COBIT 4.1 (EHC)

1. COBIT tiene 4 características principales; enfocado a negocio, orientado a procesos, basado en controles y la otra es: a) Impulsado por mediciones. b) Orientado a resultados. c) Independiente de tecnologías. d) Basado en estándares.

2. ¿Cuál es el factor de rendimiento para una TI?. a) métricas de TI. b) Objetivo del proceso. c) Métrica del proceso. d) Métrica de la actividad.

3. ¿Cuál control general de requerimiento agrupa métricas, objetivos y métodos dentro del rendimiento de la TI desde el enfoque de supervisión?. a) Procesos de metas y objetivos. b) Procesos repetibles. c) Políticas, planes y procedimientos. d) Mejoramiento de procesos de rendimiento.

4. La arquitectura de empresa para una TI consiste en información, procesos de TI, infraestructura y personal, además de otro elemento que es: a) Estructuras organizacionales. b) Métodos. c) Aplicaciones. d) Políticas.

5. ¿Cuál de los siguientes términos no están incluidos en la definición de control?. a) Políticas. b) Practicas. c) Aplicaciones. d) Estructuras Organizacionales.

6. ¿Cuál no es un beneficio de Implementar COBIT como marco de trabajo de Gobierno de TI?. a) Mejor organización, basado en un enfoque de negocio. b) Claras responsabilidades y propiedad, basado en controles. c) Generalmente aceptado por reguladores u organizaciones externas. d) Entendimiento entre todos los inversionistas basado en un lenguaje común.

7. ¿Qué proceso del COBIT es “Manejo de procesos”?. a) PO10. b) Al10. c) DS10. d) ME10.

8. ¿Cuál no es un objetivo de control del proceso PO10 de COBIT?. a) Programa de marco de gestión. b) Marco de gestión de proyectos. c) Marco de gestión de riesgo de TI. d) Compromiso de los inversionistas.

9. ¿Cuál es el factor de rendimiento para el objetivo “responder a los requerimientos de gobierno, de acuerdo a la dirección” dentro del proceso PO10 de COBIT?. a) Porcentaje de proyectos que cumplen con las expectativas de los inversionistas (a tiempo, dentro de presupuesto y cumpliendo todos los requerimientos, medidos por importancia). b) Porcentaje de proyectos que cumplen con las expectativas de los inversionistas. c) Porcentaje de proyectos siguiendo los estándares y prácticas de la gestión de proyecto. d) Porcentaje de inversionistas participando en los proyectos (índice de envolvimiento).

10. ¿Cuál es el factor de rendimiento para el objetivo “asegurar satisfacción mutua con organizaciones externas” dentro del proceso DS2 de COBIT?. a) Número de quejas de usuarios por servicios contratados. b) Numero de disputas formales con los proveedores. c) Mayor porcentaje de proveedores sujetos a requisitos claramente definidos y niveles de servicios. d) Número de incidentes significativos del proveedor de incumplimiento por período de tiempo.

11. “La tabla de madurez lista las características sobre como los procesos de TI son gestionados y describen como evolucionan desde un proceso inexistente a uno optimizado”. ¿Cuál de los siguientes no es un atributo de madurez?. a) Conciencia y comunicación. b) Metas, procesos y actividades. c) Herramientas y automatización. d) Habilidades y experiencia.

12. ¿Cuál no es un componente del COBIT?. a) Dominio. b) Procesos. c) Actividades. d) Funciones.

13. ¿Cuál de los siguientes no es parte de la arquitectura de negocio de TI?. a) Infraestructura. b) Actividades. c) Aplicaciones. d) Personal.

14. ¿Los elementos principales de gobierno de TI son: riesgo, control y cual otro?. a) Conformidad. b) Regulación. c) Transparencia. d) Valor.

15. ¿Definido por COBIT, quien es el responsable por el gobierno de TI?. a) Clientes y proveedores. b) Inversionistas y accionistas. c) Gestores y líderes de TI. d) Ejecutivos y directivos.

16. ¿Qué proceso del COBIT es: “gestionar servicios de terceros”?. a) PO2. b) AI2. c) DS2. d) ME2.

