Cuestionario de Ciberseguridad

¿Cuál es el primer paso en la elaboración del plan director de ciberseguridad?. Definición de medidas de prevención y respuesta ante incidentes. Evaluación y mejora continua. Identificación de riesgos. Asignación de responsabilidades.

¿Qué componente del plan director de ciberseguridad implica la implementación de controles de seguridad?. Alineación con la estrategia de la empresa. Evaluación y mejora continua. Asignación de responsabilidades. Definición de medidas de prevención y respuesta ante incidentes.

¿Qué fase del plan de contingencia y continuidad de negocio incluye la revisión y validación del contenido?. Fase 0: determinación del alcance. Fase 1: análisis de la organización. Fase 2: determinación de la estrategia de continuidad. Fase 4: prueba, mantenimiento y revisión.

¿Qué fase del plan de contingencia y continuidad de negocio implica la identificación de los departamentos críticos?. Fase 0: determinación del alcance. Fase 1: análisis de la organización. Fase 2: determinación de la estrategia de continuidad. Fase 5: concienciación.

¿Qué herramienta se utiliza en el kit de concienciación del INCIBE para simular ataques de phishing?. Vishing. Gophish. Smishing. Defacement.

¿Cuál es el propósito de las pruebas de phishing en el plan de concienciación en ciberseguridad?. Para obtener información confidencial de los empleados. Para evaluar la efectividad del plan de concienciación. Para lanzar ataques cibernéticos. Para aumentar el riesgo de seguridad en la organización.

¿Cuál es uno de los principales desafíos de la ciberseguridad en el comercio electrónico?. La protección de datos del cliente. El diseño del sitio web. La gestión de inventario. La publicidad en redes sociales.

¿Qué medida de seguridad ayuda a prevenir el fraude en las transacciones en línea?. Autenticación de dos factores. Creación de cuentas falsas. Compartir contraseñas. Utilizar conexiones públicas de wifi.

¿Por qué es importante realizar pruebas y entrenamiento periódicos?. Para identificar riesgos. Para evaluar la efectividad del plan. Para documentar un plan de crisis. Para definir roles y responsabilidades.

¿Cuál es un elemento clave del plan relacionado con la comunicación durante crisis?. Desarrollo de planes de acción. Identificación de riesgos y evaluación de impacto. Definición de roles y responsabilidades. Pruebas y entrenamiento.

¿Cuál de las siguientes herramientas de autenticación multifactor (MFA) proporciona una capa adicional de seguridad mediante la generación de códigos de un solo uso (OTP) o utilizando estándares de autenticación abiertos como FIDO2 y U2F?. Google Authenticator. Yubikey. RSA SecurID. Authy.

¿Cuál de las siguientes herramientas de cifrado de datos está diseñada para proteger los datos almacenados en unidades de disco duro o unidades de estado sólido (SSD) mediante el cifrado de todo el contenido de la unidad?. BitLocker. VeraCrypt. Symantec Endpoint Encryption. Cryptomator.

¿Cuál es una de las características clave de Windows Update?. Descarga e instalación automáticas de actualizaciones importantes sin intervención del usuario. Gestión remota y supervisión (RMM) de parches y actualizaciones. Proporciona informes detallados sobre el estado de las actualizaciones. Ofrece flexibilidad en la gestión de actualizaciones.

¿Qué ofrece NinjaOne para la gestión de parches y actualizaciones?. Escaneo de dispositivos y monitoreo en tiempo real de sistemas y aplicaciones. Descarga e instalación automáticas de actualizaciones importantes sin intervención del usuario. Supervisión de cumplimiento de políticas y evaluación de la salud general de la infraestructura de Tl. Proporciona una plataforma para revisar el historial de actualizaciones instaladas.

¿Cuál es una de las mejores prácticas asociadas con los sistemas de monitorización?. Recopilación y análisis de registros de seguridad y eventos de red. Configuración de umbrales y alertas para notificar sobre actividades sospechosas. Ingestión de logs y eventos de diferentes fuentes mediante Logstash. Implementación de políticas de retención de registros y auditorías.

