Sistema de Gestion de la Seguridad de la Informacion

La seguridad de la información tiene como principal objetivo: a. Eliminar datos antiguos. b. Hacer copias de seguridad solamente. c. Proteger la información confidencial y sensible. d. Reducir costos operativos.

La norma ISO 27001 define: a. Protocolos de red. b. Requisitos de hardware. c. Normas ambientales. d. Requisitos para un SGSI.

El rol del custodio de la información se caracteriza por: a. Consumir la información para uso diario. b. Definir la clasificación de la información. c. Autorizar accesos estratégicos. d. Gestionar técnicamente la información y sus respaldos.

¿Cuál NO es una decisión típica tras evaluar riesgos?. a. Reducir el riesgo. b. Ignorar el riesgo sin análisis. c. Transferir el riesgo. d. Aceptar el riesgo.

El objetivo principal de un control de seguridad es: a. Eliminar la necesidad de análisis de riesgos. b. Sustituir políticas organizacionales. c. Prevenir y mitigar los impactos de amenazas y vulnerabilidades. d. Detectar fallas después de ocurridas.

La mejora en la gestión del riesgo implica: a. Reducir la participación organizacional. b. Mantener controles fijos. c. Eliminar registros. d. Ajustar continuamente el proceso según resultados.

La implementación de la gestión del riesgo requiere: a. Eliminar procesos existentes. b. Definir cuándo, cómo y quién toma decisiones. c. Evitar capacitación. d. Aplicar controles sin planificación.

La confidencialidad se relaciona principalmente con: a. La cantidad de usuarios. b. La privacidad de la información. c. La velocidad del sistema. d. El costo del hardware.

El Plan Director de Seguridad normalmente cubre un período de: a. 10 años. b. 2 a 5 años. c. 6 meses. d. 1 mes.

La disponibilidad significa que: a. La información sea barata. b. La información esté accesible cuando se la necesite. c. La información sea secreta. d. La información esté cifrada siempre.

La norma principal de la familia ISO 27000 es: a. ISO 22301. b. ISO 9001. c. ISO 14001. d. ISO 27001.

Una inundación que daña servidores afecta a la: a. Seguridad lógica. b. Seguridad legal. c. Seguridad informática. d. Seguridad física.

La integración de la gestión del riesgo significa que: a. Solo TI gestiona los riesgos. b. Se limita a auditorías. c. La gestión es externa. d. Todos los miembros de la organización son responsables.

¿Por qué el análisis y la gestión de riesgos son fundamentales en un SGSI?. a. Porque reemplazan las políticas. b. Porque permiten proteger la confidencialidad, integridad y disponibilidad de la información. c. Porque solo cumplen un requisito documental. d. Porque eliminan la necesidad de controles.

¿Cuál dimensión de la seguridad se enfoca en evitar modificaciones no autorizadas?. a. Confidencialidad. b. Integridad. c. Disponibilidad. d. Autenticidad.

¿Quién es el responsable de establecer la criticidad de la información según la clasificación?. a. El auditor externo. b. El usuario final. c. El propietario del activo. d. El responsable de TI.

¿Por qué la información es considerada un activo intangible crítico?. a. Porque no puede ser clasificada. b. Porque su pérdida o divulgación puede afectar directamente la continuidad del negocio. c. Porque siempre se encuentra en formato digital. d. Porque solo existe en bases de datos.

La norma ISO 27002 sirve para: a. Certificar empresas. b. Brindar buenas prácticas de seguridad. c. Evaluar continuidad de negocio. d. Auditar redes.

La misión de la seguridad describe: a. Qué software comprar. b. Cómo instalar antivirus. c. Por qué es relevante la seguridad en la organización. d. Cómo hacer auditorías.

Dar acceso solo a lo necesario corresponde al principio de: a. Mínimo privilegio. b. Acceso total. c. Duplicación de funciones. d. Acceso libre.

La seguridad de la información se enfoca en: a. Solo en computadoras. b. Solo en antivirus. c. Solo en internet. d. Datos, procesos y continuidad del negocio.

Un ataque remoto a la red es un problema de: a. Seguridad lógica. b. Seguridad física. c. Seguridad económica. d. Seguridad ambiental.

El análisis de riesgos genéricos se caracteriza por: a. Eliminar la necesidad de documentación. b. Ser exclusivo de un solo sitio. c. Considerar únicamente riesgos técnicos. d. Aplicarse a actividades repetitivas en diferentes áreas.

