Gobierno de la ciberseguridad y analisis de riesgos

¿Cuál de los siguientes conceptos se refiere a la protección de la información para garantizar que solo las personas autorizadas puedan acceder a ella?. Integridad. Disponibilidad. Confidencialidad. Autentificacion.

¿Qué pilar de la seguridad se ve comprometido cuando se altera o modifica información de forma no autorizada?. Integridad. Disponibilidad. Confidencialidad. Autentificacion.

Si un sistema informático no está disponible cuando se necesita, ¿qué pilar de la seguridad se ha visto afectado?. Integridad. Disponibilidad. Confidencialidad. Autentificacion.

¿Cuál de las siguientes acciones contribuye a garantizar la confidencialidad de la información?. Realizar copias de seguridad periódicas. Utilizar contraseñas débiles. Implementar el cifrado de datos. Permitir el acceso a todos los usuarios a toda la información.

¿Qué pilar de la seguridad se relaciona directamente con la capacidad de restaurar la información en caso de pérdida o daño?. Integridad. Disponibilidad. Confidencialidad. Autentificacion.

¿Qué es la clasificación de la información?. El proceso de organizar datos en una base de datos. La acción de buscar información en Internet. Es el proceso de asignar etiquetas a la información en función de su sensibilidad. La transformación de datos en información útil.

¿Cuál es el objetivo de la clasificación de la información?. Proteger la información confidencial de accesos no autorizados. Crear resúmenes de documentos largos. Traducir la información de un idioma a otro. Crear una herramienta para mejorar la eficiencia en la búsqueda de información.

¿Qué es la información confidencial?. Cualquier dato que se encuentra en una computadora. Información que es pública y accesible a todos. Datos que ya no son relevantes. Es aquella que, si se divulga, podría causar un daño significativo a la empresa.

¿Cuáles son los niveles de clasificación de documentos en un entorno gubernamental?. Interno, externo y público. Sin clasificar, sensible, pero no clasificada, confidencial, secreta, alto secreto. Bajo, medio y alto impacto. Abierto, restringido y prohibido.

¿Cuáles son los niveles de clasificación de documentos en un entorno empresarial?. Público, privado y confidencial. Bajo, medio y alto. Uso público, uso interno, confidencial. Operativo y estratégico.

¿Cuál de las siguientes no es una de las dimensiones de principios de seguridad del cubo de McCumber en ciberseguridad?. Confidencialidad. Integridad. Disponibilidad. Protección.

La dimensión de confidencialidad en el cubo de McCumber se refiere a: Garantizar que la información esté disponible cuando se necesite. Proteger la información de accesos no autorizados. Asegurar que la información sea completa y precisa. Proteger los sistemas y datos de daños accidentales.

La dimensión de integridad en el cubo de McCumber implica: Proteger la información de modificaciones no autorizadas. Garantizar que la información sea accesible a todos los usuarios. Asegurar que la información sea relevante y actualizada. Proteger los sistemas de ataques externos.

¿Cómo se relacionan las dimensiones de confidencialidad e integridad en el cubo de McCumber?. Son dimensiones independientes y no se afectan mutuamente. La integridad es un subconjunto de la confidencialidad. Ambas son necesarias para proteger la información de manera efectiva. La confidencialidad es más importante que la integridad.

¿Por qué es importante que las organizaciones comprendan el cubo de McCumber?. Para cumplir con las regulaciones de protección de datos. Para identificar y mitigar los riesgos de seguridad. Para evaluar la efectividad de las medidas de seguridad existentes. Todas las anteriores.

¿Cuál de los siguientes es el objetivo principal del gobierno de la ciberseguridad?. Desarrollar software antivirus. Establecer políticas y procedimientos para proteger la información. Realizar ataques cibernéticos para identificar vulnerabilidades. Vender productos de seguridad informática.

¿Qué norma internacional proporciona un marco de referencia para los sistemas de gestión de seguridad de la información?. ISO 9001. ISO 27001. ITIL. CMMI.

¿Cuál de las siguientes es una mejor práctica clave en el gobierno de la ciberseguridad?. Evitar realizar copias de seguridad de los datos. Conceder permisos de acceso a todos los usuarios. Realizar evaluaciones de riesgos periódicas. Deshabilitar los firewalls.

¿Cuál de los siguientes es un desafío común en la implementación de un programa de gobierno de la ciberseguridad?. La falta de apoyo de la alta dirección. La escasez de herramientas tecnológicas. La resistencia al cambio por parte de los empleados. Todas las anteriores.

¿Qué rol juega la gestión de identidades y accesos (IAM) en el gobierno de la ciberseguridad?. Permite a los usuarios acceder a cualquier recurso de la organización. Asegura que los usuarios tengan el acceso mínimo necesario para realizar sus tareas. Elimina la necesidad de contraseñas. Permite a los usuarios compartir sus credenciales.

