SGSI

Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad de la información. A. Los procedimientos detallan los pasos que deben seguirse para implementar las políticas. B. Las directrices establecen normas de obligado cumplimiento sobre la configuración de distintos elementos del sistema. C. Una línea base puede servir para complementar un estándar con información adicional. D. Las políticas detallan los elementos software que la organización debería utilizar para cubrir objetivos de control de seguridad de la información.

¿Cuál de las siguientes afirmaciones es correcta respecto a la clasificación de la información?. A. El custodio protege la información teniendo en cuenta el esquema de clasificación asignado por el propietario. B. El propietario implementa el esquema de clasificación por órdenes del responsable. C. El responsable define la clasificación y los usuarios la implementan valorando el tipo de información que manejan. D. No hay ningún caso posible en el que los roles de elaborador, custodio, propietario y usuario recaigan todos en la misma persona.

Indica cuáles de las siguientes afirmaciones son verdaderas: A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información exclusivamente. B. Las prácticas de ingeniería social tratan de explotar el factor humano para obtener datos confidenciales. C. La privacidad de los datos personales sensibles es el objetivo de mantener la confidencialidad. D. La clasificación de la información tiene como objeto establecer niveles de disponibilidad de la información.

Indica cuáles de las siguientes son posibles vías para gestionar un riesgo de seguridad de la información: A. Contratar un seguro con una aseguradora que cubra la eventualidad de una pérdida de datos. B. Establecer controles sobre la forma en que los usuarios gestionan sus claves, por ejemplo, obligándoles a cambiarlas cada cierto tiempo. C. Cesando la ejecución de determinadas tareas que suponen riesgos de seguridad para la organización. D. Asumir el riesgo cuando los costes de hacerlo son pequeños.

Indica cuál de las afirmaciones siguientes es cierta: A. El coste de ruptura hace referencia al coste que la empresa asume cuando se produce una intrusión. B. En general, nunca se debe emplear en los recursos destinados a la protección de un activo, más dinero que el coste que la pérdida del mismo supondría a la organización. C. Los costes que asumen las empresas ante un incidente de seguridad de la información incluyen únicamente los costes de reparación de vulnerabilidades en el software. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas. A. La colocación de tornos en la entrada de un centro de datos es un ejemplo de medida física de seguridad de la información. B. La disponibilidad de la información puede verse comprometida por una fuga de agua. C. La seguridad física de un sistema de información tiene como ámbito de aplicación únicamente los edificios corporativos de la empresa. D. Ninguna de las anteriores.

Indica cuáles de los siguientes son ejemplos de controles de seguridad: A. Facilitar el trabajo de los empleados permitiendo el uso de sus dispositivos móviles personales. B. Obligar a que las contraseñas sean robustas. C. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido ilegal. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: A. La identificación de los usuarios es la autentificación de los mismos en el sistema. B. La criptografía permite establecer almacenamiento seguro pero no transferencia de datos segura. C. El desarrollo de software seguro es más barato para los fabricantes de paquetes de software, dado que reduce el impacto económico de su responsabilidad legal. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: A. La clasificación de la información tiene como objetivo cumplir con los requisitos legales de su difusión. B. Una información clasificada como confidencial no puede ser reclasificada posteriormente. C. La clasificación de los recursos de información puede tener excepciones. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es cierta: A. Siempre es más importante reducir la probabilidad que el posible impacto al gestionar riesgos. B. La probabilidad de un ataque únicamente depende de la motivación económica de los atacantes. C. El coste de implantar una medida de protección no estará justificado desde el punto de vista de seguridad, si dicha medida no está vinculada a reducir un riesgo asociado. D. Ninguna de las anteriores.

Indica cual no es un objetivo del gobierno de la seguridad: A. Alinear los objetivos de seguridad con los objetivos estratégicos. B. Lograr siempre el mínimo coste en el proceso de seguridad. C. Gestionar de forma adecuada los riesgos de la seguridad de la información. D. Manejar de la mejor forma posible los recursos disponibles para alcanzar los objetivos fijados.