La valoración en ISO 31000 permite: a. Auditar proveedores. b. Clasificar información. c. Evaluar la eficacia del marco de gestión del riesgo. d. Eliminar amenazas.

¿Cuál de las siguientes preguntas NO forma parte de las preguntas esenciales previas al análisis de riesgos?. a. ¿Qué información se desea proteger?. b. ¿Dónde se encuentra almacenada la información?. c. ¿Cómo se protegerá la información?. d. ¿Qué proveedor tecnológico se contratará?.

Un programa de gestión de la seguridad se caracteriza por: a. Buscar la mejora continua y no acciones aisladas. b. Eliminar todos los riesgos. c. Aplicarse una sola vez. d. Depender solo de controles técnicos.

¿Cuál es el objetivo principal del análisis de riesgos dentro de un SGSI?. a. Eliminar completamente todas las amenazas. b. Implementar controles técnicos sin evaluación previa. c. Identificar y comprender los riesgos que afectan a los activos de información para apoyar la toma de decisiones. d. Detectar incidentes de seguridad una vez ocurridos.

La integridad busca: a. Evitar modificaciones no autorizadas. b. Aumentar la velocidad de red. c. Eliminar accesos remotos. d. Reducir costos de seguridad.

La estrategia de seguridad indica: a. Qué computadoras hay. b. Qué usuarios existen. c. Qué red se usa. d. Cómo alcanzar los objetivos de seguridad.

El principio de “mejor información disponible” implica: a. Usar solo datos históricos. b. Evitar el análisis cualitativo. c. Basar decisiones en datos confiables y actualizados. d. Eliminar la documentación.

La autenticidad se logra cuando: a. Se clasifica la información. b. Se verifica la identidad del usuario que accede o genera información. c. Se cifra la información. d. Se respalda la información periódicamente.

Durante el diseño de la gestión del riesgo se debe: a. Evitar comunicación. b. Eliminar controles. c. Asignar roles, responsabilidades y recursos. d. Reducir documentación.

La clasificación de la información permite principalmente: a. Reducir costos operativos. b. Automatizar procesos empresariales. c. Identificar el valor y nivel de sensibilidad de los activos de información. d. Eliminar información obsoleta.

El análisis de riesgos específico del sitio se diferencia porque: a. Es siempre cuantitativo. b. Considera ubicación, entorno y personas involucradas. c. No permite medidas inmediatas. d. No evalúa riesgos poco frecuentes.

El análisis del riesgo se diferencia de la evaluación del riesgo porque el análisis: a. Implementa medidas correctivas. b. Define exclusivamente los controles técnicos. c. Decide qué riesgos aceptar. d. Estudia causas, fuentes y probabilidad del riesgo.

¿Cuál es el propósito principal de la evaluación del riesgo?. a. Implementar controles de seguridad. b. Eliminar vulnerabilidades. c. Determinar qué riesgos deben ser tratados y su prioridad. d. Identificar amenazas técnicas.

La confidencialidad está directamente relacionada con: a. La continuidad operativa. b. El registro de eventos. c. La verificación de identidad. d. La protección de la información frente a accesos no autorizados.

La gestión del riesgo debe ser rastreable porque: a. Elimina la documentación. b. Reduce la necesidad de auditorías. c. Evita la participación de la dirección. d. Permite la mejora continua del proceso.

La norma ISO 31000 se enfoca principalmente en: a. Gestionar la incertidumbre que afecta el logro de objetivos. b. Implementar controles técnicos. c. Clasificación de la información. d. Auditorías de seguridad.

La aritmética modular es esencial en criptografía porque: a. Permite operar en cuerpos finitos controlados. b. Evita el uso de claves. c. Elimina ataques de fuerza bruta. d. Reduce la longitud de los mensajes.

En la criptografía moderna, el cifrado se realiza a nivel de: a. Caracteres alfabéticos. b. Bits o bytes. c. Palabras completas. d. Símbolos gráficos.

¿Cuál es el objetivo fundamental de la criptografía desde sus orígenes?. a. Codificar información para reducir tamaño. b. Garantizar la disponibilidad de los sistemas. c. Eliminar completamente el acceso a la información. d. Proteger información frente a personas no autorizadas.

Un inverso multiplicativo existe solo si: a. El número es coprimo con el módulo. b. El número es mayor que el módulo. c. El número es par. d.El módulo es primo.