¿Cuál es el principal objetivo del NIST Cybersecurity Framework?. Establecer estándares globales obligatorios para la ciberseguridad. Proporcionar un enfoque flexible y adaptable para gestionar el riesgo cibernético. Certificar a las organizaciones que cumplen con los más altos estándares de seguridad. Desarrollar tecnologías de seguridad de última generación.

¿En qué se basa el NIST Cybersecurity Framework para identificar y gestionar los riesgos?. En una lista exhaustiva de amenazas cibernéticas conocidas. En un conjunto de funciones, categorías y subcategorías que abarcan el ciclo de vida de la ciberseguridad. En una evaluación de la vulnerabilidad de los sistemas informáticos. En un análisis de los incidentes de seguridad más recientes.

¿Cuál de las siguientes afirmaciones es correcta sobre el NIST Cybersecurity Framework?. Es un documento estático que no se actualiza. Está diseñado exclusivamente para grandes empresas. Puede ser utilizado por organizaciones de cualquier tamaño y sector. Se enfoca únicamente en la protección de la infraestructura crítica.

¿Cuál es el primer paso en la implementación del NIST Cybersecurity Framework?. Desarrollar un plan de respuesta a incidentes. Realizar una evaluación de riesgo. Implementar controles de seguridad. Crear una política de seguridad de la información.

¿Cuál de las siguientes funciones no está incluida en el NIST Cybersecurity Framework?. Identificar. Proteger. Certificar. Corregir.

¿Cuál de las siguientes opciones no es un objetivo principal de un plan director de seguridad?. Minimizar las pérdidas económicas causadas por incidentes de seguridad. Determinar el estado actual de la seguridad de la información. Maximizar las ganancias de la organización. Garantizar la continuidad de las operaciones.

¿Qué elemento es fundamental para la elaboración de un plan director de seguridad efectivo?. Un presupuesto ilimitado. Un análisis exhaustivo de riesgos. Un equipo de seguridad altamente especializado. La aprobación inmediata de la alta dirección.

¿Cuál es el principal objetivo de un análisis GAP en un plan director de seguridad?. Identificar las amenazas más probables. Comparar el estado actual de seguridad con los estándares deseados. Definir las políticas de seguridad de la organización. Establecer los procedimientos de respuesta a incidentes.

¿Qué elementos se comparan típicamente en un análisis GAP?. Políticas de seguridad y procedimientos operativos. Estado actual de seguridad y mejores prácticas de la industria. Costos de implementación de medidas de seguridad y presupuesto disponible. Todas las anteriores.

¿Cuál de los siguientes no es un criterio común para clasificar y priorizar proyectos en un PDS?. Impacto en la seguridad de la información. Costo de implementación. Popularidad del proyecto entre los empleados. Alineación con los objetivos estratégicos de la organización.

¿Cuál es el principal activo que debe proteger una empresa como TSS?. El software de contabilidad. La infraestructura de red. La información confidencial de los clientes. El equipo de destrucción de documentos.

¿Cuál de las siguientes normas internacionales es la más adecuada para implementar un SGSI en TSS?. ISO 9001. ISO 14001. ISO 27001. OHSAS 18001.

¿Cuál de las siguientes amenazas representa el mayor riesgo para la seguridad de la información en TSS?. Desastres naturales. Ataques cibernéticos. Error humano. Sabotaje interno.

¿Cuál de los siguientes controles es fundamental para garantizar la confidencialidad de la información en TSS?. Encriptación de datos. Gestión de dispositivos móviles. Control de acceso físico. Concienciación de los empleados.

¿Cómo se inició la implementación del SGSI en la empresa TSS Ltd.?. Con la evaluación inicial de los riesgos de la información para ayudar a identificar las acciones y prioridades para gestionar los riesgos de seguridad de la información. Con la creación de políticas y procedimientos formales de seguridad de la información para permitir procesos mejor documentados y estructurados. Con la creación de un programa de concienciación interna en materia de seguridad. Con la creación de un sistema de mejoras continuas de calidad.

¿Qué es la ISO 27001?. Un protocolo de comunicación segura. Una norma internacional para la gestión de la seguridad de la información. Un software de encriptación de datos. Un certificado de calidad de productos.

¿Cuál es el objetivo principal de la ISO 27001?. Proteger los sistemas informáticos de virus. Garantizar la confidencialidad, integridad y disponibilidad de la información. Certificar la calidad de los productos de software. Establecer estándares para el comercio electrónico.

¿A qué tipo de organizaciones se aplica la ISO 27001?. Únicamente a grandes empresas. A cualquier tipo de organización, independientemente de su tamaño o sector. Solo a organizaciones del sector financiero. Exclusivamente a empresas tecnológicas.

¿Cuál es el componente central de un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001?. La encriptación de todos los datos. La realización de auditorías anuales. La implementación de controles de seguridad adecuados. El uso de firewalls de última generación.

¿Cuál es la importancia de la alta dirección en la implementación de la ISO 27001?. Es responsable de la configuración de los equipos informáticos. Debe proporcionar los recursos necesarios y liderar el proceso. Solo debe participar en caso de incidentes de seguridad. No tiene un papel relevante.

