Gobierno de la ciberseguridad y análisis de riesgos

Indica cuál de las siguientes afirmaciones es correcta respecto a la seguridad de la información: Los procedimientos detallan a alto nivel los pasos que deben seguirse para implementar las políticas. Las directrices establecen normas de obligado cumplimiento sobre la configuración de distintos elementos del sistema. Una línea base puede servir para complementar un estándar con información adicional. Las políticas detallan los elementos software que la organización debería utilizar para cubrir objetivos de control de seguridad de la información.

Indica cuál de las siguientes afirmaciones es correcta respecto a la seguridad de la información: El custodio protege la información teniendo en cuenta el esquema de clasificación asignado por el propietario. El propietario implementa el esquema de clasificación por órdenes del responsable. El responsable define la clasificación y los usuarios la implementan valorando el tipo de información que manejan. No hay ningún caso posible en el que los roles de elaborador, custodio, propietario y usuario recaigan todos en la misma persona.

Indica cuál de las siguientes afirmaciones es verdadera: Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información exclusivamente. Las prácticas de ingeniería social tratan de explotar el factor humano para obtener datos confidenciales. La privacidad de los datos personales sensibles es el objetivo de mantener la confidencialidad. La clasificación de la información tiene como objeto establecer niveles de disponibilidad de la información.

Indica cuál de las siguientes opciones no es una posible vía para gestionar un riesgo de seguridad de la información: Contratar un seguro con una aseguradora que cubra la eventualidad de una pérdida de datos. Establecer controles sobre la forma en que los usuarios gestionan sus claves, por ejemplo, obligándolos a cambiarlas cada cierto tiempo. Cesando la ejecución de determinadas tareas que suponen riesgos de seguridad para la organización. Asumir el riesgo cuando los costes de hacerlo son pequeños.

Indica cuál de las siguientes afirmaciones es cierta: El costo de ruptura hace referencia al costo que la empresa asume cuando se produce una intrusión. En general, nunca se debe emplear en los recursos destinados a la protección de un activo, más dinero que el costo que la pérdida de este supondría a la organización. Los costos que asumen las empresas ante un incidente de seguridad de la información incluyen únicamente los costos de reparación de vulnerabilidades en el software. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La colocación de tornos en la entrada de un centro de datos es un ejemplo de medida física de seguridad de la información. La disponibilidad de la información no puede verse comprometida por una fuga de agua. La seguridad física de un sistema de información tiene como ámbito de aplicación de la empresa. Ninguna de las anteriores.

Indica cuáles de los siguientes son ejemplos de controles de seguridad: Facilitar el trabajo de los empleados permitiendo el uso de sus dispositivos móviles personales. Obligar a que las contraseñas sean robustas. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido ilegal. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La identificación de los usuarios es la autentificación de estos en el sistema. La criptografía permite establecer el almacenamiento seguro, pero no la transferencia de datos segura. El desarrollo de software seguro es más barato para los fabricantes de paquetes de software, dado que reduce el impacto económico de su responsabilidad legal. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: Siempre es más importante reducir la probabilidad que el posible impacto al gestionar riesgos. La probabilidad de un ataque únicamente depende de la motivación económica de los atacantes. El coste de implantar una medida de protección no estará justificado desde el punto de vista de seguridad, si dicha medida no está vinculada a reducir un riesgo asociado. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La clasificación de la información tiene como objetivo cumplir con los requisitos legales de su difusión. Una información clasificada como confidencial no puede ser reclasificada posteriormente. La clasificación de los recursos de información puede tener excepciones. Ninguna de las anteriores.

Indica cuál de las siguientes opciones no es un objetivo del gobierno de la seguridad: Alinear los objetivos de seguridad con los objetivos estratégicos. Lograr siempre el mínimo coste en el proceso de seguridad. Gestionar de forma adecuada los riesgos de la seguridad de la información. Manejar de la mejor forma posible los recursos disponibles para alcanzar los objetivos fijados.

Indica qué fase de las siguientes opciones nunca formará parte de un Plan Director de Seguridad: Diagnóstico del estado de la seguridad de la información actualmente en una entidad. Cumplir todos y cada uno de los controles definidos en el estándar ISO/IEC 27001. Identificación de la diferencia de madurez en seguridad de la información de la entidad en la actualidad respecto al estado deseado. Revisión de los objetivos y la estrategia corporativa.

Indica qué roles están involucrados en la seguridad de la información de una empresa: El encargado de la limpieza en las oficinas. El responsable del cumplimiento normativo de la entidad. El CEO de la empresa. Todos estos roles tienen implicación en la seguridad de la información de una empresa.

Indica cuál de las siguientes opciones no es cierta dentro de una estrategia de seguridad: La estrategia de seguridad debe revisarse periódicamente. Debe ser independiente de la estrategia de negocio de la organización para mantener la visión de los objetivos TIC. Debe tener en cuenta los valores de riesgo para buscar la reducción de estos. Debe tener en cuenta todos los aspectos de mejora de las medidas de seguridad existentes en la organización.

