¿Qué power ranger eres?

La necesidad de armonizar las normas europeas viene impulsada por la Europa de las cuatro libertades, tres de las cuales son: Libertad de circulación de personas, capitales e ideas. Libertad de circulación de mercancías, servicios y bienes. Libertad de circulación de capitales, mercancías y servicios.

Las funciones básicas de la gestión de las organizaciones son cuatro, tres de las cuales son: Planificación, programación y organización. Organización, control y ejecución. Planificación, control y supervisión.

Según la Ley 21/1992, de Industria, una norma se caracteriza entre otras: Por ser una especificación de uso continuo o esporádico, de observancia no obligatoria y elaborada con la participación de las partes interesadas. Por iniciarse, desarrollarse y aprobarse con la participación de empresas, organismos y personas físicas interesadas. Por ser aprobada por un organismo de normalización reconocido a nivel internacional o nacional.

Según la Ley 21/1992, de Industria. Las Entidades de certificación son personas físicas o jurídicas que establecen la conformidad de empresas, productos, etc. con normas o reglamentos técnicos. Las Entidades de certificación no requiere de la previa autorización de ninguna otra entidad en el desarrollo de su actividad. Los Laboratorios de ensayo evalúan el cumplimiento voluntario de un productos con las normas o especificaciones técnicas aplicables.

Según las normas legales que desarrollan en España la normalización: AENOR debe informar a ISO e IEC de cualquier proyecto de norma que desee desarrollar. AENOR es el único Organismo de normalización estatal y su ámbito es multisectorial. Los organismos europeos de normalización son: CEN; CENELEC; ETSI y los nacionales de los países miembros de la Unión europea.

En los trabajos de normalización, AENOR se estructura en Comités Técnicos de normalización (CTN), Subcomités (SC) y Grupos de trabajo (GT): Los GT no pueden depender directamente de un CTN. En la elaboración de los proyectos de normas, los SC actúan con total independencia y autonomía de los CTN en los que se encuadran. Los GT pueden elaborar normas con plena autonomía del CTN o del SC en los que se encuadran.

La familia de normas ISO/IEC 27xxx: Está constituida por un conjunto de normas ninguna de las cuales está destinada a un sector empresarial específico. Una de ellas establece un código de buenas prácticas para la gestión de la seguridad. Siguen un modelo, PDCA, específicamente creado para la familia.

La norma ISO/IEC 27002: Es certificable, es decir establece requisitos cuyo cumplimiento es evaluable. Igual que la 27000, la 27001 y la 27005 es también una norma UNE. Sirve de apoyo a la 27001.

La norma UNE-ISO/IEC 27000: Define un Control como un modo de control de un riesgo, que puede ser técnico o de gestión. Define un Objetivo de un control como una declaración que describe el propósito de implementar un control. Establece que el término control es sinónimo de salvaguarda o mecanismo de seguridad.

La norma UNE-ISO/IEC 27000 establece que el propósito de: El Análisis de riesgos es la identificación de los orígenes, la evaluación del riesgo, la aceptación del riesgo y el tratamiento del mismo. La Gestión del riesgo es la identificación de los orígenes del riesgo y la estimación del mismo. El Tratamiento del riesgo es la selección e implementación de medidas para modificar el riesgo.

La norma UNE-ISO/IEC 27000: Define Activo como un componente o función de de un sistema de información susceptible de ser atacado deliberadamente para dañar a la organización. Establece que los activos son: la información; los recursos físicos y los recursos lógicos. Define Activo de información a los conocimientos o datos que tiene valor para la organización.

La norma UNE-ISO/IEC 27001: Constituye una guía para establecer controles. Está alineada con otros sistemas de control de ISO/IEC, como el ISO/IEC 9000. Incluye una metodología de Análisis de riesgos.

La norma UNE-ISO/IEC 27001 se estructura en Dominios de seguridad (Categorías principales de seguridad) entre los que se encuentran: Los Aspectos organizativos, centrados en exclusiva en la gestión de la seguridad interna de la información y de los terceros que acceden a ella. Los Recursos humanos centrado en el personal, sea antes de su contratación o sea durante su empleo. El Cumplimiento, centrado en exclusiva en el cumplimiento de los aspectos legales.

Según la Ley 21/1992, de Industria, un Reglamento técnico es una especificación técnica: Establecida con carácter obligatorio a través de una disposición. Aprobada por Aenor y publicada en el B.O.E mediante un Real Decreto del Ministerio de Industria. De carácter no obligatorio, salvo que el Ministerio de Industria expresamente establezca lo contrario.

Según la Ley 21/1992, de Industria, las entidades de acreditación: Son entidades privadas sin ánimo de lucro que acreditan, entre otras, a las entidades de normalización. Son organismos públicos que acreditan, entre otras a entidades de certificación y a los laboratorios de ensayo. Reconocen formalmente la competencia técnica de una entidad para certificar, inspeccionar o auditar la calidad, o un laboratorio de ensayo o de calibración industrial.

La Organización Internacional para la Normalización, ISO y la Comisión Electrotécnica Internacional, IEC: Actúan conjuntamente en la normalización de las Tecnologías de la Información, mediante el Joint Technical Committe 1, JTC1. Ambos organismos aprueban las normas mediante el voto ponderado de sus miembros. Son organismos dependientes de la Organización de las Naciones Unidas.

Los organismos europeos de normalización CEN y CENELEC: Deben adoptar como propias las normas de ISO y de IEC. Aprueban normas que conllevan la obligación de cancelar cualquier norma nacional de los países miembros de esos organismos europeos. Sus normas son aprobadas mediante un voto igual de cada uno de sus miembros.

¿De entre lo siguiente, qué es lo PRIMERO que se ha de elegir para definir una estrategia de seguridad de la información?: Definir los objetivos y el alcance del SGSI. Definir la hoja de ruta con los plazos de entrega en los que se van a cumplir las distintas etapas. Seleccionar el marco de control (COBIT, ISO, etc.) para poder desarrollar lo que se indique y en el orden recomendado.

Los objetivos de un SGSI deben necesariamente: Ser específicos de las tecnologías que se utilizan. Ser coherentes con lo indicado con las norma que tengamos implantada. Estar alineados con los objetivos del negocio.

El proceso de certificación de la UNE ISO/IEC 27001 ha de ser realizado: A través de una auditoría interna junto con las áreas contenidas en el alcance del SGSI. Contratando una empresa auditora externa a la organización. A través de chequeo de los objetivos de control y los controles propuestos por la norma.

En lo referido a las relaciones con proveedores de servicios externos, qué es lo MÁS importante a considerar?. Que existe una orden de compra que avala el alcance del servicio a prestar. Que se audita el servicio subcontratado. Que hay acordadas unas penalizaciones por incumplimiento.

La segregación de tareas nos permite: Que el personal interno no esté sobrecargado al poder repartirse el trabajo. Reducir la posibilidad de que se produzcan modificaciones no autorizadas. Una mejor planificación interna de las actividades.

En lo relacionado con las funciones del responsable de seguridad podemos afirmar que el área de seguridad debería: Tener responsabilidades operativas sobre los sistemas para asegurar el cumplimiento de controles. Hacer únicamente las funciones encomendadas y que cada área se encargue de las suyas según las competencias definidas. Aprobar todos los procedimientos técnicos para asegurar que se han diseñado respetando las políticas.

Si hablamos de normas y metodologías para llevar a cabo de forma metódica el análisis y gestión de riesgos NO estamos hablando de: ISO 31000. ISO/IEC 27005. UNE-ISO/IEC 27001.

Los niveles de seguridad que se proponen en el Real Decreto 1720/07 son: Alto, medio y bajo. Secreto, reservado y confidencial. Publico, restringido y reservado.