Según Kerckhoffs, la seguridad de un sistema debe depender de: a. El secreto del algoritmo. b. La complejidad del hardware. c. La clave secreta y no del algoritmo. d. La longitud del mensaje.

El desarrollo del cuerpo normativo implica: a. Reducir personal. b. Eliminar riesgos. c. Crear y mantener políticas, normas y procedimientos. d. Comprar herramientas de seguridad.

El análisis de vulnerabilidades consiste en: a. Configurar firewalls. b. Capacitar usuarios. c. Identificar debilidades explotables en sistemas. d. Eliminar amenazas automáticamente.

El alcance de una política define: a. Qué proveedor se contrata. b. Qué sistemas, personas y procesos están cubiertos. c. Qué incidentes ya ocurrieron. d. Qué tecnología se usa.

La certificación CISSP se caracteriza por: a. Aplicarse solo a entornos locales. b. Un enfoque integral en gestión y técnica de la seguridad. c. No requerir experiencia previa. d. Ser exclusiva de auditorías técnicas.

¿Para qué se utilizan las líneas base de seguridad?. a. Para evaluar riesgos. b. Para definir sanciones. c. Para definir configuraciones uniformes de seguridad. d.Para capacitar al personal.

El gobierno de la seguridad de la información es responsabilidad de: a. Solo el área de sistemas. b. Los proveedores. c. La Dirección. d. Los usuarios.

La confusión se logra principalmente mediante: a. Cifrado por compresión. b. Cifrado por transposición. c. Cifrado por hashing. d. Cifrado por sustitución.

Una desventaja clave de la criptografía simétrica es: a. La necesidad de un canal seguro para compartir la clave. b. El uso exclusivo de números primos. c. El alto costo computacional. d. La imposibilidad de descifrar.

La operación XOR es útil en criptografía porque: a. Es una operación no determinista. b. No puede invertirse. c. Es una operación involutiva. d. Solo funciona con texto plano.

La escítala es un ejemplo de: a. Cifrado por sustitución. b. Cifrado en flujo. c. Cifrado por transposición. d. Cifrado moderno.

El cifrado afín se diferencia del César porque: a. No utiliza claves. b. No se basa en aritmética modular. c. Solo usa desplazamiento. d. Incluye multiplicación y desplazamiento.

¿Por qué es clave definir responsabilidades en una política?. a. Para reducir el número de políticas. b. Para establecer quién debe cumplir y hacer cumplir la política. c. Para eliminar sanciones. d. Para evitar auditorías.

La primera fase de la respuesta a incidentes consiste en: a. Investigar causas. b. Recuperar sistemas. c. Planificar la gestión según tipo y gravedad. d. Aplicar sanciones.

¿Cuál es la función principal de la política general de seguridad?. a. Configurar sistemas específicos. b. Establecer el marco estratégico y el compromiso de la dirección. c. Definir procedimientos técnicos detallados. d. Implementar controles automáticos.

Las políticas funcionales se caracterizan por: a. Reemplazar a los procedimientos. b. Ser opcionales y no documentadas. c. Detallar paso a paso los procesos técnicos. d. Establecer directrices generales para áreas específicas.

El principal riesgo del uso de dispositivos móviles es: a. El acceso remoto seguro. b. La mejora de productividad. c. La pérdida o robo del dispositivo. d. La estandarización tecnológica.

Un ataque de fuerza bruta consiste en: a. Modificar el algoritmo. b. Interrumpir la comunicación. c. Analizar frecuencias del lenguaje. d. Probar todas las claves posibles.

La escítala es considerada un sistema criptográfico porque: a. Trabaja a nivel de bits. b. Sustituye letras por símbolos. c. Utiliza claves matemáticas complejas. d. Oculta el mensaje mediante transposición de caracteres.

La diferencia principal entre codificar y cifrar es que: a. Ambos son equivalentes. b. Cifrar depende de una clave y es dinámico. c. Codificar es más seguro. d. Codificar oculta la información.

El intercambio de claves Diffie-Hellman se basa en: a. El problema del logaritmo discreto. b. El problema de la factorización entera. c. El cifrado César. d. La sustitución monoalfabética.

El inverso aditivo en aritmética modular: a. Siempre existe dentro del cuerpo. b. Depende del algoritmo de cifrado. c. No puede calcularse. d. Solo existe si el número es primo.

Las políticas deben redactarse en lenguaje claro porque: a. Evita revisiones periódicas. b. Facilita su comprensión y cumplimiento. c. Reduce la necesidad de controles. d. Permite eliminar procedimientos.

