ISO 27001

Respecto a la disponibilidad de la información, podemos afirmar que: Es un conjunto de actividades que nos permite presentar resultados esperados. Analizar y demostrar los efectos de no cumplir con lineamientos de protección de la información. Explicar lo relacionado a la autenticidad, la responsabilidad y el no repudio. Es la cantidad de tiempo que los usuarios pueden usar un sistema, aplicación y datos.

¿Cómo definimos el valor de la información?. La clasificamos en términos de requisitos legales, valor, criticidad y sensibilidad. Consideramos el ciclo de vida asociado a la información y su impacto en la organización. El origen y motivo de la información, como valor asignado por la organización y no por quien la recibe. La organización determina un valor variante y orientado a sus objetivos.

¿Cómo se relacionan la privacidad de la información con la seguridad de la información?. La privacidad de la información es la base de cualquier objetivo de la seguridad de información. La seguridad de la información establece que tecnologías se deben usarse en la privacidad de la información. La seguridad de la información permite establecer de qué forma y bajo qué condiciones debe actuar la privacidad de la información. La privacidad de información es un sistema de gestión mejorado y enfocado en solo los datos de una organización.

¿Qué es cierto sobre la familia de normas ISO 27000?. a. Todas son certificables. b. Permiten conocer definiciones y la importancia de implantar un SGSI. c. Explican al detalle cómo se implementa y gestiona un SGSI. d. Son parte de una estrategia para promover el Plan-Do-Check-Act en una organización.

¿Qué norma ISO permite establecer una estrategia de riesgos para la seguridad de la información?. a. ISO/IEC 27005:2022. b. ISO 31000:2018. c. Ambas normas se relacionan a riesgos. d. ISO/IEC 27035:2022.

Respecto a la ISO/IEC 27001:2022, y lo relacionado al contexto de la organización, podemos afirmar que: a. Usar la ISO/IEC 27001:2022, es la única forma como una compañía puede evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad. b. Existen otros framework que pueden apoyar a una organización a cumplir sus propios requisitos de seguridad. c. Solo se puede usar la Norma ISO/IEC 27000:2018 y la ISO/IEC 27002:2022 para cumplir con sus propios requisitos de seguridad. d. Las normas ISO/IEC 27001:2022 ayuda a entender el contexto de la organización.

Una organización no tiene necesariamente todo el control sobre: a. Aspecto social, cultural y estructura de organizacional. b. Aspecto político, legal y tecnológico. c. El gobierno corporativo, la estrategia y el ámbito económico. d. La percepción de la opinión pública, las estrategias y el cambio cultural.

¿Qué usamos para conocer y definir el contexto interno y externo de una organización?. a. Un análisis GAP (o de brechas). b. Un cuestionario de análisis financiero. c. Los resultados de una auditoria. d. Una entrevista con el gerente general de la organización.

Respecto al liderazgo, ¿Cuál no se puede considerar como parte ello?. a. Un gerente aprobando y firmando el presupuesto destinado al mantenimiento del SGSI. b. Una estrategia clara de comunicación para toda la organización y quienes estén dentro del alcance del SGSI. c. Los cambios a nivel de las gerencias y/o directores de inversión. d. Participar activamente en los simulacros de sismos e inundaciones.

¿Cuál es la definición de estándar?. a. Permite asegurar que se usen controles de seguridad consistentes en todo el sistema de TI. b. Establece como usar políticas o procedimientos de forma específica o flexible. c. Aplican solo a una parte de la organización y son utilizados por la dirección. d. Aquellos que incluyen un plan de acción para pruebas y auditorías de controles de seguridad.

¿Cuál es la función del ISM?. a. Realizar pruebas de seguridad. b. Ser un asesor de la alta dirección. c. Estar presente en las reuniones de directorio para informar la situación del SGSI. d. Visitar diferentes empresas para entender como aplican la seguridad de la información.

¿Cuál es una función del CISO?. a. Realizar informes, análisis y reducción de los impactos. b. Promover la educación y concientización de la seguridad. c. Proteger la información frente a posibles ataques cibernéticos. d. Aprobar el presupuesto asociado al SGSI.

