Los proyectos de Desarrollo de cuerpo normativo entrarían en la categoría de: A. Auditoría técnica B. Cumplimiento C. Resiliencia D. Formación y concienciación.
La certificación CISM (Certified Information Security Manager) comprende los siguientes dominios de conocimiento: A. Gobierno, Gestión de riesgos, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información.
B. Gobierno, Auditoría, Gestión de riesgos y gestión de incidentes. C. Gobierno, Gestión de riesgos, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. D. Gobierno, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información.
El coste de ruptura: A. Es un coste que debe calcularse para la defensa del ataque B. Es directamente proporcional al coste de protección C. Es inversamente proporcional al coste de protección D. Es un coste que debe calcularse para la ejecución del ataque.
Para la renovación de la certificación CISM (Certified Information Security Manager) debes: A. Aprobar el examen, cumplir con la política de CPEs y pagar el mantenimiento. B. Cumplir con la política de CPEs y pagar el mantenimiento. C. Aprobar el examen y pagar el mantenimiento. D. Pagar el mantenimiento.
Un indicador es: A. Objeto tangible o intangible que será caracterizado a través de la medición de sus atributos. B. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado. C. Variable a la que se le asigna un valor como resultado de una medición. D. Medida que ofrece una estimación o evaluación de atributos específicos en un modelo de referencia de acuerdo a unas necesidades de información definidas.
Las opciones de tratamiento del riesgo: A. Se excluyen necesariamente unas a otras B. Son apropiadas en todas las circunstancias C. Incluyen la modificación de la probabilidad y de las consecuencias D. A y C.
La norma ISO 31000: A. Está orientada a organizaciones de todos los tipos y tamaños. B. Está orientada a organizaciones del sector Tecnologías de la Información y Comunicaciones (TIC). C. Está orientada a organizaciones de tamaño medio (pymes). D. Está orientada a organizaciones con un nivel de seguridad de la información medio.
Una amenaza es: A. La materialización de una vulnerabilidad B. Cualquier circunstancia potencial que puede afectar a la seguridad de los activos de información. C. El impacto de un incidente D. Es una debilidad del sistema informático que puede ser utilizada para causar un daño.
Las opciones de tratamiento del riesgo: A. No se excluyen necesariamente unas a otras B. Son apropiadas en todas las circunstancias C. Incluyen la modificación de la probabilidad, pero no de las consecuencias D. Todas las anteriores.
¿Cuándo hay que proteger la información? A. Durante su procesamiento y almacenamiento. B. Durante la transmisión hasta su destrucción. C. Durante el procesamiento principalmente. D. Durante todo el ciclo de vida.
La certificación Ethical Hacker es una certificación de: A. ISC2 (Information Systems Security Certification Consortium) B. ISACA (Information Systems Audit and Control Association) C. BSI (British Standards Institution) D. EC-Council.
¿Cuál no es un dominio de la ISO 27001:2013? A. Gestión de los activos. B. Relación con los clientes. C. Adquisición, desarrollo y mantenimiento de los sistemas de la información. D. Cumplimiento.
¿Qué es la declaración de aplicabilidad (también conocida como SoA)? A. Un documento que contiene los controles definidos en el estándar ISO 27001, su aplicabilidad y la justificación de su inclusión o exclusión en el SGSI. B. Un documento que contiene únicamente los controles incluidos en el alcance del SGSI. C. Un documento que define de qué forma se aplicarán e implementarán los controles definidos en el estándar ISO 27001. D. Una declaración de intenciones para la implantación del SGSI por parte de la Alta Dirección.
Indica cuales afirmaciones son correctas relacionadas con la clasificación de la información A. La información tiene siempre el mismo grado durante todo el ciclo de vida de la misma. B. Los roles principales son el Owner, Custodian, Consumidor C. Los administradores son responsables de la gestión de la información que utilizan durante su trabajo D. Los usuarios no tienen por qué comprender y aplicar las políticas y procedimientos de seguridad, estas son tareas del departamento técnico.
