¿Cuáles son las 3 dimensiones de Seguridad según la ISO 27001: Integridad, Confidencialidad y : Trazabilidad Disponibilidad Autenticidad Ninguna de las anteriores.
¿Qué es un SGSI? Conjunto de procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la información, tomando como base para ello los riesgos a los que se enfrenta la organización Marco obligatorio para la gestión de mejora continua Examen total o parcial del sistema de gestión de información
implantado en una organización con el objeto de emitir un juicio sobre la adecuación de éste a las necesidades de información de la misma Política de seguridad que se ha de aplicar en la utilización de los medios electrónicos a los que se refiere el ENS.
¿Qué es el PDCA? Marco obligatorio para la gestión de mejora continua Actividad recurrente para incrementar la capacidad del SGSI Examen total o parcial del sistema de gestión de información implantado en una organización con el objeto de emitir un juicio sobre la adecuación de éste a las necesidades de información de la misma Ninguna de las opciones es válida.
En la fase del PDCA de PLAN se realiza (señala la falsa): Análisis de Riesgos La definición del SGSI Gestión de Incidentes Todas son falsas.
En la fase del PDCA de HACER (DO) se realiza (señala la falsa): Gestión de Riesgos Implantación de Controles Gestión de Proyectos de implantación Todas son falsas.
En la fase del PDCA de Comprobar (CHECK) se realiza (señala la falsa): Gestión de incidentes Implantación de Controles Implementar planes de mejora Todas son falsas.
En la fase del PDCA de Actuar (ACT) se realiza (señala la falsa): Implementar planes de mejora Asegurar la consecución de objetivos Auditoría y revisión del SGSI Todas son falsas.
Estructura responsable de la respuesta ante incidentes de seguridad de la información que establece el ENS es: CCN-CERT INCIBE INTECO AEPD.
9. ¿Qué es el proceso de Gestión de Riesgos? Utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. Procedimiento basado en el análisis del riesgo para determinar si se ha conseguido un riesgo tolerable. Actividades coordinadas para dirigir y controlar una organización, con respecto al riesgo. Proceso de selección y de implantación de medidas para modificar el riesgo.
¿Qué es es un evento o incidente provocado por una entidad natural, humana o artificial que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad y disponibilidad de los activos? Amenaza Vulnerabilidad Impacto Riesgo.
¿Una vulnerabilidad causa daño por sí misma? Sí, siempre No, nunca Solo cuando existe una amenaza para explotarla Solo cuando existe un riesgo asociado.
Las ventajas del uso de la metodología cuantitativa para analizar los riesgos son (señala la falsa): Facilita las comparaciones Apoya numéricamente la toma de decisiones Sirve como justificante para la aplicación de las medidas de gestión de riesgos Permite una organización de trabajo flexible.
Las desventajas de usar una metodología cualitativa para analizar los riesgos son (señala la falsa): Depende de la calidad y habilidad de los profesionales Se pueden pasar por alto riesgos importantes No puede determinar la probabilidad real de ocurrencia Son difíciles de modificar.
¿qué acciones se pueden tomar para tratar el riesgo para cada uno de los activos (señala la falsa)? Mitigar Transferir Asumir Disuadir.
¿En el proceso de Análisis de Riesgos se realiza el cálculo de riesgos residual? Si No.
¿En el proceso de Gestión de Riesgos se realizan las siguientes tareas? (señala la falsa) Cálculo de Riesgo intrínseco Seleccionar los controles más adecuados para reducir el riesgo Sensibilizar a la dirección de la situación analizada Todas las anteriores son válidas.
¿En el proceso de Mitigación del Riesgo, cuál de estas acciones NO forma parte del proceso? Seleccionar los controles Implantar los controles Volver a realizar el Análisis de Riesgos Realizar una Auditoría.