¿Es correcto afirmar que la norma ISO/IEC 27001:2022 establece el Rol del CISO?. a. la norma no habla de roles específicos, pero si sugiere que se definan claramente las responsabilidades. b. Si lo menciona, incluso indica que debe ser un equipo organizado y correctamente definido en roles y funciones. c. No lo indica, pero sugiere que se nombre a un representante que este dentro de la gerencia. d. Sugiere que se capacite a una persona que posteriormente asuma ese rol.

¿Por qué es importante considerar un plan de gestión de incidentes?. a. Nos permite definir procedimientos de reporte y escalamiento ante un incidente de seguridad de información. b. Nos permite encontrar los culpables de los incidentes de seguridad de la información. c. Nos permite justificar los errores que comenten otros y que no guardan relación con el trabajo que realizamos en el SGSI. d. Nos permite deslindar responsabilidades ante fallas en la operación, continuidad y disponibilidad de los servicios.

Un hacker logra ingresar a la red de la compañía, Este según la ISO 27001 es considerado un incidente de seguridad de la información, el cual se define como: a. Circunstancia ocasional que genera amenazas y compromete la información. b. Generación de amenazas y la vulneración en la seguridad de la información. c. Situaciones de alta probabilidad de perdida de información. d. Evento o serie de eventos inesperados con probabilidad de comprometer la seguridad de la información.

¿Dónde encontramos los procedimientos para poder implementar la gestión de incidentes?. a. En la ISO/IEC 27001:2022. b. En la ISO/IEC 27002:2022. c. En la ISO/IEC 27005:2022. d. En la ISO/IEC 27035:2022.

En una organización a ocurrido un ataque de ramsonware, el área de IT ha demorado 04 horas en darse cuenta de ello. Nos encontramos ante un: a. Incidente de seguridad de información. b. Desastre de seguridad de información. c. En una fase de contención de un incidente de seguridad de información. d. En una situación que ha ocurrido de forma inesperada.

¿Cuál no es un campo importante a considerar en un reporte de incidente de seguridad de información?. a. Indicar alguna persona adicional que este informada del incidente. b. Nombre de la persona que reporta el incidente. c. Fecha y hora del incidente. d. Efecto del incidente.

Es un nuevo control dentro de la ISO/IEC 27002:2022. a. Contacto con las autoridades. b. Inteligencia de amenazas. c. Segregación de funciones. d. Políticas de seguridad de la información.

Respecto a la identificación de los requisitos legales, reglamentarios y contractuales, podemos afirmar que: a. Cualquier norma ISO es independiente de los reglamentos locales y requisitos legales. b. la norma ISO estipula que primero se debe cumplir con cualquier normativa local y luego lo que establece la norma. c. la Norma ISO no estipula nada al respecto, por no encontrarse en su ámbito de aplicación. d. Son usados para establecer procesos de implementación posteriores a cualquier sistema de gestión.

Un plan de continuidad de negocio (BCP) tiene por objetivo: a. Reducir las consecuencias de un desastre. b. Proteger a todos los activos de una organización. c. Organizar métodos y procedimientos para las fallas que duran un período de tiempo más largo. d. Permitir que la empresa pueda detener sus operaciones y volver a salir al mercado cuando este recuperada complementamente.

¿Cuál de los siguientes controles, forma parte de lo que definimos como "controles de organización"?. a. Búsqueda de amenazas. b. Seguridad Física. c. Controles de red. d. Derechos de propiedad intelectual.

Cuando una organización establece que tipo de información va a proteger y explica el motivo, estamos hablando de: a. Controles de clasificación de la información. b. Controles de etiquetado de la información. c. Controles de gestión de transferencia de información. d. Todas las anteriores.

¿Qué nombre recibe la metodología que recomienda la ISO/IEC 27001:2022 para su implementación?. a. Ciclo PCDA. b. Ciclo PACD. c. Ciclo PDCA. d. Ciclo PADC.

