Normativa Ciberseguridad UD 13

Una empresa de transporte considerada operador de servicios esenciales tiene externalizada parte de su infraestructura tecnológica en un proveedor. Según el Real Decreto 43/2021, ¿qué afirmación es correcta?. Las medidas de seguridad solo son obligatorias sobre redes propias. La responsabilidad desaparece al contratar un proveedor tecnológico externo. También deben gestionarse los riesgos que afecten a redes y sistemas de proveedores externos utilizados para prestar el servicio.

Una organización ha sido designada como operador de servicios esenciales. Seis meses después de dicha designación, todavía no ha remitido a la autoridad competente el documento donde formaliza las medidas de seguridad aplicadas. ¿Qué documento falta?. El registro de exclusión publicitaria. La Declaración de Aplicabilidad de medidas de seguridad. El consentimiento informado de los usuarios.

Una organización ya había sido requerida por la autoridad competente para corregir deficiencias de seguridad. No las corrige y posteriormente sufre un incidente con efectos perturbadores significativos. Según el régimen sancionador, esta conducta podría considerarse: Actuación permitida si el incidente fue provocado por terceros. Incidencia leve sin responsabilidad. Infracción muy grave.

Un ayuntamiento presta un servicio digital mediante una plataforma en línea. Ante un incidente, ¿qué factor puede influir en la determinación del CSIRT de referencia?. Si la entidad pertenece al sector público o privado. El tipo de sistema operativo instalado en los ordenadores. El número de redes sociales que utilice la entidad.

¿Cuál es la diferencia más adecuada entre nivel de peligrosidad y nivel de impacto de un ciberincidente?. La peligrosidad solo se aplica a incidentes físicos; el impacto solo a incidentes digitales. Ambos conceptos significan exactamente lo mismo y se usan indistintamente. La peligrosidad valora la amenaza potencial del incidente; el impacto valora las consecuencias reales producidas en la organización, activos o personas afectadas.

El Real Decreto-ley 12/2018 tiene como una de sus finalidades principales: Crear un sistema sancionador aplicable solo a ciudadanos particulares. Mejorar la protección frente a amenazas que afectan a redes y sistemas de información y facilitar la coordinación nacional e internacional. Regular únicamente la protección de datos personales de los usuarios finales.

Una empresa privada presta un servicio de computación en la nube a varias organizaciones. Sufre una interrupción importante que afecta a clientes de distintos sectores. Según la normativa NIS española, ¿qué afirmación es más correcta?. Puede estar obligada a notificar el incidente si tiene efectos perturbadores significativos. Puede estar obligada a notificar el incidente solo si pertenece al sector público. No tiene obligaciones porque los servicios en la nube no están incluidos en la normativa.

Una plataforma de comercio electrónico sufre un ataque DDoS que provoca una interrupción del servicio durante varias horas y afecta a un número elevado de usuarios. Para decidir si debe notificarse, la organización debe valorar principalmente: Si el atacante ha publicado el incidente en redes sociales. Si el incidente tiene efectos perturbadores significativos y su nivel de impacto. Si el incidente se produjo fuera del horario laboral.

Una autoridad competente solicita a un operador de servicios esenciales documentación sobre sus políticas de seguridad y evidencias de aplicación. Además, le exige corregir deficiencias detectadas. ¿Dentro de qué función encaja esta actuación?. Supervisión de operadores de servicios esenciales. Transferencia internacional de datos. Exclusión publicitaria.

El responsable de seguridad de la información detecta que existen políticas de seguridad aprobadas, pero no hay controles periódicos ni evidencias de su aplicación. ¿Qué función estaría incumpliendo principalmente?. Designar oficialmente a los operadores de servicios esenciales. Imponer directamente sanciones económicas a la organización. Supervisar la aplicación de políticas, procedimientos y controles de seguridad.