibernéticas (como ciberataques).
Por qué no son correctas las otras opciones:

  • A: La LPIC no se limita solo a ataques cibernéticos nacionales, sino que abarca amenazas de diversa índole.
  • C: Aunque los ataques terroristas son una amenaza importante, la LPIC no se limita a este tipo de amenaza.
  • D: La LPIC también cubre las amenazas cibernéticas y no solo los desastres naturales.

Pregunta 5: ¿Cuál de los siguientes elementos está cubierto por la Ley de Protección de las Infraestructuras Críticas?

A) La seguridad de los datos personales en redes sociales.
B) La protección de los sistemas de información de las Administraciones públicas.
C) La protección de infraestructuras esenciales como energía, transporte y telecomunicaciones.
D) La protección de las infraestructuras tecnológicas de las universidades.

Respuesta correcta: C) La protección de infraestructuras esenciales como energía, transporte y telecomunicaciones.
Justificación: La LPIC establece la protección de infraestructuras críticas, como las relacionadas con el suministro de energía, el transporte, y las telecomunicaciones, entre otras.
Por qué no son correctas las otras opciones:

  • A: La protección de datos personales en redes sociales no es el objetivo de la LPIC.
  • B: La protección de los sistemas de información de las Administraciones públicas está cubierta por el ENS, no por la LPIC.
  • D: Las infraestructuras tecnológicas de las universidades no son consideradas infraestructuras críticas en el marco de la LPIC, que se centra en infraestructuras esenciales.

Pregunta 6: ¿Qué tipo de medidas establece el Esquema Nacional de Seguridad para garantizar la seguridad de los sistemas de información en el sector público?

A) Solo medidas físicas de protección, como la construcción de muros.
B) Medidas técnicas, organizativas y de gestión, como cifrado y control de accesos.
C) Solo medidas organizativas, como la asignación de roles.
D) Solo medidas de protección cibernética, como antivirus y firewall.

Respuesta correcta: B) Medidas técnicas, organizativas y de gestión, como cifrado y control de accesos.
Justificación: El ENS establece un enfoque integral que incluye medidas técnicas (como cifrado), organizativas (como la asignación de roles y responsabilidades) y de gestión (como la evaluación de riesgos) para garantizar la seguridad de los sistemas.
Por qué no son correctas las otras opciones:

  • A: Aunque las medidas físicas son importantes, el ENS abarca medidas más amplias que incluyen lo técnico y organizativo.
  • C: Las medidas organizativas son solo una parte del ENS.
  • D: El ENS también abarca medidas organizativas y de gestión, no solo medidas cibernéticas.

Pregunta 7: ¿Qué tipo de infraestructuras están cubiertas por la Ley de Protección de las Infraestructuras Críticas?

A) Solo las infraestructuras de servicios sanitarios.
B) Solo las infraestructuras de transporte.
C) Infraestructuras que, si se ven comprometidas, afecten gravemente a la seguridad nacional, economía o bienestar social.
D) Infraestructuras tecnológicas de redes sociales.

Respuesta correcta: C) Infraestructuras que, si se ven comprometidas, afecten gravemente a la seguridad nacional, economía o bienestar social.
Justificación: La LPIC establece que las infraestructuras críticas son aquellas cuya interrupción o destrucción puede tener un impacto grave en la seguridad nacional o el bienestar social.
Por qué no son correctas las otras opciones:

  • A: Las infraestructuras sanitarias son solo una de las categorías de infraestructuras críticas, no las únicas.
  • B: Aunque las infraestructuras de transporte son críticas, no son las únicas cubiertas por la LPIC.
  • D: Las infraestructuras de redes sociales no están contempladas en la LPIC.

¡Con gusto! Aquí tienes más preguntas para el Tema 77: El Esquema Nacional de Seguridad y la Ley de Protección de las Infraestructuras Críticas.


Pregunta 8: ¿Qué elemento del Esquema Nacional de Seguridad (ENS) tiene como objetivo asegurar que solo los usuarios autorizados puedan acceder a los sistemas de información?

A) La integración de bases de datos.
B) La autenticación y control de acceso.
C) El cifrado de las comunicaciones.
D) La creación de protocolos de comunicación.