De acuerdo a la ISO 27005, la probabilidad de que se materialice una amenaza específica no depende de: A. La facilidad de explotación de la vulnerabilidad. B. El número de activos. C. La facilidad de obtención de beneficio por parte del atacante. D. El atractivo del bien o el posible impacto.
Magerit es: A. Una metodología centrada en la amenaza. B. Una metodología centrada en el activo. C. Una metodología centrada en las partes interesadas D. Una metodología centrada en la vulnerabilidad.
Cuándo hay que proteger la información? A. Durante su procesamiento y almacenamiento. B. Durante la transmisión hasta su destrucción. C. Durante el procesamiento principalmente. D. Durante todo el ciclo de vida.
En función de cómo actúen las salvaguardas, estas pueden ser: A. Preventivas y reactivas B. Preventivas y correctivas C. Preventivas y adaptativas D. Correctivas y reactivas.
Al seleccionar una metodología de gestión del riesgo debemos asegurarnos que sea: A. Objetiva, eficaz, medible y replicable B. Replicable, fiable, medible y objetiva C. Replicable, fiable, medible y subjetiva D. Objetiva, fiable, medible y flexible.
Una amenaza es: A. La materialización de una vulnerabilidad B. Cualquier circunstancia potencial que puede afectar a la seguridad de los activos de información. C. El impacto de un incidente D. Es una debilidad del sistema informático que puede ser utilizada para causar un daño.
Las dimensiones básicas de la seguridad son: A. Confidencialidad, no repudio y trazabilidad B. Confidencialidad, disponibilidad y trazabilidad C. Confidencialidad, integridad y trazabilidad D. Confidencialidad, integridad y disponibilidad.
La aplicación de medidas normativas: A. Garantiza la aplicación de medidas técnicas. B. Debe hacerse después de la aplicación de medidas técnicas. C. Debe hacerse después de la aplicación de medidas organizativas. D. Debe complementar la aplicación de medidas organizativas y técnicas.
La ingeniería social es principalmente una amenaza para: A. La preservación de la confidencialidad. B. La preservación de la disponibilidad. C. La preservación de la integridad. D. La preservación de la trazabilidad.
La certificación CISM (Certified Information Security Manager) comprende los siguientes dominios de conocimiento: A. Gobierno, Gestión de riesgos, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. B. Gobierno, Auditoría, Gestión de riesgos y gestión de incidentes. C. Gobierno, Gestión de riesgos, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información. D. Gobierno, Auditoría, Desarrollo y gestión del programa de seguridad y Gestión de incidentes de seguridad de la información.
Magerit es: A. Una metodología centrada en la amenaza. B. Una metodología centrada en el activo. C. Una metodología centrada en las partes interesadas. D. Una metodología centrada en la vulnerabilidad.
El nivel de riesgo se determina en función de: A. El activo y la probabilidad de ocurrencia. B. El activo y las consecuencias. C. El impacto y la probabilidad de ocurrencia. D. El activo y el impacto.
Según la NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar orientadas a: A. Las amenazas, al impacto en el activo o a probabilidad. B. Las amenazas, al impacto en el activo o a la vulnerabilidad. C. Al activo, vulnerabilidades o a las amenazas. D. Al Activo, al riesgo o la probabilidad.
¿Cuándo hay que proteger la información? A. Durante su procesamiento y almacenamiento. B. Durante la transmisión hasta su destrucción. C. Durante el procesamiento principalmente. D. Durante todo el ciclo de vida.
La protección integral de un sistema de información requiere: A. La implantación de salvaguardas de un tipo B. La implantación de una combinación de salvaguardas de carácter técnico C. La implantación de salvaguardas de carácter técnico D. La implantación de una combinación de salvaguardas de diferentes tipos.
El equipo contratado a una empresa para realizar un test de intrusión debe considerarse como: A. Un equipo de hackers. B. Un equipo de crackers C. Un equipo de hacktivistas. D. Un equipo de testers (testeadores).
Un ataque de denegación de Servicio (DoS) es propio de: A. Hackers B. Crackers C. Administradores D. Testers .
