¿Qué Ley ha asumido la mayoría de las funciones de la antigua LORTAD? Seleccione una:
Ley de firma electronica
LOPD
Ninguna es correcta
LSSI-CE
Uno de los factores clave para el éxito de un Plan Director de Seguridad es: Seleccione una:
Compromiso con los empleados
Ninguna de las respuestas es correcta
Compromiso con los proveedores
Compromiso de la dirección
¿Qué opciones existen para tratar los riesgos?
Mitigar, asumir, transferir o eliminar el riesgo
Transferir a un tercero y eliminar el riesgo
Mitigar, asumir y eliminar el riesgo
¿Qué resultados obtenemos tras la realización de una auditoría informática?
Identificación de las salvaguardas que minimizan los riesgos detectados
Evidencias de los riesgos asociados a los sistemas que dan soporte a la información de la organización
Posibles adquisiciones a realizar para mejorar la infraestructura informática
¿En qué consiste un ANÁLISIS DE RIESGOS?
En identificar los riesgos a los que están expuestos los activos de la organización
En identificar los problemas de seguridad que evidencian vulnerabilidades
Las dos respuestas indicadas son correctas
Ninguna de las dos respuestas indicadas es correcta
¿Qué cuatro etapas de trabajo plantea el Ciclo PDCA o Ciclo de Deming?
Pensar, Hacer, Recordar y Analizar
Pensar, Hacer, Revisar y Actuar
Planificar, Hacer, Revisar y Actuar
Planificar, Hacer, Revisar y Analizar
El Esquema Nacional de Seguridad es de obligado cumplimiento para: Seleccione una:
Las Administraciones de las Comunidades Autónomas
Las entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de las Administraciones Públicas
Todas las respuestas son correctas
Las Entidades que integran la Administración Local
¿En qué consiste la Gestión del Riesgo? Seleccione una:
En identificar y desplegar las medidas técnicas y organizativas requeridas para eliminar los riesgos identificados, de forma que se evite totalmente el daño que pueden ocasionar
En subcontratar a una empresa externa la seguridad de la organización
En aplicar determinadas medidas destinadas a mitigar los riesgos detectados
En identificar y desplegar las medidas técnicas y organizativas requeridas para evitar, minimizar o controlar los riesgos identificados, de forma que se elimine o reduzca el daño que pueden ocasionar
El IMPACTO es: Seleccione una:
Un medible del grado de daño que se ha producido sobre un activo
Un medible de la importancia de una vulnerabilidad
Un medible sobre el número de activos de una organización
El objetivo de ITIL v3 es:
Mejorar las comunicaciones de la organización
Alinear las Tecnologías dela Información con el negocio
Separar las funciones de las Tecnologías de la Información
Integrar las Tecnologías de la Información en el negocio
Algunas características que debe tener una Política de Seguridad son: Seleccione una:
Mejorable e Inteligible
Abarcable y de obligado cumplimiento
Asequible
Uno de los objetivos de un Plan Director de Seguridad es: Seleccione una:
Aportar confianza sobre los servicios ofrecidos
Realizar un análisis de riesgos en la organización
Cumplir los requisitos de la LSSIE
Dentro de las etapas para el establecimiento de un SGSI, ¿Qué elementos de los siguientes es necesario definir? Seleccione una:
La Política de negocio de la organización
La Política de Seguridad
La Estrategia de negocio
La Política de buen gobierno
La auditoría informática consiste en: Seleccione una:
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información realiza de forma eficaz los fines de la organización y utiliza eficientemente los recursos
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información mantiene la integridad de los datos
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información protege el activo empresarial
¿Qué tipos de riesgo existen?
Conocidos y desconocidos
Mitigables y gestionables
Previstos, imprevistos y mitigables
¿Qué dos requisitos son fundamentales para establecer un SGSI?
Disponer de recursos económicos y de personal
Disponer de recursos tecnológicos y financieros
Compromiso por la dirección y planteamientos realistas
Acotar el trabajo y definir bien las funciones
¿Qué es ITIL?
