locura

1. ¿Quién es el responsable del tratamiento de datos de carácter personal en el Ministerio de defensa? marque la respuesta correcta. Seleccione una: a. El Director de CESTIC. b. No existe un responsable designado, depende del ámbito específico. c. El Secretario de Estado para la Defensa. d. El Jefe de Estado Mayor de la Defensa.

2. Según la legislación de protección de datos personales vigente, en relación con el derecho de Acceso. Marque la respuesta correcta. Seleccione una: a. Las Fuerzas Armadas no tienen obligación de cumplir con la Legislación de Protección de Datos Personales porque existen otras regulaciones más restrictivas en el ámbito militar que cumplen con esa función, (clasificación de la información). b. No existe obligación de informar sobre el origen de los datos, si el Responsable del tratamiento es una Administración Pública. c. El interesado tiene derecho a solicitar y obtener información del origen de los datos personales. d. Nunca existe obligación de informar sobre el origen de los datos personales.

3. Según la legislación vigente en materia de Protección de Datos. El derecho al olvido... Marque la incorrecta Seleccione una: a. Puede obligar al responsable del tratamiento a la supresión de cualquier enlace a los datos personales, así como cualquier copia o réplica del mismo. b. Debe aplicarse en todos los supuestos. c. Puede depender de la tecnología disponible y del coste. d. Está sujeto a excepciones como la libertad de expresión.

4. ¿Cuál de las siguientes medidas NO son consideradas un Pilar de la Seguridad? Seleccione una: a. Medidas Normativas. b. Medidas técnicas. c. Medidas organizativas. d. Medidas Administrativas.

5. ¿Qué es la Agencia Española de Protección de Datos, AEPD? Marque la correcta. Seleccione una: a. Es la autoridad estatal de control independiente encargada de velar por el cumplimiento de la normativa sobre protección de datos. b. Es la autoridad pública encargada de la normativa en materia de videovigilancia. c. La Agencia encargada de nombrar a los Delegados de Protección de Datos en la Administración Pública. d. Es la autoridad pública de control dependiente del CCN-CERT encargada de velar por el cumplimiento del Reglamento Europeo en materia de protección de datos.

6. Según el Esquema Nacional de Seguridad (ENS), los principios básicos y requerimientos y requisitos mínimos necesarios que debe disponer un sistema de información... Marque la opción correcta. Seleccione una: a. Son de carácter organizativo y físicos. b. Son de carácter técnico, organizativo y físicos. c. Son de carácter organizativo. d. Son de carácter técnico y organizativo.

7. ¿Qué es una vulnerabilidad de día Cero o “Zero Day”? Marque la respuesta correcta Seleccione una: a. Es un tipo de vulnerabilidad no se puede explotar. b. Es un tipo de vulnerabilidad con un ciclo de vida muy corto. c. Es un tipo de vulnerabilidad que acaba de ser descubierta y que aún no tiene un parche que la solucione. d. Es un tipo de vulnerabilidad cuyas métricas la califican como BAJA.

8. Según el ENS, un sistema es categorizado como medio cuando la consecuencia de un incidente de seguridad puede causar... Marque la respuesta correcta. Seleccione una: a. Un daño menor en los activos de la organización. b. Un daño significativo en los activos de la organización. c. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. d. El incumplimiento grave de alguna ley o regulación.

9. ¿Qué es el Esquema Nacional de Seguridad (ENS)? Marque la opción correcta. a. Norma con rango de Real de Decreto, que contiene los principios básicos necesarios que debe disponer un sistema de información para proteger adecuadamente la información que este sistema gestiona. b. Norma con rango de Real Ley Orgánica, que contiene los principios básicos y requisitos mínimos necesarios que debe disponer un sistema de información para proteger adecuadamente la información que este sistema gestiona, los servicios prestados y la protección de datos personales. c. Norma con rango de Real de Decreto, que contiene los principios básicos y requisitos mínimos necesarios que debe disponer un sistema de información para proteger adecuadamente la información que este sistema gestiona y los servicios prestados. d. Conjunto de buenas prácticas, que contiene los principios básicos y requisitos mínimos necesarios que debe disponer un sistema de información para proteger adecuadamente la información que este sistema gestiona y los servicios prestados.

10. ¿Qué área de la Política de Seguridad del MINISDEF, “entiende de las medidas de protección aplicables dirigidas a las empresas y aplicables por ellas, con el objeto de garantizar razonablemente la confidencialidad, integridad y disponibilidad de la información del Ministerio manejada por éstas”? Marque la respuesta correcta. a. SEGINFODOC. b. SEGINFOSIT. c. SEGINFOEMP. d. SEGINFOINS.

11. Protección de datos personales. – Nuevos derechos digitales… Marque la respuesta correcta. a. Derecho a no rectificación en Internet. b. Derecho al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. d. Derecho a la desconexión digital, a la intimidad y uso de dispositivos. d. Derecho a la desconexión digital, a la intimidad y uso de dispositivos digitales en el ámbito laboral, también geolocalización.

