Auditor líder ISO-IEC-27001

¿Qué amenaza podría ocurrir si no se toman medidas físicas?. Personas no autorizadas que visualizan archivos confidenciales. Quedan impresiones confidenciales en la impresora. Un servidor se apaga debido a un sobrecalentamiento. Hackers que ingresan a la red corporativa.

Un empleado sorprendido almacenando temporalmente un archivo MP3 en su estación de trabajo no recibirá un IR. verdad. Falso.

Las siguientes son las pautas para proteger su contraseña, excepto: No utilice la misma contraseña para varios accesos de seguridad del sistema de la empresa. No comparta contraseñas con nadie. Para recuperarla fácilmente, utilice la misma contraseña para las cuentas personales y de la empresa. Cambiar una contraseña temporal en el primer inicio de sesión.

Qué departamento mantiene contactos con las autoridades policiales, los organismos reguladores, los proveedores de servicios de información y los proveedores de servicios de telecomunicaciones según el servicio requerido. CISO. CSM. MRO.

Un análisis de riesgos bien ejecutado proporciona una gran cantidad de información útil. Un análisis de riesgo tiene cuatro objetivos principales. ¿Cuál no es uno de los cuatro objetivos principales de un análisis de riesgos?. Identificación de activos y su valor. Implementación de contramedidas. Establecimiento de un equilibrio entre los costos de un incidente y los costos de una medida de seguridad. Determinación de vulnerabilidades y amenazas relevantes.

¿Cuál no es un requisito de RR.HH. antes de la contratación?. Someterse a una verificación de antecedentes. El solicitante debe completar los requisitos de documentación previa al empleo. Debe someterse a una formación de sensibilización sobre seguridad de la información. Debe aprobar con éxito la investigación de antecedentes.

Medios de disponibilidad. El servicio debe ser accesible en el momento requerido y utilizable por todos. El servicio debe ser accesible en el momento requerido y solo puede ser utilizado por la entidad autorizada. El servicio no debe ser accesible cuando sea necesario.

La información o los datos clasificados como ______ no requieren etiquetado. público. Interno. Confidencial. Muy confidencial.

¿Qué es una medida represiva en caso de incendio?. Contratar un seguro contra incendios. Apagar un incendio después de que haya sido detectado por un detector de incendios. Reparación de daños causados por el fuego.

Un pirata informático obtiene acceso a un servidor web y puede ver un archivo en el servidor que contiene números de tarjetas de crédito ¿Cuáles de los principios de confidencialidad, integridad y disponibilidad (CIA) del archivo de la tarjeta de crédito se violan?. Disponibilidad. Confidencialidad. Integridad. Cumplimiento.

La seguridad de la información es una cuestión de construir y mantener ________. Confianza. Protección. Cortafuegos. Confidencialidad.

espués de un devastador incendio en la oficina, todo el personal se traslada a otras sucursales de la empresa. ¿En qué momento del proceso de gestión de incidentes se efectúa esta medida?. Entre incidente y daño. Entre la detección y la clasificación. Entre la recuperación y las operaciones normales. Entre clasificación y escalamiento.

Trabaja en la oficina de una gran empresa. Recibe una llamada de una persona que dice ser del Helpdesk. Te pide tu contraseña. ¿Qué tipo de amenaza es esta?. Amenaza natural. Amenaza organizativa. Ingeniería social. Arason.

¿Cuál es el propósito de una política de seguridad de la información?. Una política de seguridad de la información hace que el plan de seguridad sea concreto al proporcionar los detalles necesarios. Una política de seguridad de la información proporciona información sobre las amenazas y las posibles consecuencias. Una política de seguridad de la información proporciona dirección y apoyo a la gerencia con respecto a la seguridad de la información. Una política de seguridad de la información documenta el análisis de riesgos y la búsqueda de contramedidas.

