Pamplinas Varias 3

1. De acuerdo con la “Resolución de 8 de abril de 2021, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se aprueba la Política de Seguridad de las Tecnologías de la información y la comunicación del Servicio Andaluz de Salud” ¿Cuál de las siguientes es una función del Responsable de los Servicios?. A) Establecer los requisitos de seguridad de los servicios, para lo que podrá solicitar la propuesta previa del CSISTIC-SAS. B) Desarrollar, operar y mantener el sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento. C) Acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. D) Todas las anteriores son correctas.

2. Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad. Es una función de ¿Cuál de las siguientes figuras?. A) Responsables de los Servicios. B) Responsables de los sistemas y tecnologías del SAS. C) Responsables de Seguridad TIC de las instituciones. D) Responsable de Seguridad TIC del SAS.

3. ¿Cuál de las siguientes figuras NO forma parte de los Comités de Seguridad interior y Seguridad TIC de las Instituciones?. A) Las personas responsables de las áreas Asistencial, Económica y de Personal. B) La persona responsable de Documentación Clínica. C) La persona responsable de las Unidades de Atención de la Ciudadanía. D) La persona responsable del Servicio de Electromedicina.

4. Nombrar a la persona Responsable de Seguridad TIC de la Institución, corresponde a ¿Cuál de los siguientes?. A) Es función de la Dirección Gerencia del SAS. B) Es función de la Dirección Gerencia del centro. C) Es función del Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información y Comunicaciones del Servicio Andaluz de Salud. D) Comités de Seguridad interior y Seguridad TIC de las Instituciones.

5. Elaborar procedimientos operativos de seguridad ¿Es una función de cuál de las siguientes figuras u órganos?. A) Del Comité de Seguridad Interior y Seguridad TIC del SAS. B) Del Responsable de los sistemas y tecnologías del SAS. C) De la Dirección General de Tecnologías de Información y las Comunicaciones del SAS. D) De la Dirección Gerencia del SAS como Responsable de la Información afectada.

6. Para la determinación del nivel de seguridad requerido en una dimensión de seguridad, la reducción de forma apreciable de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose, se determinará como: A) de Nivel BAJO. B) de Nivel MEDIO. C) de Nivel ALTO. D) de Categoría ALTA.

7. Para la determinación del nivel de seguridad requerido en una dimensión de seguridad, causar un daño muy grave, e incluso irreparable, de los activos de la organización, se determinará como: A) de Nivel BAJO. B) de Nivel MEDIO. C) de Nivel ALTO. D) Categoría ALTA.

8. Para la determinación del nivel de seguridad requerido en una dimensión de seguridad, el incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable, se determinará como: A) de Nivel BAJO. B) de Nivel MEDIO. C) de Nivel ALTO. D) de Categoría ALTA.

9. Dado un sistema cuyos niveles en sus dimensiones CITAD, se han determinado como BABBB, ¿Cómo sería categorizado?. A) de Nivel BAJO. B) de Nivel MEDIO. C) de Nivel ALTO. D) de Categoría ALTA.

10. La propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos, es: A) Autenticidad. B) Confidencialidad. C) Disponibilidad. D) Trazabilidad.

11. El conjunto de directrices plasmadas en un documento, que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta es: A) Marco Normativo de Seguridad. B) Política de seguridad de la información. C) Política de seguridad. D) b y c son correctas.

12. Como se denomina a la colección de activos uniformemente protegidos, típicamente bajo una única autoridad. A) Sistema de información. B) Identificación de activos. C) Centro de proceso de datos. C) Centro de proceso de datos.

13. En el contexto de ITIL, ¿cuál de las siguientes opciones define correctamente un "Problema"?. A) Cualquier interrupción no planificada a un servicio de TI o una reducción en la calidad de este. B) Una causa, o causa potencial, de uno o más incidentes. C) Una solicitud formal de un usuario para implementar un cambio en la infraestructura. D) Un evento detectable que tiene importancia para la gestión del servicio.

14. ¿Qué madurez se requiere para un sistema categorizado en categoría BÁSICA?. A) L1 - Inicial. Ad hoc. B) L2 - Reproducible, pero intuitivo. C) L3 - Proceso definido. D) L4 - Gestionado y medible.

15. ¿Qué órgano es responsable de la prestación de servicios de respuesta a incidentes de seguridad a las entidades del sector público?. A) INCIBE-CERT. B) CCN-CERT. C) ANDALUCIA-CERT. D) Red Nacional de SOC (RNS).

16. ¿Cuál de las siguientes es un principio básico del Esquema Nacional de Seguridad?. A) Seguridad como proceso integral. B) Gestión de la seguridad basada en los riesgos. C) Prevención, detección, respuesta y conservación. D) Todos los anteriores.

17. Los procedimientos técnicos de seguridad establecidos dentro del tercer nivel normativo del marco normativo de la seguridad TIC del SAS serán aprobados por: A) El comité de seguridad competente. B) Dependerá de su ámbito de aplicación. C) El Responsable de seguridad TIC competente. D) El CSISTIC-SAS a propuesta del Responsable de Seguridad TIC del SAS.

18. Para la notificación de los incidentes de ciberseguridad se utilizará como criterio de referencia el Nivel de peligrosidad que se asigne a un incidente. ¿Qué incidentes son de obligada notificación de acuerdo con la Guía Nacional de Notificación y Gestión de Incidentes?. A) BAJO y MEDIO. B) MEDIO y ALTO. C) ALTO, MUY ALTO Y CRITICO. D) Todos los incidentes deben ser comunicados.

