Normativa de Ciberseguridad y Privacidad

De las siguientes, ¿qué definición del concepto de "seguridad de la Información" podemos tomar como correcta?. El conjunto de medidas implementadas para proteger los activos de TI de las organizaciones, asegurando la confidencialidad, integridad y discriminalidad de la información. El conjunto de medidas implementadas para proteger la confidencialidad, integridad y disponibilidad de la información. El conjunto de medidas implementadas para garantizar el cumplimiento normativo de la organización. El conjunto de medidas implementadas para aumentar el rendimiento de los sistemas de TI.

¿Cuál de estos componentes (o dimensiones de seguridad) asegura que la información esté disponible cuando se necesita?. Confidencialidad. Integridad. Disponibilidad. Autenticidad.

¿Cuál es la diferencia fundamental entre marcos de seguridad y normativas de seguridad de la Información?. Ambos términos son sinónimos y se usan indistintamente. Los marcos son aplicables solo a empresas pequeñas, mientras que las normativas son para grandes corporaciones. Un marco proporciona directrices generales, mientras que una normativa establece requisitos específicos a cumplir. Las normativas son flexibles y adaptables, mientras que los marcos son requisitos obligatorios.

¿Cuál de los siguientes marcos está diseñado para las organizaciones del sector público en España?. ISO 27001. NIST. ENS. COBIT.

¿Cuál es una de las ventajas de implementar la ISO 27001?. Aumenta las ganancias anuales de la empresa. Mejora la gestión de riesgos de seguridad de la información. Reduce la competencia en el mercado. Garantiza el éxito de la empresa.

¿Cuáles son las cinco funciones básicas del NIST Cybersecurity Framework?. Evaluar, Priorizar, Monitorear, Responder, Recuperar. Identificar, Proteger, Detectar, Responder, Recuperar. Proteger, Evaluar, Validar, Monitorear, Informar. Establecer, Revisar, Corregir, Responder, Ejecutar.

Siguiendo las pautas del ENS, ¿qué nivel de seguridad se aplica a los sistemas con mayor criticidad y dependencia en el sector público español?. bajo. medio. alto. critico.

De las siguientes, ¿qué normativa permite la creación de un SGSI y proporciona los requisitos para establecer, implementar, mantener y mejorarlo?. DORA. GDPR. ISO 27001. Dtv. NIS2.

¿Cuál de las siguientes afirmaciones no es correcta?. El GDPR establece un marco riguroso para la protección de datos personales y otorga derechos significativos a los individuos en cuanto a la privacidad de sus datos. El RGPD únicamente se aplica a empresas establecidas dentro de la Unión Europea. El reglamento DORA tiene como objetivo fortalecer la resiliencia operativa digital en el sector financiero. La Directiva NIS2 es una directiva europea aplica a sectores críticos como la energía, transporte, salud, y telecomunicaciones, y busca fortalecer la seguridad en las infraestructuras esenciales.

¿Cuál de las siguientes es una ventaja clave del SGSI para la demostración del cumplimiento normativo?. Garantizar la eliminación de todos los riesgos de seguridad. Proporcionar evidencia de cumplimiento que fortalece la confianza de reguladores y clientes. Simplificar las operaciones eliminando controles de seguridad. Evitar auditorías externas gracias a la automatización total.

¿Qué regula la Directiva NIS2?. La gestión de riesgos en infraestructuras críticas y sectores esenciales. El uso de datos personales en redes sociales. Las políticas de protección ambiental en Europa. La certificación de sistemas de gestión de calidad.

¿Cuál de los siguientes métodos NO se utiliza comúnmente para el cálculo y priorización de riesgos en una organización?. Matrices de Riesgo para categorizar los riesgos según impacto y probabilidad. Cálculo Cuantitativo para asignar valores numéricos a los riesgos y priorizarlos. Metodologías de Evaluación de Riesgos como MAGERIT o ISO 27005. Eliminación directa de riesgos sin análisis previo.

¿Cuál de las siguientes NO es una opción común para el tratamiento del riesgo en la gestión de riesgos?. ¿Cuál de las siguientes NO es una opción común para el tratamiento del riesgo en la gestión de riesgos?. Reducir el riesgo mediante controles específicos. Transferir el riesgo a terceros, como aseguradoras. Ignorar el riesgo sin evaluarlo ni tomar medidas.

¿Cuál de las siguientes es una definición que podríamos aceptar para el concepto de "auditoría en materia de Seguridad de la Información"?. Es un proceso continuo de monitoreo y revisión de las actividades diarias de seguridad para asegurar que se sigan las políticas internas de la organización. Es un proceso independiente y documentado que evalúa controles y políticas de seguridad para verificar su cumplimiento con normativas y estándares, identificar debilidades y garantizar la efectividad de las medidas de protección. Puede ser interna o externa, asegurando transparencia y fiabilidad en las prácticas de seguridad. Es una revisión interna realizada por el equipo de TI para identificar y corregir problemas técnicos en los sistemas de seguridad. Es una evaluación externa que se centra exclusivamente en la infraestructura física de seguridad, sin considerar las políticas y procedimientos.

De las siguientes, ¿cuál no es una fase principal del proceso de auditoría en Seguridad de la Información?. Consulta a las autoridades de control. Planificación y preparación. Ejecución de auditoría. Análisis de hallazgos y documentación.

¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?. Un sistema para gestionar las operaciones informativas del exterior de una empresa. Un sistema para gestionar el mantenimiento de hardware y software. Un marco de políticas y procedimientos para gestionar la seguridad de la información. Un sistema para gestionar las relaciones con los clientes.

¿Cuál no es una característica de la Auditorías externas en el ámbito de los SGSI?. Imparcialidad. Llevadas a cabo por el equipo del Responsable de Seguridad de la Información. Adecuación para la obtención de certificaciones. Suponen un aumento de la confianza de socios y clientes.

Respecto al ámbito de aplicación de un SGSI, ¿se ven afectado también al entorno físico de la seguridad de una organización?. Para un SGSI, la seguridad de la información comprende tanto la seguridad física y del entorno, el control de acceso a la ciberseguridad, es decir, afecta a ámbitos físico y lógico por igual. Para un SGSI, la seguridad de la información comprende parte de la seguridad del entorno y también del control de acceso a las instalaciones, pero no para todas las organizaciones. Para un SGSI, la seguridad de la información comprende la seguridad física y del entorno, pero no del control de acceso a la seguridad lógica. Para un SGSI, solo la seguridad que afecta a las TIC ha de tenerse en cuenta, por lo que la seguridad física nunca podrá formar parte de un SGSI ni deberá tenerse ésta en consideración para su deseño.

¿Cuál de las siguientes no es una fase de la evaluación de riesgos en un SGSI?. Identificación de riesgos. Comercialización de riesgos. Evaluación de riesgos. Análisis de riesgos.

¿Cuál de las siguientes no tiene consideración de dimensión de seguridad, objeto de especial protección para un SGSI?. Integridad. Confidencialidad. Discrecionalidad. Todas las anteriores.

De las siguientes, ¿qué definición de seguridad de la información podemos dar por válida?. Consiste en la implementación y coordinación de políticas, procesos, controles y tecnologías para proteger los activos de información de una organización, asegurando la confidencialidad, integridad y discriminalidad de los activos de TI de las organizaciones. Consiste en la implementación y coordinación de políticas, procesos, controles y tecnologías para proteger los activos de información de una organización, asegurando la confidencialidad, integridad y disponibilidad de la información para las organizaciones. Consiste en la implementación y coordinación de políticas, procesos, controles y tecnologías para garantizar el cumplimiento normativo de la organización. Consiste en la implementación y coordinación de políticas, procesos, controles y tecnologías para aumentar el rendimiento de los sistemas de TI.

¿Cuál de estos componentes asegura que la información esté disponible cuando se necesita?. confidencialidad. integridad. disponibilidad. autenticidad.

¿Qué metodología sigue la ISO 27001 para garantizar la mejora continua del SGSI?. PDCA (Planificar, Hacer, Verificar, Actuar). Ciclo de vida de desarrollo de software (SDLC). ITIL. COSO.

¿Qué tipo de certificado proporciona ISO 27001 a una organización?. Certificado de Ciberseguridad. Certificado de Gestión de Seguridad de la Información. Certificado de Continuidad del Negocio. Certificado de Riesgo Operacional.

Según el modelo de gestión de riesgos, ¿qué paso sigue después de identificar los riesgos, amenazas y vulnerabilidades?. Eliminarlos por completo. Evaluarlos en términos de probabilidad e impacto. Monitorear continuamente los sistemas. Implementar controles sin análisis previo.

¿Cuál de los siguientes no es un beneficio propio de integrar el cumplimiento con la gestión de riegos?. Visión Integral de los Riesgos. Mejor Cumplimiento Regulatorio. Mayor resiliencia. Redundancia de actividades de seguridad.

¿Cuál de las siguientes es una definición que podríamos aceptar como definición de auditoría en materia de Seguridad de la Información?. Es un proceso continuo de monitoreo y revisión de las actividades diarias de seguridad para asegurar que se sigan las políticas internas de la organización. Es un proceso independiente y documentado que evalúa controles y políticas de seguridad para verificar su cumplimiento con normativas y estándares, identificar debilidades y garantizar la efectividad de las medidas de protección. Puede ser interna o externa, asegurando transparencia y fiabilidad en las prácticas de seguridad. Es una revisión interna realizada por el equipo de TI para identificar y corregir problemas técnicos en los sistemas de seguridad. Es una evaluación externa que se centra exclusivamente en la infraestructura física de seguridad, sin considerar las políticas y procedimientos.

Las auditorías de seguridad no solo son una herramienta para identificar no conformidades o debilidades en el sistema de gestión de seguridad de la información (SGSI), sino también una fuente valiosa de Retroalimentación. ¿Qué debemos entender por este concepto?. Documentación, ya que cada auditoría genera informes detallados que deben ser archivados para futuras referencias y auditorías. Capacitación, porque los resultados de las auditorías pueden ser utilizados para diseñar programas de formación y concienciación en seguridad de la información. Retroalimentación, entendida como, después de cada auditoría, se deben recopilar los hallazgos, recomendaciones y observaciones realizadas, analizando esta información por los responsables del SGSI para identificar patrones o áreas recurrentes de mejora. Certificación, dado que las auditorías son necesarias para obtener y mantener certificaciones de seguridad reconocidas internacionalmente.

¿Qué elementos suele incluir los planes de acción que describen cómo abordar las no conformidades y los hallazgos?. Descripción de la no conformidad (resumen claro del hallazgo y su impacto) y Acción correctiva propuesta (detalles específicos y orientados a resultados sobre las medidas correctivas). Responsables (personas o equipos encargados de implementar las acciones) y Plazos (tiempos realistas y urgentes para cada acción correctiva). Recursos necesarios (recursos personales, financieros y tecnológicos necesarios) y Métricas de éxito (cómo se medirá la eficacia de las acciones, como pruebas de control y auditorías internas). Todos los anteriores.

¿Qué elementos suele incluir los planes de acción que describen cómo abordar las no conformidades y los hallazgos?. Descripción de la no conformidad (resumen claro del hallazgo y su impacto) y Acción correctiva propuesta (detalles específicos y orientados a resultados sobre las medidas correctivas). Capacitación, porque los resultados de las auditorías pueden ser utilizados para diseñar programas de formación y concienciación en seguridad de la información. Recursos necesarios (recursos personales, financieros y tecnológicos necesarios) y Métricas de éxito (cómo se medirá la eficacia de las acciones, como pruebas de control y auditorías internas). Para un SGSI, solo la seguridad que afecta a las TIC ha de tenerse en cuenta, por lo que la seguridad física nunca podrá formar parte de un SGSI ni deberá tenerse ésta en consideración para su deseño.