Normativa de ciberseguridad - Repaso PACs

¿Qué significa actuar con "ética empresarial"?. Conducirse según principios morales, valores y responsabilidad social en las decisiones empresariales. Priorizar beneficios sobre cualquier consideración. Actuar solo según intereses propios. Ignorar normativas para ser más competitivo.

¿Qué debe incluir un correcto cumplimiento normativo?. Solo documentación formal sin aplicación práctica. Identificación de normativas aplicables, implementación de controles y monitorización continua. Ignorar cambios legislativos. Delegar toda responsabilidad en terceros.

¿Qué engloba el concepto de "desempeño normativo"?. Únicamente las normas laborales. El conjunto de actividades para asegurar que la organización cumple con todas las normativas aplicables. Solo regulaciones medioambientales. Solo el cumplimiento de normas fiscales.

¿Qué característica debe tener un sistema de Compliance efectivo?. Aplicarse solo en algunos departamentos. Ser dinámico, adaptable, con monitorización continua y mejora permanente. Ser estático y nunca modificarse. Funcionar sin documentación.

¿Qué debe evaluarse en las terceras partes desde la perspectiva del Compliance?. Solo su ubicación geográfica. Únicamente su tamaño empresarial. Su cumplimiento normativo, antecedentes, prácticas éticas y riesgos asociados. Solo el precio de sus servicios.

¿Cuál es un beneficio clave de implementar un programa de Compliance?. Eliminación de la competencia. Eliminación total de riesgos empresariales. Reducción del riesgo legal, mejora de la reputación y prevención de sanciones. Garantía de máximos beneficios.

¿Por qué es importante definir claramente las funciones del Compliance Officer?. Para aumentar la burocracia. Para garantizar responsabilidades claras, evitar conflictos de interés y asegurar efectividad del programa. Para crear más puestos de trabajo. Para complicar la estructura organizativa.

¿Cuál es un pilar fundamental del buen gobierno corporativo?. Priorización exclusiva de beneficios. Transparencia, rendición de cuentas y gestión ética. Opacidad en la gestión. Concentración de poder sin controles.

¿Qué riesgo implica una inadecuada gestión de terceras partes?. Solo mejoras en la cadena de suministro. Aumento automático de beneficios. Que incumplimientos de terceros deriven en responsabilidad legal, sanciones o daño reputacional para la organización. Ningún riesgo relevante.

¿Qué debe hacer una organización ante cambios en la normativa aplicable?. Esperar a que la competencia actúe primero. Ignorarlos hasta recibir sanciones. Actualizar sus procedimientos de Compliance para adaptarse a las nuevas exigencias. Considerar cambiar de sector.

¿Por qué es importante la relación con terceras partes en el Compliance?. Porque los incumplimientos de terceros pueden generar responsabilidad legal para la organización. Para reducir el personal interno. Para aumentar los beneficios económicos. Para mejorar la publicidad.

¿A quién reporta habitualmente el Compliance Officer?. Al departamento de ventas. Al departamento de IT. A la alta dirección o al consejo de administración. Al responsable de logística.

¿Qué es el Compliance en el ámbito empresarial?. El conjunto de procedimientos y acciones para garantizar que la organización cumple con la normativa aplicable. Un departamento de recursos humanos. Una certificación de calidad. Un software de gestión contable.

¿Cuál es la función principal del Compliance Officer?. Dirigir el departamento de marketing. Gestionar las ventas de la empresa. Contratar personal. Supervisar y garantizar el cumplimiento normativo en la organización.

¿Cuál es el principal objetivo del desempeño normativo en una organización?. Reducir costes operativos. Mejorar la imagen de marca. Prevenir incumplimientos legales y garantizar que la empresa actúa conforme a la ley. Aumentar las ventas.

¿Qué riesgo supone no implementar un sistema de Compliance adecuado?. Mejora de la reputación. Sanciones legales, multas, responsabilidad penal y daño reputacional. Aumento de la productividad. Mayor fidelización de clientes.