Respuesta correcta: B) La autenticación y control de acceso.
Justificación: La autenticación y control de acceso son medidas esenciales para garantizar que solo los usuarios autorizados puedan acceder a los sistemas de información, protegiendo así la confidencialidad e integridad de los datos.
Por qué no son correctas las otras opciones:

  • A: La integración de bases de datos no se relaciona directamente con la seguridad de los accesos.
  • C: El cifrado de las comunicaciones protege la información en tránsito, pero no gestiona el acceso a los sistemas.
  • D: Los protocolos de comunicación son importantes, pero no son específicos del control de acceso.

Pregunta 9: ¿Cuál es el objetivo de las medidas de protección física establecidas por el Esquema Nacional de Seguridad?

A) Garantizar la confidencialidad de los datos en los sistemas.
B) Proteger los servidores y equipos de acceso no autorizado o daños.
C) Asegurar la disponibilidad de la red de comunicaciones.
D) Impedir el uso de equipos informáticos obsoletos.

Respuesta correcta: B) Proteger los servidores y equipos de acceso no autorizado o daños.
Justificación: Las medidas de protección física se centran en proteger los equipos informáticos y servidores de posibles daños, robos o accesos no autorizados en el mundo físico.
Por qué no son correctas las otras opciones:

  • A: La confidencialidad de los datos se garantiza mediante medidas técnicas como el cifrado, no mediante protección física.
  • C: La disponibilidad de la red se garantiza mediante medidas técnicas y de gestión, no solo físicas.
  • D: Impedir el uso de equipos obsoletos es una práctica recomendada, pero no es el objetivo principal de las medidas físicas.

Pregunta 10: ¿Qué tipo de medidas contempla la Ley de Protección de las Infraestructuras Críticas para minimizar los riesgos de ataques a infraestructuras esenciales?

A) Solo medidas cibernéticas como antivirus y cortafuegos.
B) Medidas preventivas y de recuperación ante desastres, tanto físicas como cibernéticas.
C) Solo medidas físicas de seguridad, como vallas y guardias de seguridad.
D) Solo medidas de concienciación y formación de los empleados.

Respuesta correcta: B) Medidas preventivas y de recuperación ante desastres, tanto físicas como cibernéticas.
Justificación: La LPIC establece que deben adoptarse tanto medidas preventivas (para minimizar riesgos) como planes de recuperación (para restaurar infraestructuras tras un desastre), abarcando tanto amenazas físicas como cibernéticas.
Por qué no son correctas las otras opciones:

  • A: Aunque las medidas cibernéticas son relevantes, la LPIC también aborda amenazas físicas y exige planes de recuperación ante desastres.
  • C: Las medidas físicas son solo una parte; la ley también cubre la protección cibernética y la gestión de riesgos.
  • D: La concienciación es importante, pero no es la única medida contemplada en la ley.

Pregunta 11: ¿Qué tipo de infraestructuras se consideran «críticas» según la Ley de Protección de las Infraestructuras Críticas?

A) Solo las infraestructuras tecnológicas de telecomunicaciones.
B) Infraestructuras cuya destrucción o alteración tendría un impacto grave en la seguridad nacional, la economía o el bienestar social.
C) Solo las infraestructuras de suministro de energía.
D) Solo las infraestructuras de servicios de emergencia.

Respuesta correcta: B) Infraestructuras cuya destrucción o alteración tendría un impacto grave en la seguridad nacional, la economía o el bienestar social.
Justificación: Las infraestructuras críticas son aquellas cuyo colapso o daño podría tener consecuencias graves para la seguridad, la economía o el bienestar social, independientemente del tipo de infraestructura.
Por qué no son correctas las otras opciones:

  • A: La ley no se limita solo a las infraestructuras tecnológicas, sino que abarca todas las infraestructuras esenciales.
  • C: Las infraestructuras de energía son solo una parte, no la única, que se considera crítica.
  • D: Aunque los servicios de emergencia son esenciales, la LPIC cubre más infraestructuras, como transporte, energía y telecomunicaciones.

Pregunta 12: ¿Qué elemento dentro del Esquema Nacional de Seguridad (ENS) permite que las administraciones públicas realicen una evaluación continua de sus sistemas de información?

A) La protección física de los equipos informáticos.
B) La gestión de riesgos y auditorías de seguridad.
C) La creación de un sistema de redes sociales internas.
D) El uso exclusivo de software de código abierto.

Respuesta correcta: B) La gestión de riesgos y auditorías de seguridad.
Justificación: El ENS incluye procesos de gestión de riesgos que permiten realizar evaluaciones continuas de los sistemas de información. Las auditorías de seguridad también ayudan a detectar vulnerabilidades y a realizar ajustes necesarios en las medidas de protección.
Por qué no son correctas las otras opciones:

  • A: La protección física es un aspecto importante, pero no permite una evaluación continua de la seguridad en general.
  • C: Las redes sociales internas no están relacionadas con la evaluación de la seguridad de los sistemas de información.
  • D: El uso de software de código abierto no está directamente relacionado con la evaluación continua de la seguridad.

