Tema 76. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad.

OPE 2025. TFA INFORMÁTICA
PublicadorDeja un comentario en Tema 76. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad.

 

Tema 76: La seguridad de las tecnologías de la información

Objetivos de la seguridad de las tecnologías de la información

El objetivo principal de la seguridad de las tecnologías de la información (TI) es proteger los datos y los sistemas frente a amenazas, tanto internas como externas, asegurando la disponibilidad, confidencialidad e integridad de la información. Además, se busca prevenir la pérdida o alteración de datos sensibles y garantizar la correcta funcionalidad de los sistemas.

Estrategias y políticas de seguridad

Las estrategias de seguridad se orientan a establecer medidas preventivas y correctivas para proteger los activos de información. Las políticas de seguridad definen las normas y reglas bajo las cuales se implementan estas estrategias y se gestionan los riesgos.

  1. Estrategias de seguridad:
    • Implementación de controles de acceso y autenticación.
    • Uso de cifrado para proteger la transmisión de datos.
    • Monitorización de sistemas para detectar actividades sospechosas.
    • Actualización constante de software para corregir vulnerabilidades.
  2. Políticas de seguridad:
    • Establecimiento de directrices claras sobre el manejo de la información.
    • Definición de roles y responsabilidades en relación con la seguridad.
    • Políticas sobre el uso de contraseñas y autenticación multifactor.

Organización y planificación de la seguridad

La seguridad de la TI debe ser gestionada a nivel organizativo con la creación de un equipo encargado de su implementación y supervisión. Es necesario contar con un plan de seguridad integral, que contemple todos los aspectos de la infraestructura tecnológica, incluyendo la evaluación de riesgos y la implementación de medidas correctivas.

Evaluación y certificación de la seguridad de TI

La evaluación de la seguridad permite verificar el nivel de protección de los sistemas y detectar posibles vulnerabilidades. Se deben realizar auditorías y pruebas periódicas, tanto internas como externas. La certificación se logra cuando un organismo independiente valida que se cumplen los estándares de seguridad establecidos por normativas internacionales como ISO/IEC 27001.

Medidas de seguridad

Las medidas de seguridad se agrupan en diferentes tipos:

  1. Físicas:
    • Control de acceso a instalaciones y sistemas.
    • Protección contra desastres naturales (inundaciones, incendios).
    • Seguridad en las áreas de almacenamiento de datos.
  2. Técnicas:
    • Implementación de cortafuegos, antivirus y sistemas de detección de intrusos.
    • Cifrado de datos en reposo y en tránsito.
    • Uso de software de gestión de identidades y accesos.
  3. Organizativas:
    • Formación y concienciación del personal sobre los riesgos de seguridad.
    • Establecimiento de roles y permisos de acceso.
    • Auditorías y monitoreo constante de la actividad en la red.
  4. Legales:
    • Cumplimiento de la normativa de protección de datos (como el GDPR).
    • Establecimiento de contratos de confidencialidad con proveedores.
    • Políticas sobre la retención y destrucción de datos.

Planes de contingencia y recuperación ante desastres

Los planes de contingencia son esenciales para asegurar la continuidad del servicio en caso de un evento inesperado que afecte la infraestructura de TI. Estos planes deben incluir:

  1. Recuperación ante desastres:
    • Procedimientos para restaurar sistemas y servicios críticos tras una interrupción.
    • Definición de un sitio de recuperación alternativo.
  2. Respaldo y continuidad:
    • Estrategias de respaldo de datos regulares.
    • Pruebas periódicas de los sistemas de recuperación.

La Política de Seguridad de las Tecnologías de la Información y Comunicaciones (TIC) en la Junta de Andalucía y el Servicio Andaluz de Salud (SAS) está orientada a garantizar la protección de los sistemas y la información dentro del ámbito público, siguiendo principios fundamentales como la confidencialidad, integridad, disponibilidad, y autenticidad de los datos. Esta política tiene un enfoque proactivo y busca cubrir tanto los aspectos técnicos como organizativos y legales, promoviendo una cultura de seguridad que implique a todos los niveles de la organización.

A continuación, se amplían los aspectos clave de esta política en el contexto de la Junta de Andalucía y el SAS:

1. Marco Normativo y Legal

La Política de Seguridad TIC debe estar alineada con varias normativas tanto nacionales como internacionales que regulan la seguridad de la información, la protección de datos personales y la ciberseguridad:

  • Esquema Nacional de Seguridad (ENS): Es obligatorio para todas las administraciones públicas en España. El ENS regula las medidas de seguridad que deben aplicarse a los sistemas de información de la administración pública para garantizar que estos sistemas y servicios sean seguros, confiables y resilientes frente a ciberataques o fallos. Abarca la gestión de los riesgos asociados a la protección de la información en toda la infraestructura tecnológica.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): Esta ley adapta el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y regula la protección de los datos personales, especialmente en el ámbito sanitario donde se manejan grandes volúmenes de información sensible.
  • Directiva NIS (Network and Information Systems): Regula la ciberseguridad de los sistemas y servicios esenciales en Europa, que en el caso de la Junta de Andalucía y el SAS se refiere a los sistemas críticos en la gestión de la salud pública.
  • Directiva de Ciberseguridad de la UE: Establece la necesidad de implementar una estrategia de ciberseguridad a nivel europeo, alentando a los países miembros a adoptar medidas que protejan las infraestructuras esenciales.