Las buenas prácticas para la gestión de la seguridad aseguran que la organización: Se posicione mejor en el mercado. Tenga mejores empleados. Maneje adecuadamente los riesgos relacionados con la seguridad de la información. Garantice una mejor situación laboral.

El objetivo de la gestión de la seguridad es: Proteger los activos digitales. Garantizar la continuidad del negocio. Cumplir el marco regulatorio. Conservar la confianza de los clientes y mantener la reputación de una organización.

¿Qué proporciona a las organizaciones una buena gestión de la seguridad?. Sustentabilidad económica y una base sólida para el éxito de una organización. Una ventaja económica frente a sus competidores. La aproximación a las amenazas y vulnerabilidades. Sustentabilidad ecológica en el ambiente de la ciberseguridad.

¿En qué estándar se basan algunas buenas prácticas para la gestión de la seguridad de la información?. ISO 27000. ISO 31000. ISO 27001. ISO 25000.

Esta es una buena práctica para la gestión de la seguridad basada en la norma ISO 27001: Asegurar el apoyo de los directivos desde el inicio. Obtener los recursos para la implementación del SGSI. Capacitar, sensibilizar e involucrar en todas las etapas de la preimplementación y la posimplementación a todas las áreas y personas relacionadas. Implementar un proceso a la vez y documentar cada proceso de forma clara.

¿Quién debe aprobar la política de seguridad de la información de una organización?. El CISO. El comité de riesgos. La alta dirección. El comité de seguridad.

A un nivel inferior, la política de seguridad de la información debe estar respaldada por políticas temáticas específicas según sea necesario para: Imponer la aplicación de controles de seguridad de la información. Desestructurar la respuesta a las necesidades de ciertas áreas de una organización. Cubrir ciertas áreas de producción. Complementar la política de normatividad de la información.

La política de seguridad de la información debe tener en cuenta los requisitos derivados de: Las estrategias de venta. La estrategia y los requisitos de la empresa. La legislación internacional. Los riesgos y amenazas actuales y previstos para las operaciones de las TIC.

Un ejemplo de los temas de las políticas temáticas de acuerdo con el ISO 27002, puede ser: Control de acceso. Seguridad operacional. Gestión de pasivos. Difusión de información.

¿Qué debe de tener en cuenta la revisión de la política de seguridad de la información y de las políticas específicas por temas?. Los requerimientos de la empresa. Las opiniones de los directivos. Los resultados de las revisiones y auditorías de la dirección. Las políticas de salud y seguridad en el trabajo.

¿Qué proporciona el ISO 27001 a las empresas?. Proporciona directrices y mejores prácticas para implementar controles de seguridad de la información. Garantía absoluta de seguridad. Certificación en todos los controles. El uso de tecnología especifica.

¿Qué es un control?. Un resultado deseado. Un proceso de mejora. Un control se define como una medida que modifica o mantiene el riesgo. Una estrategia de seguridad.

¿Qué hacen los controles del ISO 27001 con el riesgo?. Algunos controles del ISO 27001 eliminan el riesgo. Nada, no tienen ninguna influencia. Ningún control del ISO 27001 afecta al riesgo. Algunos controles del ISO 27001 modifican el riesgo, mientras otros lo mantienen.

¿Qué tipo de controles de seguridad de la información ofrece el ISO 27001?. Controles globales de la empresa. Controles de información pública y relevante para el mercado. Controles organizativos, humanos, físicos y tecnológicos. Controles legales y contractuales.

Estos son ejemplos de diferentes riesgos que pueden surgir y deben ser considerados para la implementación del ISO/IEC 27001:2022. Riesgos de acceso no autorizado y de interrupción del servicio. Riesgos operacionales generales. Riesgos legales y regulatorios generales. Riesgos financieros y de contabilidad.

La organización debe definir y documentar un proceso de: Solo tratamiento de riesgos de seguridad de la información. Evaluación y tratamiento de riesgos de seguridad de la información. Análisis, evaluación y tratamiento de riesgos de seguridad de la información. Análisis de riesgos de seguridad de la información.

Este proceso debe establecer y mantener criterios sobre los riesgos de seguridad de la información incluyendo: Criterios de aceptación del riesgo y los criterios para llevar a cabo las apreciaciones de los riesgos de seguridad de la información. Criterios de negación del riesgo. Criterios para llevar a cabo las depreciaciones de los riesgos de seguridad de la información. Criterios de captación del riesgo.

Este proceso de análisis, evaluación y tratamiento de riesgos de seguridad de la información sirve para: Garantizar que los análisis de riesgos anteriores generaron resultados válidos y permanentes. Promover que los posteriores análisis de riesgos sean correctos y generen valor empresarial. Buscar mejores resultados para las auditorías de seguridad de la información. Asegurar que los posteriores análisis de riesgos generan resultados consistentes, válidos y comparables.

