Está en la página 1de 21

SECCIÓN 1 

  Valor 20 puntos
Indique dos (2) justificaciones de la certificación ISO/IEC 27001 para una organización. (2
Puntos)

1. Estructuración de una metodología  de gestión de la seguridad

2. Continuidad de operaciones necesarias del negocio tras incidentes de gravedad

Comentarios
Comentario:

Pregunta 2
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:  

La organización determino excluir el registro de fallas del SGSI, porque adquirió e instaló
una herramienta  que monitorea las fallas y genera gráficos de rendimiento del SGSI.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 3
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

La acción correctiva son utilizadas para evaluar la necesidad de acciones que aseguren
que los riesgos no vuelvan a ocurrir.
Seleccione una:

Verdadero 
Falso

Retroalimentación
La respuesta correcta es 'Verdadero'

Pregunta 4
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

Un registro exigido por la norma es identificar los impactos de la pérdida de


confidencialidad, integridad y disponibilidad que puede tener sobre los activos.
Seleccione una:

Verdadero 
Falso

Retroalimentación
La respuesta correcta es 'Verdadero'

Pregunta 5
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

Para evidenciar conformidad, se debe realizar auditorías internas a todos los procesos del
SGSI.
Seleccione una:

Verdadero 
Falso

Retroalimentación
La respuesta correcta es 'Verdadero'

Pregunta 6
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

La organización determino excluir el entrenamiento, toma de conciencia y competencia,


debido a que esta actividad esta realizada por un proveedor externo.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 7
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

El tratamiento del riesgo es una tarea que se puede evitar cuando se utiliza la ISO 31000.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 8
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

ISO27004 establece o marca los criterios de medición de la eficacia del SGSI.


Seleccione una:

Verdadero 
Falso

Retroalimentación
La respuesta correcta es 'Verdadero'

Pregunta 9
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

En la auditoria de certificación, el auditor verifica el cumplimiento del SGSI, con base en la


norma ISO 27002.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 10
Correcta
Puntúa 1,00 sobre 1,00
Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

La organización decidió no realizar la revisión técnica de las aplicaciones  después de un


cambio, porque el reemplazo de sistema operativo Linux a Windows lo está realizando un
proveedor externo.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 11
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Indique si es Verdadera (V) ó Falsa (F) la siguiente determinación:

La organización contrato con un tercero la adquisición, instalación y  mantenimiento de un


Firewall, se ha identificado los riesgos respectivos, no se ha revisado con regularidad los
acuerdos de no divulgación y requisitos de no divulgación con el tercero.
Seleccione una:
Verdadero

Falso 

Retroalimentación
La respuesta correcta es 'Falso'

Pregunta 12
Correcta
Puntúa 1,00 sobre 1,00
Marcar pregunta

Enunciado de la pregunta
Lea con atención las siguientes preguntas y seleccione la respuesta que Usted considera
acertada

La definición de programa de auditoria es:


Seleccione una:
a. Herramienta de recolección y planeación de evidencia.
b. Descripción de las actividades y de los detalles acordados de una auditoria
c. Conjunto de una o más auditorias planificadas para un período de tiempo determinado

y dirigidas hacia un propósito específico. 


d. Resultado de la evaluación de la evidencia de la auditoria, recopilada frente a los
criterios.
e. Una auditoria.

Retroalimentación
Respuesta correcta
La respuesta correcta es: Conjunto de una o más auditorias planificadas para un período de
tiempo determinado y dirigidas hacia un propósito específico.

Pregunta 13
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Algunas actividades esenciales en la ejecución de una auditoria interna al SGSI:
Seleccione una:
a. Entrevista, observación y recolección de evidencia objetiva.
b. Revisión de la evaluación de riesgos al SGSI
c. Ejecución del plan de auditoria interna
d. Todas las anteriores 
e. Ninguna de las anteriores.