Indica cuál de los siguientes aspectos debe tenerse en cuenta a la hora de definir un Plan Director de Seguridad: Los dominios de seguridad definidos por la ISO 27001. El organigrama de la compañía. Los niveles de riesgo y de control actualizados. El documento SOA definido, indicando la aplicabilidad de los controles de seguridad en la compañía.

Indica cuál de los siguientes aspectos no debe tenerse en cuenta en la fase de definición del plan de acción del Plan Director de Seguridad: Definir el alcance de cada uno de los proyectos de seguridad que formarán parte del plan de acción. Estimación y dedicación de recursos humanos y económicos al Plan de acción. Priorizar y planificar los proyectos de seguridad. Implementación de controles para mitigar los riesgos de mayor nivel.

Indica cuáles de las siguientes afirmaciones no son ciertas: La definición de SLAs es uno de los elementos básicos en un servicio de TI. Cualquier compañía que provea servicios relacionados con las TI puede obtener una certificación ITIL. Un servicio relacionado con las TI no tiene por qué conllevar la entrega de un producto TIC. Todas las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: Los servicios de TI se definen mediante SLA, que determinan el nivel de calidad de los servicios en diferentes dimensiones. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un SGSI si quiere ser compatible con ITIL. ITIL solo es compatible con la última versión de la ISO 27001, pero no lo fue con las anteriores. Ninguna de las anteriores.

Indica cuáles de las siguientes opciones son ventajas de los SLA: Identifican claramente las responsabilidades, en el marco del servicio, del departamento TIC y de los usuarios finales. Tienen en cuenta recursos no sólo TIC, sino de otra naturaleza: personal, datos, procedimientos, etc. Pueden utilizarse en contratos de outsourcing. Todas las anteriores.

Indica cuáles de las siguientes opciones son características de las buenas prácticas de ITIL: Son reactivas en lugar de predictivas. Permiten la optimización y mejora continua. Son siempre las mejores prácticas posibles para cada aspecto de la gestión de servicios TIC. Todas las anteriores.

Indica cuáles de los siguientes enunciados son dominios de la ISO 27001:2013: Seguridad física y ambiental. Análisis y gestión de riesgos. Evaluación del desempeño. Todos los anteriores.

Indica cuáles de las siguientes opciones son capítulos de la ISO 27001:2013: Alcance. Planificación. Mejora. Todos los anteriores.

Indica cuáles de las afirmaciones siguientes son ciertas sobre el estándar 27001: ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de Gestión de la Seguridad de la Información. ISO 27001 define la base y los conceptos para la auditoría y certificación de los Sistemas de Gestión de la Continuidad del Negocio. ISO 27001 considera como uno de los elementos fundamentales el compromiso de la dirección, requisito para el establecimiento de un Sistema de Gestión de la Seguridad de la Información. Ninguna de las anteriores.

Indica cuál de los siguientes aspectos está contemplado por la ISO 27001: La definición de los objetivos de negocio de la compañía. El nombramiento de un comité específico y único para la continuidad del negocio. La implantación de un modelo organizativo corporativo que unifique las áreas de seguridad física y seguridad lógica en una sola. La ubicación adecuada de las copias de respaldo.

Indica cuáles de las siguientes afirmaciones permiten evidenciar el compromiso de la dirección con la gestión de la seguridad: La dedicación de una partida presupuestaria específica para aspectos de Seguridad de la Información. La participación de la dirección en comités de seguridad y actas relacionadas con la toma de decisiones en seguridad. La definición de una política de seguridad general distribuida a todos los empleados de la organización. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La última versión de la ISO 27001 se basa en un modelo PDCA de mejora continua. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la Información debe estar motivada por decisiones tácticas referentes a la mejora de los costes asociados con la seguridad. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información debe comprender a toda la organización, para garantizar que no existe ninguna posibilidad de intrusión en ninguno de sus niveles. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: Según ISO 27001, los registros no son evidencia objetiva sobre el cumplimiento de los requisitos del Sistema de Gestión de la Seguridad de la Información. Según ISO 27001, el apoyo explícito y formal de la dirección solo será necesario si la organización no cuenta con la suficiente madurez en seguridad de la información. La política de seguridad de la información es el documento que debe comunicarse a toda la empresa y a partir del cual se deriva el resto de los requisitos del sistema. Ninguna de las anteriores.

Indica cuál de las Siguientes afirmaciones es cierta: El modelo CMMI define 5 niveles de madurez iniciales, pero pueden ser configurables según las necesidades de la compañía. Según CMMI, en un nivel de madurez definido la organización está trabajando con datos cuantitativos para determinar procesos predecibles que se alinean con las necesidades de las partes interesadas. Según CMMI, en un nivel de madurez optimizado se hace uso intensivo de las métricas, se gestiona el proceso de innovación y la organización completa está volcada en la mejora continua de los procesos. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: El modelo CMMI permite medir el nivel global de madurez de los controles técnicos de una organización. El modelo CMMI permite medir el nivel de capacidad de un área de proceso en una organización. Según CMMI, en un nivel de madurez inicial el proceso está bien definido, pero aún no está gestionado. Ninguna de las anteriores.