Un incidente de seguridad es: a. Una auditoría programada. b. Un fallo técnico menor. c. Un cambio planificado. d. Un evento que amenaza la confidencialidad, integridad o disponibilidad.

Los estándares dentro del SGSI se distinguen porque: a. Su cumplimiento es obligatorio. b. No están documentados. c. Dependen del criterio del usuario. d. Son solo recomendaciones.

La definición de violaciones y sanciones permite: a.Evitar capacitación. b.Eliminar riesgos automáticamente. c.Sustituir controles técnicos. d.Respaldar acciones disciplinarias ante incumplimientos.

Los procedimientos se caracterizan por: a.No requerir actualización. b.Ser documentos de alto nivel. c.Detallar exhaustivamente cómo realizar una tarea. d.Definir objetivos estratégicos.

La seguridad de la criptografía de clave pública depende de que: a.La clave privada sea pública. b.La clave sea corta. c.Sea computacionalmente inviable obtener la clave privada desde la pública. d.El algoritmo sea secreto.

El cifrado en bloque simple dejó de usarse porque: a.No utiliza claves. b.No permite modularidad. c.No puede descifrarse. d.Es vulnerable a ataques estadísticos.

¿Cuál de los siguientes elementos NO forma parte esencial de un criptosistema?. a.Algoritmo de cifrado. b.Texto en claro. c.Clave. d.Política de seguridad.

Dos números son equivalentes módulo n si: a.Producen el mismo residuo al dividirlos por n. b.Tienen el mismo signo. c.Son números primos. d.Son iguales.

El problema de la factorización entera es difícil porque: a.La multiplicación es compleja. b.No es determinista. c.Factorizar números grandes requiere tiempo exponencial. d.No usa números primos.

La piedra angular de la gestión de la seguridad de la información es: a.La certificación ISO 27001. b.La compra de herramientas de seguridad. c.La identificación de los activos de información. d.La auditoría externa.

El cumplimiento de las políticas implica: a.Publicarlas sin seguimiento. b.Aplicarlas solo en auditorías. c.Relacionarlas con controles de seguridad implementados. d.Delegarlas solo a TI.

¿Cuál es la principal diferencia entre directrices y estándares?. a.Las directrices son más técnicas. b.Los estándares no se documentan. c.Las directrices reemplazan políticas. d.Las directrices no son obligatorias.

El control de la información mediante DLP busca: a.Garantizar disponibilidad. b.Reemplazar políticas. c.Prevenir la divulgación no autorizada de información sensible. d.Eliminar la clasificación de datos.

El problema del logaritmo discreto es considerado seguro porque: a.No depende de claves. b.El cálculo inverso es computacionalmente difícil. c.No usa números grandes. d.Siempre tiene solución directa.

¿Cuál es un riesgo clave del uso de la nube?. a.Pérdida de control sobre la seguridad. b.Reducción de costos. c.Mayor disponibilidad. d.Mejor rendimiento.

El cifrado César es un ejemplo de: a.Cifrado en bloque. b.Cifrado por sustitución monoalfabética. c.Cifrado polialfabético. d.Cifrado moderno.

En la cifra por columnas, la clave corresponde a: a.La longitud del mensaje. b.El número de columnas utilizadas. c.El número de filas. d.El alfabeto cifrado.

Los cifrados clásicos se clasifican principalmente en: a.Transposición y sustitución. b.De clave pública y privada. c.En flujo y en bloque. d.Simétricos y asimétricos.

El criptoanálisis se basa en: a.Aumentar la longitud de la clave. b.Usar claves aleatorias. c.Eliminar redundancia del lenguaje. d.Explotar debilidades del algoritmo o de la clave.

Los servicios de TI están formados por: a.Computadoras, redes y cables. b.Personas, procesos y tecnología. c.Internet, servidores y routers. d.Usuarios, datos y software.

El principio de difusión busca principalmente: a.Garantizar la disponibilidad. b.Reducir el tamaño del mensaje. c.Verificar la identidad del emisor. d.Ocultar la relación entre el texto original y el criptograma.

La criptografía simétrica se caracteriza porque: a.Utiliza pares de claves públicas. b.Es computacionalmente irreversible. c.La misma clave cifra y descifra la información. d.No requiere canal seguro.

En un módulo n, la zona canónica de residuos va de: a.0 a n-1. b.1 a n. c.0 a infinito. d.-n a n.