12. ¿La Legislación de Protección de Datos Personales a quién aplica?. a. A las personas jurídicas independientemente de su residencia, aunque no traten datos personales de residentes de la Unión Europea. b. Aplicable a los datos de las personas físicas de nacionalidad española, excepto el personal de las Fuerzas y Cuerpos de Seguridad del Estado (Policía, Guardia Civil, etc.) que se rigen por su propia legislación. c. Es aplicable a los datos de las personas físicas independientemente de su nacionalidad o residencia. d. Aplicable a los datos de las personas físicas de nacionalidad española.

13.Marque la opción incorrecta. a. La Concienciación y la formación no deben formar parte del contenido de la política, se debe describir mediante planes específicos. b. La seguridad deberá comprometer a todos los miembros de la organización. c. La política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento, ser conocida por todos los miembros de la organización y las consecuencias de su incumplimiento. d. La Gestión de riesgos forma parte del contenido mínimo de una política de seguridad.

14. ¿Cuál de los siguientes no es un mecanismo general para cumplir la política de seguridad?. a. Recuperación ante desastres. b. Cifrado. c. Detección de eventos. d. Funcionalidad de confianza.

15. Elija la opción más correcta para definir una vulnerabilidad: a. Posibilidad de que una amenaza se materialice sobre un activo. b. Las configuraciones erróneas que tienen los Sistemas de Información de una organización. c. Es una amenaza a la seguridad. Únicamente a los activos de información. d. Daños producidos por las personas sobre los activos tanto intencionadamente como accidentalmente..

16.¿Cuál es el agente de un ciberataque que representa la mayor amenaza? Seleccione una: a. Ciberterroristas. b. Ciberdelincuentes. c. Script Kiddies. d. Ciberspías.

17. La implementación de la Política de Seguridad busca reducir el riesgo corporativo en su conjunto, ¿qué debe describir?. a) Qué se intenta proteger y cómo debemos protegerlo con su correspondiente plan de implementación. b) Qué se intenta proteger, por qué se debe proteger y cómo debemos protegerlo. c) Qué se intenta proteger y por qué se debe proteger. d) Qué se intenta proteger, por qué se debe proteger y cuál es el plan de implantación de la política.

18.Según el ENS... Marque la respuesta correcta. a) El responsable de seguridad y el responsable del servicio deben ser siempre la misma persona, adoptando por ello el cargo de director funcional. b) En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, quedará formalmente documentado que no podrá garantizarse el principio de diferenciación de responsabilidades en el sistema. c) El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. d) Si las medidas organizativas de la organización están bien diseñadas no deben existir estos responsables.

19.Marque la opción correcta. a. La política de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) como conjunto de normas, planes, procedimientos y productos no se ocupa directamente de la protección de la información sino de que existan las condiciones de seguridad suficientes en los sistemas y tecnologías que manejan ésta. b. La política de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) como conjunto de normas, planes, procedimientos y productos, se ocupa directamente de la protección de la información, no de que existan las condiciones de seguridad suficientes en los sistemas y tecnologías que manejan ésta. c. La política de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) como conjunto de normas, planes, procedimientos y productos no se ocupa directamente de la protección de la información ni de que existan las condiciones de seguridad suficientes en los sistemas y tecnologías que manejan ésta. Un espeto.

20.¿Los Principios básicos y requisitos según el Esquema Nacional de Seguridad (ENS), son? Marque la respuesta correcta. a. De carácter técnico, es decir, medidas a implementar mediante modificaciones técnicas en los sistemas. b. De carácter técnico y organizativo; es decir: hay medidas que deben implementarse mediante modificaciones técnicas del sistema en cuestión; y hay medidas que requieren modificaciones organizativas, de responsabilidades, roles, etc. c. De carácter organizativo, estableciendo responsabilidades, roles, etc. d. De carácter organizativo técnico y físico; es decir: hay medidas que deben implementarse mediante modificaciones en la capa física, en la capa lógica y modificaciones en la estructura del personal de la organización.

1. ¿Qué puede considerar una organización como un activo?. a. En STIC, se considera activo aquella información corporativa que debe protegerse. b. Aquello que valora y por lo tanto debe protegerse. c. Las personas que trabajan y los sistemas. d. Para una organización los activos son la información que maneja y los servicios que ofrecen.

22. La Seguridad de las Tecnologías de la Información y de las Comunicaciones (STIC) deberá considerar: a. Un conjunto de medidas de distinta naturaleza (física, documental), de acuerdo con la normativa específica. b. Un conjunto de medidas técnicas, necesarias para dotar al Sistema de la seguridad lógica establecida en la normativa específica. c. Un conjunto de medidas de distinta naturaleza técnica, de acuerdo con la normativa específica, que tiene por objeto la protección del Sistema del Organismo. d. Un conjunto equilibrado de medidas de distinta naturaleza (física, de personal, documental, técnica, etc.), de acuerdo con la normativa específica.

23.Si por un lado, tenemos la vulnerabilidad o punto débil, por otro tenemos la amenaza que puede explotar la vulnerabilidad y finalmente eso sucede, estamos ante: a. Una falla de seguridad lógica. b. Un fallo en la política de seguridad de la organización. c. Un ataque a nuestro Sistema. d. Una probabilidad muy alta de que se produzca un daño en algún activo de la organización.

