Simulador 1: ISO 27001 Lead Implementer

¿Por que el SGSI es un proceso continuo?. Porque la norma marca un ciclo de mejora. Porque los riesgos no se eliminan. Porque se actualiza después de cada evento. Porque los riesgos se evalúan y actualización constantemente.

¿Cuales son los retos de Seguridad de la Información?. Implementar, madurar y mejorar continuamente los ISMS que se implementen en la organización. Asegurar que los esquemas de seguridad y resguardo de información son robustos y confiables. Controlar la información en sus diferentes lugares. Asegurar la acreditación de las auditorias de vigilancia y certificación ISO 27001.

De la Guía Internacional ISO 73, se han trasladado los conceptos de gestión de riesgo, tratamiento de riesgo, aceptación de riesgos, análisis del riesgo, valoración del riesgo, evaluación del riesgo y riesgo residual. Falso. Verdadero.

¿Como se priorizan los riesgos?. Listar los riesgos de mayor valor, priorizarlos en base al valor del riesgo, tratar los de mayor valor primero. Listar los riesgos, priorizarlos en base al valor del riesgo, tratar todos los riesgos. Listar los riesgos, priorizarlos en base al valor del activo, tratar los de mayor valor primero. Listar los riesgos, priorizarlos en base al valor del riesgo, tratar los de mayor valor primero.

La información tiene una serie de aspectos de fiabilidad. La fiabilidad esta continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente información, uso de los datos con fines particulares o datos falsificados. ¿Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad?. Usar datos con fines particulares. Borrar datos accidentalmente. Falsificar datos. Un cable suelto.

¿Cual de las siguientes tecnologías es maliciosa?. La codificación. Algoritmos hash. Virus, gusanos informáticos y programas espía. La red privada virtual (VPN).

¿Cómo se denomina al acto de «establecer si la identidad de una persona es la correcta»?. Identificación. Autenticación. No Repudio. Autorización.

En el ciclo del incidente hay cuatro pasos sucesivos. ¿Cual es el orden de estos pasos?. Incidente, Recuperación, Daño, Amenaza. Amenaza, incidente, daño, recuperación. Incidente, Amenaza, Daño, Recuperación. Amenaza, daño, incidente, recuperación.

¿Cual de los siguientes es un ejemplo de amenaza humana?. Un rayo. Phishing. Fuego.

¿Cual de los siguientes ejemplos puede clasificarse como fraude?. Infectar un ordenador con un virus. Interceptar lineas de comunicación y redes. Realizar una transacción no autorizada. Utilizar internet en el trabajo con fines privados.

Una oficina de Administración va a determinar los peligros a las que está expuesta. ¿Cómo denominamos un posible hecho que pueda afectar negativamente a la fiabilidad de la información?. Riesgo. Amenaza. Vulnerabilidad. Dependencia.

¿Cuál es el propósito de clasificar la información?. Clasificar la información según su confidencialidad. Crear un manual acerca de cómo manejar dispositivos móviles. Colocar etiquetas, lo que hace que la información sea más fácil de reconocer.

¿Un implementador de ISO 27001 en la organización, puede fungir como auditor?. Falso. Verdadero.

¿A que se refiere Gestión del Riesgo?. Es el proceso de implementacion y despliegue de controles para reducir los riesgos de seguridad de la información y proteger los activos de información. Es el proceso de revisión de riesgos para determinar sus impactos y probabilidades. Asegurar que todos los escenarios de riesgo son contemplados en situaciones de desastre especificas. Es el procesos de análisis de controles para reducir los riesgos de seguridad de la información.

Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a una sucursal cercana para continuar su trabajo.¿En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (stand-by)?. Entre la recuperación y la amenaza. Entre el daño y la recuperación. Entre la amenaza y el incidente. Entre el incidente y el daño.

Las copias de seguridad del servidor central se guardan en la misma habitación cerrada que el servidor.¿A qué riesgo se enfrenta la organización?. Si se estropea el servidor, pasará un tiempo antes de que vuelva a estar operativo. Las personas no autorizadas tienen un fácil acceso a las copias de seguridad. Si se produce un fuego es imposible devolver el sistema a su estado anterior. Nadie es responsable de copias de seguridad.

¿Que es una política de seguridad de la información?. Establece la guía de implementación y monitoreo del SGSI. Es un documento que establece por escrito el "porque" y el "como" una organización planea proteger sus activos de información e información. Es un documento que establece por escrito el "cuando" y el "como" una organización planea proteger sus activos de información e información. Es un documento que establece por escrito el "porque" y el "cuando" una organización planea proteger sus activos de información e información.

El Código para la seguridad de la información (ISO/IEC 27002) sólo es aplicable agrandes empresas. Es esta afirmación correcta?. No. Si.

Es el documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones, nos referimos a: Política de Seguridad de Información. Plan de Seguridad de Información. Matriz de riesgos. Declaración de Aplicabilidad.