2. Objetivos y Principios de la Política de Seguridad TIC

Los objetivos fundamentales de la política son proteger los sistemas y la información gestionada dentro de la Junta de Andalucía y el SAS, de acuerdo con principios básicos:

  1. Confidencialidad: Solo los usuarios y sistemas autorizados pueden acceder a los datos y sistemas. Esto incluye el uso de mecanismos de autenticación robustos, cifrado de la información y control de acceso.
  2. Integridad: Los datos deben ser precisos y completos. Cualquier alteración no autorizada de los datos debe ser detectada y evitada, y la integridad debe ser validada a lo largo del ciclo de vida de los datos.
  3. Disponibilidad: Los sistemas y servicios deben estar disponibles cuando se necesiten, especialmente en el ámbito sanitario, donde cualquier interrupción puede tener consecuencias graves para la atención al paciente. Esto implica la implementación de planes de continuidad del negocio y recuperación ante desastres.
  4. Autenticidad: La identidad de los usuarios, sistemas y dispositivos debe ser verificada, garantizando que las personas o sistemas que acceden a los datos sean quienes dicen ser.
  5. Rastreo y Auditoría: Las acciones realizadas sobre los sistemas y los datos deben ser rastreables para poder realizar auditorías en caso de incidentes o para mejorar la seguridad.

3. Estructura Organizativa para la Seguridad de las TIC

La implementación de la Política de Seguridad TIC requiere de una estructura organizativa bien definida, que garantice que todas las áreas de la Junta de Andalucía y el SAS estén comprometidas con la seguridad de la información:

  • Oficina de Seguridad de la Información: Este órgano centralizado es responsable de diseñar, implementar y revisar las políticas de seguridad a nivel de toda la organización. Puede estar integrada en una unidad de la Secretaría General de Administración Digital.
  • CISO (Chief Information Security Officer): El CISO es el responsable máximo de la seguridad de la información en la organización, y tiene como función principal liderar la estrategia de seguridad, coordinar los esfuerzos de seguridad y ser la figura clave en la gestión de incidentes de seguridad.
  • Responsables de seguridad en cada unidad: Existen responsables de seguridad en cada área o departamento, especialmente en las áreas críticas como los hospitales, que se encargan de aplicar las políticas y procedimientos de seguridad a nivel local.
  • Equipos de respuesta ante incidentes: Se establecen equipos especializados en la gestión de incidentes, preparados para reaccionar ante cualquier amenaza, desde un ataque cibernético hasta un fallo de los sistemas.

4. Medidas Técnicas y Organizativas

Las medidas de seguridad deben ser tanto técnicas como organizativas y deben abordar las siguientes áreas clave:

Medidas Técnicas:

  • Cifrado de datos: Todo dato sensible, como los registros médicos de los pacientes, debe ser cifrado tanto en tránsito (por ejemplo, mediante HTTPS) como en reposo (por ejemplo, usando cifrado AES).
  • Autenticación Multifactor (MFA): Se deben implementar métodos de autenticación adicionales (además de la contraseña) para acceder a sistemas críticos, como el acceso a la Historia Clínica Electrónica (HCE).
  • Firewall y protección contra intrusiones: Se deben utilizar sistemas de prevención de intrusiones (IDS/IPS), junto con firewalls para proteger la red de la organización de accesos no autorizados.
  • Seguridad en la nube: Cuando se utilicen servicios en la nube, deben asegurarse de que estos cumplan con las normativas de seguridad y protección de datos aplicables, y los contratos con proveedores deben especificar medidas de seguridad claras.

Medidas Organizativas:

  • Formación continua: El personal debe recibir formación regular sobre los riesgos de seguridad, las políticas de protección de datos y las buenas prácticas para proteger la información.
  • Gestión de accesos y permisos: Implementación de un control estricto sobre los permisos de acceso a la información, utilizando el principio de mínimos privilegios para reducir los riesgos.
  • Auditorías regulares: Auditorías periódicas deben ser realizadas para garantizar que las políticas de seguridad se estén aplicando correctamente y para identificar posibles áreas de mejora.

5. Planificación de la Seguridad y Continuidad del Servicio

En el caso de que un incidente afecte a la seguridad o disponibilidad de los sistemas, es fundamental tener planes de contingencia y recuperación ante desastres:

  • Plan de Continuidad del Negocio (BCP): Debe existir un plan para asegurar que los servicios esenciales, como la atención médica y la gestión de historias clínicas, sigan funcionando incluso en situaciones de crisis.
  • Plan de Recuperación ante Desastres (DRP): Este plan debe estar orientado a recuperar rápidamente la infraestructura tecnológica y la información crítica en caso de un desastre, como un ciberataque, una caída de servidor o un desastre natural.
  • Pruebas regulares: Los planes de recuperación deben ser probados regularmente para garantizar su efectividad y estar actualizados frente a nuevas amenazas.

6. Política de Seguridad y Normativas Internacionales

La Política de Seguridad TIC de la Junta de Andalucía y el SAS también debe estar alineada con las estrategias internacionales de ciberseguridad:

  • Estrategia Europea de Ciberseguridad: Esta estrategia fomenta la cooperación entre los Estados miembros para enfrentar las amenazas transnacionales. La Junta de Andalucía debe participar activamente en esta estrategia para alinearse con los estándares europeos de ciberseguridad.
  • Estrategia Nacional de Ciberseguridad de España: Proporciona directrices para proteger las infraestructuras críticas y otros activos sensibles. En este contexto, la Junta de Andalucía y el SAS deben cumplir con las normativas nacionales de protección de infraestructuras críticas.