24.¿Una amenaza se puede definir como?: a. Posible causa de un incidente no deseado, que puede resultar en daños a un Sistema u Organización. b. Posible peligro que no se puede explotar por una vulnerabilidad. c. Una posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad pero sin causar perjuicio. d. Violación de seguridad que se produce cuando ha sido explotada por una vulnerabilidad.

25. ¿Obtener acceso continuo a un sistema es el propósito principal de?: a. Cualquier Ciberataque. b. No es el propósito de ningún ciberataque, cuanto mayor es el tiempo de acceso al sistema, más posibilidades existen de que el atacante sea localizado. c. De cualquier ataque de nivel alto. d. De una Amenaza Persistente Avanzada (APT).

26.Marque la respuesta correcta. a. Las dimensiones de la seguridad son Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad. b. Las dimensiones de la seguridad son Trazabilidad, Confidencialidad, Autenticidad, Disponibilidad. c. Las dimensiones de la seguridad son Confidencialidad, Integridad, Disponibilidad, Usabilidad, Autenticidad. d. Las dimensiones de la seguridad son Integridad, Confidencialidad, Usabilidad, Trazabilidad, Autenticidad.

27. En caso de un ataque al Ministerio de Industria, ¿qué CERT lo gestionaría?. a. El CVE-CERT. b. Ninguno. Los CERT’s emiten certificados digitales. c. El INCIBE-CERT. d. El CCN-CERT.

1. Los sistemas que manejan información clasificada deben disponer de un conjunto equilibrado de servicios de seguridad, marque la respuesta correcta. a. La Autenticación permite al receptor de un mensaje estar seguro de la identidad del emisor y que la comunicación es auténtica. Previene ataques contra la Disponibilidad. b. Autenticación: permite al receptor de un mensaje estar seguro de la identidad del emisor y que la comunicación es auténtica. Asegura que el usuario y la información transmitida son auténticos. c. La autenticación solo previene ataques contra la confidencialidad. d. El Control de Accesos, protege los recursos del Sistema contra su utilización no autorizada, pero no tiene nada que ver con el servicio de autenticación.

29. Se puede definir la Política STIC de un organismo como: a. Conjunto, formalizado en un documento aplicable, de elementos estratégicos, directivas, procedimientos, códigos de conducta, normas organizativas y técnicas, que tiene por objetivo la protección del Sistema de información del Organismo. b. Conjunto, formalizado en un documento aplicable, de normas organizativas, técnicas y físicas, que tiene por objetivo la protección de los datos de la organización. c. Conjunto, formalizado en un documento, de procedimientos, códigos de conducta, normas organizativas y técnicas, que tiene por objetivo la protección del Sistema de información del Organismo. d. Documento aplicable, de elementos estratégicos, directivas, procedimientos, códigos de conducta, normas organizativas y técnicas, que tiene por objetivo la protección del Sistema de información del Organismo.

30. Uno de los principios básicos que una política debe contemplar es la Posesión. ¿Marque la respuesta correcta?. a. Los propietarios de un sistema pueden perder el control del mismo a favor del departamento de seguridad, si así lo marca la política. b. La posesión no es uno de los principios que debe contemplar una política de seguridad. c. Los propietarios de un sistema han de ser capaces de controlarlo en todo momento. d. La política de seguridad no debe entrar en la utilidad de los recursos del sistema o de la información.

31. Según la Seguridad de la información en las personas (SEGINFOPER), se debe disponer de una Habilitación Personal de Seguridad (HPS) para... a. Acceder a información que esté clasificada como Uso Público. b. Acceder a información que esté clasificada como Reservado. c. No es necesario disponer de una HPS para acceder a ningún tipo de información clasificada. d. Acceder a información que esté clasificada como Difusión Limitada.

32.La Política de Seguridad del MINISDEF, ¿ha tenido en cuenta otras normativas nacionales / internacionales en su cumplimiento? Marque la correcta. a. Al ser el MINISDEF un Organismo a nivel nacional, la política de seguridad está influenciada únicamente por la normativa nacional aplicable. b. Sí, se han tenido en cuenta el cumplimiento de la normativa aplicable, tanto nacional como internacional. c. No, no existe ninguna legislación nacional/internacional que obligue al MINISDEF en su política de seguridad. d. No, al ser una Política nueva no se ha visto influenciada por ninguna otra norma.

33.¿Qué es la gestión del riesgo? Marque la opción correcta. a. Un proceso destinado a que no exista riesgo en nuestra organización. b. Un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. c. Un proceso destinado a modificar el riesgo. d. Normativa que atiende a un objetivo de seguridad específico, de obligado cumplimiento en su ámbito de actuación.

34. ¿Cuál de estos supuestos no legitima el tratamiento de datos personales, según la legislación de Protección de datos personales vigente?. a. Tratamiento necesario para la ejecución de un contrato o medidas precontractuales. b. Por cumplimiento de una obligación legal. c. Tratamiento al conseguir el Consentimiento tácito (que no se otorga expresamente). d. Tratamiento necesario para satisfacer interés legítimo del responsable o tercero.