ISO 27K+1

¿Cuál es el nombre oficial completo de la norma ISO/IEC 27001:2022?. Seguridad de la información – Requisitos del SGSI. Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos. Gestión de riesgos de seguridad de la información – Directrices. Código de prácticas para controles de seguridad de la información.

¿Cuántos controles de seguridad contiene el Anexo A de la ISO/IEC 27001:2022?. 114. 133. 93. 72.

¿En cuántos grupos se organizan los 93 controles del Anexo A?. 14. 4. 10. 7.

¿Cuáles son las tres dimensiones principales de la seguridad de la información?. Autenticación, autorización y trazabilidad. Confidencialidad, integridad y disponibilidad. Prevención, detección y corrección. Identificación, protección y recuperación.

¿Qué propiedad asegura que la información no esté disponible ni sea revelada a quien no esté autorizado?. Integridad. Disponibilidad. Confidencialidad. No repudio.

¿Qué propiedad salvaguarda la exactitud y el estado completo de los activos?. Confidencialidad. Disponibilidad. Autenticidad. Integridad.

¿Qué estructura de alto nivel adopta la ISO 27001:2022 para mantener compatibilidad con otros sistemas de gestión?. Anexo B. Anexo SL. Anexo C. Marco COBIT.

¿Cuáles son las cláusulas obligatorias (requisitos) de la norma ISO 27001?. Cláusulas 1 a 7. Cláusulas 0 a 10. Cláusulas 4 a 10. Cláusulas 5 a 9.

¿Qué norma de la familia ISO 27000 se dedica a la gestión del riesgo de seguridad de la información?. ISO 27002. ISO 27003. ISO 27004. ISO 27005.

¿Qué norma de la familia ISO 27000 proporciona la guía de implementación de los controles?. ISO 27001. ISO 27002. ISO 27003. ISO 27006.

Una debilidad en un sistema de información que puede ser explotada por una amenaza se denomina: Riesgo. Impacto. Vulnerabilidad. Amenaza.

Un escenario donde una acción o suceso compromete la seguridad de un activo de información se denomina: Vulnerabilidad. Riesgo residual. Amenaza. Incidente.

El nivel de riesgo se expresa como la combinación de: Amenaza y vulnerabilidad. Consecuencias y probabilidad. Impacto y control. Activo y exposición.

¿Cuál de los siguientes NO es un ejemplo de vulnerabilidad?. Aplicativos con defectos sin testing. Un terremoto. Configuraciones defectuosas en redes. Entrenamiento insuficiente del recurso humano.

¿Qué norma proporciona los términos y vocabulario de la familia 27000?. ISO 27001. ISO 27000. ISO 27006. ISO 27003.

Según la Cláusula 4.2, ¿qué debe determinar la organización respecto a las partes interesadas?. Solo las partes interesadas internas. Las partes interesadas relevantes, sus requisitos y cuáles se abordarán mediante el SGSI. Únicamente los requisitos legales. Los proveedores de servicios tecnológicos.

¿De quién es la responsabilidad de demostrar liderazgo y compromiso con el SGSI?. Del responsable de TI. Del auditor interno. De la alta dirección. Del oficial de seguridad de la información.

Según la Cláusula 5.2, la política de seguridad de la información debe. Ser confidencial y solo accesible al comité de seguridad. Estar disponible como información documentada y comunicarse dentro de la organización. Aprobarse únicamente por el departamento de TI. Revisarse solo cuando ocurra un incidente grave.

¿Por qué el responsable de seguridad de la información NO debe depender jerárquicamente del área de TI?. Porque TI no tiene competencia en seguridad. Para cumplir con la segregación de funciones e independencia. Porque lo prohíbe la legislación. Para reducir costes operativos.

¿Qué documento se produce como resultado del tratamiento de riesgos según la Cláusula 6.1.3?. Plan de continuidad del negocio. Informe de auditoría interna. Declaración de Aplicabilidad (SoA). Política de seguridad.

¿Cuáles son las cuatro estrategias de tratamiento del riesgo?. Aceptar, rechazar, ignorar, documentar. Mitigar, asumir/retener, transferir, evitar. Prevenir, detectar, corregir, compensar. Identificar, analizar, evaluar, monitorear.

Transferir un riesgo implica: Cancelar la actividad que lo genera. Implementar controles para reducirlo. Compartir el riesgo con partes externas (seguros, tercerización). Asumir el riesgo en su nivel actual.

¿Qué cláusula de la norma trata sobre los recursos, competencia, concienciación y comunicación?. Cláusula 5 – Liderazgo. Cláusula 6 – Planificación. Cláusula 7 – Soporte. Cláusula 8 – Operación.

Según la Cláusula 8.1, la organización debe asegurar que los procesos provistos de forma externa: Sean eliminados del alcance del SGSI. Sean controlados. No requieran documentación. Sean auditados mensualmente.

¿Con qué frecuencia se deben realizar las evaluaciones de riesgos según la Cláusula 8.2?. Solo al inicio del SGSI. A intervalos planificados y cuando se propongan cambios importantes. Trimestralmente de forma obligatoria. Después de cada incidente de seguridad.

Según la Cláusula 9.1, los métodos de medición seleccionados deben producir resultados: Cuantitativos exclusivamente. Comparables y reproducibles. Aprobados por el auditor externo. Confidenciales.

¿Cuál es el propósito principal de la auditoría interna según la Cláusula 9.2?. Certificar el SGSI. Proporcionar información sobre si el SGSI cumple requisitos y se implementa efectivamente. Evaluar a los empleados. Aprobar la política de seguridad.

¿Qué debe incluir la revisión por la dirección como entrada según la Cláusula 9.3.2?. Solo los resultados de auditoría. Estado de acciones previas, cambios internos/externos, retroalimentación de desempeño, resultados de evaluación de riesgos, entre otros. Exclusivamente el presupuesto de seguridad. El plan de capacitación anual.

Los resultados de la revisión por la dirección deben incluir: La lista de empleados sancionados. Decisiones sobre oportunidades de mejora y necesidades de cambios al SGSI. La aprobación del presupuesto anual. El cronograma de auditorías externas.

Según la Cláusula 10.2, ante una no conformidad la organización debe primero: Notificar al organismo certificador. Reaccionar para controlarla y corregirla. Despedir al responsable. Solicitar una auditoría extraordinaria.

¿Qué diferencia fundamental existe entre la Cláusula 6 y la Cláusula 8?. No hay diferencia. La Cláusula 6 planifica el tratamiento de riesgos y la Cláusula 8 implementa dicho plan. La Cláusula 8 define la política y la Cláusula 6 la implementa. La Cláusula 6 es para auditoría y la Cláusula 8 para mejora.

¿Cuáles son los criterios que debe establecer la evaluación de riesgos según 6.1.2?. Criterios de aceptación de riesgos y criterios para llevar a cabo las evaluaciones. Criterios de auditoría únicamente. Criterios financieros y operativos. Criterios de competencia del personal.

El Anexo A de la ISO 27001 está alineado con: ISO 31000. ISO 27002:2022 capítulos 5 a 8. ISO 19011. ISO 27006.

¿Cuántos controles organizacionales hay en el Anexo A?. 8. 14. 34. 37.

¿Cuántos controles de personas hay en el Anexo A?. 8. 14. 34. 37.

¿Cuántos controles físicos hay en el Anexo A?. 8. 14. 34. 37.

¿Cuántos controles tecnológicos hay en el Anexo A?. 8. 14. 34. 37.

¿Los controles del Anexo A son exhaustivos?. Sí, cubren todos los posibles controles. No, pueden ser necesarios controles adicionales. Sí, pero solo para organizaciones grandes. No aplica para la versión 2022.

¿Qué proceso sigue la norma ISO 31000 referenciada en la ISO 27001?. Es específica del sector tecnológico. Proporciona directrices para gestionar cualquier tipo de riesgo, no específica de una industria. Solo aplica a riesgos financieros. Es exclusiva de la seguridad de la información.

¿Quién debe aprobar el plan de tratamiento de riesgos y aceptar los riesgos residuales?. El auditor interno. Los propietarios de los riesgos. El departamento de TI. El organismo certificador.

¿A qué grupo pertenece el control "Segregación de funciones"?. Controles tecnológicos. Controles físicos. Controles organizacionales (5.3). Controles de personas.

¿Cuál de los siguientes es un control de personas?. Segmentación de red. Perímetros de seguridad física. Trabajo remoto (6.7). Políticas de seguridad de la información.

El control "Escritorio y pantalla limpia" pertenece al grupo de: Controles organizacionales. Controles de personas. Controles físicos (7.7). Controles tecnológicos.

¿Qué control trata sobre la protección contra malware?. 8.5 – Autenticación segura. 8.7 – Protección contra malware. 8.12 – Prevención de fuga de datos. 5.7 – Inteligencia de amenazas.

¿A qué grupo pertenece el control "Uso de criptografía"?. Controles organizacionales. Controles físicos. Controles de personas. Controles tecnológicos (8.24).

El control 5.23 "Seguridad de la información para el uso de servicios Cloud" es un control: Tecnológico. Físico. Organizacional. De personas.

¿Qué control organizacional trata sobre la recopilación de evidencia?. 5.24. 5.28. 5.35. 5.37.

El control "Comprobaciones de verificación de antecedentes" (6.1) se aplica: A los sistemas tecnológicos. A las personas antes y durante el empleo. A las instalaciones físicas. A los proveedores exclusivamente.

¿Qué control tecnológico trata la separación de ambientes de desarrollo, pruebas y producción?. 8.29. 8.30. 8.31. 8.32.

El control "Enmascaramiento de datos" corresponde al número: 8.10. 8.11. 8.12. 8.13.

¿Qué control organizacional se relaciona con "Inteligencia de amenazas"?. 5.5. 5.6. 5.7. 5.8.

La "Preparación de las TIC para la continuidad del negocio" corresponde al control: 5.28. 5.29. 5.30. 5.31.

¿Qué control físico trata sobre el monitoreo de la seguridad física?. 7.1. 7.2. 7.4. 7.7.

El "Proceso disciplinario" es un control de: Controles organizacionales. Controles de personas (6.4). Controles físicos. Controles tecnológicos.

¿Qué control tecnológico se refiere a la "Codificación segura"?. 8.25. 8.26. 8.27. 8.28.

¿Qué control organizacional trata los "Derechos de propiedad intelectual"?. 5.31. 5.32. 5.33. 5.34.

El control "Filtrado web" corresponde al número: 8.20. 8.21. 8.22. 8.23.

¿Qué control de personas trata la "Confidencialidad y no divulgación de acuerdos"?. 6.4. 6.5. 6.6. 6.7.

El "Respaldo de información" corresponde al control tecnológico: 8.10. 8.11. 8.12. 8.13.

¿Qué control organizacional trata la "Clasificación de la información"?. 5.9. 5.10. 5.12. 5.13.

¿Qué norma proporciona la guía para auditoría de sistemas de gestión?. ISO 27001. ISO 27005. ISO 19011. ISO 31000.

¿Cuántos principios de auditoría establece la ISO 19011?. 5. 6. 7. 8.

¿Cuál de los siguientes NO es un principio de auditoría?. Integridad. Independencia. Rentabilidad. Confidencialidad.

El principio de "Presentación justa" se refiere a: Presentar los resultados en formato visual. La obligación de informar veraz y exactamente. Presentar solo hallazgos positivos. Hacer una presentación formal al auditado.

¿Qué principio establece que los auditores deben ser independientes de la actividad auditada?. Integridad. Debido cuidado profesional. Independencia. Enfoque basado en la evidencia.

En organizaciones pequeñas, si los auditores internos no pueden ser totalmente independientes: No se puede realizar la auditoría. Se deben hacer todos los esfuerzos para eliminar el sesgo y alentar la objetividad. Se debe contratar obligatoriamente un auditor externo. Se anula el principio de independencia.

Una auditoría de "primera parte" es: La primera auditoría realizada a una organización. Una auditoría interna. Una auditoría de certificación. Una auditoría realizada por un cliente.

Una auditoría de "tercera parte" es realizada por: La propia organización. Un cliente de la organización. Organismos de auditoría independientes (certificación). Los empleados de la organización.

¿Cuál es una cualidad personal que debe poseer un auditor?. Agresividad. Diplomacia. Inflexibilidad. Desconfianza.

El ciclo que se aplica al programa de auditoría es: DMAIC. PDCA (Planear-Hacer-Verificar-Actuar). SIPOC. FODA.

Una "no conformidad" en auditoría se define como: Una oportunidad de mejora. Un incumplimiento de un requisito especificado. Una sugerencia del auditor. Una buena práctica no documentada.

Una "observación" en auditoría es: Un hallazgo que indica cumplimiento total. Un hallazgo que podría generar una no conformidad si no es tratado. Un requisito nuevo de la norma. Una recomendación obligatoria.

Una "oportunidad de mejora" es: Una no conformidad menor. Un incumplimiento parcial. Una situación que no representa incumplimiento pero puede mejorar la eficacia del proceso. Un hallazgo crítico.

La redacción de una no conformidad debe incluir: Solo la opinión del auditor. La evidencia, la referencia al requisito y la conclusión. El nombre del empleado responsable. La sanción recomendada.

¿Quién facilita la reunión de cierre de una auditoría?. El representante de la alta dirección. El auditor líder. El oficial de seguridad de la información. Cualquier miembro del equipo auditor.

En la reunión de cierre se debe informar que: La evidencia recopilada es totalmente representativa de todos los procesos. La evidencia se basó en una muestra y no es necesariamente representativa de la eficacia general. Solo se encontraron no conformidades. La organización ha aprobado la certificación.

Las acciones correctivas derivadas de hallazgos de auditoría son decididas por: El auditor líder. El organismo certificador. El auditado dentro de un plazo acordado. La ISO directamente.

¿Qué método NO se utiliza para recopilar información durante una auditoría?. Entrevistas. Observación de actividades. Suposiciones del auditor. Revisión de documentos y registros.

Al establecer el programa de auditoría interna, la organización debe considerar: Solo el presupuesto disponible. La importancia de los procesos y resultados de auditorías previas. Exclusivamente los requisitos del auditor externo. La cantidad de empleados.

La verificación de la eficacia de las acciones correctivas puede realizarse: Solo durante la misma auditoría. Como parte de una auditoría posterior. Exclusivamente por el auditor externo. No es necesario verificarla.

Una organización no ha definido los criterios de aceptación de riesgos. ¿Qué cláusula incumple?. Cláusula 5.1. Cláusula 6.1.2. Cláusula 8.1. Cláusula 10.1.

Si una organización no revisa su SGSI a intervalos planificados por parte de la alta dirección, incumple: Cláusula 7.5. Cláusula 8.2. Cláusula 9.3. Cláusula 10.2.

Un auditor descubre que el responsable de seguridad reporta directamente al Director de TI. Esto es una debilidad respecto a: Control 5.1 – Políticas. Cláusula 5.3 – Segregación de funciones e independencia. Control 8.2 – Derechos de acceso privilegiado. Cláusula 7.2 – Competencia.

La Declaración de Aplicabilidad (SoA) debe contener: Solo los controles implementados. Los controles necesarios, justificación de inclusión/exclusión y si están implementados. La lista de empleados autorizados. El presupuesto de seguridad.

Si una organización decide comprar un seguro para cubrir un riesgo específico, está aplicando la estrategia de: Mitigar. Evitar. Transferir. Asumir.

Si una organización decide cancelar un proyecto porque genera riesgos inaceptables, está aplicando la estrategia de: Mitigar. Evitar. Transferir. Asumir.

El auditor que verifica si el SGSI cumple con la norma y los requisitos propios de la organización está realizando una auditoría según: Cláusula 8.2. Cláusula 9.2. Cláusula 10.1. Cláusula 6.1.

¿Qué debe hacer la organización si descubre que existen no conformidades similares que potencialmente podrían ocurrir?. Ignorarlas si no han ocurrido. Documentarlas y tomar acciones para eliminar las causas. Solo documentarlas sin acción. Esperar a la siguiente auditoría.

Un auditor que mantiene una actitud abierta y amigable durante la auditoría busca: Evitar encontrar hallazgos. Lograr que el auditado reconozca que el problema existe. Reducir el tiempo de auditoría. Obtener información confidencial.

¿Qué elemento NO forma parte de las entradas de la revisión por la dirección?. Estado de acciones de revisiones anteriores. Resultados de evaluación de riesgos. El presupuesto departamental de cada área. Retroalimentación de partes interesadas.

Si un control del Anexo A se excluye de la Declaración de Aplicabilidad, la organización debe: Ignorarlo sin más trámite. Justificar la exclusión. Solicitar aprobación del organismo certificador. Implementarlo parcialmente.

La norma ISO 27001 se alinea con la ISO 31000 en cuanto a: Controles tecnológicos. Principios y directrices de gestión de riesgos. Auditoría de sistemas. Competencias del personal.

¿Qué control del Anexo A está relacionado con la "Sincronización de relojes"?. 8.15. 8.16. 8.17. 8.18.

Un auditor que audita su propio departamento viola el principio de: Integridad. Presentación justa. Independencia. Debido cuidado profesional.

¿Cuál de los siguientes controles es NUEVO en la versión 2022 respecto a versiones anteriores?. Políticas de seguridad de la información. Inteligencia de amenazas (5.7). Control de acceso. Respaldo de información.

Para que el SGSI logre sus objetivos, la organización debe asegurar la concienciación según la Cláusula 7.3. ¿Qué deben conocer las personas?. Solo la política de seguridad. La política, su contribución al SGSI y las implicaciones de no cumplir. Solo sus funciones específicas. Los resultados de auditoría.

¿Qué acción NO corresponde al tratamiento de riesgos según la Cláusula 6.1.3?. Seleccionar opciones adecuadas de tratamiento. Determinar controles necesarios. Eliminar todas las amenazas identificadas. Formular un plan de tratamiento de riesgos.

Los controles de seguridad del Anexo A deben utilizarse en el contexto de: Cláusula 4.1. Cláusula 5.2. Cláusula 6.1.3. Cláusula 9.1.

¿Qué tipo de auditoría es la que realizan los clientes o partes interesadas de la organización?. Primera parte. Segunda parte. Tercera parte. Auditoría combinada.

La mejora continua del SGSI se refiere a mejorar su: Rentabilidad y productividad. Idoneidad, adecuación y eficacia. Complejidad y extensión. Documentación y burocracia.