¿Cuál no es un dominio de la ISO 27001:2013? A. Gestión de los activos. B. Relación con los clientes. C. Adquisición, desarrollo y mantenimiento de los sistemas de la información. D. Cumplimiento.
La seguridad de la información en una empresa debe tener en cuenta: A. Los datos transmitidos por las redes inalámbricas de la entidad. B. La confidencialidad de las llamadas realizadas por el departamento financiero cuando emplea VoIP. C. Los folios que contengan información de clientes D. Las tres respuestas son correctas.
Para la renovación de la certificación CISM (Certified Information Security Manager) debes: A. Aprobar el examen, cumplir con la política de CPEs y pagar el mantenimiento. B. Cumplir con la política de CPEs y pagar el mantenimiento. C. Aprobar el examen y pagar el mantenimiento. D. Pagar el mantenimiento.
En función de cómo actúen las salvaguardas, estas pueden ser: A. Preventivas y reactivas B. Preventivas y correctivas C. Preventivas y adaptativas D. Correctivas y reactivas.
De acuerdo a la ISO 27005, la probabilidad de que se materialice una amenaza específica no depende de: A. La facilidad de explotación de la vulnerabilidad. B. El número de activos. C. La facilidad de obtención de beneficio por parte del atacante. D. El atractivo del bien o el posible impacto.
Las opciones de tratamiento del riesgo: A. Se excluyen necesariamente unas a otras B. Son apropiadas en todas las circunstancias C. Incluyen la modificación de la probabilidad y de las consecuencias D. A y C.
La norma ISO 31000: A. Está orientada a organizaciones de todos los tipos y tamaños. B. Está orientada a organizaciones del sector Tecnologías de la Información y Comunicaciones (TIC). C. Está orientada a organizaciones de tamaño medio (pymes). D. Está orientada a organizaciones con un nivel de seguridad de la información medio.
¿Qué es la declaración de aplicabilidad (también conocida como SoA)? A. Un documento que contiene los controles definidos en el estándar ISO 27001, su aplicabilidad y la justificación de su inclusión o exclusión en el SGSI. B. Un documento que contiene únicamente los controles incluidos en el alcance del SGSI. C. Un documento que define de qué forma se aplicarán e implementarán los controles definidos en el estándar ISO 27001. D. Una declaración de intenciones para la implantación del SGSI por parte de la Alta Dirección.
En el contexto de una métrica de seguridad, ¿qué es un atributo? A. Objeto tangible o intangible que será caracterizado a través de mediciones. B. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente. C. Variable a la que se le asigna un valor como resultado de una medición. D. Medida que ofrece una estimación o evaluación en un modelo de referencia de acuerdo a unas necesidades de información definidas.
Indica que no es cierto sobre ITIL A. ITIL recoge prácticas probadas de aplicabilidad general. B. ITIL es propietario. C. ITIL no es prescriptivo D. ITIL consiste en buenas prácticas.
¿Qué no es cierto respecto a la Política de seguridad? A. Recoge los principios y la estrategia de seguridad. B. Traduce la cultura organizativa a cultura de seguridad. C. Es el documento de mayor jerarquía en el ámbito de la seguridad D. Debe ser actualizada al menos anualmente.
En el cuerpo normativo, ¿qué niveles se suelen especificar?: A. Nivel estratégico, de operación y funcional. B. Nivel estratégico, táctico/gestión y de operación. C. Nivel estratégico, táctico y global. D. Nivel global, de gestión y de operación. .
Respecto al análisis de riesgos cuantitativo señale la respuesta incorrecta: A. Apoya de una manera más efectiva los análisis coste/beneficio. B. Dificulta la priorización de los riesgos C. Utiliza métodos en función de valores numéricos D. La subjetividad es difícil de plasmar.
En función de cómo actúen las salvaguardas, estas pueden ser: A. Preventivas y reactivas B. Preventivas y correctivas C. Preventivas y adaptativas D. Correctivas y reactivas.
