NDC

¿Qué debe incluir un correcto cumplimiento normativo?. Identificación de normativas aplicables, implementación de controles y monitorización continua. Ignorar cambios legislativos. Solo documentación formal sin aplicación práctica. Delegar toda responsabilidad en terceros.

¿Por qué es importante definir claramente las funciones del Compliance Officer?. Para garantizar responsabilidades claras, evitar conflictos de interés y asegurar efectividad del programa. Para crear más puestos de trabajo. Para aumentar la burocracia. Para complicar la estructura organizativa.

¿Qué característica debe tener un sistema de Compliance efectivo?. Ser dinámico, adaptable, con monitorización continua y mejora permanente. Funcionar sin documentación. Ser estático y nunca modificarse. Aplicarse solo en algunos departamentos.

¿Cuál es un pilar fundamental del buen gobierno corporativo?. Opacidad en la gestión. Priorización exclusiva de beneficios. Transparencia, rendición de cuentas y gestión ética. Concentración de poder sin controles.

¿Qué significa actuar con "ética empresarial"?. Priorizar beneficios sobre cualquier consideración. Ignorar normativas para ser más competitivo. Actuar solo según intereses propios. Conducirse según principios morales, valores y responsabilidad social en las decisiones empresariales.

¿Qué debe evaluarse en las terceras partes desde la perspectiva del Compliance?. Su cumplimiento normativo, antecedentes, prácticas éticas y riesgos asociados. Solo el precio de sus servicios. Solo su ubicación geográfica. Únicamente su tamaño empresarial.

¿Cuál es un beneficio clave de implementar un programa de Compliance?. Reducción del riesgo legal, mejora de la reputación y prevención de sanciones. Eliminación total de riesgos empresariales. Eliminación de la competencia. Garantía de máximos beneficios.

¿Qué debe hacer una organización ante cambios en la normativa aplicable?. Esperar a que la competencia actúe primero. Ignorarlos hasta recibir sanciones. Actualizar sus procedimientos de Compliance para adaptarse a las nuevas exigencias. Considerar cambiar de sector.

¿Qué riesgo implica una inadecuada gestión de terceras partes?. Solo mejoras en la cadena de suministro. Que incumplimientos de terceros deriven en responsabilidad legal, sanciones o daño reputacional para la organización. Aumento automático de beneficios. Ningún riesgo relevante.

¿Qué engloba el concepto de "desempeño normativo"?. Solo regulaciones medioambientales. El conjunto de actividades para asegurar que la organización cumple con todas las normativas aplicables. Solo el cumplimiento de normas fiscales. Únicamente las normas laborales.

¿Por qué es importante la relación con terceras partes en el Compliance?. Porque los incumplimientos de terceros pueden generar responsabilidad legal para la organización. Para aumentar los beneficios económicos. Para mejorar la publicidad. Para reducir el personal interno.

¿Cuál de estas NO es una responsabilidad típica del Compliance Officer?. Elaborar políticas de cumplimiento. Formar a los empleados en normativa aplicable. Realizar auditorías internas. Diseñar campañas de publicidad.

¿Qué es el Compliance en el ámbito empresarial?. Una certificación de calidad. Un departamento de recursos humanos. Un software de gestión contable. El conjunto de procedimientos y acciones para garantizar que la organización cumple con la normativa aplicable.

¿Qué principio del buen gobierno implica actuar con transparencia y honestidad?. Principio de rentabilidad. Principio de crecimiento. Principio de competitividad. Principio de ética empresarial.

¿A quién reporta habitualmente el Compliance Officer?. Al responsable de logística. Al departamento de IT. A la alta dirección o al consejo de administración. Al departamento de ventas.

¿Qué riesgo supone no implementar un sistema de Compliance adecuado?. Mayor fidelización de clientes. Aumento de la productividad. Sanciones legales, multas, responsabilidad penal y daño reputacional. Mejora de la reputación.

¿Cuál es la función principal del Compliance Officer?. Gestionar las ventas de la empresa. Supervisar y garantizar el cumplimiento normativo en la organización. Dirigir el departamento de marketing. Contratar personal.