Uno de los criterios generales a seguir en la elaboración del Plan de Seguridad es: Empezar por la defensa de los puntos con menor riesgo. El valor del activo debe ser mayor que el coste de la salvaguarda que se utilice. No hay que reparar en el coste de la salvaguarda si con ello conseguimos proteger el sistema.

Cuando contratamos un seguro de cobertura de riesgos, estamos realizando un tratamiento del tipo. Mitigación del riesgo. Asumir el riesgo. Compartir del riesgo.

Entre otros, son organismos de normalización reconocidos a nivel: Internacional, ISO e IEEE. Europeo, CEN y CENELEC. Nacional, UNE y ENAC.

Respecto de las normas y de los reglamentos técnicos, señale la respuesta INCORRECTA: Las primeras se establecen con la participación de todas las partes interesadas, lo que no ocurre con los segundos. Las segundas se aprueban por una disposición legal, lo que no sucede con los primeros. Ambas son de cumplimiento obligatorio.

Las entidades de certificación: Deben ser acreditadas por una entidad de acreditación. Certifican productos, servicios o empresas que previamente han sido auditadas por un laboratorio de ensayo. Certifican a las entidades de normalización.

La Estrategia de Seguridad Nacional 2017: Establece un Consejo de Seguridad Nacional asistido por varios órganos entre los que se encuentra el Consejo Nacional de Ciberseguridad. Distingue 6 sectores estratégicos, uno de los cuales son las infraestructuras críticas. Establece varias líneas de acción, una de las cuales es la protección de las infraestructuras esenciales.

El CERT del CCN: Es el Centro de alerta nacional responsable de los sistemas clasificados de las AA PP y de los operadores de infraestructuras críticas. Su Sistema de Alerta Temprana está constituido por funcionarios de las AA PP que alertan al CERT al conocer un ataque sobre su Administración. Establece tres niveles de peligrosidad de las amenazas, siendo el más alto las patrocinadas por Estados y que afectan al gobierno, AA PP, etc.

En lo referente a la seguridad de la información y su relación con la seguridad informática, señale la afirmación que considere más apropiada: A través de la seguridad informática protegeremos exclusivamente todo lo relacionado con el equipamiento de infraestructuras y las telecomunicaciones. La seguridad de la información se encarga exclusivamente de cubrir todo lo que no alcanza la seguridad informática. Ambas tratan de reducir el riesgo en las operaciones.

Señale cuál de los siguientes NO sería un principio básico en una implementación exitosa de un sistema de gestión de la seguridad de la información: Actitud reactiva. Mejora de valores sociales. Adecuación de controles según la apreciación de riesgos.

La realización de un análisis diferencial, también conocido como GAP ANALYSIS, como parte del proyecto de implantación de un SGSI: Es de carácter obligatorio y con él se pretende mostrar los incumplimientos de los requisitos. Es un ejercicio de carácter opcional, pero que es de utilidad para tener la declaración de aplicabilidad. Es una herramienta para valorar en cada momento el estado del proyecto.

El marco de trabajo de NIST para mejorar la ciberseguridad en las infraestructuras críticas (CSF) establece 5 funciones para la agrupación de las distintas categorías de controles: Identificación – protección – detección – respuesta - recuperación. Identificación – prevención – detección – corrección – recuperación. Prevención – detección – recuperación – corrección – documentación.

En relación con un sistema de gestión de la seguridad de la información, según la norma ISO/IEC 27001:2013, señale aquella afirmación que NO sea correcta: Asegura a la organización el éxito empresarial y garantiza el cumplimiento de la legislación vigente que le pueda afectar. Entre sus aportaciones está la integración del mismo en el resto de procesos de forma que pueda ser utilizado por todas las partes. Está basado en un enfoque de riesgo empresarial.

Cuando hablamos del riesgo existente tras implementar las medidas de seguridad, del riesgo presente considerando las medidas existentes y del riesgo característico o intrínseco, nos referimos al riesgo: Residual – Real – Inherente. Inherente – Residual – Real. Residual – Inherente – Real.

Señale cuál de las siguientes afirmaciones NO sería correcta cuando hablamos de COBIT: Mantiene una separación entre los procesos relacionados con el gobierno de la organización de los de gestión de la misma. Todo el marco de trabajo está basado en procesos de gestión de las tecnologías de la información con mención específica a la gestión de la seguridad (APO13). Todos los procesos mencionan aspectos relacionado con el personal.

El requisito de LIDERAZGO, según lo descrito por UNE-EN ISO/IEC 27001:2017 se puede evidenciar a través de todo lo siguiente SALVO: Proporcionando e incentivando que se consigan los resultados. Siendo el responsable operativo de la administración de los sistemas. Dirigiendo y apoyando al personal que tenga las responsabilidades operativas.

Si hablamos de acciones inmediatas, correctoras y controles de cierre, nos estamos refiriendo a: Gestión de eventos de seguridad. Gestión de no conformidades. Tratamiento de incidentes de seguridad.

Las actividades de formación y concienciación deben considerar todo lo que se enumera MENOS: Deben considerar la parte laboral y personal de los empleados que trabajan en la organización. Deben basarse en las consecuencias personales de las acciones. Deben centrar la atención de los usuarios en la seguridad.

La selección y aplicación de medidas de seguridad NO deben necesariamente equilibrarse con factores como la naturaleza de los datos, los riesgos que les afecten y los sistemas de información que los traten: Correcto; será un criterio a decidir por el responsable de seguridad. Incorrecto, ya que siempre se observará un principio de proporcionalidad. Siempre habrán de ser dependientes del valor del activo.

Un SGSI permite PRINCIPALMENTE a una organización: Satisfacer los requisitos de seguridad de las partes interesadas. Tener un sistema más seguro. Tener un certificado que demuestre ante un tercero la existencia de políticas, procedimientos, guías, recursos, etc. para la seguridad de la información.

La MEJOR opción para la definición y construcción de un proyecto para la gestión de la seguridad de la información (SGSI) es que sea: Liderado necesariamente por el departamento de informática, dadas las connotaciones técnicas que implica. Coliderado desde una comisión dónde estén representadas todas las áreas de la empresa. Responsabilidad directa del departamento de seguridad, aunque tengan voz y voto los departamentos más relevantes de la empresa.

Si hablamos de COBIT, entenderemos que es un: Marco de trabajo centrado en la protección de la información e infraestructuras, mediante el desarrollo de guías y métricas. Marco que propone los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información. Modelo para llevar a cabo el buen gobierno de las tecnologías de la información en la empresa que recoge un conjunto de buenas prácticas.

Si queremos valorar el perjuicio que causaría no saber exactamente quien ha realizado una determinada acción hablaríamos de una afectación de la: Integridad. Autenticidad. Confidencialidad.

La implantación de la norma ISO/IEC 27001: Permite excluir controles innecesarios, aunque deberá estar debidamente justificada dicha exclusión. Debe considerar qué requisitos son los que en cada caso se aplican a nuestra empresa y, si no se consideran, deberán ser convenientemente justificados. Debe incluir todos los controles contemplados en la misma, pues todos son obligatorios.

La gestión de las NO CONFORMIDADES en el ámbito de un SGSI: Es parte de la apreciación de los riesgos. Es un aspecto que gestiona exclusivamente el auditor cuando revisa/certifica el estado de un SGSI para su declaración de conformidad. Ha de entenderse como un apartado del área de mejoras para tratar el incumplimiento de los requisitos.

El dominio relacionado con la seguridad de los recursos humanos, en el marco de la norma UNE-EN ISO/IEC 27001: Es un requisito de la norma y por tanto de obligado cumplimiento. Es un objetivo de control y contempla el conjunto de controles que han de implementarse para la protección de las personas físicas. Recoge el conjunto de controles destinados a proteger la información en su uso por parte del personal.