7. Evaluación y Certificación de la Seguridad

Finalmente, para garantizar que los sistemas cumplen con los requisitos de seguridad, se deben realizar auditorías de seguridad y evaluaciones de riesgos periódicas. La certificación ISO 27001 es un estándar global que puede ser aplicable para asegurar la protección de los sistemas de información dentro de la administración pública.

Además, el Esquema Nacional de Seguridad (ENS) obliga a que todos los sistemas críticos sean evaluados y auditados para cumplir con los niveles de seguridad exigidos.

 

Estrategia Europea, Nacional y Andaluza de Ciberseguridad

A nivel europeo, la Estrategia de Ciberseguridad de la UE busca crear un entorno digital seguro para la economía y la sociedad. Incluye directrices para la protección de las infraestructuras críticas y las comunicaciones, así como la creación de un equipo de respuesta a incidentes de seguridad.

A nivel nacional, la Estrategia Nacional de Ciberseguridad se enfoca en la protección de los activos cibernéticos esenciales para el funcionamiento del país, promoviendo la cooperación entre los sectores público y privado.

A nivel andaluz, la Estrategia Andaluza de Ciberseguridad adapta las normativas nacionales y europeas, aplicándolas en el contexto de la comunidad autónoma, con especial énfasis en el ámbito sanitario y administrativo.

 

1. ¿Cuál es el objetivo principal de la seguridad de las tecnologías de la información (TI)?

a) Proteger los datos y los sistemas de amenazas internas y externas.
b) Asegurar la disponibilidad de todos los dispositivos en la red.
c) Mejorar la velocidad de transmisión de datos.
d) Garantizar que todos los usuarios tengan acceso ilimitado a los sistemas.

Respuesta correcta: a) Proteger los datos y los sistemas de amenazas internas y externas.
Explicación: El objetivo principal de la seguridad de TI es proteger la información y los sistemas frente a amenazas, asegurando su disponibilidad, confidencialidad e integridad.

  • b) Asegurar la disponibilidad de todos los dispositivos en la red: Aunque la disponibilidad es un aspecto importante de la seguridad de TI, no es el único objetivo.
  • c) Mejorar la velocidad de transmisión de datos: La mejora de la velocidad de transmisión no está directamente relacionada con la seguridad de TI, sino con el rendimiento de la red.
  • d) Garantizar que todos los usuarios tengan acceso ilimitado a los sistemas: La seguridad de TI implica restringir el acceso a los sistemas según las necesidades y roles, no dar acceso ilimitado.

2. ¿Cuál de las siguientes medidas de seguridad se considera una medida técnica?

a) Formación del personal sobre ciberseguridad.
b) Implementación de un sistema de cifrado de datos.
c) Establecimiento de roles y responsabilidades en la organización.
d) Firma de acuerdos de confidencialidad con proveedores.

Respuesta correcta: b) Implementación de un sistema de cifrado de datos.
Explicación: El cifrado de datos es una medida técnica que se utiliza para proteger la información confidencial durante su almacenamiento o transmisión.

  • a) Formación del personal sobre ciberseguridad: Esta es una medida organizativa, no técnica, ya que se enfoca en concienciar a las personas sobre los riesgos.
  • c) Establecimiento de roles y responsabilidades: Esto también es una medida organizativa, ya que implica definir quién tiene acceso a qué recursos.
  • d) Firma de acuerdos de confidencialidad: Es una medida legal, no técnica, que establece compromisos entre las partes sobre el manejo de la información.

3. ¿Qué es la certificación de la seguridad de las tecnologías de la información?

a) Un proceso de evaluación de los sistemas de TI para verificar el cumplimiento de las normativas.
b) Un proceso mediante el cual se crea un sistema de respaldo para la información.
c) Un procedimiento para establecer roles y responsabilidades de los usuarios.
d) Un proceso para aumentar la velocidad de los sistemas informáticos.

Respuesta correcta: a) Un proceso de evaluación de los sistemas de TI para verificar el cumplimiento de las normativas.
Explicación: La certificación de seguridad implica una evaluación externa realizada por organismos especializados para verificar que los sistemas de TI cumplen con los estándares y normativas de seguridad.

  • b) Un proceso mediante el cual se crea un sistema de respaldo: Esto es parte de los planes de contingencia, pero no está relacionado con la certificación.
  • c) Un procedimiento para establecer roles y responsabilidades: Esto es una medida organizativa, no una actividad de certificación.
  • d) Un proceso para aumentar la velocidad de los sistemas informáticos: No tiene relación con la certificación de seguridad, que se enfoca en la protección de datos y sistemas.

4. ¿Qué tipo de medida de seguridad tiene como objetivo prevenir desastres y garantizar la continuidad de los servicios?

a) Medidas físicas.
b) Medidas técnicas.
c) Medidas organizativas.
d) Planes de contingencia y recuperación ante desastres.

Respuesta correcta: d) Planes de contingencia y recuperación ante desastres.
Explicación: Los planes de contingencia y recuperación ante desastres se enfocan en asegurar la continuidad de los servicios en caso de fallos o desastres, restaurando los sistemas y datos afectados.