A fin de contratar un seguro contra incendios, una oficina de administración debe determinar el valor de los datos que maneja. ¿Qué factor no es importante para determinar el valor de los datos de una organización?. El contenido de los datos. La importación de los procesos de negocio que hacen uso de los datos. El carácter indispensable de los datos para los procesos de negocio. Hasta que punto se pueden recuperar datos perdidos, incompletos o incorrectos.

Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se puede producir un daño directo e indirecto. ¿Cual es un ejemplo de daño directo?. Ya no se pueden satisfacer las obligaciones jurídicas. Perdida de imagen. Se destruye una base de datos. Perdida de la confianza del cliente.

El responsable de la seguridad de la información de la compañía de seguros Euregio desea establecer una lista de medidas de seguridad. ¿ Que tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad?. Llevar a cabo una evaluación. Formular una política de seguridad de la información. Establecer vigilancia. Llevar a cabo un análisis de riesgos.

En la recepción de una oficina de administración hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse inmediatamente para que no se la pueda llevar un visitante. ¿Qué otro riesgo para la información de la empresa conlleva esta situación?. Puede estropearse la impresora con un uso excesivo, con lo que no podría utilizarse mas. Los visitantes podrían copiar e imprimir información confidencial de la red. Los archivos pueden quedarse almacenados en la memoria de la impresora.

¿Qué medida no ayuda contra el software malicioso?. Una contraseña. Un programa espía. Un filtro de correo basura. Una política de parches activa.

Se reduce el impacto o la probabilidad de ocurrencia al transferir una porción del riesgo nos referimos a: Aceptar el riesgo. Compartir el riesgo. Evitar el riesgo. Reducir el riesgo.

¿Cuál de estos es un ejemplo de medida organizativa?. Copia de seguridad. Segregación de deberes. Codificación. Guardar el equipo de red y las cajas de conexiones eléctricas en una habitación cerrada.

La identificación es establecer si la identidad de alguien. ¿Esta afirmación es correcta?. Si. No.

¿Qué es el análisis de riesgos de seguridad de la información?. Es el proceso para poder eliminar los riesgos de un activo de información. Es el proceso para determinar la probabilidad de que un riesgo sea comprometido. Es el proceso para determinar los controles requeridos para evitar comprometer un activo de información. Establece el riesgo que se tiene en una organización en temas de seguridad ambiental.

¿Cuál de las siguientes medidas de seguridad es una medida técnica?. Asignar información a un propietario. Guardar las claves de acceso de la gestión de sistemas en una caja fuerte. Archivos codificados. Crear una política que defina que esta y que no esta permitido vía correo electrónico.

El análisis de riesgos, la selección de controles, y las políticas de seguridad a que etapa del ciclo PHVA pertenecen?. Planear. Actuar. Hacer. Verificar.

En una empresa se comienza a planificar estrategias de acceso a las dependencias, políticas de backup, protección de los equipos ante el fuego, agua, etc. ¿La empresa implementa Seguridad Física?. Falso. Verdadero.

La seguridad de la información garantiza la privacidad de la información y la continuidad de los servicios de la empresa. Verdadero. Falso.

Conjunto de elementos de una organización interrelacionados o que interactúan para establecer política, objetivos y procesos para lograr estos objetivos. Nos referimos a: Organización. Sistema de Gestión. Contexto Interno. Parte interesada.

Medios para asegurar que el acceso a los activos este autorizado y restringido en función de los requisitos del negocio y de seguridad. Nos referimos a: Privacidad. Protección de datos personales. Confidencialidad. Control de acceso.

Las técnicas para análisis de riesgo basadas en las consecuencias yen la probabilidad pueden ser. Probabilidad, impacto, vulnerabilidad. Riesgo residual, riesgo inherente. Cuantitativa, cualitativa, semicuantitativa. Cuantitativa, calificativa, cualitativa.

Grado en el cual se realizan las actividades planificadas y se logran los resultados planificados, nos referimos a: Cumplimiento. Mejora continua. Eficacia. Eficiencia.

¿Quién está autorizado a cambiar la clasificación de un documento?. El autor del documento. El administrador del documento. El propietario del documento. El responsable del propietario del documento.

¿Qué amenaza puede presentarse como resultado de la ausencia de una medida física?. Que un usuario puede ver los archivos que pertenecen a otro usuario. Que se deje un documento confidencial en la impresora. Los piratas informáticos pueden acceder a la red. Que un servidor se apague a causa de un sobrecalentamiento.

Un pirata informático consigue acceso a un servidor web y consigue ver un archivo de dicho servidor que contiene los números de tarjetas de crédito. ¿Cuál de los principios de Confidencialidad, Integridad, Disponibilidad (CID) del archivo de tarjetas de crédito se incumplió?. la disponibilidad. la confidencialidad. la integridad.

Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una combinación de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para la compañía. ¿ a que categoría de medidas pertenece un acuerdo en espera (stand-by arrangement)?. Medidas represivas. Medidas preventivas. Medidas correctivas. Medidas de detección.