DDSS - 7 AL 11

¿Qué afirmación representa un error conceptual sobre auditoría de seguridad?. Evalúa tanto aspectos técnicos como organizativos. Es un proceso con fases claramente definidas. Su objetivo principal es descubrir vulnerabilidades técnicas. Debe generar recomendaciones para mejorar.

¿Cuál de las siguientes afirmaciones sobre una auditoría interna es falsa?. Es realizada por personal propio. Puede usarse como preparación para una externa. Permite identificar áreas de mejora. Siempre otorga un certificado oficial.

¿Qué elemento es indispensable para la validez de una auditoría?. Que sea realizada por un auditor certificado. Que todas las vulnerabilidades técnicas se solucionen. Que se base en evidencias verificables y documentadas. Que finalice con sanciones disciplinarias.

¿Cuál es la principal diferencia entre una auditoría y un test de intrusión?. La auditoría sólo se enfoca en software. La auditoría es más amplia y sistemática. El test de intrusión es ilegal sin autorización. El test de intrusión no se considera parte del proceso auditor.

¿Qué fase incluye entrevistas con responsables y análisis documental?. Ejecución. Planificación. Informe final. Control residual.

¿Qué aspecto NO se espera encontrar en un informe de auditoría profesional?. Recomendaciones de mejora. Juicios personales sobre empleados. Observaciones documentadas. Conclusiones alineadas con los objetivos de auditoría.

¿Qué situación invalida los resultados de una auditoría?. Que no haya participación del equipo técnico. Que se base solo en entrevistas sin evidencia documental. Que se incluyan vulnerabilidades sin clasificar. Que se detecten pocos riesgos.

¿Cuál sería una mala práctica en la planificación de auditorías según lo comentado en clase?. Definir un alcance excesivamente amplio sin recursos suficientes. Revisar políticas y procedimientos existentes. Asignar responsables del seguimiento. Especificar metodologías a seguir.

El uso de indicadores en una auditoría busca principalmente: Detectar errores humanos. Medir la eficacia de controles y procesos. Identificar al culpable de las fallas. Reforzar la documentación legal.

¿Por qué el profesor insiste en la necesidad de formalizar la documentación?. Porque ayuda a cumplir con normativas internacionales. Porque reemplaza la necesidad de evidencias técnicas. Porque agiliza las entrevistas con responsables. Porque sin ella no se puede justificar la existencia de un control.

¿Cuál de las siguientes afirmaciones refleja una falsa creencia común sobre las auditorías externas?. Solo pueden ser realizadas por entidades independientes. Siempre conllevan certificación oficial. Pueden evaluar cumplimiento legal o normativo. Deben seguir una planificación estructurada.

¿Qué situación indica que una auditoría está mal ejecutada, aunque esté bien documentada?. No se revisaron los sistemas físicos. El informe se centró en las evidencias recolectadas. No se verificaron las políticas organizativas aplicadas. Se identificaron pocas no conformidades.

¿Qué puede implicar un mal diseño en el alcance de la auditoría?. Que algunos controles queden sin auditar. Que no se consigan recomendaciones. Que los auditores no sean objetivos. Que se repitan entrevistas.

¿Cuál es una razón legítima para auditar un sistema que ya ha sido auditado previamente?. No se registró nada en la auditoría anterior. Se necesita actualizar la política de contraseñas. El sistema no fue modificado en 3 años. Se ha producido un cambio relevante en su entorno o configuración.

¿Qué afirmación refleja una comprensión incompleta del rol del auditor?. Debe emitir recomendaciones imparciales. Puede requerir acceso a documentación sensible. Es responsable de solucionar las no conformidades detectadas. Debe mantener la confidencialidad de la información.

¿Qué riesgo aparece si no se entrevista a los responsables de procesos durante la auditoría?. Que se sobrevalore la eficacia de los controles. Que aumenten los costes. Que se dupliquen evidencias. Que se actúe sin autorización.

