Auditoría y seguridad en sistemas de información UJA
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test: Auditoría y seguridad en sistemas de información UJA Descripción: Examen tipo test ASSI UJA |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
Una buena gestión de la seguridad de la información favorece el cumplimiento de determinados requisitos legales. Verdadero. Falso. Las amenazas a los sistemas de información no sólo son de índole tecnológica. Verdadero. Falso. Una buena gestión de la seguridad de la información aumenta los costes para la organización. Verdadero. Falso. La información es importante para gestionar adecuadamente los recursos internos y externos de una organización. Verdadero. Falso. Una característica de la información de la una organización es la vulnerabilidad. Verdadero. Falso. El primer paso para reducir el riesgo en un Sistema de Información es el parcheo de agujeros de seguridad. Verdadero. Falso. Para que los sistemas de gestión de la seguridad sean buenos deben superar el valor de la información. Verdadero. Falso. Las nuevas tecnologías hacen cada vez más vulnerable la información y los sistemas que la sustentan. Verdadero. Falso. Una característica de la información de una organización es la integridad. Verdadero. Falso. La materialización de una amenaza sobre la información de una organización puede dañar la imagen de dicha organización. Verdadero. Falso. Para conseguir y mantener una buena imagen de una persona o empresa no se necesita controlar la información de dicha organización. Verdadero. Falso. Es necesario establecer en las organizaciones una gestión de la seguridad de la información que nos permita estar preparados frente a la necesidad de cambios y la creciente importancia de la información. Verdadero. Falso. Es necesario establecer en las organizaciones una gestión de la seguridad de la información que nos permita estar preparados frente a la multitud de amenazas posibles. Verdadero. Falso. El ENS (Esquema Nacional de Seguridad) se creó para su implantación en todas las empresas y organizaciones españolas. Verdadero. Falso. El Esquema Nacional de Seguridad le otorga la capacidad de respuesta ante incidentes de seguridad de la información al CCN. Verdadero. Falso. El ENS debe dar formación destinada al personal de la Administración. Verdadero. Falso. Para la elaboración de ENS sólo se ha tenido en cuenta la legislación española. Verdadero. Falso. Las Entidades de Derecho Público no podrán dar publicidad a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad. Verdadero. Falso. El Esquema Nacional de Seguridad le otorga la capacidad de respuesta ante incidentes de seguridad de la información al ENS-CERT. Verdadero. Falso. El CCN (Centro Criptológico Nacional) podrá solicitar a las administraciones los informes de las auditorías de seguridad realizadas. Verdadero. Falso. El Esquema Nacional de Seguridad se deberá mantener actualizado de manera permanente. Verdadero. Falso. Las Administraciones públicas no puden disponer de entidades análogas al INTECO. Verdadero. Falso. El Esquema Nacional de Seguridad le otorga la capacidad de respuesta ante incidentes de seguridad de la información al INTECO. Verdadero. Falso. No será una función del Centro Criptológico Nacional dar información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información. Verdadero. Falso. Entre las funciones del CCN está el dar formación destinada al personal de la Administración especialista en el campo de la seguridad. Verdadero. Falso. El CCN-CERT debe dar Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes. Verdadero. Falso. La seguridad se encarga sólo de los aspectos operacionales de la organización. Verdadero. Falso. La metodología que se ha de utilizar para la realización del Análisis de Riesgos ha de estar reconocida internacionalmente. Verdadero. Falso. La seguridad consiste en implantar controles puntuales en la organización. Verdadero. Falso. En la reevaluación periódica de los sistemas de seguridad no se debe replantear la seguridad, en todo caso, se debe reforzar. Verdadero. Falso. Las medidas de recuperación deben reducir la posibilidad de que las amenazas que pueden afectar a los sistemas lleguen a materializarse. Verdadero. Falso. Cada usuario debe controlar la parte de seguridad que le incumba. Verdadero. Falso. Debe registrarse toda la actividad de los usuarios en los sistemas de información. Verdadero. Falso. Dentro del plan de seguridad de la información no se incluyen la realización de auditorías, ya que deben realizarse por organismos superiores. Verdadero. Falso. Las medidas de prevención permiten detectar los incidentes o eventos que puedan afectar a la seguridad de la información. Verdadero. Falso. El Responsable de la Información determinará