A continuación se muestra el propósito de la "integridad", que es uno de los componentes básicos de la seguridad de la información. la propiedad de que la información no está disponible o divulgada a personas no autorizadas. la propiedad de salvaguardar la exactitud e integridad de los activos. la propiedad de que la información no se pone a disposición o no se divulga a personas no autorizadas. la propiedad de ser accesible y utilizable a pedido de una entidad autorizada.

¿Cuál es el método para recopilar la información durante una auditoría?. Observación. Revisión de Registros. Entrevista. Todas las anteriores.

Las auditorías internas del Sistema de Gestión de Seguridad de la Información deben llevarse a cabo para verificar que el mismo: Cumple con los requisitos propios de la organización. Está implementado y mantenido de manera eficaz. Cumple con los requisitos de la norma internación ISO 27001. Todas las anteriores.

¿Las auditorías internas son las auditorias de?. Segunda parte. Primera parte. Tercera parte. Ninguna de las anteriores.

¿Los tipos de auditorías según la entidad que las realiza son?. Auditoría de segunda parte. Auditoria de primera parte. Auditoría de tercera parte. Todas las anteriores.

¿Cuál es la norma ISO vigente de directrices para la realización de auditorías?. 19011:2015. 19001:2010. 19001:2016. 19011:2018.

Los resultados de la revisión de la Alta Dirección del Sistema de Seguridad de la Información (SGSI) es una información documentada a conservar requerida por la norma ISO/IEC 27001:2013. Verdadero. Falso.

¿El Anexo A de la ISO/IEC 27001:2013 contiene?. Aclaratorias de términos. Requisitos auditables. Guía de implementación. Recomendaciones de mejora de la seguridad de la información.

Cuando la organización lleva a cabo auditorías internas del Sistema de Gestión de Seguridad de la información debe ______ información _____________como evidencia de la implementación del programa de auditoria y de los resultados de ésta. Entregar, documentada. Conservar, documentada. Mantener, documentada. Resguardar, documentada.

¿Cuáles de las siguientes opciones es la información documentada obligatoria a mantener, de acuerdo a los requisitos de la norma ISO 27001:2013?. Políticas de Seguridad de la información. Documentación necesaria para confiar en que los procesos requeridos para la planificación y el control operativo se han llevado a cabo según lo previsto. Alcance del sistema de gestión de seguridad de la información. Todas las anteriores.

Las auditorias de certificación son auditorias de segunda parte. Verdadero. Falso.

Acuerdos para un conjunto de una o más auditorias planificadas para un periodo de tiempo determinado y dirigidas para un propósito específico es la definición de: Informe Auditoría. Programa de Auditoría. Plan de Auditoría. Ninguna de las anteriores.

la norma ISO/IEC 27001:2013 permite declarar la no aplicabilidad o excluir de algunos de sus requisitos desde el 4 hasta el 10, con la debida justificación. Si. NO.

Pregunta 14: Un auditor interno puede auditar su propio proceso. Verdadero. Falso.

El ____________es la descripción de actividades y de los detalles acordados de una auditoría. Programa de auditoría. Plan de auditoría. Criterio de auditoria. Alcance de la auditoría.

Cuando en una auditoría se encuentra información documentada correspondiente a la política y objetivos de seguridad de la información, Plan estratégico, Presupuesto del SGSI, asignación de responsables del SGSI, podrían ser consideradas como evidencias del cumplimiento del requisito de de la norma ISOIIEC 27001:2013. 5-Liderazgo. 6-Planificación. Operación. Ninguna de las anteriores.

De acuerdo con el requisito 9.2 de la norma ISO/IEC 27001:2013, Los resultados de las auditorías internas se deben informar a: Los proveedores. La alta dirección. Las instituciones gubernamentales. Todas las anteriores.

Para la realización de las auditorías internas las organizaciones deben planificar, establecer, implementar y mantener uno o varios programas de auditoria que deben incluir: a) R b) c) d). Requisitos de planificación y elaboración de informes. Frecuencia, métodos y responsabilidades. Alcance y Criterios. Todas las anteriores.