Indica cuáles de los siguientes son elementos fundamentales para la definición del nivel de madurez de una organización de acuerdo con O-ISM3: Gestión de riesgos. Controles de seguridad. Gestión de la seguridad. Todos los anteriores.

Indica cuál de las siguientes afirmaciones es correcta: Los programas de gestión de la seguridad incluyen siempre cursos de capacitación técnica en hacking ético. La gestión del riesgo no incluye el desarrollo de programas de gestión de la seguridad que cubran las diferentes necesidades. Los programas de gestión de la seguridad se deben evaluar periódicamente para analizar su efectividad. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta: En la gestión de riesgos de seguridad se debe considerar como prioritarias aquellas vulnerabilidades que puedan tener un impacto mayor en términos económicos. Todos los riesgos deben llevar a la implantación de controles para su mitigación. El origen de la amenaza en la gestión de riesgos es cada una de las vulnerabilidades. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta: Las contramedidas se implementan sin tener en cuenta los riesgos identificados. La gestión del riesgo se basa en el análisis de los indicadores relativos al número de intrusiones que se han detectado en cada periodo. La gestión de riesgos se basa siempre en una escala cuantitativa. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta: Depende del valor del recurso en sí. Depende del impacto de la pérdida en el recurso. Depende de la probabilidad de la amenaza. Ninguna de las anteriores.

El cumplimiento de lo definido en un documento categorizado como directriz en una entidad: Es obligatorio en función de quién apruebe el documento. Depende del alcance de aplicación. Es opcional, pero debe ser tenido en cuenta. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta sobre la tasa de ocurrencia: Determina el impacto final dado que representa la probabilidad de ocurrencia. En caso de que haya información, puede estimarse mediante frecuencias registradas en el pasado. Siempre se presenta en forma de tasa anual. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta sobre el factor de exposición: El valor de los recursos en el análisis de riesgo se debe hacer a partir de su valor de mercado, y es solo aplicable a los que lo tienen. El valor de los recursos nunca puede estimarse por el lado de los costes de pérdida, en caso de que sean medibles. Algunos recursos tienen un valor estratégico para el mantenimiento del negocio, que son superiores a los costes invertidos en obtenerlos. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta con relación en las políticas de seguridad: Indican los objetivos de la seguridad, pero no la manera concreta de obtenerlos. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del correo electrónico. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes de seguridad. Todas las anteriores.

Indica cuál de las siguientes afirmaciones es correcta: Las políticas de seguridad deben definir los responsables de su cumplimiento, en términos de roles. Las políticas de seguridad deben definir el software que se debe utilizar en cada ámbito de aplicación. Las políticas de seguridad no deben basarse en estándares externos. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: Las políticas de seguridad deben ser independientes de las políticas globales corporativas. Las políticas son uno de los elementos que se pueden analizar dentro de una auditoría de seguridad de la información. Las políticas deben describirse para aquellos procesos o tareas dentro de la empresa en la que se tiene contacto con el exterior y, por tanto, hay una posibilidad de intrusión o pérdida de confidencialidad. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones respecto a los hackers éticos son ciertas: No forman parte activa de la comunidad de la seguridad de la información. Pueden actuar al margen de la ley siempre que su fin no sea malicioso. Todos los hackers utilizan técnicas similares, pero los así denominados se basan en un código ético. Ninguna de las anteriores.

Indica cuáles de las siguientes tareas relativas al profesional de la seguridad de la información no se podrían encuadrar en el ámbito de la resiliencia: La supervisión de los procedimientos técnicos de restauración para levantar la infraestructura IT en caso de disrupción. El diseño de las estrategias de recuperación de las diferentes aplicaciones de negocio. La operación de los sistemas del CPD de contingencia en caso de quedar inutilizado el datacenter principal. El análisis de la replicación de los datos entre el CPD principal y el secundario de una organización.

¿Cuáles de las siguientes propuestas se podrían poner en marcha en una organización para favorecer la seguridad integral: Reportar los incidentes de seguridad, tanto las áreas de seguridad física como de seguridad lógica, de forma centralizada a la Alga Gerencia de la compañía. Crear un único departamento de seguridad (tanto física como lógica) en la entidad, bajo un solo responsable y sin tener en cuenta especializaciones, para favorecer la homogeneización de los empleados. Creación de un framework corporativo de seguridad integral que permita dar una respuesta a los riesgos de forma convergente. Ninguna de las anteriores.