  • a) Medidas físicas: Son importantes para proteger las infraestructuras, pero no se centran en la continuidad de los servicios ante desastres.
  • b) Medidas técnicas: Aunque relevantes, las medidas técnicas son más específicas en la protección de los sistemas, no en la recuperación ante desastres.
  • c) Medidas organizativas: Implican aspectos de gestión, como la formación del personal, pero no abordan directamente la continuidad ante desastres.

5. ¿Qué es un sistema de seguridad «no estructurado»?

a) Un sistema con medidas técnicas detalladas y predefinidas.
b) Un sistema donde no se requiere un plan o estrategia organizativa para su implementación.
c) Un sistema que protege datos y sistemas sin un diseño claro o reglas.
d) Un sistema de seguridad sin ninguna normativa de cumplimiento.

Respuesta correcta: c) Un sistema que protege datos y sistemas sin un diseño claro o reglas.
Explicación: Un sistema no estructurado de seguridad no tiene reglas predefinidas o un diseño organizado, lo que lo hace menos eficiente en términos de protección.

  • a) Un sistema con medidas técnicas detalladas y predefinidas describe un sistema estructurado, donde se planifican detalladamente las medidas de seguridad.
  • b) Un sistema donde no se requiere un plan o estrategia organizativa describe una falta de planificación, pero no necesariamente un sistema no estructurado.
  • d) Un sistema de seguridad sin ninguna normativa de cumplimiento se refiere a un sistema sin reglas externas de cumplimiento, pero no define un sistema no estructurado en términos de diseño y planificación.

6. ¿Qué entidad europea tiene la responsabilidad de definir la Estrategia de Ciberseguridad?

a) La Comisión Europea.
b) El Parlamento Europeo.
c) El Consejo de la Unión Europea.
d) La Agencia Europea de Ciberseguridad (ENISA).

Respuesta correcta: a) La Comisión Europea.
Explicación: La Comisión Europea es la responsable de proponer y ejecutar las estrategias de ciberseguridad a nivel europeo, incluida la Estrategia de Ciberseguridad de la UE.

  • b) El Parlamento Europeo: Aunque el Parlamento tiene un papel legislativo, no es el encargado de definir las estrategias de ciberseguridad.
  • c) El Consejo de la Unión Europea: El Consejo tiene un papel en la adopción de políticas, pero no es el responsable principal de definir la estrategia.
  • d) La Agencia Europea de Ciberseguridad (ENISA): ENISA proporciona apoyo y asesoramiento en ciberseguridad, pero no define la estrategia europea.

7. ¿Qué tipo de medidas de seguridad incluye la implementación de un sistema de cifrado de datos?

a) Medidas técnicas.
b) Medidas físicas.
c) Medidas organizativas.
d) Medidas legales.

Respuesta correcta: a) Medidas técnicas.
Explicación: El cifrado de datos es una medida técnica que asegura que los datos se mantengan seguros durante su transmisión o almacenamiento, haciendo que sean ilegibles para personas no autorizadas.

  • b) Medidas físicas: Se refieren a controles de acceso a las instalaciones, no a la protección de los datos en sí.
  • c) Medidas organizativas: Son procedimientos y políticas que establecen roles y responsabilidades, pero no están relacionadas directamente con el cifrado.
  • d) Medidas legales: Incluyen el cumplimiento de normativas como el GDPR, pero el cifrado es una medida técnica, no legal.

8. ¿Qué estrategia de seguridad se enfoca en el establecimiento de reglas claras para el manejo de la información dentro de una organización?

a) Medidas físicas.
b) Medidas organizativas.
c) Medidas técnicas.
d) Estrategias de recuperación ante desastres.

Respuesta correcta: b) Medidas organizativas.
Explicación: Las medidas organizativas se refieren a establecer políticas, roles y responsabilidades, y proporcionar formación en seguridad. Estas medidas son fundamentales para gestionar el comportamiento humano dentro de la organización.

  • a) Medidas físicas: Están orientadas a la protección de la infraestructura, no al manejo de la información.
  • c) Medidas técnicas: Se enfocan en herramientas tecnológicas, como cortafuegos y cifrado, pero no en la organización de las reglas.
  • d) Estrategias de recuperación ante desastres: Se enfocan en la continuidad del servicio, no en la gestión de la información.

 

9. ¿Cuál de los siguientes es un componente esencial de un plan de contingencia?

a) Procedimientos para restaurar sistemas y servicios críticos.
b) Configuración de un firewall para todos los usuarios.
c) Establecimiento de políticas de uso de contraseñas.
d) Reducción de la capacidad de almacenamiento en los servidores.

Respuesta correcta: a) Procedimientos para restaurar sistemas y servicios críticos.
Explicación: Un plan de contingencia debe incluir procedimientos detallados para restaurar los sistemas y servicios críticos después de un desastre, para asegurar la continuidad del negocio.

  • b) Configuración de un firewall para todos los usuarios: Esta es una medida técnica, pero no es una parte clave de un plan de contingencia, que se enfoca en la recuperación tras un desastre.
  • c) Establecimiento de políticas de uso de contraseñas: Las políticas de contraseñas son parte de la seguridad preventiva, pero no de un plan de contingencia.
  • d) Reducción de la capacidad de almacenamiento en los servidores: Reducir la capacidad de almacenamiento no está relacionado con los planes de contingencia, que se enfocan en asegurar que los servicios se restauren rápidamente.

10. ¿Qué tipo de medida de seguridad se utiliza para proteger los sistemas y redes de intrusiones externas?

a) Medidas organizativas.
b) Medidas legales.
c) Medidas técnicas.
d) Medidas físicas.