Una norma europea de obligado cumplimiento en Tecnologías de la Información
Un conjunto de estándares en Tecnologías de la Información
Una biblioteca de buenas prácticas en la gestión de las Tecnologías de la Información
Denominamos RIESGO a: Seleccione una:
La probabilidad de que ocurra un fallo de hardware
La probabilidad de que ocurra un evento adverso
Un medible de las posibles amenazas detectadas en una organización
La probabilidad de que ocurra un fallo en el sistema
Se consideran tipos de auditoría desde el punto de vista informático: Seleccione una:
La auditoría de datos
La auditoría de las comunicaciones
La auditoría legal de la LOPD
Un Plan de Respuesta ante Incidentes implica:
Documentar una relación de actividades y tareas destinadas a dar respuesta a cualquier incidente genérico que afecte a la seguridad de la información
Documentar la seguridad de la organización
Cumplir un requisito legal
Documentar una relación de actividades y tareas destinadas a dar respuesta a cualquier incidente de la organización
¿Qué define un Plan Director de Seguridad?
La seguridad de la organización
La estrategia en seguridad física y lógica de la organización
La estrategia de negocio de la organización
La estrategia en seguridad TIC de la organización
En el ámbito del análisis de riesgos, se denomina incidente a:
Los hechos que deben evitarse en la organización pues causan un impacto en el negocio
Las averías de los sistemas de Información
Un fallo en el sistema eléctrico
Loe hechos que no deben evitarse en la organización pues aportan beneficio al negocio
¿Qué es MAGERIT?
Una metodología de análisis de intrusiones
Una metodología de análisis y gestión de riesgos enfocada a las Administraciones Públicas
Una metodología de análisis forense desarrollada por las administraciones públicas
Una metodología de análisis de la seguridad propuesta por el CNI
¿Es necesario realizar un análisis de riesgos para implementar un SGSI? Seleccione una:
No, nunca
Si, siempre
No, salvo que la organización lo decida así
Si, pero sólo en la Administración Pública
La LOPD afecta a los siguientes tipos de ficheros: Seleccione una:
Ficheros digitales y en papel
Sólo ficheros en papel
Sólo ficheros digitales
¿Qué preguntas se deben considerar en una de las técnicas más habituales para analizar la seguridad de una organización?
Qué proteger, contra quien, cómo y hasta dónde
Qué, cómo, cuándo y dónde proteger
Qué, cómo y contra quien proteger
Qué, cómo, y hasta dónde proteger
Dentro de los estándares ISO/IEC, ¿A qué ámbito se ha asignado el rango 27.000? Seleccione una:
A la gestión de las tecnologías de la información
A la privacidad de la información
A la seguridad de la información
A las metodologías de gestión de riesgos
Algunos de los objetivos de la auditoría informática son:
Eliminar o minimizar la probabilidad de pérdida de información
Verificar el control interno de la función informática
Uno de los objetivos principales del Esquema Nacional de Seguridad es:
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007
Crear un marco común para la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías
Aportar confianza a los ciudadanos en el ejercicio de sus derechos y deberes con la Administración Pública por medios telemáticos
¿Qué establece el Esquema Nacional de Seguridad?
Las condiciones de seguridad requeridas en el uso de los medios electrónicos en el ámbito de la Administración Pública
Las condiciones de seguridad requeridas en el uso de los medios electrónicos en el ámbito de las organizaciones privadas
El reglamento de requisitos técnicos de la LOPD
Una relación de normas para la gestión de la seguridad en las empresas públicas
La característica de la información asociada a la FIABILIDAD es la:
Autenticación
No Repudio
Confidencialidad
Integridad
¿Cuáles son las principales medidas a considerar con el personal de una organización en relación a la seguridad? Seleccione una respuesta.
Formación, Fiabilidad y Seguimiento
Concienciación, Fiabilidad y Seguimiento
Formación, Acuerdos de confidencialidad y Seguimiento
Formación, Vigilancia y Aplicación de políticas de restricción de accesos
¿Cómo se denomina a los centros con la capacidad técnica y la estructura más adecuada para la lucha contra las ciberamenazas?
Centro de Respuesta al Usuario (CRU)
Centro de Atención a Usuarios (CAU)
Centro de Atención a la Seguridad (CAS)
Centro de Respuesta ante Incidentes (CERT)
¿Qué se considera el activo más importante de las organizaciones? Seleccione una respuesta.
