GAR - T3

¿Cuál es el objetivo principal de la norma ISO 27001?. Definir métricas técnicas para firewalls. Proporcionar una guía de buenas prácticas no certificable. Establecer los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Regular el desarrollo de software en Estados Unidos.

¿Qué diferencia fundamental existe entre ISO 27001 e ISO 27002?. La 27001 es para empresas grandes y la 27002 para pymes. La 27001 contiene requisitos certificables y la 27002 es una guía de buenas prácticas. La 27001 es gratuita y la 27002 es de pago. No hay diferencia, son el mismo documento con distinto nombre.

¿En qué cuatro temas o "themes" se agrupan los controles en la versión ISO 27001:2022?. Planificación, Hacer, Verificar, Actuar. Organizacionales, Personas, Físicos, Tecnológicos. Legales, Técnicos, Organizativos, Económicos. Confidencialidad, Integridad, Disponibilidad, Autenticidad.

Según el ciclo PDCA aplicado al SGSI, ¿qué actividad corresponde a la fase "Hacer" (Do)?. Implantar y ejecutar el SGSI (controles, plan de riesgos). Definir la política y el alcance. Realizar auditorías internas. Adoptar acciones correctivas.

En la jerarquía de documentación, ¿qué documento ocupa el nivel más alto y estratégico?. Los registros. Los procedimientos. La política de seguridad. Las instrucciones técnicas.

¿Qué es el modelo CMMI?. Un antivirus del gobierno británico. Un enfoque para la mejora de procesos que guía a las organizaciones. Un estándar exclusivo para seguridad física. Una ley europea de protección de datos.

¿Cuál es la finalidad principal de los "Registros" en la documentación del SGSI?. Definir cómo se hacen las tareas paso a paso. Establecer el alcance del sistema. Proporcionar evidencia objetiva del cumplimiento de los requisitos. Describir la misión y visión de la empresa.

¿Qué institución desarrolló el modelo CMMI original?. El SEI de la Universidad Carnegie Mellon. La Organización Internacional de Normalización (ISO). El Instituto Nacional de Estándares y Tecnología (NIST). The Open Group.

En la versión ISO 27001:2022, ¿cuántos controles se consideran "nuevos" respecto a la versión anterior?. 58. 24. 11. 3.

¿Qué define el Capítulo 4 de la norma ISO 27001?. Liderazgo. Contexto de la organización. Operación. Mejora.

El modelo O-ISM3 (Open Group Security Management Maturity Model) se centra en: La seguridad del hardware exclusivamente. Alinear la seguridad con la misión y necesidades del negocio. Certificar a los empleados en hacking ético. El desarrollo de software seguro únicamente.

¿Qué significa que el alcance del SGSI debe estar definido?. Que se deben indicar las localizaciones, funciones y activos tecnológicos cubiertos. Que debe cubrir obligatoriamente el 100% de la empresa sin excepciones. Que solo aplica a los departamentos informáticos. Que debe ser aprobado por un auditor externo antes de empezar.

¿Cuál fue el estándar británico precursor de la ISO 27001?. BS 1111. UNE 71502. BS 7799. RFC 2196.

En la fase "Verificar" (Check) del ciclo PDCA, ¿qué actividad es clave?. La selección de controles. La realización de auditorías internas y revisión por la dirección. La implementación de mejoras. La definición de la política.

¿Qué atributo de los controles en ISO 27001:2022 clasifica el control como "Preventivo, Detectivo o Correctivo"?. Capacidad operativa. Dominio de seguridad. Tipo de control. Conceptos de ciberseguridad.

¿Cuál es el objetivo del BSIMM (Building Security In Maturity Model)?. Medir la seguridad física de los edificios. Evaluar la madurez de la seguridad en el desarrollo de software. Certificar redes de telecomunicaciones. Establecer sanciones legales por brechas de datos.