La política de seguridad de la información de una empresa. Debe contener de forma detallada el conjunto de indicaciones para implementar, crear, operar y mejorar la seguridad de la información. Es recomendable que sea breve dejando los detalles técnicos para otros documentos normativos. Es un documento de bajo nivel en el que se tratan todos los aspectos relacionados con la seguridad de la información.

Lo que MEJOR define cual es el fin último de las actividades de gestión de los riesgos es: La protección de cualquier bien que tenga valor para la organización. La prevención de las amenazas. La gestión del impacto para facilitar una degradación controlada de la disponibilidad de los activos.

Si tratamos de determinar cuál es el riesgo real que se puede dar en nuestra empresa: Tendremos que considerar los distintos escenarios de riesgo y las medidas existentes. Hay que considerar los distintos escenarios de riesgo y su relación con el “apetito'' de riesgo de nuestra empresa. Será el resultado en el que quedan los riesgos sobre los tratamientos, considerando las medidas que existen y las nuevas que se hayan tomado.

La consideración de las actividades de formación y concienciación, en el ámbito ENS, la ISO/IEC 27001 y Reglamento LOPD: Tienen carácter obligado para aquellas organizaciones a las que les aplique el cumplimiento del ENS y el Reglamento, pero opcional en el caso de tener implantada la norma ISO/IEC 27001. Es un aspecto recogido y requerido en las normas anteriores y es misión del CCN desarrollar formación, recomendaciones y herramientas. Son recomendaciones para que sean tenidas en consideración, ya que el factor humano ha demostrado ser muy relevante en la gestión de la información.

A la hora de gestionar los riesgos que han aparecido tras un análisis hecho en una Organización. Es posible que se decida aceptarlos y en consecuencia asumir los costes que se podrían generar en caso de materializarse. Todos los riesgos deben ser minimizados a través de salvaguardas y, siempre que sea posible, habrán de ser neutralizados. Solo se considerarán los riesgos que tengan un impacto moderado en los activos esenciales de la Organización.

Si un organismo público decide hacer de forma interna un análisis de riesgos, entre las posibles motivaciones para justificar dicho proyecto se podría citar. Que tiene consideración de precepto legal. Que es adecuado para ver si las decisiones tomadas con anterioridad, acerca de la gestión y la inversión en seguridad, han sido adecuadas. Que es una forma de cumplir con la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

La calificación de una materia en la categoría: Confidencial, corresponde exclusivamente, en la esfera de su competencia, a los Ministros, Secretarios de Estado, Subsecretarios y los Jefes de Estado Mayor de los tres Ejércitos. Reservada, corresponde exclusivamente, en la esfera de su competencia, al Presidente del Consejo de Ministros y al Jefe del Estado Mayor de la Defensa. Secreto, corresponderá exclusivamente, en la esfera de su competencia, al Consejo de Ministros y a la Junta de Jefes de Estado Mayor.

Según el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información: La entidad competente para emitir certificados de productos y sistemas es el Organismo de Certificación, dependiente del Ministerio de Industria, Energía y Turismo. La certificación de un producto debe incluir la norma de evaluación frente a la que se ha evaluado. Previamente a la certificación de un producto por el organismo competente, dicho producto debe obtener un certificado de conformidad expedido por la Entidad Nacional de Acreditación, ENAC.

Legalmente, una norma nacional. Es una especificación técnica de observancia obligatoria en un país aprobada por un organismo reconocido de actividad normalizadora. Puede ser desarrollada por un organismo de normalización de facto. Si es española (UNE), se debe publicar en el BOE como proyecto de norma previamente a su aprobación.

El conjunto de normas de la familia ISO/IEC 270xx. Una propuesta de carácter obligado para aquellas organizaciones publicas que quieran gestionar de manera segura su información. Un estándar - de carácter opcional - que ayuda a los Organismos Público a desarrollar un sistema de gestión de la seguridad de la información. Un modelo a seguir para la implementación y operación de un sistema de gestión de la seguridad de la información y que aplica a empresas y organismos de cualquier naturaleza.

Un SGSI lo compone. Conjunto de medidas de carácter técnico que determinan cómo de ha de custodiar, tratar, transmitir, almacenar y destruir la información. Conjunto de políticas, procedimientos, guías, recursos, etc. El conjunto de normas y políticas que la dirección general de una Organización ha decidido que sean llevadas a cabo y de obligado cumplimiento por todos los empleados.

Las guías NIST son. Conjunto de estándares, guías y métricas para la protección de la información e infraestructuras. Un estándar internacional patrocinado por la UE para la definición y gestión de un SGSI. Un conjunto de buenas prácticas para la gestión de los activos de información.

COBIT es. Un modelo de gobierno de las empresas con indicaciones centradas en la protección de la información. Una norma internacional que indica como llevar a cabo la puesta en marcha de un sistema de gestión de la seguridad de la información. Una propuesta de modelo de gobierno de TI en las empresas.

Marcar todo aquello que aporta el estándar que se desarrolla en la familia ISO/IEC 27000. Conjunto de requerimientos que debe de cumplir un SGSI. Conjunto de métricas e indicadores. Enumeración de medidas técnicas que como mínimo han de ser implementadas. Guía para la auditoría.

El departamento de TI es responsable del manejo de amenazas a la seguridad. Verdadero. Falso.

El estándar ISO/IEC 27001. Es aplicable a todo perfil de empresa si bien requiere de unos recursos mínimos si se quiere implementar de una forma efectiva. Solamente tiene sentido si hablamos de Organismos de carácter público. Es aplicable solamente para empresas de un tamaño medio y por supuesto para las multinacionales.

Un sistema de información. Incluye exclusivamente todo aquello relacionado con la tecnología y que permita asegurar la protección de la información. Es equivalente a un sistema informático. Está compuesto por el conjunto de aplicaciones, servicios, activos de tecnologías de información y otros componentes para manejar información.

Un SGSI. Es un sistema de gestión que ha de ser deMnido desde el departamento de TI para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Es un sistema de gestión diferenciado y específico para la protección de la información, que ha de ser definido atendiendo a todos los posibles riesgos que con carácter general puedan afectar a las Organizaciones,. Es una parte del sistema de gestión general, basada en un enfoque de riesgo.

La norma UNE-ISO/IEC 27001. Especifica los requisitos para establecer controles adecuados y proporcionados. Es una norma de carácter no obligatorio y no es por tanto certificable. Especifica requisitos para el buen gobierno de IT.

La norma ISO/IEC 27001 propone un conjunto de Objetivos de Control y una serie de controles, para cada uno de e􀃝os. A criterio de la Organización se pueden excluir los controles que no se consideren necesarios. En el caso de querer certificar la implantación de la misma es obligatorio cumplir con los controles que la propia norma propone. Los controles obligatorios son exclusivamente los propuestos en la norma UNE-ISO/IEC 27002.

Según la teoría establecida por al Alférez Cañas en el año 2021, ¿quién es el más gracioso de la Academia de Oficiales de la Guardia Civil?. Dani. Gil. Ambas respuestas son correctas.

La norma habla de un requerimiento para establecer el Contexto de la Organización. Señale de las siguientes afirmaciones las que NO sean correctas. Se deben de considerar las necesidades y expectativas de las partes implicadas. Se debe tener en cuenta las cuestiones internas pero en la definición no se han de considerar los aspectos externos a la Organización. Hay que incluir las interfaces y dependencias entre actividades, aunque estas sean prestadas por otras organizaciones. Identificar las partes relevantes para el SGSI.

