Normativa de Ciberseguridad

La función principal del compliance officer es: a. Ahorrar costes en la organización. b. Identificar riesgos penales y velar por el cumplimiento de los requisitos legales y normativos. c. Evitar pérdidas por multas a la organización. d. Que los responsables de la empresa no reciban sanciones penales.

Las buenas prácticas son: a. Acciones que es probable sean positivas para la organización. b. Acciones que han salido bien en otras organizaciones. c. Acciones que salen bien tras intentos de ejecución reiterados. d. Acciones recomendadas para llevar a cabo una actividad que han resultado satisfactorias para la organización.

Los códigos éticos mejoran la percepción que tienen las personas sobre las empresas. ¿Verdadero o falso?. Verdadero. Falso.

Cuál de las siguientes afirmaciones es correcta con respecto al compliance officer?. a. Debe tener conocimientos de seguridad informática. b. Debe tener un equipo de diez personas por cada mil empleados. c. Debe poder reportar riesgos a la dirección de la organización. d. Debe depender de la dirección financiera de la organización.

Cual de estos elementos NO estará incluido en la documentación sobre la estructura organizativa de la empresa: a. Roles y responsabilidades. b. Organigrama de la organización. c. Programas formativos. d. Líneas de reporte.

El único estándar de seguridad de la información es ISO 27001. ¿Verdadero o falso?. Verdadero. Falso.

El compliance officer puede tener responsabilidad penal sobre un incumplimiento legal. ¿Verdadero o falso?. Verdadero. Falso.

Un proceso de diligencia debida es: a. Un proceso para evaluar la conducta de una organización y conocer su nivel de cumplimiento legal. b. Un proceso para comprar una empresa. c. Un proceso para evaluar los estados financieros de una organización. d. Un proceso para conocer la dirección de la organización.

¿Cuál de las siguientes afirmaciones es correcta con respecto al compliance officer?. a. Debe certificar el sistema de gestión de cumplimiento. b. Puede actuar de contacto con el regulador. c. No es responsable de los incumplimientos de terceros subcontratados. d. No tiene por qué conocer el negocio de la organización.

El único compromiso legal que tienen las empresas es la normativa de protección de datos. ¿Verdadero o falso?. Verdadero. Falso.

Dentro de los códigos éticos, nos tendríamos que encontrar elementos de relacionados con la responsabilidad social corporativa. ¿Verdadero o falso?. Verdadero. falso.

¿Qué es más probable que nos encontremos en una política de buen gobierno corporativo?: a. Cultura, valores y principios. b. Planes comerciales. c. Procedimientos operativos de negocio. d. Políticas de teletrabajo para los empleados.

¿Cuál de los siguientes contenidos nos podemos encontrar en un código ético?. a. Contenido acerca del volumen de ventas en el próximo año. b. Objetivos de beneficios. c. Contenido acerca de la calidad de los productos que ofrece la organización. d. Definición de la jornada laboral de los empleados.

Un proceso de diligencia debida puede implicar la rescisión de un contrato con un tercero. ¿Verdadero o falso?. Verdadero. falso.

La cultura, valores y principios de la organización siempre deben contar con la existencia de: a. Un procedimiento de altas y bajas de empleados. b. Un organigrama de la organización. c. Una estrategia comercial. d. Una misión y visión de la organización.

El cumplimiento del RGPD es un compromiso: a. Voluntario. b. Obligatorio por mandamiento judicial. c. Obligatorio legal. d. Voluntario por normas y estándares.

Las fases de un proceso de diligencia debida son: a. Análisis de antecedentes, ejecución y formalización. b. Análisis de antecedentes, formalización del servicio y monitorización del servicio. c. Análisis de antecedentes, auditoría y ejecución del servicio. d. Análisis de antecedentes, valoración financiera y cumplimiento normativo.

Que afirmación es correcta con respecto a los proveedores de la organización: a. Deben cumplir con los requisitos legales de la organización contratante. b. Son completamente responsables de los incumplimientos en el ejercicio de las funciones encomendadas. c. Deben ser accionistas de la organización que los contrata. d. Deben contar con un compliance officer.

Un código ético incluirá elementos para: a. Conseguir salarios equitativos para todos los empleados. b. Establecer los principios y valores que rijan a una organización. c. Establecer una correcta climatización del lugar de trabajo. d. Especificar las medidas de protección de la información posibles.