¿Cuál podría ser el objetivo de realizar un test de intrusión sobre la infraestructura tecnológica de una central nuclear?. Evaluar la eficacia de las medidas de seguridad que el operador adoptó para proteger la central de acuerdo con la legislación vigente respecto a la protección de infraestructura críticas. Certificar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información en la entidad. Definir los responsables de seguridad de un sistema de control industrial. Analizar la capacidad de resiliencia con la que cuenta la planta nuclear.

En relación con el área de cumplimiento, ¿qué tipo de tareas podría llevar a cabo el profesional de la seguridad de la información?. Revisar si la empresa subcontratada para limpiar las salas y despachos de la entidad ha firmado un acuerdo de confidencialidad. Identificar todas las normativas y regulaciones vigentes con aplicación en la organización. Asegurar la coherencia de todo el cuerpo normativo de seguridad en la entidad, identificando posibles inconsistencias. Todas las anteriores.

¿Qué aspectos de los siguientes son una muestra del reconocimiento de la seguridad de la información como profesión?. La existencia de estándares de seguridad relacionados con el sector. El número cada vez más elevado de ataques contra empresas y entidades a lo largo de todo el mundo. La gran cantidad de títulos, certificaciones y programas específicos en seguridad de la información disponibles en el mercado. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: Las certificaciones como el CISSP determinan el acceso al ejercicio de la profesión dentro del área de la seguridad de la información. La profesión de la seguridad de la información cuenta con cuerpos de conocimiento definidos y una cultura profesional como otras profesiones diferenciadas. El código ético del profesional de la información es el definido en las normas de auditoría ISO 27001. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas: Las revistas académicas del área de la seguridad de la información son el principal medio de formación básica para los profesionales de la seguridad de la información. Se llama hacker ético a cualquier profesional de la seguridad de la información. Un hacker ético puede realizar acciones de penetration testing contra una empresa siempre que no perciba beneficios económicos por ello. Ninguna de las anteriores.

Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la certificación CISSP: La seguridad física de los sistemas. La regulación sobre la protección de datos. El desarrollo de software seguro. Todas las anteriores.

El análisis y gestión de los riesgos: Permite identificar los riesgos que le podrían impedir lograr sus objetivos de negocio. Intenta que los criterios en los que se apoya la seguridad sean más objetivos. Todas son verdaderas.

Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de seguridad de la información: La certificación CAP tiene un contenido técnico equivalente a la certificación CISSP. Las certificaciones son títulos como las titulaciones que se obtienen y no necesitan renovarse. La certificación CISSP solo puede obtenerse cuando se tiene experiencia profesional en el área. Ninguna de las anteriores.

Las dimensiones de la seguridad son: Confidencialidad, integridad, disponibilidad, no repudio y privacidad. Confidencialidad, integridad, disponibilidad, protección y trazabilidad. Confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Confidencialidad, privacidad, disponibilidad, autenticidad y cumplimiento.

¿Cuándo se debe proteger la información?. Desde el momento en el que el dato entra en el sistema, hasta el momento en que deja de ser útil. Desde el momento en el que el dato entra en el sistema hasta que se procesa. Durante la transmisión y utilización de la información. Durante el proceso, transmisión y utilización.

¿Cómo debe protegerse la información?. Por medio de la implantación de salvaguardas. Estableciendo procedimientos que permitan una recuperación rápida de los daños sufridos. Minimizando la probabilidad de la materialización de una amenaza. Disminuyendo el impacto en la organización.

Una política de seguridad debe: Establecerse en términos de negocio. Identificar las características de la organización. Reflejar las obligaciones contractuales y legales. Todas son ciertas.

La gestión de riesgos no tiene como objetivo: Formar parte de la toma de decisiones. Integrar factores humanos y culturales. Tratar explícitamente la certidumbre. Ser adaptable.

Por acceso, se entiende: La garantía de la identidad del usuario que accede a una información. La garantía de que en todo momento se podrá determinar quién hizo qué y en qué momento lo hizo. la garantía de que la información es accesible en el momento en el que los usuarios autorizados (personas, organizaciones o procesos) tienen necesidad de acceder a ella. La capacidad de poder utilizar los recursos de los sistemas de información y comunicaciones que nos permiten acceder a la información.

La gestión de riesgos tiene como objetivo gestionar o tratar el riesgo hasta: Alcanzar el nivel de riesgo aceptable por las partes interesadas. Disminuir el riesgo inherente a los niveles asumibles por la dirección. Disminuir el riesgo residual a los niveles asumibles por la dirección. Alcanzar los objetivos de negocio.

Es la garantía de que la información no es conocida por personas, organizaciones o procesos que no disponen de la autorización necesaria: Acceso. Disponibilidad. Confidencialidad. Privacidad.

Es la garantía de que la información es accesible en el momento en el que los usuarios autorizados (personas, organizaciones o procesos) tienen necesidad de acceder a ella. Acceso. Disponibilidad. Confidencialidad. Privacidad.

La gestión de riesgos: Crea y protege el valor. Contribuye de manera intangible al logro de los objetivos. Es una actividad independiente. Es una responsabilidad exclusiva de la dirección.

¿Cuál de las siguientes no forma parte del contexto externo de una organización?. La inestabilidad política. Una situación de sequía permanente. Un conflicto laboral sectorial. Un cambio organizativo.

¿Cuál de las siguientes no forma parte del contexto interno de una organización?. El CRM del que dispone la organización. La relación con los clientes. Un conflicto laboral con el comité de empresa. Un cambio legislativo.

Un proceso de gestión de riesgos implantado según los principios y directrices de la UNE-ISO 31000 es una herramienta que ayuda a una organización a: Garantizar la eficacia y la eficiencia operacional. Conseguir una gestión reactiva. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización. Eliminar la incertidumbre.

De acuerdo con la UNE-ISO 31000, ¿cuál de las siguientes actividades no se realiza en la fase de Diseño del Marco de Referencia de la Gestión de Riesgo?: Asignación de roles. Asignación de recursos. Establecimiento de los criterios de riesgo. Establecimiento de la comunicación y consulta.

La gestión de riesgos debe: Formar parte de la toma de decisiones. No trata explícitamente la incertidumbre. Ser sistemática, irrepetible, ortodoxa y oportuna. Ser independiente de factores humanos y culturales.

La finalidad de la valoración del riesgo es: Ayudar a la toma de decisiones. Determinar los criterios de riesgos a tratar. Implantar las acciones de tratamiento del riesgo. Todas las anteriores.

Las opciones de tratamiento del riesgo: Se excluyen necesariamente unas a otras. Son apropiadas en todas las circunstancias. Incluyen la modificación de la probabilidad y las consecuencias. No contemplan retener el riesgo.

En ISO 31000 la evaluación del riesgo comprende: El establecimiento del contexto, la identificación, el análisis y la valoración del riesgo. La identificación, el análisis y la valoración del riesgo. La identificación, el análisis, la valoración y el tratamiento del riesgo. El establecimiento del contexto, el análisis y el tratamiento del riesgo.

¿La actividad de seguimiento y la revisión durante el proceso de gestión de riesgos según la norma UNE-ISO 31000: Deberían realizarse durante la etapa de evaluación del riesgo. Deberían realizarse durante la etapa de comunicación y consulta del proceso. Deberían realizarse durante la etapa de definición del proceso. Deberían realizarse en todas etapas del proceso.

Magerit es una metodología: Centrada en el activo. Centrada en el riesgo. Centrada en la vulnerabilidad. Centrada en la amenaza.

Según la metodología Magerit las decisiones respecto al riesgo no están condicionadas por: El nivel de riesgo. El origen de amenaza. Las obligaciones contractuales. La gravedad del impacto.

De acuerdo con la ISO 27005, ¿cuál de las siguientes opciones no es una característica de la apreciación de riesgos de alto nivel. Permite contemplar una lista más limitada de amenazas. No es la más apropiada para proporcionar controles organizativos. Proporciona una visión más global de la organización. Puede centrarse en escenarios de riesgo.

De acuerdo con la ISO 27005, la probabilidad de que se materialice una amenaza específica no depende de: El atractivo del bien o el posible impacto. La facilidad de obtención de beneficios por parte del atacante. El número de activos. La facilidad de explotación de la vulnerabilidad.

Según la metodología Magerit, ¿cuál de las siguientes no es una técnica especifica?. Análisis algorítmico. Análisis mediante tablas. Valoración Delphi. Arboles de ataque.

De acuerdo con la ISO 27005, el proceso detallado de apreciación del riesgo de seguridad de la información contempla: La identificación y valoración en profundidad de los activos. La identificación de los activos y de las salvaguardas. La evaluación de activos y amenazas. La evaluación de amenazas y salvaguardas.

Según la norma NIST 800-30 Rev. 1, los procesos de gestión de riesgos incluyen: El marco de referencia del riesgo, la evaluación, la respuesta y el seguimiento de los riesgos. El marco de referencia del riesgo, la valoración, la respuesta y el seguimiento de los riesgos. El marco de referencia del riesgo, la valoración, el tratamiento y el seguimiento de los riesgos. El marco de referencia del riesgo, la evaluación, el tratamiento y el seguimiento de los riesgos.

Según la norma NIST 800-30 Rev. 1, el proceso de evaluación de riesgos se compone de las siguientes fases: Preparación, ejecución, revisión y comunicación de resultados. Preparación, valoración, comunicación de resultados y mantenimiento. Preparación, ejecución, comunicación de resultados y mantenimiento. Preparación, valoración, revisión y comunicación de resultados.

Según la norma NIST 800-30 Rev. 1, para estimar la probabilidad de ocurrencia de una materialización de una amenaza no hay que considerar: Los orígenes de la amenaza. La facilidad de obtención de beneficio por parte del atacante. Las vulnerabilidades y condiciones preexistentes. Los controles o medidas de seguridad existentes.

Según la norma NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar orientadas a: Las amenazas, al impacto en el activo o a probabilidad. Las amenazas, al activo o a la vulnerabilidad. Las amenazas, al riesgo o al impacto en el activo. Las amenazas, al impacto en el activo o a la vulnerabilidad.

¿Cuál de las siguientes afirmaciones es correcta?: El riesgo potencial es el riesgo al que se está expuesto teniendo en cuenta la eficacia y madurez de los controles implantados. El riesgo real es el riesgo al que se está expuesto sin tener en cuenta los controles implantados. El riesgo inherente es el riesgo al que se está expuesto teniendo en cuenta la eficacia y madurez de los controles implantados. El riesgo real es el riesgo al que se está expuesto teniendo en cuenta la eficacia y madurez de los controles implantados.

¿Cuál de las siguientes afirmaciones es correcta?. Para realizar un análisis semicuantitativo es necesario estimar valores reales para las consecuencias y sus probabilidades. Para realizar un análisis cuantitativo no es necesario estimar valores para las consecuencias y sus probabilidades. Para realizar un análisis cualitativo es necesario estimar valores reales para las consecuencias y sus probabilidades. Para realizar un análisis cuantitativo es necesario estimar valores reales para las consecuencias y sus probabilidades.

A la hora de identificar los riesgos, ¿cuál de las siguientes no es una técnica valida?. Análisis de escenarios. Tormenta de ideas. Análisis de Markov. Análisis de fiabilidad humana.

Respecto al tratamiento del riesgo, ¿cuál de las siguientes afirmaciones es correcta?. Hay dos formas básicas de compartir riesgo: financiando y transfiriendo. Para mitigar el riesgo existen tres opciones. La eliminación de la fuente de riesgo es una opción frente a un riesgo que no es aceptable. Solo se comparte el riesgo cualitativo.

A la hora de analizar los riesgos, cuál de las siguientes no es una técnica válida: Tormenta de ideas. Análisis de Markov. Análisis de escenarios. Análisis del árbol de fallos.

De acuerdo con su forma de actuación, las salvaguardas se pueden clasificar en: Preventivas y adaptativas. Preventivas y correctivas. Anticipativas y reactivas. Preventivas y reactivas.

Cuál de las siguientes afirmaciones es incorrecta: El valor del impacto se debe cuantificar y se puede expresar de forma cualitativa o cuantitativa. El riesgo aumenta cuando la probabilidad de materialización de la amenaza aumenta. El impacto puede incrementarse por acumulación de eventos. El impacto es independiente del número de eventos.

¿Cuál de las siguientes no es una clasificación de tipo de riesgos?: Conocido-Conocido. Conocido-Desconocido. Desconocido-Desconocido. Desconocido-Conocido.

Cuando en función del grado de conocimiento de la existencia de un posible riesgo este se clasifica como Conocido – Desconocido, significa que: El riesgo es perfectamente conocido. El riesgo se desconoce, pero se sabe que podría existir. Se desconoce todo incluso la posible existencia del riesgo. El riesgo se conoce, pero nunca ha ocurrido.

A la hora de analizar los riesgos, cuál de las Siguientes no es una técnica válida: Listas de verificación. Estructura «y si…» (SWIFT). Análisis de peligros y puntos de control críticos (HACCP). Análisis de causa y efecto.

Cuál de las siguientes no es una característica de un indicador: Objetivo. Realista. Especifico. Medible.

¿Cuál de las siguientes afirmaciones es correcta?. Una métrica es una estimación del grado en que un sistema, componente o proceso posee un atributo dado. Una métrica es una medida cualitativa o cuantitativa del grado en que un sistema, componente o proceso posee un atributo dado. Una métrica es una medida cuantitativa del grado en que un sistema, componente o proceso posee un atributo dado. Una métrica es una medida cualitativa del grado en que un sistema, componente o proceso posee un atributo dado.

Los indicadores como elemento clave que da soporte a la toma de decisiones, nos permite: Medir la evolución de amenazas actuales y emergentes. Medir la efectividad de las salvaguardas implantadas. Medir la capacidad o habilidad de la organización en las tareas de seguridad. Todas son ciertas.

Las salvaguardas preventivas: Actúan reduciendo el impacto. Actúan reduciendo la probabilidad de materialización de las amenazas. Actúan reduciendo el número de amenazas. Actúan reduciendo la probabilidad de materialización del riesgo.

Para poder determinar la eficacia de una salvaguarda: Es necesario conocer su grado de implantación. No es necesario conocer su grado de implantación. Es necesario analizar la probabilidad de materialización de una amenaza. Es necesario analizar el impacto.

Para diseñar e implantar un conjunto de métricas e indicadores de riesgos, no es necesario: Determinar lo atributos a medir. Determinar las entidades a medir. Determinar los conceptos medibles. Definir las medidas.