¿Qué herramienta de apoyo es más coherente con una auditoría basada en mejora continua?. Pruebas de carga. Ciclo PDCA (Plan-Do-Check-Act). Simulación de ataques internos. Estudio de reputación online.

¿Qué significa que un hallazgo tenga trazabilidad?. Que puede reproducirse y está vinculado a una fuente verificable. Que el auditor fue testigo directo del fallo. Que se relaciona con un control correctivo. Que proviene de fuentes anónimas.

¿Cuál es una señal de que el informe de auditoría podría haber sido influenciado subjetivamente?. Se citan nombres de empleados directamente responsables. Incluye recomendaciones técnicas. Utiliza métricas e indicadores. Evalúa controles según el estándar definido.

¿Qué factor podría invalidar la conclusión de una auditoría externa, aunque esté bien ejecutada?. Que el auditor no esté acreditado según el marco normativo aplicable. Que se entrevistó solo al responsable de TI. Que el informe tenga recomendaciones vagas. Que se incluyeran controles técnicos y organizativos.

¿Qué tipo de prueba permite evaluar la eficacia de un plan de continuidad sin interrumpir el sistema?. Prueba destructiva. Prueba de escritorio (table-top). Simulación de entorno real. Ataque dirigido simulado.

El objetivo principal de un plan de continuidad de negocio es: Restaurar los sistemas afectados en el menor tiempo posible. Garantizar que los activos físicos estén asegurados. Mantener operativa la organización ante incidentes graves. Eliminar los fallos del sistema informático.

¿Cuál de los siguientes elementos NO forma parte habitual de un plan de continuidad?. Procedimientos para recuperar servicios críticos. RTO y RPO definidos. Lista de vulnerabilidades técnicas abiertas. Canales de comunicación de emergencia.

¿Qué diferencia fundamental hay entre un plan de continuidad y uno de recuperación ante desastres (DRP)?. El plan de continuidad se activa solo si hay pérdida de datos. El DRP se centra en sistemas tecnológicos; el otro, en procesos globales. Ambos se activan al mismo tiempo siempre. El DRP sustituye al plan de continuidad.

¿Qué valor representa el tiempo máximo tolerable para recuperar un servicio antes de generar impacto crítico?. SLA. KPI. RTO. RPO.

¿Qué implica que el RPO de una base de datos sea de 2 horas?. Que se puede perder un máximo de 2 horas de datos. Que debe restaurarse en 2 horas. Que el sistema está disponible cada 2 horas. Que debe auditarse cada 2 horas.

¿Cuál sería un error crítico en la activación de un plan de continuidad?. No haber identificado los activos críticos previamente. Tener RTO demasiado corto. Probar el plan una vez al año. Activar roles de emergencia.

¿Cuál de estos elementos no es medible en una auditoría de continuidad bien diseñada?. Tiempo real de recuperación. Alcance del impacto financiero estimado. Emociones del equipo directivo tras el incidente. Nivel de cumplimiento de procedimientos.

¿Cuál es un error frecuente al desarrollar el plan de continuidad según el profesor?. Usar lenguaje técnico. Basarlo exclusivamente en ciberincidentes. Incluir estructuras jerárquicas de emergencia. Definir responsables por área.

¿Cuál sería una práctica deficiente en la validación de un plan de continuidad?. No realizar pruebas de escritorio. Documentar todos los resultados. Asignar responsables de cada fase. Simular escenarios de recuperación.

¿Qué ocurriría si el RTO definido es menor que el tiempo técnico mínimo de restauración?. Se reduce el impacto potencial. El plan sigue siendo válido si se comunica al personal. El RTO está mal definido y pone en riesgo la viabilidad del plan. Solo afecta a los sistemas de copia de seguridad.

¿Cuál de estos escenarios justificaría la activación inmediata de un plan de continuidad?. Corte de luz de 10 minutos con UPS operativo. Pérdida de acceso a Internet en una oficina remota sin función crítica. Fallo en el servidor de base de datos que afecta la facturación global. Revisión programada del sistema de backups.