¿Qué implica el principio de buen gobierno corporativo?. Maximizar beneficios sin restricciones. Gestionar la organización de forma ética, transparente y responsable, cumpliendo con las obligaciones legales. Reducir impuestos al mínimo. Eliminar controles internos.

¿Cuál es el principal objetivo del desempeño normativo en una organización?. Reducir costes operativos. Mejorar la imagen de marca. Prevenir incumplimientos legales y garantizar que la empresa actúa conforme a la ley. Aumentar las ventas.

¿Qué son las terceras partes en el contexto del Compliance?. Solo los empleados temporales. Solo los clientes finales. Únicamente los competidores. Proveedores, socios, colaboradores externos y otras entidades con las que la organización se relaciona.

¿Qué elementos debe incluir un Sistema de Gestión de Compliance?. Políticas, procedimientos, asignación de responsabilidades, formación, monitorización y mejora continua. Únicamente software especializado. Solo documentos formales. Solo auditorías externas.

¿Qué se entiende por "entorno regulador de aplicación"?. Las instalaciones de la empresa. El departamento de recursos humanos. El conjunto de leyes, reglamentos y normativas aplicables a la actividad de la organización. El espacio físico donde trabaja el equipo legal.

¿Para qué sirve identificar el entorno regulador?. Para contratar más abogados. Para aumentar la burocracia. Para conocer qué normativas son obligatorias y diseñar controles específicos de cumplimiento. Para reducir impuestos.

¿Qué normativa aborda el RA3 específicamente?. Solo normativa laboral. Responsabilidad penal de las organizaciones y personas jurídicas. Normativa fiscal exclusivamente. Únicamente protección de datos.

¿Qué es un mapa de riesgos en el contexto del Compliance?. Un plano de las instalaciones de la empresa. Un organigrama del personal. Una herramienta visual que identifica, clasifica y prioriza los riesgos de incumplimiento normativo. Un calendario de auditorías.

¿Qué es un Sistema de Gestión de Compliance?. Un conjunto estructurado de políticas, procedimientos y controles para garantizar el cumplimiento normativo. Una certificación ISO opcional. Un departamento de atención al cliente. Un programa informático de contabilidad.

¿Qué debe hacer una organización para evitar responsabilidad penal?. Esperar a ser investigada. Ignorar los riesgos. Contratar más abogados externos. Implementar un modelo de prevención de delitos efectivo (programa de Compliance penal).

¿Por qué es importante documentar el sistema de cumplimiento normativo?. Para evidenciar el compromiso de la organización, facilitar auditorías y demostrar diligencia debida ante autoridades. Solo por requisitos burocráticos. Para aumentar el archivo físico. No es realmente importante.

¿Qué fases incluye la gestión de riesgos de Compliance?. Identificación, análisis, evaluación, tratamiento y monitorización de riesgos. Solo auditorías anuales. Únicamente documentación. Solo identificación de riesgos.

¿Qué implica la responsabilidad penal de las personas jurídicas?. Ninguna consecuencia real. Solo afecta a personas físicas. Solo sanciones administrativas leves. Que las organizaciones pueden ser condenadas penalmente por delitos cometidos en su seno, con penas económicas o inhabilitación.

¿Qué papel juega la formación en un sistema de Compliance?. Únicamente en grandes empresas. Es opcional y poco relevante. Solo para directivos. Es fundamental para que empleados conozcan normativas, riesgos y procedimientos, previniendo incumplimientos.

¿Qué delitos pueden generar responsabilidad penal para las organizaciones?. Ninguno, solo personas físicas son responsables. Solo delitos fiscales. Corrupción, blanqueo de capitales, delitos contra la Hacienda Pública, medio ambiente, entre otros. Únicamente infracciones administrativas.

¿Qué procedimientos se deben establecer según el RA3?. Únicamente procedimientos de RRHH. Solo protocolos de marketing. Procedimientos para detectar, prevenir y responder a incumplimientos normativos y delitos. Solo procedimientos comerciales.

¿Con qué frecuencia debe actualizarse el entorno regulador identificado?. Solo cada 10 años. Únicamente cuando hay sanciones. Nunca, permanece constante. Periódicamente, monitorizando cambios legislativos y nuevas normativas aplicables.