Respuesta correcta: c) Medidas técnicas.
Explicación: Las medidas técnicas incluyen herramientas como firewalls, antivirus y sistemas de detección de intrusos para proteger los sistemas contra accesos no autorizados.

  • a) Medidas organizativas: Se refieren a los procedimientos y políticas internas de la organización, pero no están directamente relacionadas con la protección técnica.
  • b) Medidas legales: Se enfocan en el cumplimiento de normativas y leyes, no en la protección directa de los sistemas.
  • d) Medidas físicas: Incluyen la seguridad de las instalaciones, pero no protegen directamente contra intrusiones cibernéticas.

11. ¿Qué entidad define las normativas de seguridad para el sector público en la Junta de Andalucía?

a) El Gobierno de España.
b) El Parlamento de Andalucía.
c) La Consejería de Transformación Digital, Industria y Telecomunicaciones de la Junta de Andalucía.
d) La Agencia Andaluza de Protección de Datos.

Respuesta correcta: c) La Consejería de Transformación Digital, Industria y Telecomunicaciones de la Junta de Andalucía.
Explicación: En la Junta de Andalucía, la Consejería de Transformación Digital, Industria y Telecomunicaciones es la encargada de definir las normativas de seguridad para las tecnologías de la información en el sector público.

  • a) El Gobierno de España: Aunque el Gobierno central tiene competencias en ciberseguridad, la normativa específica para la Junta de Andalucía proviene de la administración autonómica.
  • b) El Parlamento de Andalucía: El Parlamento puede legislar en cuestiones de ciberseguridad, pero no es la entidad encargada de definir las normativas específicas de seguridad de TI.
  • d) La Agencia Andaluza de Protección de Datos: Esta agencia está centrada en la protección de datos personales, pero no en la creación de normativas de seguridad de TI a nivel gubernamental.

12. ¿Cuál de los siguientes es un ejemplo de medida de seguridad legal?

a) Cifrado de datos.
b) Formación continua de los empleados en ciberseguridad.
c) Firma de acuerdos de confidencialidad con proveedores.
d) Instalación de antivirus en los servidores.

Respuesta correcta: c) Firma de acuerdos de confidencialidad con proveedores.
Explicación: Las medidas legales incluyen el cumplimiento de leyes y normativas, y los acuerdos de confidencialidad son fundamentales para proteger la información confidencial cuando se comparte con proveedores.

  • a) Cifrado de datos: Es una medida técnica, no legal, orientada a proteger la información durante su transmisión o almacenamiento.
  • b) Formación continua de los empleados en ciberseguridad: Es una medida organizativa, destinada a aumentar la concienciación de los empleados.
  • d) Instalación de antivirus en los servidores: Es una medida técnica para proteger los sistemas contra malware, pero no tiene un componente legal.

13. ¿Cuál de las siguientes opciones describe una medida física de seguridad?

a) Uso de software antivirus en los sistemas.
b) Control de acceso a las instalaciones del centro de datos.
c) Creación de políticas de contraseñas.
d) Cifrado de las comunicaciones de red.

Respuesta correcta: b) Control de acceso a las instalaciones del centro de datos.
Explicación: Las medidas físicas se enfocan en la protección de las infraestructuras, como el control de acceso a las instalaciones, para evitar intrusiones físicas en áreas sensibles.

  • a) Uso de software antivirus en los sistemas: Es una medida técnica para proteger los sistemas contra malware.
  • c) Creación de políticas de contraseñas: Es una medida organizativa que establece normas de seguridad para los usuarios.
  • d) Cifrado de las comunicaciones de red: Es una medida técnica destinada a proteger la información en tránsito.

14. ¿Qué objetivo persigue la Estrategia Nacional de Ciberseguridad?

a) Reducir los costos operativos de las empresas.
b) Garantizar la protección de las infraestructuras críticas y los activos cibernéticos esenciales.
c) Mejorar la velocidad de internet en el país.
d) Establecer un sistema único de gestión de datos a nivel mundial.

Respuesta correcta: b) Garantizar la protección de las infraestructuras críticas y los activos cibernéticos esenciales.
Explicación: La Estrategia Nacional de Ciberseguridad se centra en proteger las infraestructuras críticas y los activos cibernéticos esenciales para el funcionamiento seguro de la nación.

  • a) Reducir los costos operativos de las empresas: Aunque la ciberseguridad puede contribuir indirectamente a la eficiencia, su objetivo principal no es reducir costos operativos.
  • c) Mejorar la velocidad de internet en el país: La velocidad de internet es importante, pero no es el objetivo central de la Estrategia de Ciberseguridad.
  • d) Establecer un sistema único de gestión de datos a nivel mundial: Esto no es un objetivo de la Estrategia Nacional de Ciberseguridad, que se enfoca en la protección, no en la gestión de datos globales.

15. ¿Qué tipo de medida de seguridad es el establecimiento de políticas de acceso a la información?

a) Medidas técnicas.
b) Medidas organizativas.
c) Medidas físicas.
d) Medidas legales.

Respuesta correcta: b) Medidas organizativas.
Explicación: El establecimiento de políticas de acceso es una medida organizativa que define los roles y responsabilidades dentro de la organización sobre quién tiene acceso a qué información.