Retroalimentación
Respuesta correcta
La respuesta correcta es: Todas las anteriores

Pregunta 14
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Un proceso es:
Seleccione una:
a. Una organización necesita solo identificar cualquier tipo de actividad para funcionar
eficientemente.
b. Cualquier actividad que no emplea recursos para el SGSI
c. Actividades que son administradas para transformar salidas en entradas
d. Todas las anteriores

e. Ninguna de las anteriores 

Retroalimentación
Respuesta correcta
La respuesta correcta es: Ninguna de las anteriores

Pregunta 15
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
La auditoría realizada por la organización a los proveedores del SGSI que
garantizan la continuidad del negocio, el desarrollo de aplicaciones, ingreso y
salida de personal, corresponde:
Seleccione una:
a. Primera parte
b. Segunda parte

c. Tercera parte
d. Todas las anteriores

Retroalimentación
Respuesta correcta
La respuesta correcta es: Segunda parte

Pregunta 16
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
La SAC es:
Seleccione una:
a. Acciones Correctivas no tratadas
b. Solicitud de Acciones Preventivas

c. Solicitud de Acción Correctiva 


d. Ninguna de las Anteriores

Retroalimentación
Respuesta correcta
La respuesta correcta es: Solicitud de Acción Correctiva

Pregunta 17
Correcta
Puntúa 1,00 sobre 1,00
Marcar pregunta

Enunciado de la pregunta
Al auditar “identificar y evaluar las opciones para el tratamiento de los riesgos”,
una posible acción incluye:
Seleccione una:
a. Estimar los niveles de los riesgos
b. Identificar las amenazas de los activos
c. Identificar vulnerabilidades

d. Transferir a otras partes los riesgos asociados con el negocio 


e. Valorar el impacto del negocio que podría causar una falla en la seguridad

Retroalimentación
Respuesta correcta
La respuesta correcta es: Transferir a otras partes los riesgos asociados con el negocio

Pregunta 18
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
La organización debe llevar a cabo auditorias internas al SGSI a intervalos
planificados, para determinar si los objetivos de control, controles, procesos y
procedimientos del SGSI:
Seleccione una:
a. Cumplen los requisitos de la presente norma, legislación o reglamentación
b. Cumplen los requisitos identificados de seguridad de la información
c. Están implementados y se mantienen eficazmente
d. Tienen un desempeño acorde con lo esperado

e. Todas las anteriores 


Retroalimentación
Respuesta correcta
La respuesta correcta es: Todas las anteriores

Pregunta 19
Correcta
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
La información documentada está conformada por:
Seleccione una:
a. Autorización de la dirección para el riesgo Residual
b. Procedimiento de gestión de incidentes
c. Declaración de aplicabilidad
d. Metodología de valoración de riesgos

e. Todas las Anteriores 

Retroalimentación
Respuesta correcta
La respuesta correcta es: Todas las Anteriores

Pregunta 20
Correcta
Puntúa 10,00 sobre 10,00

Marcar pregunta

Enunciado de la pregunta

SECCIÓN 2    VALOR 25 PUNTOS


En la segunda columna, indique el enunciado que corresponda. Valor (10 puntos)
Atributo del auditor
Diplomático Respuesta 1  
Etiquetado y manejo de la información
Procedimiento requerido Respuesta 2  

Requisito reglamentario relacionado con el SGSI


Ley protección datos Respuesta 3  
personales

Auditoría realizada por organismo independiente


Segunda parte Respuesta 4  

En la redacción se usa verbo en infinitivo


Observación Respuesta 5  

Comprobar control acceso administrador y usuarios


Directorio Activo Respuesta 6  

Responsable reporte final auditoria


Auditor Jefe Respuesta 7  

Principio auditor
Conducta ética Respuesta 8  

Falla puntual en un proceso o procedimiento


SAC Menor Respuesta 9  

Transferencia de Respuesta 10
archivos vía FTP Verificación protección puertos de configurac ión
 
Retroalimentación
Respuesta correcta
La respuesta correcta es: Diplomático – Atributo del auditor, Procedimiento requerido –
Etiquetado y manejo de la información, Ley protección datos personales – Requisito
reglamentario relacionado con el SGSI, Segunda parte – Auditoría realizada por organismo
independiente, Observación – En la redacción se usa verbo en infinitivo, Directorio Activo –
Comprobar control acceso administrador y usuarios, Auditor Jefe – Responsable reporte final
auditoria, Conducta ética – Principio auditor, SAC Menor – Falla puntual en un proceso o
procedimiento, Transferencia de archivos vía FTP – Verificación protección puertos de
configuración