Una vez que la organización ha identificado el riesgo, el riesgo puede ser: Cancelado. Tratado. Evacuado. Liberado.

La organización debe determinar los riesgos y oportunidades que se necesitan tratar con el fin de: Asegurar que el SGSI puede alcanzar los resultados previstos. Evitar los efectos deseados. Implementar aplicaciones de seguridad. Generar material de auditoría.

¿Por qué es importante la seguridad de la información como profesión?. Porque permite el acceso no autorizado a sistemas y datos. Debido al creciente número de ciberataques y la dependencia de la tecnología en todos los aspectos de la vida. Porque reduce la productividad de las empresas. Para garantizar que los datos se pierdan de forma segura.

¿Cuál de las siguientes es la principal responsabilidad de un profesional de la seguridad de la información?. Desarrollar aplicaciones web. Gestionar bases de datos. Proteger la confidencialidad, integridad y disponibilidad de la información. Realizar análisis financieros.

¿Cuál de las siguientes certificaciones es reconocida en el campo de la seguridad de la información?. PMP (Project Management Professional). CISSP (Certified Information Systems Security Professional). CCNA (Cisco Certified Network Associate). MCSE (Microsoft Certified Systems Engineer).

El profesional de la ciberseguridad debe tener un interés en: Conformidad con las prácticas actuales. Desconfianza constante hacia cualquier tecnología. Aprendizaje continuo y adaptación a las nuevas amenazas. Aislamiento para proteger la información confidencial.

¿Por qué el profesional de la seguridad de la información debe tener una actitud de servicio?. Porque así puede imponer las normas de seguridad sin que los usuarios se quejen. Para garantizar que la tecnología funcione sin problemas para todos los usuarios. Porque la seguridad de la información es un área técnica y no requiere interacción con otros departamentos. Para colaborar con otros equipos y usuarios en la implementación de medidas de seguridad y responder a sus inquietudes.

¿Cuál de las siguientes habilidades es menos importante para un profesional de la ciberseguridad?. Conocimiento profundo de lenguajes de programación. Habilidades de comunicación efectiva. Capacidad para trabajar en equipo. Indiferencia ante los riesgos.

¿Qué característica busca un reclutador en un candidato para un puesto de ciberseguridad?. Experiencia exclusiva en un solo tipo de sistema operativo. Pasión por mantenerse actualizado en las últimas tendencias de ciberseguridad. Aversión al trabajo en equipo. Desinterés por la resolución de problemas complejos.

¿Qué tipo de certificaciones son valoradas en el campo de la ciberseguridad?. Certificaciones relacionadas con la gestión de proyectos. Certificaciones en seguridad de la información (CISSP, CEH, etc.). Certificaciones en diseño gráfico. Certificaciones en contabilidad.

¿Cuál de las siguientes cualidades no es deseable en un profesional de la ciberseguridad?. Pensamiento crítico y analítico. Capacidad para trabajar bajo presión. Conformismo con las prácticas actuales. Proactividad en la identificación de riesgos.

¿Qué demuestra un proyecto personal de ciberseguridad en un candidato?. Desinterés por el trabajo en equipo. Falta de experiencia profesional. Pasión por la ciberseguridad y capacidad para aprender de forma autónoma. Incapacidad para trabajar bajo presión.

¿Cuál de las siguientes acciones es más importante para un aspirante a profesional de la ciberseguridad?. Evitar participar en comunidades online relacionadas con la ciberseguridad. Mantenerse actualizado sobre las últimas tendencias y amenazas cibernéticas. Desarrollar habilidades únicamente en un área específica de la ciberseguridad. Ignorar las certificaciones y enfocarse en la experiencia práctica.

¿Cuál de las siguientes habilidades es menos importante para un profesional de la ciberseguridad?. Pensamiento crítico y resolución de problemas. Habilidades de comunicación efectiva. Conocimiento de lenguajes de programación. Indiferencia ante los riesgos.

¿Cuál es el principal objetivo del enfoque en capas para la seguridad de las empresas?. Centralizar todos los controles de seguridad en un solo punto. Crear múltiples barreras de defensa para proteger los sistemas y datos. Simplificar la gestión de la seguridad informática. Reducir los costos de seguridad.

¿Cuál de las siguientes no es una capa típica en la seguridad informática?. Capa física. Capa de red. Capa de aplicación. Capa de gestión de la cadena de suministro.

¿Cuál de las siguientes es una buena fuente para encontrar información actualizada sobre ciberseguridad?. Solo sitios web de empresas de tecnología. Foros y comunidades online dedicadas a la ciberseguridad. Libros de texto publicados hace más de diez años. Noticias generales.

¿Cuál de las siguientes opciones se refiere a la garantía de que la información es accesible y utilizable cuando sea necesario?. Confidencialidad. Integridad. Disponibilidad. Autenticidad.

La protección de la información para evitar su acceso no autorizado se conoce como: Confidencialidad. Integridad. Disponibilidad. Autenticidad.