¿Cuál es el beneficio principal de un mapa de riesgos bien elaborado?. Reducir personal. Decorar las oficinas. Priorizar recursos y esfuerzos en las áreas de mayor riesgo de incumplimiento. Cumplir un trámite formal.

¿Qué tipos de normativa puede incluir el entorno regulador?. Solo leyes nacionales. Leyes, reglamentos, directivas europeas, normativas sectoriales, estándares internacionales y códigos de conducta. Únicamente recomendaciones no vinculantes. Solo normativa interna de la empresa.

¿Qué debe considerar el análisis de riesgos de Compliance?. Solo riesgos económicos. Probabilidad de incumplimiento, impacto potencial, normativas aplicables y vulnerabilidades organizativas. Solo opiniones personales. Únicamente riesgos tecnológicos.

¿Qué debe incluir un programa de Compliance penal efectivo?. Solo auditorías anuales. Solo un documento formal sin aplicación. Identificación de riesgos penales, protocolos de prevención, canal de denuncias, formación y sistema disciplinario. Únicamente contratar un abogado.

¿Cuál es el objetivo principal de diseñar un sistema de cumplimiento normativo?. Estructurar la organización para prevenir, detectar y responder a incumplimientos normativos. Aumentar los costes operativos. Complicar los procesos internos. Crear más departamentos.

¿Qué información debe contener la documentación del sistema de Compliance?. Únicamente organigramas. Políticas, procedimientos, matriz de riesgos, responsabilidades, plan de formación y registros de control. Solo información financiera. Solo contratos laborales.

Realizar un análisis forense en la nube híbrida es más desafiante que en la nube pública o privada debido a la necesidad de integrar y asegurar los datos que fluyen entre ambos entornos. Verdadero. Falso.

El uso de nubes híbridas combina las características de las nubes privadas y públicas, permitiendo a las empresas aprovechar las ventajas de ambos entornos, aunque puede ser más complejo de gestionar. Verdadero. falso.

Una nube privada es completamente accesible a cualquier persona y empresa sin restricciones, ya que está diseñada para ser pública. Verdadero. Falso.

Las nubes públicas son más adecuadas para grandes empresas debido a su flexibilidad y escalabilidad, aunque pueden presentar más riesgos de seguridad en comparación con las nubes privadas. Verdadero. Falso.

En un entorno de nube pública, la responsabilidad de la seguridad de los datos recae completamente sobre el proveedor de servicios en la nube, sin intervención del usuario. Verdadero. Falso.

El análisis forense en la nube es idéntico al análisis forense en sistemas tradicionales, ya que los principios básicos son los mismos en ambos casos. Falso. Verdadero.

El principal desafío del análisis forense en la nube es la falta de control sobre la infraestructura física, lo que puede dificultar la adquisición de evidencia. verdadero. Falso.

Las herramientas forenses utilizadas en el análisis de la nube deben ser específicas para el tipo de plataforma en la nube (pública, privada o híbrida) en la que se realiza la investigación. Verdadero. Falso.

En el análisis forense en la nube, la cadena de custodia no es necesaria, ya que los proveedores de servicios en la nube gestionan de forma automática la seguridad y trazabilidad de los datos. Verdadero. Falso.

El análisis forense en la nube debe incluir la evaluación de logs de acceso y actividades en la nube para identificar incidentes de seguridad y posibles manipulaciones de datos. Verdadero. Falso.

¿Cuál es el objetivo principal de una EIPD?. Sustituir el Registro de Actividades. Aumentar la rentabilidad del tratamiento de datos. Evaluar los riesgos para los derechos y libertades de las personas y establecer medidas para mitigarlos. Evitar auditorías internas.

El consentimiento, para ser válido según el RGPD, debe ser: Obligatorio en todos los tratamientos. Libre, específico, informado e inequívoco. Permanente y sin posibilidad de retirada. Implícito y general.

