Sample Exam Information Security Foundation Latin American Spanish PDF

Examen tipo
Fundamentos de
Seguridad de la
Informacin
basado en
ISO / IEC 27002

Edicin Octubre 2011

Examen tipo Fundamentos de Seguridad de la Informacin basado en
ISO / IEC 27002 (ISFS.LA)
2

Copyright 2011 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or
stored in a data processing system or circulated in any form by print, photo print, microfilm
or any other means without written permission by EXIN.
3

ndice
Introduccin 4
Examen de muestra 5
Soluciones 16
Evaluacin 38
4

Introduccin

ste es el examen de muestra de Fundamentos de Seguridad de la Informacin
basado en ISO / IEC 27002.

El examen de muestra consta de 40 preguntas de tipo test. Cada pregunta tiene un
nmero de respuestas posibles, de las cuales slo una es correcta.

El nmero mximo de puntos que se pueden obtener en este examen es de 40. Cada
respuesta correcta tiene un valor de un punto. Si usted consigue 26 puntos o ms,
habr aprobado el examen.

El tiempo permitido para este examen es de 60 minutos.

Todos los derechos quedan reservados.

Buena suerte!

5

Examen de muestra
1 de 40
Su contable le ha hecho llegar un borrador de su formulario de la declaracin de la renta. Usted
comprueba si los datos son correctos.

Qu aspectos de fiabilidad de la informacin est comprobando?

A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
2 de 40
A fin de contratar un seguro contra incendios, una oficina de administracin debe determinar el valor
de los datos que maneja.

Qu factor no es importante para determinar el valor de los datos de una organizacin?

A. El contenido de los datos.
B. Hasta qu punto se pueden recuperar datos perdidos, incompletos o incorrectos.
C. El carcter indispensable de los datos para los procesos de negocio.
D. La importancia de los procesos de negocio que hacen uso de los datos.
3 de 40
El acceso a la informacin es cada vez ms sencillo. Sin embargo, la informacin tiene que seguir
siendo fiable para poder ser utilizada.

Cul de los siguientes aspectos no es un aspecto de la fiabilidad de la informacin?

A. disponibilidad
B. integridad
C. cantidad
D. confidencialidad
6

4 de 40
De qu aspecto de la fiabilidad de la informacin es parte la completitud?

A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
5 de 40
Una oficina de administracin va a determinar los peligros a los que est expuesta.

Cmo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la
informacin?

A. dependencia
B. amenaza
C. vulnerabilidad
D. riesgo
6 de 40
Cul es el propsito de la gestin de riesgos?

A. Determinar la probabilidad de que ocurra un cierto riesgo.
B. Determinar el dao causado por posibles incidentes relacionados con la seguridad.
C. Establecer las amenazas a las que estn expuestos los recursos informticos.
D. Utilizar medidas para reducir riesgos a un nivel aceptable.

7

7 de 40
Qu afirmacin sobre el anlisis de riesgos es correcta?

1. Los riesgos que constan en un anlisis de riesgos pueden clasificarse.
2. En un anlisis de riesgos tiene que considerarse toda la informacin pormenorizada.
3. Un anlisis de riesgos se limita a la disponibilidad.
4. Un anlisis de riesgos es sencillo de realizar completando un breve cuestionario estndar con
preguntas estndar.

A. 1
B. 2
C. 3
D. 4
8 de 40
Cul de los siguientes ejemplos puede clasificarse como fraude?

1. Infectar un ordenador con un virus.
2. Realizar una transaccin no autorizada.
3. Interceptar lneas de comunicacin y redes
4. Utilizar Internet en el trabajo con fines privados

A. 1
B. 2
C. 3
D. 4
9 de 40
Un posible riesgo para las compaas es un incendio. En este caso, si realmente hay un fuego, se
puede producir un dao directo e indirecto.

Cul es un ejemplo de dao directo?

A. se destruye una base de datos
B. prdida de imagen
C. prdida de la confianza del cliente
D. ya no se pueden satisfacer las obligaciones jurdicas
10 de 40
Con el fin de reducir riesgos, una compaa decide optar por una estrategia de una combinacin de
medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para
la compaa.

8

A qu categora de medidas pertenece un acuerdo en espera (stand-by arrangement)?

A. medidas represivas
B. medidas de deteccin
C. medidas preventivas
D. medidas correctivas
11 de 40
Cul de los siguientes es un ejemplo de amenaza humana?

A. Un pendrive pasa un virus a la red.
B. Demasiado polvo en la sala de servidor.
C. Una fuga de agua causa un corte en el suministro de electricidad.
12 de 40

A. un rayo
B. fuego
C. phishing
13 de 40
La informacin tiene una serie de aspectos de fiabilidad.
La fiabilidad est continuamente amenazada. Algunos ejemplos de amenazas son: un cable se
suelta, alguien modifica accidentalmente informacin, uso de los datos con fines particulares o datos
falsificados.

Cul de los siguientes ejemplos constituye una amenaza para la confidencialidad?

A. un cable suelto
B. borrar datos accidentalmente
C. usar datos con fines particulares
D. falsificar datos

9

14 de 40
Un miembro del personal niega haber enviado un determinado mensaje.

Qu aspecto de la fiabilidad de la informacin est en peligro aqu?

A. disponibilidad
B. precisin
C. integridad
D. confidencialidad
15 de 40
En el ciclo del incidente hay cuatro pasos sucesivos.

Cul es el orden de estos pasos?

A. Amenaza, Dao, Incidente, Recuperacin
B. Amenaza, Incidente, Dao, Recuperacin
C. Incidente, Amenaza, Dao, Recuperacin
D. Incidente, Recuperacin, Dao, Amenaza
16 de 40
Hay un incendio en una sucursal de una compaa de seguros mdicos. Se traslada al personal a
una sucursal cercana para continuar su trabajo.

