8) En la metodología MAGERIT, se define vulnerabilidad como:

a) El daño producido a la organización por un posible incidente

b) La posibilidad de que se produzca un impacto dado en la organización

c) Cualquier activo del sistema

d) La posibilidad de ocurrencia de materialización de una amenaza sobre un activo

Respuesta: Vulnerabilidades Se denomina vulnerabilidad a toda debilidad que puede ser

aprovechada por una amenaza, o más detalladamente a las debilidades de los activos o de sus
medidas de protección que facilitan el éxito de una amenaza potencial. Traducido a los términos
empleados en los párrafos anteriores, son vulnerabilidades todas las ausencias o ineficacias de las
salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. A veces
se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la
salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza.

9) Según MAGERIT v3, en el desarrollo de sistemas de información:

a) La seguridad debe estar embebida en el sistema desde su primera concepción.

b) La seguridad comenzará a considerarse formalmente cuando finalice el proceso de

implantación de sistemas de información.

c) La seguridad del sistema de información es más económica implantarla una vez puesto en
producción el sistema de información que tenerla en consideración durante el desarrollo del
sistema.

d) La seguridad sólo ralentiza el proceso de desarrollo de sistemas de información por lo que

sólo se debe considerar en aquellos sistemas que usen datos económicos.

Respuesta: El análisis de los riesgos constituye una pieza fundamental en el diseño y desarrollo de
sistemas de información seguros. Es posible, e imperativo, incorporar durante la fase de desarrollo
las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de
desarrollo, asegurando su consistencia y seguridad, completando el plan de seguridad vigente en
la Organización. Es un hecho reconocido que tomar en consideración la seguridad del sistema
antes y durante su desarrollo es más efectivo y económico que tomarla en consideración a
posteriori. La seguridad debe estar embebida en el sistema desde su primera concepción.

10) ¿Cuál de las siguientes es una norma certificable?

a) ISO/IEC 27003

b) UNE-ISO/IEC 27002:2009

c) UNE-ISO/IEC 27001:2017

d) BS 7799-1
Respuesta: ISO 27002 ISO/IEC 27002:2005, “Information technology — Security techniques —
Code of practice for information security management”. UNE-ISO/IEC 27002:2009, “Tecnología de
la Información. Código de Buenas Prácticas de la Gestión de la Seguridad de la Información”.

11) ¿Cuál de las siguientes no es una fuente principal para que una Organización identifique sus
necesidades de seguridad física en el área de sistemas de información?

a) Los requisitos legales, estatutarios y contractuales a los que esté obligada la Organización

b) Los principios, objetivos y requisitos para el tratamiento de la información que la

Organización ha desarrollado para soportar sus operaciones

c) El nivel de madurez en la gestión de la seguridad física, medido de acuerdo con el Computer

Maturity Model

d) La valoración de los riesgos de la Organización

12) ¿Cuál de los siguientes no es un elemento relativo a las pruebas del plan de continuidad de
una instalación informática?

a) Evaluación del personal involucrado en el ejercicio.

b) Evaluación de la coordinación entre el equipo del plan y los proveedores externos.

c) Evaluación de la capacidad de recuperación de procesos y datos vitales.

d) Evaluación de la posibilidad de establecer un acuerdo recíproco de respaldo.

13) Entre la documentación de la Seguridad de la Organización nos podremos encontrar:

a) La Política de Seguridad Corporativa será elaborada por el Responsable de Seguridad

Corporativa y aprobada por el Comité de Seguridad Corporativa y por la Alta Dirección.

b) La Política de Seguridad de las TIC que debe estar alineada en todo momento con el
Mantenimiento de los Sistemas de Información.

c) El Documento de Seguridad que ha de estar presente en toda documentación de la

seguridad de la información.

d) Todas las respuestas anteriores son correctas.

14) El contenido de la norma ISO 27001 se divide en secciones, ¿cuál de las siguientes NO se
corresponde con una sección de la misma?

a) Mejora del SGSI.

b) Auditorías internas.

c) Responsabilidad de la dirección.
d) Plan de seguridad.