1.

Una “Posible causa de un incidente no deseado, el cual puede ocasionar un daño

a un sistema o a una organización” corresponde a la definición de:1

o Amenaza.

o Análisis de los incidentes de seguridad

o Vulnerabilidad.

o Evento de seguridad de la Información.

2. El departamento de administración del Proveedor TI determina los peligros a los
que está expuesto la información que maneja. ¿Cómo denominamos un posible
hecho que puede afectar negativamente a la fiabilidad de la información?1

o Riesgo

o Dependencia

o Amenaza

o Vulnerabilidad explotada por una amenaza

3. Una de las obligaciones de un proveedor TI es la de cumplir la LOPD como
encargado de tratamiento que potencialmente suele serlo sobre la información de
carácter personal de los ficheros de sus clientes, la cual trata e incluso almacena
en sus sistemas de información. En términos legales, ¿Qué rol adopta el
proveedor?1

o Encargado del tratamiento

o Responsable del fichero

o Responsable de seguridad

o Responsable del tratamiento

4. ¿Qué relación hay entre el ciclo PDCA y los procesos de mantenimiento y
mejora del SGSI?1

o El mantenimiento y mejora se refiere al proceso de CHECK del ciclo

PDCA

o Se refiere al DO
5. En la definición de la Política de alto nivel de seguridad de la información del
proveedor TI debe seguirse un orden, ¿Cuál es el orden correcto en los
siguientes elementos del SGSI?1

o Identificación de vulnerabilidades, amenazas, riesgos y Política.

o Alcance, Requisitos de seguridad y Política.

o Requisitos de seguridad, alcance, y Política

o Requisitos de seguridad, alcance, Análisis de Riesgos y Política

6. Podemos definir la norma ISO/IEC 27001 como un modelo para establecer,
implementar, operar, monitorizar y mejorar un Sistema de Gestión de Seguridad
de la Información. ¿Sobre esta definición del espíritu de la norma que otras
actividades sobre el SGSI no se han mencionado?1

o Revisar

o Certificar

o Supervisar

o Monitorizar

o Documentar
7. El cálculo de los niveles de riesgo se realiza mediante1

o Analizando la estadística de incidentes de seguridad sobre los activos

o Analizando las amenazas y vulnerabilidades sobre la seguridad de

los activos.

o El cálculo de los recursos que el plan de tratamientos de riesgos y la

implantación de salvaguardas necesita implementar sobre los activos.

o Calculando la probabilidad de la ocurrencia de un incidente sobre el

impacto de amenazas y vulnerabilidades.
8. ¿Cuál es el propósito de la gestión de riesgos?1

o Establecer las amenazas a las que están expuestos los sistemas de

información y locales de tratamiento.
 o Determinar el daño causado por posibles incidentes relacionados con
la seguridad

o Utilizar medidas para reducir riesgos a un nivel aceptable.

o Determinar la probabilidad de que ocurra un cierto riesgo.

9. El comercio electrónico es una de las actividades que cualquier empresa hoy en
día realiza en su actividad, tanto de marketing como en procesos operativos.
¿Qué dominio de control de la norma ISO 27001 Anexo A dispone de varios
controles específicos sobre los activos y procesos relacionados en el comercio
electrónico?1

o A11. Control de acceso

o A15. Cumplimiento legal y reglamentario

o A10.Gestión de las comunicaciones y operaciones

o A7. Gestión de activos

10. ¿Quien realiza la auditoria de certificación de ISO/IEC 27002?1

o Esta norma no es certificable

o Las entidades de certificación como AENOR, Applus, TÜV

Rheinland, BSI, SGS

o Los auditores cualificados

o Las entidades de acreditación como ENAC o UKAS.

11. El riesgo de un negocio consiste en:1

o En la amenaza de que un hecho afecte positivamente a su capacidad

de lograr los objetivos de negocio.

o Todas las otras posibles respuestas son incorrectas

o En la amenaza de que un hecho afecte negativamente a su capacidad

de lograr los objetivos de negocio.

o En la amenaza de que un hecho afecte a su capacidad de lograr los

objetivos de negocio
12. La información tiene una serie de aspectos de fiabilidad. La fiabilidad está
continuamente amenazada. Algunos ejemplos de amenazas son: un cable se
suelta, alguien modifica accidentalmente información, uso de los datos con fines
particulares o datos falsificados. ¿Cuál de los siguientes ejemplos constituye una
amenaza para la confidencialidad?1

o usar datos con fines particulares

o falsificar datos

o borrar datos accidentalmente

o un cable suelto
13. En una auditoría interna del SGSI se revisa el cumplimiento del RD 1720/2007,
Reglamento de Medidas de Seguridad de los ficheros de carácter personal. ¿Esta
acción es correcta según los requerimientos de ISO 27001?1

o No

o Sólo si se ha identificado esta Ley y si la organización trata o

almacena datos de nivel medio o alto. (niveles de de seguridad según la
LOPD)

o Sí

o Sólo si se ha identificado esta Ley como requisito legal

14. ¿Cuáles de los siguientes documentos son obligatorios en un SGSI para que
pueda conseguir la certificacion ?1

o La política de seguridad de la información.

o El procedimiento de medidas corrctivas y preventivas.

o La política de control de acceso a los sistemas de información.

o La política de antivirus.

o La declaración de aplicabilidad.
15. En el mantenimiento del SGSI ¿qué proceso se debe implementar primero, la
AUDITORÍA INTERNA o el proceso de REVISIÓN POR LA DIRECCIÓN?1

o El proceso de REVISIÓN POR LA DIRECCIÓN ya que a partir de

éste se puede definir mejor la auditoría interna
 o No debe importar el orden de ambos procesos
16. Un proveedor TIC está implantando un SGSI y contrata a un auditor externo
cualificado por una entidad de certificación para realizar una auditoría interna de
su sistema de gestión. ¿Cómo se denomina a este tipo de auditorías?1

o De Segunda Parte

o De Primera Parte

o De tercera Parte
17. Una organización que desarrolla software decide implementar ISO/IEC 27001 y
a la hora de implementar los controles del Anexo A del estándar decide, bajo
ciertas premisas y su análisis de riesgos, que sólo implementará 85 controles de
los 133. ¿Esta acción está de acuerdo con los requisitos de ISO/IEC 27001?1

o Sí

o No
18. ¿Cuál de los siguientes es un ejemplo de amenaza humana?1

o El phising.

o Un rayo.

o Un fuego.

o Un portátil que cambia de dueño en una empresa.

19. A fin de contratar un seguro contra incendios, un proveedor TI debe determinar
el valor de los datos que maneja ¿Qué factor NO es importante para determinar
el valor de los datos de una organización?1

o El carácter indispensable de los datos para los procesos de negocio

o El contenido de los datos

o Las vulnerabilidades de los activos donde está almacenada la

información

o Hasta qué punto se pueden recuperar datos perdidos, incompletos o

incorrectos
20. Una organización a la hora de implementar un SGSI decide no realizar planes de
concienciación y formación de seguridad de la información porque la dirección
afirma que dichos planes pueden acarrear problema de seguridad debido a la
cultura de la compañía, porque los sistemas de información forman la parte más
importante de la seguridad y porque el personal técnico está y de formado.
Además, en un acta del grupo de trabajo del SGSI la dirección asume este riesgo
y lo ha excluido del alcance. ¿Esta decisión sobre el SGSI es acorde según los
requerimientos de ISO/IEC 27001?1

o No

o Sí