Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Examen Final

    Cargado por

    Herbig Fernando Ajalcriña
    15 vistas5 páginas

    Título original

    Examen Final.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas5 páginas

    Examen Final

    Cargado por

    Herbig Fernando Ajalcriña

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    Examen Final 1

    EXAMEN FINAL

    Gestión de Seguridad de la Información y Continuidad de Negocios

    CASO

    Situación:
    Usted ha trabajado en la Gerencia de Tecnologías de la Información y, luego de haber cursado
    una Certificación en Sistemas de Seguridad de la Información y Continuidad de Negocio en la que
    obtuvo el primer puesto, ha sido promovido a Gerente de Sistemas Integrados de Gestión y
    Cumplimiento.

    En este marco, la Gerencia General desea validar sus conocimientos en su nuevo campo de
    acción, mediante el Formato de Evaluación adjunto.

    Recomendaciones:
    - Sea claro
    - Sea conciso
    - No responda como personal de Tecnologías de la Información: Ud. ahora es Gerente de
    Sistemas Integrados de Gestión y Cumplimiento.

    ¡¡¡Empiece su Evaluación!!!
    Examen Final 2

    FORMATO DE EVALUACION

    Gerente de Sistemas Integrados de Gestión y Cumplimiento

    Gestión por procesos (3 ptos.)

    Según el material didáctico:

    - Indicar 2 beneficios de la aplicación del “Enfoque a Procesos”. (1 pto.)

    Beneficios
    1 Obtener los resultados previstos mediante la integración y alineación de los procesos
    de negocio.
    2 Proporciona confianza a los clientes en cuanto al desempeño de la organización.

    - Indicar 2 diferencias entre los modelos de gestión “COBIT” e “ITIL” (1 pto.)

    COBIT ITIL
    Dif. 1 Mejores prácticas de administrar Mejores prácticas de prestación de
    recursos de TI servicios de TI
    Dif. 2 Principios que soportan a la Describe cómo implementar los procesos
    organización como gobierno de gestión de servicios TI

    Explique con sus propias palabras que es SIPOC y para que se usa. (1 pto.)

    Es un formato o diagrama que da caracterización a un proceso y resumen las entradas y


    salidas de uno o más procesos, el cual constituye los elementos como Proveedor, Entrada,
    Proceso, Salida y Cliente.
    Se usa para poder analizar los procesos de negocio, identificando las oportunidades de
    mejora y la información que no es útil dentro del proceso.

    Normas y buenas prácticas (3 ptos.)

    Según el material didáctico:

    - Indicar las diferencias entre los tres niveles de Jerarquía de las normativas y dar 1
    ejemplo real de cada nivel (2 ptos.)

    Diferencias Ejemplo
    Primer Es la constitución como ley Constitución política del Perú
    Nivel fundamental del estado.
    Segundo La ley es la norma de derecho Ley 29733 – Ley de Protección de Datos
    Nivel aprobada y promulgada personales
    Tercer Ordenado de reglas para ejecutar la Reglamento de Ley 29733
    Nivel ley

    Explique con sus propias palabras que es un Ciclo PDCA / PHVA, indicando sus fases. (1 pto.)
    Examen Final 3

    EL ciclo PHVA/ PDCA es un procedimiento lógico y por etapas de mejora continua que
    consiste en Planificar, Hacer, verificar y actuar.

    Sistema de gestión de la seguridad de la información (6 ptos.)

    Según el estándar ISO/IEC 27001 estudiado y el material didáctico:

    - Indicar 2 diferencias de fondo entre el estándar ISO/IEC 27001 y el estándar ISO/IEC


    27002 (2 ptos.)

    ISO/IEC 27001 ISO/IEC 27002


    Dif. 1 Define requisitos a cumplir para Indica las buenas prácticas para gestión
    implantar SGSI de seguridad de información.
    Dif. 2 Define un SGSI así como Se identifica los objetivos de controles y
    responsabilidades controles recomendados.