Pregunta 13: ¿Cuál es el principal objetivo de la recuperación ante desastres en el contexto de la Ley de Protección de las Infraestructuras Críticas?

A) Desarrollar tecnologías avanzadas de comunicaciones.
B) Restaurar rápidamente las infraestructuras críticas después de un ataque o desastre.
C) Asegurar que las infraestructuras tecnológicas se mantengan obsoletas para prevenir ataques.
D) Garantizar la disponibilidad de internet para todos los ciudadanos.

Respuesta correcta: B) Restaurar rápidamente las infraestructuras críticas después de un ataque o desastre.
Justificación: La recuperación ante desastres tiene como objetivo restaurar la operatividad de las infraestructuras críticas lo más rápido posible después de que hayan sido afectadas por cualquier tipo de desastre o incidente.
Por qué no son correctas las otras opciones:

  • A: La recuperación ante desastres no se enfoca en el desarrollo de nuevas tecnologías de comunicación.
  • C: La obsolescencia de las infraestructuras no es una medida preventiva eficaz para la seguridad.
  • D: Aunque la disponibilidad de internet es importante, la ley se enfoca en la protección de infraestructuras críticas.

Pregunta 14: Según la Ley de Protección de las Infraestructuras Críticas, ¿quién debe colaborar en la protección de las infraestructuras críticas?

A) Solo las administraciones públicas.
B) Solo las empresas privadas propietarias de infraestructuras críticas.
C) Las administraciones públicas y las empresas privadas involucradas en la gestión de infraestructuras críticas.
D) Solo los usuarios finales de los servicios.

Respuesta correcta: C) Las administraciones públicas y las empresas privadas involucradas en la gestión de infraestructuras críticas.
Justificación: La ley exige la colaboración entre el sector público y el sector privado, ya que muchas infraestructuras críticas están gestionadas por empresas privadas. Ambas partes deben trabajar juntas para garantizar la protección de estas infraestructuras esenciales.
Por qué no son correctas las otras opciones:

  • A: Aunque las administraciones públicas tienen un papel fundamental, las empresas privadas también deben colaborar en la protección de infraestructuras críticas.
  • B: Las empresas privadas por sí solas no pueden abordar todas las amenazas sin la colaboración pública.
  • D: Los usuarios finales no tienen la responsabilidad directa en la protección de infraestructuras críticas.

 

Pregunta 15: ¿Qué autoridad es responsable de la coordinación y supervisión de la protección de las infraestructuras críticas en España?

A) El Ministerio de Defensa.
B) El Centro Criptológico Nacional (CCN).
C) El Ministerio del Interior.
D) La Secretaría General de la Administración Digital.

Respuesta correcta: B) El Centro Criptológico Nacional (CCN).
Justificación: El CCN es la entidad encargada de coordinar y supervisar la protección de las infraestructuras críticas en España, incluyendo la seguridad cibernética.
Por qué no son correctas las otras opciones:

  • A: El Ministerio de Defensa tiene un papel importante en la seguridad nacional, pero no es el responsable directo de la protección de infraestructuras críticas.
  • C: Aunque el Ministerio del Interior tiene competencias en seguridad pública, no gestiona directamente las infraestructuras críticas.
  • D: La Secretaría General de la Administración Digital se ocupa de la administración pública digital, pero no de la seguridad de infraestructuras críticas.

Pregunta 16: ¿Cuál de las siguientes es una medida de seguridad técnica según el Esquema Nacional de Seguridad (ENS)?

A) Políticas de formación y concienciación para el personal.
B) Control de accesos basado en roles y autenticación multifactor.
C) Auditorías periódicas de los sistemas.
D) Definición de la estructura organizativa del sistema.

Respuesta correcta: B) Control de accesos basado en roles y autenticación multifactor.
Justificación: El control de accesos y la autenticación multifactor son medidas técnicas que ayudan a garantizar que solo los usuarios autorizados tengan acceso a los sistemas de información.
Por qué no son correctas las otras opciones:

  • A: Las políticas de formación son una medida organizativa, no técnica.
  • C: Las auditorías son una medida de gestión, no técnica.
  • D: La definición de la estructura organizativa no es una medida técnica, sino organizativa.