  • a) Medidas técnicas: Se enfocan en herramientas como cortafuegos y antivirus para proteger los sistemas.
  • c) Medidas físicas: Se centran en la protección de las instalaciones y los equipos.
  • d) Medidas legales: Se refieren a las normativas y leyes que deben cumplirse en relación con el manejo de la información.

 

16. ¿Qué aspecto se aborda principalmente con las medidas físicas de seguridad?

a) Proteger los sistemas y aplicaciones con software de seguridad.
b) Controlar el acceso a las instalaciones físicas y equipos de TI.
c) Establecer políticas de uso de contraseñas.
d) Asegurar la integridad de los datos a través de algoritmos de cifrado.

Respuesta correcta: b) Controlar el acceso a las instalaciones físicas y equipos de TI.
Explicación: Las medidas físicas de seguridad se centran en proteger el acceso a los equipos y las instalaciones donde se almacenan y procesan los datos, evitando el acceso no autorizado.

  • a) Proteger los sistemas y aplicaciones con software de seguridad: Esta es una medida técnica, no física.
  • c) Establecer políticas de uso de contraseñas: Es una medida organizativa que regula el acceso lógico a los sistemas.
  • d) Asegurar la integridad de los datos a través de algoritmos de cifrado: Es una medida técnica, pero no física.

17. ¿Cuál de las siguientes afirmaciones describe mejor un «plan de recuperación ante desastres»?

a) Un conjunto de procedimientos para garantizar la continuidad del servicio en caso de un ataque cibernético.
b) Un procedimiento para restaurar los sistemas y la información después de un desastre o incidente.
c) Un sistema que impide el acceso no autorizado a los datos.
d) Un acuerdo entre proveedores sobre la seguridad de la información compartida.

Respuesta correcta: b) Un procedimiento para restaurar los sistemas y la información después de un desastre o incidente.
Explicación: Un plan de recuperación ante desastres describe los procedimientos específicos para restaurar los sistemas y la información afectada por incidentes o desastres, garantizando la continuidad operativa.

  • a) Un conjunto de procedimientos para garantizar la continuidad del servicio en caso de un ataque cibernético: Aunque relacionado con la seguridad, este enfoque es más preventivo que reactivo.
  • c) Un sistema que impide el acceso no autorizado a los datos: Esto describe medidas de seguridad como firewalls o autenticación, no un plan de recuperación.
  • d) Un acuerdo entre proveedores sobre la seguridad de la información compartida: Es una medida legal, pero no un plan de recuperación.

18. ¿Cuál es el principal objetivo de la Estrategia Andaluza de Ciberseguridad?

a) Promover el uso de redes sociales en las administraciones públicas.
b) Asegurar la protección de los datos personales y las infraestructuras críticas en Andalucía.
c) Impulsar la creación de empresas tecnológicas en la región.
d) Reducir el gasto público en ciberseguridad.

Respuesta correcta: b) Asegurar la protección de los datos personales y las infraestructuras críticas en Andalucía.
Explicación: El objetivo principal de la Estrategia Andaluza de Ciberseguridad es garantizar la protección de los datos personales y las infraestructuras críticas, asegurando que la región esté preparada frente a ciberamenazas.

  • a) Promover el uso de redes sociales en las administraciones públicas: No es el objetivo de la estrategia de ciberseguridad.
  • c) Impulsar la creación de empresas tecnológicas en la región: Esto podría ser parte de una estrategia económica, pero no de la estrategia de ciberseguridad.
  • d) Reducir el gasto público en ciberseguridad: La estrategia busca mejorar la protección, no reducir el gasto.

19. ¿Qué documento es clave para la certificación de la seguridad de la información en una organización?

a) La política de contraseñas.
b) El informe de auditoría externa.
c) La política de privacidad.
d) La declaración de accesibilidad web.

Respuesta correcta: b) El informe de auditoría externa.
Explicación: La auditoría externa es un proceso independiente que verifica la conformidad de los sistemas de seguridad con las normativas y estándares establecidos, y el informe resultante es clave para la certificación de la seguridad.

  • a) La política de contraseñas: Aunque es importante para la seguridad, no es suficiente para la certificación.
  • c) La política de privacidad: Es relevante para la protección de datos personales, pero no se centra en la certificación de seguridad.
  • d) La declaración de accesibilidad web: Se refiere a la accesibilidad de los sitios web, no a la seguridad de la información.

20. ¿Cuál es el objetivo principal de las medidas de seguridad técnicas en un sistema de TI?

a) Garantizar que los empleados cumplan con las políticas de seguridad.
b) Proteger los sistemas y la información de amenazas cibernéticas y accesos no autorizados.
c) Promover la eficiencia de los sistemas mediante la optimización de recursos.
d) Asegurar que todos los usuarios tengan acceso a los datos sin restricciones.

Respuesta correcta: b) Proteger los sistemas y la información de amenazas cibernéticas y accesos no autorizados.
Explicación: Las medidas técnicas de seguridad, como los firewalls, antivirus y cifrado, están diseñadas específicamente para proteger los sistemas de amenazas cibernéticas y evitar el acceso no autorizado a la información.

  • a) Garantizar que los empleados cumplan con las políticas de seguridad: Esto es parte de las medidas organizativas, no técnicas.
  • c) Promover la eficiencia de los sistemas mediante la optimización de recursos: Aunque la eficiencia es importante, no es el objetivo principal de las medidas de seguridad técnicas.
  • d) Asegurar que todos los usuarios tengan acceso a los datos sin restricciones: Las medidas de seguridad técnicas limitan el acceso para proteger la información y los sistemas, no garantizan un acceso ilimitado.