¿Cuál de las siguientes opciones garantiza que la información se mantenga completa y precisa a lo largo de su ciclo de vida?. Confidencialidad. Integridad. Disponibilidad. Autenticidad.

La verificación de la identidad de una entidad (persona, sistema, proceso) se refiere a: Confidencialidad. Integridad. Disponibilidad. Autenticidad.

¿Cuál de las siguientes opciones no es una dimensión de la seguridad CIDAT?. Confidencialidad. Integridad. Disponibilidad. Privacidad.

¿Cuál de las siguientes opciones no es un objetivo principal de la seguridad de la información?. Confidencialidad. Integridad. Disponibilidad. Rentabilidad.

¿Qué es un activo de información?. Cualquier dispositivo físico que almacene datos. Cualquier recurso que contenga información valiosa para una organización. Solo los datos almacenados en la nube. Únicamente los sistemas operativos.

¿Qué fue Solar Winds?. Una empresa de software especializada en soluciones de seguridad cibernética. Un grupo de hackers rusos responsables del ataque. Un proveedor de software de gestión de infraestructura de TI. Una vulnerabilidad específica en sistemas operativos.

¿Cuál fue el principal vector de ataque utilizado en el caso Solar Winds?. Un virus informático que se propagó por correo electrónico. Una actualización de software maliciosa insertada en la plataforma Orion de Solar Winds. Un ataque de fuerza bruta contra las contraseñas de los usuarios. Una vulnerabilidad en un protocolo de comunicación ampliamente utilizado.

¿Qué tipo de ataque se considera el de Solar Winds?. Un ataque de denegación de servicio (DDoS). Un ataque a la cadena de suministro. Un ataque de ransomware. Un ataque de phishing.

¿Cuál es el principal objetivo de la norma ISO 27002?. Establecer los requisitos mínimos para la certificación de sistemas de gestión de la seguridad de la información. Proporcionar un conjunto de controles de seguridad de la información que pueden ser adaptados a cualquier organización. Definir los estándares para la protección de datos personales. Regular el uso de tecnologías de la información en las empresas.

¿Cuál de los siguientes elementos no es un componente esencial de una política de seguridad de la información basada en la ISO 27002?. Alcance y aplicación de la política. Responsabilidades y roles. Requisitos legales y normativos específicos de un sector. Medidas de control de seguridad.

¿Cuál es la importancia de la alta dirección en la implementación de una política de seguridad de la información basada en la ISO 27002?. La alta dirección debe aprobar la política, pero no está obligada a participar en su implementación. La alta dirección debe demostrar un compromiso claro y visible con la seguridad de la información. La alta dirección solo debe involucrarse en caso de incidentes de seguridad. La alta dirección debe ser responsable de la implementación técnica de los controles de seguridad.

¿Qué significa realizar una evaluación de riesgos en el contexto de la ISO 27002?. Identificar todas las posibles amenazas a la seguridad de la información. Calcular el costo exacto de un incidente de seguridad. Identificar, analizar y evaluar los riesgos para la seguridad de la información. Implementar todos los controles de seguridad disponibles.

¿Cuál de las siguientes opciones no es un control de seguridad típico incluido en la ISO 27002?. Gestión de acceso. Gestión de dispositivos. Gestión de proyectos. Gestión de incidentes.

¿Cuál es el principal objetivo de la norma ISO 31000?. Establecer los requisitos mínimos para la certificación de sistemas de gestión de la calidad. Proporcionar un marco de referencia para gestionar los riesgos en cualquier tipo de organización. Definir los estándares para la protección de datos personales. Regular el uso de tecnologías de la información en las empresas.

¿Cuál de los siguientes no es un beneficio directo de implementar una gestión de riesgos según la ISO 31000?. Mejora en la toma de decisiones. Mayor resiliencia ante eventos inesperados. Reducción de los costos operativos a corto plazo. Incremento de la confianza de las partes interesadas.

¿Cómo contribuye la ISO 31000 a mejorar el desempeño organizacional?. Al reducir la burocracia y los procedimientos. Al identificar y mitigar los riesgos que pueden afectar los objetivos de la organización. Al aumentar el número de empleados. Al reducir la necesidad de invertir en tecnología.

¿Cuál de las siguientes afirmaciones sobre la gestión de riesgos según la ISO 31000 es falsa?. Fomenta una cultura de seguridad en la organización. Ayuda a cumplir con los requisitos legales y regulatorios. Elimina por completo la incertidumbre en la toma de decisiones. Mejora la comunicación y colaboración entre diferentes áreas de la organización.

¿Cuál es uno de los principales beneficios de la ISO 31000 para las partes interesadas externas?. Reducción de los costos de producción. Mayor confianza en la capacidad de la organización para gestionar los riesgos. Aumento de la participación de los empleados en la toma de decisiones. Mejora de la imagen de marca a través de prácticas sostenibles.