En qu momento del ciclo del incidente se encuentra la ejecucin de este acuerdo en espera (stand-
by)?
A. entre la amenaza y el incidente
B. entre la recuperacin y la amenaza
C. entre el dao y la recuperacin
D. entre el incidente y el dao
17 de 40
Cmo se describe mejor el propsito de la poltica de seguridad de la informacin?

A. La poltica documenta el anlisis de riesgos y la bsqueda de contramedidas.
B. La poltica proporciona direccin y apoyo a la gestin en materia de seguridad de la informacin.
C. La poltica hace que el plan de seguridad sea concreto aportndole la informacin detallada
necesaria.
D. La poltica proporciona una mejor comprensin sobre las amenazas y las posibles consecuencias.

10

18 de 40
El cdigo de conducta para los negocios electrnicos se basa en una serie de principios.

Cul de los siguientes principios no corresponde aqu?

A. fiabilidad
B. registro
C. confidencialidad y privacidad
19 de 40
Una trabajadora de la compaa de seguros Euregio descubre que la fecha de vencimiento de una
pliza se ha cambiado sin su conocimiento. Ella es la nica persona autorizada para hacerlo. Informa
de este incidente de seguridad en el mostrador de recepcin. La persona encargada anota la
siguiente informacin sobre este incidente:

fecha y hora
descripcin del incidente
posibles consecuencias del incidente

Qu informacin importante sobre el incidente falta?

A. el nombre de la persona que informa del incidente
B. el nombre del paquete de software
C. el nmero de PC
D. una lista de gente que fue informada del incidente
20 de 40
Una empresa registra los siguientes incidentes:
1. Un detector de humos no funciona.
2. Alguien rompe la seguridad de la red
3. Alguien pretende ser miembro del personal.
4. Un archivo de ordenador no puede ser convertido en un archivo PDF.

Cul de estos incidentes no es un incidente de seguridad?

A. 1
B. 2
C. 3
D. 4

11

21 de 40
Las medidas de seguridad pueden ser agrupadas de varias formas.

Cul de las siguientes formas es correcta?

A. fsica, lgica, preventiva
B. lgica, represiva, preventiva
C. organizativa, preventiva, correctiva, fsica
D. preventiva, de deteccin, represiva, correctiva
22 de 40
Un detector de humos est situado en una sala de ordenadores.

Bajo qu categora de medidas de seguridad se encuadra?

A. correctiva
B. de deteccin
C. organizativa
D. preventiva
23 de 40
El responsable de la seguridad de la informacin de la compaa de seguros Euregio desea
establecer una lista de medidas de seguridad.

Qu tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de
seguridad?

A. Establecer vigilancia.
B. Llevar a cabo una evaluacin.
C. Formular una poltica de seguridad de la informacin.
D. Llevar a cabo un anlisis de riesgo.
24 de 40
Cul es el propsito de clasificar informacin?

A. Determinar qu tipos de informacin pueden requerir diferentes niveles de proteccin.
B. Asignar informacin a un propietario.
C. Reducir los riesgos de error humano.
D. Prevenir acceso no autorizado a informacin.

12

25 de 40
Se necesita una autentificacin fuerte para acceder a reas altamente protegidas. En el caso de una
autentificacin fuerte, la identidad de una persona se verifica utilizando tres factores.

Qu factor es verificado cuando introducimos un nmero de identificacin personal (PIN)?

A. Algo parte de mi
B. Algo que yo tengo
C. Algo que yo conozco
26 de 40
El acceso a la sala de informtica se cierra mediante la utilizacin de un lector de tarjeta. Slo el
departamento de Gestin de Sistemas tiene tarjetas.

Qu tipo de medida de seguridad es sta?

A. una medida de seguridad correctiva
B. una medida de seguridad fsica
C. una medida de seguridad lgica
D. una medida de seguridad represiva
27 de 40
Cuatro (4) miembros del personal del departamento de Informtica comparten una (1) tarjeta de
acceso a la sala de informtica.

Qu riesgo conlleva esto?

A. Si se va la luz, los ordenadores se apagan.
B. Si se declara un fuego, los extintores no pueden ser utilizados.
C. Si desaparece algo de la sala de informtica, no estar claro quin es responsable.
D. Las personas sin autorizacin pueden acceder a la sala de informtica sin ser vistas.

13

28 de 40
En la recepcin de una oficina de administracin hay una impresora que todo el personal puede
utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse
inmediatamente para que no se las pueda llevar un visitante.

Qu otro riesgo para la informacin de la empresa conlleva esta situacin?

A. Los archivos pueden quedarse almacenados en la memoria de la impresora.
B. Los visitantes podran copiar e imprimir informacin confidencial de la red.
C. Puede estropearse la impresora con un uso excesivo, con lo que no podra utilizarse ms.
29 de 40
Cules de las siguientes medidas de seguridad es una medida tcnica?

1. Asignar informacin a un propietario
2. Archivos codificados
3. Crear una poltica que defina qu est y qu no est permitido va correo electrnico
4. Guardar las claves de acceso de la gestin de sistemas en una caja fuerte

A. 1
B. 2
C. 3
D. 4
30 de 40
Las copias de seguridad del servidor central se guardan en la misma habitacin cerrada que el
servidor.

A qu riesgo se enfrenta la organizacin?

A. Si se estropea el servidor, pasar un tiempo antes de que vuelva a estar operativo.
B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.
C. Nadie es responsable de copias de seguridad.
D. Las personas no autorizadas tienen un fcil acceso a las copias de seguridad.
31 de 40
Cul de las siguientes tecnologas es maliciosa?

A. la codificacin
B. algoritmos hash
C. la Red Privada Virtual (VPN)
D. virus, gusanos informticos y programas espa
14

32 de 40
Qu medida no ayuda contra el software malicioso?