21. ¿Cuál de las siguientes afirmaciones sobre la Política de Seguridad TIC en el Servicio Andaluz de Salud (SAS) es correcta?

A) La seguridad de la información solo es relevante en el momento en que un incidente ocurre.
B) La política de seguridad debe asegurar la confidencialidad, integridad y disponibilidad de la información en todo momento.
C) Los datos de los pacientes pueden ser accesibles por cualquier miembro del personal del SAS para facilitar la atención médica.
D) La seguridad de los sistemas del SAS solo aplica a los sistemas de gestión administrativa y no a los sistemas asistenciales.

Respuesta Correcta: B) La política de seguridad debe asegurar la confidencialidad, integridad y disponibilidad de la información en todo momento.

  • A) Incorrecta: La seguridad debe ser preventiva, no solo reactiva. Debe aplicarse de manera continua para proteger la información.
  • C) Incorrecta: El acceso a los datos de los pacientes debe estar restringido a personal autorizado. La confidencialidad es un principio clave en la protección de datos.
  • D) Incorrecta: La política de seguridad aplica a todos los sistemas dentro del SAS, incluidos tanto los administrativos como los asistenciales, ya que ambos gestionan información sensible.

22. ¿Qué norma establece los requisitos mínimos de seguridad para los sistemas de información de la administración pública en España?

A) Ley Orgánica de Protección de Datos (LOPD)
B) Esquema Nacional de Seguridad (ENS)
C) Reglamento General de Protección de Datos (RGPD)
D) ISO 27001

Respuesta Correcta: B) Esquema Nacional de Seguridad (ENS)

  • A) Incorrecta: La LOPD se centra en la protección de datos personales, pero no cubre todos los aspectos de seguridad de los sistemas de información.
  • C) Incorrecta: El RGPD regula la protección de datos personales en Europa, pero no establece las medidas de seguridad específicas para los sistemas.
  • D) Incorrecta: La ISO 27001 es una norma internacional de gestión de la seguridad de la información, pero el ENS es específico para la administración pública española.

23. ¿Qué medida debe aplicarse para proteger la integridad de los datos sanitarios en el SAS?

A) Permitir el acceso irrestricto a los datos para facilitar la atención de los profesionales.
B) Utilizar cifrado para asegurar que los datos no puedan ser alterados durante la transmisión.
C) Mantener los datos accesibles a todos los empleados del SAS para mejorar la eficiencia.
D) No hacer copias de seguridad para evitar el almacenamiento redundante de datos.

Respuesta Correcta: B) Utilizar cifrado para asegurar que los datos no puedan ser alterados durante la transmisión.

  • A) Incorrecta: El acceso debe estar restringido a personal autorizado. El acceso irrestricto compromete la integridad y confidencialidad de los datos.
  • C) Incorrecta: Los datos deben ser accesibles solo por personal autorizado para evitar manipulaciones no deseadas. La integridad se protege mediante el control de acceso.
  • D) Incorrecta: Las copias de seguridad son esenciales para proteger la integridad de los datos y garantizar la disponibilidad en caso de fallo del sistema.

24. ¿Cuál de las siguientes afirmaciones es verdadera sobre la autenticación de usuarios en los sistemas del SAS?

A) Los usuarios deben autenticarse solo con contraseñas débiles para facilitar el acceso rápido.
B) La autenticación multifactor (MFA) es un requisito esencial para el acceso a sistemas críticos.
C) La autenticación debe hacerse solo una vez al inicio de sesión y no es necesario verificarla nuevamente.
D) La autenticación solo debe incluir la verificación de la contraseña sin necesidad de otras medidas adicionales.

Respuesta Correcta: B) La autenticación multifactor (MFA) es un requisito esencial para el acceso a sistemas críticos.

  • A) Incorrecta: Las contraseñas débiles son una vulnerabilidad y deben evitarse. La seguridad debe basarse en contraseñas robustas y otros mecanismos de autenticación.
  • C) Incorrecta: La autenticación debe ser constante y revisarse cada vez que el acceso cambie de contexto (p. ej., acceso desde otra red o ubicación).
  • D) Incorrecta: La autenticación solo con contraseña es insuficiente. La MFA añade una capa de seguridad adicional, imprescindible para proteger información sensible.

25. ¿Qué debe incluir el Plan de Continuidad del Negocio (BCP) del SAS?

A) Solo debe centrarse en la recuperación de la infraestructura tecnológica.
B) Debe garantizar la disponibilidad de los servicios críticos, como atención médica, incluso en caso de desastre.
C) Solo se debe aplicar en situaciones de alta demanda de los sistemas, no en desastres o fallos imprevistos.
D) El BCP debe estar enfocado únicamente en la recuperación de los datos de los pacientes, no en los servicios de atención.

Respuesta Correcta: B) Debe garantizar la disponibilidad de los servicios críticos, como atención médica, incluso en caso de desastre.

  • A) Incorrecta: El BCP debe cubrir no solo la infraestructura tecnológica, sino también la continuidad de los servicios esenciales como atención médica.
  • C) Incorrecta: El BCP debe ser implementado para todas las situaciones de interrupción, no solo en condiciones de alta demanda.
  • D) Incorrecta: El BCP debe asegurar tanto la recuperación de datos como la continuidad de los servicios médicos, no solo la información.