¿En qué estándar se nos dice qué deberíamos hacer para proteger nuestro negocio (es decir se nos proporciona un repositorio de controles)? ISO/IEC 27001 ISO/IEC 31000 ISO/IEC 27002 MAGERIT.
¿Cuál de estas acciones no contempla la ISO/IEC 27001? La dirección deberá proporcionar los recursos económicos y humanos
necesarios Deberá promover la mejora continua Se deberá realizar una auditoría externa para diseñar las acciones
correctivas oportunas La organización deberá valorar la eficacia de las acciones formativas.
¿Cada cuanto tiempo la ISO/IEC 27001 recomienda realizar una revisión por la dirección, del funcionamiento global del SGSI para valorar la conveniencia, adecuación y eficacia del sistema? 6 meses 1 año 2 años No hay fecha determinada.
¿Qué es según la ISO/IEC 27001 el proceso de mejora continua? Actividad recurrente para incrementar la capacidad del SGSI Solucionar las no conformidades relacionas con los requisitos del SGSI Definir acciones necesarias para la subsanación del riesgo Ninguna de las anteriores es valida.
¿Cuál de estas NO es una Fase de la ISO/IEC 27001? Evaluación de Riesgos Implementación del SGSI Realización del contrato de Auditoría Documentación de la información del SGSI.
¿Qué documentos se usan en la ISO/IEC 27001? (señala la falsa) Políticas Planificaciones Registros Procedimientos.
¿A qué se refiere este procedimiento “Examen total o parcial del sistema de gestión de información implantado en una organización con el objeto de emitir un juicio sobre la adecuación de este a las necesidades de información de la misma”? Auditoría Evaluación de Impacto Plan Director de Seguridad Certificación ISO/IEC 27001.
El resultado de un proceso de auditoría tiene las siguientes características (señala la falsa): Un informe escrito Dirigido al responsable de Seguridad del SGSI Incluye Recomendaciones Debe ser claro en su formato y redacción.
¿Indica cuál es el orden correcto de los documentos en una auditoría? Precontrato, Plan de Trabajo, Contrato de auditoría, Informe Preliminar y definitivo de auditoría Precontrato, Contrato de auditoría, Plan de Trabajo, Informe Preliminar y definitivo de auditoría Plan de Trabajo, Precontrato de auditoría, Contrato de auditoría, Informe Preliminar y definitivo de auditoría Plan de Trabajo, Precontrato de auditoría, Informe Preliminar y definitivo de auditoría, Contrato de auditoría.
La realización del Plan de Trabajo en el proceso de auditoría se realiza para incluirlo en el documento: Precontrato Contrato de auditoría Informe preliminar y definitivo de auditoría En ninguno de los anteriores.
La realización de una división en Segmentos/Secciones, etc, en el proceso de auditoría se realiza para incluirlo en el documento: Precontrato Contrato de auditoría Informe preliminar y definitivo de auditoría En ninguno de los anteriores.
¿Se exige a la empresa auditada pagar por la realización del contrato de auditoría? Si No.
¿Se exige a la empresa auditada pagar por la realización del precontrato de auditoría? Si No.
¿Se puede incluir en una auditoría interna cualquier empleado de la organización auditada? Si No.
¿Se puede incluir en una auditoría externa cualquier empleado de la organización auditada? Si No.
El ENS, es la ley, norma o decreto que: Que establece y regula el derecho de los ciudadanos a comunicarse con las Administraciones Públicas a través de medios telemáticos Que crea las condiciones necesarias para la confianza en el uso de los medios electrónicos Que establece las medidas de prevención, defensa, detección y respuesta frente a ciberamenazas Ninguna de las anteriores es válida.
¿En qué fase del ciclo PCDA se encuentra el empleo de una metodología de evaluación de riesgos? Hacer Comprobar Actuar Plan.
¿Qué es Magerit? Metodologías de gestión de riesgos Certificación de gestión de riesgos El instituto Nacional del Seguridad Ninguna de las anteriores.
|
