Evaluación

“ISO 27001:2013 y la seguridad de la información”

I. MARQUE CON UNA “X” LA RESPUESTA CORRECTA. ( 4 Puntos)

1. ¿Cuál es el objetivo de la Seguridad de la información?

a) Definir un plan de continuidad del negocio

b) Preservar la confidencialidad, integridad y disponibilidad de la información X
c) Establecer controles y políticas para que el personal cumpla sus deberes
d) Gestionar los riesgos y elaborar un plan de tratamiento
e) Todas las anteriores

2. El sistema de gestión de la seguridad de la información logra su objetivo mediante:

a) La aplicación de un proceso de gestión del riesgo

a) La concientización del empleado por la seguridad.
b) La identificación de las partes interesadas y sus requisitos
c) Todos los anteriores X
d) Ninguna de los anteriores

3. ¿En una organización qué elementos componen la seguridad de la información?

a) Recurso humano
b) Políticas y procedimientos
c) Tecnología
d) Todas las anteriores X
e) Ninguna de las anteriores

4. La cantidad de dominios y controles del anexo A son respectivamente:

a) 20 y 145
b) 11 y 133
c) 14 y 114 X
d) 14 y 115
e) Ninguna de las anteriores

5. ¿Qué significan las siglas SGSI:

a) Seguridad Gestionada para la Sociedad internacional

b) Sistema de Gestión de Seguridad de la información X
c) Sociedad General de Seguimiento informático
d) Sistema de gestión de calidad en la información
e) Ninguna de las anteriores.

6. La norma en donde se establece la guía para la selección de controles dentro del proceso de
implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) es:

a) ISO/IEC 27001:2005
b) ISO/IEC 27001:2013
c) ISO/IEC 27002:2015
d) ISO/IEC 27005:2012
e) Ninguna de las anteriores. X

7. Para demostrar el liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la

información, la Alta Dirección debe:

a) Asegurar la integración de los requisitos del sistema de gestión de la seguridad de la información en los
procesos de la organización.
b) Promover la mejora continua.
c) Establecer y mantener criterios de riesgo de la seguridad de la información.
d) a) y b) X
e) Todas las anteriores.

8. Los siguientes controles (mantenimiento de equipos, seguridad del cableado, servicios de suministro,
trabajo en áreas seguras) corresponden a:
 a) Seguridad de las comunicaciones
b) Gestión de activos
c) Continuidad de seguridad de la información
d) Adquisición, desarrollo y mantenimiento de sistemas
e) Ninguna de las anteriores X

9. El siguiente control “Gestión de derechos de acceso privilegiado” corresponde a:

a) A.15.1.3
b) A.13.2.3
c) A.12.4.2
d) A.9.2.3 X
e) Ninguno de los anteriores

10. La política de control de acceso (control A.9.1.1) se realiza con base en:

a) La gestión de activos
b) Personal de la organización
c) Requisitos del negocio y de seguridad de la información X
d) Todas las anteriores
e) Ninguna de las anteriores

II. Relacione el significado con el término respectivo: (2 puntos)

1 Seguridad de la 12  Proporciona un marco de gestión de la seguridad de la información, utilizable para

información cualquier tipo de organización.

2 Confidencialidad  2 la propiedad que esa información no sea divulgada a personas, entidades o

procesos no-autorizados.

3 Amenaza  1 Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

0 transforman elementos de entrada en resultados.

4 Vulnerabilidad  1 Datos que poseen significado

4
5 Control  1 La propiedad de salvaguardar la exactitud e integridad de los activos.
5
6 PHVA  1 Preservación de confidencialidad, integridad y disponibilidad de la información

7 Riesgo  1 la propiedad de estar disponible y utilizable cuando lo requiera una entidad

3 autorizada

8 Sistema de  5 Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos,

gestión de prácticas o estructuras organizacionales
seguridad de la
información
9 Enfoque por  7 Combinación de la probabilidad de un evento y sus consecuencias
procesos
10 Proceso  8 Parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del
negocio, para Establecer, Implementar, Mantener y mejorar la seguridad de la
información.

11 Activo de  9 Metodología basada en procesos más que en las funciones o departamentos, útil
información para mejorar el desempeño, la eficacia y la eficiencia del sistema de gestión
empresarial, posibilitando alcanzar los objetivos cada vez con mayor acierto.

12 ISO/IEC 27001  1 Cualquier cosa que tenga valor para la organización

1
13 Disponibilidad  3 Causa potencial de un incidente no deseado que puede resultar en daño al
sistema u organización
 
14 Información  4 Debilidad de un activo o grupo de activos que pueden ser explotadas por una o
más amenazas
 15 Integridad  6 Herramienta de gestión para la mejora continua

III. Responda falso o verdadero y el numeral a que hace referencia el enunciado según lo indica la norma ISO/IEC
27001:2013. ¡Ojo! Tenga en cuenta exactamente lo que describe el enunciado en la norma. (4 puntos).

No. ENUNCIADO V/F Numeral

ISO/IEC 27001:2013
1 Cuando se determina este alcance del SGSI, la organización V 4.3
debe considerar las interfaces y dependencias entre las
actividades realizadas por la organización, y las que realizan
otras organizaciones.

2 La organización debe determinar las partes interesadas que F 4.2

son pertinentes al sistema de gestión de seguridad de la
Información y los requisitos de los clientes.

3 La organización debe definir y aplicar un proceso de V 6.1.2 A) 1)

valoración de riesgos de la seguridad de la información que
incluya los criterios de aceptación de riesgos.

4 La organización debe definir y aplicar un proceso de V 6.1.3 F)

tratamiento de riesgos de la seguridad de la información para
obtener, de parte de los dueños de los riesgos, la aprobación
del plan de tratamiento de riesgos de la seguridad de la
información, y la aceptación de los riesgos residuales de la
seguridad de la información.

5 Las políticas para la seguridad de la información se deben F A 5.1.2

revisar cada año para asegurar su conveniencia, adecuación
y eficacia continúas.

6 La seguridad de la información se debe tratar en la gestión F A.6.1.5

de proyectos del proceso de gestión de servicios.

7 Se deben adoptar una política y un procedimiento de soporte, F A 6.1.1

para gestionar los riesgos introducidos por el uso de
dispositivos móviles.

8 Todos los empleados y usuarios de partes externas deben V A 8.1.4

devolver todos los activos de la organización que se
encuentren a su cargo, al terminar su empleo, contrato o
acuerdo.

9 Se debe desarrollar e implementar una política sobre el uso, V A10.1.2

protección y tiempo de vida de las llaves criptográficas,
durante todo su ciclo de vida.

10 Los relojes del proceso de Gestión de tecnología se deben F A.12.4.4

sincronizar con una única fuente de referencia de tiempo.