A. una poltica de parches activa
B. un programa antiespas
C. un filtro de correo basura
D. una contrasea
33 de 40
Cul de estos es un ejemplo de medida organizativa?

A. copia de seguridad
B. codificacin
C. segregacin de deberes
D. guardar el equipo de red y las cajas de conexiones elctricas en una habitacin cerrada
34 de 40
La Identificacin es establecer si la identidad de alguien es correcta.

Es correcta esta afirmacin?

A. s
B. no
35 de 40
Por qu es necesario tener un plan de recuperacin de desastres actualizado y probarlo con
regularidad?

A. Para tener siempre acceso a copias de seguridad recientes que estn localizadas fuera de la
oficina.
B. Para poder sobrellevar los fallos que ocurren diariamente.
C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas establecidas y los
procedimientos planeados pueden no resultar adecuados o pueden estar desactualizados.
D. Porque la Ley de proteccin de datos personales lo requiere.
36 de 40
Qu es la autorizacin?

A. La determinacin de la identidad de una persona.
B. El conjunto de las acciones llevadas a cabo para acceder.
C. La verificacin de la identidad de una persona.
D. Garantizar derechos especficos, tales como acceso selectivo, a una persona.
15

37 de 40
Qu importante norma jurdica en el rea de la seguridad de la informacin ha de contemplar el
gobierno?

A. Anlisis de dependencia y vulnerabilidad
B. ISO/IEC 20000
C. ISO/IEC 27002
D. Legislacin o normas nacionales sobre seguridad de la informacin
38 de 40
En base a qu legislacin puede alguien pedir la inspeccin de datos que han sido registrados
sobre su persona?

A. La ley de Registro pblico
B. La ley de Proteccin de datos personales
C. La ley de Delitos informticos
D. La ley de Acceso pblico a informacin del gobierno
39 de 40
El Cdigo para la seguridad de la informacin (ISO/IEC 27002) es una descripcin de un mtodo de
anlisis de riesgos.

Es esta afirmacin correcta?

A. s
B. no
40 de 40
El Cdigo para la seguridad de la informacin (ISO/IEC 27002) slo es aplicable a grandes empresas.


A. s
B. no

16

Soluciones
1 de 40

Su contable le ha hecho llegar un borrador de su formulario de la declaracin de la
renta. Usted comprueba si los datos son correctos.

Qu aspectos de fiabilidad de la informacin est comprobando?

A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad

A. Incorrecto. La disponibilidad indica hasta qu punto la informacin se encuentra
disponible para los usuarios en el momento en el que se necesita.
B. Incorrecto. La exclusividad es una caracterstica de la confidencialidad.
C. Correcto. Concierne a la integridad. Ver la seccin 4.5 de The basics of information
security (Fundamentos en seguridad de la informacin).
D. Incorrecto. Concierne al grado en el que el acceso a la informacin est restringido
a las personas autorizadas.
2 de 40
A fin de contratar un seguro contra incendios, una oficina de administracin debe
determinar el valor de los datos que maneja.

Qu factor no es importante para determinar el valor de los datos de una
organizacin?

A. El contenido de los datos.
B. Hasta qu punto se pueden recuperar datos perdidos, incompletos o incorrectos.
C. El carcter indispensable de los datos para los procesos de negocio.
D. La importancia de los procesos de negocio que hacen uso de los datos.

A. Correcto. El contenido de los datos no determina su valor. Ver la seccin 4.3 de
The basics of information security (Fundamentos en seguridad de la informacin).
B. Incorrecto. Los datos perdidos, incompletos o incorrectos que pueden ser
fcilmente recuperados son menos valiosos que los datos difciles o imposibles de
recuperar.
C. Incorrecto. El carcter indispensable de los datos para los procesos de negocios
determina en parte su valor.
D. Incorrecto. Los datos crticos para procesos de negocios importantes son valiosos.
17

3 de 40
El acceso a la informacin es cada vez ms sencillo. Sin embargo, la informacin tiene
que seguir siendo fiable para poder ser utilizada.

Cul de los siguientes aspectos no es un aspecto de la fiabilidad de la informacin?

A. disponibilidad
B. integridad
C. cantidad
D. confidencialidad

A. Incorrecto. La disponibilidad s es un aspecto de la fiabilidad de la informacin.
B. Incorrecto. La integridad s es un aspecto de la fiabilidad de la informacin.
C. Correcto. La cantidad no es un aspecto de la fiabilidad de la informacin. Ver la
seccin 4.5 de The basics of information security (Fundamentos en seguridad de la
informacin).
D. Incorrecto. La confidencialidad s es un aspecto de la fiabilidad de la informacin.
4 de 40
De qu aspecto de la fiabilidad de la informacin es parte la completitud?

A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad

A. Incorrecto. La informacin puede estar disponible sin ser completa.
B. Incorrecto. La exclusividad es una caracterstica de la confidencialidad.
C. Correcto. La completitud es parte de la integridad. Ver la seccin 4.5 de The
basics of information security (Fundamentos en seguridad de la informacin).
D. Incorrecto. La informacin confidencial no tiene por qu ser completa.

18

5 de 40
Una oficina de administracin va a determinar los peligros a los que est expuesta.

Cmo denominamos un posible hecho que puede afectar negativamente a la
fiabilidad de la informacin?

A. dependencia
B. amenaza
C. vulnerabilidad
D. riesgo

A. Incorrecto. La dependencia no es un hecho.
B. Correcto. Una amenaza es un posible hecho que puede afectar la fiabilidad de la
informacin. Ver la seccin 5 de The basics of information security (Fundamentos en
seguridad de la informacin).
C. Incorrecto. La vulnerabilidad es el grado en el que algo es susceptible de sufrir una
amenaza.
D. Incorrecto. Un riesgo es el dao medio esperado en un perodo de tiempo como
resultado de una o ms amenazas que conllevan incidencia(s).
6 de 40
Cul es el propsito de la gestin de riesgos?