¿Cuál de los siguientes factores es crítico para el éxito de una gestión de riesgos basada en la ISO 31000?. La implementación de un software de seguridad específico. El compromiso de la alta dirección. La contratación de un equipo de expertos externos. La realización de auditorías anuales.

¿Cuál de las siguientes acciones contribuye a fomentar una cultura de seguridad en una organización?. Realizar capacitaciones anuales obligatorias. Implementar un sistema de monitoreo de redes. Promover la comunicación abierta sobre incidentes de seguridad. Todas las anteriores.

¿Qué papel juega la evaluación continua de riesgos en una gestión de riesgos exitosa?. Es una actividad que se realiza una vez al año. Permite identificar nuevos riesgos y evaluar la efectividad de las medidas de control. Solo es necesaria en caso de un incidente de seguridad. r. Es una responsabilidad exclusiva del equipo de seguridad informática.

¿Cuál de los siguientes elementos no es un componente clave de una gestión de riesgos eficaz según la ISO 31000?. Identificación de activos críticos. Análisis de vulnerabilidades. Cumplimiento estricto de todas las normas de seguridad. Desarrollo de planes de respuesta a incidentes.

¿Cuál de las siguientes afirmaciones sobre la gestión de riesgos es correcta?. La gestión de riesgos es responsabilidad exclusiva del equipo de TI. La gestión de riesgos solo es necesaria para grandes organizaciones. La gestión de riesgos es un proceso continuo y colaborativo. La gestión de riesgos garantiza la eliminación total de los riesgos.

¿Cuál es el principal objetivo de la norma UNE-ISO 31000:2018?. Establecer los requisitos mínimos para la certificación de sistemas de gestión de la calidad. Proporcionar un marco de referencia para gestionar los riesgos en cualquier tipo de organización. Definir los estándares para la protección de datos personales. Regular el uso de tecnologías de la información en las empresas.

¿Qué tipo de riesgos abarca la norma UNE-ISO 31000:2018?. Únicamente riesgos financieros. Solo riesgos estratégicos. Todos los tipos de riesgos, incluyendo financieros, estratégicos, operativos y de cumplimiento. Principalmente riesgos tecnológicos.

¿Cuál de las siguientes afirmaciones sobre la ISO 31000:2018 es correcta?. Es una norma obligatoria para todas las organizaciones. Establece requisitos específicos para cada sector industrial. Es una norma de carácter voluntario que proporciona directrices. Solo se aplica a grandes empresas.

¿Cuál de los siguientes no es un principio fundamental de la ISO 31000:2018?. Creación de valor. Eliminación total del riesgo. Enfoque en el contexto de la organización. Participación de las partes interesadas.

¿Cuál es el papel de la alta dirección en la implementación de la ISO 31000:2018?. La alta dirección no necesita estar involucrada en la gestión de riesgos. La alta dirección solo debe aprobar el presupuesto para la gestión de riesgos. La alta dirección debe demostrar un compromiso claro y visible con la gestión de riesgos. La alta dirección debe ser responsable de la implementación técnica de los controles de riesgos.

¿Cuál de los siguientes factores es el más importante al seleccionar una metodología de análisis de riesgos como MAGERIT, ISO/IEC 27005:2018 o NIST 800-30 Rev.1?. El tamaño de la organización. El tamaño de la organización. Las necesidades específicas de la organización y el contexto en el que opera. La experiencia del equipo de seguridad de la información.

¿Qué característica distingue a MAGERIT de las otras dos metodologías?. Su enfoque en la seguridad de la información. Su origen y desarrollo en España. Su amplia adopción a nivel internacional. Su enfoque en la gestión de riesgos de TI.

¿Cuál de las siguientes metodologías está más orientada a la seguridad de la información?. MAGERIT. ISO/IEC 27005:2018. NIST 800-30 Rev.1. Todas por igual.

¿Qué metodología es más flexible y adaptable a diferentes tipos de organizaciones?. MAGERIT. ISO/IEC 27005:2018. NIST 800-30 Rev.1. Todas por igual.

¿Cuál de las siguientes metodologías ofrece una guía más detallada para la implementación de controles de seguridad?. MAGERIT. ISO/IEC 27005:2018. NIST 800-30 Rev.1. Ninguna de las anteriores.

¿Cuál es el principal motivo por el que las pequeñas empresas deben realizar un análisis de riesgos informáticos?. Cumplir con las regulaciones gubernamentales. Obtener certificaciones de seguridad. Proteger sus activos digitales y minimizar el impacto de incidentes de seguridad. Demostrar a los clientes que son una empresa segura.

¿Cuál de las siguientes opciones no es un riesgo común al que se enfrentan las pequeñas empresas?. Ataques de phishing. Malware. Ataques de denegación de servicio distribuidos (DDOS) a gran escala. Pérdida o robo de dispositivos.

