Averigua tu nivel de ISO 27001.

Simulación de exámen 1 cuestionario

1. Un proveedor TIC está implantando un SGSI y contrata a un auditor externo
cualificado por una entidad de certificación para realizar una auditoría interna de
su sistema de gestión. ¿Cómo se denomina a este tipo de auditorías?1
o De Segunda Parte
o De Primera Parte
o De tercera Parte
o
2. Una de las obligaciones de un proveedor TI es la de cumplir la LOPD como
encargado de tratamiento que potencialmente suele serlo sobre la información de
carácter personal de los ficheros de sus clientes, la cual trata e incluso almacena
en sus sistemas de información. En términos legales, ¿Qué rol adopta el
proveedor?1
o Encargado del tratamiento
o Responsable del tratamiento
o Responsable de seguridad
o Responsable del fichero
o
3. ¿Cuáles de los siguientes documentos son obligatorios en un SGSI para que
pueda conseguir la certificacion ?1
o El procedimiento de medidas correctivas y preventivas.
o La declaración de aplicabilidad.
o La política de seguridad de la información.
o La política de antivirus.
o La política de control de acceso a los sistemas de información.
o
4. Podemos definir la norma ISO/IEC 27001 como un modelo para establecer,
implementar, operar, monitorizar y mejorar un Sistema de Gestión de Seguridad
de la Información. ¿Sobre esta definición del espíritu de la norma que otras
actividades sobre el SGSI no se han mencionado?1
o Monitorizar
o Documentar
o Supervisar
o Revisar
o Certificar
o
5. El comercio electrónico es una de las actividades que cualquier empresa hoy en
día realiza en su actividad, tanto de marketing como en procesos operativos.
¿Qué dominio de control de la norma ISO 27001 Anexo A dispone de varios
controles específicos sobre los activos y procesos relacionados en el comercio
electrónico?1
o A15. Cumplimiento legal y reglamentario
o A10.Gestión de las comunicaciones y operaciones
o A7. Gestión de activos
o A11. Control de acceso
6. A fin de contratar un seguro contra incendios, un proveedor TI debe determinar
el valor de los datos que maneja ¿Qué factor NO es importante para determinar
el valor de los datos de una organización?1
o Las vulnerabilidades de los activos donde está almacenada la
información
o El carácter indispensable de los datos para los procesos de negocio
o Hasta qué punto se pueden recuperar datos perdidos, incompletos o
incorrectos
o El contenido de los datos

(El valor de un activo no depende en nada de las vulnerabilidades del mismo, si

está relacionado con el riesgo de un incidente de seguridad. Puede haber un
activo con muy poco valor y con muchas vulnerabilidades y viceversa. Ambos
conceptos son independientes)

7. La información tiene una serie de aspectos de fiabilidad. La fiabilidad está

continuamente amenazada. Algunos ejemplos de amenazas son: un cable se
suelta, alguien modifica accidentalmente información, uso de los datos con fines
particulares o datos falsificados. ¿Cuál de los siguientes ejemplos constituye una
amenaza para la confidencialidad?1
o borrar datos accidentalmente
o falsificar datos
o usar datos con fines particulares
o un cable suelto
o
8. El riesgo de un negocio consiste en:1
o Todas las otras posibles respuestas son incorrectas
o En la amenaza de que un hecho afecte positivamente a su capacidad de
lograr los objetivos de negocio.
o En la amenaza de que un hecho afecte a su capacidad de lograr los
objetivos de negocio
o En la amenaza de que un hecho afecte negativamente a su capacidad de
lograr los objetivos de negocio.
o
9. Una organización a la hora de implementar un SGSI decide no realizar planes de
concienciación y formación de seguridad de la información porque la dirección
afirma que dichos planes pueden acarrear problema de seguridad debido a la
cultura de la compañía, porque los sistemas de información forman la parte más
importante de la seguridad y porque el personal técnico está y de formado.
Además en un acta del grupo de trabajo del SGSI la dirección asume este riesgo
y lo ha excluido del alcance. ¿Esta decisión sobre el SGSI es acorde según los
requerimientos de ISO/IEC 27001?1
o No
o Sí
o
10. En una auditoría interna del SGSI se revisa el cumplimiento del RD 1720/2007,
Reglamento de Medidas de Seguridad de los ficheros de carácter personal. ¿Esta
acción es correcta según los requerimientos de ISO 27001?1
o Sólo si se ha identificado esta Ley como requisito legal
o No
 o Sólo si se ha identificado esta Ley y si la organización trata o almacena
datos de nivel medio o alto. (niveles de de seguridad según la LOPD)
o Sí
o
11. Una “Posible causa de un incidente no deseado, el cual puede ocasionar un daño
a un sistema o a una organización” corresponde a la definición de:1
o Amenaza.
o Vulnerabilidad.
o Evento de seguridad de la Información.
o Análisis de los incidentes de seguridad
o
12. En la definición de la Política de alto nivel de seguridad de la información del
proveedor TI debe seguirse un orden, ¿Cuál es el orden correcto en los
siguientes elementos del SGSI?1
o Requisitos de seguridad, alcance, Análisis de Riesgos y Política
o Identificación de vulnerabilidades, amenazas, riesgos y Política.
o Requisitos de seguridad, alcance, y Política
o Alcance, Requisitos de seguridad y Política.
o
13. ¿Cuál es el propósito de la gestión de riesgos?1
o Utilizar medidas para reducir riesgos a un nivel aceptable.
o Determinar la probabilidad de que ocurra un cierto riesgo.
o Establecer las amenazas a las que están expuestos los sistemas de
información y locales de tratamiento.
o Determinar el daño causado por posibles incidentes relacionados con la
seguridad
o
14. ¿Quien realiza la auditoria de certificación de ISO/IEC 27002?1
o Esta norma no es certificable
o Las entidades de certificación como AENOR, Applus, TÜV Rheinland,
BSI, SGS
o Los auditores cualificados
o Las entidades de acreditación como ENAC o UKAS.
o
15. El departamento de administración del Proveedor TI determina los peligros a los
que está expuesto la información que maneja. ¿Cómo denominamos un posible
hecho que puede afectar negativamente a la fiabilidad de la información?1
o Amenaza
o Riesgo
o Dependencia
o Vulnerabilidad explotada por una amenaza
o
16. El cálculo de los niveles de riesgo se realiza mediante1
o Analizando las amenazas y vulnerabilidades sobre la seguridad de los
activos.
o El cálculo de los recursos que el plan de tratamientos de riesgos y la
implantación de salvaguardas necesita implementar sobre los activos.
o Calculando la probabilidad de la ocurrencia de un incidente sobre el
impacto de amenazas y vulnerabilidades.
 o Analizando la estadística de incidentes de seguridad sobre los activos