El Registro de Actividades de Tratamiento es obligatorio: Solo cuando lo exija la AEPD expresamente. Para responsables y encargados del tratamiento en los supuestos establecidos por el RGPD. Únicamente en tratamientos automatizados. Solo para empresas públicas.

¿En qué caso debe comunicarse una brecha de seguridad también a los afectados?. Únicamente cuando haya pérdida económica. Siempre que exista cualquier incidente técnico. Solo si lo solicita la autoridad competente. Cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas.

¿Cuál de las siguientes NO es una base jurídica válida del tratamiento según el RGPD?. Obligación legal. Ejecución de un contrato. Consentimiento del interesado. Interés comercial ilimitado de la empresa.

¿En qué supuesto puede eximirse a una organización de comunicar una brecha a los afectados?. Nunca puede eximirse. Cuando la brecha haya sido cifrada y no exista riesgo para los derechos de las personas. Cuando la notificación suponga mala imagen corporativa. Cuando la empresa lo considere oportuno.

¿Cuándo es obligatoria una Evaluación de Impacto en Protección de Datos (EIPD)?. Cuando el tratamiento implique un alto riesgo para los derechos y libertades de las personas. Siempre que se traten datos personales. Únicamente en empresas con más de 250 empleados. Solo cuando lo solicite la AEPD.

El principio de minimización de datos implica que: No es necesario justificar la recogida de datos. Los datos pueden conservarse indefinidamente. Deben recopilarse todos los datos posibles para prevenir riesgos. Solo deben tratarse los datos adecuados, pertinentes y limitados a lo necesario.

¿Qué documento recoge las finalidades del tratamiento, categorías de datos y medidas de seguridad aplicadas?. Registro de Actividades de Tratamiento. Política de contraseñas. Informe de auditoría externa. Código ético.

¿Cuál es el plazo general para notificar una brecha de seguridad a la autoridad competente según el RGPD?. 24 horas. 7 dias. 48 horas. 72 horas.

¿Cuál de los siguientes pasos es fundamental en el análisis forense de evidencias digitales para asegurar la integridad de los resultados?. Eliminar los archivos irrelevantes durante el análisis para simplificar los resultados. Modificar los archivos de la evidencia para facilitar su análisis. Realizar el análisis sin registrar los pasos, ya que es un proceso rápido. Documentar detalladamente cada paso y herramienta utilizada durante el análisis.

Cuando se analizan evidencias digitales, ¿qué tipo de información es fundamental extraer para asegurar la validez del análisis?. Solo los archivos de configuración del sistema operativo. Datos relacionados con la modificación de archivos y las actividades del sistema. Información relacionada únicamente con los archivos de texto. Ningún tipo de información es relevante, ya que solo se debe analizar la información visible.

En el análisis forense, ¿cuál es el propósito principal de la documentación específica del proceso de análisis?. Facilitar la modificación de los archivos para mejorar los resultados. Garantizar la trazabilidad y validez del análisis en un contexto legal. Reducir el tiempo necesario para realizar el análisis. Evitar que los resultados sean presentados ante un tribunal.

En un análisis forense, ¿cuál de las siguientes afirmaciones es correcta sobre la cadena de custodia de la evidencia?. La cadena de custodia debe ser documentada durante todo el proceso, desde la adquisición hasta el análisis final. La cadena de custodia solo es importante si los resultados se utilizan en un tribunal. Solo se debe mantener la cadena de custodia durante la adquisición de la evidencia, no es necesaria durante el análisis. No es necesario documentar la cadena de custodia si el análisis se realiza rápidamente.

Al elaborar un informe forense, ¿qué debe incluir como mínimo el informe final de análisis?. Solo los resultados sin detalles sobre los procedimientos utilizados. Un resumen de los pasos seguidos, las herramientas utilizadas y los hallazgos obtenidos durante el análisis. Los detalles de la herramienta utilizada, sin explicar los procedimientos. Solo los hallazgos de interés para la parte que contrató el análisis.

En el informe de análisis forense, ¿qué se debe hacer en caso de que se encuentren datos que puedan tener diferentes interpretaciones?. Presentar los hallazgos de manera neutral, explicando las posibles interpretaciones y basándose en pruebas claras. Eliminar los datos ambiguos para que el informe sea más claro. Ignorar los datos ambiguos y enfocarse solo en los claros. Asumir una interpretación sin evidencia concreta.