Indica qué fases de las siguientes nunca formarán parte de un Plan Director de Seguridad. A. Diagnóstico del estado de la seguridad de la información actualmente en una entidad. B. Cumplir todos y cada uno de los controles definidos en el estándar ISO/IEC 27001. C. Identificación de la diferencia de madurez en seguridad de la información de la entidad en la actualidad respecto al estado deseado. D. Adquirir la última tecnología de seguridad disponible en el mercado para así acometer con garantías el plan de proyectos.

Indica qué roles están involucrados en la seguridad de la información de una empresa: A. El encargado de la limpieza en las oficinas. B. El responsable de cumplimiento normativo de la entidad. C. El CEO de la empresa. D. Todos estos roles tienen implicación en la seguridad de la información de una empresa.

Indica cuáles de los siguientes aspectos están contemplados por la ISO 27001. A. El mantenimiento de los equipos informáticos en la empresa. B. El nombramiento de un comité específico y único para la continuidad del negocio. C. La implantación de un modelo organizativo corporativo que unifique las áreas de seguridad física y seguridad lógica en una sola. D. La ubicación adecuada de las copias de respaldo.

Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001. A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de Gestión de la Seguridad de la Información. B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los Sistemas de Gestión de la Seguridad de la Información. C. ISO 27001 considera como uno de los elementos fundamentales el compromiso de la dirección, requisito imprescindible para el establecimiento de un Sistema de Gestión de la Seguridad de la Información. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de calidad de los servicios en diferentes dimensiones. B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un sistema de seguridad si quiere ser compatible con ITIL. C. ITIL solo es compatible con la última versión de la ISO 27001, pero no lo fue con las anteriores. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones son ciertas: A. Un SGCN tiene como fin solventar cualquier disrupción de los procesos y servicios por pequeña que esta sea. B. Las pruebas en un Plan de Continuidad de Negocio son recomendables, pero no realmente necesarias si se han definido e implantado las fases anteriores de forma correcta. C. ISO 22301 e ISO 27001 son complementarias y pueden ser implantadas en una organización creando sinergias entre ambas. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas. A. La última versión de la ISO 27001 se basa en un modelo PDCA de mejora continua. B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la Información debe estar motivada por decisiones tácticas referentes a la mejora de los costes asociados con la seguridad. C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información debe comprender a toda la organización, para garantizar que no existe ninguna posibilidad de intrusión en ninguno de sus niveles. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas. A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento de los requisitos del Sistema de Gestión de la Seguridad de la Información. B. Según ISO 27001, el apoyo explícito y formal de la dirección solo será necesario si la organización no cuenta con la suficiente madurez en seguridad de la información. C. La política de seguridad de la información es el documento que debe comunicarse a toda la empresa y a partir del cual se deriva el resto de los requisitos del sistema. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas: A. El modelo CMMI permite medir el nivel global de madurez de los procesos de una organización. B. El modelo CMMI permite medir el nivel de capacidad de un área de proceso en una organización. C. Según CMMI, en un nivel de madurez inicial el proceso está bien definido pero aún no está gestionado. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. Los programas de gestión de la seguridad incluyen siempre cursos de capacitación técnica en hacking ético. B. La gestión del riesgo incluye el desarrollo de programas de gestión de la seguridad que cubran las diferentes necesidades. C. Los programas de gestión de la seguridad se deben evaluar periódicamente para analizar su efectividad. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta. A. En la gestión de riesgos de seguridad se debe considerar como prioritario aquellas vulnerabilidades que pueden tener un impacto mayor en términos económicos. B. Todos los riesgos deben llevar a la implantación de controles para su mitigación. C. El origen de la amenaza en la gestión de riesgos es cada una de las vulnerabilidades. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta. A. Las contramedidas se implementan sin tener en cuenta los riesgos identificados. B. La gestión del riesgo se basa en el análisis de los indicadores relativos al número de intrusiones que se han detectado en cada periodo. C. La gestión de riesgos se basa siempre en una escala cuantitativa. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta sobre el factor de exposición. A. Depende del valor del recurso en sí. B. Depende del impacto de la pérdida en el recurso. C. Depende de la probabilidad de la amenaza. D. Ninguna de las anteriores.

El cumplimiento de lo definido en un documento categorizado como directriz en una entidad: A. Es obligatorio en función de quién apruebe el documento. B. Depende del alcance de aplicación. C. Es opcional, pero debe ser tenido en cuenta. D. Ninguna de las anteriores.