17. Una organización que desarrolla software decide implementar ISO/IEC 27001 y
a la hora de implementar los controles del Anexo A del estándar decide, bajo
ciertas premisas y su análisis de riesgos, que sólo implementará 85 controles de
los 133. ¿Esta acción está de acuerdo con los requisitos de ISO/IEC 27001?1
o Sí
o No
o
18. En el mantenimiento del SGSI ¿qué proceso se debe implementar primero, la
AUDITORÍA INTERNA o el proceso de REVISIÓN POR LA DIRECCIÓN?1
o No debe importar el orden de ambos procesos
o El proceso de REVISIÓN POR LA DIRECCIÓN ya que a partir de éste
se puede definir mejor la auditoría interna
o
19. ¿Cuál de los siguientes es un ejemplo de amenaza humana?1
o Un rayo.
o Un portátil que cambia de dueño en una empresa.
o El phising.
o Un fuego.
o
20. ¿Qué relación hay entre el ciclo PDCA y los procesos de mantenimiento y
mejora del SGSI?1
o Se refiere al DO
o El mantenimiento y mejora se refiere al proceso de CHECK del ciclo
PDCA
o

21. La clausula 5.2.2 Competencia, formación y concienciación aplica a:1

o El gestor del SGSI y su equipo
o Los profesionales que operan la seguridad de la información
o Profesionales IT y usuarios
o Todo el personal que este bajo el alcance del SGSI
o
22. Cual de los siguientes afirmaciones se requiere para demostrar el compromiso de
la dirección1
o Realizar un análisis y tratamiento del riesgo
o Asegurar que las auditorias internas se realizan
o Desarrollar la política de seguridad de la información
o Asegurar que los Roles y Responsabilidades de Seguridad de la
información son asignados
o
23. Al analizar y evaluar un riesgo la organización debe:1
o Estimar niveles de riesgo
o Analizar la probabilidad de ocurrencia
o Analizar el impacto en el negocio que podría tener
o Todas las respuestas son correctas
24. Las organizaciones, que quieran obtener el cumplimiento de ISO 27001 deben:1
o Implementar mejores practicas en base a ISO 27002
o Implementar una cantidad razonable de controles
o Implementar todos los controles del anexo A basados en el análisis de
riesgos
o Implementar los controles elegidos para el tratamiento de los riesgos
o
25. Las posibles acciones de tratamiento de riesgo incluyen:1
o Asumir los riesgos
o Usar el sentido común
o Ninguna respuesta es correcta
o Impulsar oportunidades de negocio
o
26. ¿Cuál de las siguientes afirmaciones es un requerimiento de ISO 27001:2013?1
o Realizar una revisión del sistema por la dirección de manera mensual
o Documentar el proceso de análisis de riesgos
o Tener un Gestor de riesgos
o Usar todos los controles del anexo A
o
27. En relación con la implementación de los controles del anexo A, cual de las
siguientes afirmaciones es cierta:1
o Siempre estar incluidos con su justificación en la declaración de
aplicabilidad (SoA)
o Todos los controles deben estar implementados
o Los controles no seleccionados no son incluido en el SOA
o Cada control debe tener un propietario o responsable
o
28. Los registros en un sistema ISO 27001:2013 deben:1
o Retenerse por 3 años como mínimo
o Siempre estar disponibles en un sistema de gestión documental
o Estar accesibles en formato electrónico
o Estar disponibles en cualquier tipo de medio
o
29. De acuerdo a ISO 27001, las auditorias internas deben de ser:1
o Realizadas de acuerdo a los programas de auditoria
o Realizadas una vez al año
o Realizadas previamente a las auditorias de certificación
o Ninguna de las anteriores
o
30. ¿Qué debe hacer el proceso de análisis de riesgos?1
o Analizar los riesgos de seguridad de la Información
o Asegurar que los resultados sean validos, comparables y consistentes
o Todas las respuestas son correctas
o Mantener los criterios de riesgo de seguridad de la información