UNIVERSIDAD DE LAS FUERZAS ARMADAS “ESPE”

CUESTIONARIO DE AUDITORÍA INFORMÁTICA

1. Seleccione el enfoque INCORRECTO de las ITIL durante la Gestión

financiera:
a) Control de ingresos/gastos
b) Los servicios gestionados con ITIL se van a definir en función de la
demanda
c) Gestionar la demanda es objeto de ITIL
d) Servicios de Negocio y Servicios de Soporte

Respuesta: D

Los Servicios de Negocio y Servicios de Soporte son parte de los tipos de

servicios de ITIL y no de los enfoques de ITIL durante la Gestión financiera

2. Seleccione la opción correcta de los tipos de servicios que conforman los

Servicios de Negocios:
a) servicios esenciales (SE) + servicio de soporte (SP) + paquete de nivel de
servicio (SLP) + paquete de Servicios (PS)
b) servicios esenciales (SE) + servicio de soporte (SP) + paquete de nivel de
servicio (SLP) + paquete de Servicios (PS)+servicios nulos (SN)
c) servicios esenciales (SE) + servicio de soporte (SP) + paquete de nivel de
servicio (SLP) + paquete de Servicios (PS)+servicios de entrega (SDE)
d) servicios esenciales (SE) + servicio de soporte (SP) + paquete de nivel de
servicio (SLP)
RESPUESTA: A
Los servicios de negocios se conforman por: servicios esenciales (SE) + servicio
de soporte (SP) + paquete de nivel de servicio (SLP) + paquete de Servicios (PS)

3. Seleccione lo correcto: “La cartera de servicios son aquellos servicios que

están dentro del ciclo de vida del servicio, es decir, los puedo estar creando,
los puedo estar prestando en ese momento o, incluso servicios que los tengo
 retirados pero que están ahí implementados o medio desmantelados, con lo
cual puedo medio aprovecharlos parcialmente”.
a) Verdadero
b) Falso

RESPUESTA: A

4. Complete correctamente: El Consejo de Dirección de TI es

……………………………………………… y está formado por
………………………………………………………… Este consejo tiene que
revisar las estrategias de la empresa para asegurar que están en
concordancia y …………………………………………………………
a. el comité que se encarga de la dirección estratégica del servicio; miembros
de la alta dirección y miembros del departamento; establecer prioridades a la
hora de establecer servicios y proyectos.
b. el comité que se encarga de la dirección estratégica del servicio; miembros
de la alta dirección y miembros del departamento; establecer prioridades a la
hora de establecer precios.
c. el comité que se encarga de la dirección estratégica del servicio; miembros
de la alta dirección y miembros del departamento; establecer prioridades a la
hora de establecer servicios y estrategias.
d. el comité que se encarga de la dirección estratégica del servicio; miembros
de la alta dirección y miembros del departamento; establecer prioridades a la
hora de establecer servicios y proyectos.
Respuesta: A
El Consejo de Dirección de TI es el comité que se encarga de la dirección
estratégica del servicio y está formado por miembros de la alta dirección y
miembros del departamento. Este consejo tiene que revisar las estrategias de
la empresa para asegurar que están en concordancia y establecer prioridades
a la hora de establecer servicios y proyectos.
5. Seleccione el que NO corresponda: Los roles de la estrategia del Servicio
están conformados por:
a) El Consejo de Dirección de TI (ISG – IT Streering Group)
b) El Gestor del Portafolio del Servicio
c) El Gestor Financiero
d) El Gestor de Carteras Informáticas

Respuesta: D

Los roles de la estrategia del Servicio están conformados por: El Consejo de

Dirección de TI (ISG – IT Streering Group); El Gestor del Portafolio del
Servicio y El Gestor Financiero.

6. Seleccione el propósito de las ITIL como estrategia de servicio:

a) Determinar los servicios a ser prestados.
b) Determinar el por qué han de ser prestados los servicios.
c) Determinar los servicios a ser prestados y el por qué han de ser prestados.
d) Servir de guía a la hora de establecer y priorizar objetivos y oportunidades,
para lo cuál deberán conocer el mercado y los servicios de la competencia.

