Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seleccione la respuesta correcta relacionada con los tipos de procesos de un sistema de seguridad
de la información
Seleccione una:
a) Procesos enfocados a conseguir las metas empresariales apoyadas en TIC y los procesos que se
integraran dentro de los procesos propios de cada actividad empresarial en conjunto con las demás
dimensiones como la calidad o el medio ambiente
b) Procesos enfocados a conseguir únicamente de los objetivos propios del sistema de seguridad de
información y los procesos que permitan evaluar su cumplimiento.
c) Proceso de gestión y cambio y cultura de la organización
d) Procesos enfocados a conseguir la revisión y mejora continua del sistema y que serán comunes a
los procesos de gestión de calidad, medio ambiente, y los procesos que se integraran dentro de
los procesos propios de cada actividad empresarial en conjunto con las demás dimensiones como
la calidad o el medio ambiente
Selecciones los aspectos que debería auditar las acciones de mejora o dentro de un Sistema de
Gestión de la Información
Seleccione una o más de una:
a) Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e identificación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora
b) Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
c) Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento
d) Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
Selecciones los aspectos que debería auditar las acciones de Planificación en un Sistema de Gestión
de la Información
Seleccione una o más de una:
a) Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e identificación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora.
b) Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento
c) Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
d) Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
¿Cuál es el concepto de un incidente?
Seleccione una:
a) Procesos programados, que entrará en funcionamiento a partir de los eventos comunicados por
los usuarios a través de las herramientas de monitoreo.
b) Procesos planificados , que entrará en funcionamiento a partir de los eventos comunicados por los
usuarios a través de las herramientas de monitoreo.
c) Procesos más reactivos, que entrará en funcionamiento a partir de los eventos comunicados por
los usuarios a través de las herramientas de monitoreo.
d) Procesos informados que entrará en funcionamiento a partir de los incidentes comunicados por
los usuarios a través de las herramientas de monitoreo.
e) Procesos ejecutados, que entrará en evaluación a partir de los eventos comunicados por los
usuarios a través de las herramientas de monitoreo.
La gestión de peticiones tiene las siguientes actividades:
Seleccione una o más de una:
a) Entrega y Cierre del servicio.
b) Validación con TI la aplicación de la petición
c) Usuarios presentan sus solicitudes
d) Análisis del tipo de petición por TI
e) Costos asociados y autorización si es pertinente.
Los niveles de madurez no son un objetivo, sino más bien son un medio para evaluar la adecuación
de los controles internos respecto a los objetivos del sistema de gestión.
Verdadero
Falso
La importancia de la contabilidad radica en:
Seleccione una:
a) Registrar, clasificar y resumir las operaciones mercantiles de un negocio con el fin de interpretar
sus resultados
b) Conducen a la obtención del máximo rendimiento económico
c) Suministrar información cuando sea requerida o en fechas determinadas en base a registros
técnicos, de las operaciones realizadas por un ente público o privado
d) Es el arte de interpretar, medir y describir la actividad económica
La unidades de tecnología deben esta acopladas a;
Seleccione una o más de una:
a) con autonomía para tomar decisiones unilaterales
b) Involucramiento de la alta dirección
c) marco de trabajo por funciones
d) marco de trabajo por actividades
e) responsabilidad de una unidad
f) orientada solamente a infraestructura de TI
g) Marco de trabajo para procesos
h) responsabilidad compartida para mejora la efectividad
Cuál es la norma de control interno de la Contraloría General del Estado que se esta cumpliendo
con los siguientes datos:
Seleccione una:
a) 410-04
b) 410-05
c) 410-02
d) 410-01
e) 410-03
Seleccione los componentes de un sistema de seguridad de la información
Seleccione una o más de una:
a) Incluye análisis de los procesos empresariales
b) Incluye una cuantificación de las veces que acceden los usuarios
c) Procesos para mantener e implementar la seguridad de información
d) Incluye una caracterización de cargos de todos los funcionarios
e) Incluir un proceso continuo
f) Incluye aspectos de personal de contabilidad
g) Incluye un análisis de riesgos
Un sistema de Gestión de la seguridad de la información es complicado para la gestión de la propia
organización pero en un futuro se convierte en una ayuda para mejorar la seguridad de la
información
Seleccione una:
Verdadero
Falso
Para determinar la prioridad, se utiliza como buena práctica la combinación de impacto y el costo
del incidente
Seleccione una:
Verdadero
Falso
La empresa " La Económica" requiere un sistema que le permita simular la situación del negocio
y entender como reaccionará a cambios en algunas condiciones con una interfaz amigable para los
directivos.
