Test de Gobierno de la Ciberseguridad

Indica cuál de las siguientes afirmaciones es correcta respecto a la seguridad de la información: Los procedimientos detallan a alto nivel los pasos que deben seguirse para implementar las políticas. Las directrices establecen normas de obligado cumplimiento sobre la configuración de distintos elementos del sistema. Una línea base puede servir para complementar un estándar con información adicional. Las políticas detallan los elementos software que la organización debería utilizar para cubrir objetivos de control de seguridad de la información.

Indica cuál de las siguientes afirmaciones es correcta respecto a la seguridad de la información: El custodio protege la información teniendo en cuenta el esquema de clasificación asignado por el propietario. El propietario implementa el esquema de clasificación por órdenes del responsable. El responsable define la clasificación y los usuarios la implementan valorando el tipo de información que manejan. No hay ningún caso posible en el que los roles de elaborador, custodio, propietario y usuario recaigan todos en la misma persona.

Indica cuál de las siguientes afirmaciones es verdadera: Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información exclusivamente. Las prácticas de ingeniería social tratan de explotar el factor humano para obtener datos confidenciales. La privacidad de los datos personales sensibles es el objetivo de mantener la confidencialidad. La clasificación de la información tiene como objeto establecer niveles de disponibilidad de la información.

Indica cuál de las siguientes opciones no es una posible vía para gestionar un riesgo de seguridad de la información: Contratar un seguro con una aseguradora que cubra la eventualidad de una pérdida de datos. Establecer controles sobre la forma en que los usuarios gestionan sus claves, por ejemplo, obligándolos a cambiarlas cada cierto tiempo. Cesando la ejecución de determinadas tareas que suponen riesgos de seguridad para la organización. Asumir el riesgo cuando los costes de hacerlo son pequeños.

Indica cuál de las siguientes afirmaciones es cierta: El costo de ruptura hace referencia al costo que la empresa asume cuando se produce una intrusión. En general, nunca se debe emplear en los recursos destinados a la protección de un activo, más dinero que el costo que la pérdida de este supondría a la organización. Los costos que asumen las empresas ante un incidente de seguridad de la información incluyen únicamente los costos de reparación de vulnerabilidades en el software. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La colocación de tornos en la entrada de un centro de datos es un ejemplo de medida física de seguridad de la información. La disponibilidad de la información no puede verse comprometida por una fuga de agua. La seguridad física de un sistema de información tiene como ámbito de aplicación de la empresa. Ninguna de las anteriores.

Indica cuáles de los siguientes son ejemplos de controles de seguridad: Facilitar el trabajo de los empleados permitiendo el uso de sus dispositivos móviles personales. Obligar a que las contraseñas sean robustas. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido ilegal. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La identificación de los usuarios es la autentificación de estos en el sistema. La criptografía permite establecer el almacenamiento seguro, pero no la transferencia de datos segura. El desarrollo de software seguro es más barato para los fabricantes de paquetes de software, dado que reduce el impacto económico de su responsabilidad legal. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: La clasificación de la información tiene como objetivo cumplir con los requisitos legales de su difusión. Una información clasificada como confidencial no puede ser reclasificada posteriormente. La clasificación de los recursos de información puede tener excepciones. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: Siempre es más importante reducir la probabilidad que el posible impacto al gestionar riesgos. La probabilidad de un ataque únicamente depende de la motivación económica de los atacantes. El coste de implantar una medida de protección no estará justificado desde el punto de vista de seguridad, si dicha medida no está vinculada a reducir un riesgo asociado. Ninguna de las anteriores.