El objetivo de la elaboración de un código ético es: a. El aumento de la felicidad de los clientes y empleados. b. Mejora de los objetivos comerciales de la empresa. c. Aumento de los beneficios de la empresa. d. La mejora de la imagen y reconocimiento de las organizaciones.

Una debilidad que presenta un activo o un proceso, es: a. Un riesgo. b. Un impacto. c. Una amenaza. d. Una vulnerabilidad.

La norma ISO 37301:2021 es el estándar de la Organización Internacional de Estandarización que especifica los requisitos y establece una guía para implementar, desarrollar, evaluar, mantener, auditar y mejorar un Sistema de Gestión de Cumplimiento eficaz en una organización. ¿Verdadero o falso?. Verdadero. falso.

¿En que epígrafe del SGC se requiere una política de gestión de riesgos compliance?. a. Planificación del sistema. b. Operación del sistema. c. Soporte al sistema de gestión. d. Liderazgo de la dirección.

¿Qué estándar ISO establece una guía para el desarrollo de sistemas de gestión de cumplimiento normativo?. a. ISO 37001. b. ISO 27001. c. ISO 19600. d. ISO 37301.

La norma ISO 31000 es utilizada para gestionar riesgos de... a. Cualquier tipo de riesgo. b. Riesgos de cumplimiento normativo. c. Riesgos Penales. d. Seguridad de la información.

Como si de un vehículo privado se tratase, los barcos superpetroleros estan asegurados, por lo general por un consorcio de seguros. ¿Qué opción de tratamiento de riesgos se estan tomando las aseguradoras?. a. Evitar. b. Eliminar. c. Reducir. d. Compartir.

ACME ha tomado la decisión de no prestar servicios de prestamos dispositivos móviles por los riesgos financieros que implica el proceso. ¿Qué opción del tratamiento del riesgo se esta tomando?. a. Eliminar. b. Mitigar. c. Evitar. d. Reducir.

El proceso de gestión de riesgos implica, la identificación de riesgos, la evaluación de riesgos, y el tratamiento de riesgos. ¿Verdadero o falso?. Verdadero. falso.

El producto del impacto por la probabilidad, es: a. Un impacto. b. Una consecuencia. c. Un riesgo. d. Una vulnerabilidad.

Un ciberdelincuente mayor de edad ha sido detenido y acusado por causar daños contra una empresa privada ¿A que juzgado acudirá?. a. Juzgado de lo mercantil. b. Juzgado de lo penal. c. Juzgado de lo social. d. Juzgado de Paz.

Un sistema de gestión de compliance penal basado en la UNE 19601 puede utilizar un análisis de riesgos basado en la ISO 31000. ¿Verdadero o falso?. Verdadero. falso.

La norma ISO 37001 es certificable. ¿Verdadero o falso?. Verdadero. falso.

¿Qué información es requerida en el sistema de gestión de riesgos penales?. a. Convenio colectivo de la organización. b. Costes de la producción de la organización. c. Estrategia comercial de la organización. d. Análisis de Riesgos penales de la organización.

¿Cuál de los siguientes forma parte del contexto externo de una empresa?. a. Estructura organizativa de la organización. b. Recursos humanos. c. Regulación ambiental del país. d. Cultura de la organización.

La regulación que protege las creaciones originales, en cualquier formato y medio es: a. RGPD. b. Reglamento eIDAS. c. LPI. d. LSSI-CE.

Un ciberdelincuente envía un correo electrónico a la secretaria de dirección suplantando al CEO de una organización con el objetivo de que realice un pago a un proveedor falso. ¿Qué delito está cometiendo?. a. Daños informáticos. b. Delito contra la intimidad, allanamiento informático y otros delitos informáticos. c. Estafas y fraudes. d. Delito contra la propiedad intelectual e industrial, el mercado y los consumidores.

¿Cuál de las siguientes normas ISO es relativa a la gestión antisoborno?. a. UNE 19601. b. ISO 19601. c. ISO 37001. d. ISO 37301.

El Riesgo penal está relacionado con el desarrollo de conductas que pueden ser constitutivas de delito según el régimen de responsabilidad de las personas jurídicas definido en el Código Penal Español. ¿Verdadero o falso?. Verdadero. falso.

La dirección de una organización no puede recibir sanciones penales por la actividad de la organización. ¿Verdadero o falso?. Verdadero. falso.