¿Qué implica el principio de buen gobierno corporativo?. Eliminar controles internos. Gestionar la organización de forma ética, transparente y responsable, cumpliendo con las obligaciones legales. Maximizar beneficios sin restricciones. Reducir impuestos al mínimo.

¿Qué principio del buen gobierno implica actuar con transparencia y honestidad?. Principio de ética empresarial. Principio de competitividad. Principio de crecimiento. Principio de rentabilidad.

¿Cuál de estas NO es una responsabilidad típica del Compliance Officer?. Formar a los empleados en normativa aplicable. Elaborar políticas de cumplimiento. Realizar auditorías internas. Diseñar campañas de publicidad.

¿Qué son las terceras partes en el contexto del Compliance?. Solo los clientes finales. Únicamente los competidores. Solo los empleados temporales. Proveedores, socios, colaboradores externos y otras entidades con las que la organización se relaciona.

¿Qué es un mapa de riesgos en el contexto del Compliance?. Un calendario de auditorías. Una herramienta visual que identifica, clasifica y prioriza los riesgos de incumplimiento normativo. Un plano de las instalaciones de la empresa. Un organigrama del personal.

¿Por qué es importante documentar el sistema de cumplimiento normativo?. Solo por requisitos burocráticos. Para evidenciar el compromiso de la organización, facilitar auditorías y demostrar diligencia debida ante autoridades. Para aumentar el archivo físico. No es realmente importante.

¿Qué implica la responsabilidad penal de las personas jurídicas?. Solo afecta a personas físicas. Ninguna consecuencia real. Que las organizaciones pueden ser condenadas penalmente por delitos cometidos en su seno, con penas económicas o inhabilitación. Solo sanciones administrativas leves.

¿Para qué sirve identificar el entorno regulador?. Para conocer qué normativas son obligatorias y diseñar controles específicos de cumplimiento. Para aumentar la burocracia. Para reducir impuestos. Para contratar más abogados.

¿Qué se entiende por "entorno regulador de aplicación"?. El departamento de recursos humanos. Las instalaciones de la empresa. El conjunto de leyes, reglamentos y normativas aplicables a la actividad de la organización. El espacio físico donde trabaja el equipo legal.

¿Qué elementos debe incluir un Sistema de Gestión de Compliance?. Solo documentos formales. Solo auditorías externas. Únicamente software especializado. Políticas, procedimientos, asignación de responsabilidades, formación, monitorización y mejora continua.

¿Qué normativa aborda el RA3 específicamente?. Normativa fiscal exclusivamente. Responsabilidad penal de las organizaciones y personas jurídicas. Solo normativa laboral. Únicamente protección de datos.

¿Qué es un Sistema de Gestión de Compliance?. Un departamento de atención al cliente. Un programa informático de contabilidad. Una certificación ISO opcional. Un conjunto estructurado de políticas, procedimientos y controles para garantizar el cumplimiento normativo.

¿Qué fases incluye la gestión de riesgos de Compliance?. Solo auditorías anuales. Únicamente documentación. Solo identificación de riesgos. Identificación, análisis, evaluación, tratamiento y monitorización de riesgos.

¿Qué debe hacer una organización para evitar responsabilidad penal?. Esperar a ser investigada. Contratar más abogados externos. Ignorar los riesgos. Implementar un modelo de prevención de delitos efectivo (programa de Compliance penal).

¿Cuál es el beneficio principal de un mapa de riesgos bien elaborado?. Decorar las oficinas. Reducir personal. Cumplir un trámite formal. Priorizar recursos y esfuerzos en las áreas de mayor riesgo de incumplimiento.

¿Cuál es el objetivo principal de diseñar un sistema de cumplimiento normativo?. Aumentar los costes operativos. Crear más departamentos. Estructurar la organización para prevenir, detectar y responder a incumplimientos normativos. Complicar los procesos internos.

¿Qué delitos pueden generar responsabilidad penal para las organizaciones?. Únicamente infracciones administrativas. Corrupción, blanqueo de capitales, delitos contra la Hacienda Pública, medio ambiente, entre otros. Solo delitos fiscales. Ninguno, solo personas físicas son responsables.

¿Qué procedimientos se deben establecer según el RA3?. Solo procedimientos comerciales. Procedimientos para detectar, prevenir y responder a incumplimientos normativos y delitos. Solo protocolos de marketing. Únicamente procedimientos de RRHH.

¿Con qué frecuencia debe actualizarse el entorno regulador identificado?. Solo cada 10 años. Únicamente cuando hay sanciones. Periódicamente, monitorizando cambios legislativos y nuevas normativas aplicables. Nunca, permanece constante.

¿Qué papel juega la formación en un sistema de Compliance?. Es fundamental para que empleados conozcan normativas, riesgos y procedimientos, previniendo incumplimientos. Es opcional y poco relevante. Solo para directivos. Únicamente en grandes empresas.

¿Qué tipos de normativa puede incluir el entorno regulador?. Leyes, reglamentos, directivas europeas, normativas sectoriales, estándares internacionales y códigos de conducta. Únicamente recomendaciones no vinculantes. Solo normativa interna de la empresa. Solo leyes nacionales.

¿Qué debe incluir un programa de Compliance penal efectivo?. Únicamente contratar un abogado. Solo auditorías anuales. Identificación de riesgos penales, protocolos de prevención, canal de denuncias, formación y sistema disciplinario. Solo un documento formal sin aplicación.

¿Qué debe considerar el análisis de riesgos de Compliance?. Probabilidad de incumplimiento, impacto potencial, normativas aplicables y vulnerabilidades organizativas. Únicamente riesgos tecnológicos. Solo riesgos económicos. Solo opiniones personales.

¿Qué información debe contener la documentación del sistema de Compliance?. Solo información financiera. Solo contratos laborales. Políticas, procedimientos, matriz de riesgos, responsabilidades, plan de formación y registros de control. Únicamente organigramas.

Realizar un análisis forense en la nube híbrida es más desafiante que en la nube pública o privada debido a la necesidad de integrar y asegurar los datos que fluyen entre ambos entornos. Verdadero. Falso.

Una nube privada es completamente accesible a cualquier persona y empresa sin restricciones, ya que está diseñada para ser pública. Verdadero. Falso.

Las nubes públicas son más adecuadas para grandes empresas debido a su flexibilidad y escalabilidad, aunque pueden presentar más riesgos de seguridad en comparación con las nubes privadas. Verdadero. Falso.

Verdadero/Falso. Verdadero. Falso.

El uso de nubes híbridas combina las características de las nubes privadas y públicas, permitiendo a las empresas aprovechar las ventajas de ambos entornos, aunque puede ser más complejo de gestionar. Verdadero. Falso.

El análisis forense en la nube es idéntico al análisis forense en sistemas tradicionales, ya que los principios básicos son los mismos en ambos casos. Verdadero. Falso.

El principal desafío del análisis forense en la nube es la falta de control sobre la infraestructura física, lo que puede dificultar la adquisición de evidencia. Verdadero. Falso.

Las herramientas forenses utilizadas en el análisis de la nube deben ser específicas para el tipo de plataforma en la nube (pública, privada o híbrida) en la que se realiza la investigación. Verdadero. Falso.

En el análisis forense en la nube, la cadena de custodia no es necesaria, ya que los proveedores de servicios en la nube gestionan de forma automática la seguridad y trazabilidad de los datos. Verdadero. Falso.

El análisis forense en la nube debe incluir la evaluación de logs de acceso y actividades en la nube para identificar incidentes de seguridad y posibles manipulaciones de datos. Verdadero. Falso.

El principio de minimización de datos implica que: No es necesario justificar la recogida de datos. Solo deben tratarse los datos adecuados, pertinentes y limitados a lo necesario. Los datos pueden conservarse indefinidamente. Deben recopilarse todos los datos posibles para prevenir riesgos.

¿En qué caso debe comunicarse una brecha de seguridad también a los afectados?. Siempre que exista cualquier incidente técnico. Solo si lo solicita la autoridad competente. Cuando la brecha suponga un alto riesgo para los derechos y libertades de las personas. Únicamente cuando haya pérdida económica.

¿Qué documento recoge las finalidades del tratamiento, categorías de datos y medidas de seguridad aplicadas?. Código ético. Registro de Actividades de Tratamiento. Informe de auditoría externa. Política de contraseñas.

¿En qué supuesto puede eximirse a una organización de comunicar una brecha a los afectados?. Nunca puede eximirse. Cuando la empresa lo considere oportuno. Cuando la brecha haya sido cifrada y no exista riesgo para los derechos de las personas. Cuando la notificación suponga mala imagen corporativa.

¿Cuál es el objetivo principal de una EIPD?. Evitar auditorías internas. Sustituir el Registro de Actividades. Evaluar los riesgos para los derechos y libertades de las personas y establecer medidas para mitigarlos. Aumentar la rentabilidad del tratamiento de datos.

¿Cuál de las siguientes NO es una base jurídica válida del tratamiento según el RGPD?. Obligación legal. Interés comercial ilimitado de la empresa. Ejecución de un contrato. Consentimiento del interesado.

El Registro de Actividades de Tratamiento es obligatorio: Únicamente en tratamientos automatizados. Solo cuando lo exija la AEPD expresamente. Solo para empresas públicas. Para responsables y encargados del tratamiento en los supuestos establecidos por el RGPD.

El consentimiento, para ser válido según el RGPD, debe ser: Permanente y sin posibilidad de retirada. Implícito y general. Libre, específico, informado e inequívoco. Obligatorio en todos los tratamientos.

¿Cuándo es obligatoria una Evaluación de Impacto en Protección de Datos (EIPD)?. Siempre que se traten datos personales. Solo cuando lo solicite la AEPD. Únicamente en empresas con más de 250 empleados. Cuando el tratamiento implique un alto riesgo para los derechos y libertades de las personas.

¿Cuál es el plazo general para notificar una brecha de seguridad a la autoridad competente según el RGPD?. 48 horas. 72 horas. 24 horas. 7 días.

¿Cuál de los siguientes pasos es fundamental en el análisis forense de evidencias digitales para asegurar la integridad de los resultados?. Realizar el análisis sin registrar los pasos, ya que es un proceso rápido. Modificar los archivos de la evidencia para facilitar su análisis. Documentar detalladamente cada paso y herramienta utilizada durante el análisis. Eliminar los archivos irrelevantes durante el análisis para simplificar los resultados.

Cuando se analizan evidencias digitales, ¿qué tipo de información es fundamental extraer para asegurar la validez del análisis?. Datos relacionados con la modificación de archivos y las actividades del sistema. Información relacionada únicamente con los archivos de texto. Solo los archivos de configuración del sistema operativo. Ningún tipo de información es relevante, ya que solo se debe analizar la información visible.

En el análisis forense, ¿cuál es el propósito principal de la documentación específica del proceso de análisis?. Reducir el tiempo necesario para realizar el análisis. Evitar que los resultados sean presentados ante un tribunal. Facilitar la modificación de los archivos para mejorar los resultados. Garantizar la trazabilidad y validez del análisis en un contexto legal.

En un análisis forense, ¿cuál de las siguientes afirmaciones es correcta sobre la cadena de custodia de la evidencia?. La cadena de custodia debe ser documentada durante todo el proceso, desde la adquisición hasta el análisis final. La cadena de custodia solo es importante si los resultados se utilizan en un tribunal. Solo se debe mantener la cadena de custodia durante la adquisición de la evidencia, no es necesaria durante el análisis. No es necesario documentar la cadena de custodia si el análisis se realiza rápidamente.

Al elaborar un informe forense, ¿qué debe incluir como mínimo el informe final de análisis?. Solo los resultados sin detalles sobre los procedimientos utilizados. Los detalles de la herramienta utilizada, sin explicar los procedimientos. Solo los hallazgos de interés para la parte que contrató el análisis. Un resumen de los pasos seguidos, las herramientas utilizadas y los hallazgos obtenidos durante el análisis.

Un Sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo principal: Gestionar de forma estructurada la seguridad de la información. Auditar redes externas. Desarrollar software seguro. Sustituir los sistemas informáticos antiguos.