Un requerimiento propuesto por la norma está relacionado con el LIDERAZGO para demostrar el COMPROMISO de la dirección. Señale de las siguientes afirmaciones aquellas que considera correctas. El liderazgo se demuestra aportando los fondos necesarios para asegurar la implantación y mantenimiento de un SGSI. Promoviendo la mejora continua. No delegando estableciendo roles y responsabilidades, sino participando de forma directa en todo lo relacionado con la seguridad. Asegurando la integración de los requisitos de seguridad con resto procesos de la organización.

Marcar qué opciones son correctas entre las siguientes afirmaciones. Una política de seguridad. Solo indica los objetivos y no entra a establecer un marco de medición de consecución de los mismos. Debe ser comunicada de forma pública a todo el mundo para un mejor conocimiento de las partes. Recoge el compromiso de cumplimiento y mejora contínua. Adecuada al propósito.

En la norma se habla de planificar acciones para tratar los riesgos. En ésta línea indique las afirmaciones que son correctas. A la hora de tratar los riesgos, se debe valorar exclusivamente todo aquello relacionado con la confidencialidad y la integridad de la información. Cuando se haga el análisis de riesgos se debe ver como de grave puede ser para la organización la materialización de un riesgo. Y esto no debe estar incluido por la probabilidad de ocurrencia. Los riesgos deben de tener una persona asignada para que sea quien decida sobre todo lo relacionado con su tratamiento. Todos los riesgos deben ser tratados y controlados, estén en el umbral de ocurrencia que sea.

Para tratar un riesgo, a la vista de la gravedad y de la probabilidad de ocurrencia, lo correcto es. Decidir si se toma alguna acción (control) o por contra si no se hace nada siempre que se justifique. Es necesario documentar qué se va a hacer y quien. Quedará para otro momento decidir detalles de más bajo nivel como fechas de aplicación, reevaluación, medición, etc. Si es de gravedad alta y siempre que la probabilidad de ocurrencia sea frecuente, se aplicarán automáticamente los controles al margen de lo que decida el propietario del riesgo.

Indique los afirmaciones correctas relacionadas con los requerimientos de soporte del SGSI, según la norma. Se ha de hacer una comunicación global y no diferenciada de todas las políticas de seguridad para asegurar su cumplimiento. Al margen de las competencias del personal, las acciones formativas se diseñarán de forma homogénea para poner a todo el personal al mismo nivel. Como parte de las acciones formativas se ha de comunicar las consecuencias del no cumplimiento. La documentación relacionada debe de estar disponible pero protegida para el personal.

La norma habla de llevar a cabo una auditoría interna y a intervalos planificados. Señale las opciones pertinentes.. Debe verificar si se cumple con los requisitos de la norma internacional. Debe verificar si adicionalmente se cumple con los requisitos internos, aunque no tengan nada que ver con la norma. Tendrá en cuenta qué auditores van a ser seleccionados para asegurar la imparcialidad. Ha de dejar evidencia de los hallazgos encontrados en el informe sin que adicionalmente haya que comunicárselo a las direcciones implicadas.

Indicar, según los tratamientos requeridos por la norma, cuales son acciones propias para tratar una No Conformidad. Hacer lo posible para controlarla y corregirla en primera instancia. Eliminar las causas de la no conformidad con el fin de que no ocurra en otra parte. No tomar acciones inmediatas - de eso se encargará el responsable del servicio - pero sí de una investigación posterior para poder corregir lo ocurrido. Proponer como resultado de la investigación el conjunto de cambios al SGSI. Valorar la eficacia de las acciones tomadas.

Sistema de gestión de la seguridad de la información (SGSI). Visión de conjunto y terminología. Hablamos de cuales de las siguientes opciones. UNE-ISO/IEC 27000. ISO/IEC 27001. ISO/IEC 27010.

Código de buenas prácticas para la Gestión de la Seguridad de la Información. Familia ISO 2700x. UNE-ISO/IEC 27002. ISO/IEC 27004.

Aplicaciones, servicios, activos de tecnologías de información y otros componentes para manejar información. Hablamos de: Sistema informático. Tecnología de las comunicaciones. Sistema de información.

Instrucción global formalmente expresada por la dirección de la organización. Hablamos de. Un modelo de gobierno de las empresas. Una política. Un procedimiento.

Un procedimiento es. Conjunto de requerimientos que debe de cumplir un SGSI. Forma especificada de llevar a cabo un actividad o un proceso. Una actividad que transforman entradas en salidas.

Si hablamos de controles que minimizan el daño nos referimos a controles de tipo. Preventivo. Detectivo. Correctivo. de recuperación.

Si hablamos de incumplimiento de un requisito. Nos estamos refiriendo a un evento de seguridad. Nos referimos a una trasngresión. Hablamos de no conformidades.

Márquese lo que proceda: Un Activo de una empresa. Puede ser algo intangible. Se puede referir a datos de la organización. no contempla como tal a las personas. es algo cuya pérdida tiene consecuencias para la Organización.

Cuando hablamos de la posibilidad de de que una amenaza explote una vulnerabilidad de un activo de información y por tanto provoque un daño en la organización nos referimos a. una vulnerabilidad. Un riesgo. una negligencia.

Estimar el riesgo es. Proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos. Deteminar si el riesgo y/o su magnitud son aceptables. Proceso utilizado para asignar valores a la probabilidad y a las consecuencias de un riesgo.

La realización del análisis de riesgos contribuye principalmente a que la organización. Sea más segura. Conozca cómo está respecto de la seguridad. Empeore su nivel de protección. Se certifique.

Fijar el umbral de riesgo aceptable para una organización corresponde a: Los consultores externos. La dirección. El administrador técnico de la seguridad. Director del proyecto de análisis y gestión de riesgo.

El análisis de riesgo debería: Limitar el alcance comparado con organizaciones similares. ver impacto potencial y posibilidad de materializar la amenaza. asumir un nivel de protección igual para todos los activos. mayor peso a la posibilidad que a la dimensión de la pérdida.

Indique cual de las siguientes afirmaciones es falsa en relación a la salvaguarda: El coste óptimo de la salvaguarda es superior al valor del riesgo potencial. Las salvaguardas han de ser proporcionales al riesgo. Orientación a reducir el impacto o a reducir la frecuencia. Análisis de riesgo proporciona el valor de la eficacia de la salvaguarda.

Según el Esquema Nacional de Seguridad, la política de seguridad: Se desarrolla y aprueba por el departamento responsable de la seguridad de la información. Debe ser breve y accesible por todo el personal de la organización, dejando los detalles técnicos para otros documentos de desarrollo. Se actualizará, al menos, cada dos años.

El Esquema Nacional de Seguridad establece una serie de principios básicos en materia de seguridad, entre los que se hallan: Función diferenciada: en los sistemas de información se distinguirá el responsable de seguridad, el responsable de la información, y el responsable de las T.I. Líneas de defensa: la defensa se organizará por capas, constituidas por medidas físicas y lógicas. Seguridad integral: Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables.

Según el Esquema Nacional de Seguridad, la política de seguridad se desarrollará atendiendo a unos requisitos básicos, entre los que se encuentran: Análisis y gestión de riesgos: Cada organización realizará su propia gestión de riesgos siguiendo la metodología MAGERIT. Gestión de personal: Todo el personal de la organización deberá ser informado de sus deberes y obligaciones en materia de seguridad y sus actuaciones supervisadas. Adquisición de productos: Se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

Un Reglamento técnico es: Especificación técnica relativa a productos, procesos o instalaciones industriales establecida con carácter obligatorio mediante una disposición. Una norma aprobada por CEN/CENELEC o ETSI de obligado cumplimiento para todos los miembros de la U.E. Una norma aprobada por Aenor de obligado cumplimiento en España.

Una norma ISO. Durante su desarrollo pasa por diversas fases una de las cuales es la FDIS (Formal Draft International Standard). No es obligatoria su incorporación como una Norma española, UNE. La aprobación de una norma requiere una mayoría de votos ponderados de los países miembros de ISO.