los requisitos de los servicios prestados. Verdadero. Falso. El análisis de riesgos es una parte fundamental dentro de la gestión de la seguridad de la información. Verdadero. Falso. La seguridad ha de ser controlada por personal cualificado. Verdadero. Falso. Es muy importante dar a conocer la política de seguridad a todos los miembros de la organización. Verdadero. Falso. A la hora de implantar sistemas de seguridad en la organización hay que prestar máxima atención a la concienciación. Verdadero. Falso. Al determinar las funciones y responsabilidades del personal se deberán de indicar los mecanismos de coordinación y resolución de conflictos. Verdadero. Falso. La seguridad de la información no es aplicable los datos almacenados en soportes no electrónicos como el papel. Verdadero. Falso. Una buena gestión de riesgos permite tener sistemas de información absolutamente seguros. Verdadero. Falso. No es necesario priorizar los riesgos, tan solo hay que indicar que acción se toma con cada uno de ellos. Verdadero. Falso. A la hora de tratar el riesgo se puede optar por una estrategia que combine varias opciones (evitar+mitigar, mitigar+aceptar, etc.). Verdadero. Falso. El mal uso de los recursos puede ser considerado como una amenaza. Verdadero. Falso. Hay que tener en cuenta dependencias entre controles de seguridad para evitar lagunas. Verdadero. Falso. El ataque de un hacker que actua conectado a una máquina de dentro de la organización se considera una amenaza interna. Verdadero. Falso. Sólo se considera amenaza aquellos eventos o incidentes provocado por una entidad natural. Verdadero. Falso. El análisis mediante tablas es una técnica específica de análisis de riesgos. Verdadero. Falso. El tratamiento del riesgo es el proceso de selección y de implantación de medidas para modificar el riesgo. Verdadero. Falso. La gestión del riesgo es el proceso de selección y de implantación de medidas para modificar el riesgo. Verdadero. Falso. Los controles de seguridad correctivos se pondrńa en marcha para que se eviten incidentes de seguridad no deseados. Verdadero. Falso. Las amenazas internas son causadas por alguien que pertenece a la organización. Verdadero. Falso. Uno de los principios fundamentales sobre los que hemos de basarnos a la hora de tomar decisiones en materia de seguridad, es la gestión basada en riesgos. Verdadero. Falso. Es importante que todos los riesgos residuales sean aceptados por la Direcciónde la Organización. Verdadero. Falso. Hay tres formas de tratar el riesgo: aceptar, mitigar y/o evitar. Verdadero. Falso. Estadísticamente son más habituales los incidentes de origen externo. Verdadero. Falso. La escasez de personal no se puede considerar como una amenaza de seguridad para la organización. Verdadero. Falso. Para mitigar el riesgo tan sólo hay que implantar los controles de seguridad que se definan. Verdadero. Falso. El análisis de riesgos consiste en la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. Verdadero. Falso. En el análisis de riesgos antes de seleccionar el activo hay que identificar las posibles amenzas. Verdadero. Falso. Una vulnerabilidad es un evento o incidente que intenta agredir la confidencialidad, integridad y disponibilidad de un activo. Verdadero. Falso. El uso de software ilegal no es considerado una amenaza si este ha pasado los filtros del antivirus. Verdadero. Falso. Los resultados de un análisis de riesgos no son necesariamente repetibles, ya que pueden variar según el analista. Verdadero. Falso. Las amenazas pueden dividirse, según la intencionalidad del ataque, en deliberadas y accidentales. Verdadero. Falso. Las amenazas externas pueden ser causadas por alguien que pertenece a la organización pero que actúa desde el exterior de ella. Verdadero. Falso. Uno de los pasos para mitigar el riesgo consiste en verificar que los controles están correctamente implantados. Verdadero. Falso. Una amenaza puede ser provocada por una entidad natural, humana o artificial. Verdadero. Falso. No es tarea del análisis y la gestión de riesgos tener en cuenta los costes de implantación y gestión de las medidas de seguridad seleccionadas. Verdadero. Falso. Los fallos de suministro eléctrico se consideran una amenaza para la organización. Verdadero. Falso. El riesgo es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. Verdadero. Falso. En función del análisis de riesgos adoptaremos unas u otras medidas de seguridad que se aplicarán independientemente de la magnitud de los riesgos establecidos. Verdadero. Falso. Después de identificar las amenazas que existen sobre los activos hay que encontrar las vulnerabilidades de dichos activos. Verdadero. Falso. Los forenses informaticos no conocen todo el pasado, disponen de información limitada. Verdadero. Falso. |