¿Cuál no es un control de seguridad fisica?. a. Control clímatico para proteger a los equipos. b. Software de malware para evitar infecciones en los equipos. c. Software de seguridad electrónica. d. Software de gestión de edificios integrado (BMS).

La probabilidad que una amenaza se materialice por una falla en nuestro SGSI, es conocida como: a. Vulnerabilidad. b. Riesgo. c. Impacto. d. No existe algún término asociado a ello.

Respecto a la definición de riesgo y su relación con la seguridad de la información, podemos afirmar que: a. Todo activo sufre una degradación o nivel de confianza, a pesar de recuperar su estado original. b. Todos los activos de una organización tienen riesgos, estén o no incluidos en el SGSI. c. Un activo puede tener varios dueños y a su vez cada dueño tener asociado varios riesgos. d. Todo activo tiene valor según como se mire.

La ISO/IEC 27005:2022 permite: a. Incluir y realizar actividades de gestión de riesgos de seguridad de la información. b. Ser un complemento de la ISO 31000:2018 en la gestión de riesgos de la seguridad de la información. c. Explicar todo el proceso de gestión de riesgos a nivel de la organización. d. Entender la seguridad de la información y como implementarla.

Respecto al proceso de gestión de riesgos, la ISO 31000:2018 y la ISO/IEC 27005:2022 indican que: a. Son procesos diferentes y con objetivos diferentes. b. Cada uno realiza la gestión de forma similar, pero es necesario que primero se implemente la seguridad de la información en la organización. c. En esta nueva versión no guardan relación alguna, siendo un proceso innovador y mejorado para los sistemas de información. d. Ambos son iguales y permiten tener un enfoque transversal con otros sistemas de gestión ya en uso dentro de la organización.

Para la ISO/IEC 27005:2022, las actividades de gestión de riesgo se estructuran como: a. input, acción, output. b. input, acción, ouput, orientación. c. input, acción, disparador, ouput, orientación. d. input, ouput, orientación.

Respecto a la planificación y control de las operaciones, podemos afirmar que: a. Permiten hacer una búsqueda, reconocimiento y descripción de los riesgos. b. No se asocia a la identificación de riesgos, pero si a su tratamiento. c. No se asocia al tratamiento de riesgos, pero si a como identificarlos. d. No se asocia a la identificación de riesgos, pero si a cómo tratarlos y analizarlos.

Sobre la identificación de riesgos, podemos afirmar: a. Naturaleza y nivel del riesgo. b. lista de activos y su valor. c. Escenarios y situaciones. d. Puede incluir datos históricos, opiniones informadas y de expertos, necesidades de partes interesadas.

En el análisis de riesgos, podemos considerar que: a. No necesita saber el valor del activo, pero si la descripción del mismo. b. Cuanto mayor sean las vulnerabilidades, mayor es la exposición de los activos. c. No requiere un balance en la inversión o costos, se debe enfrentar los riesgos sin tomar en cuenta ello. d. Identificamos solo las amenazas para realizar su estudio.

Cuando las pérdidas son a nivel financiero, estamos hablando de: a. Un análisis de impacto al negocio. b. Un análisis cuantitativo de riesgos. c. Un análisis situacional de la organización desde un enfoque financiero. d. Un análisis cualitativo de riesgos.

Como resultado de un tratamiento de riesgos, la organización tendrá que: a. Aceptar todos los riesgos. b. Aceptar o tratar el riesgo. c. Evaluar el ciclo de vida de los riesgos. d. Eliminar todo riesgo que no cuente con presupuesto.

¿En seguridad de la información, el flujo de comunicación debe ser constante y a todo nivel?. a. No necesariamente, se debe evaluar que comunicar, a quien comunicar, cuándo y cómo hacerlo. b. Si, porque eso demuestra nuestra apertura a seguir mejorando de forma continua. c. Solo a la alta dirección y al CISO. d. Solo a nivel de la organización.

¿Es correcto afirmar que la organización debe buscar el personal idóneo para su estrategia de seguridad de información? ¿por qué?. a. Si, y debe realizar procesos de selección externos para ello. b. Si, siempre que primero realice todos los esfuerzos necesarios para que las personas de su organización adquieran la competencia necesaria y evalúen su desempeño. c. No, debe primero seleccionar al CISO y luego ser él quien determine su equipo de trabajo. d. No, porque ello significaría que tiene que despedir a parte de su personal.

Los sistemas de gestión de seguridad de información, deben: a. Mantener toda la documentación sin mayores cambios y en un lugar adecuado. b. Evitar las modificaciones, puesto que ello significaría que sus estrategias no fueron adecuadas. c. Llevar un control de cambios, actualizar, identificar y describir adecuadamente toda la documentación asociada al sistema de gestión de la seguridad de la información. d. Retrasar cualquier cambio en su documentación hasta la realización de una auditoria.

Respecto a la concienciación, debemos indicar que: a. Contribuye a una mayor eficacia del sistema de gestión de seguridad de información. b. Es aplicable solo para los miembros de la organización. c. Requiere un presupuesto alto y la participación de la alta dirección. d. Debe darse al menos 1 vez año, tal como lo indica la ISO/IEC 27001:2022.

¿A quiénes aplica una capacitación inicial?. a. Al personal existente de una organización. b. A todo personal nuevo. c. A los proveedores. d. A todo personal nuevo o a quienes se transfieran a nuevos puestos o roles.

Marque la información que es correcta: a. El reglamento de trabajo incluye un código de conducta asociado a la seguridad de la información. b. El código de conducta incluye el reglamento de trabajo asociado a la seguridad de la información. c. las sanciones asociadas a la seguridad de información son comunicadas de forma independiente a reglamento de trabajo. d. El código de conducta tiene las sanciones de la organización.

Los programas de concienciación, educación y capacitación en seguridad de la información deben: a. Ser dictadas por empresas consultoras con experiencia en estas actividades. b. Ser de acuerdo con la política de seguridad de la información de la organización y sus procedimientos relevantes. c. Estar a cargo de RRHH y supervisados por la alta dirección. d. Ser simples y darse al menos 01 vez al año.

Toda charla o capacitación en seguridad de la información debe: a. Evaluar la comprensión del personal, lo cual se da al final de dicha actividad. b. Ser espontánea y dictada por cualquier integrante de la organización. c. Ser supervisada por RRHH, tal como lo indica la ISO/IEC 27001:2022. d. Todas son correctas.

No es un control asociado a la tecnología: a. Segregación de redes. b. Filtro Web. c. Segregación de funciones. d. Gestión de configuración.

Todo control tecnológico debe ser: a. Documentado, revisado y actualizado según corresponda. b. Debe ser explicado a la alta dirección. c. Se actualizado en caso de obsolescencia tecnológica. d. asociado a una única herramienta tecnológica.

Los propietarios de los activos deben revisar los derechos de acceso de usuario a intervalos regulares, ¿a qué tipo de control pertenece?. a. Restricción de acceso a la información. b. Controles de red. c. Derechos de acceso con privilegios. d. Seguridad de los servicios de red.

El uso de la criptografía tiene que ver con: a. La disponibilidad de información. b. La integridad de la información. c. La integridad y confidencialidad de la información. d. La confidencialidad y disponibilidad de información.

Las redes y los dispositivos de red deben protegerse, administrarse y controlarse para proteger la información en los sistemas y aplicaciones. a. Seguridad de las redes. b. Controles de criptografía. c. Seguridad de los servicios de red. d. Segregación en redes.

Respecto a la evaluación del desempeño: a. La organización determinara quien debe monitorear y medir. b. No se establece como realizar las mediciones o evaluaciones. c. Nos dice que debemos aplicar una auditoria para tener la evaluación. d. Nos pide usar otros framework para realizar esta acción.

¿En qué consiste una auditoría interna?. a. Aquella que es realizada por una empresa consultora, la solicita el CISO. b. Revisar si el sistema de gestión de seguridad de la información alcanza sus objetivos, cumple con la documentación solicitada, esta adecuadamente implementado y en mantenimiento. c. Aquellas que son realizadas de forma inesperada por el CISO. d. A una revisión de los indicadores de gestión.