La Unión Internacional de las Telecomunicaciones (UIT): Se desglosa en dos sectores denominados: de las Telecomunicaciones (UIT-T) y de la radiodifusión (UIT-R). Su equivalente europeo se denomina ETSI (European Telecommunication Standard Institute). Sus normas, que se conocen como estándares, se agrupan en series.

Legalmente, una norma española: Es una especificación técnica de observancia obligatoria aprobada por Aenor. Puede ser desarrollada por un organismo de normalización de facto. Su aprobación debe publicarse en el BOE.

En España, la acreditación de los laboratorios de evaluación de la seguridad TI: No presupone la aceptación de sus resultados de evaluación. Se realiza para evaluar contra el TCSEC, el ITSEC/ITSEM y los Common Criteria for Information Technology Security Evaluation. Exige los mismos requisitos al laboratorio tanto si va a evaluar productos clasificados como si no.

En nuestro país, en el ámbito de las actuaciones de la evaluación y certificación de la seguridad de las TI: Se sigue la regulación establecida en el Esquema Nacional de Seguridad. La acreditación de los laboratorios de evaluación exige una acreditación de la competencia técnica de los mismos emitida por el CCN/CNI. El Organismo de Certificación es el CCN/CNI.

Un plan de contingencia se puede definir como: Acciones a realizar, recursos a utilizar y personal a emplear caso de producirse un incidente que inutilice o degrade los recursos informáticos o de transmisión de datos de una organización. Análisis exhaustivo de los activos de información y recursos tecnológicos e instrumentación de las medidas adecuadas de protección. Acciones a realizar, recursos a utilizar y personal a emplear si se produce un incidente (deliberado) que inutilice o degrade los activos de información.

Respecto de las materias clasificadas: La Ley 9/1968 sobre Secretos Oficiales prevé que las autoridades competentes para calificar dichas materias son el Presidente del Gobierno y el Jefe del Estado Mayor de la Defensa. La Ley 9/1968 sobre Secretos Oficiales establece que las materias clasificadas se califican en dos niveles: secreto y reservado. La calificación española de secreto equivale a la calificación Secret (de la Unión Europea) y Secret (de la OTAN).

De las siguientes afirmaciones referidas al Reglamento de desarrollo de la LOPD señale cual NO es cierta: A partir del nivel medio los usuarios sólo pueden acceder a aquellos datos que precisen para desarrollar sus cometidos. La prestación de servicios sin acceso a datos personales por personal ajeno estará establecida en un contrato que recogerá la prohibición expresa de acceder a dichos datos. El tratamiento de datos fuera de los locales del responsable del fichero exigirá la autorización de dicho responsable.

Según el Reglamento de desarrollo de la LOPD, las medidas de seguridad: De nivel medio suponen el empleo del cifrado en la transmisión de los correspondientes datos. De nivel alto son las previstas para proteger ficheros conteniendo datos recabados para fines policiales sin consentimiento de los afectados. De nivel básico prevén el nombramiento de uno o varios responsables de seguridad.

Según el Reglamento de desarrollo de la LOPD: El documento de seguridad es obligatorio para los ficheros de nivel básico. El responsable del fichero se determina en el documento de seguridad. Solo los ficheros automatizados de datos personales y el tratamiento de estos está regulado en el mismo.

Dentro de la familia ISO 27000: Existe una única norma certificable: la 27001. La norma 27002 sirve de apoyo a la implementación de los requisitos establecidos en la 27001. Contiene cuatro normas sectoriales para los ámbitos de la salud, de las telecomunicaciones, de los sectores financieros y de las FF AA.

Según el Esquema Nacional de Seguridad, la política de seguridad: Es un documento de alto nivel, que sólo debe ser conocido por aquellos empleados públicos que lo precisen en el desempeño de sus funciones. Debe ser aprobada por el titular del órgano superior correspondiente. Debe ser actualizada semestralmente.

Las fases generales de una auditoría son: Propuesta, aprobación, análisis de evidencias, contraste con los auditados. Inicio, recepción de documentación y parámetros, análisis, facturación. Trabajo preparatorio, trabajo de campo, informe.

En una revisión o auditoría relacionada con un cortafuego (firewall) de una red de comunicaciones, verificaríamos sobre todo: Que sea ignífugo y además haya detección y extinción de incendios. Parámetros, reglas, excepciones, alerta... cuántos existen. Que esté vigilado a través de alguna cámara de videovigilancia y mejor si está conectada a una CRA (Central Receptora de Alarmas).

En una revisión de contraseñas preferentemente esperamos encontrar: Que las asignadas sean fáciles de adivinar. Que se compartan con otras personas para evitar situaciones de bloqueo en caso de ausencia. Que la longitud y composición de caracteres las hagan robustas.

Uno de estos puntos no lo indica el Reglamento de desarrollo de la LOPD: Los datos personales de nivel medio han de almacenarse cifrados. Se harán copias de los datos al menos semanales. Respecto a las contraseñas existirá caducidad.

El Reglamento de desarrollo de la LOPD exige hacer una auditoría: Cada año, salvo que no haya habido variaciones en los tratamientos o ficheros. De los ficheros de nivel superior al básico. Solamente de los ficheros de entidades privadas.

Según la Estrategia de ciberseguridad nacional: Una característica de los ciberataques es su dificultad de ejecución. Los objetivos y metodologías de los terroristas y delincuentes en el ciberespacio son distintas de las tradicionales en el mundo real. Una línea de acción debe ser ampliar y mejorar las capacidades de los organismos competentes para investigar y perseguir el ciberterrorismo y la ciberdelincuencia.

Dentro de las instituciones con competencias en la ciberseguridad: Al INCIBE (Instituto Nacional de Ciberseguridad) le corresponde otras, velar por la ciberseguridad de empresas, ciudadanos e infraestructuras críticas. Al CCN, a través del CCN/CERT, le corresponde dar el soporte oportuno para el tratamiento de vulnerabilidades y la resolución de incidentes de la infraestructura de las AAPP así como las críticas. Al Mando Conjunto de la Ciberdefensa le corresponde, entre otras misiones, contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional.

Una norma es una especificación técnica aprobada por un organismo: De actividad normalizadora para aplicación repetida o continua, cuya observancia es obligatoria. Puede ser internacional, europea o nacional. Público de actividad normalizadora para aplicación repetida o continua, cuya observancia no es obligatoria. Puede ser internacional, europea o nacional. Reconocido de actividad normalizadora para la aplicación repetida o continua, cuya observancia no es obligatoria. Puede ser internacional, europea o nacional.

Los laboratorios de ensayo: Son personas naturales o jurídicas. Comprueban obligatoriamente el cumplimiento de los productos con las normas o especificaciones técnicas aplicables. Están habilitados por una entidad de certificación.

AENOR se organiza en: Comités técnicos, que pueden tener grupos de trabajo que a su vez pueden dividirse en subcomités. Subcomités, con las mismas atribuciones y autonomía que los Comités técnicos. Grupos de trabajo, que pueden elaborar y aprobar normas.

En el ámbito internacional: ISO es una agencia especializada de la ONU. ITU-T elabora normas de obligado cumplimiento en el campo de las radiocomunicaciones. Respecto a las TIC, ISO e IEC trabajan conjuntamente a través del ISO/IEC JTC1.

La HPS de nivel reservado: Es necesaria para acceder al Catálogo Nacional de Infraestructuras Estratégicas. Es necesaria para acceder a información relativa a la actuación de grupos terroristas y movimientos asociados. Se concede si se cumplen, entre otros, los requisitos de necesidad de conocer, concienciación e instrucción de seguridad.