A. Determinar la probabilidad de que ocurra un cierto riesgo.
B. Determinar el dao causado por posibles incidentes relacionados con la
seguridad.
C. Establecer las amenazas a las que estn expuestos los recursos informticos.
D. Utilizar medidas para reducir riesgos a un nivel aceptable.

A. Incorrecto. Es parte del anlisis de riesgos.
B. Incorrecto. Es parte del anlisis de riesgos.
C. Incorrecto. Es parte del anlisis de riesgos.
D. Correcto. El propsito de la gestin de riesgos es reducir riesgos a un nivel
aceptable. Ver la seccin 5 de The basics of information security (Fundamentos en

19

7 de 40
Qu afirmacin sobre el anlisis de riesgos es correcta?

1. Los riesgos que constan en un anlisis de riesgos pueden clasificarse.
2. En un anlisis de riesgos tiene que considerarse toda la informacin
pormenorizada.
3. Un anlisis de riesgos se limita a la disponibilidad.
4. Un anlisis de riesgos es sencillo de realizar completando un breve cuestionario
estndar con preguntas estndar.

A. 1
B. 2
C. 3
D. 4

A. Correcto. Todos los riesgos no son iguales. Como regla general, se abordan
primero los mayores riesgos. Ver la seccin 5 de The basics of information security
(Fundamentos en seguridad de la informacin).
B. Incorrecto. En un anlisis de riesgos es imposible examinar todos los detalles.
C. Incorrecto. Un anlisis de riesgos considera todos los aspectos de la fiabilidad,
incluyendo la integridad y la confidencialidad junto a la disponibilidad.
D. Incorrecto. En un anlisis de riesgos las preguntas raras veces pueden aplicarse a
todas las situaciones.
8 de 40
Cul de los siguientes ejemplos puede clasificarse como fraude?

1. Infectar un ordenador con un virus.
2. Realizar una transaccin no autorizada.
3. Interceptar lneas de comunicacin y redes
4. Utilizar Internet en el trabajo con fines privados

A. 1
B. 2
C. 3
D. 4

A. Incorrecto. Una infeccin por virus se clasifica como la amenaza cambio no
autorizado.
B. Correcto. Una transaccin no autorizada se clasifica como fraude. Ver la seccin
10.6 de The basics of information security (Fundamentos en seguridad de la
informacin).
C. Incorrecto. Interceptar lneas est clasificado como la amenaza revelacin.
D. Incorrecto. El uso privado est clasificado como la amenaza mal uso.
20

9 de 40
Un posible riesgo para las compaas es un incendio. En este caso, si realmente hay
un fuego, se puede producir un dao directo e indirecto.

Cul es un ejemplo de dao directo?

A. se destruye una base de datos
B. prdida de imagen
C. prdida de la confianza del cliente
D. ya no se pueden satisfacer las obligaciones jurdicas

A. Correcto. Una base de datos destruida es un ejemplo de dao directo. Ver la
seccin 5.5 de The basics of information security (Fundamentos en seguridad de la
informacin).
B. Incorrecto. La prdida de imagen es un dao indirecto.
C. Incorrecto. La prdida de confianza de los clientes es un dao indirecto.
D. Incorrecto. No poder satisfacer las obligaciones jurdicas es un dao indirecto.
10 de 40
Con el fin de reducir riesgos, una compaa decide optar por una estrategia de una
combinacin de medidas. Una de las medidas es que se organice un acuerdo en
espera (stand-by arrangement) para la compaa.

A qu categora de medidas pertenece un acuerdo en espera (stand-by
arrangement)?

A. medidas represivas
B. medidas de deteccin
C. medidas preventivas
D. medidas correctivas

A. Incorrecto. Las medidas represivas, tales como extinguir el fuego , estn orientadas
a minimizar cualquier dao causado.Un respaldo es otro ejemplo de una medida
represiva. B. Incorrecto. Las medidas de deteccin solamente dan un aviso despus
de haber detectado algo.
C. Incorrecto. El objetivo de las medidas preventivas es evitar incidentes.
D. Correcto. Ver la seccin 5.3.4 de The basics of information security (Fundamentos
de seguridad de la informacin). Un acuerdo en espera (stand-by arrangement) es
tambin un ejemplo de una medida correctiva , don de corregir significa la puesta en
servicio de una medida
de emergencia bsica en el caso de un desastre. Por ejemplo, utilizar un lugar
diferente con el fin de
seguir trabajando.
21

11 de 40

A. Un pendrive pasa un virus a la red.
B. Demasiado polvo en la sala de servidor.
C. Una fuga de agua causa un corte en el suministro de electricidad.

A. Correcto. Un pendrive siempre lo inserta una persona. Por ello, si al hacerlo entra
un virus en la red, es una amenaza humana. Ver la seccin 5.4.1 de The basics of
information security (Fundamentos en seguridad de la informacin).
B. Incorrecto. El polvo no es una amenaza humana.
C. Incorrecto. Una fuga de agua no es una amenaza humana.
12 de 40

A. un rayo
B. fuego
C. phishing

A. Incorrecto. Un rayo es un ejemplo de amenaza no humana.
B. Incorrecto. El fuego es un ejemplo de una amenaza no humana.
C. Correcto. El phishing (atraer a los usuarios a sitios Web falsos) es una forma de
amenaza humana. Ver las secciones 5.4.1 y 9.4.6 de The basics of information

22

13 de 40
La informacin tiene una serie de aspectos de fiabilidad.
La fiabilidad est continuamente amenazada. Algunos ejemplos de amenazas son: un
cable se suelta, alguien modifica accidentalmente informacin, uso de los datos con
fines particulares o datos falsificados.

Cul de los siguientes ejemplos constituye una amenaza para la confidencialidad?