¿Cuál de los siguientes elementos se suele subestimar en el diseño del plan de continuidad?. El papel de los sistemas de backup. Las dependencias externas o proveedores. El uso de centros de datos redundantes. La duración del informe de activación.

¿Qué afirmación es incorrecta respecto a la validación de un plan de continuidad?. Siempre debe interrumpir la actividad para ser efectiva. Puede hacerse mediante simulaciones periódicas. Incluye pruebas de escritorio con responsables clave. Debe documentar las lecciones aprendidas.

¿Cuál de los siguientes ejemplos refleja un mal uso del RPO?. Definir un RPO de 24h para procesos con cambio de datos cada 5 segundos. Asociar el RPO a la ventana de backup. Usar RPO para priorizar recuperación de bases de datos. Ajustar el RPO según el impacto de la pérdida de datos.

El RTO y el RPO deben definirse en función de: La disponibilidad del equipo de TI. Las capacidades del sistema de copias. Los contratos de proveedor. El impacto tolerable sobre los procesos críticos.

¿Qué afirmación describe mejor la relación entre plan de continuidad y plan de contingencia?. Son sinónimos aplicados en distintos países. El de contingencia es reactivo, el de continuidad es estratégico. El de contingencia pertenece al plan de continuidad. El plan de continuidad solo cubre la parte técnica.

¿Qué consecuencia directa tiene un plan de continuidad no actualizado tras una reorganización interna?. Incremento de los costes de infraestructura. Mejora en los tiempos de recuperación. Reducción del número de responsables asignados. Pérdida de la trazabilidad en los controles.

¿Cuál de los siguientes elementos NO puede garantizarse solo con un plan de continuidad?. Recuperación de servidores. Minimizar interrupciones. Prevención de amenazas. Respuesta organizada ante crisis.

¿Cuál sería un indicador de que el plan de continuidad ha sido probado correctamente?. Que se detectaron errores durante la prueba. Que nadie supo que hubo una simulación. Que el informe no identificó mejoras. Que se cambió el RTO tras la validación.

¿Cuál de los siguientes elementos es imprescindible para que un SGSI sea sostenible en el tiempo?. Adopción exclusiva de controles técnicos. Conformidad con la ISO/IEC 27002. Apoyo continuo de la alta dirección. Revisión mensual de los incidentes.

¿Cuál de estos enfoques revela un error común al implementar un SGSI?. Integrarlo con los procesos de negocio. Usarlo como herramienta para cumplir únicamente con auditorías. Aplicar el ciclo PDCA. Mantener la gestión documental actualizada.

¿Qué fase del ciclo PDCA está directamente vinculada con la realización de auditorías internas?. Plan. Do. Check. Act.

¿Cuál es una función principal del Análisis de Riesgos dentro del SGSI?. Asignar responsables de cumplimiento normativo. Establecer políticas de uso aceptable. Identificar amenazas y vulnerabilidades relevantes. Redactar el plan de continuidad.

¿Qué diferencia clave hay entre la norma ISO/IEC 27001 e ISO/IEC 27002?. La 27001 es obligatoria para cualquier organización. La 27002 es una guía de controles; la 27001 establece requisitos certificables. La 27002 no está relacionada con seguridad. La 27001 no requiere evaluación de riesgos.

¿Cuál sería un error crítico durante la fase "Act" del ciclo PDCA?. Proponer ajustes a las políticas tras hallazgos. Ignorar no conformidades detectadas en la auditoría interna. Validar las métricas de cumplimiento. Analizar causas raíz de fallos.

¿Qué elemento diferencia un SGSI formal de una simple política de seguridad?. Disposición pública del documento. Existencia de mecanismos de control interno. Uso de software antivirus. Concienciación del personal.

¿Cuál de estos elementos NO pertenece a los principios básicos de un SGSI eficaz?. Gestión del riesgo. Mejora continua. Participación de toda la organización. Revisión semanal del plan de marketing.