    - Indicar 2 diferencias entre el significado de “Vulnerabilidad” y “Amenaza” (1 pto.)

    Vulnerabilidad Amenaza
    Dif. 1 Debilidad de un sistema Acción que aprovecha una vulnerabilidad
    Dif. 2 Condiciones de los sistemas de una Materialización del riesgo
    organización

    - Indicar 2 diferencias entre el significado de “Riesgo Inherente” y “Riesgo residual” (1


    pto.)

    Riesgo Inherente Riesgo residual


    Dif. 1 Riesgo en ausencia de control Riesgo que subsiste bajo controles
    Dif. 2 Es propio del trabajo o proceso que Riesgo que debe ser monitoreado
    no puede ser eliminado

    - Indicar 2 diferencias entre el significado de “Apreciación del Riesgo” y “Análisis de


    Riesgo” según la ISO/IEC 31000 (2 ptos.)

    Apreciación del Riesgo Análisis de Riesgo


    Dif. 1 Identifica la manera en que los Define la probabilidad de que ocurra un
    objetivos puedes resultar afectados riesgo
    Dif. 2 Proporciona a las personas mayor Define la consecuencia o impacto del
    comprensión de los riesgos riesgo

    Sistema de gestión de continuidad del negocio (6 ptos.)


    Examen Final 4

    Según el estándar ISO/IEC 22301 estudiado y el material didáctico:

    - Indicar 2 diferencias entre el proceso de “Análisis de Riesgos” y el proceso de “Análisis


    de Impacto de Negocio (BIA)” (2 ptos.)

    Análisis de Riesgos Análisis de Impacto de Negocio


    Dif. 1 Identificar los principales riesgos que Proveer una base para identificar
    puedan afectar los activos de procesos críticos luego priorizarlos
    información de la empresa. siguiendo criterio del mayor impacto.
    Dif. 2 Determina todos los activos críticos Identificar los tipos de impacto,
    de la organización y su probabilidad conociendo qué podría verse afectado y
    de ocurrencia del riesgo consecuencias en procesos de negocio.

    - Indicar 3 objetivos de la implementación de “medidas proactivas” (2 ptos.)

    Objetivos
    1 Reducir la probabilidad de interrupción
    2 Acortar el tiempo de interrupción
    3 Limitar el impacto de interrupción

    - Indicar 2 beneficios que aporta la ejecución de Pruebas de los Planes de Continuidad de


    Continuidad de Negocio. (2 ptos.)

    Beneficios
    1 Confirmar que el personal involucrado en la PCN conozca sus roles y funciones.
    2 Comprobar que los proveedores terceros involucrados estén familiarizados con el PCN.

    Concientización y educación (2 ptos.)

    Según los estándares estudiados y el material didáctico:

    - Indicar 2 diferencias entre “Concientización” y “Capacitación/Educación”. (1 pto.)

    Concientización Capacitación/Educación
    Dif. 1 Crear conciencia acerca de la Análisis de necesidades de entrenamiento
    importancia de la gestión de a partir de roles y responsabilidades del
    continuidad de negocio y seguridad personal que participa en la PCN.
    de la información.
    Dif. 2 Ampliar actitudes requeridas en el Dota al personal de conocimientos y
    personal para desarrollar gestión de habilidades que son requeridos.
    continuidad de negocio.

    - Dar 2 ejemplos para cada caso (uno de la ISO/IEC 27001, otro de la ISO/IEC 22301)
    indicando el tema a desarrollar. (1 pto.)
    Examen Final 5

    Concientización Capacitación/Educación
    Ejem. 1 Afiches relacionados a la política de Entrenar al personal sobre los principios
    27001 escritorio limpios y evitar tener notas de la seguridad de la información.
    de contraseñas expuestas
    Ejem. 2 Boletines indicando una Entrenar al personal sobre los principios
    22301 representación de un botón de alerta de la continuidad de negocios
    cuando ocurre un incidente o
    desastre.

    También podría gustarte