ciberseguridad nivel 5

Un ataque de denegación de Servicio (DoS) es propio de: Crackers. Hackers. Administradores. Testers.

¿Qué mitigaría una correcta concienciación de los usuarios finales?. Los ataques de denegación de servicio. El nivel de éxito de los casos de phishing e ingeniería social. La explotación de vulnerabilidades técnicas. Los ataques de fuerza bruta en servicios autenticados publicados al exterior.

¿Qué es cierto respecto a la ISO/IEC 27002:2013?. El orden de los capítulos implica orden de importancia. Da pautas de obligado cumplimiento a la hora de implementar los requisitos recogidos en la ISO 27001. No ha evolucionado desde su última publicación en el año 2005. Es una guía de referencia estructurada en 14 capítulos y 114 controles.

¿En qué consiste el principio de Necesidad de saber?: Otorgar siempre los usuarios de red o de aplicación bajo justificación. Confirmación positiva de que una persona requiere acceso a una información para desempeñar una tarea. Garantizar a nivel técnico que todas las cuentas de red y de aplicación acceden únicamente a la información necesaria para llevar a cabo las tareas encomendadas. Restringir el acceso a la información mediante workflows.

¿Cuál no es un aspecto fundamental al definir la estrategia de un programa de concienciación?. El mensaje a transmitir y el canal para difundirlo. Identificar a quién irá dirigido y adecuar el mensaje en función de su rol en la organización. Decidir el calendario en el cual se llevarán a cabo las iniciativas. Identificar un interlocutor en cada uno de los departamentos o áreas de la organización en el alcance del programa.

Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es una herramienta que ayuda a una organización a: Mejorar la prevención de pérdidas y la gestión de incidentes. Minimizar las pérdidas. Mejorar la resiliencia de la organización. Todas las anteriores.

En ISO 31000 la apreciación del riesgo comprende: El establecimiento del contexto, la identificación, el análisis y la evaluación del riesgo. La identificación, el análisis y la evaluación del riesgo. La identificación, el análisis, la evaluación y el tratamiento del riesgo. Ninguna de las anteriores.

La legislación española de Medidas de Impulso de la Sociedad de la Información(LISI): Carece de validez legal, porque no es práctica y nadie la está aplicando. Promueve el uso de medios electrónicos en la contratación, así como la facturación electrónica. Obliga a todas las empresas españolas, grandes, medianas y pequeñas. Ninguna es falsa.

¿Cuál de los siguientes forma parte de los objetivos específicos de la gestión del riesgo en CMMI?. Determinar Fuentes y Categorías de Riesgo. Determinar Planes de Migración de Riesgo. Identificar y Analizar Riesgos. Ninguna de las anteriores.

Respecto a las salvaguardas, ¿cuál de las siguientes afirmaciones es incorrecta?. Reducen la probabilidad de materialización de la amenaza. Disminuyen el impacto. Proporcionan alerta temprana. Elimina el riesgo.

. Según la ISO 27005, ¿cuál de las siguientes no es una característica de los análisis de riesgos realizados con una perspectiva de alto alto nivel?: Se obtienen riesgos más generales. Proporciona controles de tipo organizativo. Dificulta la priorización de la protección de los sistemas más críticos. Facilita la aceptación del programa de apreciación de riesgos.

¿Cuál de las siguientes no forma parte del contexto interno de una organización?. Misión, visión y valores. Política de recursos humanos. Huelga sectorial. Conflicto del comité de empresa.

Según la NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar orientadas a: Las amenazas, al impacto en el activo o a probabilidad. Las amenazas, al impacto en el activo o a la vulnerabilidad. Al activo, vulnerabilidades o a las amenazas. Al Activo, al riesgo o la probabilidad.

Magerit es: Una metodología centrada en la amenaza. Una metodología centrada en el activo. Una metodología centrada en las partes interesadas. Una metodología centrada en la vulnerabilidad.

Un indicador es: Objeto tangible o intangible que será caracterizado a través de la mediciónde sus atributos. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado. Variable a la que se le asigna un valor como resultado de una medición. Medida que ofrece una estimación o evaluación de atributos específicos en un modelo de referencia de acuerdo a unas necesidades de información definidas.

Cuando se habla del concepto de separación de obligaciones, se hace referencia a. Para una determinada tarea, no haya nunca un solo usuario responsable de realizarla. Solo se debe dar acceso a los usuarios a aquellos recursos de información que les sean absolutamente imprescindibles para realizar su trabajo. Propone que las tareas asignadas a los empleados cambien de responsable de vez en cuando. Condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados.

¿Cuál de los siguientes NO es un principio fundamental de ITIL?. ITIL no es propietario. ITIL es prescriptivo. ITIL consiste en las mejores prácticas. ITIL no es un estándar.