Respuesta: D

El propósito de las ITIL como estrategia de servicio es, servir de guía a la hora
de establecer y priorizar objetivos y oportunidades, para ello, debemos conocer
el mercado y los servicios de la competencia para ajustar nuestros servicios a los
requerimientos del Cliente de los servicios.

7. La estrategia de servicio ITIL es el eje que permite que las fases de Diseño
ITIL, la transición ITIL y la operación de servicio ITIL, se ajusten a las
políticas y visión estratégica del negocio. Para una correcta implementación
de la estrategia del servicio ITIL se requiere más que el ámbito puramente
TI y requiere un enfoque disciplinar.
a) Verdadero
b) Falso
 8. Seleccione los objetivos de la Gestión de Servicios ITIL
a) Marcar las directrices para el diseño, desarrollo e implementación de los
servicios.
b) Valor para el negocio.
c) Control de ingresos/gastos.
d) Establecer un planteamiento estratégico dentro del modelo del ciclo de vida
del servicio ITIL.
e) Transición del servicio.

9. El proveedor del servicio y el valor del Negocio está compuesto por 3 fases.
a) Verdadero
b) Falso

Respuesta: b

El proveedor del servicio y el valor de negocio se compone de 5 fases que son:

1. Estrategia de Servicio ITIL (Service Strategy)

2. Diseño del Servicio ITIL (Service Design)
3. Transición del Servicio ITIL (Service Transition)
4. Operación del Servicio ITIL (Service Operation)
5. Perfeccionamiento Continuo del Servicio ITIL (Continual Service
Improvement)

10. Qué significan las 4 P’s del ITIL:

a) Perspectiva, Posición, Planificación y Periodicidad.
b) Planteamiento, Perspectiva, Planificación y Patrón
c) Perspectiva, Posición, Planificación y Patrón.

11. ¿Qué es el Diseño de Servicio (SD)?

 Es una etapa definitoria que sirve para facilitar la introducción de servicios en
ambientes que tienen soporte para llevar a cabo la estrategia del proveedor de
servicio
  Es una etapa de decisión en la cual se aplica las estrategias de la organización a
través de introducción de sistemas de servicios.
 Es un Sistema de Diseño de estrategias para la implementación en
organizaciones y cumplimiento de sus objetivos.

12. ¿Qué define el Diseño de Servicios (SD):

 Servicios, Sistemas, Procedimientos
 Prácticas Reguladoras, Políticas y Procesos Requeridos
 Actualizaciones de Sistemas y Procesos

13. De la siguiente lista, elija 4 variantes de la Gestión de Servicios:

 Coordinación del Diseño
 Implementación de Procesos
 Gestión de Capacidad
 Gestión de Clientes
 Gestión de Catálogos de Servicios
 Gestión de Seguridad de la Información
 Elaboración de Objetivos

14. ¿Cuál de las siguientes frases, corresponde a una característica del Diseño
de Servicios?
 Se centra en las necesidades, aspiraciones, preocupaciones e intereses de las
personas que utilizarán este servicio.
 Cambio de una sociedad de servicios a una sociedad industrial

15. Elija la opción que muestra el propósito del Diseño de Servicios

 Diseñar servicios de TI en conjunto con las prácticas de gobierno de TI, los
procesos, y las políticas, siguiendo la estrategia del servicio y facilitando la
introducción de dichos servicios al ambiente de producción
 Diseñar servicios, procesos y políticas; poniendo en práctica estrategias
planificadas para mejorar los servicios brindados a través de las TI.

16. Transición del Servicio (SD); la estrategia del servicio engloba:

 Servicio de Transición, Servicio de Operación, Servicio de Diseño
 Sistemas de Procesos, Diseño de Evaluación, Servicio de Operación
 Servicio de Transición, Diseño de Control, Servicio de Diseño

17. ¿Cuáles son los procesos de la Transición de Servicios?