¿Qué cambio introduce la cláusula 6.3 de ISO 27001:2022?. Elimina la necesidad de hacer auditorías. Exige planificar los cambios del sistema de gestión. Prohíbe el uso de contraseñas cortas. Obliga a contratar un seguro de ciberseguridad.

¿Qué caracteriza al Marco de Ciberseguridad del NIST (CSF)?. Proporciona un enfoque basado en riesgos para mejorar la seguridad. Es una norma obligatoria en toda la Unión Europea. Solo sirve para agencias federales de EE. UU. Se centra exclusivamente en métricas financieras.

¿Cuál es la función de la "Revisión por la dirección"?. Satisfacer un trámite burocrático sin valor real. Comprobar si los empleados trabajan las horas estipuladas. Verificar la eficacia y validez del SGSI y asegurar la mejora continua. Revisar el código fuente de las aplicaciones.

¿Qué documento detalla "quién, qué, cuándo y dónde" se realizan las acciones?. La Política. Los Procesos. Las Instrucciones técnicas. El Manual de seguridad.

La Directiva NIS de la Unión Europea tiene como objetivo: Crear un firewall único para toda Europa. Asegurar un alto nivel común de seguridad de las redes y la información en la UE. Sustituir a la norma ISO 27001 en los países miembros. Multar a las empresas que usen software americano.

¿Qué es un "Plan de mejora personal" en el contexto de aprendizaje del tema?. Una herramienta pedagógica sugerida para estructurar el estudio de la norma. Un documento obligatorio de la norma ISO 27001. Un requisito para pasar la auditoría de certificación. Un plan de carrera para el CISO.

En el modelo PDCA, ¿qué implica la fase "Actuar" (Act)?. Monitorizar los resultados. Ejecutar los controles seleccionados. Adoptar acciones correctivas y preventivas para mejorar. Identificar los activos de información.

¿Qué requisito introduce la cláusula 5.3 de ISO 27001:2022?. Comprar servidores nuevos cada 2 años. Comunicar los roles de seguridad en toda la organización. Realizar simulacros de incendio mensuales. Encriptar todos los correos electrónicos.

Los controles de seguridad en ISO 27002 se consideran. De obligado cumplimiento para cualquier empresa. Buenas prácticas o especificaciones de apoyo. Leyes internacionales. Protocolos técnicos de red.

¿Qué atributo de control ISO 27001:2022 se alinea con conceptos como "Identificar, Proteger, Detectar..."?. Dominios de seguridad. Capacidad operativa. Conceptos de ciberseguridad. Propiedades de la información.

¿Qué define el "contexto de la organización"?. Los aspectos internos y externos relevantes y las partes interesadas. La lista de empleados del departamento de TI. El presupuesto anual de seguridad. La configuración técnica de los servidores.

El modelo CMMI ayuda a las organizaciones a: Obtener descuentos en software. Eliminar la necesidad de gestores humanos. Integrar funciones, establecer prioridades y mejorar procesos. Evitar pagar impuestos tecnológicos.

¿Qué tipo de controles incluye el tema "Físicos" en ISO 27001:2022?. Controles de acceso lógico y contraseñas. Controles sobre seguridad de instalaciones y equipos. Controles sobre contratación de personal. Controles sobre criptografía.

¿Qué se entiende por "Procedimientos" en la jerarquía documental?. La visión estratégica de la dirección. El detalle de cómo se realizan las actividades. La evidencia de que algo ha ocurrido. La definición general de responsabilidades.

¿Cuál es un cambio significativo en la estructura de ISO 27001:2022 respecto a la de 2013?. Se eliminan los capítulos 4 a 10. Reestructuración para alinearse con la estructura de alto nivel y mejores prácticas. Se prohíbe el uso del ciclo PDCA. Se elimina el Anexo A por completo.

