cosas 2

¿Cuáles son las 3 dimensiones de Seguridad según la ISO 27001: Integridad, Confidencialidad y ?. Trazabilidad. Disponibilidad. Autenticidad. Ninguna de las opciones es valida.

¿Qué es un SGSI?. Conjunto de procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la información, tomando como base para ello los riesgos a los que se enfrenta la organi. Marco obligatorio para la gestión de mejora continua. Examen total o parcial del sistema de gestión de información implantado en una organización con el objeto de emitir un juicio sobre la adecuación de éste a las necesidades de información de la misma. Política de seguridad que se ha de aplicar en la utilización de los medios electrónicos a los que se refiere el ENS.

¿Qué es el PDCA?. Marco obligatorio para la gestión de mejora continua. Actividad recurrente para incrementar la capacidad del SGSI. Examen total o parcial del sistema de gestión de información implantado en una organización con el objeto de emitir un juicio sobre la adecuación de éste a las necesidades de información de la misma. Ninguna de las opciones es valida.

En la fase del PDCA de PLAN se realiza (señala la falsa): Análisis de Riesgos. La definición del SGSI. Gestión de Incidentes. Ninguna de las opciones es valida.

En la fase del PDCA de HACER (DO) se realiza (señala la falsa): Gestión de Riesgos. Implantación de Controles. Gestión de Proyectos de Implantación. Ninguna de las opciones es valida.

En la fase del PDCA de Comprobar (CHECK) se realiza (señala la falsa): Gestión de incidentes. Implantación de Controles. Gestión de Proyectos de Implantación. Ninguna de las opciones es valida.

En la fase del PDCA de Actuar (ACT) se realiza (señala la falsa): Implementar planes de mejora. Asegurar la consecución de objetivos. Auditoría y revisión del SGSI. Ninguna de las opciones es valida.

La estructura responsable de la respuesta ante incidentes de seguridad de la informació que establece el ENS es: CCN-CERT. INCIBE. INTECO. AEPD.

¿Qué es el proceso de Gestión de Riesgos?. Utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. Procedimiento basado en el análisis del riesgo para determinar si se ha conseguido un riesgo tolerable. Actividades coordinadas para dirigir y controlar una organización, con respecto al riesgo. Proceso de selección y de implantación de medidas para modificar el riesgo.

¿Qué es un evento o incidente provocado por una entidad natural, humana o artificial que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad y disponibilidad de los activos?. Amenaza. Vulnerabilidad. Impacto. Riesgo.

¿Una vulnerabilidad causa daño por sí misma?. Si, siempre. No, nunca. Solo cuando existe una amenaza para explotarla. Sólo cuando existe un riesgo asociado.

Las ventajas del uso de la metodología cuantitativa para analizar los riesgos son (señala la falsa): Facilita las comparaciones. Permite una organización de trabajo flexible. Sirve como justificante para la aplicación de las medidas de gestión de riesgos. Apoya numéricamente la toma de decisiones.

Las desventajas de usar una metodología cualitativa para analizar los riesgos son (señala la falsa): Depende de la calidad y habilidad de los profesionales. Se pueden pasar por alto riesgos importantes. No puede determinar la probabilidad real de ocurrencia. Son difíciles de modificar.

¿Qué acciones se pueden tomar para tratar el riesgo para cada uno de los activos? (señala la falsa). Mitigar. Transferir. Asumir. Disuadir.

¿En el proceso de Análisis de Riesgos se realiza el cálculo de riesgos residual?. Si. No.

En el proceso de Gestión de Riesgos se realizan las siguientes tareas: (señala la falsa). Seleccionar los controles más adecuados para reducir el riesgo. Cálculo de Riesgo intrínseco. Sensibilizar a la dirección de la situación analizada. Todas las respuestas son válidas.

¿En el proceso de Mitigación del Riesgo, cuál de estas acciones NO forma parte del proceso?. Seleccionar los controles. Implantar los controles. Volver a realizar el Análisis de Riesgos. Realizar una Auditoría.