Indica cuál de las siguientes afirmaciones es correcta sobre la tasa de ocurrencia. A. Determina el impacto final dado que representa la probabilidad de ocurrencia. B. En caso de que haya información, puede estimarse mediante frecuencias registradas en el pasado. C. Siempre se presenta en forma de tasa anual. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. El valor de los recursos en el análisis de riesgo se debe hacer a partir de su valor de mercado, y es sólo aplicable a los que lo tienen. B. El valor de los recursos nunca puede estimarse por el lado de los costes de pérdida, en caso de que sean medibles. C. Algunos recursos tienen un valor estratégico para el mantenimiento del negocio, que son superiores a los costes invertidos en obtenerlos. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas respecto a las políticas de seguridad. A. Indican los objetivos de la seguridad, pero no la manera concreta de obtenerlos. B. Los servidores NAS en RADIUS son los únicos que controlan la información de contabilidad. C. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del correo electrónico. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. Las políticas de seguridad han de ser coherentes con las políticas globales corporativas. B. Las políticas son uno de los elementos que se pueden analizar dentro de una auditoría de seguridad de la información. C. Las políticas deben describirse para aquellos procesos o tareas dentro de la empresa en la que se tiene contacto con el exterior, y por tanto hay una posibilidad de intrusión o pérdida de confidencialidad. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. Las políticas de seguridad deben definir los responsables de su cumplimiento, en términos de roles. B. Las políticas de seguridad deben definir el software que se debe utilizar en cada ámbito de aplicación. C. Las políticas de seguridad pueden basarse en estándares externos. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de seguridad de la información. A. La certificación CAP tiene un contenido técnico equivalente a la certificación CISSP. B. Las certificaciones son títulos como las titulaciones, que se obtienen y no necesitan renovarse. C. La certificación CISSP solo puede obtenerse cuando se tiene experiencia profesional en el área. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones respecto a los hackers éticos son ciertas. A. No forman parte activa de la comunidad de la seguridad de la información. B. Pueden actuar al margen de la ley siempre que su fin no sea malicioso. C. Todos los hackers utilizan técnicas similares pero los así denominados se basan en un código ético. D. Ninguna de las anteriores.

Indica cuáles de las siguientes tareas relativas al profesional de la seguridad de la información, se podrían encuadrar en el ámbito de la resiliencia: A. La supervisión de los procedimientos técnicos de restauración para levantar la infraestructura IT en caso de disrupción. B. El diseño de las estrategias de recuperación de las diferentes aplicaciones de negocio. C. La operación de los sistemas del CPD de contingencia en caso de quedar inutilizado el datacenter principal. D. El análisis de la replicación de los datos entre el CPD principal y el secundario de una organización.

¿Cuáles de las siguientes propuestas se podrían poner en marcha en una organización para favorecer la seguridad integral?. A. Crear la posición de CSO (Chief Security Officer) a la que reportarían tanto las áreas de seguridad física como de seguridad lógica. B. Crear un único departamento de seguridad (tanto física como lógica) en la entidad bajo un solo responsable sin tener en cuenta especializaciones para favorecer la homogeneización de los empleados. C. Creación de un framework corporativo de seguridad integral que permita dar una respuesta a los riesgos de forma convergente. D. Ninguna de las anteriores.

¿Cuál podría ser el objetivo de realizar un test de intrusión sobre la infraestructura tecnología de una central nuclear?. A. Evaluar la eficacia de las medidas de seguridad que el operador adoptó para proteger la central de acuerdo a la legislación vigente respecto a la protección de infraestructuras críticas. B. Certificar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información en la entidad. C. Revelar los puntos débiles de un sistema de control industrial. D. Analizar la capacidad de resiliencia con el que cuenta la planta nuclear.

En relación al área de cumplimiento, ¿qué tipo de tareas podría llevar a cabo el profesional de la seguridad de la información?. A. Revisar si la empresa subcontratada para limpiar las salas y despachos de la entidad ha firmado un acuerdo de confidencialidad. B. Identificar todas las normativas y regulaciones vigentes con aplicación en la organización. C. Asegurar la coherencia de todo el cuerpo normativo de seguridad en la entidad, identificando posibles inconsistencias. D. Revisión desde un punto de vista jurídico de las cláusulas de los contratos firmados por el departamento de IT.