El Esquema Nacional de Seguridad (ENS) se aplica principalmente a: Administraciones públicas y sus proveedores tecnológicos. Universidades privadas. Empresas privadas internacionales. Usuarios particulares.

¿Qué norma internacional establece requisitos para un Sistema de Gestión de Seguridad de la Información?. ISO 22301. ISO 27001. ISO 9001. ISO 14001.

La implantación de un SGSI permite a una organización: Eliminar la necesidad de auditorías. Sustituir las políticas internas. Gestionar la seguridad de la información de forma continua. Evitar cualquier tipo de incidente.

Dentro de un SGSI basado en ISO 27001, la evaluación de riesgos permite: Identificar amenazas y vulnerabilidades en los sistemas. Eliminar completamente los ataques informáticos. Sustituir las auditorías de seguridad. Automatizar el desarrollo de software.

¿Cuál es el objetivo principal de la normativa de ciberseguridad a nivel nacional e internacional?. Establecer marcos comunes para proteger sistemas y datos. Regular únicamente el comercio electrónico. Limitar el uso de tecnologías digitales. Sustituir completamente la legislación nacional.

En el informe de análisis forense, ¿qué se debe hacer en caso de que se encuentren datos que puedan tener diferentes interpretaciones?. Ignorar los datos ambiguos y enfocarse solo en los claros. Presentar los hallazgos de manera neutral, explicando las posibles interpretaciones y basándose en pruebas claras. Eliminar los datos ambiguos para que el informe sea más claro. Asumir una interpretación sin evidencia concreta.

¿Cuál es el objetivo del Esquema Nacional de Seguridad?. Sustituir las normas ISO. Regular el comercio digital. Regular el uso de redes sociales. Establecer los principios básicos de seguridad en el sector público.

El ENS establece medidas para garantizar: La regulación de redes sociales. El desarrollo de videojuegos seguros. La seguridad de los sistemas utilizados por la Administración. El uso obligatorio de software libre.

El ENS establece diferentes niveles de seguridad en función de: La clasificación de la información y los riesgos asociados. El número de empleados. El tamaño de la empresa. La antigüedad del sistema.

La normativa sobre infraestructuras críticas obliga a las organizaciones a: Desarrollar software seguro. Utilizar únicamente software libre. Aplicar medidas de seguridad para proteger servicios esenciales. Eliminar el uso de redes informáticas.

La norma ISO 22301 está relacionada principalmente con: Desarrollo seguro de software. Gestión de la continuidad de negocio. Seguridad en redes inalámbricas. Protección de datos personales.

La Ley de Protección de Infraestructuras Críticas (Ley PIC) tiene como objetivo: Regular la protección de servicios esenciales para la sociedad. Regular redes sociales. Regular la privacidad de datos. Regular el comercio digital.

La Directiva NIS se centra especialmente en: Comercios electrónicos. Operadores de servicios esenciales y proveedores digitales. Usuarios particulares. Empresas de desarrollo de software.

El objetivo principal de un Plan de Continuidad de Negocio es: Garantizar que la organización pueda seguir operando tras un incidente. Eliminar completamente los riesgos tecnológicos. Evitar cualquier fallo del sistema. Sustituir los sistemas informáticos.

Un Plan de Continuidad de Negocio debe contemplar: Procedimientos para mantener las operaciones durante una crisis. Únicamente copias de seguridad. Normas de uso de internet. Solo medidas de seguridad física.

Solo medidas de seguridad física. Redes sociales. Comercio minorista. Energía, transporte o agua. Videojuegos y entretenimiento.

Una infraestructura crítica es aquella: Que pertenece a empresas tecnológicas. Cuyo funcionamiento es esencial para la sociedad. Que utiliza software libre. Que utiliza inteligencia artificial.

La Directiva NIS tiene como objetivo principal: Regular las telecomunicaciones privadas. Regular el comercio electrónico. Sustituir el RGPD. Mejorar la ciberseguridad en sectores esenciales.

La protección de infraestructuras críticas busca principalmente: Limitar el uso de internet. Regular el comercio digital. Reducir el número de empresas tecnológicas. Evitar ataques a sistemas esenciales.