Según la ISO 27005, ¿cuál de las siguientes no es una característica de los análisis de riesgos realizados con una perspectiva de alto alto nivel?: A. Se obtienen riesgos más generales. B. Proporciona controles de tipo organizativo. C. Dificulta la priorización de la protección de los sistemas más críticos. D. Facilita la aceptación del programa de apreciación de riesgos.
¿Cuál de las siguientes no forma parte del contexto interno de una organización? A. Misión, visión y valores. B. Política de recursos humanos. C. Huelga sectorial. D. Conflicto del comité de empresa.
Un indicador es: A. Objeto tangible o intangible que será caracterizado a través de la medición de sus atributos. B. Propiedad o característica de un objeto de medida, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado. C. Variable a la que se le asigna un valor como resultado de una medición. D. Medida que ofrece una estimación o evaluación de atributos específicos en un modelo de referencia de acuerdo a unas necesidades de información definidas.
Cuando se habla del concepto de separación de obligaciones, se hace referencia a: A. Para una determinada tarea, no haya nunca un solo usuario responsable de realizarla B. Solo se debe dar acceso a los usuarios a aquellos recursos de información que les sean absolutamente imprescindibles para realizar su trabajo C. Propone que las tareas asignadas a los empleados cambien de responsable de vez en cuando D. Condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados.
¿Cuál de los siguientes NO es un principio fundamental de ITIL? A. ITIL no es propietario B. ITIL es prescriptivo C. ITIL consiste en las mejores prácticas D. ITIL no es un estándar.
¿Para qué sirve un modelo de madurez? A. Para obtener el apoyo y el compromiso de la Dirección en la gestión de la seguridad de una organización B. Para alinear la definición de los proceos y sus interacciones con las mejores prácticas de los SG C. Para reducir el riesgo de una organización D. Para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y optimizable.
Los controles de gestión: A. Identifican y registran cualquier ataque o intento de ataque que se produzca contra los sistemas de información B. Se corresponden con medidas de carácter técnico implementadas en todos los niveles que conforman los sistemas de información C. Definen el modo de comportamiento a seguir para garantizar la seguridad. Políticas, procedimientos, etc. D. Son llevados a cabo a través de sistemas de información o procesos automatizados en cualquier circunstancia.
Una vez se ha aprobado el examen de la certificación CISSP, para mantener la misma es necesario: A. Cumplir con la política de CPE y con el código de ética. B. Cumplir con la política de CPE, con el código de ética y pagar las tasas de mantenimiento C. Pagar las tasas de mantenimiento D. Cumplir con el código de ética y pagar las tasas de mantenimiento. Los CPE son validados una única vez tras la aprobación del examen con la acreditación de experiencia profesional en los dominios.
¿Qué mitigaría una correcta concienciación de los usuarios finales? A. Los ataques de denegación de servicio. B. El nivel de éxito de los casos de phishing e ingeniería social. C. La explotación de vulnerabilidades técnicas. D. Los ataques de fuerza bruta en servicios autenticados publicados al exterior.
¿Qué es cierto respecto a la ISO/IEC 27002:2013? A. El orden de los capítulos implica orden de importancia. B. Da pautas de obligado cumplimiento a la hora de implementar los requisitos recogidos en la ISO 27001. C. No ha evolucionado desde su última publicación en el año 2005. D. Es una guía de referencia estructurada en 14 capítulos y 114 controles.
¿En qué consiste el principio de Necesidad de saber? A. Otorgar siempre los usuarios de red o de aplicación bajo justificación. B. Confirmación positiva de que una persona requiere acceso a una información para desempeñar una tarea. C. Garantizar a nivel técnico que todas las cuentas de red y de aplicación acceden únicamente a la información necesaria para llevar a cabo las tareas encomendadas. D. Restringir el acceso a la información mediante workflows.
¿Cuál no es un aspecto fundamental al definir la estrategia de un programa de concienciación?: A. El mensaje a transmitir y el canal para difundirlo. B. Identificar a quién irá dirigido y adecuar el mensaje en función de su rol en la organización. C. Decidir el calendario en el cual se llevarán a cabo las iniciativas. D. Identificar un interlocutor en cada uno de los departamentos o áreas de la organización en el alcance del programa.
