Principios Jurídicos Aplicados a la Ciberseguridad

¿Cuál es la principal diferencia jurídica entre el derecho originario y el derecho derivado de la Unión Europea?. El derecho originario está formado por las directivas y el derivado por los reglamentos. El derecho originario procede de los tratados y el derivado de las normas dictadas gracias a las competencias atribuidas por estos. El derecho originario solo afecta a los Estados fundadores. El derecho derivado tiene siempre rango constitucional.

Respecto al principio de atribución de competencias en la Unión Europea, señale la opción correcta. La Unión Europea puede regular cualquier materia de interés común. Los Estados solo conservan competencias residuales. La Unión Europea únicamente puede actuar en aquellas materias que los Estados le hayan atribuido. Los reglamentos crean nuevas competencias para la Unión.

¿Cuáles de los siguientes tratados fueron destacados por el profesor como hitos relevantes en la evolución de la Unión Europea?. Tratado constitutivo de la CECA. Tratado de Roma. Tratado de Maastricht. Tratado de Lisboa.

¿Qué acontecimientos relevantes asoció el profesor al Tratado de Maastricht?. Aparición del concepto de ciudadanía europea. Introducción del euro. Reforma constitucional española relacionada con el sufragio pasivo de ciudadanos europeos. Creación de la CECA.

En el derecho derivado de la Unión Europea, ¿cuáles son las normas obligatorias?. Reglamento. Directiva. Recomendación. Decisión.

¿Cuáles son las características propias del reglamento europeo?. Tiene alcance general. Es directamente aplicable. Requiere transposición estatal. Es obligatorio en todos sus elementos.

El profesor utilizó el ejemplo del castillo para diferenciar reglamento y directiva. Según dicho ejemplo: El reglamento obliga a seguir un camino concreto. La directiva permite elegir el camino siempre que se alcance el objetivo. Ambos permiten plena libertad legislativa. La directiva establece una obligación de resultado.

Cuando una norma europea es una directiva: Obliga a todos los Estados miembros. Requiere un acto interno de transposición. Se aplica directamente igual en todos los países. Persigue un resultado determinado.

¿Qué función cumple la decisión como acto jurídico europeo?. Tiene alcance general. Solo obliga a sus destinatarios. Carece de efectos vinculantes. Resuelve situaciones concretas.

Respecto a las recomendaciones y dictámenes: Son obligatorios. Constituyen instrumentos no vinculantes. Su incumplimiento puede generar sanciones. Reflejan orientaciones u opiniones.

Según el profesor, ¿cuál es el principal motor de la preocupación empresarial por la ciberseguridad?. El desarrollo tecnológico. El miedo a las sanciones legales. La competencia empresarial. La innovación digital.

¿Por qué afirmó el profesor que los atacantes pueden valorar la presión regulatoria de una organización?. Porque las posibles sanciones pueden incentivar el pago para ocultar incidentes. Porque la regulación elimina todos los riesgos. Porque las organizaciones reguladas nunca sufren ataques. Porque la normativa obliga a desconectar los sistemas.

¿Qué afirmaciones sobre la Directiva NIS 2 son correctas?. Es una directiva. Es de obligado cumplimiento. Requiere transposición nacional. Se aplica automáticamente como un reglamento.

¿Cuál es el objetivo principal de la Directiva NIS 2?. Garantizar un elevado nivel común de ciberseguridad en la Unión Europea. Regular únicamente la protección de datos. Sustituir el RGPD. Eliminar las autoridades nacionales.

¿Qué problemas pretende solucionar la NIS 2 respecto a la normativa anterior?. Divergencias entre Estados miembros. Falta de cooperación. Necesidad de actualizar sectores afectados. Exceso de reglamentos europeos.

¿Cuáles son algunos de los objetivos concretos de la NIS 2?. Establecer normas mínimas comunes. Favorecer la cooperación entre autoridades. Actualizar sectores obligados. Eliminar los mecanismos sancionadores.

¿Qué exclusiones señaló el profesor respecto al ámbito de aplicación de la NIS 2?. Seguridad nacional. Defensa. Cumplimiento de la ley. Enjuiciamiento de infracciones penales.

En relación con el RGPD, la NIS 2: Sustituye al RGPD. No afecta a su aplicación. Debe coexistir con él. No altera las funciones de las autoridades de protección de datos.

¿Qué obligaciones impone la NIS 2 a los Estados miembros?. Estrategia nacional de ciberseguridad. Autoridad de gestión de crisis. Punto único de contacto. Equipos CSIRT.

Según la NIS 2, las entidades esenciales incluyen sectores altamente críticos como: Energía. Transporte. Banca. Sector sanitario.

¿Qué otros sectores críticos aparecen en el segundo anexo mencionado en clase?. Servicios postales y mensajería. Gestión de residuos. Producción y distribución de alimentos. Fabricación de productos electrónicos.

¿Qué característica destacó el profesor sobre las definiciones incluidas en las normas modernas?. Reducen la inseguridad jurídica. Evitan interpretaciones contradictorias. Facilitan la comunicación entre países. Son prescindibles para aplicar la norma.

Respecto a los CSIRT, señale la respuesta correcta. Deben contar con comunicaciones resilientes. Deben garantizar continuidad operativa. Deben participar en cooperación internacional. Deben asegurar confidencialidad y fiabilidad.

Entre las funciones de los CSIRT se encuentran: Analizar amenazas e incidentes. Difundir alertas tempranas. Fomentar la educación en ciberseguridad. Coordinar la divulgación de vulnerabilidades.

¿Por qué es importante la divulgación coordinada de vulnerabilidades?. Porque debe equilibrar información y seguridad. Porque divulgar prematuramente puede beneficiar a los atacantes. Porque los afectados necesitan tiempo para aplicar parches. Porque la NIS 2 atribuye esta función a los CSIRT.

Según la NIS 2, un incidente significativo puede ser aquel que: Cause graves perturbaciones operativas. Produzca pérdidas económicas. Cause perjuicios materiales o inmateriales a terceros. Afecte exclusivamente a un usuario sin consecuencias.

¿Cuáles son los plazos de notificación previstos para un incidente significativo?. Alerta temprana en 24 horas. Notificación del incidente en 72 horas. Informe final en un mes. Informe intermedio cuando lo solicite la autoridad.

¿Qué debe contener el informe final de un incidente?. Descripción detallada. Gravedad e impacto. Causa principal. Medidas aplicadas y posibles repercusiones transfronterizas.

¿Qué sucede si el incidente continúa transcurrido un mes?. No es necesario comunicar nada. Debe emitirse un informe de situación. El informe final se pospone hasta la resolución. Pueden solicitarse informes intermedios.

Según lo explicado en clase, ¿qué situación presenta actualmente España respecto a la NIS 2?. Ya la ha transpuesto completamente. Existe retraso en la transposición. Continúan vigentes las normas derivadas de la antigua NIS. El profesor considera probable estudiarla plenamente en cursos posteriores.

¿Cuál fue la finalidad principal que el profesor atribuye al nacimiento del Esquema Nacional de Seguridad (ENS)?. Adaptar automáticamente España a la Directiva NIS 2. Resolver los problemas derivados de la transformación digital de la Administración Pública. Sustituir al Reglamento General de Protección de Datos. Crear una certificación internacional equivalente a ISO 27001.

Respecto al origen del Esquema Nacional de Seguridad, señale la respuesta correcta. Es consecuencia directa de la Directiva NIS 2. Es consecuencia directa de la Directiva NIS 2. Fue creado tras la aprobación del RGPD. Es una transposición de una directiva europea.

¿Qué naturaleza jurídica tiene el Real Decreto 311/2022?. Tiene fuerza de ley. Es una norma reglamentaria aprobada por el Ejecutivo. Se sitúa jerárquicamente por debajo de una ley. Puede contradecir una ley posterior de transposición.

Si existiera una contradicción entre el contenido del ENS y una futura ley española de transposición de NIS 2: Prevalecería el ENS por ser más específico. Prevalecería la ley por jerarquía normativa. Ambas normas quedarían anuladas. El conflicto debería resolverse aplicando la más antigua.

Según el Real Decreto 311/2022, el ENS está constituido por: Principios básicos. Requisitos mínimos. Protocolos de sanción europeos. Medidas técnicas obligatorias para empresas privadas.

¿Qué bienes jurídicos busca proteger el ENS según la explicación del profesor?. Únicamente la información. La información y los servicios. Solo los sistemas de almacenamiento. Exclusivamente los servicios electrónicos.

¿Qué propiedades pretende garantizar el ENS sobre la información y los servicios?. Confidencialidad. Integridad. Disponibilidad. Trazabilidad, autenticidad, conservación y control de acceso.

¿Por qué el profesor relaciona el ENS con la Seguridad Nacional?. Porque forma parte del Sistema de Seguridad Nacional. Porque la Administración gestiona información crítica de todos los ciudadanos. Porque reduce la dependencia de terceros. Porque únicamente protege infraestructuras militares.

El ejemplo de la pandemia utilizado en clase pretendía demostrar que: La ciberseguridad es un problema exclusivamente tecnológico. La dependencia externa puede convertirse en una vulnerabilidad estratégica. España no necesita infraestructuras propias. La seguridad nacional depende únicamente de las Fuerzas Armadas.

¿Cuál es el ámbito de aplicación actual del ENS?. Solo la Administración electrónica. Todo el sector público. Las empresas privadas únicamente. Solo las infraestructuras críticas.

Respecto a los sistemas de información clasificada: Quedan excluidos del ENS. Deben cumplir también el ENS. Solo deben cumplir la Ley de Secretos Oficiales. El profesor los relaciona con las categorías reservado, confidencial y secreto.

¿Qué entidades privadas están obligadas a aplicar la política de seguridad de la información prevista en el ENS?. Todas las empresas españolas. Solo las multinacionales. Aquellas que presten servicios o suministren soluciones al sector público. Exclusivamente las entidades financieras.

Según la explicación del profesor, las obligaciones del ENS pueden extenderse: Solo al contratista principal. A toda la cadena de suministro relacionada con el contrato público. Únicamente a los empleados públicos. A las empresas certificadas en ISO 27001.