A. un cable suelto
B. borrar datos accidentalmente
C. usar datos con fines particulares
D. falsificar datos

A. Incorrecto. Un cable suelto es una amenaza para la disponibilidad de informacin.
B. Incorrecto. La modificacin no intencionada de datos es una amenaza a su
integridad.
C. Correcto. El uso de datos con fines particulares es una forma de mal uso y
constituye una amenaza para la confidencialidad. Ver la seccin 4.5 de The basics of
D. Incorrecto. La falsificacin de datos es una amenaza para su integridad.

23

14 de 40
Un miembro del personal niega haber enviado un determinado mensaje.

Qu aspecto de la fiabilidad de la informacin est en peligro aqu?

A. disponibilidad
B. precisin
C. integridad
D. confidencialidad

A. Incorrecto. Sobrecargar la infraestructura es un ejemplo de amenaza a la
disponibilidad.
B. Incorrecto. La precisin no es un aspecto de la fiabilidad. Es una caracterstica de
la integridad.
C. Correcto. La negacin de haber enviado un mensaje tiene que ver con el no-
repudio, una amenaza a la integridad. Ver la seccin 4.5 de The basics of information
D. Incorrecto. El mal uso y/o la revelacin de datos son amenazas a la
confidencialidad.
15 de 40
En el ciclo del incidente hay cuatro pasos sucesivos.

Cul es el orden de estos pasos?

A. Amenaza, Dao, Incidente, Recuperacin
B. Amenaza, Incidente, Dao, Recuperacin
C. Incidente, Amenaza, Dao, Recuperacin
D. Incidente, Recuperacin, Dao, Amenaza

A. Incorrecto. El dao sigue al incidente.
B. Correcto. El orden de los pasos en el ciclo del incidente es: Amenaza, Incidente,
Dao, Recuperacin. Ver la seccin 6.4.4 de The basics of information security
C. Incorrecto. El incidente sigue a la amenaza.
D. Incorrecto. La recuperacin es el ltimo paso.

24

16 de 40
Hay un incendio en una sucursal de una compaa de seguros mdicos. Se traslada al
personal a una sucursal cercana para continuar su trabajo.

En qu momento del ciclo del incidente se encuentra la ejecucin de este acuerdo en
espera (stand-by)?
A. entre la amenaza y el incidente
B. entre la recuperacin y la amenaza
C. entre el dao y la recuperacin
D. entre el incidente y el dao

A. Incorrecto. Ejecutar un acuerdo en espera (stand-by) sin que primero haya un
incidente es muy caro.
B. Incorrecto. La recuperacin tiene lugar despus de que se ejecute un acuerdo en
espera (stand-by).
C. Incorrecto. El dao y la recuperacin estn en realidad limitados por la ejecucin
del acuerdo en espera (stand-by).
D. Correcto. La ejecucin de un acuerdo en espera (stand-by) es un medida represiva
que se inicia a fin de limitar el dao. Ver las secciones 6.4.4 y 9.3 de The basics of

25

17 de 40
Cmo se describe mejor el propsito de la poltica de seguridad de la informacin?

A. La poltica documenta el anlisis de riesgos y la bsqueda de contramedidas.
B. La poltica proporciona direccin y apoyo a la gestin en materia de seguridad de
la informacin.
C. La poltica hace que el plan de seguridad sea concreto aportndole la informacin
detallada necesaria.
D. La poltica proporciona una mejor comprensin sobre las amenazas y las posibles
consecuencias.

A. Incorrecto. ste es el propsito del anlisis de riesgos y de la gestin de riesgos.
B. Correcto. La poltica de seguridad proporciona direccin y apoyo a la gestin en
materia de seguridad de la informacin. Ver la seccin 9.1 de The basics of
C. Incorrecto. El plan de seguridad hace que la poltica de seguridad de la informacin
sea concreta. El plan incluye qu medidas se han elegido, quin es responsable de
qu, las orientaciones para la puesta en prctica de las medidas, etc.
D. Incorrecto. ste es el propsito del anlisis de amenazas.
18 de 40
El cdigo de conducta para los negocios electrnicos se basa en una serie de
principios.

Cul de los siguientes principios no corresponde aqu?

A. fiabilidad
B. registro
C. confidencialidad y privacidad

A. Incorrecto. La fiabilidad constituye una de las bases del cdigo de conducta.
B. Correcto. El cdigo de conducta ser basa en los principios de fiabilidad,
transparencia, confidencialidad y privacidad. El registro no encaja aqu. Ver la seccin
9.4.12 de The basics of information security (Fundamentos en seguridad de la
informacin).
C. Incorrecto. El cdigo de conducta se basa en la confidencialidad y en la privacidad
entre otras cosas.

26

19 de 40
Una trabajadora de la compaa de seguros Euregio descubre que la fecha de
vencimiento de una pliza se ha cambiado sin su conocimiento. Ella es la nica
persona autorizada para hacerlo. Informa de este incidente de seguridad en el
mostrador de recepcin. La persona encargada anota la siguiente informacin sobre
este incidente:

fecha y hora
descripcin del incidente
posibles consecuencias del incidente

Qu informacin importante sobre el incidente falta?

A. el nombre de la persona que informa del incidente
B. el nombre del paquete de software
C. el nmero de PC
D. una lista de gente que fue informada del incidente

A. Correcto. Cuando se informa de un incidente, el nombre de quien lo hace debe ser
anotado. Ver la seccin 6.4.1 de The basics of information security (Fundamentos en
B. Incorrecto. sta es informacin adicional que puede aadirse ms tarde.
C. Incorrecto. sta es informacin adicional que puede aadirse ms tarde.
D. Incorrecto. sta es informacin adicional que puede aadirse ms tarde.