¿Cuáles son las ciberamenazas más frecuentes para las pymes?. Phishing, ransomware y malware. Ataques DDOS a gran escala e ingeniería social. Vulnerabilidades en la nube y ataques de denegación de servicio. Espionaje industrial y sabotaje cibernético.

¿Cuál de las siguientes ciberamenazas representa el mayor riesgo financiero para las pymes?. Phishing. Ransomware. Malware. Ataques DDOS.

¿Qué tipo de ciberataque suele explotar la confianza de los empleados para obtener acceso a sistemas y datos?. Phishing. Ransomware. Malware. Ataques DDOS.

¿Cuál de los siguientes criterios es generalmente utilizado para determinar si una empresa es grande?. Número de empleados. Ingresos anuales. Activos totales. Todas las anteriores.

¿Cuál de las siguientes industrias tiende a tener empresas más grandes?. Restaurantes. Tiendas locales. Manufactura. Servicios profesionales.

¿Cuál de las siguientes características no es típicamente asociada con una empresa grande?. Mayor capacidad de inversión. Mayor influencia en el mercado. Estructura organizacional más simple. Mayor diversidad de productos o servicios.

¿Cuál de las siguientes afirmaciones es correcta en cuanto a la comparación entre MAGERIT y NIST 800-30?. MAGERIT es más detallada que NIST 800-30 en cuanto a los controles de seguridad. MAGERIT tiene un enfoque más regionalizado, mientras que NIST 800-30 es más internacional. NIST 800-30 es más adecuado para pequeñas empresas que MAGERIT. MAGERIT no considera los riesgos tecnológicos, a diferencia de NIST 800-30.

¿Cuál de las siguientes metodologías puede ser más adecuada para una gran empresa que busca integrar la gestión de riesgos en su sistema de gestión de calidad?. MAGERIT. ISO 31000. NIST 800-30. Ninguna de las anteriores.

¿Cuál es el principal objetivo de la evaluación de riesgos en infraestructura de TI?. Identificar todas las posibles amenazas. Eliminar todos los riesgos. Identificar, analizar y evaluar los riesgos para tomar decisiones informadas sobre su mitigación. Cumplir con las regulaciones gubernamentales.

¿Cuál de los siguientes no es un componente clave de la infraestructura de TI?. Hardware (servidores, redes, dispositivos). Software (sistemas operativos, aplicaciones). Datos. Personal de recursos humanos.

¿Cuál de los siguientes es un tipo de evaluación de riesgos que busca determinar el impacto financiero de un incidente de seguridad?. Evaluación de vulnerabilidades. Análisis de impacto del negocio. Evaluación de riesgos cualitativa. Análisis de causa raíz.

¿Cuál es el principal objetivo de la evaluación de riesgos basada en escenarios?. Identificar todas las posibles amenazas. Calcular el costo exacto de cada riesgo. Simular diferentes situaciones para evaluar su impacto potencial. Determinar la vulnerabilidad de cada sistema.

¿Cuál de los siguientes es un ejemplo de un escenario de riesgo común en infraestructura de TI?. Un empleado renuncia a la empresa. Un ataque cibernético exitoso. Un desastre natural que afecta las instalaciones físicas. Todas las anteriores.

¿Cuál es el principal objetivo de la evaluación de riesgos en recursos humanos de TI?. Identificar a los empleados que representan un riesgo para la seguridad. Evaluar el desempeño de los empleados en tareas técnicas. Identificar y mitigar las amenazas a la seguridad de la información relacionadas con el factor humano. Determinar los salarios competitivos para los empleados de TI.

¿Cuál de los siguientes no es un riesgo común asociado con los recursos humanos de TI?. Errores humanos. Sabotaje interno. Divulgación accidental de información. Fallas en el hardware.

¿Cuál de las siguientes es una medida de mitigación de riesgos común en recursos humanos de TI?. Realizar auditorías de seguridad regulares. Implementar firewalls. Proporcionar capacitación en seguridad a los empleados. Cifrar los datos.

¿Cuál de los siguientes factores debe considerarse al evaluar los riesgos en recursos humanos de TI?. Los perfiles de acceso de los empleados. Los procedimientos de contratación. La rotación de personal. Todos los anteriores.

¿Cuál de las siguientes afirmaciones sobre la evaluación de riesgos en recursos humanos de TI es correcta?. Solo se aplica a grandes empresas. Es un proceso estático y no requiere actualizaciones. Debe ser parte integral del programa de seguridad de la información. Se enfoca únicamente en la prevención de pérdidas financieras.

¿Cuál es el principal objetivo de la evaluación de riesgos en una infraestructura de comunicaciones?. Identificar todas las posibles amenazas. Eliminar todos los riesgos. Identificar, analizar y evaluar los riesgos para proteger la continuidad del negocio y la seguridad de la información. Cumplir con las regulaciones gubernamentales.

¿Cuál de los siguientes no es un componente clave de una infraestructura de comunicaciones?. Redes de datos. Equipos de telecomunicaciones. Software de comunicaciones. Personal de recursos humanos.