Pregunta 17: ¿Qué nivel de seguridad del Esquema Nacional de Seguridad (ENS) corresponde a los sistemas que tienen un impacto moderado en la seguridad pública?

A) Nivel Bajo.
B) Nivel Medio.
C) Nivel Alto.
D) Nivel Crítico.

Respuesta correcta: B) Nivel Medio.
Justificación: El Nivel Medio del ENS se aplica a sistemas cuya pérdida o compromisos afectarían significativamente a la seguridad pública, pero sin causar un impacto grave en la seguridad nacional.
Por qué no son correctas las otras opciones:

  • A: El Nivel Bajo se aplica a sistemas cuyo impacto es limitado.
  • C: El Nivel Alto se aplica a sistemas cuya afectación podría causar un daño grave.
  • D: No existe un «Nivel Crítico» en el ENS.

Pregunta 18: ¿Cuál de las siguientes características es propia de una infraestructura crítica según la Ley de Protección de Infraestructuras Críticas?

A) Es fundamental para el desarrollo económico pero no afecta a la seguridad nacional.
B) Su alteración o destrucción podría afectar gravemente al funcionamiento del país, su economía o la seguridad pública.
C) Solo se refiere a infraestructuras relacionadas con la tecnología de la información.
D) Está gestionada exclusivamente por entidades privadas.

Respuesta correcta: B) Su alteración o destrucción podría afectar gravemente al funcionamiento del país, su economía o la seguridad pública.
Justificación: Las infraestructuras críticas son aquellas cuya alteración o destrucción tendría un impacto grave en la seguridad nacional, la economía o el bienestar social.
Por qué no son correctas las otras opciones:

  • A: Aunque son importantes para la economía, las infraestructuras críticas tienen un impacto más allá del desarrollo económico.
  • C: No se limitan solo a infraestructuras tecnológicas, sino que incluyen energía, transporte, telecomunicaciones, entre otras.
  • D: Las infraestructuras críticas son gestionadas tanto por entidades públicas como privadas.

Pregunta 19: ¿Cuál es una de las principales funciones del Esquema Nacional de Seguridad (ENS) en cuanto a la clasificación de los sistemas de información?

A) Garantizar que todos los sistemas de información utilicen el mismo software.
B) Clasificar los sistemas de información según su importancia, estableciendo medidas de seguridad en función de su nivel de riesgo.
C) Establecer un sistema de mensajería instantánea para los funcionarios públicos.
D) Crear una red de comunicaciones global entre todas las administraciones públicas.

Respuesta correcta: B) Clasificar los sistemas de información según su importancia, estableciendo medidas de seguridad en función de su nivel de riesgo.
Justificación: El ENS clasifica los sistemas de información y establece medidas de seguridad según su nivel de riesgo, lo que asegura que los sistemas más sensibles cuenten con mayores protecciones.
Por qué no son correctas las otras opciones:

  • A: El ENS no dicta el uso de software específico, sino que establece criterios de seguridad.
  • C: No es el objetivo del ENS crear plataformas de mensajería.
  • D: El ENS se enfoca en la seguridad de los sistemas de información, no en la creación de redes de comunicación globales.

Pregunta 20: ¿Cuál es el objetivo de la estrategia nacional de ciberseguridad que apoya la protección de infraestructuras críticas?

A) Establecer un sistema de penalización por mal uso de las tecnologías de la información.
B) Asegurar la protección contra ciberataques y garantizar la continuidad de los servicios esenciales.
C) Promover la utilización exclusiva de software propietario.
D) Regular el uso de redes sociales en las administraciones públicas.

Respuesta correcta: B) Asegurar la protección contra ciberataques y garantizar la continuidad de los servicios esenciales.
Justificación: La estrategia nacional de ciberseguridad tiene como objetivo principal proteger las infraestructuras críticas contra los ciberataques y garantizar que los servicios esenciales puedan seguir funcionando sin interrupciones.
Por qué no son correctas las otras opciones:

  • A: La penalización no es el objetivo principal, sino la protección y continuidad de los servicios.
  • C: La estrategia no se enfoca en imponer software propietario, sino en proteger los sistemas.
  • D: La estrategia no regula el uso de redes sociales, sino que se enfoca en la seguridad cibernética.

¡Con estas 20 preguntas cubrimos una amplia gama de aspectos clave del Esquema Nacional de Seguridad y de la Ley de Protección de Infraestructuras Críticas!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *