Auditoría informática: metodología, ENS y datos personales — Cuerpo de Gestión de Sistemas e Informática de la Administración del Estado

Test de 31 preguntas con explicaciones justificadas.

Pregunta 1: Según el Esquema Nacional de Seguridad (ENS), ¿cuál es la categoría de un sistema que podría ocasionar perjuicios graves a los ciudadanos o al funcionamiento de los servicios esenciales?

A) Categoría alta
B) Categoría media
C) Categoría básica
D) Categoría crítica

El artículo 23.2 del Real Decreto 311/2022, de 3 de mayo, establece que los sistemas de categoría media son aquellos en los que una brecha de seguridad podría causar perjuicios graves a los ciudadanos o al funcionamiento de los servicios esenciales.

Pregunta 2: En el contexto de la auditoría de sistemas de información, ¿qué marco de referencia proporciona un conjunto de prácticas para la gestión de servicios de TI?

A) COBIT
B) ISO/IEC 27001
C) ITIL
D) ISO/IEC 20000

ITIL (Information Technology Infrastructure Library) es un conjunto de buenas prácticas para la gestión de servicios de TI. ISO/IEC 20000 es una norma para sistemas de gestión de servicios, pero ITIL es el marco de prácticas más ampliamente adoptado.

Pregunta 3: De acuerdo con el RGPD, ¿cuál es la base jurídica que permite el tratamiento de datos personales cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento?

A) Interés legítimo
B) Ejecución de un contrato
C) Consentimiento
D) Obligación legal

El artículo 6.1.c) del RGPD establece que el tratamiento será lícito si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

Pregunta 4: En una auditoría informática, ¿qué tipo de evidencia se obtiene al observar directamente el funcionamiento de un proceso o procedimiento?

A) Evidencia documental
B) Evidencia física
C) Evidencia de observación
D) Evidencia analítica

La evidencia de observación es aquella que el auditor recoge al presenciar directamente actividades, procesos o procedimientos. Es una técnica de recopilación de evidencia reconocida en las normas de auditoría.

Pregunta 5: Según la Ley Orgánica 3/2018 (LOPDGDD), ¿qué organismo es el responsable de velar por el cumplimiento del RGPD en España?

A) El Ministerio de Asuntos Económicos y Transformación Digital
B) La Agencia Española de Protección de Datos (AEPD)
C) El Centro Criptológico Nacional (CCN)
D) El Instituto Nacional de Ciberseguridad (INCIBE)

El artículo 46 de la LOPDGDD designa a la Agencia Española de Protección de Datos como la autoridad de control independiente encargada de velar por el cumplimiento del RGPD en España.

Pregunta 6: Según el ENS, ¿cuál de los siguientes es un principio básico de seguridad?

A) Proporcionalidad
B) Disponibilidad
C) Integridad
D) Confidencialidad

El artículo 5 del Real Decreto 311/2022 enumera los principios básicos del ENS, entre los que se encuentran la proporcionalidad, integridad, confidencialidad, disponibilidad, trazabilidad y preservación de la información. Sin embargo, la proporcionalidad es un principio básico de aplicación general, mientras que disponibilidad, integridad y confidencialidad son dimensiones de seguridad.

Pregunta 7: En el marco de COBIT 2019, ¿cuál es el componente que define los resultados esperados de la gobernanza de TI?

A) Procesos
B) Objetivos de gobernanza
C) Metas de los procesos
D) Objetivos de gestión

En COBIT 2019, los objetivos de gobernanza (governance objectives) definen los resultados esperados de la implementación de un sistema de gobernanza de TI, alineados con las necesidades de los stakeholders.

Pregunta 8: Según el RGPD, ¿cuál es el plazo máximo para notificar una violación de seguridad de los datos personales a la autoridad de control?

A) 24 horas
B) 48 horas
C) 72 horas
D) 7 días

El artículo 33.1 del RGPD establece que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento deberá notificarla a la autoridad de control competente en un plazo máximo de 72 horas.

Pregunta 9: En una auditoría de seguridad según ISO/IEC 27001, ¿qué documento define el alcance del Sistema de Gestión de Seguridad de la Información (SGSI)?

A) Declaración de aplicabilidad
B) Política de seguridad
C) Plan de tratamiento de riesgos
D) Informe de auditoría

Según ISO/IEC 27001, la declaración de aplicabilidad (Statement of Applicability) identifica los controles aplicables y justifica su inclusión o exclusión, definiendo así el alcance del SGSI.

Pregunta 10: Según el ENS, ¿qué documento debe elaborarse para cada sistema de información, describiendo las medidas de seguridad a aplicar?

A) Declaración de aplicabilidad
B) Plan de seguridad
C) Política de seguridad
D) Procedimiento de gestión de incidentes

El artículo 28 del Real Decreto 311/2022 establece que para cada sistema de información se elaborará un plan de seguridad que describa las medidas de seguridad aplicables según su categoría.

Pregunta 11: En el contexto de la auditoría informática, ¿qué técnica consiste en la ejecución de procedimientos de auditoría mediante software especializado que analiza datos de la organización?

A) Entrevistas
B) CAATs (Computer Assisted Audit Techniques)
C) Revisión de documentación
D) Muestreo de auditoría

Las técnicas de auditoría asistidas por ordenador (CAATs) implican el uso de software para analizar datos, permitiendo al auditor examinar grandes volúmenes de información de manera eficiente.

Pregunta 12: De acuerdo con la Ley 40/2015, de 1 de octubre, ¿qué principio establece que las administraciones públicas deben utilizar preferentemente recursos compartidos?

A) Principio de transparencia
B) Principio de eficiencia
C) Principio de cooperación
D) Principio de racionalización

El artículo 4.2.i) de la Ley 40/2015 establece el principio de racionalización, que implica la utilización preferente de recursos compartidos para optimizar medios y recursos en la Administración.

Pregunta 13: Según el ENS, ¿cuál es el objetivo de la dimensión de seguridad 'trazabilidad'?

A) Garantizar que la información es accesible cuando se necesita
B) Garantizar que la información no es divulgada a personas no autorizadas
C) Garantizar que las acciones realizadas sobre la información pueden ser atribuidas a una entidad
D) Garantizar que la información no es alterada de manera no autorizada

El artículo 5.2.e) del Real Decreto 311/2022 define la trazabilidad como la dimensión que permite atribuir de manera inequívoca acciones o eventos a una entidad o individuo.

Pregunta 14: En el contexto de la auditoría de cumplimiento del RGPD, ¿qué figura es designada por el responsable del tratamiento para supervisar el cumplimiento de la normativa?

A) Delegado de Protección de Datos (DPD)
B) Responsable de seguridad
C) Encargado del tratamiento
D) Auditor interno

El artículo 37 del RGPD establece la figura del Delegado de Protección de Datos (DPO), designado para supervisar el cumplimiento de la normativa de protección de datos.

Pregunta 15: Según la norma ISO/IEC 27001, ¿cuál es el primer paso del proceso de gestión de riesgos de seguridad de la información?

A) Identificación de activos
B) Análisis de riesgos
C) Evaluación de riesgos
D) Establecimiento del contexto

Según ISO/IEC 27001, el proceso de gestión de riesgos comienza con el establecimiento del contexto, que define los parámetros básicos para gestionar los riesgos.

Pregunta 16: ¿Qué organismo es responsable de la publicación de las Guías de Ciberseguridad y de las series de documentos STIC en el ámbito de la Administración española?

A) Agencia Española de Protección de Datos (AEPD)
B) Centro Criptológico Nacional (CCN)
C) Instituto Nacional de Ciberseguridad (INCIBE)
D) Secretaría de Estado de Digitalización e Inteligencia Artificial

El Centro Criptológico Nacional (CCN), dependiente del CNI, publica las Guías de Ciberseguridad y los documentos STIC (Seguridad de las Tecnologías de la Información y las Comunicaciones) para la Administración.

Pregunta 17: En una auditoría de sistemas, ¿qué tipo de prueba consiste en verificar la secuencia de operaciones de un proceso?

A) Pruebas de cumplimiento
B) Pruebas sustantivas
C) Pruebas de recorrido
D) Pruebas de integridad

Las pruebas de recorrido (walkthroughs) implican seguir la secuencia de operaciones de un proceso para verificar su diseño y funcionamiento, permitiendo identificar posibles debilidades.

Pregunta 18: Según el ENS, ¿qué comité es el órgano colegiado de coordinación, cooperación y asesoramiento en materia de seguridad en el uso de medios electrónicos?

A) Comité de Seguridad de la Información
B) Comité de Dirección del ENS
C) Comité de Ciberseguridad
D) Comité de Seguridad de las TIC

El artículo 9 del Real Decreto 311/2022 establece que cada Administración Pública contará con un Comité de Seguridad de la Información como órgano colegiado de coordinación, cooperación y asesoramiento.

Pregunta 19: De acuerdo con el RGPD, ¿qué derecho tiene el interesado para solicitar la limitación del tratamiento de sus datos personales?

A) Derecho de acceso
B) Derecho de oposición
C) Derecho de rectificación
D) Derecho de limitación

El artículo 18 del RGPD regula el derecho del interesado a obtener la limitación del tratamiento de sus datos personales en los supuestos allí establecidos.

Pregunta 20: En el marco de COBIT, ¿qué componente se refiere a las estructuras organizativas, políticas y procedimientos que apoyan la gobernanza y gestión de TI?

A) Procesos
B) Principios, políticas y marcos
C) Estructuras organizativas
D) Cultura, ética y comportamiento

En COBIT 2019, el componente 'Principios, políticas y marcos' se refiere a los mecanismos que traducan el comportamiento deseado en guías prácticas para el día a día.

Pregunta 21: Según el ENS, ¿qué medida de seguridad es obligatoria para todos los sistemas, independientemente de su categoría?

A) Cifrado de las comunicaciones
B) Registro de actividad
C) Copias de seguridad
D) Control de accesos

El artículo 31 del Real Decreto 311/2022 establece que el control de accesos es una medida de seguridad obligatoria para todos los sistemas, aunque su intensidad varía según la categoría.

Pregunta 22: En el contexto de la auditoría de cumplimiento del RGPD, ¿qué documento debe elaborarse para evaluar el impacto sobre la protección de datos?

A) Registro de actividades de tratamiento
B) Evaluación de impacto relativa a la protección de datos (EIPD)
C) Declaración de conformidad
D) Plan de continuidad del negocio

El artículo 35 del RGPD establece la obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Pregunta 23: Según la norma ISO 19011, ¿qué principio de auditoría establece que los auditores deben basar sus conclusiones únicamente en evidencias verificables?

A) Integridad
B) Presentación justa
C) Debido cuidado profesional
D) Enfoque basado en la evidencia

La norma ISO 19011 establece el principio de 'enfoque basado en la evidencia', que implica que las conclusiones de la auditoría deben basarse en evidencias verificables.

Pregunta 24: En el ámbito del ENS, ¿qué documento recoge los requisitos de seguridad que deben cumplir los productos de tecnología de la información?

A) Política de seguridad
B) Catálogo de estándares
C) Esquema de certificación
D) Procedimiento de adquisición

El Catálogo de estándares, publicado por el CCN, recoge los requisitos de seguridad que deben cumplir los productos TIC para su uso en la Administración, conforme al artículo 47 del Real Decreto 311/2022.

Pregunta 25: Según el RGPD, ¿cuál es el plazo máximo para atender una solicitud de ejercicio de derechos por parte del interesado?

A) 10 días
B) 15 días
C) 1 mes
D) 2 meses

El artículo 12.3 del RGPD establece que el responsable del tratamiento debe proporcionar información sobre las acciones tomadas respecto a una solicitud de ejercicio de derechos sin dilación indebida y, en todo caso, en el plazo de un mes.

Pregunta 26: En una auditoría de sistemas, ¿qué tipo de muestreo selecciona elementos basándose en el criterio profesional del auditor, sin utilizar técnicas estadísticas?

A) Muestreo aleatorio
B) Muestreo por atributos
C) Muestreo de juicio
D) Muestreo sistemático

El muestreo de juicio (o no estadístico) se basa en la experiencia y criterio del auditor para seleccionar partidas, sin seguir técnicas estadísticas formales.

Pregunta 27: Según el ENS, ¿qué nivel de conformidad es necesario para los sistemas de categoría alta?

A) Conformidad total
B) Conformidad alta
C) Conformidad media
D) Conformidad básica

El artículo 35.2 del Real Decreto 311/2022 establece que los sistemas de categoría alta deberán alcanzar una conformidad total con las medidas de seguridad del ENS.

Pregunta 28: En el contexto de la auditoría informática, ¿qué estándar proporciona un marco para la gestión de la continuidad del negocio?

A) ISO/IEC 27001
B) ISO 22301
C) ISO/IEC 20000
D) ISO 9001

ISO 22301 es la norma internacional que especifica los requisitos para establecer, implementar y mejorar un sistema de gestión de la continuidad del negocio.

Pregunta 29: De acuerdo con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, ¿qué principio garantiza que los ciudadanos puedan relacionarse con la Administración por medios electrónicos?

A) Principio de disponibilidad
B) Principio de accesibilidad
C) Principio de neutralidad tecnológica
D) Principio de interoperabilidad

El artículo 4 de la Ley 11/2007 establece el principio de accesibilidad, que garantiza que los ciudadanos puedan relacionarse con las Administraciones Públicas por medios electrónicos en condiciones de igualdad.

Pregunta 30: Según el ENS, ¿qué organismo es responsable de la certificación de la conformidad de los sistemas con el ENS?

A) Centro Criptológico Nacional (CCN)
B) Entidades de certificación acreditadas
C) Agencia Española de Protección de Datos (AEPD)
D) Instituto Nacional de Ciberseguridad (INCIBE)

El artículo 35 del Real Decreto 311/2022 establece que la certificación de la conformidad con el ENS será realizada por entidades de evaluación de la conformidad acreditadas por la ENAC.

Pregunta 31: En el contexto del RGPD, ¿qué principio implica que los datos personales sean adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento?

A) Principio de exactitud
B) Principio de integridad y confidencialidad
C) Principio de limitación de la finalidad
D) Principio de minimización de datos

El artículo 5.1.c) del RGPD establece el principio de minimización de datos, según el cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento.

Auditoría informática: metodología, ENS y datos personales

Responde todas las preguntas y envía el test para ver tus resultados

0 / 31 respondidas

Pregunta 1

Según el Esquema Nacional de Seguridad (ENS), ¿cuál es la categoría de un sistema que podría ocasionar perjuicios graves a los ciudadanos o al funcionamiento de los servicios esenciales?

ACategoría alta
BCategoría media
CCategoría básica
DCategoría crítica

Pregunta 2

En el contexto de la auditoría de sistemas de información, ¿qué marco de referencia proporciona un conjunto de prácticas para la gestión de servicios de TI?

ACOBIT
BISO/IEC 27001
CITIL
DISO/IEC 20000

Pregunta 3

De acuerdo con el RGPD, ¿cuál es la base jurídica que permite el tratamiento de datos personales cuando es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento?

AInterés legítimo
BEjecución de un contrato
CConsentimiento
DObligación legal

Pregunta 4

En una auditoría informática, ¿qué tipo de evidencia se obtiene al observar directamente el funcionamiento de un proceso o procedimiento?

AEvidencia documental
BEvidencia física
CEvidencia de observación
DEvidencia analítica

Pregunta 5

Según la Ley Orgánica 3/2018 (LOPDGDD), ¿qué organismo es el responsable de velar por el cumplimiento del RGPD en España?

AEl Ministerio de Asuntos Económicos y Transformación Digital
BLa Agencia Española de Protección de Datos (AEPD)
CEl Centro Criptológico Nacional (CCN)
DEl Instituto Nacional de Ciberseguridad (INCIBE)

Pregunta 6

Según el ENS, ¿cuál de los siguientes es un principio básico de seguridad?

AProporcionalidad
BDisponibilidad
CIntegridad
DConfidencialidad

Pregunta 7

En el marco de COBIT 2019, ¿cuál es el componente que define los resultados esperados de la gobernanza de TI?

AProcesos
BObjetivos de gobernanza
CMetas de los procesos
DObjetivos de gestión

Pregunta 8

Según el RGPD, ¿cuál es el plazo máximo para notificar una violación de seguridad de los datos personales a la autoridad de control?

A24 horas
B48 horas
C72 horas
D7 días

Pregunta 9

En una auditoría de seguridad según ISO/IEC 27001, ¿qué documento define el alcance del Sistema de Gestión de Seguridad de la Información (SGSI)?

ADeclaración de aplicabilidad
BPolítica de seguridad
CPlan de tratamiento de riesgos
DInforme de auditoría

Pregunta 10

Según el ENS, ¿qué documento debe elaborarse para cada sistema de información, describiendo las medidas de seguridad a aplicar?

ADeclaración de aplicabilidad
BPlan de seguridad
CPolítica de seguridad
DProcedimiento de gestión de incidentes

Pregunta 11

En el contexto de la auditoría informática, ¿qué técnica consiste en la ejecución de procedimientos de auditoría mediante software especializado que analiza datos de la organización?

AEntrevistas
BCAATs (Computer Assisted Audit Techniques)
CRevisión de documentación
DMuestreo de auditoría

Pregunta 12

De acuerdo con la Ley 40/2015, de 1 de octubre, ¿qué principio establece que las administraciones públicas deben utilizar preferentemente recursos compartidos?

APrincipio de transparencia
BPrincipio de eficiencia
CPrincipio de cooperación
DPrincipio de racionalización

Pregunta 13

Según el ENS, ¿cuál es el objetivo de la dimensión de seguridad 'trazabilidad'?

AGarantizar que la información es accesible cuando se necesita
BGarantizar que la información no es divulgada a personas no autorizadas
CGarantizar que las acciones realizadas sobre la información pueden ser atribuidas a una entidad
DGarantizar que la información no es alterada de manera no autorizada

Pregunta 14

En el contexto de la auditoría de cumplimiento del RGPD, ¿qué figura es designada por el responsable del tratamiento para supervisar el cumplimiento de la normativa?

ADelegado de Protección de Datos (DPD)
BResponsable de seguridad
CEncargado del tratamiento
DAuditor interno

Pregunta 15

Según la norma ISO/IEC 27001, ¿cuál es el primer paso del proceso de gestión de riesgos de seguridad de la información?

AIdentificación de activos
BAnálisis de riesgos
CEvaluación de riesgos
DEstablecimiento del contexto

Pregunta 16

¿Qué organismo es responsable de la publicación de las Guías de Ciberseguridad y de las series de documentos STIC en el ámbito de la Administración española?

AAgencia Española de Protección de Datos (AEPD)
BCentro Criptológico Nacional (CCN)
CInstituto Nacional de Ciberseguridad (INCIBE)
DSecretaría de Estado de Digitalización e Inteligencia Artificial

Pregunta 17

En una auditoría de sistemas, ¿qué tipo de prueba consiste en verificar la secuencia de operaciones de un proceso?

APruebas de cumplimiento
BPruebas sustantivas
CPruebas de recorrido
DPruebas de integridad

Pregunta 18

Según el ENS, ¿qué comité es el órgano colegiado de coordinación, cooperación y asesoramiento en materia de seguridad en el uso de medios electrónicos?

AComité de Seguridad de la Información
BComité de Dirección del ENS
CComité de Ciberseguridad
DComité de Seguridad de las TIC

Pregunta 19

De acuerdo con el RGPD, ¿qué derecho tiene el interesado para solicitar la limitación del tratamiento de sus datos personales?

ADerecho de acceso
BDerecho de oposición
CDerecho de rectificación
DDerecho de limitación

Pregunta 20

En el marco de COBIT, ¿qué componente se refiere a las estructuras organizativas, políticas y procedimientos que apoyan la gobernanza y gestión de TI?

AProcesos
BPrincipios, políticas y marcos
CEstructuras organizativas
DCultura, ética y comportamiento

Pregunta 21

Según el ENS, ¿qué medida de seguridad es obligatoria para todos los sistemas, independientemente de su categoría?

ACifrado de las comunicaciones
BRegistro de actividad
CCopias de seguridad
DControl de accesos

Pregunta 22

En el contexto de la auditoría de cumplimiento del RGPD, ¿qué documento debe elaborarse para evaluar el impacto sobre la protección de datos?

ARegistro de actividades de tratamiento
BEvaluación de impacto relativa a la protección de datos (EIPD)
CDeclaración de conformidad
DPlan de continuidad del negocio

Pregunta 23

Según la norma ISO 19011, ¿qué principio de auditoría establece que los auditores deben basar sus conclusiones únicamente en evidencias verificables?

AIntegridad
BPresentación justa
CDebido cuidado profesional
DEnfoque basado en la evidencia

Pregunta 24

En el ámbito del ENS, ¿qué documento recoge los requisitos de seguridad que deben cumplir los productos de tecnología de la información?

APolítica de seguridad
BCatálogo de estándares
CEsquema de certificación
DProcedimiento de adquisición

Pregunta 25

Según el RGPD, ¿cuál es el plazo máximo para atender una solicitud de ejercicio de derechos por parte del interesado?

A10 días
B15 días
C1 mes
D2 meses

Pregunta 26

En una auditoría de sistemas, ¿qué tipo de muestreo selecciona elementos basándose en el criterio profesional del auditor, sin utilizar técnicas estadísticas?

AMuestreo aleatorio
BMuestreo por atributos
CMuestreo de juicio
DMuestreo sistemático

Pregunta 27

Según el ENS, ¿qué nivel de conformidad es necesario para los sistemas de categoría alta?

AConformidad total
BConformidad alta
CConformidad media
DConformidad básica

Pregunta 28

En el contexto de la auditoría informática, ¿qué estándar proporciona un marco para la gestión de la continuidad del negocio?

AISO/IEC 27001
BISO 22301
CISO/IEC 20000
DISO 9001

Pregunta 29

De acuerdo con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, ¿qué principio garantiza que los ciudadanos puedan relacionarse con la Administración por medios electrónicos?

APrincipio de disponibilidad
BPrincipio de accesibilidad
CPrincipio de neutralidad tecnológica
DPrincipio de interoperabilidad

Pregunta 30

Según el ENS, ¿qué organismo es responsable de la certificación de la conformidad de los sistemas con el ENS?

ACentro Criptológico Nacional (CCN)
BEntidades de certificación acreditadas
CAgencia Española de Protección de Datos (AEPD)
DInstituto Nacional de Ciberseguridad (INCIBE)

Pregunta 31

En el contexto del RGPD, ¿qué principio implica que los datos personales sean adecuados, pertinentes y limitados a lo necesario para los fines del tratamiento?

APrincipio de exactitud
BPrincipio de integridad y confidencialidad
CPrincipio de limitación de la finalidad
DPrincipio de minimización de datos

0 / 31 respondidas