¿Cuál es uno de los componentes principales de Elastic Stack?. Logstash. Elasticsearch. Kibana. Elastic Security.

¿Cuál es uno de los componentes principales de los sistemas de protección perimetral?. Elasticsearch. Sistema de prevención de intrusiones (IPS). Kibana. Logstash.

¿Qué característica ofrece pfSense como una distribución de firewall de red de código abierto?. Generación de notificaciones y registros de eventos relacionados con el tráfico de red. Integración con otras herramientas de seguridad de Windows Defender. Interfaz web intuitiva y fácil de usar para configurar y gestionar el firewall. Análisis en tiempo real del tráfico de red para detectar patrones de comportamiento sospechoso.

¿Cuál es uno de los componentes clave de los sistemas de copias de seguridad?. Windows Defender. Almacenamiento en la nube. Sistema de prevención de intrusiones (IPS). Dispositivos de almacenamiento de respaldo.

¿Cuál es uno de los ejemplos de herramientas de evaluación de vulnerabilidades mencionadas?. Windows Backup. OpenVAS. Windows Defender Firewall. Cobian Backup.

¿Cuál es uno de los derechos que otorga el GDPR a los individuos sobre sus datos personales?. Derecho a la confidencialidad de los datos. Derecho a la encriptación de los datos. Derecho de acceso, rectificación, supresión, limitación del procesamiento, portabilidad de datos y oposición al procesamiento. Derecho a la transferencia internacional de datos.

¿Cuál es una de las obligaciones para las organizaciones establecidas por el GDPR?. Implementar tecnologías de encriptación avanzadas. Realizar auditorías internas trimestrales sobre el procesamiento de datos. Nombrar un Delegado de Protección de Datos (DPO). Ofrecer compensación económica a los individuos afectados por una violación de datos.

¿Cuál es una de las repercusiones por incumplimiento del GDPR que enfrentan las organizaciones?. Pérdida de licencia comercial. Sanciones que pueden ascender hasta el 4% del volumen de negocios global anual de la organización o veinte millones de euros, según cuál sea mayor. Suspensión temporal de operaciones. Publicación obligatoria de datos personales de los ejecutivos de la organización.

¿Cuál es uno de los principales objetivos de la norma ISO 27001?. Establecer un sistema de gestión de calidad. Proteger la confidencialidad, integridad y disponibilidad de la información de una organización. Mejorar la eficiencia operativa de una organización. Establecer estándares para la gestión de recursos humanos.

¿Qué implica el proceso de certificación de conformidad con la norma ISO 27001?. La organización realiza una autoevaluación de cumplimiento. Una auditoría realizada por organismos de certificación independientes para verificar que la organización cumple con todos los requisitos de la norma. La presentación de un informe anual de seguridad de la información a las autoridades gubernamentales. La contratación de consultores externos para implementar los controles de seguridad.

¿Cuál es uno de los beneficios de implementar un SGSI conforme a ISO 27001?. Reducción de la competencia en el mercado. Incremento de la carga administrativa. Cumplimiento de requisitos legales y regulatorios. Aumento de los costos operativos.

¿Cuál es uno de los aspectos principales de la Directiva NIS2?. Ampliación del ámbito de aplicación para incluir únicamente a los operadores de servicios esenciales y proveedores de servicios digitales. Establecimiento de una red europea de soporte de crisis para coordinar la respuesta a incidentes de ciberseguridad a nivel de la Unión Europea. Supresión de la categorización establecida por la Directiva NIS1 con respecto a los operadores de servicios esenciales y proveedores de servicios digitales. Eliminación de cualquier requisito de seguridad para las entidades afectadas.

¿Cuándo deben los Estados miembros, incluyendo España, adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva NIS2?. Antes del 16 de enero de 2023. Antes del 17 de octubre de 2024. Después del 17 de octubre de 2024. No hay una fecha límite específica.