Pregunta 21
Finalizado
Puntúa 12,00 sobre 15,00
Marcar pregunta

Enunciado de la pregunta
Usted ha sido designado para auditor el Proceso de control de acceso a las redes,
realizar una lista de verificación (incluir mínimo ocho (8) preguntas de las clausulas
relevantes. Valor (15 puntos)

Clausula Pregunta
A.9.1.1 ¿Cuales son los requisitos de su negocio respecto al control de acceso ?
A.9.1.1 ¿Que dice su política de control de acceso y seguridad de la información?
Muestreme por favor su política de control de acceso y seguridad de la
A.9.1.1
información
A.9.1.2 ¿Que usuarios tienen acceso a la red y sus servicios?
A.9.1.2 Muestreme cuáles son las autorizaciones de acceso a la red y los servicios
A.9.2.2 ¿Que procedimiento manejan para asignar o cancelar derechos de acceso?
A.9.2.3 ¿Como se restringe y controla el acceso privilegiado a la red y servicios?
A.9.2.5 ¿Se hace revisión de de los derechos de acceso?

Comentarios
Comentario:

Pregunta 22
Finalizado
Puntúa 18,00 sobre 30,00

Marcar pregunta

Enunciado de la pregunta

SECCIÓN 3  Valor 30 Puntos 


Estudie cuidadosamente el caso y luego realice la redacción de la no conformidad o
de la observación como corresponda.
CASOS: 
1.   En el proceso de gestión de talento humano, se encuentran a la
Directora, Gloria Díaz, usted evidencia registros de la formación,
toma de conciencia y competencia del personal empleado, también
evidencia definición de roles y responsabilidades de los empleados,
registra en su lista de comprobación registros adecuados de
educación, formación, habilidades, experiencia y calificaciones de
empleados. En los registros evidenciados usted observa
conformidad de selección de personal, aceptación  y comunicación
de las políticas, comunicación de las responsabilidades y
condiciones de la relación laboral,  formación y sensibilización en la
seguridad en la información con los empleados. Se ha definido un
proceso disciplinario de los  empleados internos. Se evidencia
comunicación para el retiro de funcionarios y la  devolución de
activos y eliminación de derechos de acceso físico y lógico. Al
revisar los roles y responsabilidades de los contratistas Gloria
explica que a través de una interacción estrecha entre Gerentes de
contratación, se ha evitado dicha definición, esto ha permitido un
ahorro significativo de tiempo de implementación. Usted confirma
con el control de documentos y registro, confirma que solo aparece
los roles y responsabilidad de los empleados internos de la
organización.
Comentarios
Comentario:

Pregunta 23
Finalizado
Puntúa 0,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta

1.   Caso 2
     Luego pasan al proceso de gestión de tarjetas, donde observan que la
encargada Esperanza Gómez, guarda las tarjetas en una caja fuerte. Las
claves están en el proceso financiero. El software que controla la
expedición de tarjetas esta temporalmente suspendido debido a que le
están incluyendo unas rutinas de  validación. Usted verifica los registros y
hay conformidad al respecto.

Observación
Implementar proceso de contingencia en relación a la expedición de tarjetas, a fin de asegurar la
continuidad de la operación en eventos de suspensión por actualización, cambios o mantenimiento.

Comentarios
Comentario:

Pregunta 24
Finalizado
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta

Caso 3.
En el proceso de desarrollo, se solicita a Lucia Zambrano explicar el
control de acceso de la aplicación se detalla control de política,
aislamiento de sistemas sensibles y definición de roles para usuarios, por
ejemplo a) Visitantes solo permiso para ingreso de usuario y contraseña
(INDEX), b) Consulta (INDEX, VIEW), c) usuarios con autenticación
“Operador” con (INDEX, VIEW, CREATE, UPDATE), d) usuarios con
autenticación "Financiero" con (INDEX, VIEW, CREATE, UPDATE,
ADMIN y DELETE).