17. “Los objetivos de control de TI proveen una amplia gama de requerimientos de alto nivel a considerar por el administrador para un efectivo control de procesos de TI”. ¿Cuál de las siguientes declaraciones no describe los objetivos de control de las TI's de COBIT?. a) Definido para usarlo como un modelo de umbral, donde uno no puede avanzar a un nivel superior, sin antes haber concluido todas las condiciones de un nivel inferior. b) Son declaraciones de acciones gerenciales para incrementar el valor o disminuir riesgos. c) Consisten en políticas, procedimientos, prácticas y estructuras organizacionales. d) Son designados para proveer garantía razonable de que los objetivos de negocio serán logrados y los eventos no deseados serán prevenidos o detectados y corregidos.

18. Para lograr una buena organización de prácticas de requerimientos de negocio, se recomienda que COBIT sea usado ¿a qué nivel de la organización?. a) Alto. b) Medio. c) Bajo. d) Todos.

19. ¿Qué estándar, marco de negocio, guía o practica no está organizada por el COBIT?. a) ISO27000. b) COSO. c) ITIL. d) GAAP.

20. ¿Qué impulsa los factores de negocio de TI?. a) Estrategia empresarial. b) Objetivos de TI. c) Arquitectura empresarial para TI. d) Scorecard de TI.

1 de 40 Su contador le ha hecho llegar un borrador de su formulario de la declaración de la renta. Usted comprueba si los datos son correctos. ¿Qué aspectos de fiabilidad de la información está comprobando?. A. disponibilidad. B. exclusividad. C. integridad. D. confidencialidad.

2 de 40 A fin de contratar un seguro contra incendios, una oficina de administración debe determinar el valor de los datos que maneja. ¿Qué factor no es importante para determinar el valor de los datos de una organización?. A. El contenido de los datos. B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos. C. El carácter indispensable de los datos para los procesos de negocio. D. La importancia de los procesos de negocio que hacen uso de los datos.

3 de 40 El acceso a la información es cada vez más sencillo. Sin embargo, la información tiene que seguir siendo fiable para poder ser utilizada. ¿Cuál de los siguientes aspectos no es un aspecto de la fiabilidad de la información?. A. disponibilidad. B. integridad. C. cantidad. D. confidencialidad.

4 de 40 ¿De qué aspecto de la fiabilidad de la información es parte la “completitud”?. A. disponibilidad. B. exclusividad. C. integridad. D. confidencialidad.

5 de 40 Una oficina de administración va a determinar los peligros a los que está expuesta. ¿Cómo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la información?. A. dependencia. B. amenaza. C. vulnerabilidad. D. Riesgo.

6 de 40 ¿Cuál es el propósito de la gestión de riesgos?. A. Determinar la probabilidad de que ocurra un cierto riesgo. B. Determinar el daño causado por posibles incidentes relacionados con la seguridad. C. Establecer las amenazas a las que están expuestos los recursos informáticos. D. Utilizar medidas para reducir riesgos a un nivel aceptable.

7 de 40 ¿Qué afirmación sobre el análisis de riesgos es correcta? 1. Los riesgos que constan en un análisis de riesgos pueden clasificarse. 2. En un análisis de riesgos tiene que considerarse toda la información pormenorizada. 3. Un análisis de riesgos se limita a la disponibilidad. 4. Un análisis de riesgos es sencillo de realizar completando un breve cuestionario estándar con preguntas estándar. A. 1. B. 2. C. 3. D. 4.

8 de 40 ¿Cuál de los siguientes ejemplos puede clasificarse como fraude? 1. Infectar un ordenador con un virus. 2. Realizar una transacción no autorizada. 3. Interceptar líneas de comunicación y redes 4. Utilizar Internet en el trabajo con fines privados. A. 1. B. 2. C. 3. D. 4.

9 de 40 Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se puede producir un daño directo e indirecto. ¿Cuál es un ejemplo de daño directo?. A. se destruye una base de datos. B. pérdida de imagen. C. pérdida de la confianza del cliente. D. ya no se pueden satisfacer las obligaciones jurídicas.

10 de 40 Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una combinación de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para la compañía. ¿A qué categoría de medidas pertenece un acuerdo en espera (stand-by arrangement)?. A. medidas represivas. B. medidas de detección. C. medidas preventivas. D. medidas correctivas.

11 de 40 ¿Cuál de los siguientes es un ejemplo de amenaza humana?. A. Un pendrive pasa un virus a la red. B. Demasiado polvo en la sala de servidor. C. Una fuga de agua causa un corte en el suministro de electricidad.