¿Cuál de las siguientes es una amenaza común para una infraestructura de comunicaciones?. Ataques cibernéticos. Desastres naturales. Errores humanos. Todas las anteriores.

¿Cuál es el primer paso en un proceso de evaluación de riesgos?. Evaluar el impacto de las amenazas. Implementar medidas de control. Identificar las amenazas, vulnerabilidades y condiciones preexistentes. Calcular la probabilidad de ocurrencia de un incidente.

¿Qué se entiende por amenaza en el contexto de la seguridad de la información?. Una debilidad en un sistema o proceso. Cualquier evento o acción que pueda causar daño a un sistema o a los datos. Una condición que aumenta la probabilidad de que ocurra una amenaza. La capacidad de un atacante para explotar una vulnerabilidad.

¿Cuál es el principal objetivo de un SLA en relación con los tiempos de respuesta a incidentes?. Definir las responsabilidades de los proveedores de servicios. Establecer métricas para medir la satisfacción del cliente. Establecer expectativas claras sobre los tiempos máximos de resolución de incidentes. Determinar los costos de los servicios.

¿Por qué son importantes los SLA en los tiempos de respuesta a incidentes?. Porque ayudan a evitar que ocurran incidentes. Porque garantizan un nivel de servicio mínimo y permiten medir el cumplimiento. Porque definen las causas raíz de los incidentes. Porque establecen los procedimientos para reportar incidentes.

¿Qué sucede si un proveedor de servicios no cumple con los SLA establecidos para los tiempos de respuesta a incidentes?. El cliente debe aceptar la situación. El cliente puede tener derecho a compensaciones o penalizaciones. El proveedor puede aumentar los costos del servicio. El SLA se modifica automáticamente.

¿Cuál de los siguientes no es un beneficio de tener SLA claros para los tiempos de respuesta a incidentes?. Mejora la comunicación entre el proveedor y el cliente. Elimina por completo la posibilidad de incidentes. Aumenta la satisfacción del cliente. Facilita la gestión de incidentes.

¿Qué métricas se utilizan comúnmente para medir el cumplimiento de los SLA en los tiempos de respuesta a incidentes?. Tiempo medio de resolución (MTTR). Tiempo medio entre fallas (MTBF). Disponibilidad del sistema. Todas las anteriores.

¿Cuál es el objetivo principal de la mitigación de riesgos?. Eliminar todas las posibles amenazas. Reducir la probabilidad y el impacto de los riesgos. Aceptar los riesgos y sus consecuencias. Transferir todos los riesgos a terceros.

¿Cuál de las siguientes no es una estrategia común de mitigación de riesgos?. Evitar el riesgo. Aceptar el riesgo. Transferir el riesgo. Mitigar el riesgo.

¿Cuál de las ¿Qué significa «transferir el riesgo»? no es una estrategia común de mitigación de riesgos?. Eliminar por completo una amenaza. Desplazar el impacto financiero de un riesgo a un tercero. Reducir la probabilidad de que ocurra un riesgo. Aceptar las consecuencias de un riesgo.

¿Cuál es el principal objetivo de implementar controles de seguridad informática?. Eliminar todas las posibles amenazas. Reducir la probabilidad y el impacto de los incidentes de seguridad. Aceptar los riesgos y sus consecuencias. Transferir todos los riesgos a terceros.

¿Cuál de las siguientes no es una categoría de controles de seguridad?. Controles técnicos. Controles administrativos. Controles físicos. Controles económicos.

¿Cuál de los siguientes es un ejemplo de una salvaguarda técnica implementada en una organización?. Capacitación al personal sobre políticas de seguridad. Desarrollo de un código de conducta ético. Implementación de un firewall para proteger la red. Realización de auditorías internas de seguridad.

¿Cuál de las siguientes es una salvaguarda administrativa que se implementa comúnmente en las organizaciones?. Instalación de cámaras de seguridad. Uso de contraseñas fuertes. Desarrollo de una política de uso aceptable de los recursos informáticos. Cifrado de datos en reposo.

¿Qué implicó el incidente de seguridad reportado por el CISA sobre Fortinet, Ivanti y Nice?. Un fallo en los sistemas de autenticación de estos proveedores. Un ataque de phishing dirigido a los empleados de estas empresas. La explotación activa de vulnerabilidades críticas en productos de estas empresas. Un robo masivo de datos de los clientes de estas empresas.

¿Cuál fue el principal riesgo asociado a estas vulnerabilidades explotadas?. Pérdida de conectividad a Internet. Compromiso de sistemas y datos confidenciales. Caída de los servicios en línea de estas empresas. Robo de identidades de los usuarios finales.

¿Qué medidas deberían haber tomado las organizaciones que utilizaban los productos afectados para mitigar el riesgo?. Desconectar todos los dispositivos de la red. Esperar a que los proveedores lanzaran parches. Aplicar los parches de seguridad lo antes posible. Cambiar todas las contraseñas de los sistemas afectados.