No se restringe correctamente el uso de derechos privilegiados sobre la aplicación, lo cual se


confirma en la auditoría realizada a Lucia Zambrano sobre la definición de roles de acceso para
usuarios, en la cual se evidencia que el  perfil de autenticación "Financiero", contiene permisos de
administración y borrado, incumpliendo de ésta forma con el Control A.9.2.3. de la norma ISO
27001:2013 que indica: “Se debe restringir y controlar la asignación y uso de derechos de acceso
privilegiado". 
Comentarios
Comentario:

Pregunta 25
Finalizado
Puntúa 0,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta
Caso 4.
 Roberto lo lleva al Proceso de Mejora SGSI, se solicitan las acciones correctivas y
preventivas realizadas en el presente año, el gerente del proceso entrega un archivo con
esta información, allí encuentra doce (12) acciones correctivas, usted observa
determinación de la causa, las acciones aseguran que las no conformidad no vuelva a
ocurrir, se han ejecutado las acciones necesarias, se han registrado los resultados de las
acciones tomadas y se ha revisado la acción correctiva tomada por parte del auditor
correspondiente. Al revisar las acciones preventivas Roberto responde que ha sido un
trabajo bueno porque no se han identificado en ningún proceso no conformidades
potenciales.

Observación
Ejecutar metodología de verificación de los procedimientos, de tal manera determinar acciones
preventivas tempranas a fin de contemplar adecuaciones y así estar alineados con la mejora,
idoneidad y eficacia del SGSI.

Comentarios
Comentario:

Pregunta 26
Finalizado
Puntúa 1,00 sobre 1,00

Marcar pregunta

Enunciado de la pregunta

Caso 5
Al preguntar al responsable Martha Galindo, cómo se tramitan los
incidentes de seguridad de la información en el proceso de soporte, ella
comenta que por medio del correo electrónico o formato impreso de
incidentes, estas son recibidas en mesa de ayuda, quienes son los
encargados de dar el trámite correspondiente. Al preguntar por el
procedimiento de gestión de incidentes del SGSI; Martha responde que
no se ha recibido ningún incidente y están esperando recibir el primero
para generar el respectivo documento para facilitar las actividades,
además para ver la interacción con otros procesos de acuerdo con la
herramienta implementada. Al revisar el listado maestro de documentos
confirma lo indicado por Martha, es decir no se encuentra el
procedimiento de gestión de incidentes.

No se encuentra establecido un procedimiento de gestión de incidentes de seguridad, lo cual se


evidencia en auditoría realizada a Martha Galindo,  quien sustenta su no creación a razón que no
se han presentado ésta clase de incidentes y que se crearán cuando se presenten a fin de facilitar
actividades e interacciones, ésto también se confirma en revisión del listado maestro de
documentos en donde no se relaciona el procedimiento mencionado, incumpliendo de ésta forma
con el Control A.16.1.1 de la norma ISO 27001:2013 que indica: “ Se deben establecer las
responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los
incidentes de seguridad de la información". 

Comentarios
Comentario:

Pregunta 27
Finalizado
Puntúa 8,00 sobre 8,00

Marcar pregunta

Enunciado de la pregunta

SECCIÓN 4   Valor 25 Puntos


Usted al revisar la documentación del SGSI encuentra que la política definida es
una copia de otra organización del mismo sector, pues en el documento aparece
por error el nombre de la otra organización. Que o como trataría usted está
situación siendo el auditor interno del SGSI (8 Puntos)
Como auditor interno lider en la reunión de cierre, haría énfasis en la importancia de tener una
política propia ajustada a los procesos y propósitos de la organización y que debe cumplir con los
derechos de propiedad intelectual. De tal manera establecería una no conformidad indicando lo
siguiente:
No se evidencia una política propia de la seguridad de la información, ajustada a los requerimientos
de la organización, al ejecutar revisión de la documentación y encontrar el nombre de otra
organización, incumpliendo de ésta manera lo siguiente: 
El numeral 5.1(b) que indica que se debe: asegurar la integración de los requisitos del
SGSI con los procesos de negocio. 
El numeral 5.2(a) que indica que la política debe ser adecuada al propósito de la empresa.
El control A.18.1.2 que indica: " Se deben implementar procedimientos apropiados para
asegurar el cumplimiento de los requisitos legislativos, de reglamentación y contractuales
relacionados con los derechos de propiedad intelectual y el uso de productos de software
licenciados"

Comentarios
Comentario:

Pregunta 28
Finalizado
Puntúa 3,00 sobre 3,00

Marcar pregunta

Enunciado de la pregunta
Indique Tres (3) aspectos que debe contener un programa de auditoría (3 Puntos)