Sus beneficios
Su seguridad
Sus empleados
La información
Entre las posibles metodologías que se pueden utilizar para realizar un análisis de riesgos están: Seleccione una respuesta.
ITIL, ISO 27.001 y MAGERIT II
CRAMM, EBIOS y MAGERIT II
ITIL v3, CRAMM y MAGERIT II
La seguridad se considera un: Seleccione una respuesta.
Producto
Proceso
Activo
Elemento prescindible de la organización
¿Qué es MAGERIT? Seleccione una respuesta.
Un Plan de Respuesta ante Incidentes implica: Seleccione una respuesta.
¿Qué establece el Esquema Nacional de Seguridad? Seleccione una respuesta.
¿Qué aspectos trata de garantizar la Seguridad de la Información? Seleccione una respuesta.
La Disponibilidad, Integridad, Confidencialidad y No repudio de la información
La disponibilidad, Integridad, confidencialidad, No repudio y Autenticación de la información almacenada en los ordenadores
La disponibilidad, Integridad, confidencialidad, No repudio y Autenticación de la información con independencia del medio física donde se almacene
La disponibilidad, Integridad, confidencialidad, No repudio y Clasificación de la información con independencia del medio física donde se almacene.
Algunos de los efectos más habituales de un ataque son:
Destrucción de la información
Pérdida de disponibilidad de los servicios
Daños de la propiedad
Todos las respuestas son correctas
¿De qué forma podemos desarrollar una auditoría?
Auditoría alrededor del ordenador, a través del ordenador y con el ordenador
Auditoría a través de la informática, a través de la seguridad y con el ordenador
Auditoría a través de la seguridad
Ninguna de las anteriores es correcta
La principal normativa que regula el acceso y tratamiento de datos de carácter personal es:
La Ley de Firma Electrónica
La Ley General de Telecomunicación
La Ley de Servicio de la Sociedad de la Información y Comercio Electrónico
La LOPD
El mecanismo de firma digital
Se realiza mediante el cifrado simétrico de resúmenes
Se realiza mediante el cifrado asimétrico de resúmenes
Se realiza mediante el cifrado de claves
Ninguna de las anteriores
El software PGP
Se basa en un modelo horizontal
Se basa en un modelo vertical
Se basa en el empleo de certificados digitales
Todas las anteriores
Un certificado digital
Contiene la firma de la clave pública del usuario
Contiene la firma de la clave privada del usuario
Contiene la clave privada de la Autoridad Certificadora
Ninguna de las anteriores es cierta
Una vulnerabilidad es un tipo de
amenaza
incidente
riesgo
debilidad
Un activo es…
el hardware asociado a los servicios que estamos considerando
una debilidad del sistema que puede ser utilizada de forma accidental o intencionada
un recurso software, hardware, de personal, administrativo, o funcional que es necesario para el funcionamiento del servicio
ninguna de las anteriores
Definimos el riesgo como:
la probabilidad de que ocurra un evento que puede tener un impacto positivo o negativo en la organización
la probabilidad de que ocurra un evento adverso que supone un impacto negativo en caso de ocurrir
la probabilidad de que una amenaza nunca ocurra
la posibilidad de que un evento adverso no se produzca
¿Cuál de las siguientes tareas no corresponde a la realización de una auditoría informática?
recoger, agrupar y evaluar evidencias para determinar si un sistema de información protege el activo empresarial
verificar que se mantiene la integridad de los datos
verificar que un sistema realiza de forma eficaz los fines de la organización y utiliza eficientemente los recursos
identificar las amenazas y proponer salvaguardas para proteger a la organización
ITIL es…
una metodología de trabajo
una recopilación de buenas prácticas en la gestión de servicios
un manual de acciones a realizar para hacer un análisis de riesgos
una norma ISO de la familia ISO 27.000
¿Qué etapas conforman el Ciclo de Vida del Servicio?
Transición del servicio, Publicación, Difusión y Mejora continua
Estrategia del Servicio, Diseño del Servicio, Transición del Servicio, Operación del Servicio y Mejora Continua
Plan, Do, Check, Act
Estrategia del Servicio, Implantación del Servicio y Mantenimiento del Servicio
El Esquema Nacional de Seguridad está regulado por …
La Constitución Española
La Ley Orgánica de Protección de Datos
El real Decreto 3/2010 de 8 de enero