La HPS distingue entre grado, tipo y especialidad: El tipo nacional distingue dos grados: secreto y reservado. Los tipos pueden ser: nacional; UE; ESA y OTAN. Para el tipo nacional la especialidad puede ser: Cripto; sigint y bohemia.

En el contexto de un SGSI, si hablamos de una no conformidad, hablamos de: Una política interna que entra en contradicción con un requisito propuesto y exigido por la norma ISO/IEC 27001. Un incumplimiento de un requisito. Un documento prescrito por la norma ISO/IEX 27001 y que debe estar a disposición de la dirección del auditor.

Cuando hablamos del potencial de que una amenaza explote una vulnerabilidad de una activo de información o grupo de activos y por tanto provoque un daño en la organización estamos considerando: Amenazas. Riesgos. Impacto.

Un SGSI está mejor supervisado cuando el Responsable de Seguridad: Tiene capacidad de decisión en la operativa diaria para asegurar el cumplimiento de controles. Tiene capacidad de decisión sobre la aprobación de los procedimientos de carácter técnico para asegurar que se han diseñado respetando las políticas. Se ciñe exclusivamente a las competencias definidas en la política para así asegurar una adecuada segregación de funciones.

Uno de los Objetivos de Control propuestos por la ISO 27001 está relacionado con cumplimiento, si bien dicho cumplimiento entre otras cosas, se refiere a: Garantizar que se cumple con los aspectos contractuales recogidos en los distintos contratos y acuerdos de nivel de servicio con proveedores y clientes, exclusivamente. Poner los medios que garanticen - a la asesoría legal de la Organización - la delegación y supervisión del control del cumplimiento de las leyes de propiedad intelectual. Identificar, documentar y revisar toda aquella legislación que sea de aplicación.

Referido al proyecto de implantación de un Plan de Seguridad en una Organización, todo lo siguiente es erróneo salvo: En general el Plan se debe de caracterizar por su dinamismo y siempre estará al tanto de las modificaciones que sean necesarias, hacerle en función de los resultados que se vayan obteniendo. Dada la indefinición inicial de las primeras etapas, lo razonable es abordar los primeros pasos y en cuanto esté concluido el análisis de riesgos, definir de forma precisa y detallada el Plan de trabajo. El plan debe en sus primeras etapas ser un instrumento estático y así evitar ''bandazos'' debido a los resultados que se vayan obteniendo.

El criterio más adecuado para abordar un análisis de riesgos, según la metodología MAGERIT, debería ser: Evaluar las amenazas, identificar el mapa de valor de nuestros activos, establecimiento en cada caso de nivel de riesgo y selección de salvaguardas. Antes de abordar el tratamiento de riesgos se han de definir los criterios de aceptación de los mismos. Inventariar los activos, analizar las posibles amenazas valorado por encima de todo el impacto - en caso de materializarse las mismas - y por último seleccionar los controles que reduzcan dicho impacto.

Si tenemos que elegir entre un conjunto de controles, elegiremos en primer lugar aquellos que: Minimicen la probabilidad de ocurrencia. Minimicen el daño. Minimicen las consecuencias.

Respecto de la Habilitación personal de seguridad (HPS): El grado “secreto” en España es equivalente al grado “secret” de la OTAN. La especialidad “atómica” (nacional) es equivalente a le especialidad “atomal” (OTAN). La especialidad “sigint” (nacional) es equivalente a le especialidad “bohemia” (OTAN).

El criterio europeo de evaluación ITSEC (Information Technology Security Evaluation Criteria): Distingue entre producto (que puede ser instalado en una multitud de entornos de operación distintos) y sistema (que trabaja en un entorno específico). Dejó de usarse el 1 de Enero de 2010, siendo sustituido por los Common Criteria. Define 10 clases de funcionalidad, de las cuales cuatro son derivadas del criterio estadounidense TCSEC (para permitir la compatibilidad con éste) y las restantes seis son propias del ITSEC.

Los Common Criteria: Definen siete niveles de garantía en la evaluación que van del E0 (menor nivel) al E6 (mayor nivel). Define objeto de evaluación (security tarjet) al sistema o producto que se desea evaluar. Están adoptados como norma europea con la referencia CEN 15408.

Legalmente, una norma nacional: Es una especificación técnica de observancia obligatoria en un país aprobada por un organismo reconocido de actividad normalizadora. Puede ser desarrollada por un organismo de normalización de facto. Si es española (UNE), se debe publicar en el BOE como proyecto de norma previamente a su aprobación.

La realización del análisis de riesgos, en el contexto del Esquema Nacional de Seguridad, es: Opcional y basta con hacer exclusivamente proceso de Gestión de Riesgos. Es una exigencia de obligado cumplimiento sin distinción de la categoría establecida. Es una recomendación sí y solo si la categoría del sistema se ha establecido como de un nivel BAJO.

Las guías CCN-STIC publicadas por el Centro Criptológico Nacional son normas imperativas para el adecuado cumplimiento de lo dispuesto en el ENS. Verdadero, si bien se pueden complementar con otras normas. Falso aunque es una ayuda a considerar. Solamente si hablamos de la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

Durante una auditoría de protección de datos, se alerta sobre la no existencia del documento de seguridad. ¿Quién es el responsable último de asegurar su existencia y actualización?. El responsable de seguridad. El encargado de los tratamientos. El responsable del fichero.

Según el Reglamento de la LOPD, el informe de auditoría ha de ser remitido. A la AEPD, excepto en el caso de Cataluña y el País Vasco. Al responsable de informática de la Organización. Al responsable de seguridad. Él ya se encargará de escalarlo al responsable del fichero.

Si se desea implementar un sistema eficaz para la gestión de incidentes, ¿Cuál de las siguientes capacidades es la más importante?: La adecuada respuesta a los incidentes. La detección de los incidentes. La trazabilidad y clasificación de los incidentes.

¿Cuál de las siguientes de las actividades se entiende como más adecuada para hacer la mejora continua del proceso de gestión de riesgos?. Revisión periódica de las opciones de tratamiento de riesgos. Clasificación de los activos en orden de criticidad. Adopción de un modelo de madurez.

Si se quiere desarrollar un sistema de gestión de la seguridad de la información (SGSI), ¿cuál es el criterio más importante para su desarrollo?. Cumplir con los estándares corporativos que sean aplicables. Conseguir una adecuada relación entre la efectividad y el coste para la mitigación de riesgos. La alineación del SGSI con los objetivos de la Organización.

El Esquema Nacional de Seguridad recoge los criterios para la categorización de los sistemas, ¿qué utilidad tiene la misma en relación con la adopción de medidas de seguridad?. Es una forma opcional de agrupar el contenido de los sistemas, políticas y procedimientos para una mejor comprensión del mismo. En separar los servicios y los datos para una mejor protección de cada uno de ellos. Es una obligación para poder clasificar por escalones según el impacto que podrían tener los incidentes sobre los mismos.

En el artículo 9 de la LOPD se dice que se han de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal. ¿quién es el responsable?. El auditor informático. El administrador de la base de datos dónde se almacenen los datos. El responsable del fichero.

La Estrategia de Ciberseguridad Nacional: Se publicó en el año 2013 por el Ministerio del Interior. Se estructura en Planes derivados, uno de los cuales es el de protección y resiliencia de los sistemas de información y telecomunicaciones que soportan las Infraestructuras Críticas. Su ámbito exclusivo de actuación son las Administraciones Públicas (Administración General del Estado, Administraciones Autonómicas y Administraciones Locales).

La Organización internacional para la normalización, ISO: Elabora normas que no tienen obligatoriamente que incorporarse como una Norma española, UNE. Desarrolla normas cuya aprobación requiere una mayoría de votos ponderados de los países miembros de ISO. Es el único organismo competente para la aprobación de normas de iure (de derecho).

Si en una organización se implanta y certifica un SGSI bajo la norma UNE-ISO/IEC 27001:2014, podemos afirmar que: Que se está cumpliendo necesariamente con todas las regulaciones y leyes existentes, siempre y cuando sean aplicables a la organización. Que como poco, siempre se va a estar cumpliendo con la L.O.P.D. Que el riesgo de sanción por incumplimiento de la legislación vigente aplicable es el mismo que si la organización no estuviese certificada.

Señale cuál de las siguientes afirmaciones es verdadera: Un incidente de seguridad es una ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política de seguridad, un fallo en las salvaguardas o una situación desconocida y que puede ser relevante para la seguridad. Un incidente de seguridad es un evento inesperado o indeseado, que tienen una probabilidad significativa de comprometer la seguridad. Un evento de seguridad implica necesariamente un fallo en las salvaguardas existentes mientras que un incidente solamente comportaría un posible fallo.

Entre los principios básicos enunciados en el RD 3/2010 (ENS), NO se encuentra una de las siguientes opciones: Hacer Guías de buenas prácticas. La delegación de la respuesta de incidentes, ya que esto correspondería en primera instancia al CCN-CERT. La categorización de los sistemas.

Dentro de los requisitos de la norma UNE-ISO/IEC 27001:2014 se habla de la Mejora Continua y la Gestión de las No Conformidades. Estas últimas: Han de considerar exclusivamente las acciones correctivas hasta resolver la incidencia. Han de ser registradas para su tratamiento posterior por los técnicos. Cuando se notifique la resolución, estas podrán ser cerradas. Para poder cerrarlas se deberán documentar y desarrollar unos controles de cierre.

La selección y aplicación de medidas de seguridad NO deben necesariamente equilibrarse con factores como la naturaleza de los datos, los riesgos que les afecten y los sistemas de información que los traten: Correcto; será un criterio a decidir por el responsable de seguridad. Incorrecto, ya que siempre se observará un principio de proporcionalidad. Siempre habrán de ser dependientes del valor del activo.

Cuando se valoren las funciones del responsable de seguridad y en beneficio de una adecuada segregación de tareas que no comprometan la independencia de sus opiniones, se han de separar las siguientes actividades: Los ensayos de vulnerabilidad DE la evaluación y selección de productos para su adquisición. La operación de los sistemas informáticos Y la monitorización de los mismos. La identificación de futuras amenazas Y gestión de los riesgos.

Referente a las normas o recomendaciones: Las normas de ISO, International Organization for Standardization, deben ser adoptadas como normas propias por los países pertenecientes a dicho organismo. Las normas de CEN, Comité Europeo de Normalización, deben ser adoptadas como normas propias por los países pertenecientes a dicho organismo. Las recomendaciones de UIT, Unión Internacional de las Telecomunicaciones, deben ser adoptadas como normas propias por ISO.

La entidad responsable de la normalización en España: Se estructura en Comités Técnicos de Normalización (CTN) y Subcomités (SC), pero los primeros son los únicos que pueden aprobar normas. Se denomina Asociación española de normalización, AENOR. La aceptación o rechazo de los proyectos de normas se aprueba mediante una votación en la que los votos de los miembros del correspondiente Comité Técnico de Normalización o Subcomité valen lo mismo.

Indique qué afirmación referida al CCN-CERT es INCORRECTA: Es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional. Sus servicios están dirigidos exclusivamente a la Administración General del Estado. Debe ser notificado por las AA PP de aquellos incidentes que tengan un impacto significativo.

Respecto de las Habilitaciones de seguridad: La Habilitación de seguridad de empresa, HSEM, reconoce la capacidad de un contratista para manejar información clasificada en cualquiera de sus propias instalaciones. La Habilitación de seguridad de establecimiento, HSES, reconoce la capacidad de un contratista para manejar información clasificada en cualquiera de sus propias instalaciones. La Habilitación personal de seguridad, HPS, reconoce la capacidad e idoneidad de un individuo acceder a información clasificada de un cierto ámbito y en el nivel máximo (grado) autorizado.

Referente a las infraestructuras estratégicas: Todas ellas son infraestructuras críticas. El catálogo nacional de las mismas comprende exclusivamente los equipos, aplicaciones y sistemas de comunicación de cada una de ellas. El catálogo nacional de las mismas tiene la calificación de secreto.

La construcción de un SGSI, requiere tener en cuenta todos los posibles riesgos sobre los activos de la organización. Señale el área MÁS conveniente desde la que impulsar un proyecto de esta naturaleza: Proyecto coparticipado por las áreas más importantes de la organización, pero con responsabilidad directa del departamento de TI, dada lo específico de las amenazas que se pueden dar. Es una clara responsabilidad del departamento de seguridad, al ser quien decidirá el nivel de riesgo residual. Idealmente es una responsabilidad de un grupo o comité con representación de todas las áreas de negocio.

Referido a los requisitos mínimos definidos en el RD 3/2010 (ENS), ha de entenderse que: Han de ser considerados todos los que se proponen y será el responsable del servicio quien decida si se aplican o no en cada caso. No son opinables. Siempre han de ser aplicadas. Pueden no cumplirse si por alguna razón, motivada y documentada, las medidas de seguridad son sustituidas por otras medidas compensatorias.

En relación con los servicios que prestan los proveedores externos de servicios informáticos a las administraciones públicas: Las medidas de seguridad vendrán en su caso determinadas por la Administración contratante. No es responsabilidad de la Administración contratante determinar las medidas técnicas y organizativas que han de cumplir. Es obligatorio contratar con proveedores que tengan certificado un sistema de gestión de la seguridad de la información, al ser de aplicación el ENS.

La realización de ejercicios periódicos para analizar los riesgos contribuye fundamentalmente a que una organización: Ajuste su nivel de protección al mínimo imprescindible, ni más ni menos. Conozca cómo está respecto de la seguridad. Esté más segura.

Referido a la gestión de riesgos, todo lo anterior es INCORRECTO salvo que: Exige un análisis personalizado del sistema a proteger y del entorno para presentar a la Dirección una estimación de lo que puede pasar, para que aquella decida qué hacer. Se limita a prevenir la ocurrencia de los riesgos más probables. En sí misma es un asunto técnico de los administradores y operadores de sistemas.

Para valorar una amenaza hay que: Centrarse exclusivamente en la experiencia previa. Estimar la probabilidad a futuro. Tomar datos estadísticos de una consultora especializada.

Al realizar la valoración de los activos en relación con las dimensiones de seguridad: Hay que valorar todos los activos en todas las dimensiones. Las dimensiones de seguridad son irrelevantes en la valoración de los activos. No todos los activos son igualmente sensibles en todas las dimensiones.

Una auditoría (informática) ha de realizarse: De forma ordinaria para todas las entidades privadas, tengan o no certificado un sistema de gestión de la seguridad de la información. De forma obligatoria para cualquier organización - pública o privada - que tenga certificado un sistema de gestión de la seguridad de la información. Siempre, por el hecho de ser una administración pública.

Las medidas de seguridad que se describen en el Esquema Nacional de Seguridad, se agrupan en las siguientes categorías o marcos: organizativo - operacional - medidas de protección. alto - medio - bajo. preventivas - detectivas - correctivas.

La aproximación adecuada para diseñar un plan de formación y concienciación requiere para su diseño, preferiblemente, considerar todo lo que se indica SALVO: Poner el foco en las personas que trabajan y colaborar con la organización, sean o no empleados laborales. Concienciar, a través escenarios cercanos. Impactar y atemorizar para que se adopten pautas de comportamiento seguro.

Según la Ley 21/1992 de Industria y su normativa de desarrollo, así como la Orden por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información: Las entidades de certificación deben ser personas jurídicas y estar acreditadas por una entidad de acreditación. Las entidades de acreditación son entidades públicas dependientes del Ministerio de Industria. Los laboratorios de evaluación de la seguridad de productos de tecnologías de la información son laboratorios de ensayo.

La normalización de la seguridad de las tecnologías de la información es competencia a nivel: Nacional del recientemente creado Comité Técnico de Normalización 320 de “Ciberseguridad y protección de datos”. Europeo del ETSI, Instituto Europeo de Normalización de las Telecomunicaciones. A nivel internacional de la ISO, International Organization for Standardization.

Referente a la ONS, Oficina Nacional de Seguridad para la protección de la información clasificada, señale la respuesta INCORRECTA de las siguientes: Una de sus funciones es la inspección y control de los de los órganos de protección de la información clasificada. Depende del Centro Criptológico Nacional. Depende directamente del Secretario de Estado Director del CNI.

Respecto de las materias objeto de reserva interna: La facultad para su clasificación corresponde a la Oficina Nacional de Seguridad para la protección de la información clasificada. Se clasifican en Confidencial y Difusión limitada. El acceso a estas materias no requiere HPS.

El planteamiento más adecuado para la puesta en marcha de un SGSI es entender que: Se han tener en cuenta todos los posibles riesgos (estén o no relacionados con la tecnología). Es un proyecto del departamento de tecnología, aunque intervendrá todo el personal relevante: Legal, RRHH, IT, Negocio, Seguridad, etc. Se ha de considerar a todos los agentes de la Organización dejando para una etapa posterior a colaboradores y proveedores.

Es misión del CCN desarrollar formación para las AA.PP. y que así puedan desarrollar su propia respuesta a incidentes de seguridad. Aunque solo podrán acceder a la misma si es una administración pública con certificado de conformidad con el ENS. No es correcto, es una función que ha de desarrollar cada administración. Es correcto, incluso si no están certificadas bajo el esquema de certificación del ENS.

¿Cuál debe ser el criterio a la hora de considerar los requisitos mínimos recogidos en el ENS?. Selección de los que apliquen, a criterio del responsable de seguridad. Cumplir con todos ellos. Cumplir en implementar los que sean aplicables, a criterio del responsable del servicio.

Es perfectamente posible hacer un Plan de Adecuación al ENS sin incluir la Política de Seguridad. Falso. Correcto solo si lo autoriza el responsable de seguridad. Depende de si se opta o no a conseguir la conformidad con el esquema.

En el marco del RGPD, la responsabilidad última en cuando a las medidas de protección que han de ser aplicadas, corresponde al: Responsable de seguridad. Departamento de control interno. Responsable de los tratamientos.

Indique cuál de las siguientes funciones NO es una función del Delegado de Protección de Datos: Realizar evaluaciones e impacto. Cooperar con la autoridad de control. Supervisar el cumplimiento de la legislación.

Señale la afirmación que considere correcta cuando en una organización se habla de control interno (informático) y de la auditoría (informática): Ambas actividades pueden ser realizadas por personal interno. Ambas reportan a la dirección de la empresa. Ambas figuras reportan al departamento de informática.

El RGPD y su auditoría: Ha de ser realizada como máximo cada 2 años. Se ha de hacer cuando haya cambios significativos en el sistema. No es obligatoria si bien se habla de una evaluación regular.

Cuál de las siguientes actividades NO es adecuado que la realice el auditor informático: Valorar el grado de satisfacción de los usuarios. Colaboración en la implantación de los controles. Análisis de riesgos.

Si hablamos de una norma que contiene el código de buenas prácticas para la Gestión de la Seguridad de la Información, estaremos hablando de: UNE-ISO/IEC 27002. UNE-ISO/IEC 27001. UNE-ISO/IEC 27000.

¿Cuáles son las consideraciones MÁS importantes a la hora de priorizar la implantación de las salvaguardias o controles en un SGSI?: La probabilidad y el impacto. Los activos y su sensibilidad. El valor de los activos y su clasificación.

¿Cuál de los siguientes aspectos es el más importante para la implantación de un SGSI en una organización?. La formación adecuada en tecnologías de seguridad. La definición de políticas adecuadas, normas y procedimientos. El Compromiso y liderazgo por parte de la dirección ejecutiva.

Si implementamos controles para que los datos no puedan ser total o parcialmente falsos o, incluso, faltar datos, estaríamos hablando de proteger, qué de lo siguiente: La confidencialidad. La trazabilidad. La autenticidad.

Tras la detección de un posible riesgo sobre un activo, la PRIMERA medida que debemos tomar es: Evitarlo e incluso valorar si es necesario prescindir del propio activo, reordenando el sistema. Tratar de transferirlo y así compartirlo con otra entidad más experta en ese tipo de tratamientos. Mitigarlo, aplicando los controles que sean necesarios.

Qué de lo siguiente NO es un principio básico en la definición y puesta en marcha de un SGSI: El compromiso de la dirección. Certificarse a través de una auditoría independiente. La seguridad desde el diseño.

Referido a la AEPD todo lo siguiente es correcto SALVO una de las afirmaciones: Define la forma en la que se han de ejercer los derechos de acceso, rectificación, oposición, etc. Ayuda al ciudadano a ejercer sus derechos. Tutela al ciudadano en el ejercicio de sus derechos cuando no han sido adecuadamente atendidos por el responsable de los tratamientos.

Referido a los requisitos mínimos definidos en el RD 3/2010 (ENS), ha de entenderse que: Deben cumplirse, siempre y cuando así lo determine el responsable del servicio. Pueden no cumplirse si por alguna razón, motivada y documentada, las medidas de seguridad son sustituidas por otras medidas compensatorias. Los requisitos mínimos, en todo caso, deben cumplirse.

Un sistema de gestión de la seguridad de la información: Reúne políticas, procedimientos, guías, recursos, etc. para poder certificarse bajo una norma internacional. Permite gestionar sus activos para satisfacer los requisitos de seguridad de los clientes y partes interesadas. Es de carácter obligado en el caso de los Organismos Públicos.

El propósito de las normas de evaluación y certificación de productos y sistemas informáticos es, entre otros: Establecer condiciones para su adquisición. Rebajar su costo. Facilitar su empleo a los usuarios finales.

La Organización Internacional para la Normalización, ISO y la Comisión Electrotécnica Internacional, IEC: Actúan conjuntamente en la normalización de las Tecnologías de la Información, mediante el Joint Technical Committe 1, JTC1. Sus normas se deben revisar, al menos, cada tres años. Dependen de la Organización de las Naciones Unidas.

Los organismos europeos de normalización CEN y CENELEC: Deben adoptar como propias las normas de ISO y de IEC. Sus normas conllevan la obligación de cancelar cualquier norma nacional de los países miembros que entre en conflicto con aquellas. Sus normas se aprueban mediante un voto igual de cada uno de sus miembros.

Respecto de la clasificación de la información: Según el Decreto 242/1969, que desarrolla la Ley de Secretos Oficiales la información clasificada como confidencial debe transmitirse en forma cifrada. El Catálogo Nacional de Infraestructuras Estratégicas tiene la calificación de secreto. La Habilitación personal de seguridad de grado reservado faculta para consultar información, de cualquier ámbito, de grado reservado o inferior.

La Oficina Nacional de Seguridad: Es una estructura integrada en el Centro Criptológico Nacional. Firma la concesión de las Habilitaciones personales de seguridad. Depende del Secretario de Estado Director del Centro Nacional de Inteligencia.

¿Dónde está Wally?.

¿Cuál es la mejor tortuga ninja?. Leonardo. Donatello. Michelangelo. Raphael.

¿A qué autor podemos atribuir la frase: "Que si quiero comerte, obvio, vas a ver las estrellas sin telescopio"?. Bad Bunny. Annuel AA. J Balvin.

¿Cuánto son 3+2?. 4. 5. 6.