Realizar mediciones persigue, entre otros, los siguientes objetivos: Implementar mayor número de salvaguardas. Evaluar la peligrosidad de las amenazas actuales y emergentes. Mejorar la minimización del riesgo. Todas son ciertas.

A la hora de elaboran las métricas es necesario definir: Los métodos de análisis, la escala y los indicadores. Los métodos de medición, la escala y los indicadores. Los métodos de medición, las métricas y los indicadores. Los métodos de análisis, las métricas y los indicadores.

Existen métricas: Simples y compuestas. Directas e indirectas. Cualitativas y cuantitativas. De impacto y de riesgo.

Cuando hablamos de indicadores, ¿a qué nos referimos con una meta?. Los resultados deseados en la implantación de uno o varios objetivos de control/técnicas que son medidos por la métrica. Las acciones que se requieren para alcanzar las medidas fijadas. Los resultados obtenidos en la implantación de uno o varios objetivos de control/técnicas que son medidos por la métrica. Las acciones que se requieren para alcanzar un riesgo aceptable por la Dirección.

Una amenaza es: La materialización de una vulnerabilidad. Cualquier circunstancia potencial que puede afectar a la seguridad de los activos de información. El impacto de un incidente. Es una debilidad del sistema informático que puede ser utilizada para causar un daño.

Las dimensiones básicas de la seguridad son: Confidencialidad, no repudio y trazabilidad. Confidencialidad, disponibilidad y trazabilidad. Confidencialidad, integridad y trazabilidad. Confidencialidad, integridad y disponibilidad.

La aplicación de medidas normativas: Garantiza la aplicación de medidas técnicas. Debe hacerse después de la aplicación de medidas técnicas. Debe hacerse después de la aplicación de medidas organizativas. Debe complementar la aplicación de medidas organizativas y técnicas.

La ingeniería social es principalmente una amenaza para: La preservación de la confidencialidad. La preservación de la disponibilidad. La preservación de la integridad. La preservación de la trazabilidad.

La certificación CISM (Certified Information Security Manager) comprende los siguientes dominios de conocimiento: Gobierno, Gestión de riesgos, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. Gobierno, Auditoría, Gestión de riesgos y gestión de incidentes. Gobierno, Gestión de riesgos, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. Gobierno, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información.

Magerit es: Una metodología centrada en la amenaza. Una metodología centrada en el activo. Una metodología centrada en las partes interesadas. Una metodología centrada en la vulnerabilidad.

El nivel de riesgo se determina en función de: El activo y la probabilidad de ocurrencia. El activo y las consecuencias. El impacto y la probabilidad de ocurrencia. El activo y el impacto.

Según la NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar orientadas a: Las amenazas, al impacto en el activo o a probabilidad. Las amenazas, al impacto en el activo o a la vulnerabilidad. Al activo, vulnerabilidades o a las amenazas. Al Activo, al riesgo o la probabilidad.

¿Cuándo hay que proteger la información?. Durante su procesamiento y almacenamiento. Durante la transmisión hasta su destrucción. Durante el procesamiento principalmente. Durante todo el ciclo de vida.

La protección integral de un sistema de información requiere: La implantación de salvaguardas de un tipo. La implantación de una combinación de salvaguardas de carácter técnico. La implantación de salvaguardas de carácter técnico. La implantación de una combinación de salvaguardas de diferentes tipos.

El equipo contratado a una empresa para realizar un test de intrusión debe considerarse como: Un equipo de hackers. Un equipo de crackers. Un equipo de hacktivistas. Un equipo de testers (testeadores).

Un ataque de denegación de Servicio (DoS) es propio de: Hackers. Crackers. Administradores. Testers.

¿Cuál no es un dominio de la ISO 27001:2013?. Gestión de los activos. Relación con los clientes. Adquisición, desarrollo y mantenimiento de los sistemas de la información. Cumplimiento.

La seguridad de la información en una empresa debe tener en cuenta: Los datos transmitidos por las redes inalámbricas de la entidad. La confidencialidad de las llamadas realizadas por el departamento financiero cuando emplea VoIP. Los folios que contengan información de clientes. Las tres respuestas son correctas.

Para la renovación de la certificación CISM (Certified Information Security Manager) debes: Aprobar el examen, cumplir con la política de CPEs y pagar el mantenimiento. Cumplir con la política de CPEs y pagar el mantenimiento. Aprobar el examen y pagar el mantenimiento. Pagar el mantenimiento.

En función de cómo actúen las salvaguardas, estas pueden ser: Preventivas y reactivas. Preventivas y correctivas. Preventivas y adaptativas. Correctivas y reactivas.

De acuerdo a la ISO 27005, la probabilidad de que se materialice una amenaza específica no depende de: La facilidad de explotación de la vulnerabilidad. El número de activos. La facilidad de obtención de beneficio por parte del atacante. El atractivo del bien o el posible impacto.