¿Qué aspectos de los siguientes son una muestra del reconocimiento de la seguridad de la información como profesión?. A. La existencia de multitud de conferencias de seguridad y foros de debate relacionados con el sector. B. En caso de que haya información, puede estimarse mediante frecuencias registradas en el pasado. C. El número cada vez más elevado de ataques contra empresas y entidades a lo largo de todo el mundo. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la profesión dentro del área de la seguridad de la información. B. La profesión de la seguridad de la información cuenta con cuerpos de conocimientos definidos y una cultura profesional como otras profesiones diferenciadas. C. La profesión de la seguridad de la información cuenta con cuerpos de conocimientos definidos y una cultura profesional como otras profesiones diferenciadas. D. Ninguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. A. Las revistas académicas del área de la seguridad de la información son el principal medio de formación básica para los profesionales de la seguridad de la información. B. Se llama hacker ético a cualquier profesional de la seguridad de la información. C. Un hacker ético puede realizar acciones de penetration testing contra una empresa siempre que no perciba beneficios económicos por ello. D. Ninguna de las anteriores.

Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la certificación CISSP: A. La seguridad física de los sistemas. B. La regulación sobre la protección de datos. C. El desarrollo de software seguro. D. El desarrollo de software seguro.

¿Cuál de las siguientes opciones se refiere a la capacidad de una organización para continuar proporcionando productos o prestando servicios dentro de unos niveles predefinidos tras una disrupción?. Gestión de Continuidad del negocio. Continuidad del Negocio. Sistema de Gestión de Continuidad del Negocio. Ninguna de las anteriores.

Implementar un SGCN después de que se produzca la disrupción, en lugar de responder sin planificación alguna después del incidente, permitirá a la organización reanudar las operaciones antes de que se generen niveles de impacto inaceptables. Verdadero. Falso.

Los elementos indispensables que integran la Gestión de la Continuidad del Negocio son: Planes de continuidad y programa de Pruebas y ejercicios. Análisis de Impacto al Negocio y riesgos. Estrategias y soluciones de continuidad del negocio. Todas las anteriores.

Este programa permite a la organización validar la eficacia de las soluciones, los planes y los procedimientos que se han implantado. Programa de concientización. Programa de mejora continua. Programa de ejercicios y pruebas. Todos los anteriores.

Este tipo de análisis permite a la organización evaluar el impacto que la disrupción de sus actividades tendría en la entrega de sus productos y servicios. Esto permite a la organización priorizar la reanudación de las actividades. Análisis de Impacto al Negocio. Análisis de impacto a los aplicativos. Análisis funcional del Plan de continuidad del negocio y de recuperación de desastres. Todos los anteriores.

Un SGCN basado en la normativa internacional ISO 27001, aumenta el nivel de preparación de la organización para continuar funcionando durante una disrupción. Verdadero. Falso.

¿Cuál es el estándar internacional ISO que define un modelo de Sistema de Gestión de Continuidad del Negocio?. ISO 22301. ISO 27001. ISO 22313. Todos los anteriores.

Considerando que las estrategias de continuidad del negocio son las maneras posibles de que la organización cumpla sus requisitos de continuidad del negocio y su objetivo es asegurar la continuidad de las actividades o recursos, reaprovisionar, reparar, sustituir, o entregar recursos alternativos conforme a los requisitos de la continuidad del negocio, que elementos considerarías principalmente: Solo a los intereses y objetivos de los dueños de las organizaciones. A las personas, la información y datos, edificios, transportes finanzas, socios y proveedores, instalaciones, equipos y consumibles. A los familiares de los empleados. A la sociedad.

El RTO de un recurso podría ser más corto que el RTO de una actividad si el tiempo de configuración de este fuera significativo o si se comparte con otras actividades que tengan un RTO más exigente. Verdadero. Falso.

La Norma Internacional _____ proporciona directrices más precisas sobre el tipo de ejercicio, así como sobre la planificación, realización y mejora de un programa de ejercicio. ISO 22301. ISO 22398. ISO 27001. Todas las anteriores.