La mejor manera de demostrar el liderazgo y la cultura de cumplimiento en una organización es. a. Firmando, aprobando y promoviendo una política de compliance penal en la empresa. b. Teniendo una buena relación con las fuerzas y cuerpos de seguridad del estado. c. Invirtiendo en software de cumplimiento. d. Participando en las consultas públicas para la creación de leyes.

Cuál de los siguientes NO es un dato de carácter personal?. a. 80.20.14.52. b. ****45C. c. Calle príncipe de Vergara, 32, 5D. d. 73579525H.

La Agencia Española de Protección de Datos es la única autoridad competente en materia de protección de datos en España. ¿Verdadero o falso?. Verdadero. falso.

¿Cuál de los siguientes países se considera tiene un nivel de seguridad adecuado para una transferencia internacional de datos?. a. Chile. b. Australia. c. Argentina. d. Marruecos.

ACME subcontrata los servicios de atención al cliente en un tercero. ¿Qué figura ejerce este tercero ante los datos?. a. Interesado. b. Responsable de tratamiento. c. Propietario de información. d. encargado de tratamiento.

¿Cual de los siguientes NO es un dato sensible?. a. Afiliación política. b. Tarjeta de crédito. c. Salud. d. Origen racial.

Un usuario se muda de vivienda. ¿Qué derecho podría sería razonable utilizar ante todos sus proveedores?. a. Derecho de acceso. b. Derecho de oposición al tratamiento. c. Derecho de información. d. Derecho de rectificación.

Un análisis de impacto en privacidad será obligatorio cuando: a. Cuando la organización subcontrate un servicio. b. Se trate al menos un dato identificativo de los clientes. c. Cuando se traten datos de empleados. d. Cuando se utilice una tecnología novedosa para tratar los datos.

El único compromiso legal que tienen las empresas es la LOPD y la RGPD. ¿Verdadero o falso?. Verdadero. falso.

El tratamiento de datos sensibles estará siempre prohibido salvo... a. sea necesario para el proceso de negocio de la empresa. b. que el interesado consienta explícitamente su tratamiento. c. sea cedido a terceras empresas. d. el encargado de tratamiento este interesado.

El responsable de tratamiento debe notificar a la agencia de protección de datos una brecha de datos personales en un plazo no superior a 48 horas. ¿Verdadero o falso?. Verdadero. falso.

La norma ISO 22301 es certificable. ¿Verdadero o falso?. Verdadero. falso.

Tanto las personas como las organizaciones nos podemos certificar en ISO 27001. ¿Verdadero o falso?. Verdadero. falso.

La directiva NIS exige nombrar a un responsable de seguridad a las organizaciones en las que aplica. ¿Verdadero o falso?. Verdadero. falso.

¿Cuál de las siguientes organizaciones esta afectada por la directiva NIS?. a. Mercadona. b. Amazon. c. Ferrovial. d. Meliá.

La ultima versión de la ISO 27002 es del año 2022. ¿Verdadero o falso?. Verdadero. falso.

¿Con que CERT de referencia de contar el SEPE para dar respuesta a una incidencia de seguridad?. a. SEPE-CERT. b. CCN-CERT. c. ESPDEF-CERT. d. INCIBE-CERT.

¿Que tres grupos de medidas hay en el anexo 2 del Esquema nacional de seguridad?. a. Marco Organizativo, operacional y medidas de protección. b. Marco detectivo, operativo, y organizativo. c. Marco preventivo, detectivo y operativo. d. Medidas de protección, deteccion y organización.

¿Cuál de las siguientes organizaciones no esta obligada a cumplir con el Esquema Nacional de Seguridad?. a. Banco de España. b. ACME, como empresa de telecomunicaciones dando servicio a Fuerzas y Cuerpo de Seguridad del Estado. c. Ministerio de industria, turismo y comercio. d. Banco Santander.

¿Cuál de los siguientes procesos no forma parte de la evaluación de riesgos de continuidad?. a. Identificar riesgos para las actividades criticas para la organización. b. Minimizar los riesgos. c. Analizar los riesgos identificados. d. Determinar la mejor decisión de tratamiento de riesgos.

¿Cual de los siguientes es el equipo de respuesta urgente a incidentes de seguridad?. a. SOC. b. CSIRT. c. CERT. d. EDR.