Un grupo de auditores internos ha sugerido un sistema de apoyo a la operaciòn, ¿es verdadera o
falsa esta afirmaciòn ?
Seleccione una:
Verdadero
Falso
Según la recomendación de ITIL no es necesario tener un Gestor de Eventos
Seleccione una:
Verdadero
Falso
Cuál es la norma de control interno de la Contraloria General del Estado que se esta cumpliendo
con los siguientes datos:
Seleccione una:
a) 410-16
b) 410-13
c) 410-12
d) 410-14
e) 410-15
La UTIC creará mecanismos que faciliten la administración de todos los proyectos informáticos
que ejecuten las diferentes áreas que conformen dicha unidad, en el cual se incluirá desde la
formulación del proyecto hasta acciones que permitan realizar el cierre en donde se incluya la
aceptación formal y pruebas que certifiquen la calidad y el cumplimiento de los objetivos
planteados junto con los beneficios obtenidos.
Seleccione una:
Verdadero
Falso
Selecciones los aspectos que debería auditar las acciones el Liderazgo en un Sistema de Gestión de
la Información
Seleccione una o más de una:
a. Establecer mecanismos de control para validar si se encuentran identificados los objetivos del
SGS Sistema de Gestión de la Seguridad de la Información, Levantamiento de las expectativas
de las partes interesadas e indentifiación de las mismas y el establecimiento e implementación
que incluya una revisión planificada considerando oportunidades de mejora
b. Proceso de creación de un plan para abordar riesgos y oportunidades considera las expectativas
de las partes interesadas en relación a la Seguridad de la Información, un proceso de
establecimiento de objetivos de la Seguridad de la Información medibles y acordes a los objetivos
del negocio, la integración de los objetivos de la Seguridad de la Información en los procesos de
la organización teniendo en cuenta las funciones principales dentro de la Organización.
c. Establecimiento de un mecanismo de provisión de los recursos materiales y humanos necesarios
para el cumplimiento de los objetivos, creación de una Política de la Seguridad de la Información
con su documentación respectiva
d. Proceso donde se establezca las no Conformidades y acciones correctivas, como los
procedimientos documentados para identificar y registrar las no conformidades y su tratamiento
La información contable debe servir fundamentalmente para: Conocer y demostrar los recursos
controlados por un ente económico, las obligaciones que tenga de transferir recursos a otros entres,
los cambios que hubieren experimentado tales recursos y el resultado obtenido en el periodo.
Seleccione una:
Verdadero
Falso
En relación a las funciones relaciones según corresponda
Centro de servicios: → Implementación de una mesa de ayuda única
Gestión técnica: → Experto en TI encargado de los servicios de TI
Gestión de operaciones: → Mantenimiento de la infraestructura disponible,
Gestión de aplicaciones: → Analiza los servicios a implementarse.
Cuál es la norma de control interno de la Contraloria General del Estado que se esta cumpliendo
con los siguientes datos:
Seleccione una:
a. 410-12
b. 410-15
c. 410-11
d. 410-14
e. 410-13
Usted trabaja como auditor de TI en una empresa de tamaño medio, en la que la información
confidencial ha caído varias veces en manos equivocadas. Este suceso daño la imagen de la empresa
y le han pedido que realice una auditoria usted establece algunos procedimiento de control. ¿Cuál
seria la recomendación que no debería faltar?