___________ Es el proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría?. La Auditoria. El Programa de Auditoría. El Plan de Auditoría. La Apreciación de riesgos.

¿La información documentada a conservar donde se establece cómo la organización aplica los controles del anexo A de la norma ISO/IEC 27001, es?. El plan de tratamiento de riesgos. El inventario de activos de información. La declaración de aplicabilidad. Ninguna de las anteriores.

¿Son parte de implementar el programa de auditoría?. Asignar responsabilidades para una auditoría individual al líder del equipo auditor. Seleccionar los miembros del equipo auditor. definir los objetivos, alcance y criterios para una auditoría individual. Seleccionar los métodos de auditoría. Todas las anteriores.

Dentro de sus políticas de seguridad de la información una organización no limita que sus empleados descarguen software en los equipos propiedad de la organización. ¿Si usted auditara esta empresa este hallazgo sería una No conformidad?. Si. No.

¿Cómo se denomina el proceso global que comprende la identificación del riesgo, el análisis del riesgo y la evaluación del riesgo con respecto a la seguridad de la información?. Apreciación de riesgo. Plan de tratamiento de riesgo. Tratamiento de riesgo. Ninguna de las anteriores.

Las auditorías internas del Sistema de Gestión de Seguridad de la Información (SGSI) deben realizarse: Dos veces al año. A intervalos planificados. Trimestralmente. Mensualmente.

¿Qué tipo de información documentada en forma de registros solicitaría en una auditoría ISO/IEC 27001 para verificar el cumplimiento del control A.7.1 sobre la seguridad ligada a los recursos humanos?. Datos de su cuenta bancaria. Información familiar del empleado. Antecedentes del personal, hoja de vida, títulos, diplomas, términos y condiciones de empleo. Todas las anteriores.

Para el proceso de apreciación de riesgos la norma ISOIIEC 27001:2013 obliga el uso de la ISO 31000. Falso. Verdadero.

En una empresa de desarrollo de software se está ejecutando una auditoría interna de sus procesos. El Auditor interno evidencio que no se cuenta con métodos de desarrollo seguro de software, lo cual es una no conformidad. ¿Cuál de las siguientes opciones es la declaración correcta de la No conformidad?. En las etapas de desarrollo de software de ZAX no se evidencio la implementación de controles que definen los requisitos de seguridad y la seguridad de los procesos de desarrollo y soporte. El control A.14.2 del Anexo A de la norma ISO 27001 determina que se debe garantizar la seguridad de la información que se ha diseñado e ... En las etapas de desarrollo de software de ZAX no se evidencio la implementación de 19/9Mbspan los requisitos de seguridad y la seguridad de los procesos de Controles que se definen los requisitos de seguridad y la informacion de los proceso de desarrollo y soporte,. Se evidenció el incumplimiento del control A.14.2. Ninguna de las anteriores.

¿Los controles asociados a los planes de continuidad de negocio y a la gestión de incidentes de seguridad de la información del Anexo A de la norma ISO/IEC 27001, son?. A.12 y A.7. A.5 y A.6. A.16 y A.17. Ninguno de los anteriores.

¿Cómo evidenciaría que la política de seguridad de la información fue comunicada a todo el personal de la organización?. Realizando entrevistas al personal para verificar que la conocen y la aplican. Revisando los registros de la difusión de la política. Preguntándole a la Alta dirección. Todas las anteriores.

Cuándo en una organización que se audita bajo la norma ISO/IEC 27001 no se encuentran evidencias objetivas sobre estrategias de realización de copias de seguridad de la información o se realizan, pero no se dejan registro de la actividad, ¿cuál de los siguientes controles se incumple? Respuesta: D. A.12.1.1. A.12.1.3. A.12.2.1. A.12.3.1.