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es una herramienta que ayuda a una organización a: A. Mejorar la prevención de pérdidas y la gestión de incidentes B. Minimizar las pérdidas C. Mejorar la resiliencia de la organización D. Todas las anteriores.
En ISO 31000 la apreciación del riesgo comprende: A. El establecimiento del contexto, la identificación, el análisis y la evaluación del riesgo B. La identificación, el análisis y la evaluación del riesgo C. La identificación, el análisis, la evaluación y el tratamiento del riesgo D. Ninguna de las anteriores.
La legislación española de Medidas de Impulso de la Sociedad de la Información(LISI): A. Carece de validez legal, porque no es práctica y nadie la está aplicando. B. Promueve el uso de medios electrónicos en la contratación, así como la facturación electrónica. C. Obliga a todas las empresas españolas, grandes, medianas y pequeñas. D. Ninguna es falsa.
¿Cuál de los siguientes forma parte de los objetivos específicos de la gestión del riesgo en CMMI? A. Determinar Fuentes y Categorías de Riesgo B. Determinar Planes de Migración de Riesgo C. Identificar y Analizar Riesgos D. Ninguna de las anteriores.
Respecto a las salvaguardas, ¿cuál de las siguientes afirmaciones es incorrecta? A. Reducen la probabilidad de materialización de la amenaza B. Disminuyen el impacto C. Proporcionan alerta temprana D. Elimina el riesgo.
Los proyectos de Desarrollo de cuerpo normativo entrarían en la categoría de: A. Auditoría técnica B. Cumplimiento C. Resiliencia D. Formación y concienciación.
¿Qué es la declaración de aplicabilidad (también conocida como SoA)?. A. Un documento que contiene únicamente los controles incluidos en el alcance del SGSI. B. Un documento que contiene los controles definidos en el estándar ISO 27001, su aplicabilidad y la justificación de su inclusión o exclusión en el SGSI. C. Un documento que define de qué forma se aplicarán e implementarán los controles definidos en el estándar ISO 27001. D. Una declaración de intenciones para la implantación del SGSI por parte de la Alta Dirección.
¿Cuál no es un dominio de la ISO 27001:2013?: A. Gestión de los activos. B. Relación con los clientes. C. Adquisición, desarrollo y mantenimiento de los sistemas de la información. D. Cumplimiento.
La diferencia fundamental entre la seguridad informática y la seguridad de la información está en: A. La seguridad de la información no tiene en cuenta el soporte o formato de la información a diferencia de la seguridad informática. B. La seguridad de la información no tiene en cuenta la dimensión técnica de la protección. C. La visión de la seguridad de la información es a más alto nivel que la que ofrece la seguridad informática. D. Realmente no hay diferencia alguna y se pueden usar indistintamente.
Cuál de las siguientes no forma parte del contexto externo de una organización? A. La situación internacional B. Una situación de sequía permanente C. Un conflicto laboral sectorial D. Ninguna de las anteriores.
Se considera que hay “materialización de riesgos legales”, cuando: A. Se produce una pérdida cuyo origen se sitúa en el incumplimiento o disconformidad con aquello prescrito por la ley o el derecho. B. Cuando su probabilidad es muy alta. C. Cuando su impacto es muy elevado. D. Ninguna de las anteriores.
La gestión del riesgo: A. Trata explícitamente la incertidumbre B. Debe ser parte de la toma de decisiones C. Debe ser sistemática, estructurada y oportuna D. Todas las anteriores.
La protección integral de un sistema de información requiere: A. La implantación de salvaguardas de diferentes tipos B. La implantación de una combinación de salvaguardas de carácter técnico C. La implantación de salvaguardas de carácter técnico D. La implantación de una combinación de salvaguardas de diferentes tipos.
Seleccione la respuesta correcta sobre los escenarios de riesgos: A. Pueden adoptar un enfoque top-down o bottom-up B. Depende de tamaño de la Organización y tiene un coste elevado C. Requiere de mucho tiempo y actualizaciones continuas D. Ninguna de las anteriores.
|