12 de 40 ¿Cuál de los siguientes es un ejemplo de amenaza humana?. A. un rayo. B. fuego. C.phishing.

13 de 40 La información tiene una serie de aspectos de fiabilidad. La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modificaaccidentalmente información, uso de los datos con fines particulares o datos falsificados. ¿Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad?. A. un cable suelto. B. borrar datos accidentalmente. C. usar datos con fines particulares. D. falsificar datos.

14 de 40 Un miembro del personal niega haber enviado un determinado mensaje. ¿Qué aspecto de la fiabilidad de la información está en peligro aquí?. A. disponibilidad. B. precisión. C. integridad. D. confidencialidad.

15 de 40 En el ciclo del incidente hay cuatro pasos sucesivos. ¿Cuál es el orden de estos pasos?. A. Amenaza, Daño, Incidente, Recuperación. B. Amenaza, Incidente, Daño, Recuperación. C. Incidente, Amenaza, Daño, Recuperación. D. Incidente, Recuperación, Daño, Amenaza.

16 de 40 Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a una sucursal cercana para continuar su trabajo. ¿En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (stand by)?. A. entre la amenaza y el incidente. B. entre la recuperación y la amenaza. C. entre el daño y la recuperación. D. entre el incidente y el daño.

17 de 40 ¿Cómo se describe mejor el propósito de la política de seguridad de la información?. A. La política documenta el análisis de riesgos y la búsqueda de contramedidas. B. La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información. C. La política hace que el plan de seguridad sea concreto aportándole la información detallada necesaria. D. La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias.

18 de 40 El código de conducta para los negocios electrónicos se basa en una serie de principios. ¿Cuál de los siguientes principios no corresponde aquí?. A. fiabilidad. B. registro. C. confidencialidad y privacidad.

19 de 40 Una trabajadora de la compañía de seguros Euregio descubre que la fecha de vencimiento de una póliza se ha cambiado sin su conocimiento. Ella es la única persona autorizada para hacerlo. Informa de este incidente de seguridad en el mostrador de recepción. La persona encargada anota la siguiente información sobre este incidente: • fecha y hora • descripción del incidente • posibles consecuencias del incidente ¿Qué información importante sobre el incidente falta?. A. el nombre de la persona que informa del incidente. B. el nombre del paquete de software. C. el número de PC. D. una lista de gente que fue informada del incidente.

20 de 40 Una empresa registra los siguientes incidentes: 1. Un detector de humos no funciona. 2. Alguien rompe la seguridad de la red 3. Alguien pretende ser miembro del personal. 4. Un archivo de ordenador no puede ser convertido en un archivo PDF. ¿Cuál de estos incidentes no es un incidente de seguridad?. A. 1. B. 2. C. 3. D. 4.

21 de 40 Las medidas de seguridad pueden ser agrupadas de varias formas. ¿Cuál de las siguientes formas es correcta?. A. física, lógica, preventiva. B. lógica, represiva, preventiva. C. organizativa, preventiva, correctiva, física. D. preventiva, de detección, represiva, correctiva.

22 de 40 Un detector de humos está situado en una sala de ordenadores. ¿Bajo qué categoría de medidas de seguridad se encuadra?. A. correctiva. B. de detección. C. organizativa. D. preventiva.

23 de 40 El responsable de la seguridad de la información de la compañía de seguros Euregio desea establecer una lista de medidas de seguridad. ¿Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad?. A. Establecer vigilancia. B. Llevar a cabo una evaluación. C. Formular una política de seguridad de la información. D. Llevar a cabo un análisis de riesgo.

24 de 40 ¿Cuál es el propósito de clasificar información?. A. Determinar qué tipos de información pueden requerir diferentes niveles de protección. B. Asignar información a un propietario. C. Reducir los riesgos de error humano. D. Prevenir acceso no autorizado a información.

25 de 40 Se necesita una autentificación fuerte para acceder a áreas altamente protegidas. En el caso de una autentificación fuerte, la identidad de una persona se verifica utilizando tres factores. ¿Qué factor es verificado cuando introducimos un número de identificación personal (PIN)?. A. Algo parte de mi. B. Algo que yo tengo. C. Algo que yo conozco.