19. ¿Cuál de las siguientes acciones corresponde a la fase de MITIGACIÓN de la gestión de incidentes de ciberseguridad?. A) Disponer de información actualizada de contacto, tanto de personal interno como externo, a implicar en otras fases de gestión del ciberincidente, así como las distintas vías de contacto disponibles en cada caso. B) Disponer de capacidades para descubrir ciberincidentes y comunicarlos a los contactos apropiados. C) Registrar y monitorizar los eventos de las redes, sistemas y aplicaciones. D) Recuperación de la última copia de seguridad limpia.

20. De acuerdo con los criterios de determinación del nivel de peligrosidad de un ciberincidente ¿Cuál de las siguientes afirmaciones es correcta?. A) Un incidente de tipo APT se categoriza con un nivel de peligrosidad CRÍTICO. B) Un tipo de incidente “sabotaje” se categoriza con un nivel de peligrosidad ALTO. C) Un tipo de incidente “DDoS (Denegación distribuida de servicio)” se categoriza con un nivel de peligrosidad MUY ALTO. D) Un tipo de incidente “Phishing” se categoriza con un nivel de peligrosidad MEDIO.

21. De acuerdo con la DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2), los prestadores de asistencia sanitaria son una entidad: A) Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE. B) Crítica. C) Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. D) Esencial.

22. El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) nº 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia) es aplicable a ¿Cuál de los siguientes?. A) A los productos con elementos digitales a los que sean aplicable el Reglamento (UE) 2017/745 (Dispositivos Médicos). B) A los productos con elementos digitales a los que sean aplicable el Reglamento (UE) 2017/746 (productos sanitarios para diagnóstico in vitro). C) A los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red. D) A las piezas de recambio que se comercialicen para reemplazar componentes idénticos en productos con elementos digitales y que se fabriquen con arreglo a las mismas especificaciones que los componentes a los que están destinadas a sustituir.

23. De acuerdo con la metodología MAGERIT para el análisis de riesgos, en un sistema de información hay 2 cosas esenciales: A) Los activos y las amenazas. B) Los activos y las vulnerabilidades. C) La información que maneja y los servicios que presta. D) El impacto y el riesgo.

24. Los activos esenciales dependen de otros activos tales como las comunicaciones, las instalaciones y las personas, formando árboles o grafos. Estas estructuras reflejan de abajo hacia arriba: A) Las dependencias. B) La propagación del daño en caso de materializarse las amenazas. C) La importancia del activo. D) Todas las anteriores.

25. El impacto repercutido sobre un activo se calcula teniendo en cuenta: A) El riesgo y el valor repercutidos del activo. B) El impacto y riesgo potenciales del activo. C) El valor propio del activo y las amenazas a que están expuestos los activos de los que depende. D) Ninguna de las anteriores.

26. ¿Cuál de las respuestas se corresponde con la siguiente definición? “Se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor propio, la degradación causada y la probabilidad de la amenaza.”. A) Riesgo potencial. B) Riesgo acumulado. C) Riesgo residual. D) Riesgo repercutido.

27. De acuerdo con la metodología de Análisis de Riesgos MAGERIT ¿Cuál de las siguientes salvaguardas actúan acotando la degradación del activo?. A) [PR] preventivas, [DR] disuasorias, [EL] eliminatorias. B) [IM] minimizadoras, [CR] correctivas, [RC] recuperativas. C) [MN] de monitorización, [DC] de detección, [AW] de concienciación, [AD] administrativas. D) Todas las anteriores son correctas.

28. De acuerdo con la metodología de Análisis de Riesgos MAGERIT, durante el proceso de gestión de riesgos, la opción de aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y justificación. Cual de las siguientes razones que pueden llevar a esta aceptación NO es correcta: A) Cuando el impacto residual es asumible. B) Cuando el riesgo residual es asumible. C) Cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al impacto y riesgo residuales. D) Cuando el impacto y la probabilidad de la amenaza son muy altos.

29. La decisión de aceptación del riesgo corresponde a los órganos de gobierno de la Organización. ¿Cuál de las siguientes decisiones NO es la correcta?. A) Es una decisión técnica. B) Es una decisión política. C) Es una decisión gerencial. D) B y c son correctas.

30. Si el valor del riesgo residual es igual al valor del riesgo potencial. A) Las salvaguardas existentes no valen para nada. B) Las salvaguardas existentes están funcionando perfectamente. C) Las amenazas igualan a las vulnerabilidades. D) El riesgo es igual a 0.

31. ¿Cuál de las siguientes es el motivo principal para que auditores y consultores de riesgo independientes revisen el proceso de gestión de riesgos de una organización?. A) Garantizar que los resultados de riesgos son coherentes. B) Garantizar que los factores y el perfil de riesgo estén bien definidos. C) Corregir cualquier error de la evaluación del riesgo. D) Facilitar las debilidades de control para producir informes para la alta dirección.

32. Una empresa ha externalizado el tratamiento de los datos del personal a un proveedor externo y durante el procesamiento de los datos se produce una violación de la regulación ¿Quién tendrá la responsabilidad legal?. A) El proveedor, porque tiene la responsabilidad operativa. B) La empresa, porque es la propietaria de los datos. C) La empresa y el proveedor. D) El proveedor, porque no ha cumplido el contrato.

33. ¿Cuál de las siguientes opciones representa mejor método para asegurar la efectividad general de un programa de gestión del riesgo?. A) Obtener retroalimentación de todos los usuarios finales. B) Asignar a un experto en gestión de riesgos exclusivo para que se encargue del programa. C) Aplicar metodologías de riesgo cuantitativas. D) Conseguir la participación de las partes interesadas pertinentes.