 Proceso de planificación y soporte a la transición
 Proceso de Gestión de Riesgos
 Proceso de Gestión de Cambios
  Proceso de Gestión de Pasivos del Servicio
 Proceso de validación de Pruebas

18. “Garantizar que los nuevos servicios cumplen los requisitos y estándares
de calidad estipulados en las fases de estrategia y la de diseño”

La siguiente afirmación es:

 Verdadero
 Falso

19. “Asegurar el uso de métodos y procedimientos estándares para garantizar la

aplicación de la transición del servicio”

La siguiente afirmación es:

 Verdadero
 Falso

20. ¿Qué incluye la planificación y soporte de la transición?

 Propósito, Objetivos y Metas
 Evaluaciones de procesos
 Los requisitos particulares del servicio
 Requerimientos de usuarios
 Los Roles y Responsabilidades

21. ¿Cuáles son los procesos que intervienen en la operación del servicio?
a. Gestión de incidentes, gestión de eventos, gestión de problemas, gestión
de accesos, gestión de peticiones.
b. Gestión de eventos, gestión de incidentes, gestión de problemas, gestión
de accesos, gestión de peticiones.
c. Gestión de peticiones, gestión de incidentes, gestión de problemas,
gestión de accesos, gestión de eventos.
d. Gestión de problemas, gestión de accesos, gestión de incidentes, gestión
de accesos, gestión de peticiones.
22. ¿Cuál es el propósito de la operación del servicio?
a. Coordinar y llevar a cabo las actividades y procesos requeridos para
suministrar y gestionar los servicios en los niveles acordados con los
directivos de la entidad y auditores.
b. Coordinar y llevar a cabo las actividades requeridas para suministrar y
gestionar los servicios en los niveles acordados con los usuarios y
clientes.
c. Coordinar y llevar a cabo las actividades y procesos requeridos para
suministrar y gestionar los servicios en los niveles acordados con los
directores de la entidad y auditores.
d. Coordinar y llevar a cabo las actividades y procesos requeridos para
suministrar y gestionar los servicios en los niveles acordados con los
usuarios y clientes.

23. De los siguientes, ¿Cuál es un ejemplo de evento informativo?

a. Trabajo en cola completado con éxito.
b. Un segmento de red no está respondiendo a las solicitudes de rutina.
c. Aumento de la tasa de colisión de una red por encima del 15 % en la
última hora.
d. Más de 150 usuarios conectados de forma simultánea en una misma
aplicación.

24. ¿En qué consiste los eventos que señalan una operación inusual?
a. Proporcionan una indicación de que la situación requiere un poco más de
supervisión.
b. Indican que el servicio está funcionando.
c. Es cuando el usuario intenta iniciar la aplicación y no puede, y un
registro es guardado con esta información.

25. ¿Cómo se define la gestión de operaciones?

a. Como la función responsable de la gestión continua
b. Como el mantenimiento de la infraestructura de TI
c. Como la aplicación inmediata del perfil operacional
d. Todas las anteriores
26. Señale el objetivo que hace parte de la medición del servicio
a. Aumentar el personal de TI
b. Establecer una cultura de alto rendimiento
c. Asignación de recursos a TI
d. Investigar y desarrollar soluciones

27. ¿Cuántos pasos contiene el proceso de mejora continua?

a. 8 pasos y la estrategia
b. 9 pasos y la estrategia
c. 7 pasos y la estrategia
d. 6 pasos y la estrategia

28. ¿En la operación de servicios de TI dentro de las funciones están?

a. Centro de servicios, gestión técnica, gestión de aplicaciones, gestión de
operaciones
b. Centro de servicios, gestión aplicativa, gestión técnica, gestión de
operaciones
c. Centro de servicios, gestión técnica, gestión de operaciones
d. Ninguna de las anteriores.

29. Por lo general las organizaciones prefieren mantener centralizado el soporte

local dentro de:
a. Centro de servicio virtual
b. Centro de servicio centralizado
c. Estructura organizativa del centro de servicios
d. Gestión técnica

30. ¿Qué es la gerencia técnica?

a. Función responsable de proporcionar habilidades técnicas para el soporte
de los servicios de TI y para la gestión de la infraestructura de TI.
b. La participación y el compromiso del equipo de diseño para resolver las
fallas que causan las interrupciones a las operaciones.
 c. Función responsable de la gestión continua y el mantenimiento de la
infraestructura de TI de una organización, para garantizar la entrega del
nivel acordado de servicios de TI para el negocio.
d. La ejecución de las actividades y procedimientos de rutina necesarios
para gestionar y mantener la infraestructura de TI con el fin de entregar y
dar soporte a los servicios de TI en los niveles acordados.