¿En qué estándar se nos dice qué deberíamos hacer para proteger nuestro negocio (es decir se nos proporciona un repositorio de controles)?. ISO/IEC 27001. ISO/IEC 31000. ISO/IEC 27002. MAGERIT.

¿Cuál de estas acciones no contempla la ISO/IEC 27001?. La dirección deberá proporcionar los recursos económicos y humanos necesarios. Deberá promover la mejora continua. Se deberá realizar una auditoría externa para diseñar las acciones correctivas oportunas. La organización deberá valorar la eficacia de las acciones formativas.

¿Cada cuanto tiempo la ISO/IEC 27001 recomienda realizar una revisión por la dirección, del funcionamiento global del SGSI para valorar la conveniencia, adecuación y eficacia del sistema?. 6 meses. 1 año. 2 años. No hay fecha determinada.

¿Qué es según la ISO/IEC 27001 el proceso de mejora continua?. Solucionar las no conformidades relacionas con los requisitos del SGSI. Definir acciones necesarias para la subsanación del riesgo. Actividad recurrente para incrementar la capacidad del SGSI. Ninguna de las opciones es valida.

¿Cuál de estas NO es una Fase de la ISO/IEC 27001?. Evaluación de Riesgos. Implementación del SGSI. Realización del contrato de Auditoría. Documentación de la información del SGSI.

¿Qué documentos se usan en la ISO/IEC 27001?. Políticas. Planificaciones. Registros. Procedimientos.

¿A qué se refiere este procedimiento ““Examen total o parcial del sistema de gestión de información implantado en una organización con el objeto de emitir un juicio sobre la adecuación de éste a las necesidades de información de la misma”?. Auditoría. Evaluación de Impacto. Plan Director de Seguridad. Certificación ISO/IEC 27001.

El resultado de un proceso de auditoría tiene las siguientes caracterísitcas (señala la falsa): Un informe escrito. Dirigido al responsable de Seguridad del SGSI. Incluye Recomendaciones. Debe ser claro en su formato y redacció.

¿Indica cuál es el orden correcto de los documentos en una auditoría?. Precontrato, Plan de Trabajo, Contrato de auditoría, Informe Preliminar y definitivo de auditoría. Precontrato, Contrato de auditoría, Plan de Trabajo, Informe Preliminar y definitivo de auditoría. Plan de Trabajo, Precontrato de auditoría, Contrato de auditoría, Informe Preliminar y definitivo de auditoría. Plan de Trabajo, Precontrato de auditoría, Informe Preliminar y definitivo de auditoría, Contrato de auditoría.

La realización del Plan de Trabajo en el proceso de auditoría se realiza para incluirlo en el documento: Precontrato. Contrato de auditoría. Informe preliminar y definitivo de auditoría. Ninguna de las opciones es valida.

La realización de una división en Segmentos/Secciones, etc, en el proceso de auditoría se realiza para incluirlo en el documento: Contrato de auditoría. Informe preliminar y definitivo de auditoría. Precontrato. Ninguna de las opciones es valida.

¿Se exige a la empresa auditada pagar por la realización del contrato de auditoría?. Si. No.

¿Se exige a la empresa auditada pagar por la realización del precontrato de auditoría?. Si. No.

¿Se puede incluir en una auditoría interna cualquier empleado de la organización auditada?. Si. No.

¿Se puede incluir en una auditoría externa cualquier empleado de la organización auditada?. Si. No.

El ENS es (la ley norma o decreto que): Que establece y regula el derecho de los ciudadanos a comunicarse con las Administraciones Públicas a través de medios telemáticos. Que crea las condiciones necesarias para la confianza en el uso de los medios electrónicos. Que establece las medidas de prevención, defensa, detección y respuesta frente a ciberamenazas. Ninguna respuesta es correcta.

¿En qué fase del ciclo PCDA se encuentra el empleo de una metodología de evaluación de riesgos?. Planificar (Plan). Hacer (Do). Comprobar (Check). Actuar (Act).

¿Qué es Magerit?. Metodologías de gestión de riesgos. El instituto Nacional del Seguridad. Certificación de gestión de riesgos. Ninguna de las respuestas es valida.