En el contexto de ITIL y la seguridad (mencionado en relación a procesos), ¿qué es clave?. Que la seguridad sea un producto aislado. Que la seguridad esté integrada en la gestión de servicios y procesos. Que ITIL sustituye a ISO 27001. Que la seguridad solo importa en la fase de diseño.

(U) Indica cuáles de los siguientes enunciados son dominios de la ISO 27001:2013: Seguridad física y ambiental. Análisis y gestión de riesgos. Evaluación del desempeño. Todos los anteriores.

(U) Indica cuáles de las siguientes opciones son capítulos de la ISO 27001:2013: Alcance. Planificación. Mejora. Todos los anteriores.

(U) Indica cuáles de las afirmaciones siguientes son ciertas sobre el estándar 27001: ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de Gestión de la Seguridad de la Información. ISO 27001 define la base y los conceptos para la auditoría y certificación de los Sistemas de Gestión de la Continuidad del Negocio. ISO 27001 considera como uno de los elementos fundamentales el compromiso de la dirección, requisito para el establecimiento de un Sistema de Gestión de la Seguridad de la Información. Ninguna de las anteriores.

(U) Indica cuál de los siguientes aspectos está contemplado por la ISO 27001: La definición de los objetivos de negocio de la compañía. El nombramiento de un comité específico y único para la continuidad del negocio. La implantación de un modelo organizativo corporativo que unifique las áreas de seguridad física y seguridad lógica en una sola. La ubicación adecuada de las copias de respaldo.

(U) Indica cuáles de las siguientes afirmaciones permiten evidenciar el compromiso de la dirección con la gestión de la seguridad. La dedicación de una partida presupuestaria específica para aspectos de Seguridad de la Información. La participación de la dirección en comités de seguridad y actas relacionadas con la toma de decisiones en seguridad. La definición de una política de seguridad general distribuida a todos los empleados de la organización. Ninguna de las anteriores.

(U) Indica cuál de las siguientes afirmaciones es cierta. La última versión de la ISO 27001 se basa en un modelo PDCA de mejora continua. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la Información debe estar motivada por decisiones tácticas referentes a la mejora de los costes asociados con la seguridad. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información debe comprender a toda la organización, para garantizar que no existe ninguna posibilidad de intrusión en ninguno de sus niveles. Ninguna de las anteriores.

(U) Indica cuáles de las siguientes afirmaciones son ciertas: Según ISO 27001, los registros no son evidencia objetiva sobre el cumplimiento de los requisitos del Sistema de Gestión de la Seguridad de la Información. Según ISO 27001, el apoyo explícito y formal de la dirección solo será necesario si la organización no cuenta con la suficiente madurez en seguridad de la información. La política de seguridad de la información es el documento que debe comunicarse a toda la empresa y a partir del cual se deriva el resto de los requisitos del sistema. Ninguna de las anteriores.

(U) Indica cuál de las Siguientes afirmaciones es cierta: El modelo CMMI define 5 niveles de madurez iniciales, pero pueden ser configurables según las necesidades de la compañía. Según CMMI, en un nivel de madurez definido la organización está trabajando con datos cuantitativos para determinar procesos predecibles que se alinean con las necesidades de las partes interesadas. Según CMMI, en un nivel de madurez optimizado se hace uso intensivo de las métricas, se gestiona el proceso de innovación y la organización completa está volcada en la mejora continua de los procesos. Ninguna de las anteriores.

(U) Indica cuál de las siguientes afirmaciones es cierta: El modelo CMMI permite medir el nivel global de madurez de los controles técnicos de una organización. El modelo CMMI permite medir el nivel de capacidad de un área de proceso en una organización. Según CMMI, en un nivel de madurez inicial el proceso está bien definido, pero aún no está gestionado. Ninguna de las anteriores.

(U) Indica cuáles de los siguientes son elementos fundamentales para la definición del nivel de madurez de una organización de acuerdo con O-ISM3: Gestión de riesgos. Controles de seguridad. Gestión de la seguridad. Todos los anteriores.