31. El proceso de Perfeccionamiento Continuo del Servicio (CSI), implementa:

Responda verdadero o falso
 Un sistema de retroalimentación de "vuelta cerrada", según la especificación
ISO 20000, como medida para mejorar continuamente la efectividad y eficiencia
de procesos y servicios de TI.
a) Verdadero
b) Falso

32. El proceso de Perfeccionamiento Continuo del Servicio (CSI), tiene como

objetivo procesal: Responda verdadero o falso
 Establecer un planteamiento estratégico dentro del modelo del ciclo de vida del
servicio ITIL.
a) Verdadero
b) Falso

Respuesta:

 Su objetivo Procesal es: Usar métodos derivados de la gestión de calidad para

aprender de los errores y logros del pasado.

33. El proceso de Perfeccionamiento Continuo del Servicio (CSI) evalúa:

Responda verdadero o falso
 Los procesos regularmente, identificando las áreas en que no se cumple con las
metas de KPI propuestas, así como comparativas, auditorías, evaluaciones de
madurez y revisiones de procesos.
a) Verdadero
b) Falso

34. Es la norma que explica como implantar un Sistema de Gestión de

Seguridad de la Información en una empresa:
a) ISO 9001
b) ISO 27002
c) ISO 14001

35. ¿Cuál es la diferencias entre ISO 27001 E ISO 27002?

a) La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema
de gestión de seguridad de la información (SGSI).
b) Para cada una de las normas se indica asimismo una guía para su implantación.
c) Tienen conformidad con los requisitos legales y contractuales.

36. ¿Por qué existen ambas normas (ISO 27001 e ISO 27002 de forma
separada?
a) Porque descienden de un cambio de la Norma ISO 17799.
b) La respuesta está en la utilidad: si desea crear la estructura de la seguridad de la
información en su organización y definir su encuadre, debería usar la ISO
27001; si desea implementar controles, debería usar la ISO 27002.
c) Porque fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de
buenas prácticas para la Gestión de la Seguridad de la Información.

37. La función principal de la ISO 27002 es: Responder verdadero o falso

 La de buscar la estandarización de normas de productos y seguridad para las
empresas a nivel internacional.
a) Verdadero
b) Falso
 38. La Gestión de la Seguridad de la información, al igual que otros elementos
de gestión de las buenas prácticas de ITIL, implica: Responda verdadero o
falso
 Tanto de manera interna como al resto de las empresas, que los riesgos de la
seguridad de la información son controlados por la organización de una forma
eficiente.
a) Verdadero
b) Falso

Respuesta:

 Gestionar correctamente las implicaciones que se deriven de la puesta en marcha

de un servicio IT en ámbitos de seguridad, de manera que este servicio no sea
(en este caso) mermado, atacado o colapsado por elementos que interfieran en
los flujos correctos de información.

39. La información es la fuente principal en muchos casos, de los éxitos o

fracasos de las organizaciones. Ésta además se interrelaciona totalmente
con ITIL y su modelo de Gestión, ya que la información posee cuatro
pilares o propiedades que la hacen susceptible de ser un aspecto a cuidar.
¿Cuáles son los cuatro pilares o propiedades?
a) Evaluar, Diseñar, Ejecutar y Monitorear.
b) Disponibilidad, Integridad, Confidencialidad y Legalidad.
c) Integridad, Calidad, Diseño y Evaluación.

