TEST UNIFICADO DE CIBERSEGURIDAD

¿Cuál de las siguientes es la mejor definición de ciberseguridad?. a) La protección de documentos en papel y digitales. b) La protección de los activos de información tratando las amenazas. c) La protección de los activos físicos. d) La protección de la información contra el acceso no autorizado.

La misión fundamental de la ciberseguridad es: a) Proteger la infraestructura de la empresa. b) Puntos de conexión seguros. c) Gestionar el riesgo. d) Gestionar las tecnologías de la información.

¿Cuál es la principal finalidad de una política de seguridad en una organización?. a) Clasificar las amenazas según su origen geográfico. b) Asignar presupuestos a los departamentos de TI. c) Detallar los procedimientos de cada área técnica. d) Establecer directrices generales para proteger los activos de información.

¿Cuál de los siguientes roles de ciberseguridad es responsable de gestionar los incidentes y su resolución?. a) Delegado de protección de datos. b) Director de seguridad de la información. c) Dirección ejecutiva. d) Consejo de administración.

¿Cuáles de los siguientes son principios funcionales de seguridad que informan a los controles de seguridad?. a) Necesidad de conocer, principio del mínimo nivel de privilegios. b) Disponibilidad. c) Confidencialidad, no repudio. d) Integridad.

¿Cuál de los siguientes elementos es un ejemplo de control lógico?. a) Servidores redundantes (copias de seguridad). b) Autenticación de usuarios. c) Cifrado de datos. d) Red virtual privada (VPN).

El número y tipos de capas necesarias para la defensa en profundidad depende de: a) Los firewalls. b) La configuración de red y los controles de navegación. c) El valor del activo, su criticidad y el grado de exposición. d) Los servidores.

En relación con las políticas, ¿cuál de las siguientes afirmaciones es cierta?. a) Proporcionan recomendaciones generales importantes. b) Comunican las actividades y las conductas exigidas y prohibidas. c) Interpretan políticas y situaciones específicas. d) Proporcionan detalles sobre cómo cumplir con las políticas.

¿Qué tres elementos del panorama de amenazas actual han aumentado las oportunidades del delito cibernético?. a) Mensajería de texto, Bluetooth y tarjetas SIM. b) Aplicaciones web, botnets y software malicioso. c) La computación cuántica. d) Computación en la nube, redes sociales y computación móvil.

¿Cuál de las siguientes afirmaciones sobre las amenazas persistentes avanzadas (APT) es verdadera?. a) Las APT tienen como único objetivo provocar daños físicos. b) Las APT suelen ser proyectos a largo plazo y con múltiples fases. c) Las APT se ejecutan en un solo paso. d) Las APT son una categoría obsoleta.

¿Qué elemento NO forma parte de una amenaza persistente avanzada (APT)?. a) Múltiples fases de reconocimiento y explotación. b) Una única acción rápida y sin planificación. c) Persistencia a largo plazo dentro de los sistemas. d) Técnicas de ocultación para evitar ser detectadas.

¿Qué se entiende por activo?. a) Any element informático utilizado exclusivamente en redes locales. b) Un dispositivo que solo tiene valor físico. c) Un documento técnico sin valor económico ni estratégico. d) Algo de valor tangible o intangible que vale la pena proteger.

En términos de ciberseguridad, ¿qué se entiende por capacidad?. a) La capacidad de almacenamiento de una base de datos cifrada. b) El nivel de resistencia física de un servidor. c) La cantidad de dispositivos conectados a una red segura. d) Conocimientos y habilidades que requiere una amenaza para un evento.

¿Qué se entiende por impacto?. a) El número total de usuarios conectados a una red. b) El grado de actualización de un sistema operativo. c) Un efecto adverso derivado de un evento que tiene lugar. d) El volumen de datos almacenados en un servidor.

¿Qué se entiende por riesgo?. a) El nivel de complejidad de una contraseña. b) La combinación de la probabilidad de un evento y su impacto. c) El número de dispositivos conectados sin cifrado. d) La suma de todos los ataques detectados en una red.

¿Cuál de las siguientes opciones NO es cierta sobre la probabilidad?. a) Es un elemento del cálculo del riesgo. b) No tiene en cuenta los controles y medidas correctivas actuales. c) Mide la frecuencia con que ocurre un evento. d) Suele ser un componente de factores externos.

¿Qué se entiende por confidencialidad?. a) La propiedad de que la información solo es accesible a autorizados. b) La capacidad de recuperar datos después de un desastre. c) La acción de hacer pública información crítica. d) La forma de cifrar datos para asegurar su disponibilidad.

¿Qué se entiende por "autenticación" en un procedimiento informático?. a) Demostrar que alguien es el propietario de una base de datos. b) Todos los órganos y áreas relacionados con IT. c) Demostrar la identidad de los intervinientes en una transacción. d) Demostrar que un software no es "pirata".

El ataque conocido como DDoS se corresponde con: a) Interceptar una conversación o transferencia de datos. b) Malware que bloquea datos a cambio de un rescate. c) Interrumpir el tráfico de un servidor sobrecargándolo. d) Recopilar información personal con correos y sitios engañosos.

¿Qué debe asegurar el director de seguridad en la adquisición de TIC?. a) Reducción de costes y máximo beneficio. b) No debe intervenir en la adquisición de TIC. c) Protección "de serie" en los bienes y equipos TIC. d) Protección conforme a las políticas de seguridad de la empresa.

Un evento que compromete la seguridad de la información puede afectar: a) Disponibilidad, confidencialidad o análisis de riesgo. b) Disponibilidad, integridad o confidencialidad. c) Integridad, continuidad de negocio o disponibilidad. d) Confidencialidad, control de acceso o integridad.

¿Cuál de los siguientes no es una de las posibles causas de un evento de seguridad de la información?. a) Cambio legislativo. b) Error o negligencia. c) Conducta maliciosa. d) Desastre natural.

Un Plan de Continuidad de Negocio está más estrechamente relacionado con: a) Confidencialidad. b) Privacidad. c) Integridad. d) Disponibilidad.

Sobre la política de seguridad es cierto que: a) Tiene que ser parecida en todas las organizaciones. b) Debe ser revisada periódicamente. c) Debe contener una visión detallada de todos los procedimientos. d) Debe estar redactada en un lenguaje tecnológico.

¿Cuál de las siguientes acciones es la MENOS relevante para asegurar la seguridad de la información?. a) Actualizar el sistema operativo. b) Realizar copias de seguridad. c) Configurar correctamente el idioma del sistema operativo. d) Disponer de un software antivirus.

¿Cuál es el principal y más eficaz método para evitar el phishing?. a) Herramientas forenses de análisis de datos. b) Un buen antivirus. c) La concienciación. d) Un software de monitoreo de red.

¿Cómo se denomina la Agencia creada por la Unión Europea para la ciberseguridad?. a) La UE no ha creado ninguna agencia sobre ciberseguridad. b) European Union Cybersecurity Firm (EUCYFI). c) European Union Anti-malware Team (EUAMT). d) European Union Agency for cybersecurity (ENISA).

¿Cuál de las siguientes acciones no estará en la fase de respuesta de un incidente?. a) Aprendizaje derivado del incidente. b) Notificación a los interesados. c) Acciones de respuesta inmediata. d) Definir controles de emergencia.

La gestión y respuesta a incidentes: a) Sólo se encuentra en la NIST 800-53. b) Sólo se encuentra en la ISO 27001. c) No se encuentra en ninguna de las dos. d) Se encuentra en ambas.

¿Qué parte de ISO 27001:2013 trata la protección de la página de inicio de la web de la empresa?. a) Control de acceso. b) Ninguna de las anteriores. c) Gestión de comunicaciones y operaciones. d) Adquisición de sistemas de información, desarrollo y mantenimiento.

El documento que describe los objetivos de control, los controles pertinentes y aplicables para el SGSI de la organización se denomina: a) Declaración de aplicabilidad. b) Ninguna de las indicadas. c) Inventarios de Activos. d) Política de Seguridad de la Información.

Los objetivos de seguridad de la información según la ISO 27001:2013 deben: a) Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos. b) Todas de las anteriores. c) Ser actualizados, según sea apropiado. d) Ser coherentes con la política de seguridad de la información.

¿Cómo se denomina el órgano ministerial encargado del impulso, coordinación y supervisión de actividades de la Secretaría de Estado de Seguridad en relación con la protección de las Infraestructuras Críticas?. a) El Catálogo Nacional de Infraestructuras Estratégicas. b) Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). c) ENISA. d) La Secretaría de Estado de seguridad.

NO es una línea de acción de la Estrategia de Ciberseguridad Nacional (española): a) La Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas. b) Garantizar que los Sistemas de Información y Telecomunicaciones de las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia. c) Seguridad y resiliencia de las TIC en el sector privado. d) La Capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia.

La reducción drástica de la delincuencia en la red: a) Es una prioridad dentro de la conocida como Estrategia Supranacional de Cibercrimen. b) No se encuentra entre las prioridades de la estrategia de ciberseguridad de la UE. c) Se puede lograr a través de los comandos operativos de la ENISA. d) Es una prioridad dentro de la estrategia de ciberseguridad de la UE.

Dentro de la computación en la nube, ¿en qué servicio podemos catalogar los servicios de correo electrónico?. a) Software as a Service (SaaS). b) Platform as a Service (PaaS). c) Infrastructure as a Service (laaS). d) Cloud as a Service (CaaS).

La Estrategia de Ciberseguridad Nacional (española) es: a) Se centra en la protección del ciberespacio. b) Su objetivo es implantar acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas. c) Todas las respuestas son correctas acerca de la naturaleza de la Estrategia de Ciberseguridad Nacional. d) Ninguna de las anteriores.

La idea de "ciberresiliencia" alude a: a) Es una capacidad humana que no aplica en el paradigma de la ciberseguridad. b) Únicamente a la capacidad de resistir ataques cibernéticos. c) Únicamente a la capacidad de recuperarse tras un ataque cibernético. d) La capacidad de resistir los ataques cibernéticos y de recuperarse de forma rápida y efectiva.

Según la ISO 27035, la gestión de incidentes de seguridad de la información se compone de: a) Cuatro: preparación, reconocimiento, respuesta y aprendizaje. b) Cinco: preparación, reconocimiento, examen, respuesta y aprendizaje. c) Seis: preparación, reconocimiento, examen, respuesta, cierre y aprendizaje. d) Cuatro: reconocimiento, examen, respuesta y aprendizaje.

¿Qué risks suponen las redes sociales?. a) El desconocimiento que de ellas tienen los "inmigrantes digitales". b) Su uso intensivo por parte de los "nativos digitales" y el exceso de información compartida. c) La ausencia de información que los usuarios tienen acerca del destino de los datos que comparten. d) Todas las respuestas son correctas.

El término "ciberseguridad": a) Se centra, exclusivamente, en la seguridad de la información. b) Siempre ha incluido los mismos servicios y elementos desde 1963. c) Incluye las TIC, la seguridad de la información y la de los servicios esenciales para la sociedad. d) Nunca ha llegado a incluir la protección de los servicios esenciales para la sociedad.

Teniendo en cuenta el uso privado y profesional de internet, ¿cuál de las siguientes afirmaciones es correcta?. a) Ninguna de las respuestas anteriores es correcta. b) Las precauciones empleadas en el ámbito privado pueden ser insuficientes en el ámbito profesional a efectos de seguridad y protección de datos. c) El uso de internet en el ámbito privado comporta riesgos siempre menores. d) El comportamiento en redes será el mismo en ambos casos.

En aras de proteger a los colectivos más vulnerables, una de las mejores políticas de prevención pasa por: a) El desarrollo de sistemas de bloqueo de malware. b) No disponer de red social alguna, tampoco de smartphone. c) La concienciación y educación acerca de los riesgos en la red. d) La compra de costosos antivirus.

La propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados se llama: a) Información privilegiada. b) Derechos de acceso. c) Confidencialidad. d) Disponibilidad.

La Unión Europea ha fijado una estrategia de ciberseguridad. ¿Cuál de las siguientes NO es una de sus prioridades?. a) La reducción drástica de la delincuencia en la red. b) El uso de drones en el ámbito de la Política Común de la Ciberseguridad y Defensa. c) El desarrollo de una política de ciberdefensa en el ámbito de la Política Común de Seguridad y Defensa. d) La reducción drástica de la delincuencia en la red.

¿A qué alude el paradigma BYOD?. a) A que los empleados puedan usar sus dispositivos solo en la sede de la empresa. b) A que los empleados puedan usar sus dispositivos solo en sus domicilios. c) A que los empleados puedan usar sus dispositivos para tareas profesionales, ya sea en la sede o en su domicilio. d) A que los empleados puedan usar sus dispositivos solo para tareas personales.