¿Para qué sirve un modelo de madurez?. Para obtener el apoyo y el compromiso de la Dirección en la gestión de la seguridad de una organización. Para alinear la definición de los procesos y sus interacciones con las mejores prácticas de los SG. Para reducir el riesgo de una organización. Para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y optimizable.

Los controles de gestión: Identifican y registran cualquier ataque o intento de ataque que se produzca contra los sistemas de información. Se corresponden con medidas de carácter técnico implementadas en todos los niveles que conforman los sistemas de información. Definen el modo de comportamiento a seguir para garantizar la seguridad. Políticas, procedimientos, etc. Son llevados a cabo a través de sistemas de información o procesos automatizados en cualquier circunstancia.

Una vez se ha aprobado el examen de la certificación CISSP, para mantener la misma es necesario: Cumplir con la política de CPE y con el código de ética. Cumplir con la política de CPE, con el código de ética y pagar las tasas de mantenimiento. Pagar las tasas de mantenimiento. Cumplir con el código de ética y pagar las tasas de mantenimiento. Los CPE son validados una única vez tras la aprobación del examen con la acreditación de experiencia profesional en los dominios.

Una amenaza es: La materialización de una vulnerabilidad. Cualquier circunstancia potencial que puede afectar a la seguridad de los activos de información. El impacto de un incidente. Es una debilidad del sistema informático que puede ser utilizada para causar un daño.

Las dimensiones básicas de la seguridad son: Confidencialidad, no repudio y trazabilidad. Confidencialidad, disponibilidad y trazabilidad. Confidencialidad, integridad y trazabilidad. Confidencialidad, integridad y disponibilidad.

La aplicación de medidas normativas: Garantiza la aplicación de medidas técnicas. Debe hacerse después de la aplicación de medidas técnicas. Debe hacerse después de la aplicación de medidas organizativas. Debe complementar la aplicación de medidas organizativas y técnicas.

La ingeniería social es principalmente una amenaza para: La preservación de la confidencialidad. La preservación de la disponibilidad. La preservación de la integridad. La preservación de la trazabilidad.

La certificación CISM (Certified Information Security Manager) comprende los siguientes dominios de conocimiento: Gobierno, Gestión de riesgos, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. Gobierno, Auditoría, Gestión de riesgos y gestión de incidentes. Gobierno, Gestión de riesgos, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. Gobierno, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información.

Magerit es: Una metodología centrada en la amenaza. Una metodología centrada en el activo. Una metodología centrada en las partes interesadas. Una metodología centrada en la vulnerabilidad.

El nivel de riesgo se determina en función de: El activo y la probabilidad de ocurrencia. El activo y las consecuencias. El impacto y la probabilidad de ocurrencia. El activo y el impacto.

Según la NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar orientadas a: Las amenazas, al impacto en el activo o a probabilidad. Las amenazas, al impacto en el activo o a la vulnerabilidad. Al activo, vulnerabilidades o a las amenazas. Al Activo, al riesgo o la probabilidad.

¿Cuándo hay que proteger la información?. Durante su procesamiento y almacenamiento. Durante la transmisión hasta su destrucción. Durante el procesamiento principalmente. Durante todo el ciclo de vida.

La protección integral de un sistema de información requiere: La implantación de salvaguardas de un tipo. La implantación de una combinación de salvaguardas de carácter técnico. La implantación de salvaguardas de carácter técnico. La implantación de una combinación de salvaguardas de diferentes tipos.

¿Cuál de las siguientes NO es una definición de SGSI?. Un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta de que dispone la Dirección de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad. Proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que lo procesan, en concordancia con las políticas de seguridad y planes estratégicos de la Organización. Sirve para situar y evaluar el grado de desarrollo de una gestión de la seguridad sistemática, predecible y optimizable.

De las siguientes cuatro certificaciones, ¿cuál es la que está más orientada a la gestión de la seguridad?. CISA. CEH. CISM. CAP.

¿Cuáles son los nuevos grupos de controles introducidos en la ISO 27001:2022?. Organizacionales, relativos a personas, físicos y tecnológicos. Organizacionales, legales, físicos y técnicos. Organizativos, relativos a personas, físicos y técnicos. Organizativos, legales, físicos y tecnológicos.

En el contexto de los programas de gestión de la Seguridad, los controles correctivos: Identifican y registran cualquier ataque o intento de ataque que se produzca contra los sistemas de información. No previenen la materialización de un ataque, pero permiten que el sistema pueda seguir operando. Responden ante ataques y corrigen la causa raíz para que no se vuelvan a producir. Son habitualmente llevados a cabo a través de sistemas de información o procesos automatizados.