Una organización tiene contratado un proveedor de servicios en la nube, con el cual se apoya para llevar a cabo uno de sus procesos medulares más criticidad. El proveedor es reconocido internacionalmente por lo cual la organización decidió no controlar ni evaluar su desempeno. ¿se considera este hallazgo una no conformidad?, y de ser afirmativo, ¿Qué requisito y control incumple?. Si es una no conformidad. Incumple el requisito 8.1 y el control A.15.2.1. No es una no conformidad. Si es una no conformidad. Incumple el requisito A.7.1 y el control A.15.2.2. Ninguna de las anteriores.

¿Qué control del Anexo A de la norma ISO/IEC 27001 debe aplicar una organización que implementa un SGSI para garantizar un uso adecuado y eficaz de la criptografía y proteger la confidencialidad, autenticidad y/o integridad de la información?. A.10. A.11. A.16. A.18.

Correcto ¿El no contar con una política de gestión de acceso documentada e implementada es una no conformidad?. NO. SI.

Los principios de auditoría que deben seguir los Auditores son: Equidad, confidencialidad, enfoque basado en la evidencia, independencia, imparcialidad, responsabilidad e integridad. Ética, responsabilidad, honestidad, integridad, independencia, confidencialidad e imparcialidad. Integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia, enfoque basado en evidencia y enfoque basado en riesgos. Respeto, servicio al cliente, compromiso, equidad, responsabilidad, imparcialidad e independencia.

Durante la reañozacion de una auditoria interna ISO/IEC27001 se encontraron evidencias de implementacion sobre controles de entrada, porteccion contra amenazas y seguridad del equipamiento. estas evidencias demuestran compliemiento del control: A 11. A 12. A 15. Ninguna de los anteriores.

Durante la ejecución de una auditoría interna bajo los requisitos de la norma ISO/IEC 27001, se encontró que 4 trabajadores estaban usando computadoras que no estaban registradas en el inventario de activos. ¿Este hallazgo es una no conformidad? En caso afirmativo indicar el control que incumple. Si, A.8.1.1. Si, A.8.1.4. Si, A.8.2.1. No es una no conformidad.

Durante una auditoría interna al SGSI se encontró como hallazgo que la empresa XY introdujo un cambio en la mesa de ayuda al instalar un nuevo software para la gestión de tickets, sin embargo, el personal no recibió capacitación y los tickets 101 y 102 no fueron atendidos oportunamente. Seleccione de las siguientes opciones la descripción del requisito de la norma ISO/IEC 27001 que incumple esta situación. a). 7.3: Las personas que trabajan bajo el control de la organización deben ser conscientes de la política de seguridad de la información. 8.1: La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, llevando a cabo acciones para mitigar los efectos adversos, cuando sea necesario. 9.1: La organización debe determinar a que es necesario hacer seguimiento y medición y que es, necesario medir, incluyendo procesos y controles de seguridad de la información. Ninguna de las anteriores.

¿En las auditorias internas se debe verificar que en el proceso para abordar riesgos y oportunidades se consideró el contexto de la organización y las expectativas de las partes interesadas en relación con la Seguridad de la Infamación?. SI. NO.

Las evidencias que se pueden encontrar en una auditoria sobre la implementación de controles de la gestión de la producción de TI, gestión del cambio, gestión de la capacidad, malware, copias de seguridad y vulnerabilidades, corresponde a: A.5, Políticas de seguridad de la información. A.12, Seguridad de las operaciones. A.13, Gestion de los incidentes de seguridad de la información. A.16, Seguridad en las comunicaciones.

¿Cuál de los siguientes controles corresponde a la revisión de evidencias de cumplimiento del marco legal de seguridad de la información aplicable, tales como la protección de datos personales y la propiedad intelectual?. A.5, Políticas de Seguridad de la información. A.6, Organización de la seguridad de la información. A.12, Seguridad de las Operaciones. A.18, Cumplimiento.