40. ¿Cuál es la propiedad que asegura, que la información es correcta,

completa y no ha sido modificada por agentes no autorizados?
a) Disponibilidad.
b) Integridad.
c) Confidencialidad.
d) Legalidad.
 41. Uno de los controles de la Organización Interna en los aspectos
organizativos de la seguridad de la información es:
a) Contacto con las autoridades
b) Política de uso de dispositivos para movilidad
c) Teletrabajo
d) Ninguna de las anteriores

42. La organización interna tiene como objetivo:

a) mantener la seguridad de la información manejada por grupos externos
b) definir formalmente un ámbito de gestión
c) manejar la seguridad de la información dentro de la organización
d) protección física de las organizaciones

43. Cuál de los siguientes enunciados no pertenece a una alternativa a la

segregación de funciones
a) Controles de seguimiento y monitorización
b) Controles de Auditorias
c) Registros automatizados
d) Asignación de responsabilidades

44. Uno de los riesgos antes del proceso de selección y contratación es:
a) Falsificación de certificados.
b) Costos elevados para el proceso de selección y contratación.
c) Definición inadecuada del rol.
d) Dependencia en los expertos para seleccionar al mejor candidato

45. El objetivo durante el proceso de contratación es:

a) Asegurarse de que empleados y contratistas cumplen con sus responsabilidades
en seguridad de la información
b) Mantener la seguridad de la información y los medios de procesamiento de
información que son ingresados, procesados, comunicados o manejados por
grupos externos.
c) Elegir a la persona con más experiencia.
d) Es la necesidad de educar e informar al personal, desde su ingreso y de forma
continua

46. Los riesgos asociados con el cese de cambio de puesto de trabajo

a) Cambios de puesto no controlado se está permitiendo la acumulación de
permisos y privilegios en un único perfil de usuario controlado por un único
empleado.
b) uso inadecuado de instalaciones y recursos y manejo no autorizado de la
información
c) coordinar las tareas de capacitación de usuarios respecto a las necesidades
actuales en seguridad.
d) Clasificación de la información; manipulación de soportes; políticas de manejo
de activos.

47. En la gestión de activos existen 3 ámbitos que son:

a) Responsabilidad de los activos; Clasificación de la información; Manipulación
de soportes.
b) Control de activos; clasificación de la información; responsabilidad de activos.
c) Responsabilidad de los activos; control de los activos; Clasificación de la
información.
d) Clasificación de la información; manipulación de soportes; políticas de manejo
de activos.

48. La gestión de activos es parte de cual ISO:

a) 27007
b) 27002
c) 27000
d) 14002

49. Cuál de los siguientes enunciados no es parte del inventario de activos:

a) Identificar los activos de información que dan soporte al negocio
b) Clasificar los activos por su importancia
c) Clasificar los activos por el tipo de activo o información
d) Clasificarlo por el tiempo de uso

50. Por cuál de los siguientes enunciados NO se clasifica la información:

a) Su valor para la organización
b) Por cantidad de papeles
c) Por requisitos legales
d) Nivel de protección necesario

51. El objetivo de la norma ISO 27002 – Cifrado es el:

a) uso de sistemas y técnicas criptográficas para la protección de la información
b) mantener la privacidad de la comunicación entre dos personas
c) de informar, generar acciones, crear un entendimiento o transmitir cierta idea
d) es mantener un ambiente razonablemente seguro

52. La aplicación de medidas de cifrado se debería desarrollar en base a una

política sobre el uso de:
a) políticas de seguridad y de administración de la información
b) controles criptográficos y al establecimiento de una gestión de las claves
c) controles de acceso y de cifrado en la información

53. Los controles criptográficos están enfocados a la protección de la

información en el caso de que un intruso pueda tener:
a) acceso físico a la información
b) acceso al sistema de TI
c) accesos a los registros contables

54. En una política de implementación y administración de claves de cifrado de

datos se debe identificar a un responsable de la política para su:
a) supervisión y control
b) organización y distribución
 c) implementación y administración

55. La gestión de claves implica tener en cuenta políticas que tengan en cuenta
el ciclo de vida completo:
a) La generación, la distribución y la renovación o destrucción
b) La generación, el cifrado, la distribución y la renovación o destrucción
c) La generación, su uso y protección, la distribución y la renovación o destrucción

56. El objetivo de la norma ISO 27002 – Control de Acceso es:

a) Controlar el acceso por medio de un sistema de restricciones y excepciones a la
información.
b) Negar el acceso a la información de la empresa
c) Mantener la privacidad de la comunicación entre dos personas

57. Para impedir el acceso no autorizado a los sistemas de información se

deberían
a) Aceptar formalmente sus responsabilidades
b) Proveer a los usuarios de los accesos a redes y los servicios de red
c) Implementar procedimientos formales para controlar la asignación de derechos
de acceso a los sistemas de información

58. Cuáles son las etapas del ciclo de vida de los accesos de los usuarios
a) Procedimiento formal de alta y baja de usuarios
b) Proceso formal de aprovisionamiento de accesos a los usuarios para asignar o
revocar derechos de acceso
c) Desde el registro inicial de nuevos usuarios hasta la privación final de derechos
de los usuarios que ya no requieren el acceso.
59. En qué consisten los requisitos de negocio para el control de accesos
a) En controlar los accesos a la información y las instalaciones utilizadas para su
procesamiento.
b) Definir las reglas de control de acceso basadas en roles.
c) La asignación y uso de derechos de acceso con privilegios especiales debería ser
restringido y controlado.

60. Una de las responsabilidades del usuario es

a) Materialización de potenciales amenazas
b) La protección de la información para su identificación.
c) Error en el uso, abuso de privilegios, suplantación de identidad

61. Que controles son parte de seguridad física al referirnos a áreas seguras.
a) Perímetro de seguridad física.
b) Controles de ingreso físico.
c) Asegurar las oficinas habitaciones y medios.
d) Protección contra las amenazas externas e internas.
e) Todas las anteriores

62. Complete el objetivo de áreas seguras referente a la seguridad física y del

entorno

El objetivo de las áreas seguras es evitar el acceso (físico) no autorizado, el daño o

la interferencia a las (instalaciones) y a la información de la (organización).

Respuestas
-Fisico
-instalaciones
-Organización

63. Que es el trabajo en áreas aseguradas

 a) Se diseña y aplica la protección física y los lineamientos para trabajar en
áreas aseguradas
b) Se diseña y aplica la seguridad física para las oficinas, habitaciones y medios
c) Se protege el equipo de fallas de energía y otras interrupciones causadas por
fallas en los servicios públicos de soporte.

64. El objetivo de la seguridad de los equipos en la seguridad física y del

entorno es: Seleccione verdadero o falso:

Evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las
actividades de la organización.

Verdadero

Falso

Respuesta: Verdadero

65. En el control de retiro de propiedad se recomienda:

Seleccione verdadero o falso:

Es recomendable implementar controles apropiados cuando se programa el

mantenimiento para los equipos, teniendo en cuenta si el mantenimiento lo realiza
el
personal dentro o fuera de la organización; cuando sea necesario, la información
sensible se debería retirar del entorno del equipo o el personal de mantenimiento
debería ser suficientemente revisado.

Verdadero

Falso

Respuesta: Falso

66. El objetivo de la protección del código malicioso se refiere a:

a. Garantizar que la información y las instalaciones de procesamiento de
información estén protegidas contra el malware.
 b. Garantizar que la información de la organización estén protegidas contra
virus, troyanos, bombas lógicas.
c. Detectar errores en el sistema, que ayuden a la prevención de descargas
de información no confiable y envío de spam a los correos electrónicos.
d. Disponer de sistemas de detección de código malicioso en los servidores
y en los puestos de trabajo.

67. Al realizar copias de seguridad de información se debe tener en cuenta:

a. Ubicaciones alternativas, grado de funcionamiento, restauración de
datos, protección de información personal
b. Niveles de protección, mantener registros, medios de recuperación,
validez, malware y códigos
c. Validez, ubicaciones alternativas, medios de recuperación, restauraciones
parciales, mantener registros, nivel de protección
d. Aspectos legales, prevención de incidentes

68. Los procedimientos en la instalación de software se fijan de acuerdo a controles,

seleccione la opción incorrecta:
a. Valorar la necesidad de actualización o instalación
b. Las instalaciones de software debe ser realizada por usuarios autorizados
c. Los entornos de desarrollo deben permanecer aislados de los entornos
operativos.
d. Comprobar las necesidades de instalación después de su instalación

69. Seleccione verdadero o falso según corresponda

Se debe registrar las actividades no solo de los usuarios sino también de los
administradores, teniendo especial cuidado con los que tienen privilegios de
administración dado el riesgo que tiene si pueden acceder a los registros y
manipularlos o borrarlos.
a. Verdadero
b. Falso

70. Seleccione verdadero o falso según corresponda

 El objetivo de la seguridad operativa se refiere a: Controlar la existencia de los
procedimientos de operaciones y el acceso físico no autorizado a la
documentación actualizada relacionada.
a. Verdadero
b. Falso

71. La gestión de incidentes de seguridad de información se basa en diferentes

pasos:
a) Notificación del incidente, clasificación del incidente, tratamiento del
incidente, cierre el incidente, base de conocimiento.
b) Notificación del incidente, clasificación del incidente, tratamiento del
incidente, eliminación del incidente.
c) Conocer el incidente, clasificación del incidente, tratamiento del
incidente, cierre el incidente, base de conocimiento

72. Completar el siguiente concepto, la seguridad de la información es la

protección de la información contra los diversos tipos de amenazas para
__________________
a) Garantizar la continuidad del negocio, maximizar los riesgos y minimizar
el retorno sobre la inversión y las oportunidades de negocio. 
b) Garantizar la continuidad del negocio, minimizando los riesgos y
maximizando el retorno sobre la inversión y las oportunidades de
negocio. 
c) Apoyar a los negocios, minimizando los riesgos y maximizando el
retorno sobre la inversión.

73. Los incidentes en la seguridad de la información pueden ser:

a) Incidente de seguridad, amenaza, vulnerabilidad, evento en la seguridad
de la información
b) Riesgo o error de actualización, eventos de inseguridad informativa
c) Aumento de amenazas y eventos de inseguridad en la información
74. La información sobre los incidentes nos puede ayudar a:
a) Identificar los incidentes más recurrentes y de alto impacto
b) Mejorar el sistema de gestión con nuevos controles y criterios para la
evaluación de riesgos
c) Realizar entrenamientos a los usuarios para evitar incidentes
d) Todas las anteriores

75. El objetivo de los controles criptográficos es:

a) Proteger la confidencialidad, autenticidad o integridad de la información,
por medios criptográficos.
b) Garantizar que la seguridad es parte integral de los sistemas de
información.
c) Garantizar la seguridad de los archivos del sistema.

76. El objetivo de la seguridad de los archivos del sistema es:

a) Proteger la confidencialidad, autenticidad o integridad de la información,
por medios criptográficos.
b) Garantizar que la seguridad es parte integral de los sistemas de
información.
c) Garantizar la seguridad de los archivos del sistema.

77. El objetivo de la gestión de la vulnerabilidad técnica es:

a) Mantener la seguridad del software y de la información del sistema de
aplicaciones. Los entornos de soporte y de desarrollo deberían estar
estrictamente controlados
b) Reducir los riesgos resultantes de la explotación de las vulnerabilidades
técnicas
publicadas.
c) Proteger la confidencialidad, autenticidad o integridad de la información,
por medios criptográficos.

78. Escoja cuáles son las fases de la administración:

a) Planificación, organización, dirección y control
b) Planificación, control, supervisión, dirección y organización
 c) Planificación, organización, dirección, control y supervisión

79. Las organizaciones son sistemas que se constituyen de:

a) Subsistema estructural, técnico y psicosocial
b) Subsistema técnico, estructural, psicosocial y administrativo
c) Subsistema administrativo y técnico

80. Relación de la administración y la organización

a) Administración, administrador, organización
b) Organización, Administración, administrador
c) Administración, administrador, organización, gerente

81. El objetivo de los aspectos de seguridad de la información en la gestión de la

continuidad del negocio es:

a) Contrarrestar las interrupciones en las actividades del negocio y proteger sus

procesos críticos contra los efectos de fallas en los sistemas de información y
asegurar su recuperación oportuna.
b) Identificar los procesos críticos para el negocio e integrar los requisitos de la
gestión de la seguridad de la información de la continuidad del negocio.
c) Desarrollar e implementar planes de continuidad del negocio para garantizar la
restauración oportuna de las operaciones esenciales.
d) Incluir controles para identificar y reducir los riesgos.

82. Uno de los pasos para implementar la continuidad de negocio y evaluación

de riesgos es:

a) Es importante vincular en conjunto parte de los aspectos del riesgo para obtener
un panorama completo de los requisitos de continuidad del negocio de la
organización.
b) Es importante vincular en conjunto todos los aspectos más importantes del
riesgo para obtener un panorama completo de los requisitos de continuidad del
negocio de la organización.
c) Es importante vincular en conjunto todos los aspectos del riesgo para obtener un
panorama completo de los requisitos de continuidad del negocio de la
organización.
d) Es importante mencionar los aspectos del riesgo para obtener un panorama
completo de los requisitos de continuidad del negocio de la organización.

83. Se debería desarrollar e implementar planes para:

a) Identificar y acordar todas las responsabilidades y los procedimientos

b) Para mantener o recuperar las operaciones y asegurar la disponibilidad de la
información en el grado y la escala de tiempo requeridos
c) Aplicar pruebas y actualización de los planes (enfocados en los objetivos del
negocio)
d) Ninguna de las anteriores

84. La estructura para la planificación de la continuidad del negocio debe

considerar:

a) Los activos y recursos críticos necesarios para ejecutar los procedimientos de

emergencia, respaldo y reanudación
b) Las responsabilidades de las personas, que describen quién es responsable de la
ejecución de cada componente del plan.
c) Los procedimientos operativos temporales por seguir mientras se terminan la
recuperación y la restauración
d) Todas las anteriores

85. Los planes de continuidad del negocio se deberían someter a pruebas y

revisiones periódicas para:

a) asegurar su actualización y eficacia

b) garantizar que los planes funcionarán
c) probar la eficacia
d) Ninguna de las anteriores

86. El cumplimiento está dedicado a:

a) Controles que nos permitan el cumplimiento con las políticas, normas y

legislación
b) Controles que nos permitan garantizar el cumplimiento con las políticas, normas
y legislación aplicable enfocándose principalmente en lo que se refiere a
seguridad de la información.
c) evitar el incumplimiento de cualquier ley, de obligaciones estatutarias
enfocándose principalmente en lo que se refiere a seguridad de la información..
d) Todas las anteriores

87. Para cumplir los objetivos de salvaguarda de registros, la organización,

¿cuál de los siguientes aspectos debería seguir?

a) se deberían publicar directrices sobre retención, almacenamiento, manipulación

y eliminación de registros e información;
b) es conveniente publicar una programación de retención que identifique los
registros y el periodo de tiempo de su retención;
c) se recomienda conservar un inventario de las fuentes de información clave;
d) se deberían implementar los controles apropiados para proteger los registros y la
información contra pérdida, destrucción y falsificación.
e) todas las anteriores

88. Consideraciones de la auditoría de los sistemas de información

a) Deberían existir controles para salvaguardar los sistemas operativos y las

herramientas de auditoría durante las auditorías de los sistemas de información.
b) Deberían existir controles para reiniciar los sistemas operativos y las
herramientas de auditoría durante las auditorías de los sistemas de información.
c) Deberían existir controles para trasladar los sistemas operativos y las
herramientas de auditoría durante las auditorías de los sistemas de información.
d) Deberían existir controles para respaldar los sistemas operativos y las
herramientas de auditoría durante las auditorías de los sistemas de información.
89. Verificación del cumplimiento técnico

a) Los sistemas de información se deberían verificar trimestralmente para

determinar el cumplimiento con las normas de implementación de la seguridad.
b) Los sistemas de información se deberían verificar periódicamente para
determinar el cumplimiento con las normas de implementación de la seguridad.
c) Los sistemas de información se deberían verificar cada que se encuentre
inconsistencia para determinar el cumplimiento con las normas de
implementación de la seguridad.
d) Los sistemas de información se deberían verificar semestralmente para
determinar el cumplimiento con las normas de implementación de la seguridad.

90. La seguridad de los sistemas de información se debería revisar:

a) A intervalos regulares
b) Periódicamente
c) Semestralmente
d) Trimestralmente