¿Por qué el profesor considera especialmente útil la certificación del ENS para una empresa española?. Porque facilita trabajar con la Administración. Porque suele ser un requisito contractual. Porque puede facilitar posteriormente una certificación ISO 27001. Porque sustituye automáticamente a cualquier otra certificación.

Cuando los sistemas tratan datos personales: El ENS deja de aplicarse. Deben cumplir también el RGPD. Deben cumplir la Ley Orgánica 3/2018. Deben respetar la normativa específica aplicable, incluida la relativa a datos policiales.

¿Qué destacó el profesor sobre la futura ley española de coordinación y gobernanza derivada de NIS 2?. Regulará entidades esenciales e importantes. Incluirá autoridades de control. Regulará los responsables de seguridad de la información. El profesor considera que habrá que estudiarla con detalle.

Respecto al Responsable de Seguridad de la Información (RSI): Las entidades esenciales e importantes deberán designarlo. Puede ser una persona, una unidad o un órgano colegiado. Actúa como punto de contacto y coordinación. Solo se relaciona con la dirección de la empresa.

Si el Responsable de Seguridad de la Información es un órgano colegiado: No es necesario identificar a nadie. Debe designarse una persona física representante. Debe existir un sustituto. El sustituto solo actuará en caso de ausencia, vacante o enfermedad.

Según el anteproyecto comentado en clase, ¿qué exigencia adicional puede imponerse al Responsable de Seguridad de la Información en determinadas entidades críticas?. Superar una oposición. Obtener una acreditación del Ministerio del Interior. Pertenecer obligatoriamente a las Fuerzas Armadas. La obligación puede extenderse al personal encargado de funciones de ciberseguridad.

¿Por qué el profesor prestó especial atención al artículo relativo al Responsable de Seguridad de la Información?. Porque considera que es especialmente relevante para futuros profesionales de la ciberseguridad. Porque probablemente será una figura clave tras la transposición. Porque desaparece con NIS 2. Porque introduce nuevas responsabilidades organizativas.

Según el profesor, cuando la Unión Europea aprueba una directiva: Los Estados están obligados a alcanzar sus objetivos. Los Estados pueden decidir cómo aplicarla. Los Estados pueden ignorarla sin consecuencias. El incumplimiento puede generar sanciones económicas.

¿Qué consecuencias mencionó el profesor respecto al retraso español en la transposición de directivas europeas?. Procedimientos ante el Tribunal de Justicia de la Unión Europea. Multas económicas. Multas coercitivas diarias. Supresión automática de la directiva.

¿Por qué el profesor considera importante conocer la jerarquía normativa en ciberseguridad?. Permite resolver conflictos entre normas. Ayuda a identificar qué disposición prevalece. Carece de utilidad práctica. Resulta esencial para interpretar futuras leyes de ciberseguridad.

¿Cuál es la finalidad del principio de considerar la seguridad como un proceso integral dentro del Esquema Nacional de Seguridad?. Limitar la seguridad únicamente a los sistemas informáticos. Integrar elementos humanos, materiales, técnicos, jurídicos y organizativos en una estrategia común. Delegar la seguridad exclusivamente en el responsable de seguridad. Priorizar las medidas tecnológicas frente a cualquier otra.

Respecto a la gestión de la seguridad basada en riesgos, señale las afirmaciones correctas. El riesgo cero es alcanzable mediante suficientes inversiones. Las medidas de seguridad deben ser proporcionales al valor del activo protegido. La evaluación del riesgo debe realizarse de forma periódica y continua. Siempre es recomendable maximizar la inversión en seguridad.

¿Por qué el elemento humano es considerado uno de los principales objetivos de los ciberataques?. Porque suele disponer de mayores privilegios que los sistemas automáticos. Porque explotar una vulnerabilidad humana suele ser más sencillo que romper medidas técnicas avanzadas. Porque el ENS obliga a sustituir controles técnicos por formación. Porque la ingeniería social puede facilitar el acceso al sistema.

En relación con el principio de mínimo privilegio, ¿qué medidas son coherentes con su aplicación?. Mantener permisos antiguos por si el trabajador vuelve a necesitarlos. Conceder únicamente los permisos imprescindibles para desarrollar las funciones asignadas. Retirar permisos cuando un empleado cambia de puesto o abandona la organización. Permitir que un trabajador conserve todos sus accesos mientras no se detecte un abuso.

Según lo explicado en clase, ¿qué papel desempeña el departamento de Recursos Humanos en la seguridad de la información?. Ninguno, ya que la gestión de accesos es exclusivamente técnica. Debe comunicar altas, bajas y cambios de puesto al departamento de seguridad. Debe gestionar directamente las contraseñas de los empleados. Facilita la correcta actualización de permisos y perfiles de acceso.

¿Cuál es el objetivo principal de las líneas de defensa dentro del ENS?. Concentrar todos los activos en una única infraestructura altamente protegida. Crear capas sucesivas de protección que dificulten el avance del atacante. Evitar la necesidad de sistemas de monitorización. Reducir el impacto de una intrusión y ganar tiempo de reacción.

El caso expuesto sobre la sanción a Telefónica ilustra principalmente: El caso expuesto sobre la sanción a Telefónica ilustra principalmente:. Que las grandes empresas están exentas de responsabilidad administrativa. La necesidad de establecer mecanismos de detección de anomalías. Que una contraseña válida elimina la necesidad de controles adicionales.

El Esquema Nacional de Seguridad establece la diferenciación de cuatro responsables principales. ¿Cuáles son?. Responsable de la información. Responsable del servicio. Responsable de la seguridad. Responsable del sistema.

¿Por qué el responsable del sistema y el responsable de la seguridad no deberían recaer en la misma persona?. Porque pueden existir conflictos de intereses entre operar el sistema y supervisar su seguridad. Porque el ENS lo considera una medida para reforzar la independencia funcional. Porque ambos puestos requieren titulaciones incompatibles. Porque así se elimina cualquier posibilidad de incidente.

Una política de seguridad correctamente elaborada debe incluir: Objetivos y misión de la organización. Roles y responsabilidades en materia de seguridad. Estrategias de implantación y seguimiento. Únicamente medidas técnicas concretas.

Respecto a la profesionalidad del personal de ciberseguridad, el profesor destaca que: El ENS prevé la certificación del responsable de seguridad. La formación continua constituye un elemento esencial. La experiencia práctica sustituye cualquier necesidad de acreditación. La tendencia normativa es exigir mayores requisitos de capacitación.

En relación con la protección de la información almacenada y en tránsito, señale la respuesta correcta. Solo debe protegerse la información mientras está almacenada. La información en tránsito requiere medidas específicas de protección. La seguridad debe mantenerse incluso cuando la información cambia de soporte. Un documento impreso deja de estar sometido a las medidas de protección del documento digital original.

¿Qué criterio defendió el profesor respecto a la comunicación de incidentes de seguridad?. Deben existir canales directos de comunicación. Es preferible que el incidente pase por varios niveles jerárquicos antes de comunicarse. La rapidez es un factor crítico en ciberseguridad. Es mejor asumir algunas falsas alarmas que ignorar un incidente real.

En relación con la certificación del ENS, ¿qué afirmación es correcta?. El ENS certifica empresas en su conjunto. El ENS certifica sistemas de gestión de la información. Una organización puede certificar determinados sistemas y no otros. La auditoría siempre afecta a todos los activos de la empresa.

¿Qué finalidad tiene la plataforma "Ángeles" presentada al final de la clase?. Ofrecer formación gratuita en materias relacionadas con la ciberseguridad. Facilitar el aprendizaje de contenidos como el ENS o la cadena de suministro. Sustituir las certificaciones profesionales internacionales. Servir como herramienta complementaria para ampliar conocimientos.

¿Qué relación establece el profesor entre el Esquema Nacional de Seguridad (ENS) y las obligaciones de notificación de incidentes?. Son normativas independientes y sin puntos en común. El cumplimiento del ENS facilita el cumplimiento de los plazos de comunicación exigidos por otras normas. El ENS elimina cualquier obligación de comunicar incidentes. Solo los sistemas de categoría alta deben notificar incidentes.

Respecto al registro de evidencias tras un incidente de seguridad, señale las afirmaciones correctas. Puede ser necesario para futuros procedimientos judiciales. Solo sirve para elaborar estadísticas internas. Puede resultar útil para imponer medidas disciplinarias. Debe conservarse únicamente mientras dure el incidente.

¿Por qué es importante mantener actualizada la documentación de seguridad?. Porque las auditorías verifican la existencia y actualización de dicha documentación. Porque solo es necesaria durante la certificación inicial. Porque constituye una evidencia del cumplimiento normativo. Porque sustituye las medidas técnicas de seguridad.

En relación con la protección de instalaciones e infraestructuras, ¿qué ejemplo utiliza el profesor?. El CPD debe estar ubicado en una zona controlada. El CPD puede situarse en cualquier pasillo si dispone de antivirus. El control de acceso físico es una medida de seguridad relevante. La seguridad física carece de importancia frente a la lógica.

¿Qué función desempeñan las auditorías dentro del ENS?. Comprobar que las medidas declaradas realmente existen. Verificar evidencias documentales y físicas. Sustituir el trabajo del responsable de seguridad. Confirmar el grado de cumplimiento del sistema.

¿Qué requisito debe cumplir una entidad certificadora para poder emitir certificaciones reconocidas?. Estar acreditada por el organismo competente. Haber certificado al menos una empresa pública. Disponer de reconocimiento oficial para esa actividad. Ser una empresa multinacional.

Según lo explicado en clase, ¿qué diferencia existe entre una autoevaluación y una certificación externa?. La autoevaluación puede utilizarse en determinadas categorías. La certificación implica la intervención de una entidad acreditada. Ambas tienen exactamente el mismo valor jurídico. La certificación externa proporciona una mayor garantía de cumplimiento.

¿Qué papel desempeña el responsable de seguridad de la información dentro del ENS?. Determinar las medidas aplicables al sistema. Analizar las obligaciones derivadas de la categoría del sistema. Limitarse a ejecutar órdenes sin capacidad de decisión. Coordinar la implantación de los controles de seguridad.

La categoría asignada a un sistema influye directamente en: Las medidas de seguridad exigibles. El nivel de controles a implantar. La necesidad de aplicar el ENS. Las obligaciones de gestión y supervisión.