¿Por qué es importante el ciclo de vida de los activos dentro del SGSI?. Porque permite alinear el presupuesto con las auditorías. Porque garantiza la trazabilidad y gestión de su seguridad en cada etapa. Porque se exige por el RGPD. Porque ayuda a calcular el retorno de inversión del SGSI.

¿Qué refleja mejor la filosofía de la norma ISO/IEC 27001 según el profesor?. “Seguridad solo si es legalmente obligatoria”. “Aplicar controles sin analizar el riesgo”. “Seguridad alineada al negocio y con mejora continua”. “Cuantos más controles, mejor”.

¿Qué afirmación sobre el ciclo PDCA aplicado al SGSI es incorrecta?. La fase “Do” ejecuta los controles definidos en la planificación. En “Check” se evalúa el desempeño del SGSI. “Plan” incluye el análisis de riesgos y la definición de objetivos. “Act” busca mantener el estado del sistema sin cambios.

¿Qué refleja mejor el enfoque de “alineación con el negocio” del SGSI?. Ajustar la política de seguridad para facilitar objetivos comerciales. Adaptar los controles exclusivamente a lo que pide la ISO. Reforzar la seguridad interna sin considerar al cliente. Dejar la gestión en manos del departamento de TI.

¿Cuál de estos ejemplos sería una no conformidad grave en un SGSI certificado según ISO/IEC 27001?. Falta de registro de un cambio menor en la política de contraseñas. No realizar la auditoría interna en el plazo establecido. Ausencia de formación en ciberseguridad a un nuevo empleado. Olvidar documentar un acceso autorizado puntual.

¿Qué herramienta o documento es clave para asegurar que el SGSI no dependa solo de personas concretas?. Inventario de activos. Plan de concienciación. Contrato del proveedor de seguridad. Gestión de roles y responsabilidades documentada.

¿Qué elemento distingue al Análisis de Riesgos como parte central del SGSI frente a otros métodos de seguridad?. Su enfoque técnico en los antivirus. Su integración con las métricas comerciales. Su rol en la selección objetiva de controles de seguridad. Su vinculación directa con los planes de contingencia.

¿Cuál sería un fallo de diseño al establecer objetivos del SGSI?. Relacionarlos con auditorías externas. Definirlos sin una línea base o indicador medible. Vincularlos al rendimiento de procesos críticos. Revisarlos periódicamente.

¿Qué aspecto NO forma parte del contexto organizativo que debe considerar el SGSI según ISO/IEC 27001?. Partes interesadas relevantes. Necesidades legales y regulatorias. Factores internos y externos. Preferencias personales del responsable de seguridad.

¿Qué ventaja tiene usar la norma ISO/IEC 27005 en conjunción con la 27001?. Define cómo medir el retorno de inversión en seguridad. Establece controles obligatorios. Proporciona directrices para la gestión del riesgo de forma detallada. Sustituye al ciclo PDCA.

¿Qué error estratégico puede llevar a que el SGSI sea percibido como una “burocracia más”?. Incluir métricas de desempeño. Usar documentación estandarizada. No demostrar beneficios concretos para el negocio. Formar a los empleados sobre las políticas.

Según el enfoque visto en clase, ¿cuándo debería revisarse el SGSI fuera de los ciclos planificados?. Al contratar nuevo personal. Ante un cambio organizativo relevante o incidente grave. Después de la auditoría externa anual. Tras cada formación del personal.

¿Cuál de los siguientes controles se clasifica como correctivo?. Sistema de detección de intrusiones (IDS). Política de contraseñas. Restauración de una copia de seguridad tras incidente. Doble factor de autenticación.

¿Qué distingue a un control detectivo de uno preventivo?. El primero evita, el segundo identifica. El detectivo genera evidencias; el preventivo reduce probabilidad. El preventivo siempre requiere tecnología, el detectivo no. No hay diferencia, ambos son equivalentes.

¿Qué error es común al implementar controles en una organización según lo dicho en clase?. No establecer un control por activo. Aplicar controles sin vincularlos al análisis de riesgos. Priorizar los controles técnicos. Implementar primero los organizativos.

¿Qué tipo de control sería una política de acceso basada en roles (RBAC)?. Técnico, preventivo. Correctivo, físico. Organizativo, detectivo. Legal, reactivo.

¿Qué afirmación sobre controles técnicos y organizativos es correcta?. Los técnicos solo pueden ser preventivos. Los organizativos no son parte del SGSI. Ambos son necesarios y se complementan. Solo los técnicos se auditan.

¿Qué indicador refleja la eficacia de un control detectivo?. Que evite un incidente. Que registre y alerte con rapidez. Que tenga soporte legal. Que no requiera intervención humana.

¿Cuál sería un error de diseño al aplicar controles a un SGSI?. No medir su rendimiento o eficacia. Incluir controles administrativos. Usar controles recomendados por la ISO/IEC 27002. Definir indicadores para cada uno.

¿Qué tipo de control se aplicaría en el acceso físico a un CPD mediante tarjetas electrónicas?. Técnico, correctivo. Legal, detectivo. Administrativo, disuasorio. Físico, preventivo.

¿Qué característica NO es obligatoria en el diseño de un control eficaz según el profesor?. Definir responsable. Asociar un activo concreto. Tener un objetivo claro. Estar alineado con legislación.

¿Qué control podría ser simultáneamente preventivo y detectivo si se configura adecuadamente?. Procedimiento de backup. Firewall con logging de tráfico. Procedimiento de reciclaje de activos. Informe de formación en seguridad.

¿Cuál sería una debilidad crítica en la implementación de un control de acceso lógico?. Restringir accesos según horario. No registrar los intentos fallidos de acceso. Exigir doble autenticación. Utilizar contraseñas complejas.

¿Por qué no es adecuado aplicar todos los controles recomendados por la ISO/IEC 27002 sin adaptarlos?. Porque ralentiza el rendimiento del sistema. Porque pueden ser redundantes o innecesarios según el riesgo. Porque la norma prohíbe su aplicación total. Porque son solo para grandes empresas.

¿Qué combinación de controles sería más adecuada para un sistema crítico con alto riesgo de ataque?. Solo controles técnicos para bloquear accesos. Controles legales y físicos. Monitoreo pasivo y backups mensuales. Combinación de controles preventivos, detectivos y correctivos.

¿Qué control se considera organizativo y también preventivo?. Antimalware. Registro de logs. Código ético en seguridad. Cifrado de disco.

¿Cuál de las siguientes afirmaciones refleja una mala comprensión del control correctivo?. Se activa tras un incidente. Reduce el impacto posterior al daño. Puede implicar restaurar datos. Tiene efecto disuasorio.

¿Por qué se recomienda asignar responsables a cada control de seguridad?. Para facilitar auditorías ISO. Para distribuir la culpa ante incidentes. Para asegurar su mantenimiento y eficacia. Porque lo exige el RGPD.

¿Qué papel cumple el control de segregación de funciones en un entorno corporativo?. Evitar que un empleado tenga poder absoluto en una tarea crítica. Facilitar la productividad de equipos pequeños. Sustituir los controles técnicos complejos. Detectar anomalías en redes internas.

¿Cuál sería una métrica útil para evaluar un control detectivo?. Tiempo medio de detección de incidentes. Nivel de redundancia del sistema. Número de usuarios formados. Cantidad de datos almacenados.

¿Qué riesgo tiene la redundancia excesiva de controles sobre el mismo activo?. Mejora la seguridad pero aumenta el coste. Ninguno, siempre suma. Puede generar falsos positivos, conflictos y sobrecarga. Solo impacta en los tiempos de auditoría.

¿Cuál de estos controles podría clasificarse como físico, organizativo y preventivo simultáneamente?. Monitorización del tráfico de red. Política de control de acceso a instalaciones con vigilancia. Sistema de copia en la nube. Informe de auditoría interna.