1
Debe establecer un objetivo general
.
2
Debe determinar un alcance
.
3
Debe definir los recursos humanos y técnicos
.

Comentarios
Comentario:

Pregunta 29
Finalizado
Puntúa 4,00 sobre 4,00
Marcar pregunta

Enunciado de la pregunta
Se ha determinado una no conformidad en el proceso de gestión terceros
(proveedores del SGSI), indique cuatro (4) clausulas que usted verificaría para
evidenciar la eliminación de la causa de la no conformidad  (4 Puntos)

CLAUSUL
DETALLE
A
Revisar la exactitud de la documentación relacionada a mitigación de riesgos
 A.15.1.1 relacionados con los accesos que se brindan a los proveedores a los activos de la
organización.
Verificar que los requisitos de seguridad establecidos con el proveedor se
A.15.1.2 cumplan a cabalidad según parámetros de acceso, proceso, almacenamiento,
comunicación y suministro.
Verificar que se cumplan los requisitos de seguridad que mitiguen riesgos en la
A.15.1.3
cadena de suministro de productos y servicios.
Verificar que el proveedor halla ajustado su servicio en relación a los cambios
requeridos por la organización según la re-evaluación de riesgos que incluye el
A.15.2.2
mantenimiento, procedimientos, controles, sistemas y procesos de la
organización de acuerdo a la seguridad de la información..

Comentarios
Comentario:

Pregunta 30
Finalizado
Puntúa 10,00 sobre 10,00

Marcar pregunta

Enunciado de la pregunta
Elaborar un plan de auditoria para una organización. teniendo en cuenta los
ejemplos realizados en el curso.

Organización Transportes S.A


Enero 17 de 2017
Dirección Calle 19 # 30 - 24 Fechas en Sitio Abril 17 de 2017
Julio 17 de 2017
Auditor Interno Líder Carlos Andres Cruz
Grupo Auditor Andrea Rodriguez, Jose Escolar
Estándar ISO 27001:2013
Lenguaje de
Auditoría Coloquial
Objetivos Auditoría
Confirmar que los procedimientos ejecutados cumplen con los requerimientos de
la norma ISO 27001:2013
Proporcionar elementos de ajuste y mejora al SGSI.
Verificar la conformidad según lo pactado con los proveedores de acuerdo al SGSI
Aplica a la compañia Transportes S.A en su proceso de gestión de seguridad de las
comunicaciones.
Alcance

Audito
Fecha Hora Área/Departamento/Proceso/Función Contacto Clave
r

17/07/201
8:00 CAC Reunión de Apertura Juan Rodriguez
7

17/07/201
8:30 CAC Reclutamiento  
7
17/07/201
9:00 JE Redes (Routers - Switches) Diego Obando
7
17/07/201
10:30 AR Seguridad (Firewalls y Monitoreo) Martin Perez
7
17/07/201
12:00   Almuerzo  
7

17/07/201
13:30 JE Canales de comunicación y proveedores Diana Jimenez
7

17/07/201
15:00 AR Correo e Internet Sandra Villa
7
17/07/201 Omar
16:30 JE Centro de Datos
7 Cristancho
17/07/201
18:00 CAC Reunión de Retroalimentación  
7
17/07/201
18:30   Fin primer día  
7

Comentarios
Comentario:
Finalizar revisión
Salta Navegación por el cuestionario

Navegación por el cuestionario


Pregunta1Esta páginaPregunta2Esta páginaPregunta3Esta páginaPregunta4Esta
páginaPregunta5Esta páginaPregunta6Esta páginaPregunta7Esta páginaPregunta8Esta
páginaPregunta9Esta páginaPregunta10Esta páginaPregunta11Esta páginaPregunta12Esta
páginaPregunta13Esta páginaPregunta14Esta páginaPregunta15Esta páginaPregunta16Esta
páginaPregunta17Esta páginaPregunta18Esta páginaPregunta19Esta páginaPregunta20Esta
páginaPregunta21Esta páginaPregunta22Esta páginaPregunta23Esta páginaPregunta24Esta
páginaPregunta25Esta páginaPregunta26Esta páginaPregunta27Esta páginaPregunta28Esta
páginaPregunta29Esta páginaPregunta30Esta página
Mostrar una página cada vezFinalizar revisión

También podría gustarte