¿Por qué el profesor insiste en que las evidencias deben conservarse correctamente?. Porque pueden ser necesarias para demostrar el cumplimiento normativo. Porque permiten reconstruir un incidente de seguridad. Porque únicamente sirven para auditorías económicas. Porque pueden tener valor probatorio.

En relación con las obligaciones del personal, señale la respuesta correcta. Los trabajadores deben ser informados de sus deberes en materia de seguridad. Las obligaciones pueden derivar de instrucciones del responsable o encargado del tratamiento. El personal no necesita conocer las normas internas. El cumplimiento normativo afecta únicamente a los directivos.

¿Cuál es la finalidad de mantener un historial documental de las actuaciones realizadas?. Facilitar la trazabilidad. Demostrar que las medidas se han implantado realmente. Evitar cualquier posibilidad de incidente. Servir como evidencia en auditorías.

Durante una auditoría, ¿qué tipo de comprobaciones puede realizar el auditor?. Revisar documentos de seguridad. Verificar físicamente las instalaciones. Comprobar los controles de acceso. Limitarse exclusivamente a entrevistas.

¿Qué beneficio aporta la certificación de un sistema conforme al ENS o a estándares relacionados?. Incrementa la confianza de terceros. Contribuye al control y gestión de riesgos. Garantiza que nunca habrá incidentes. Demuestra el compromiso con la seguridad.

¿Cuál es una de las ideas principales repetidas por el profesor durante esta clase?. La seguridad debe poder demostrarse mediante evidencias. La documentación y la realidad operativa deben coincidir. La auditoría verifica tanto lo declarado como lo implantado. La seguridad depende exclusivamente de herramientas tecnológicas.

Según la explicación del profesor, ¿quién es el responsable del tratamiento de datos personales?. Quien trata los datos siguiendo instrucciones de otro. Quien decide para qué y cómo se utilizan los datos personales. Cualquier persona que tenga acceso a una base de datos. El Delegado de Protección de Datos.

En relación con el encargado del tratamiento, señale las afirmaciones correctas. Trata datos personales por cuenta del responsable. Actúa siguiendo las instrucciones del responsable del tratamiento. Decide libremente la finalidad del tratamiento. Puede compararse con la empresa que reparte los pedidos en el ejemplo explicado en clase.

¿Quién es el interesado en la normativa de protección de datos?. El responsable del tratamiento. El encargado del tratamiento. La persona física cuyos datos personales están siendo tratados. La Agencia Española de Protección de Datos.

¿Qué función principal atribuye el profesor al Delegado de Protección de Datos (DPD)?. Sustituir al responsable del tratamiento. Asesorar y supervisar el correcto cumplimiento de la normativa de protección de datos. Imponer sanciones administrativas. Actuar como una especie de defensor de los interesados.

Según la clase, la existencia de un Delegado de Protección de Datos: Es obligatoria en determinados supuestos previstos por la normativa. Nunca es obligatoria. Puede responder a la complejidad del tratamiento realizado. Solo existe en empresas privadas.

¿Qué características tiene la Autoridad Nacional de Control en materia de protección de datos?. Es una autoridad administrativa independiente. Supervisa el cumplimiento de la normativa. Puede imponer sanciones. Depende jerárquicamente del responsable del tratamiento.

El profesor explica la figura del representante en protección de datos para destacar que: Puede ser necesaria cuando el tratamiento afecta a personas de la Unión Europea desde terceros países. Su estudio tiene mayor relevancia jurídica que técnica. Sustituye siempre al Delegado de Protección de Datos. Facilita las relaciones con las autoridades de control.

¿Qué problema jurídico plantea el profesor al hablar de tratamientos realizados desde fuera de la Unión Europea?. La dificultad de hacer efectiva una sanción sobre responsables situados en otros países. Que la normativa europea deja de aplicarse automáticamente. La complejidad de ejercer potestades de control sobre entidades extranjeras. Que los datos personales dejan de estar protegidos.

Según lo explicado en clase, el tratamiento de datos personales puede realizarse: Exclusivamente dentro del territorio nacional. Desde cualquier lugar del mundo mediante medios electrónicos. Afectando a personas residentes en la Unión Europea. Únicamente por organismos públicos.

¿Qué recomendación realiza el profesor respecto al estudio de las normas jurídicas?. Memorizar únicamente los artículos sancionadores. Identificar y recopilar los artículos que contienen definiciones. Elaborar un archivo personal con los conceptos jurídicos fundamentales. Evitar estudiar las definiciones porque suelen cambiar.

En relación con las definiciones legales, ¿por qué el profesor les concede tanta importancia?. Porque delimitan el significado jurídico exacto de los conceptos. Porque ayudan a interpretar correctamente el resto de la normativa. Porque únicamente sirven para aprobar exámenes tipo test. Porque permiten diferenciar figuras como responsable y encargado.

Según la explicación de la clase, ¿qué relación existe entre la protección de datos y el Esquema Nacional de Seguridad?. Cuando una administración trata datos personales debe cumplir el ENS. Son materias completamente independientes. La protección de datos y la seguridad de la información están relacionadas. El ENS elimina la necesidad de cumplir la normativa de protección de datos.

¿Cuál de las siguientes afirmaciones refleja mejor la diferencia entre responsable y encargado del tratamiento?. El responsable decide; el encargado ejecuta. El encargado determina la finalidad del tratamiento. Ambos tienen exactamente las mismas funciones. El encargado actúa bajo las instrucciones del responsable.

El profesor utiliza ejemplos cotidianos (como puestos de comida o repartidores) principalmente para: Explicar conceptos jurídicos complejos mediante analogías sencillas. Demostrar que la normativa solo afecta a pequeños negocios. Facilitar la comprensión de las distintas figuras del RGPD. Sustituir el estudio del texto legal.

¿Qué idea general intenta transmitir el profesor durante esta parte de la asignatura?. La protección de datos tiene una importante dimensión organizativa. Identificar correctamente las figuras jurídicas es esencial. La aplicación práctica de la normativa exige comprender las relaciones entre los distintos sujetos. La ciberseguridad se limita exclusivamente a aspectos tecnológicos.

Según la jurisprudencia comentada en clase, la obligación de seguridad en materia de protección de datos debe entenderse como: Una obligación absoluta de impedir cualquier incidente. Una obligación de medios. Una obligación de resultados. Una obligación basada en la diligencia y en la adopción de medidas adecuadas.

¿Qué elementos deben analizarse para determinar si una organización ha actuado diligentemente ante una brecha de seguridad?. La existencia de un análisis de riesgos adecuado. La adopción de medidas técnicas, organizativas y operativas proporcionales. Que nunca se haya producido ningún incidente. La justificación de las medidas implementadas.

Si una organización demuestra que realizó correctamente el análisis de riesgos y aplicó medidas adecuadas, pero aun así sufre un ciberataque: Nunca tendrá ninguna responsabilidad. Puede evitar una sanción administrativa. Puede existir obligación de indemnizar a los perjudicados. La existencia del ataque demuestra automáticamente negligencia.

Según la clase, certificaciones como el ENS o la ISO 27001 sirven principalmente para: Garantizar que nunca ocurrirá una brecha de seguridad. Demostrar que se están aplicando medidas de seguridad adecuadas. Acreditar diligencia en la gestión de la seguridad. Sustituir el análisis de riesgos.

¿Qué consecuencia puede tener una categorización incorrecta de riesgos dentro del ENS?. Que se implementen medidas insuficientes. Que se obtenga una certificación inadecuada al nivel real de riesgo. Que la organización pueda ser sancionada posteriormente. Que desaparezcan automáticamente los riesgos.

Los datos especialmente protegidos requieren: Mayor nivel de seguridad. Una justificación adicional para su tratamiento. Únicamente el consentimiento del interesado. Especial protección debido al impacto que su divulgación puede tener sobre derechos fundamentales.

¿Cuál de los siguientes datos podría considerarse una categoría especial de datos personales?. Talla de calzado. Opiniones políticas. Orientación sexual. Datos de salud.

Respecto al derecho de acceso de los interesados: Puede facilitarse mediante un portal de cliente o área privada. Obliga a diseñar mecanismos seguros de autenticación. El acceso a los datos elimina la necesidad de medidas de seguridad. Tiene implicaciones directas para la ciberseguridad.

¿Por qué puede restringirse la modificación directa de determinados datos por parte del usuario?. Porque algunos cambios tienen consecuencias jurídicas relevantes. Porque puede ser necesaria una verificación documental previa. Porque la normativa prohíbe cualquier rectificación. Porque ciertos atributos afectan a derechos u obligaciones legales.

El derecho de limitación del tratamiento implica que: Los datos se destruyen inmediatamente. Los datos permanecen conservados, pero sin utilizarse. Debe garantizarse que nadie los modifique o use indebidamente. Pueden mantenerse por razones probatorias o legales.

Según el RGPD explicado en clase, el responsable del tratamiento debe valorar: La naturaleza del tratamiento. El ámbito, contexto y finalidad del tratamiento. La probabilidad y gravedad de los riesgos. Exclusivamente el coste económico de las medidas.

¿Qué significa que las medidas de seguridad deban revisarse "cuando sea necesario"?. Que basta con revisarlas una vez al año. Que pueden existir circunstancias que obliguen a reevaluarlas antes. Que deben tenerse en cuenta nuevos riesgos o cambios tecnológicos. Que la organización debe justificar por qué revisa o no revisa sus controles.

En una organización, ¿quién debe autorizar las decisiones relacionadas con tratamientos de datos personales?. El responsable del tratamiento. Cualquier directivo de la organización. Quien determine legalmente los fines y medios del tratamiento. El técnico que implemente la solución.

Respecto al encargado del tratamiento: Trata datos por cuenta del responsable. Debe ofrecer garantías suficientes de cumplimiento normativo. Libera completamente de responsabilidad al responsable del tratamiento. Puede ser objeto de auditorías o verificaciones.

Cuando se produce una violación de seguridad de datos personales, el responsable del tratamiento debe: Notificarla a la autoridad de control en un máximo de 72 horas cuando proceda. Documentar los hechos y medidas adoptadas. Evaluar las posibles consecuencias para los afectados. Ignorar el incidente si ya ha sido solucionado.