Seleccione una:
a. Formular una política de uso relativa a los dispositivos móviles (computadores portátiles, usb,
discos portátiles, teléfonos inteligentes)
b. La necesidad de designar personal de seguridad física
c. Formular una política de acceso a las oficinas por parte de los empleados
d. Formular una política de verificación de activos de la empresa
e. Formular una política de control de acceso
Para auditar los elementos de soporte de un Sistema de Información se debe considerar
procedimiento de control relacionados con la información actualizada sobre la competencia del
personal.
Seleccione una:
Verdadero
Falso
Dentro de una organización se ha generado un incidente relacionado con un error en el acceso de
los usuarios, este es calificado con prioridad 1 y la velocidad de emergencia media. ¿Cuál es el
impacto que tiene?
Seleccione una:
a. 2
b. 5
c. 4
d. 1
e. 3
Las siguientes preguntas a que etapa de coso corresponden
Seleccione una:
a. Definición y alcance
b. Diseño e Implementación
c. Actividades de control
d. Entorno de control
e. Supervisión y monitoreo
Dentro de un contrato de soporte tècnico uno de los elementos a revisar es que en el manejo de
incidente se encuentre descrito los límites de tiempo para el escalamiento es decir los límites de
tiempos se deben definir para todas las fases de tratamiento con el incidente.
Seleccione una:
Verdadero
Falso
La empresa XYZ ha indicado en que el proceso de control interno utilizarà unicamente COSO,
porque no se puede trabajar con COBIT 5 ya que son dos marcos de referencia que tienen
diferentes objetivos.
Seleccione una:
Verdadero
Falso
Es un marco de referencia que incluye directivas para la implantación, gestión y control de un
sistema de control.
Seleccione una:
Verdadero
Falso
Las categorías de los eventos son:
Eventos informativos: → Trabajo en cola completado con éxito,
Eventos de alerta → Aumento del consumo de memoria al 75% por encima de de lo planificado en los
últimos 15 minutos,
Eventos de excepción → Más de 3000 usuarios conectados de forma simultánea en una misma aplicación.
¿Como calificaría el siguiente enunciado?
"El tiempo de transacción es superior a los límites normales":
R: EVENTO
COBIT ayuda a decidir cuál es la mejor estrategia de TI, cuál es la mejor arquitectura, o cuánto
puede o debería costar la TI.
Seleccione una:
Verdadero
Falso
Las Unidades de TI deben contemplar al menos las siguientes unidades:
a.- Infraestructura tecnológica, Proyectos tecnológicos y soporte técnico obligatoriamente en todas las
empresas
b.- Infraestructura tecnológica y soporte interno siempre y externo de ser el caso, considerando el tamaño
de la entidad y de la unidad de tecnología.
c.- Considera r los proyectos tecnológicos, infraestructura tecnológica y soporte interno siempre y
externo considerando el tamaño de la entidad.
d.- Proyectos tecnológicos considerando el tamaño de la entidad y de la unidad de tecnología.
a. 410-02
b. 410-03
c. 410-01
d. 410-05
e. 410-04
El delito Informático o Crimen Electrónico, es el término genérico que se usa para aquellas operaciones
ilícitas realizadas por medio de la Internet o que tiene como objetivo destruir y dañar Ordenadores,
Medios Electrónicos y Redes de Internet.
Qué es un hacker ético
hacker que utiliza sus conocimientos de informática y seguridad para encontrar vulnerabilidades o fallas
de seguridad en el sistema, con el objetivo de reportarlas en la organización para que se tomen todas las
medidas necesarias que posibilite prevenir una catástrofe cibernética, como el robo de información.
https://www.iniseg.es/blog/ciberseguridad/que-es-el-hacking-etico/
Ejemplo de datos sensible
Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación
política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y
aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos
y libertades fundamentales. (Pag. 100 del pdf ley de proteccion de datos)
Ejemplo de disociación
Dato disociado: aquél que no permite la identificación de un afectado o interesado.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad
para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante un tiempo
https://gahazas.com/2017/02/27/analisis-de-los-conceptos-de-anonimizacion-seudonimizacion-y-disociacion-en-el-
ambito-de-proteccion-de-datos/
El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales,
que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente
protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.