Un Sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo principal: Sustituir los sistemas informáticos antiguos. Desarrollar software seguro. Auditar redes externas. Gestionar de forma estructurada la seguridad de la información.

Dentro de un SGSI basado en ISO 27001, la evaluación de riesgos permite: Eliminar completamente los ataques informáticos. Sustituir las auditorías de seguridad. Automatizar el desarrollo de software. Identificar amenazas y vulnerabilidades en los sistemas.

¿Cuál es el objetivo principal de la normativa de ciberseguridad a nivel nacional e internacional?. Establecer marcos comunes para proteger sistemas y datos. Regular únicamente el comercio electrónico. Sustituir completamente la legislación nacional. Limitar el uso de tecnologías digitales.

La implantación de un SGSI permite a una organización: Gestionar la seguridad de la información de forma continua. Evitar cualquier tipo de incidente. Eliminar la necesidad de auditorías. Sustituir las políticas internas.

El Esquema Nacional de Seguridad (ENS) se aplica principalmente a: Administraciones públicas y sus proveedores tecnológicos. Universidades privadas. Empresas privadas internacionales. Usuarios particulares.

El ENS establece medidas para garantizar: La seguridad de los sistemas utilizados por la Administración. El desarrollo de videojuegos seguros. La regulación de redes sociales. El uso obligatorio de software libre.

El ENS establece diferentes niveles de seguridad en función de: La antigüedad del sistema. La clasificación de la información y los riesgos asociados. El número de empleados. El tamaño de la empresa.

¿Qué norma internacional establece requisitos para un Sistema de Gestión de Seguridad de la Información?. ISO 9001. ISO 27001. ISO 14001. ISO 22301.

¿Cuál es el objetivo del Esquema Nacional de Seguridad?. Regular el comercio digital. Sustituir las normas ISO. Establecer los principios básicos de seguridad en el sector público. Regular el uso de redes sociales.

La norma ISO 22301 está relacionada principalmente con: Desarrollo seguro de software. Protección de datos personales. Gestión de la continuidad de negocio. Seguridad en redes inalámbricas.

Una infraestructura crítica es aquella: Que pertenece a empresas tecnológicas. Que utiliza inteligencia artificial. Cuyo funcionamiento es esencial para la sociedad. Que utiliza software libre.

La protección de infraestructuras críticas busca principalmente: Reducir el número de empresas tecnológicas. Limitar el uso de internet. Regular el comercio digital. Evitar ataques a sistemas esenciales.

La Directiva NIS tiene como objetivo principal: Regular las telecomunicaciones privadas. Sustituir el RGPD. Regular el comercio electrónico. Mejorar la ciberseguridad en sectores esenciales.

La Ley de Protección de Infraestructuras Críticas (Ley PIC) tiene como objetivo: Regular la privacidad de datos. Regular el comercio digital. Regular la protección de servicios esenciales para la sociedad. Regular redes sociales.

La normativa sobre infraestructuras críticas obliga a las organizaciones a: Eliminar el uso de redes informáticas. Aplicar medidas de seguridad para proteger servicios esenciales. Desarrollar software seguro. Utilizar únicamente software libre.

La Directiva NIS se centra especialmente en: Empresas de desarrollo de software. Usuarios particulares. Operadores de servicios esenciales y proveedores digitales. Comercios electrónicos.

Un Plan de Continuidad de Negocio debe contemplar: Únicamente copias de seguridad. Solo medidas de seguridad física. Normas de uso de internet. Procedimientos para mantener las operaciones durante una crisis.

Las infraestructuras críticas suelen estar relacionadas con sectores como: Comercio minorista. Videojuegos y entretenimiento. Redes sociales. Energía, transporte o agua.

El objetivo principal de un Plan de Continuidad de Negocio es: Garantizar que la organización pueda seguir operando tras un incidente. Sustituir los sistemas informáticos. Eliminar completamente los riesgos tecnológicos. Evitar cualquier fallo del sistema.