27

20 de 40
Una empresa registra los siguientes incidentes:
1. Un detector de humos no funciona.
2. Alguien rompe la seguridad de la red
3. Alguien pretende ser miembro del personal.
4. Un archivo de ordenador no puede ser convertido en un archivo PDF.

Cul de estos incidentes no es un incidente de seguridad?

A. 1
B. 2
C. 3
D. 4

A. Incorrecto. Un detector de humos que no funciona es un incidente que puede
amenazar la disponibilidad de los datos.
B. Incorrecto. Romper la seguridad de la red es un incidente que puede amenazar la
disponibilidad, integridad y confidencialidad de los datos.
C. Incorrecto. El mal uso de la identidad es un incidente que puede amenazar la
disponibilidad, integridad y confidencialidad de los datos.
D. Correcto. Un incidente de seguridad es un incidente que puede amenazar la
disponibilidad, integridad o confidencialidad de los datos. Esto no constituye una
amenaza a la disponibilidad, integridad y confidencialidad de los datos. Ver la seccin
6.4 de The basics of information security (Fundamentos en seguridad de la
informacin).
21 de 40
Las medidas de seguridad pueden ser agrupadas de varias formas.

Cul de las siguientes formas es correcta?

A. fsica, lgica, preventiva
B. lgica, represiva, preventiva
C. organizativa, preventiva, correctiva, fsica
D. preventiva, de deteccin, represiva, correctiva

A. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es
preventiva/de deteccin/represiva/correctiva.
B. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es
C. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es
D. Correcto. Preventiva/de deteccin/represiva/correctiva es un grupo adecuado,
como tambin lo es organizativa/lgica/fsica. Ver la seccin 5.3 de The basics of
28

22 de 40
Un detector de humos est situado en una sala de ordenadores.

Bajo qu categora de medidas de seguridad se encuadra?

A. correctiva
B. de deteccin
C. organizativa
D. preventiva

A. Incorrecto. Un detector de humos detecta y luego enva una alarma, pero no
emprende ninguna accin correctiva.
B. Correcto. Un detector de humos slo tiene una funcin de aviso; una vez dada la
alarma, se requiere una accin. Ver la seccin 5.3 de The basics of information
C. Incorrecto. Slo las medidas que siguen a la alarma del detector de humos son
organizativas; la colocacin de un detector de humos no es una medida organizativa.
D. Incorrecto. Un detector de humos no evita un fuego, por lo que no es una medida
preventiva.
23 de 40
El responsable de la seguridad de la informacin de la compaa de seguros Euregio
desea establecer una lista de medidas de seguridad.

Qu tiene que hacer en primer lugar, antes de que se puedan seleccionar las
medidas de seguridad?

A. Establecer vigilancia.
B. Llevar a cabo una evaluacin.
C. Formular una poltica de seguridad de la informacin.
D. Llevar a cabo un anlisis de riesgo.

A. Incorrecto. La vigilancia es una medida posible.
B. Incorrecto. La evaluacin se realiza una vez establecida la lista de medidas.
C. Incorrecto. Una poltica de seguridad de la informacin es importante, pero no es
necesaria para seleccionar medidas.
D. Correcto. Antes de poder seleccionar medidas de seguridad, Euregio debe
determinar qu riesgos necesitan medidas de seguridad. Ver la seccin 5 de The

29

24 de 40
Cul es el propsito de clasificar informacin?

A. Determinar qu tipos de informacin pueden requerir diferentes niveles de
proteccin.
B. Asignar informacin a un propietario.
C. Reducir los riesgos de error humano.
D. Prevenir acceso no autorizado a informacin.

A. Correcto. El propsito de clasificar informacin es mantener una proteccin adecuada.
Ver la seccin 6.3 de The basics of information security (Fundamentos en seguridad de
la informacin).
B. Incorrecto. Asignar informacin a un propietario es el modo de clasificacin, y no el
propsito.
C. Incorrecto. Reducir los riesgos de error humano es parte de los requisitos de
seguridad del personal.
D. Incorrecto. Prevenir acceso no autorizado a informacin es parte de la seguridad de
acceso.
25 de 40
Se necesita una autentificacin fuerte para acceder a reas altamente protegidas. En
el caso de una autentificacin fuerte, la identidad de una persona se verifica utilizando
tres factores.

Qu factor es verificado cuando introducimos un nmero de identificacin personal
(PIN)?

A. Algo parte de mi
B. Algo que yo tengo
C. Algo que yo conozco

A. Incorrecto. Un cdigo PIN no es un ejemplo de algo parte de m
B. Incorrecto. Un cdigo PIN no es algo que tengo.
C. Correcto. Un cdigo PIN es algo que conozco. Ver la seccin 7.2.2.1 de The

30

26 de 40
El acceso a la sala de informtica se cierra mediante la utilizacin de un lector de
tarjeta. Slo el departamento de Gestin de Sistemas tiene tarjetas.

Qu tipo de medida de seguridad es sta?

A. una medida de seguridad correctiva
B. una medida de seguridad fsica
C. una medida de seguridad lgica
D. una medida de seguridad represiva

A. Incorrecto. Una medida de seguridad correctiva es una medida de recuperacin.
B. Correcto. Es una medida de seguridad fsica. Ver la seccin 7 de The basics of
C. Incorrecto. Una medida de seguridad lgica controla el acceso al software y a la
informacin, no el acceso fsico a las salas.
D. Incorrecto. Una medida de seguridad represiva intenta minimizar las consecuencias
de un incidente.
27 de 40
Cuatro (4) miembros del personal del departamento de Informtica comparten una (1)
tarjeta de acceso a la sala de informtica.

Qu riesgo conlleva esto?

A. Si se va la luz, los ordenadores se apagan.
B. Si se declara un fuego, los extintores no pueden ser utilizados.
C. Si desaparece algo de la sala de informtica, no estar claro quin es
responsable.
D. Las personas sin autorizacin pueden acceder a la sala de informtica sin ser
vistas.