(Pag. 98 del pdf ley de proteccion de datos)
El objeto de la presente Ley es regular el ejercicio del derecho a la protección de datos personales, la
autodeterminación informativa y demás derechos digitales en el tratamiento y flujo de datos personales,
a través del desarrollo de principios, derechos, obligaciones y mecanismos de tutela.
Como se utiliza el olvido digital
Artículo 16.- Derecho al olvido digital.- El titular tiene el derecho a solicitar al juez competente, obtener sin
dilación indebida del responsable del tratamiento la supresión de sus datos personales que estén siendo tratados en
el entorno digital, cuando concurra alguna de las circunstancias siguientes:
4) Los datos personales sean inadecuados, impertinentes o excesivos con relación a los fines y al tiempo
transcurrido.
El Reglamento a la presente ley establecerá los parámetros de aplicación de las circunstancias antes referidas.
(Pag. 109 del pdf ley de proteccion de datos)
Son elementos informáticos, que como los microorganismos biológicos, tienden a reproducirse y a extenderse
dentro del sistema al que acceden, se contagian de un sistema a otro, exhiben diversos grados de malignidad y son
eventualmente, susceptibles de destrucción con el uso de ciertos antivirus, pero algunos son capaces de desarrollar
bastante resistencia a estos. (LIBRO VIRUS INFORMATICOS, pag 32 pdf )
Qué es un Caballo de troya
Artículo 48.- Obligaciones del responsable del tratamiento de datos personales.- El responsable del tratamiento de
datos personales está obligado a:
1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su
reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos
Personales, o normativa sobre la materia;
4) Implementar políticas de protección de datos personales a fines al tratamiento de datos personales en cada caso
en particular;
5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las
partes involucradas;
7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir,
impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las
seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento
previsto para el efecto;
10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal
a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar
el derecho a la protección de datos personales conforme a lo establecido en la presente ley, en su reglamento, en
directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa
sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a
lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la
Autoridad de Protección de Datos Personales;
13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la
Autoridad de Protección de Datos Personales; y,
15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos y regulaciones
emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia.
RESPUESTA: Página 9 ¿Qué es cobit? Del archivo COBIT 2019 MARCO DE REFERENCIA
Seleccione los aspectos que debería auditar las acciones de liderazgo en un sistema de gestión de la
información
RESPUESTA: Director de TI.- Director de más alto rango que rinde cuentas sobre el alineamiento de las
TI y las estrategias del negocio y rinde cuentas por la planificación, gestión de recursos y prestación de
servicios y soluciones de I&T
¿Definido por COBIT, quien es el responsable por el gobierno de TI? (Seleccione una)
a) Clientes y proveedores
b) Gestores y líderes de TI
c) Inversionistas y accionistas
d) Ejecutivos y directivos
RESPUESTA: Incidentes graves (major incidents): los incidentes graves tienen un alto impacto sobre el
negocio. Requieren un procedimiento distinto, con plazos más cortos y mayor nivel de urgencia.
Una definición de lo que constituye un incidente grave debe ser acordada y mapeada en el mecanismo
de priorización de incidentes.
Opciones
PRACTICO:
La empresa “LA ESPERANZA” ha detectado una desorganización, ha detectado un problema en los
accesos que se registran a sus sistemas de información, y no está segura de que TI realizar los respaldos
correctamente, usted es parte del equipo de auditoría interna y le solicitan realizar una auditoría de control
a los procesos de entrega de clases, respaldos y procesos asociados. Alcance
Favor realizar un plan de auditora, el programa de auditoria y los papeles de trabajo correspondientes.
Itil
Desorganización (410-02)
Problemas en el acceso a sus sistemas (27000)
No está seguro TI que hay respaldos (27000)