¿Cuál es el objetivo principal de la Guía nacional de notificación y gestión de ciberincidentes?. Proporcionar un marco de referencia para la gestión de la seguridad de la información. Establecer los requisitos mínimos para la notificación de incidentes de ciberseguridad. Ofrecer directrices específicas para los Responsables de Seguridad de la Información en España. Armonizar la capacidad de respuesta ante incidentes de ciberseguridad con la normativa española y europea.

¿A quién está dirigida principalmente la Guía nacional de notificación y gestión de ciberincidentes?. A las empresas privadas en España. A los organismos nacionales competentes en el ámbito de la ciberseguridad. A los ciudadanos españoles que utilizan servicios en línea. A los Responsables de Seguridad de la Información dentro de las organizaciones mencionadas.

¿Cuál es la función principal de los comités de ciberseguridad en una organización?. Implementar directamente medidas técnicas de seguridad. Coordinar actividades recreativas para el personal de TI. Supervisar la postura de seguridad y coordinar iniciativas de seguridad. Desarrollar software de seguridad personalizado.

¿Quién es generalmente responsable de liderar los comités de ciberseguridad?. CEO (chief executive officer). CISO (chief information security officer). COO (chief operating officer). CTO (chief technology officer).

¿Cuál de los siguientes roles no está directamente relacionado con la estructura de gobernanza en ciberseguridad?. CISO (chief information security officer). CTO (chief technology officer). DPO (data protection officer). CSO (chief security officer).

¿Qué demuestra la participación activa de la alta dirección en la gobernanza de ciberseguridad?. Un interés pasajero en las tendencias tecnológicas. La asignación de recursos adecuados y la promoción de una cultura de seguridad. El desarrollo personalizado de herramientas de seguridad. La organización de eventos sociales para el equipo de seguridad.

¿Cuál es el papel del CEO (chief executive officer) en la estructura de gobernanza de ciberseguridad?. El CEO es responsable de la programación y el mantenimiento diario de los sistemas de seguridad. El CEO actúa como el principal técnico de seguridad de la información, realizando auditorías de seguridad. El CEO lidera la estrategia global de la empresa y asegura la alineación de la ciberseguridad con los objetivos empresariales. El CEO supervisa directamente las operaciones diarias de seguridad y las tácticas de respuesta a incidentes.

¿Qué objetivo principal persiguen las evaluaciones de riesgos en el contexto de ciberseguridad?. Desarrollar nuevas tecnologías de seguridad. Identificar y evaluar las amenazas y vulnerabilidades de los activos críticos de información. Establecer un protocolo de comunicaciones internas. Realizar pruebas de penetración en sistemas ajenos.

¿Qué caracteriza a una auditoría de ciberseguridad?. La implementación de nuevos sistemas de seguridad informática. La revisión y evaluación formal de los controles de seguridad existentes. La capacitación del personal en prácticas de seguridad informática. La venta de soluciones de seguridad a terceros.

¿Cuál es un componente esencial de la gestión de incidentes de seguridad?. La promoción de productos de seguridad. La implementación de un equipo de respuesta a incidentes (IRT). El desarrollo de software de seguridad. La realización de campañas publicitarias sobre ciberseguridad.

¿Qué papel juegan los informes de auditoría en la ciberseguridad?. Servir como material de marketing para servicios de seguridad. Documentar los hallazgos de una auditoría, incluyendo recomendaciones para mejorar la seguridad. Ofrecer una descripción general de las tendencias del mercado de la ciberseguridad. Proporcionar entretenimiento educativo sobre temas de seguridad.

¿Por qué son importantes los ejercicios de simulacro de incidentes en la gestión de incidentes de seguridad?. Para incrementar las ventas de soluciones de seguridad. Para evaluar la efectividad de los procesos de comunicación interna. Para probar la preparación de la organización frente a incidentes de seguridad reales. Para cumplir con requisitos legales de terceros países.