¿Cuál de los siguientes NO es un aspecto de la perspectiva técnica de la Seguridad de la Información?. Se corresponde con la perspectiva del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes, etc.) que tiene determinadas características relacionadas con la seguridad. Se centra en el punto de vista técnico dependiendo de la tipología cambiante de las amenazas. Considera esencialmente la seguridad como un elemento fundamental para el negocio basándose en el análisis de riesgos. Se encarga del cómo hay que proteger.

Las opciones de tratamiento del riesgo: Se excluyen necesariamente unas a otras. Son apropiadas en todas las circunstancias. Incluyen la modificación de la probabilidad y de las consecuencias. A y C.

¿Cuándo hay que proteger la información?. Durante el almacenamiento, proceso y transmisión. Desde el momento en el que el dato entra en el sistema, hasta el momento en que deja de ser útil y se procede a su destrucción. Durante el almacenamiento, proceso, transmisión y utilización. Durante la captura, el almacenamiento, proceso, transmisión y utilización.

En función de cómo actúen las salvaguardas, estas pueden ser. Preventivas y reactivas. Preventivas y correctivas. Preventivas y adaptativas. Correctivas y reactivas.

Magerit es: Una metodología centrada en la amenaza. Una metodología centrada en el activo. Una metodología centrada en las partes interesadas. Una metodología centrada en la vulnerabilidad.

Según la NIST 800-30 Rev. 1, un enfoque cualitativo: La subjetividad es difícil de plasmar. Es un buen enfoque para la comunicación de los resultados. Utiliza métodos en función de valores numéricos. Puede que requiera una interpretación y explicación.

Una vez se ha aprobado el examen de la certificación CISSP, para mantener la misma es necesario: Cumplir con la política de CPE y con el código de ética. Cumplir con la política de CPE, con el código de ética y pagar las tasas de mantenimiento. Pagar las tasas de mantenimiento. Cumplir con el código de ética y pagar las tasas de mantenimiento. Los CPE son validados una única vez tras la aprobación del examen con la acreditación de experiencia profesional en los dominios.

En el contexto del cuerpo normativo de seguridad, las políticas: Determinan el qué. Detallan aspectos concretos de la seguridad. Deben ser claras, concisas y no ambiguas. Pueden agruparse en diferentes áreas de seguridad. Determinan el cómo. Especifican un conjunto ordenado de pasos en relación con la ejecución de un proceso o actividad. Determinan el por qué. Establecen la gestión de seguridad en la organización en función de los objetivos de negocio. Representan la declaración de intenciones de seguridad. Definen las reglas a seguir y las consecuencias de su incumplimiento. Determinan el cómo. Especifican las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta de un sistema de información.

Un plan director de seguridad trata de determinar: El estado actual de la seguridad. El resultado deseado que se pretenden alcanzar. El plan de proyecto para alcanzar los objetivos. Todas son correctas.

En el contexto de ITIL, que una práctica deba ser consistente se refleja en: Considerar que un factor crítico de éxito es proporcionar previsiones de demanda de TI precisas. La necesidad de implementar políticas, procesos y procedimientos de gestión de la capacidad. Los indicadores recomendados para la evaluación de un servicio. Adaptarse a los cambios relacionados con la capacidad.

¿Para qué sirve un modelo de madurez?. Para obtener el apoyo y el compromiso de la Dirección en la gestión de la seguridad de una organización. Para alinear la definición de los proceos y sus interacciones con las mejores prácticas de los SG. Para reducir el riesgo de una organización. Para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y optimizable.

¿Cuál de las siguientes no forma parte del contexto externo de una organización?. La situación internacional. Una situación de sequía permanente. Un conflicto laboral sectorial. Ninguna de las anteriores.

Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es una herramienta que ayuda a una organización a: Garantiza la eficacia y la eficiencia operacional. Conseguir una gestión reactiva. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización. Todas la anteriores.

Un indicador es. Objeto tangible o intangible que será caracterizado a través de la medición de sus atributos. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado. Variable a la que se le asigna un valor como resultado de una medición. Medida que ofrece una estimación o evaluación de atributos específicos en un modelo de referencia de acuerdo a unas necesidades de información definidas.

Según la NIST 800-30 Rev. 1, un enfoque cuantitativo: Apoya de una manera más efectiva los análisis coste/beneficio. Dificulta la priorización de los riesgos. Utiliza métodos en función de categorías o niveles no numéricos. Es un buen enfoque para la comunicación de los resultados.

Según la ISO 27005, ¿cuál de las siguientes no es una característica de los análisis de riesgos realizados con una perspectiva de alto alto nivel?: Se obtienen riesgos más generales. Proporciona controles de tipo organizativo. Dificulta la priorización de la protección de los sistemas más críticos. Facilita la aceptación del programa de apreciación de riesgos.