¿En cuáles de los siguientes casos el RGPD obliga expresamente a nombrar un Delegado de Protección de Datos (DPD)?. Cuando se trata de una autoridad u organismo público. Cuando la actividad principal consiste en tratamientos masivos de datos personales. Cuando se realizan tratamientos a gran escala de categorías especiales de datos. Siempre que una empresa tenga más de 50 empleados.

¿Qué diferencia fundamental existe entre el DPD y el CISO?. El DPD se centra en el cumplimiento normativo de protección de datos. El CISO se centra en la seguridad tecnológica de los sistemas. Ambos tienen exactamente las mismas funciones. Sus ámbitos suelen coincidir en incidentes y brechas de seguridad.

Según lo explicado en clase, el DPD debe intervenir: Únicamente cuando ya se ha producido una sanción. Desde las fases iniciales de proyectos que afecten a datos personales. En incidentes relacionados con datos personales. En evaluaciones de impacto sobre protección de datos.

Respecto a la independencia del Delegado de Protección de Datos: No puede recibir instrucciones sobre cómo ejercer sus funciones. Puede ser despedido por discrepar con la dirección. Debe disponer de recursos suficientes para realizar su trabajo. Solo puede ser sancionado por negligencia grave demostrada.

Entre las funciones mínimas del DPD se encuentran: Supervisar el cumplimiento del RGPD. Formar y concienciar al personal. Sustituir al responsable del tratamiento. Cooperar con la Agencia Española de Protección de Datos.

Cuando una organización decide no seguir una recomendación del DPD: Debe documentar los motivos por escrito. Puede ignorar su opinión sin dejar constancia. Es recomendable justificar formalmente la decisión. El desacuerdo debe quedar registrado.

Según la clase, la primera pregunta que debe hacerse una organización antes de aplicar la normativa de protección de datos es: ¿Existe una certificación ENS?. ¿Se están tratando datos personales?. ¿Hay un delegado de protección de datos?. ¿Los datos pertenecen a una empresa?.

¿Cuál de los siguientes ejemplos NO constituye un dato personal según los ejemplos expuestos en clase?. Historial médico de una persona. Datos biométricos de un usuario. Mapa técnico de una instalación industrial. Datos asociados a un trabajador identificado.

Para que el consentimiento sea válido según el RGPD debe ser: Libre. Informado. Inequívoco. Implícito por defecto.

Respecto al consentimiento de menores en España: Un menor de 14 años puede consentir libremente cualquier tratamiento. España fijó el límite en 14 años. Por debajo de 14 años debe intervenir quien ejerza la patria potestad o tutela. El RGPD obligaba necesariamente a fijarlo en 16 años.

¿Cuáles son categorías especiales de datos personales?. Religión. Afiliación sindical. Orientación sexual. Número de empleado.

Cuando se realiza un análisis de riesgos en protección de datos, la normativa exige prestar especial atención a: Posibles situaciones de discriminación. Usurpación de identidad. Daños reputacionales o económicos. Únicamente a los costes tecnológicos.

Una brecha de seguridad de datos personales puede consistir en: Destrucción de datos. Alteración no autorizada. Pérdida de acceso a los datos. Acceso no autorizado.

Según la Sentencia 182/2022 del Tribunal Supremo comentada en clase: La seguridad es una obligación absoluta de resultado. La obligación de seguridad es una obligación de medios. Una brecha implica automáticamente una sanción. Debe analizarse si se adoptaron medidas razonables.

En el caso Telefónica analizado en clase, la Agencia Española de Protección de Datos consideró especialmente relevante que: Existía un volumen anómalo de consultas que no fue detectado. Se realizaban millones de consultas desde una única cuenta. El usuario realizaba accesos desde el extranjero estando de vacaciones. Los mecanismos de monitorización resultaron insuficientes.

Según el RGPD, ¿qué característica distingue a los datos de categoría especial de los datos personales ordinarios?. Que siempre identifican de forma única a una persona. Que su tratamiento puede generar discriminación o afectar derechos fundamentales. Que solo pueden ser tratados por organismos públicos. Que siempre requieren cifrado avanzado.

Una asociación dedicada a la diversidad sexual solicita información sobre la orientación sexual de sus miembros. ¿Qué condiciones deben cumplirse para tratar legítimamente esos datos?. Consentimiento del interesado. Existencia de una finalidad justificada relacionada con la actividad de la organización. Que la organización sea pública. Que los datos se destruyan en menos de un año.

¿Cuál de los siguientes principios del RGPD se menciona expresamente como fundamento para evitar recopilar datos innecesarios?. Exactitud. Licitud. Minimización de datos. Transparencia.

En el Esquema Nacional de Seguridad (ENS), cuando se habla de un sistema de información, ¿a qué se refiere principalmente?. A los datos almacenados. A la organización completa. A los elementos y mecanismos utilizados para gestionar información. Exclusivamente a sistemas informáticos.

¿Cuál es el objetivo principal de categorizar un sistema de información dentro del ENS?. Determinar el valor económico de la información. Decidir qué medidas de seguridad deben implantarse. Establecer quién será el responsable jurídico. Determinar el número de usuarios autorizados.

Al categorizar un sistema según el ENS, el impacto de un incidente debe valorarse principalmente en función de: El coste tecnológico del sistema. El número de empleados afectados. La capacidad de la organización para alcanzar sus objetivos. El número de copias de seguridad existentes.

¿Cuáles son las cinco dimensiones de seguridad analizadas en el ENS?. Confidencialidad. Integridad. Trazabilidad. Disponibilidad.

La dimensión de autenticidad tiene como finalidad: Garantizar que los datos no se modifiquen. Garantizar que la información esté disponible. Confirmar la identidad de quien actúa o accede. Registrar el recorrido de la información.

Un mismo incidente puede tener niveles de impacto distintos según la dimensión de seguridad evaluada. Verdadero. Falso.

Si una dimensión de un sistema alcanza nivel alto y las demás son bajas, la categoría final del sistema será: Baja. Media. Alta. Depende del número de dimensiones bajas.

Para determinar la categoría de seguridad de un sistema, ¿cuál es el orden lógico descrito en clase?. Seleccionar medidas de seguridad → identificar información → categorizar. Identificar información y servicios → valorar dimensiones → determinar categoría → seleccionar medidas. Auditar → categorizar → identificar activos. Seleccionar controles → analizar riesgos → categorizar.

Los grupos de medidas de seguridad contemplados por el ENS son: Organizativas. Operacionales u operativas. De protección. Jurídicas.

¿Qué finalidad tienen las medidas organizativas?. Proteger directamente los datos mediante cifrado. Gestionar la seguridad de forma global en la organización. Sustituir a las auditorías. Garantizar exclusivamente la disponibilidad.

¿Por qué el ENS permite crear subsistemas dentro de un sistema más amplio?. Para reducir costes aplicando mayores medidas solo donde sean necesarias. Para evitar auditorías. Para eliminar el análisis de riesgos. Para impedir la trazabilidad.

Según los anexos del ENS, las siguientes medidas organizativas se exigen siempre, independientemente de la categoría del sistema: Política de seguridad. Normativa de seguridad. Procedimientos de seguridad. Proceso de autorización.

¿Qué ocurre con el análisis de riesgos cuando un sistema pasa de categoría básica a media o alta?. Deja de ser necesario. Se mantiene, añadiéndose refuerzos progresivos. Solo lo realiza el proveedor. Se sustituye por auditorías.

En un sistema de categoría básica del ENS, la verificación del cumplimiento puede realizarse mediante: Auditoría externa obligatoria. Autoevaluación. Certificación ISO obligatoria. Inspección ministerial.

Los sistemas de categoría media o alta requieren: Autoevaluación exclusivamente. Informe externo de auditoría. Auditoría cada dos años. Auditoría extraordinaria cuando existan modificaciones sustanciales.

¿Qué estados de implementación de una medida de seguridad se describen en la guía CCN-STIC 808?. No implementada. En proceso de implementación. Implementada. Certificada.

¿Qué representa el nivel de madurez dentro de la guía CCN-STIC 808?. El grado de desarrollo y consolidación de las medidas de seguridad. El coste económico de los controles. La antigüedad de la organización. El número de auditorías realizadas.

Respecto a las redes 5G, ¿qué justifica la existencia de regulación específica en materia de seguridad. Su importancia estratégica. La dependencia creciente de servicios digitales. Las implicaciones de ciberseguridad y espionaje tecnológico. Que sustituyen completamente a Internet.

Según la normativa de seguridad 5G explicada en clase, el análisis de riesgos debe realizarse: Antes de adoptar medidas de seguridad. Como enfoque central de la gestión de seguridad. Valorando vulnerabilidades y amenazas. Solo cuando ocurre un incidente.

¿Qué debe incluir el análisis de riesgos realizado por operadores de redes 5G?. Funciones del núcleo de red. Transporte y transmisión. Red de acceso. Sistemas de control y servicio.

En la priorización de riesgos de redes 5G se consideran factores como: Criticidad para la red pública. Tipo de recurso afectado. Impacto sobre la integridad. Número y tipo de usuarios afectados.

Entre las obligaciones de seguridad de los operadores 5G se encuentran: Adoptar medidas técnicas y operativas. Mantener planes de contingencia. Definir roles y accesos. Utilizar sistemas certificados cuando proceda.

El Real Decreto sobre seguridad 5G establece que la protección debe contemplar: Prevención. Detección. Respuesta. Conservación.

¿Cuál de las siguientes afirmaciones refleja mejor la filosofía común presente en RGPD, ENS y regulación 5G según la clase?. La seguridad debe basarse en controles idénticos para todas las organizaciones. La gestión debe orientarse al análisis y tratamiento de riesgos. Las medidas técnicas son más importantes que las organizativas. La auditoría sustituye al análisis de riesgos.

Según la explicación del profesor, ¿cuál era el objetivo principal de la Directiva NIS 2?. Obligar a todas las empresas a certificarse en ISO 27001. Establecer un nivel alto común de ciberseguridad en la Unión Europea. Sustituir al Esquema Nacional de Seguridad. Regular exclusivamente las administraciones públicas.

Respecto a las certificaciones y la Directiva NIS 2, ¿cuál de las siguientes afirmaciones es correcta?. La NIS 2 obliga a utilizar exclusivamente el ENS. La NIS 2 obliga a utilizar exclusivamente ISO 27001. La NIS 2 permite demostrar la seguridad mediante certificaciones reconocidas u otros medios. La NIS 2 elimina la necesidad de justificar la seguridad.

¿Qué analogía utiliza el profesor para explicar la utilidad de los estándares y certificaciones?. Los cinturones de seguridad. Las puertas RF contra incendios. Los seguros médicos. Los sistemas GPS.

Según la clase, una certificación garantiza que: El sistema nunca sufrirá incidentes. La seguridad es absoluta. Se han seguido determinados procedimientos y controles reconocidos. No será necesaria ninguna auditoría futura.

¿Qué es lo que normalmente se certifica en los estándares de seguridad de la información?. Personas individuales únicamente. Organizaciones completas sin distinción. Sistemas concretos. Únicamente hardware.

¿Por qué una organización podría decidir certificar únicamente algunos de sus sistemas?. Porque la ley prohíbe certificar todos los sistemas. Porque la certificación implica costes y puede ser necesaria solo en determinados ámbitos. Porque las normas ISO solo permiten un sistema certificado. Porque el ENS lo exige expresamente.

¿Cuál de las siguientes afirmaciones sobre la seguridad es coherente con la explicación del profesor?. Un sistema certificado es invulnerable. La certificación garantiza la ausencia de errores. La seguridad absoluta no existe. Los estándares eliminan completamente el riesgo.

¿Qué es una norma según la definición explicada en clase?. Una recomendación técnica voluntaria. Una conducta o regla que debe cumplirse. Un documento comercial. Un certificado internacional.

Las normas pueden ser: Morales. Legales. Sociales. Exclusivamente jurídicas.

¿Cuál es una diferencia fundamental entre una norma y un estándar?. Las normas nunca son obligatorias. Los estándares suelen ser de adhesión voluntaria. Los estándares siempre tienen rango legal. Las normas no poseen ámbito de aplicación.

¿Cuál de los siguientes ejemplos utiliza el profesor para ilustrar un estándar ampliamente conocido?. Bluetooth. Wi-Fi. DIN A4. NFC.

El estándar USB-C es utilizado en clase para ejemplificar: Una norma jurídica. Una sanción administrativa. Un proceso de armonización tecnológica. Una certificación de seguridad.

Según la Ley de Industria citada en clase, una norma técnica se caracteriza por ser: De aplicación repetitiva o continuada. No necesariamente obligatoria. Acordada entre las partes interesadas. Siempre creada por un parlamento.

¿Cuál fue uno de los factores históricos que impulsó enormemente la estandarización internacional?. La Revolución Francesa. La Segunda Guerra Mundial. La Revolución Industrial exclusivamente. La creación de Internet.

La certificación consiste fundamentalmente en: Dar crédito. Otorgar confianza genérica. Dar certeza tras una comprobación. Emitir recomendaciones.

¿Qué diferencia establece el profesor entre acreditar y certificar?. Acreditar es dar confianza; certificar es comprobar y dar certeza. Son exactamente lo mismo. Certificar implica confianza y acreditar implica comprobación directa. Ninguna de las anteriores.

La función principal de ENAC es: Acreditar entidades que posteriormente certifican. Elaborar las normas ISO. Certificar directamente todas las empresas españolas. Sustituir a AENOR.

¿Qué ventajas proporciona la acreditación según la clase?. Reconocimiento internacional. Seguridad y confianza. Acceso a compras públicas. Ahorro y eficiencia.

¿Qué tipos de elementos pueden certificarse?. Productos o servicios. Sistemas de gestión. Personas. Exclusivamente procesos industriales.

El delegado de protección de datos se utiliza en clase como ejemplo de: Certificación de producto. Certificación de sistema. Certificación de personas. Acreditación institucional.

¿Qué organización aparece como ejemplo de entidad acreditada para certificar sistemas de gestión de seguridad de la información?. Europol. ENISA. AENOR. INCIBE.

Respecto a la ISO 27001, ¿qué característica destaca el profesor frente al ENS?. Tiene niveles bajo, medio y alto. No requiere auditorías. Se posee o no se posee, sin niveles intermedios. Solo puede aplicarse a administraciones públicas.

¿Qué ámbito cubren principalmente los estándares de ciberseguridad industrial explicados en clase?. Redes sociales. Sistemas de control y automatización industrial. Protección de datos personales exclusivamente. Comercio electrónico.

La norma ISA-95 está relacionada con: Protección de datos sanitarios. Automatización y entornos industriales. Gestión documental. Comercio electrónico.

¿Qué principios aparecen asociados a la norma ISA/IEC 62443?. Seguridad por diseño. Seguridad por capas. Defensa en profundidad. Reducción de la superficie de ataque.

¿Qué dimensiones o requisitos aparecen en los estándares industriales descritos?. Control de acceso. Integridad de los datos. Confidencialidad. Disponibilidad.

La organización ISO surge formalmente: En 1946-1947, tras la Segunda Guerra Mundial. Tras la Primera Guerra Mundial. En 1970. Con la aparición de Internet.

Todas las normas ISO comparten habitualmente apartados como: Objeto y ámbito de aplicación. Referencias normativas. Términos y definiciones. Mejora continua.

¿Cuál es la finalidad principal de la familia ISO 27000?. Gestionar la calidad industrial. Gestionar la seguridad de la información y proteger activos de información. Gestionar únicamente redes industriales. Regular el comercio electrónico.

Dentro de la familia ISO 27000, la norma ISO 27000 proporciona: Requisitos de certificación. Controles de seguridad. Visión general y vocabulario. Auditorías de terceros.

¿Qué función tiene la ISO 27001 dentro de la familia 27000?. Definir requisitos del sistema de gestión de seguridad de la información. Actuar como guía de auditoría. Definir métricas exclusivamente. Gestionar riesgos industriales.

Según la definición de la ISO 27000 vista en clase, un SGSI es: Un software de seguridad. Un conjunto de políticas, procedimientos, guías, recursos y actividades gestionados colectivamente. Un firewall corporativo. Una certificación internacional.

¿Cómo define la ISO 27000 una vulnerabilidad?. Un ataque exitoso. Una amenaza identificada. Una debilidad de un activo o de un control. Una pérdida de disponibilidad.

¿Cuál es la función principal de la norma ISO 27000 dentro de la familia ISO 27000?. Definir controles de seguridad específicos. Establecer requisitos certificables para un SGSI. Proporcionar conceptos, terminología y visión general de la gestión de la seguridad de la información. Regular la continuidad de negocio.

Según la explicación del profesor, ¿por qué son importantes los estándares y frameworks internacionales?. Porque sustituyen a la legislación nacional. Porque permiten que personas de diferentes países trabajen con un lenguaje común. Porque eliminan todos los riesgos de seguridad. Porque son obligatorios en cualquier organización.

Según la clase, ¿qué caracteriza a un Sistema de Gestión de Seguridad de la Información (SGSI)?. Es únicamente un software de seguridad. Es un conjunto de políticas, procedimientos, guías y recursos gestionados colectivamente. Es un firewall corporativo. Es un certificado emitido por ENAC.

Una vulnerabilidad, según la ISO 27000 explicada en clase, es: Un incidente consumado. Una amenaza identificada. Una debilidad de un activo o de un control. Una pérdida económica.

¿Cuál es el objetivo principal de la ISO 27001?. Regular la protección de datos personales. Establecer requisitos mínimos y buenas prácticas para un SGSI. Gestionar riesgos financieros. Certificar productos electrónicos.

¿Qué figura aparece expresamente asociada a la ISO 27001 durante la explicación del profesor?. Delegado de Protección de Datos. Chief Information Security Officer (CISO). Responsable de Recursos Humanos. Auditor Financiero.

Cuando una organización certifica su ISO 27001 significa que: Es inmune a cualquier ataque. Ha demostrado el cumplimiento de los requisitos establecidos mediante una auditoría. Ya no necesita auditorías futuras. Está exenta de cumplir otras normativas.

¿Qué norma complementa directamente a la ISO 27001 proporcionando controles de seguridad?. ISO 22301. ISO 27701. ISO 27002. ISO 31000.

Según la explicación del profesor, la ISO 27002 sirve principalmente para: Definir vocabulario. Seleccionar e implementar controles de seguridad. Gestionar continuidad de negocio. Gestionar inteligencia artificial.

¿Qué concepto debe considerarse al seleccionar controles dentro de la ISO 27002?. El riesgo residual aceptado por la organización. El tamaño físico de los servidores. El número de empleados. La edad de la empresa.

La ISO 27701 está especialmente orientada a: Ciberseguridad industrial. Protección de datos personales. Continuidad de negocio. Gestión financiera.

¿Qué figuras aparecen especialmente vinculadas a la ISO 27701?. CISO y auditor externo. Responsable del tratamiento, encargado del tratamiento y DPD. Director financiero y director comercial. Responsable de calidad y responsable de PRL.

Según el profesor, los datos personales son propiedad de: La empresa que los almacena. El encargado del tratamiento. El interesado. La autoridad de control.

La ISO 22300 se relaciona principalmente con: Gestión de riesgos financieros. Continuidad de negocio. Protección de datos. Auditorías de calidad.

¿Cuál es el objetivo principal de la continuidad de negocio?. Evitar cualquier incidente. Garantizar beneficios económicos. Permitir recuperar la actividad tras una interrupción. Eliminar el riesgo residual.

La norma ISO 31000 se dedica principalmente a: Gestión de riesgos. Protección de datos. Certificación industrial. Seguridad física.

Según la clase, los departamentos de compliance suelen integrar materias como: Protección de datos y prevención de riesgos laborales. Marketing digital exclusivamente. Diseño industrial. Gestión de inventario.

¿Qué norma europea será plenamente aplicable a finales de 2027?. NIS 1. Reglamento General de Protección de Datos. Reglamento de Ciberresiliencia (Cyber Resilience Act). eIDAS.

El Reglamento de Ciberresiliencia tiene como objetivo principal: Regular únicamente la inteligencia artificial. Establecer requisitos obligatorios de ciberseguridad para productos con elementos digitales. Sustituir la NIS 2. Regular las redes sociales.

¿Qué tipo de productos quedan afectados por el Reglamento de Ciberresiliencia?. Solo ordenadores personales. Únicamente software empresarial. Productos con elementos digitales conectados directa o indirectamente a redes o dispositivos. Exclusivamente dispositivos IoT.

¿Qué obligación tendrán los fabricantes respecto a las vulnerabilidades?. Ignorarlas mientras no exista incidente. Gestionarlas eficazmente durante el periodo de soporte del producto. Notificarlas solo al cliente. Eliminarlas únicamente durante el primer año.

¿Qué representa el marcado CE dentro del Reglamento de Ciberresiliencia?. Una garantía comercial. Una declaración de conformidad con los requisitos esenciales de ciberseguridad. Una licencia de exportación. Una certificación militar.

Un riesgo de ciberseguridad se calcula combinando: Coste y tiempo. Vulnerabilidad y activo. Probabilidad e impacto. Incidente y amenaza.

¿Qué diferencia existe entre una vulnerabilidad aprovechable y una vulnerabilidad aprovechada?. Ninguna. La primera ya ha causado daños y la segunda no. La aprovechable puede explotarse; la aprovechada ya ha sido explotada. La aprovechada siempre es crítica.

Cuando un fabricante detecta una vulnerabilidad aprovechada activamente debe realizar una alerta temprana en: 7 días. 72 horas. 24 horas. 14 días.

¿Cuál es el plazo general para la notificación posterior más detallada?. 12 horas. 48 horas. 72 horas. 30 días.

El informe final sobre una vulnerabilidad aprovechada debe remitirse aproximadamente en: 24 horas. 72 horas. 7 días. 14 días.

¿Qué organismo coordinará la recepción de determinadas notificaciones nacionales?. Europol. CSIRT designado como coordinador. Tribunal de Justicia de la UE. Interpol.

Según el reglamento, los productos deberán comercializarse: Sin vulnerabilidades aprovechables conocidas. Sin conexión a Internet. Únicamente con certificación militar. Exclusivamente para usuarios profesionales.

¿Qué requisito tendrán las actualizaciones de seguridad?. Ser siempre manuales. Poder instalarse automáticamente cuando proceda. Requerir autorización administrativa. Estar limitadas a cinco años.

¿Cuál es el objetivo principal de la Directiva sobre Comercio Electrónico de la Unión Europea mencionada en clase?. Regular exclusivamente la protección de datos. Eliminar barreras para la libre circulación de servicios de la sociedad de la información en el mercado interior europeo. Crear un sistema único de tributación digital. Regular únicamente los servicios de telecomunicaciones.

Según el profesor, ¿qué característica define especialmente al mercado interior de la Unión Europea?. La existencia de una única legislación penal. La eliminación de las constituciones nacionales. La libre circulación de mercancías, servicios y establecimiento. La desaparición de todos los impuestos.

¿Por qué el desarrollo del comercio electrónico implica necesariamente obligaciones de ciberseguridad?. Porque toda actividad comercial requiere inteligencia artificial. Porque normalmente implica tratamiento de datos personales. Porque obliga a usar blockchain. Porque todos los servicios deben ser gratuitos.

La Directiva ePrivacy está relacionada principalmente con: La fiscalidad digital. La protección de la intimidad y las comunicaciones electrónicas. La regulación de criptomonedas. La contratación pública.

¿Qué artículos de la Carta de Derechos Fundamentales de la Unión Europea fueron destacados por el profesor?. Artículos 1 y 2. Artículos 4 y 5. Artículos 7 y 8. Artículos 12 y 13.

Según la clase, la confidencialidad de las comunicaciones implica que: Las comunicaciones pueden ser interceptadas libremente. Deben ofrecerse mecanismos que eviten interceptaciones no autorizadas. Solo afecta a comunicaciones gubernamentales. Se aplica únicamente al correo electrónico.

¿En qué situación puede grabarse legítimamente una comunicación comercial?. Siempre que la empresa lo considere oportuno. Para proporcionar prueba de una transacción comercial. Sin informar al usuario. Solo durante auditorías.

Según la explicación sobre Pegasus y programas espía, ¿qué principio general debe respetarse?. Todo software espía es legal. Puede utilizarse sin limitaciones. La vigilancia requiere legitimación y control jurídico. Solo puede utilizarse por empresas privadas.

¿Qué problema actual señaló el profesor respecto al sistema de cookies?. Que no existen mecanismos de aceptación. Que los usuarios reciben solicitudes constantes de autorización. Que son incompatibles con Internet. Que están prohibidas por el RGPD.

Durante el debate sobre cifrado extremo a extremo, el profesor defendió principalmente: La eliminación completa del cifrado. El acceso libre del Estado a todas las comunicaciones. La protección de la privacidad frente a la vigilancia masiva. La prohibición de aplicaciones de mensajería.

¿Qué dos casos reales utilizó el profesor para ilustrar el debate sobre vigilancia y transparencia?. Pegasus y Cambridge Analytica. Edward Snowden y Julian Assange. Wikileaks y Anonymous. Facebook y Google.

Según la Ley 34/2002, un servicio de la sociedad de la información es aquel que se presta: Exclusivamente de forma presencial. A distancia, por vía electrónica y normalmente a cambio de una contraprestación económica. Solo por organismos públicos. Mediante radiodifusión.

¿Cuál de los siguientes NO se considera servicio de la sociedad de la información según la explicación de la ley?. Contratación electrónica de bienes. Gestión de subastas online. Radiodifusión televisiva tradicional. Comercio electrónico.

¿Qué son los servicios de intermediación?. Servicios notariales digitales. Servicios que facilitan acceso, transmisión o almacenamiento temporal de información en redes. Servicios de protección de datos. Servicios judiciales electrónicos.

Un prestador de servicios se presume establecido en España cuando: Tiene usuarios españoles. Sus medios tecnológicos y actividad están situados en España. Utiliza idioma español. Opera dentro de la Unión Europea.

¿Qué obligación tienen los prestadores de servicios respecto a la seguridad?. Ninguna obligación específica. Informar permanentemente a los usuarios sobre mecanismos que mejoren la seguridad. Limitar el uso de antivirus. Facilitar el acceso libre a los sistemas.

¿Qué principio se repite constantemente en la gestión de la seguridad según el profesor?. Medidas únicamente técnicas. Medidas técnicas y organizativas. Medidas económicas exclusivamente. Medidas judiciales exclusivamente.

Según la clase, el factor humano en seguridad: Es irrelevante frente a la tecnología. Solo afecta a usuarios externos. Sigue siendo un elemento fundamental en la protección de la información. Ha sido sustituido por la automatización.

¿Cuándo queda exento de responsabilidad un proveedor que almacena datos de terceros?. Cuando desconoce su carácter ilícito y actúa diligentemente al conocerlo. Siempre. Cuando obtiene beneficios económicos. Cuando los datos están en Internet.

Las infracciones muy graves contempladas en esta normativa pueden alcanzar: 30.000 euros. 60.000 euros. 150.000 euros. 600.000 euros.

¿Qué ocurrió con la Directiva europea sobre retención de datos?. Sigue plenamente vigente. Fue declarada inválida por el Tribunal de Justicia de la Unión Europea. Se convirtió en reglamento. Fue sustituida por NIS 2.

Según la Ley española de conservación de datos, ¿qué debe conservarse?. El contenido íntegro de las conversaciones. Los datos de tráfico y localización. Las contraseñas de los usuarios. Todos los archivos enviados.

¿Qué datos quedan expresamente excluidos de la obligación de conservación?. Datos de localización. Datos de tráfico. Contenido de las comunicaciones. Datos de identificación.

¿Cuál es el plazo general de conservación establecido por la Ley 25/2007?. 3 meses. 6 meses. 12 meses. 5 años.

¿Quién puede acceder a los datos conservados?. Cualquier funcionario público. Cualquier operador de telecomunicaciones. Autoridades legitimadas con autorización judicial. Empresas privadas.

La Ley General de Telecomunicaciones es la: Ley 34/2002. Ley 25/2007. Ley 11/2022. Ley 3/2018.

Según la Ley General de Telecomunicaciones, cualquier medida restrictiva debe ser: Permanente. Automática. Adecuada, necesaria y proporcional. Exclusivamente administrativa.

¿Qué organismo tiene competencias principales sobre protección de datos en España?. ENISA. INCIBE. Agencia Española de Protección de Datos. CNI.

¿Qué debe hacer un operador cuando existe una amenaza significativa de ciberseguridad?. Mantenerla en secreto. Informar a los usuarios afectados sobre medidas de protección. Eliminar el servicio. Desconectar Internet.

¿Qué tema aparece repetidamente como eje central de toda la clase?. El conflicto entre privacidad y vigilancia. La programación segura. El desarrollo de malware. La criptografía cuántica.

¿Cuál es una de las principales características jurídicas del Reglamento DORA dentro del ordenamiento de la Unión Europea?. Requiere transposición mediante ley nacional antes de ser aplicable. Solo es vinculante para los Estados miembros. Es de aplicación directa en todos los Estados miembros. Únicamente tiene efectos orientativos.

¿Cuál es el objetivo principal del Reglamento DORA?. Regular exclusivamente la protección de datos personales en el sector financiero. Consolidar y homogeneizar la resiliencia operativa digital de las entidades financieras. Sustituir completamente la normativa NIS 2. Regular únicamente el fraude bancario tradicional.

En caso de conflicto entre DORA y NIS 2 para una entidad financiera incluida en el ámbito de DORA: Se aplica siempre NIS 2. Se aplican ambas simultáneamente sin prioridad alguna. Tiene prioridad DORA por ser normativa sectorial. Decide cada Estado miembro qué norma aplicar.

¿Por qué el Reglamento DORA concede especial importancia al concepto de resiliencia?. Porque busca reducir los costes operativos. Porque la continuidad de los servicios financieros es esencial para la sociedad. Porque elimina la necesidad de medidas de seguridad. Porque sustituye completamente la gestión de riesgos.

Según DORA, ¿qué aspectos deben ser gestionados dentro del marco de resiliencia operativa digital?. Gestión del riesgo TIC. Notificación de incidentes graves. Pruebas de resiliencia operativa digital. Intercambio de inteligencia sobre amenazas.

¿Qué característica distingue una ciberamenaza importante según DORA?. Que siempre ha producido daños efectivos. Que necesariamente implica pérdidas económicas cuantificadas. Que sus características técnicas permiten prever un incidente grave. Que únicamente afecta a infraestructuras críticas.

¿Cuál de las siguientes afirmaciones describe correctamente un ciberataque según DORA?. Debe haberse materializado necesariamente en daños. Solo existe cuando se produce una pérdida económica. Incluye también las tentativas malintencionadas. Excluye cualquier intento fallido.

¿Cuál es la diferencia fundamental entre información e inteligencia sobre amenazas?. No existe diferencia. La inteligencia implica análisis, enriquecimiento e interpretación de la información. La información siempre es más valiosa que la inteligencia. La inteligencia solo puede obtenerse mediante IA.

Una vulnerabilidad es: Un incidente ya materializado. Una amenaza activa. Una debilidad o defecto de un activo, sistema, proceso o control. Una consecuencia económica de un ataque.

¿Qué implican las pruebas de penetración basadas en amenazas?. Simulan tácticas y procedimientos de atacantes reales. Solo revisan documentación. Sustituyen completamente los análisis de riesgos. Son equivalentes a una auditoría contable.

El riesgo TIC derivado de terceros está relacionado principalmente con: Los empleados internos. Los proveedores y la cadena de suministro. Los clientes finales. Los reguladores.

El marco de gestión del riesgo TIC exigido por DORA debe ser: Opcional para pequeñas entidades. Limitado exclusivamente a software. Sólido, completo y bien documentado. Exclusivamente técnico.

¿Qué elementos debe incluir como mínimo el marco de gestión del riesgo TIC?. Estrategias. Políticas y procedimientos. Protocolos y herramientas. Protección de activos de información y TIC.

¿Qué debe establecer la estrategia de resiliencia operativa digital?. El nivel de tolerancia al riesgo. Objetivos de seguridad. Indicadores de rendimiento. Parámetros de medición del riesgo.

Cuando una norma exige medidas “adecuadas a la magnitud de las operaciones”, ¿qué interpretación destacó el profesor?. Debe evaluarse comparativamente el tamaño y actividad de la organización. Basta con una valoración subjetiva. Solo importa el volumen económico anual. No es necesario justificar la decisión.

Según DORA, la seguridad de los datos debe garantizarse: Solo cuando están almacenados. Solo durante las comunicaciones. Tanto en reposo como en tránsito. Únicamente en centros de datos principales.

¿Qué principios clásicos de seguridad aparecen reiteradamente en DORA?. Confidencialidad. Integridad. Disponibilidad. Autenticidad.

¿Qué requisito impone DORA respecto a la segmentación de redes?. Debe permitir aislar rápidamente partes comprometidas del sistema. Debe eliminar completamente la redundancia. Debe impedir cualquier actualización. Solo aplica a redes internas.

Para detectar actividades anómalas, ¿qué principio destacó especialmente el profesor?. Definir primero lo anormal. Definir primero la normalidad. Analizar únicamente incidentes previos. Basarse exclusivamente en inteligencia artificial.

¿Qué debe ocurrir si se detectan comportamientos alejados de la normalidad?. Ignorarlos hasta confirmar un ataque. Generar alertas y analizarlas. Notificar inmediatamente a Europol. Restaurar copias de seguridad.

Respecto a respaldo y recuperación, DORA exige: Copias de seguridad. Procedimientos de recuperación documentados. Capacidad de restaurar servicios esenciales. Centros secundarios.

El centro secundario de respaldo debe: Compartir el mismo perfil de riesgo que el principal. Estar geográficamente separado. Tener riesgos diferentes al principal. Permitir la continuidad del negocio.

¿Qué exige DORA en materia de comunicación de crisis?. Estrategia formal de comunicación. Comunicación a clientes cuando proceda. Comunicación a contrapartes. Existencia de un portavoz designado.

¿Cuáles son los informes obligatorios asociados a un incidente grave TIC?. Informe inicial. Informe intermedio. Informe final. Informe anual.

Las pruebas avanzadas de penetración basadas en amenazas deben realizarse, como regla general: Cada seis meses. Cada año. Cada tres años. Solo tras incidentes graves.

Respecto a las pruebas de penetración avanzadas: Deben realizarse sobre sistemas de producción activos. Solo pueden ejecutarse en laboratorios. Requieren probadores cualificados. Pueden intervenir proveedores externos acreditados.

¿Qué fomenta DORA entre las entidades financieras?. Ocultar información sobre amenazas. Intercambiar inteligencia sobre ciberamenazas. Compartir indicadores de compromiso. Compartir tácticas y procedimientos detectados.

Según la normativa europea sobre IA explicada en clase, un sistema de inteligencia artificial: Infiere resultados a partir de datos. Puede generar predicciones o recomendaciones. Influye en entornos físicos o virtuales. Debe poseer conciencia propia.

¿Qué elementos transversales aparecen repetidamente en la normativa estudiada?. Protección de datos. Ciberseguridad. Transparencia. Resiliencia operativa.

En el Reglamento de Inteligencia Artificial, los sistemas de alto riesgo deben garantizar: Transparencia suficiente. Solidez. Ciberseguridad. Precisión adecuada.

¿Qué finalidad persigue el Reglamento eIDAS 2?. Crear un marco europeo de identidad digital. Regular firmas electrónicas y servicios de confianza. Favorecer el reconocimiento mutuo de identidades digitales. Establecer mecanismos de autenticación fiables.

¿Qué tipos de firma electrónica contempla eIDAS?. Básica. Avanzada. Cualificada. Biométrica obligatoria.

Una firma electrónica cualificada es: Cualquier firma digitalizada. Una firma avanzada creada mediante un dispositivo cualificado. Una firma manuscrita escaneada. Una firma sin certificado.

Una firma electrónica cualificada es: Cualquier firma digitalizada. Una firma avanzada creada mediante un dispositivo cualificado. Una firma manuscrita escaneada. Una firma sin certificado.

¿Qué niveles de seguridad prevé eIDAS para los sistemas de identificación electrónica?. Bajo. Sustancial. Alto. Crítico.

Según la explicación del profesor, ¿cuál es la diferencia fundamental entre una norma jurídica y una norma ética?. Las normas éticas son obligatorias y las jurídicas voluntarias. Las normas jurídicas llevan asociadas sanciones legales, mientras que las éticas implican consecuencias sociales o profesionales. Las normas jurídicas solo afectan a empresas. Las normas éticas solo se aplican en el ámbito profesional.

¿Cuál de los siguientes instrumentos normativos tiene fuerza de ley?. Orden ministerial. Real decreto. Real decreto-ley. Instrucción administrativa.

¿Cuáles son las fuentes del Derecho reconocidas tradicionalmente en España?. Ley. Costumbre. Principios generales del Derecho. Jurisprudencia.

¿Por qué los tratados internacionales aparecen frecuentemente asociados a las fuentes del Derecho?. Porque sustituyen automáticamente a la Constitución. Porque una vez publicados forman parte del ordenamiento jurídico interno. Porque no necesitan publicación oficial. Porque tienen siempre rango constitucional.

¿Por qué los tratados internacionales aparecen frecuentemente asociados a las fuentes del Derecho?. Porque sustituyen automáticamente a la Constitución. Porque una vez publicados forman parte del ordenamiento jurídico interno. Porque no necesitan publicación oficial. Porque tienen siempre rango constitucional.

¿Qué órgano es el encargado de fijar la jurisprudencia que sirve de referencia para interpretar las normas?. Tribunal Constitucional exclusivamente. Tribunal Supremo. Congreso de los Diputados. Consejo de Estado.

¿Qué criterio jurídico permite determinar qué norma aplicar cuando existen dos normas sobre una misma materia aprobadas en momentos distintos?. Especialidad. Jerarquía. Cronología. Territorialidad.

¿Qué criterio jurídico explica que DORA prevalezca sobre NIS 2 en el ámbito financiero?. Jerarquía normativa. Territorialidad. Especialidad. Cronología exclusivamente.

¿Qué instrumentos jurídicos de la Unión Europea son obligatorios?. Reglamento. Directiva. Decisión. Dictamen.

¿Cuál es la diferencia fundamental entre reglamento y directiva europea?. Ambos requieren transposición nacional. El reglamento es directamente aplicable y la directiva requiere transposición. La directiva es directamente aplicable y el reglamento requiere transposición. Ninguno tiene carácter obligatorio.

¿Qué cambio fundamental introduce NIS 2 respecto a NIS 1?. Elimina completamente la figura de operador esencial. Sustituye la diferenciación entre operadores esenciales y proveedores digitales. Deroga toda la normativa de protección de datos. Se aplica únicamente a infraestructuras críticas.

¿Qué pretende conseguir NIS 2 mediante la armonización normativa?. Reducir la cooperación entre Estados miembros. Crear diferencias regulatorias nacionales. Unificar progresivamente los requisitos de ciberseguridad. Eliminar la soberanía digital europea.

¿Qué ámbitos quedan generalmente excluidos de NIS 2?. Seguridad nacional. Defensa. Seguridad pública. Actividades policiales.

¿Qué función desempeñan los CSIRT?. Gestión de recursos humanos. Respuesta a incidentes de seguridad informática. Supervisión financiera. Certificación de productos.

¿Qué funciones desarrollan los CSIRT según NIS 2?. Seguimiento de amenazas. Análisis de vulnerabilidades. Difusión de alertas tempranas. Promoción de buenas prácticas.

¿Qué organización mantiene la base europea de vulnerabilidades?. Europol. ENISA. Banco Central Europeo. Agencia Europea de Medicamentos.

¿Qué información contiene la base europea de vulnerabilidades?. Descripción de la vulnerabilidad. Medidas de mitigación. Sistemas afectados. Disponibilidad de parches.

¿Qué es EU-CyCLONe?. Un sistema operativo europeo. Una red europea de coordinación para crisis de ciberseguridad. Un certificado de seguridad. Una base de datos policial.

¿Cada cuánto tiempo se elabora el informe sobre el estado de la ciberseguridad de la Unión Europea?. Anualmente. Cada dos años. Cada tres años. Cada cinco años.

¿Cuáles son los principales plazos de notificación de incidentes en NIS 2?. 24 horas. 72 horas. Informe final posterior. Los plazos de notificación fueron señalados expresamente como materia relevante para examen.

¿Qué norma constituye la base legal del Esquema Nacional de Seguridad?. Ley 39/2015 y Ley 40/2015. RGPD exclusivamente. NIS 2 exclusivamente. Código Penal.

¿Qué diferencia existe entre el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad?. El ENS protege la información y el ENI facilita la comunicación entre administraciones. Son exactamente lo mismo. El ENI protege la información y el ENS regula contratos. Ninguno afecta a las administraciones públicas.

Según el ENS, la seguridad debe entenderse como un proceso integral que incluye: Personas. Instalaciones físicas. Tecnología. Organización.

¿Qué elementos debe contener una política de seguridad?. Objetivos. Marco regulatorio aplicable. Roles y responsabilidades. Estructura organizativa.

¿Quién debe aprobar las normas de seguridad dentro de una organización?. El administrador de sistemas. El auditor. La dirección. El delegado de protección de datos.

¿A quién debe formarse en materia de seguridad según el ENS?. Solo al personal propio. Solo al personal externo. Tanto al personal propio como al externo. Únicamente a directivos.

¿Cuáles son las fases básicas de gestión de incidentes de ciberseguridad?. Detección. Clasificación. Resolución. Registro y comunicación.

¿Qué grupos de medidas contempla el ENS?. Organizativas. Operacionales. De protección. Financieras.

¿Qué diferencia existe entre autoevaluación y auditoría formal en el ENS?. La autoevaluación puede realizarla el propio personal administrador. La auditoría formal exige independencia y metodología específica. Las categorías media y alta requieren auditoría formal. Ambas son exactamente iguales.

¿Qué es la declaración de aplicabilidad en el ENS?. Un listado de sanciones. El documento que indica qué medidas se aplican o excluyen. El informe anual de auditoría. La certificación final.

¿Cuáles son los posibles grados de implementación de una medida?. No implementada. En proceso de implementación. Implementada. Certificada.

¿Quién realiza el análisis de riesgos de las redes 5G según la normativa estudiada?. Los operadores 5G. Los usuarios finales. ENISA exclusivamente. El Banco de España.

¿Cada cuánto tiempo debe realizarse el análisis de riesgos en redes 5G?. Anualmente. Cada dos años. Cada tres años. Cada cinco años.

¿Cuál es la diferencia entre acreditación y certificación?. Son conceptos equivalentes. La acreditación habilita para certificar a terceros. La certificación verifica el cumplimiento de requisitos. ENAC acredita y los organismos acreditados certifican.

¿Qué norma ISO introduce formalmente el Sistema de Gestión de Seguridad de la Información (SGSI)?. ISO 9001. ISO 27001. ISO 22301. ISO 31000.

¿Qué principios transversales aparecen constantemente en la normativa estudiada según el profesor?. Protección de datos. Ciberseguridad. Transparencia financiera. Política monetaria.

¿Quién tiene la responsabilidad principal de implementar medidas técnicas y organizativas en el RGPD?. El encargado del tratamiento exclusivamente. El delegado de protección de datos. El responsable del tratamiento. La Agencia Española de Protección de Datos.

¿Qué principio introduce el RGPD respecto a la protección de datos?. Protección posterior al tratamiento. Protección desde el diseño y por defecto. Protección exclusivamente contractual. Protección únicamente documental.

¿Quién puede bloquear datos personales según la Ley Orgánica 3/2018?. El encargado del tratamiento. El delegado de protección de datos. El responsable del tratamiento. El usuario afectado.

¿Qué constituye una brecha de seguridad?. Destrucción de datos. Pérdida de datos. Acceso no autorizado. Alteración de la información.

¿Cuál es el objetivo principal del Reglamento de Ciberresiliencia?. Regular exclusivamente la inteligencia artificial. Incrementar la seguridad de los productos conectados a Internet. Sustituir el RGPD. Regular únicamente infraestructuras críticas.

Según el profesor, ¿cuál es la finalidad principal del Derecho en una sociedad organizada?. Incrementar la recaudación fiscal. Garantizar que las personas puedan convivir mediante reglas comunes. Favorecer exclusivamente los intereses del Estado. Limitar la libertad individual sin excepciones.

¿Qué principio romano resumía la idea de que toda sociedad necesita normas jurídicas?. Pacta sunt servanda. Dura lex, sed lex. Ubi societas, ibi ius. Nemo iudex in causa sua.

¿Qué importancia tuvieron las Doce Tablas en la Antigua Roma?. Fueron la primera Constitución europea. Constituyeron la primera publicación pública de normas accesibles a los ciudadanos. Regularon únicamente el comercio internacional. Sustituyeron completamente la religión romana.

¿Qué objetivo perseguía el Derecho romano al sustituir la venganza privada por tribunales?. Aumentar los impuestos. Favorecer a la aristocracia. Concentrar el poder económico. Evitar la justicia por mano propia.

Según Ulpiano, ¿qué caracteriza al Derecho público?. Regula exclusivamente contratos mercantiles. Se aplica solo a empresas privadas. Atiende al interés general de la comunidad o del Estado. Permite a las partes modificar libremente las normas.

¿Cuáles son características típicas del Derecho público?. Es coercitivo. Es coactivo. Tiene carácter imperativo. Es opcional para los ciudadanos.

¿Cuál de los siguientes ejemplos pertenece al ámbito tradicional del Derecho privado?. Reglamento de ciberseguridad nacional. Matrimonio. Contrato de préstamo. Compraventa de una vivienda.

¿Qué relación estableció el profesor entre ciberseguridad y Derecho público?. La ciberseguridad solo afecta a particulares. La seguridad digital es considerada un interés general que justifica normas obligatorias. La ciberseguridad pertenece exclusivamente al Derecho privado. No existe relación jurídica entre ambos ámbitos.

¿Cuál era la función principal de los gremios medievales?. Recaudar impuestos para la Corona. Gestionar ejércitos locales. Autorregular profesiones y preservar estándares de calidad y honorabilidad. Dictar leyes estatales.

¿Qué elementos actuales tienen su origen conceptual en los gremios medievales?. Colegios profesionales. Comisiones deontológicas. Códigos éticos profesionales. Tribunales constitucionales.

¿Qué fenómeno impulsó la protección jurídica de las patentes y la propiedad industrial?. La caída del Imperio romano. La Revolución Industrial y el aumento del comercio internacional. Las Cruzadas. El nacimiento de Internet.

Según la clase, ¿qué acontecimiento favoreció el desarrollo moderno de la protección de datos?. La invención del papel. La aparición de la computación y el tratamiento masivo de información. El descubrimiento de América. La creación de los gremios.

¿Qué impacto tuvo la Segunda Guerra Mundial en el desarrollo de los derechos fundamentales?. Ninguno. Motivó la consolidación de sistemas de protección internacional de derechos humanos. Eliminó el concepto de privacidad. Sustituyó los sistemas jurídicos nacionales.

Según el profesor, ¿a quién protege el sistema europeo de protección de datos?. Solo a ciudadanos europeos. Solo a residentes permanentes. A cualquier persona cuyos datos sean tratados en el ámbito de aplicación europeo. Únicamente a empleados públicos.

¿Por qué la globalización exige normas internacionales en materia digital?. Porque Internet carece de fronteras físicas claras. Porque los Estados han desaparecido. Porque todas las empresas son multinacionales. Porque ya no existen leyes nacionales.

¿Qué diferencia existe entre deber jurídico y deber ético?. El deber jurídico se basa en normas legales y el ético en valores, códigos profesionales o principios morales. Son exactamente lo mismo. El deber ético siempre tiene sanción penal. El deber jurídico nunca implica sanciones.

¿Qué consecuencias puede generar el incumplimiento de un deber ético?. Rechazo profesional. Rechazo social. Sanciones disciplinarias en determinados ámbitos. Pena de prisión automática.

¿Cuáles son las tres dimensiones básicas del Derecho explicadas por el profesor?. Normativa. Real o fáctica. Valorativa. Tecnológica.

¿Qué se entiende por conducta típica?. Una conducta imprevisible. Un comportamiento esperado socialmente. Una infracción penal. Una decisión judicial.

¿Qué es una persona física?. Una empresa registrada. Una administración pública. Un individuo con derechos y obligaciones. Un grupo profesional.

¿Qué caracteriza a una persona jurídica?. Es una ficción jurídica reconocida por el Derecho. Puede ser titular de derechos y obligaciones. Incluye empresas y organizaciones. Debe ser necesariamente una persona humana.

¿Cuándo adquiere personalidad jurídica una persona física según la explicación dada en clase?. Durante la gestación. Al cumplir la mayoría de edad. Al nacer viva y separarse completamente del seno materno. Tras su inscripción registral.

¿Cuál es la norma suprema del ordenamiento jurídico español?. Código Civil. Reglamento General de Protección de Datos. Constitución Española de 1978. Tratado de Maastricht.

¿Qué poderes del Estado identificó el profesor?. Legislativo. Judicial. Ejecutivo. Electoral.

¿Cuál es la principal diferencia entre ley orgánica y ley ordinaria?. La ley orgánica regula materias especialmente relevantes y exige mayoría absoluta para su aprobación. La ley ordinaria está por encima de la orgánica. La ley orgánica solo puede aprobarse en la Unión Europea. No existe ninguna diferencia.

¿Qué mayoría exige una ley orgánica en el Congreso?. Mayoría simple. Mayoría absoluta. Unanimidad. Dos tercios.

¿Qué permite un Real Decreto-Ley?. Aprobar normas con fuerza de ley en situaciones de extraordinaria y urgente necesidad. Reformar la Constitución directamente. Sustituir permanentemente a las Cortes Generales. Aprobar tratados internacionales.

¿Cuáles son las fuentes del Derecho reconocidas por el Código Civil?. Ley. Costumbre. Principios generales del Derecho. Jurisprudencia.

¿Qué sucede con un tratado internacional una vez publicado oficialmente en España?. Pierde validez. Se convierte en una recomendación. Pasa a formar parte del ordenamiento jurídico español. Necesita aprobación municipal.

¿Qué instituciones participan principalmente en la elaboración de la normativa de la Unión Europea?. Parlamento Europeo. Consejo de la Unión Europea. Tribunal Supremo español. Comisión Europea exclusivamente.