A. Incorrecto. Que se apaguen los ordenadores como resultado de un corte de luz no
tiene nada que ver con la gestin de acceso a la sala.
B. Incorrecto. Aunque slo tenga una tarjeta, el personal de informtica puede apagar
un fuego con un extintor.
C. Correcto. Aunque fuera evidente que alguien del departamento de informtica
hubiese estado dentro, no se sabra quin. Ver la seccin 7.2 de The basics of
D. Incorrecto. Nadie tiene acceso a la sala de informtica sin una tarjeta.

31

28 de 40
En la recepcin de una oficina de administracin hay una impresora que todo el
personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas
han de recogerse inmediatamente para que no se las pueda llevar un visitante.

Qu otro riesgo para la informacin de la empresa conlleva esta situacin?

A. Los archivos pueden quedarse almacenados en la memoria de la impresora.
B. Los visitantes podran copiar e imprimir informacin confidencial de la red.
C. Puede estropearse la impresora con un uso excesivo, con lo que no podra
utilizarse ms.

A. Correcto. Si los archivos quedan almacenados en la memoria puede imprimirlos y
llevrselos cualquier persona que pase por recepcin. Ver la seccin 9.4.11 de The
B. Incorrecto. No es posible utilizar una impresora para copiar informacin de la red.
C. Incorrecto. La indisponibilidad de una impresora no constituye un riesgo para la
informacin de la empresa.
29 de 40
Cules de las siguientes medidas de seguridad es una medida tcnica?

1. Asignar informacin a un propietario
2. Archivos codificados
3. Crear una poltica que defina qu est y qu no est permitido va correo
electrnico
4. Guardar las claves de acceso de la gestin de sistemas en una caja fuerte
A. 1
B. 2
C. 3
D. 4

A. Incorrecto. Asignar informacin a un propietario es clasificar, que es una medida
organizativa.
B. Correcto. Es una medida tcnica que evita que personas no autorizadas lean la
informacin. Ver la seccin 8.3 de The basics of information security (Fundamentos
en seguridad de la informacin).
C. Incorrecto. Es una medida organizativa; un cdigo de conducta escrito en el
contrato de empleo.
D. Incorrecto. Es una medida organizativa.

32

30 de 40
Las copias de seguridad del servidor central se guardan en la misma habitacin
cerrada que el servidor.

A qu riesgo se enfrenta la organizacin?

A. Si se estropea el servidor, pasar un tiempo antes de que vuelva a estar
operativo.
B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.
C. Nadie es responsable de copias de seguridad.
D. Las personas no autorizadas tienen un fcil acceso a las copias de seguridad.

A. Incorrecto. Al contrario, esto ayudara a que el sistema estuviera operativo ms
rpidamente.
B. Correcto. La posibilidad de que las copias de seguridad tambin resulten destruidas
en el fuego es muy alta. Ver la seccin 9.4.7 de The basics of information security
C. Incorrecto. La responsabilidad no tiene nada que ver con el lugar de almacenaje.
D. Incorrecto. La sala de informtica est cerrada.
31 de 40
Cul de las siguientes tecnologas es maliciosa?

A. la codificacin
B. algoritmos hash
C. la Red Privada Virtual (VPN)
D. virus, gusanos informticos y programas espa

A. Incorrecto. La codificacin hace que la informacin sea ilegible para todos menos
para los que poseen un conocimiento especial, normalmente llamado clave de acceso.
B. Incorrecto. Los algoritmos hash son un mtodo de codificacin de informacin.
C. Incorrecto. VPN es una conexin de red segura en Internet.
D. Correcto. Todos son formas de software malicioso, que se introduce sin permiso en
un ordenador con fines maliciosos. Ver la seccin 9.4.6 de The basics of information

33

32 de 40
Qu medida no ayuda contra el software malicioso?

A. una poltica de parches activa
B. un programa antiespas
C. un filtro de correo basura
D. una contrasea

A. Incorrecto. El software malicioso utiliza a menudo errores de programacin en el
software. Los parches repararan los fallos de seguridad del software, y as reducen
las posibilidades de infeccin con software malicioso.
B. Incorrecto. Un programa espa es un programa malicioso que recoge informacin
confidencial almacenada en un ordenador y la distribuye. Un programa antiespas
puede detectar el software malicioso en un ordenador.
C. Incorrecto. El correo basura es correo electrnico no deseado. A menudo es
simplemente publicidad, pero tambin puede contener software malicioso adjunto o un
enlace a una web con software malicioso. Un filtro de correo basura elimina este tipo
de correo.
D. Correcto. Una contrasea es una forma de autentificacin. No bloquea ningn
software malicioso. Ver la seccin 8.1.2.1 de The basics of information security
33 de 40
Cul de estos es un ejemplo de medida organizativa?

A. copia de seguridad
B. codificacin
C. segregacin de deberes
D. guardar el equipo de red y las cajas de conexiones elctricas en una habitacin
cerrada

A. Incorrecto. Hacer copias de seguridad de los datos es una medida tcnica.
B. Incorrecto. La codificacin de datos es una medida tcnica.
C. Correcto. La segregacin de deberes es una medida organizativa. Las
responsabilidades de inicio, ejecucin y control son asignadas a diferentes personas.
Por ejemplo, la transferencia de una gran cantidad de dinero es preparada por un
administrativo, el director financiero realiza el pago y un contable audita la transaccin.
Ver la seccin 9.4.3 de The basics of information security (Fundamentos en
D. Incorrecto. Cerrar habitaciones es una medida de seguridad fsica.

34

34 de 40
La Identificacin es establecer si la identidad de alguien es correcta.

Es correcta esta afirmacin?