26. ¿Qué acción debe realizar el personal del SAS en caso de detectar un incidente de seguridad en un sistema informático?

A) Ignorar el incidente si no afecta directamente al servicio de atención.
B) Informar inmediatamente a la Unidad de Seguridad TIC para que se evalúe y gestione el incidente.
C) Tomar medidas correctivas sin informar a nadie para evitar retrasos.
D) Continuar utilizando el sistema como si no hubiera ocurrido ningún incidente.

Respuesta Correcta: B) Informar inmediatamente a la Unidad de Seguridad TIC para que se evalúe y gestione el incidente.

  • A) Incorrecta: Ignorar un incidente de seguridad puede causar un daño mayor, por lo que debe ser gestionado de inmediato.
  • C) Incorrecta: Las medidas correctivas deben ser coordinadas con la unidad de seguridad para asegurar una respuesta adecuada.
  • D) Incorrecta: Continuar utilizando un sistema comprometido pone en riesgo la seguridad de la información y la operativa del SAS.

27. ¿Cuál es el objetivo principal de la Política de Seguridad TIC en cuanto a la protección de la información de los pacientes en el SAS?

A) Facilitar el acceso irrestricto a los datos de los pacientes para todos los empleados.
B) Garantizar que solo el personal autorizado pueda acceder a la información sensible y que esta se mantenga confidencial.
C) Limitar el acceso a la información solo durante las horas de oficina.
D) Desactivar las medidas de seguridad para facilitar el acceso en situaciones de emergencia.

Respuesta Correcta: B) Garantizar que solo el personal autorizado pueda acceder a la información sensible y que esta se mantenga confidencial.

  • A) Incorrecta: El acceso irrestricto pone en riesgo la confidencialidad y la privacidad de los datos de los pacientes.
  • C) Incorrecta: La protección de la información debe ser continua, sin importar la hora o el día.
  • D) Incorrecta: Desactivar las medidas de seguridad durante emergencias compromete la integridad y la confidencialidad de los datos.

28. ¿Qué estrategia es más efectiva para asegurar la disponibilidad de los sistemas del SAS durante un incidente de seguridad o desastre?

A) Desactivar los sistemas no esenciales hasta que el incidente sea completamente resuelto.
B) Implementar un sistema de respaldo y recuperación que permita restaurar rápidamente los sistemas críticos.
C) Reemplazar toda la infraestructura de TI después de un incidente para evitar futuros problemas.
D) Permitir el acceso a todos los usuarios para repartir la carga de trabajo durante un incidente.

Respuesta Correcta: B) Implementar un sistema de respaldo y recuperación que permita restaurar rápidamente los sistemas críticos.

  • A) Incorrecta: Desactivar sistemas puede afectar la capacidad de recuperación y la continuidad del servicio.
  • C) Incorrecta: Reemplazar toda la infraestructura no es una solución práctica ni eficiente, lo que se necesita es recuperación y respaldo.
  • D) Incorrecta: Permitir el acceso irrestricto puede poner en riesgo la seguridad de los sistemas durante un incidente.

29. ¿Qué herramienta es recomendada para asegurar la protección de los datos almacenados en los sistemas del SAS?

A) Copias de seguridad regulares y cifradas.
B) No realizar copias de seguridad para reducir costos.
C) Utilizar solo contraseñas para proteger los datos.
D) Permitir el acceso libre a los datos mientras el sistema esté bajo vigilancia.

Respuesta Correcta: A) Copias de seguridad regulares y cifradas.

  • B) Incorrecta: No hacer copias de seguridad pone en riesgo la integridad y disponibilidad de los datos.
  • C) Incorrecta: Las contraseñas no son suficientes por sí solas para proteger los datos, es necesario cifrar las copias de seguridad.
  • D) Incorrecta: El acceso libre puede poner en peligro los datos, especialmente en sistemas sensibles.

30. ¿Qué debe garantizar la Política de Seguridad del SAS respecto a los sistemas de comunicación?

A) Que las comunicaciones internas entre sistemas sean lo más rápidas posible, sin importar la seguridad.
B) Que las comunicaciones sean cifradas para proteger la confidencialidad de los datos.
C) Que no haya ninguna restricción en las comunicaciones para facilitar el flujo de información.
D) Que las comunicaciones externas estén completamente deshabilitadas para prevenir amenazas.

Respuesta Correcta: B) Que las comunicaciones sean cifradas para proteger la confidencialidad de los datos.

  • A) Incorrecta: La rapidez no debe comprometer la seguridad; la confidencialidad y la integridad son más importantes.
  • C) Incorrecta: No debe eliminarse ninguna restricción sin considerar los riesgos para la seguridad.
  • D) Incorrecta: La deshabilitación total de las comunicaciones externas puede impedir la prestación de servicios esenciales.
Print Friendly, PDF & Email

Publicaciones relacionadas

Tema 95. E-learning: conceptos, herramientas, sistemas de implantación y normalización. LMS. MOOCS.

Publicador

Tema 56. Planificación e instalación de un centro de proceso de datos. Planificación y ejecución de tareas de producción y sistemas. Organización de centros de proceso de datos del Servicio Andaluz de Salud.

Publicador

Tema 86. Portales Corporativos: definición, evolución y arquitectura. Gestión de contenidos. Definición. Catalogación, subscripción y personalización de contenidos. Herramientas para la gestión de contenidos. Iniciativas en el Servicio Andaluz de Salud.

Publicador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *