SGSI

¿Qué ventaja tiene una política de seguridad documentada para una organización?. a) Facilita la auditoría y la evaluación externa de las prácticas de seguridad. b) Elimina la necesidad de capacitación de los empleados. c) Reduce el costo de operaciones. d) Aumenta el acceso a los recursos informáticos.

En criptografía la letra C representa: a) Texto en claro. b) Cifrado. c) Criptograma. d) Descifrado.

¿Cuál es el activo principal en el proceso de seguridad informática?. a) El almacenamiento de la información. b) La integridad de la información. c) Los sistemas informáticos. d) Los procesos de la organización.

En el caso práctico de "Favorita", ¿Qué tipo de trabajo realizará el nuevo RSI?. a) Administrativa. b) Dirección de proyectos de la seguridad de la información. c) Todas las respuestas son correctas. d) Operativa.

En el caso práctico de RSI y auditoría, ¿qué se puede hacer frente a la interrogante?. a) Lo que quiere saber es como y cuando realizar la mejora continua. b) Lo que quiere saber es cuando se va a implementar las acciones correctivas del análisis realizado. c) Lo que quiere saber es bajo que enfoque va a ponderar la probabilidad y el impacto de los riesgos. d) Lo que quiere saber es como mitigar los riesgos.

¿Qué diferencia fundamental existe entre la criptografía simétrica y la asimétrica?. 1. En la criptografía asimétrica, se usan claves públicas y privadas, mientras que en la simétrica se utiliza una sola clave compartida para cifrar y descifrar. 2. La criptografía simétrica no requiere un canal seguro para el intercambio de claves. 3. La criptografía asimétrica es más rápida que la simétrica. 4. En la criptografía simétrica se utilizan dos claves diferentes, mientras que en la asimétrica se utiliza una sola clave.

¿Qué importancia tiene la capacitación de los empleados en seguridad de la información?. a) Aumentar la carga de trabajo de los empleados. b) Facilitar la eliminación de contraseñas. c) Reducir los costos de las tecnologías de seguridad. d) Asegurar que los empleados comprendan los riesgos y sepan cómo proteger los activos de la empresa.

¿Qué describe el modelo PDCA utilizado en el SGSI?. a) Políticas, Datos, Controles y Auditorías. b) Proteger, Divulgar, Confirmar y Anular. c) Planificar, Hacer, Comprobar y Actuar. d) Prevenir, Detectar, Corregir y Adaptar.

¿Qué permite la norma UNE-ISO 31000?. a) Eliminar todos los riesgos en una organización. b) Facilitar un marco de trabajo para gestionar riesgos en cualquier tipo de organización. c) Garantizar la confidencialidad absoluta en cualquier circunstancia. d) Gestionar riesgos a través de procedimientos de control físico.

¿Qué establece una política funcional en seguridad de la información?. a) Guías flexibles para la implementación de herramientas de seguridad. b) Directrices detalladas para procesos específicos. c) Sanciones por incumplimiento. d) Normas obligatorias para todos los empleados.

¿Cuál es la principal diferencia entre la norma ISO 22301 y la norma ISO 27001?. a) ISO 22301 se enfoca en la gestión de continuidad del negocio, mientras que ISO 27001 se centra en la seguridad de la información. b) ISO 27001 se enfoca en auditorías, mientras que ISO 22301 regula software. c) ISO 22301 es una norma de certificación obligatoria, mientras que ISO 27001 es opcional. d) ISO 27001 trata exclusivamente sobre la confidencialidad de los datos.

¿Cuál es la diferencia entre seguridad de la información y seguridad informática?. a) La seguridad de la información se refiere a la integridad, disponibilidad y confidencialidad, mientras que la seguridad informática se centra en los sistemas informáticos. b) La seguridad de la información se aplica a los sistemas magnéticos y de almacenamiento en disco, mientras que la seguridad informática se aplica a otros tipos de almacenamiento. c) La seguridad de la información se aplica a los sistemas de almacenamiento, mientras que la seguridad informática cubre los procesos de la organización. d) Son sinónimos y se utilizan indistintamente.

¿Qué es la familia de normas ISO 27000?. a) Un conjunto de reglas enfocadas solo en empresas de tecnología. b) Normas que regulan el uso de software en organizaciones. c) Una certificación obligatoria para todas las empresas. d) Un grupo de normas que incluyen buenas prácticas para la seguridad de la información.

¿Qué atributos negativos o no deseables están relacionados con la seguridad de la información?. a) Magnéticos, discos sólidos, impresos y otros tipos de almacenamiento. b) Revelación, alteración y destrucción. c) Procesos de la organización y sistemas informáticos. d) Confidencialidad, integridad y disponibilidad.

¿Cuál es el objetivo de la Confusión?. a) Emplear la misma operación utilizada en el cifrado. b) Confundir al atacante de manera que no pueda establecer fácilmente una relación entre la clave de cifrado y el criptograma. c) Propagar las propiedades del texto original a lo largo de todo el criptograma. d) Ninguna respuesta es correcta.

¿Qué implica la seguridad de la información?. a) Proteger la información y establecer estrategias de defensa. b) Definir políticas de seguridad y aplicar procedimientos. c) Mitigar amenazas y controlar el tráfico de la red. d) Aplicar parches en el sistema y corregir vulnerabilidades.

¿Cuál es una de las fases de la mejora continua según el modelo de UNE-ISO 31000?. a) La evaluación y ajuste regular de los controles implementados. b) La reducción de costos en seguridad. c) La eliminación de todos los riesgos residuales. d) La modificación constante de los principios de gestión de riesgos.

¿Qué abarcan los principios de seguridad de la información mencionados en el texto?. a) Revelación, alteración y destrucción. b) Procesos de la organización y sistemas informáticos. c) Confidencialidad, integridad y disponibilidad. d) Magnéticos, discos sólidos, impresos y otros tipos de almacenamiento.

¿Cuál es el objetivo de la norma ISO 27001?. a) Establecer los requisitos necesarios para implementar un Sistema de Gestión de la Seguridad de la Información (SGSI). b) Crear un sistema de gestión de continuidad de negocio. c) Proporcionar buenas prácticas en la gestión de TI. d) Regular las auditorías internas de una empresa.

¿Cuál es el objetivo principal de la política de seguridad de la información?. a) Facilitar el acceso a la información confidencial. b) Establecer directrices y objetivos generales para la seguridad de la información. c) Controlar el uso de internet en la organización. d) Reducir costos operativos.

Dado el mensaje cifrado "HTRUZY", descifrarlo utilizando un cifrado César con un desplazamiento de -5. ¿Cuál es el mensaje original?. a) CYBER. b) COMPUT. c) SERVER. d) GOOGLE.

Encuentra el inverso multiplicativo de 3 en módulo 11. a) 7. b) 5. c) 9. d) 4.

La Criptografía asimétrica es también conocida como: a) Ninguna respuesta es correcta. b) clave secreta. c) clave pública. d) clave encriptada.

Analice el siguiente caso práctico de Megabot (acceso denegado a información). ¿Qué elemento o elementos de la seguridad informática se aplicó?. a) Integridad. b) Confidencialidad. c) Disponibilidad. d) No fué vulnerado ningún elemento de la seguridad ya que el sistema sigue funcionando correctamente.

¿Cuál es la importancia de un programa de sensibilización en seguridad?. a) Facilitar la adquisición de software de seguridad. b) Asegurar la implementación efectiva de políticas y procedimientos de seguridad. c) Permitir que los empleados subcontraten la gestión de riesgos. d) Reducir la cantidad de recursos asignados a seguridad.

¿Qué cuáles son las amenazas principales a la seguridad de la información?. a) Phishing y spam. b) Malware y virus. c) Accesos no autorizados. d) Revelación, alteración y destrucción.

¿Qué problema matemático se utiliza en la criptografía de clave pública para garantizar la seguridad?. a) El problema de factorización entera (PFE). b) La suma modular. c) El problema de la multiplicación de enteros grandes. d) El problema de las permutaciones.

Si aplicas un cifrado César con un desplazamiento de 3 a la palabra "SEGURIDAD", ¿cuál será el resultado?. a) VHJXULGDG. b) TFHUQJCEC. c) VGFWSKCEK. d) XILYWNMF.

¿Qué implica la confidencialidad en una estrategia de seguridad de la información?. a) Garantizar la seguridad física de los dispositivos de almacenamiento. b) Clasificar la información según su nivel de confidencialidad. c) Proteger los datos sensibles para su acceso exclusivo por personas autorizadas. d) Evitar la divulgación de información a terceros no autorizados.

¿Qué es un SGSI según la norma ISO 27001?. a) Un software de seguridad. b) Un conjunto de políticas de red. c) Un sistema de gestión de seguridad informática. d) Un Sistema de Gestión de Seguridad de la Información.

¿Qué es fundamental incluir en las buenas prácticas de una política de seguridad?. a) Controles de seguridad actualizados y claros que los empleados deben seguir. b) Directrices opcionales que los empleados pueden ignorar. c) Métodos para evitar auditorías internas. d) La delegación de la política a un tercero externo.

¿Cuál de las siguientes afirmaciones es correcta sobre un sistema de información?. a) Un sistema de información solo incluye componentes de hardware y software. b) Un sistema de información incluye componentes interrelacionados como software, hardware, procedimientos y estructuras organizativas. c) Un sistema de información no está relacionado con la toma de decisiones dentro de una organización. d) Un sistema de información no requiere una aproximación socio-técnica para su estudio.

La Criptografía simétrica es también conocida como: a) clave secreta. b) clave pública. c) Ninguna respuesta es correcta. d) clave encriptada.

¿Cuál es el objetivo principal de la gestión de riesgos?. a) Minimizar costos en la empresa. b) Crear nuevos roles en la organización. c) Asegurar la integridad y disponibilidad de la información. d) Incrementar la confidencialidad de los clientes.

¿Qué establece el subtema sobre el diseño de políticas de seguridad?. a) El diseño debe excluir la participación de la dirección. b) La política de seguridad se debe basar en una tecnología específica. c) El diseño debe incluir justificaciones claras para los riesgos y amenazas a mitigar. d) Las políticas deben ser implementadas únicamente en áreas de TI.

¿Qué componente no es parte del SGSI en la norma ISO 27001?. a) Estrategias comerciales. b) Políticas. c) Auditorías externas. d) Procedimientos.

Realice los siguientes ejercicios 55 mod 50, 55 mod 25, 5*5 mod 24. a) 0. b) 1. c) uno. d) 25.

¿Qué sección de la política debe detallar los riesgos que busca mitigar?. a) La descripción de la política. b) Las responsabilidades de los empleados. c) El propósito de la política. d) El ámbito de la política.

¿Cuál es el alcance de la seguridad de la información?. a) Controlar el tráfico entrante y saliente de la red. b) Identificar lo que se debe proteger, cómo se va a proteger y las amenazas a defender. c) Instalar un firewall y aplicar parches en el sistema. d) Aplicar correcciones puntuales y mitigar vulnerabilidades.

¿Qué son los estándares en una política de seguridad?. a) Procedimientos que explican los pasos detallados de una tarea. b) Declaraciones generales de alto nivel. c) Documentos que proporcionan recomendaciones opcionales. d) Herramientas que especifican el uso uniforme de tecnologías o métodos.

La seguridad de la información se limita a la aplicación de parches en el sistema. Falso. Verdadero.

En criptografía la letra D representa: a) Texto en claro. b) Cifrado. c) Criptograma. d) Descifrado.

En criptografía la letra M representa: a) Descifrado. b) Cifrado. c) Criptograma. d) Texto en claro.

¿Por qué es importante la actualización regular de las políticas de seguridad?. a) Para adaptarse a cambios en la tecnología, organización y amenazas. b) Para reducir el número de empleados. c) Para eliminar políticas obsoletas de seguridad. d) Para cumplir con auditorías internas.

¿Qué establece el capítulo 5 de la norma ISO 27001?. a) El proceso de auditoría externa. b) La política de confidencialidad. c) La relación entre normas de seguridad. d) El proceso de implementación del SGS.

¿Qué fase incluye el marco referencial de la UNE-ISO 31000?. a) Integración, diseño e implementación. b) Auditoría externa obligatoria. c) Adaptación y externalización. d) Evaluación y creación de nuevos riesgos.

¿Cuál es el objetivo de la difusión en criptografía?. a) Mantener la relación directa entre el texto original y el texto cifrado. b) Propagar las propiedades del texto original a lo largo del criptograma para ocultar la relación entre el texto original y el cifrado. c) Eliminar las propiedades del texto original antes de cifrarlo. d) Confundir al atacante sobre la relación entre la clave y el criptograma.

En criptografía la letra E representa: a) Descifrado. b) Texto en claro. c) Cifrado. d) Criptograma.

¿Qué papel juegan las políticas de seguridad en una organización?. a) Son temporales y cambiantes. b) Solo aplican al departamento de TI. c) Son opcionales y flexibles. d) Son obligatorias y definen las directrices de seguridad.

En el caso práctico del diseñador gráfico que no pudo implementar el diseño web, ¿Qué elemento de seguridad se vulneró?. a) Disponibilidad. b) Integridad. c) Confidencialidad. d) No fué vulnerado ningún elemento de la seguridad debido a que no fué implementado ningún diseño en el sistema.

¿Cuál es la importancia de la confidencialidad en una organización?. a) Evitar la pérdida o alteración de la información. b) Asegurar la continuidad del negocio frente a amenazas externas. c) Establecer políticas y procedimientos de seguridad. d) Proteger secretos comerciales y datos sensibles de la competencia.

¿Qué define la política general de seguridad?. a) El análisis de riesgos. b) La importancia de los recursos de información y el compromiso de la dirección con la seguridad. c) La utilización de tecnologías específicas. d) Las sanciones a los empleados.

¿Qué establece la norma UNE-ISO 31000 en relación con el riesgo?. a) Crear controles exclusivamente para los departamentos de TI. b) Prohibir la existencia de riesgos en la organización. c) Asumir que todos los riesgos son inevitables. d) Gestionar riesgos de forma sistemática, transparente y confiable.

¿Qué norma ISO complementa la norma ISO 27001 con buenas prácticas?. a) ISO 27002. b) ISO 22301. c) ISO 9001. d) ISO 27005.

¿Cuál es el resultado de 17 mod 5?. a) 4. b) 1. c) 2. d) 3.

Resuelve 15 + 22 mod 6. a) 5. b) 4. c) 1. d) 3.

¿Qué define un acuerdo de nivel de servicio (SLA) en la gestión de TI?. a) Un contrato que describe las responsabilidades entre proveedores y usuarios. b) Un plan de recuperación ante desastres. c) Un análisis de seguridad interna. d) Un informe de auditoría de sistemas.

¿Cuál es una amenaza a la confidencialidad?. a) El acceso no autorizado a través de vulnerabilidades en el sistema. b) El robo físico de dispositivos de almacenamiento. c) La utilización de troyanos para extraer información confidencial automáticamente. d) La divulgación no intencional de información por parte de los empleados.

La respuesta "SI ESTUDIO APRUEBO EL SEMESTRE" debe ser: a) En negrita. b) En cursiva. c) En mayúsculas. d) En minúsculas.

En el caso práctico del auditor y gestión de riesgos, ¿Bajo qué enfoque se está realizando la interrogante?. a) Lo que quiere saber es como y cuando realizar la mejora continua. b) Lo que quiere saber es cuando se va a implementar las acciones correctivas del análisis realizado. c) Lo que quiere saber es bajo que enfoque va a ponderar la probabilidad y el impacto de los riesgos. d) Lo que quiere saber es como mitigar los riesgos.

Utilizando un cifrado por columnas con 4 columnas, cifra el mensaje "INFORMACION". ¿Cuál es el criptograma resultante?. a) IFNORMAOCNX. b) IRINMOFANOCX. c) INORMACONIX. d) IOFRNMAICON.

En el caso práctico de Colgate sobre gestión de riesgos, después de identificar activos y riesgos, ¿Cuál será el siguiente paso?. a) Valoración de Riesgos. b) Mitigación de los Riesgos. c) Tratamiento de los Riesgos. d) Análisis de Riesgos.

¿Qué significa externalizar un riesgo en gestión de riesgos?. a. Asumir el riesgo dentro de la organización. b. Delegar la gestión del riesgo a un tercero. c. Evitar completamente el riesgo. d. Invertir en tecnología para mitigar el riesgo.

¿Cuál es la fase final del ciclo de vida de las políticas de seguridad?. a. Comunicación. b. Cumplimiento. c. Mantenimiento. d. Retiro.

¿Cuáles son los atributos negativos o no deseables relacionados con la seguridad de la información?. a. Confidencialidad, integridad y disponibilidad. b. Revelación, alteración y destrucción. c. Magnéticos, discos sólidos, impresos y otros tipos de almacenamiento. d. Procesos de la organización y sistemas informáticos.

Analice el siguiente caso práctico: La empresa "Favorita" tiene a bien de reforzar la seguridad de la empresa y contrata a un RSI, sabiendo que es una decisión correcta convoca a una junta general a sus socios para indicar que empezará un proceso de auditoría, que se llevará con la dirección de este nuevo trabajador, de acuerdo a los proyectos planificados. ¿Qué tipo de trabajo realizará este nuevo empleado. a. Dirección de proyectos de la seguridad de la información. b. Todas las respuestas son correctas. c. Operativa. d. Administrativa.

Analice el siguiente caso práctico: La empresa "Colgate" tiene como objetivo el fortalecimiento de la seguridad de la información de su empresa, para lo cual empieza un proceso de análisis y gestión de riesgos, el responsable de este proceso empieza un proceso de evaluación de riesgos con lo cual después de identificar los activos que tiene la empresa y identifica los riesgos para cada activo. ¿Cuál será el siguiente pasó?. a. Análisis de Riesgos. b. Mitigación de los Riesgos. c. Valoración de Riesgos. d. Tratamiento de los Riesgos.

Analice el siguiente caso práctico: La empresa "Favorita" tiene a bien de reforzar la seguridad de la empresa y contrata a un RSI, sabiendo que es una decisión correcta convoca a una junta general a sus socios para indicar que empezará un proceso de auditoría, que se llevará con la dirección de este nuevo trabajador, de acuerdo a los proyectos planificados. ¿Qué tipo de trabajo realizará este nuevo empleado?. a. Administrativa. b. Operativa. c. Todas las respuestas son correctas. d. Dirección de proyectos de la seguridad de la información.

Analice el siguiente caso práctico: La empresa Megabot tiene un sistema en el cual la gerencia y el area científica tiene acceso a la información de los proyectos futuros, un trabajador del area de Marketing quiere ingresar a dicha información para visualizar, pero no tiene acceso por contraseña invalida. ¿Qué elemento o elementos de la seguridad informática se aplicó?. a. Confidencialidad. b. Disponibilidad. c. No fué vulnerado ningún elemento de la seguridad ya que el sistema sigue funcionando correctamente. d. Integridad.

Analice el siguiente caso práctico: Una empresa mediana le contrata a un auditor para realizar un análisis y gestión de riesgos de la empresa, el auditor al ver el panorama de la empresa y después de realizar el análisis y evaluación de riesgos tiene una interrogante ¿Qué se puede hacer? ¿Bajo que enfoque se está realizando esta interrogante?. a. Lo que quiere saber es cuando se va a implementar las acciones correctivas del análisis realizado. b. Lo que quiere saber es como mitigar los riesgos. c. Lo que quiere saber es como y cuando realizar la mejora continua. d. Lo que quiere saber es bajo que enfoque va a ponderar la probabilidad y el impacto de los riesgos.

Analice el siguiente caso práctico: Un diseñador gráfico tiene que presentar un diseño web para la empresa en la que trabaja, por lo cual para implementarlo tuvo que suspender el sistema, sin embargo después de cargar el nuevo diseño no funcionó correctamente, por lo cual no se pudo probar el nuevo diseño, la buena noticia es que el sistema sigue funcionando correctamente aunque sin su nuevo diseño, pero el gerente presentó una demanda al diseñador debido a que incumplió su contrato, se fueron a un juicio por incumplimiento de contrato, llegando a un acuerdo que en un plazo de 3 meses volverán a probar el diseño ya implementado en el sistema. ¿Qué elemento o elementos de la seguridad se vulneró?. a. Integridad. b. No fué vulnerado ningún elemento de la seguridad debido a que no fué implementado ningún diseño en el sistema. c. Confidencialidad. d. Disponibilidad.