A. s
B. no

A. Incorrecto. La Identificacin es el proceso de revelar una identidad.
B. Correcto. Establecer si la identidad de alguien es correcta se denomina
autentificacin. Ver la seccin 8.1 de The basics of information security
35 de 40
Por qu es necesario tener un plan de recuperacin de desastres actualizado y
probarlo con regularidad?

A. Para tener siempre acceso a copias de seguridad recientes que estn localizadas
fuera de la oficina.
B. Para poder sobrellevar los fallos que ocurren diariamente.
C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas
establecidas y los procedimientos planeados pueden no resultar adecuados o
pueden estar desactualizados.
D. Porque la Ley de proteccin de datos personales lo requiere.

A. Incorrecto. sta es una de las medidas tcnicas establecidas para recuperar un
sistema.
B. Incorrecto. En caso de incidentes normales, las medidas normalmente utilizadas y
los procedimientos ante un incidente son suficientes.
C. Correcto. Un incidente de grandes proporciones requiere un plan probado y
actualizado. Ver la seccin 9.3 de The basics of information security (Fundamentos
D. Incorrecto. La Ley de proteccin de datos personales regula a la privacidad de los
datos personales.

35

36 de 40
Qu es la autorizacin?

A. La determinacin de la identidad de una persona.
B. El conjunto de las acciones llevadas a cabo para acceder.
C. La verificacin de la identidad de una persona.
D. Garantizar derechos especficos, tales como acceso selectivo, a una persona.

A. Incorrecto. La determinacin de la identidad de una persona se denomina
identificacin.
B. Incorrecto. El registro de las acciones llevadas a cabo se denomina logging.
C. Incorrecto. La verificacin de la identidad de una persona se denomina
autentificacin.
D. Correcto. Garantizar derechos especficos, tales como el acceso selectivo, a una
persona se denomina autorizacin. Ver la seccin 8.1 de The basics of information
37 de 40
Qu importante norma jurdica en el rea de la seguridad de la informacin ha de
contemplar el gobierno?

A. Anlisis de dependencia y vulnerabilidad
B. ISO/IEC 20000
C. ISO/IEC 27002
D. Legislacin o normas nacionales sobre seguridad de la informacin

A. Incorrecto. El anlisis de dependencia y vulnerabilidad es un mtodo de anlisis de
riesgos.
B. Incorrecto. El ISO/IEC 20000 es un estndar para organizar la gestin de servicios
informticos y no es obligatoria.
C. Incorrecto. El ISO/IEC 27002 es el Cdigo de buenas prcticas para la Seguridad
de la Informacin. Es una gua para organizar la seguridad de la informacin y no es
obligatoria.
D. Correcto. La legislacin o normas nacionales sobre seguridad de la informacin
estn promulgadas por los gobiernos nacionales y son obligatorias. Ver la seccin 10
de The basics of information security (Fundamentos en seguridad de la informacin).

36

38 de 40
En base a qu legislacin puede alguien pedir la inspeccin de datos que han sido
registrados sobre su persona?

A. La ley de Registro pblico
B. La ley de Proteccin de datos personales
C. La ley de Delitos informticos
D. La ley de Acceso pblico a informacin del gobierno

A. Incorrecto. La ley de Registro pblico regula el almacenaje y destruccin de
documentos de archivo.
B. Correcto. El derecho a la inspeccin est regulado por la ley de Proteccin de datos
personales. Ver la seccin 10.5 de The basics of information security (Fundamentos
C. Incorrecto. La ley de Delitos informticos es un cambio del Cdigo Penal y el
Cdigo Procesal Penal para facilitar la persecucin de delitos perpetrados mediante
las tecnologas de la informacin avanzadas. Un ejemplo de un delito nuevo es el
pirateo informtico (hacking).
D. Incorrecto. La ley de Acceso pblico a informacin del gobierno regula la
inspeccin de documentos escritos del gobierno. Los datos personales no son un
documento del gobierno.
39 de 40
El Cdigo para la seguridad de la informacin (ISO/IEC 27002) es una descripcin de
un mtodo de anlisis de riesgos.


A. s
B. no

A. Incorrecto. El Cdigo para la seguridad de la informacin es una coleccin de
buenas prcticas.
B. Correcto. El Cdigo para la seguridad de la informacin puede ser utilizado en un
anlisis de riesgos, pero no es un mtodo. Ver la seccin 9.1 de The basics of

37

40 de 40
El Cdigo para la seguridad de la informacin (ISO/IEC 27002) slo es aplicable a
grandes empresas.


A. s
B. no

A. Incorrecto. El Cdigo para la seguridad de la informacin es aplicable a todo tipo de
organizaciones, grandes y pequeas.
B. Correcto. El Cdigo para la seguridad de la informacin es aplicable a todo tipo de
organizaciones, grandes y pequeas. Ver la seccin 9.1 de The basics of
informacin security (Fundamentos de la seguridad de la informacin).

38

Evaluacin

La siguiente tabla muestra las respuestas correctas a las preguntas en este examen
de muestra.

nmero respuesta puntos nmero respuesta puntos
1
C
1 21
D
1
2
A
1 22
B
1
3
C
1 23
D
1
4
C
1 24
A
1
5
B
1 25
C
1
6
D
1 26
B
1
7
A
1 27
C
1
8
B
1 28
A
1
9
A
1 29
B
1
10
D
1 30
B
1
11
A
1 31
D
1
12
C
1 32
D
1
13
C
1 33
C
1
14
C
1 34
B
1
15
B
1 35
C
1
16
D
1 36
D
1
17
B
1 37
D
1
18
B
1 38
B
1
19
A
1 39
B
1
20
D
1 40
B
1

Contacto EXIN
www.exin.com

Sample Exam Information Security Foundation Latin American Spanish PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sample Exam Information Security Foundation Latin American Spanish PDF

Cargado por

Copyright:

Formatos disponibles

Examen tipo

También podría gustarte