La norma ISO 31000: Está orientada a organizaciones de todos los tipos y tamaños. Está orientada a organizaciones del sector Tecnologías de la Información y Comunicaciones (TIC). Está orientada a organizaciones de tamaño medio (pymes). Está orientada a organizaciones con un nivel de seguridad de la información medio.

La certificación Ethical Hacker es una certificación de: ISC2 (Information Systems Security Certification Consortium). ISACA (Information Systems Audit and Control Association). BSI (British Standards Institution). EC-Council.

¿Cuál no es un dominio de la ISO 27001:2013?: Gestión de los activos. Relación con los clientes. Adquisición, desarrollo y mantenimiento de los sistemas de la información. Cumplimiento.

¿Qué es la declaración de aplicabilidad (también conocida como SoA)?. Un documento que contiene los controles definidos en el estándar ISO 27001, su aplicabilidad y la justificación de su inclusión o exclusión en el SGSI. Un documento que contiene únicamente los controles incluidos en el alcance del SGSI. Un documento que define de qué forma se aplicarán e implementarán los controles definidos en el estándar ISO 27001. Una declaración de intenciones para la implantación del SGSI por parte de la Alta Dirección.

Indica cuales afirmaciones son correctas relacionadas con la clasificación de la información. La información tiene siempre el mismo grado durante todo el ciclo de vida de la misma. Los roles principales son el Owner, Custodian, Consumidor. Los administradores son responsables de la gestión de la información que utilizan durante su trabajo. Los usuarios no tienen por qué comprender y aplicar las políticas y procedimientos de seguridad, estas son tareas del departamento técnico.

Al seleccionar una metodología de gestión del riesgo debemos asegurarnos que sea: Objetiva, eficaz, medible y replicable. Replicable, fiable, medible y objetiva. Replicable, fiable, medible y subjetiva. Objetiva, fiable, medible y flexible.

Según la ISO 27005, un análisis de riesgos de alto nivel es mejor para: Identificar controles de tipo técnico. Identificar controles de tipo organizativo. Identificar vulnerabilidades técnicas. Identificar vulnerabilidades y controles de tipo técnico y organizativo.

Las opciones de tratamiento del riesgo: Se excluyen necesariamente unas a otras. Son apropiadas en todas las circunstancias. Incluyen la modificación de la probabilidad y de las consecuencias. A y C.

Un indicador es: Objeto tangible o intangible que será caracterizado a través de la medición de sus atributos. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado. Variable a la que se le asigna un valor como resultado de una medición. Medida que ofrece una estimación o evaluación de atributos específicos en un modelo de referencia de acuerdo a unas necesidades de información definidas.

Durante el periodo de transición de la norma ISO 27001:2022, ¿cuál es una afirmación FALSA?: Las empresas podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de octubre de 2023 (doce meses después de la publicación de la nueva versión). Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025 (tres años después de la publicación de la nueva versión). Las empresas pueden certificarse en la ISO 27001:2022 a partir de octubre de 2025. Las empresas pueden certificarse en la ISO 27001:2022 desde octubre de 2022.

En el contexto de ITIL, ¿cuál NO es una característica de las prácticas?. Son reactivas en lugar de predictivas. Son consistentes y medibles. Son adaptables. Son estables y proporcionan predictibilidad a los servicios de TI.

En el contexto del cuerpo normativo de seguridad, los procedimientos: Determinan el cómo. Especifican las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta de un sistema de información. Determinan el cómo. Especifican un conjunto ordenado de pasos en relación con la ejecución de un proceso o actividad. Determinan el por qué. Establecen la gestión de seguridad en la organización en función de los objetivos de negocio. Representan la declaración de intenciones de seguridad. Determinan el qué. Detallan aspectos concretos de la seguridad. Deben ser claras, concisas y no ambiguas.

Durante el periodo de transición de la norma ISO 27001:2022, ¿cuál es una afirmación FALSA?: Las empresas podrán certificarse y/o renovar su certificado bajo ISO 27001:2013 hasta el 25 de octubre de 2023 (doce meses después de la publicación de la nueva versión). Todos los certificados ISO 27001:2013 serán válidos hasta el 25 de octubre de 2025 (tres años después de la publicación de la nueva versión). Las empresas pueden certificarse en la ISO 27001:2022 a partir de octubre de 2025. Las empresas pueden certificarse en la ISO 27001:2022 desde octubre de 2022.

¿Cuál de las siguientes NO es una certificación relacionada con la Seguridad de la Información?. CISSP. CAE. CISM. CISA.

El coste de protección se conoce también como: Cost to fix vulnerabilities. Cost to build. Cost to break. Cost to rebuild.

La confidencialidad consiste en: Garantizar que la información no se ha transformado ni modificado de forma no autorizada durante su procesamiento, transporte o almacenamiento. Garantizar que la información no es conocida por personas, organizaciones o procesos que no disponen de la autorización necesaria. Garantizar la identidad del usuario que origina una información. Garantizar que en todo momento se podrá determinar quién hizo qué y en qué momento lo hizo.