26 de 40 El acceso a la sala de informática se cierra mediante la utilización de un lector de tarjeta. Sólo el departamento de Gestión de Sistemas tiene tarjetas. ¿Qué tipo de medida de seguridad es ésta?. A. una medida de seguridad correctiva. B. una medida de seguridad física. C. una medida de seguridad lógica. D. una medida de seguridad represiva.

27 de 40 Cuatro (4) miembros del personal del departamento de Informática comparten una (1) tarjeta de acceso a la sala de informática. ¿Qué riesgo conlleva esto?. A. Si se va la luz, los ordenadores se apagan. B. Si se declara un fuego, los extintores no pueden ser utilizados. C. Si desaparece algo de la sala de informática, no estará claro quién es responsable. D. Las personas sin autorización pueden acceder a la sala de informática sin ser vistas.

28 de 40 En la recepción de una oficina de administración hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse inmediatamente para que no se las pueda llevar un visitante. ¿Qué otro riesgo para la información de la empresa conlleva esta situación?. A. Los archivos pueden quedarse almacenados en la memoria de la impresora. B. Los visitantes podrían copiar e imprimir información confidencial de la red. C. Puede estropearse la impresora con un uso excesivo, con lo que no podría utilizarse más.

29 de 40 ¿Cuáles de las siguientes medidas de seguridad es una medida técnica? 1. Asignar información a un propietario 2. Archivos codificados 3. Crear una política que defina qué está y qué no está permitido vía correo electrónico 4. Guardar las claves de acceso de la gestión de sistemas en una caja fuerte. A. 1. B. 2. C. 3. D. 4.

30 de 40 Las copias de seguridad del servidor central se guardan en la misma habitación cerrada que el servidor. ¿A qué riesgo se enfrenta la organización?. A. Si se estropea el servidor, pasará un tiempo antes de que vuelva a estar operativo. B. Si se produce un fuego es imposible devolver el sistema a su estado anterior. C. Nadie es responsable de copias de seguridad. D. Las personas no autorizadas tienen un fácil acceso a las copias de seguridad.

31 de 40 ¿Cuál de las siguientes tecnologías es maliciosa?. A. la codificación. B. algoritmos hash. C. la Red Privada Virtual (VPN). D. virus, gusanos informáticos y programas espía.

32 de 40 ¿Qué medida no ayuda contra el software malicioso?. A. una política de parches activa. B. un programa antiespías. C. un filtro de correo basura. D. una contraseña.

33 de 40 ¿Cuál de estos es un ejemplo de medida organizativa?. A. copia de seguridad. B. codificación. C. segregación de deberes. D. guardar el equipo de red y las cajas de conexiones eléctricas en una habitación cerrada.

34 de 40 La Identificación es establecer si la identidad de alguien es correcta. ¿Es correcta esta afirmación?. a. si. b. no.

35 de 40 ¿Por qué es necesario tener un plan de recuperación de desastres actualizado y probarlo con regularidad?. A. Para tener siempre acceso a copias de seguridad recientes que están localizadas fuera de la oficina. B. Para poder sobrellevar los fallos que ocurren diariamente. C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas establecidas y los procedimientos planeados pueden no resultar adecuados o pueden estar desactualizados. D. Porque la Ley de protección de datos personales lo requiere.

36 de 40 ¿Qué es la autorización?. A. La determinación de la identidad de una persona. B. El conjunto de las acciones llevadas a cabo para acceder. C. La verificación de la identidad de una persona. D. Garantizar derechos específicos, tales como acceso selectivo, a una persona.

37 de 40 ¿Qué importante norma jurídica en el área de la seguridad de la información ha de contemplar el gobierno?. A. Análisis de dependencia y vulnerabilidad. B. ISO/IEC 20000. C. ISO/IEC 27002. D. Legislación o normas nacionales sobre seguridad de la información.

38 de 40 ¿En base a qué legislación puede alguien pedir la inspección de datos que han sido registrados sobre su persona?. A. La ley de Registro público. B. La ley de Protección de datos personales. C. La ley de Delitos informáticos. D. La ley de Acceso público a información del gobierno.

39 de 40 El Código para la seguridad de la información (ISO/IEC 27002) es una descripción de un método de análisis de riesgos. ¿Es esta afirmación correcta?. A. si. B. no.

40 de 40 El Código para la seguridad de la información (ISO/IEC 27002) sólo es aplicable a grandes empresas. ¿Es esta afirmación correcta?. A. si. B. no.