TEST DE EVALUACIÓN

SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE RIESGOS

Nombre:
Apellidos:
DNI/NIF:
Fecha:

Instrucciones. Lee atentamente las 10 preguntas del siguiente examen y elige la respuesta correcta señalándola con
un círculo o una cruz. No se admitirán tachaduras.

1.- ¿Qué apartado de la Norma ISO 27001:2013 hace mención al análisis de riesgos?:

a) Operación y Planificación.
b) Mejora Continua.
c) Anexo A (Controles de seguridad de la información).
d) Soporte.

2.- ¿Cuál de los siguientes Estándares no es propiamente una metodología de Análisis de Riesgos?:

a) MAGERIT.
b) ISO 27005.
c) CMMI.
d) ISO 31010.

3.- ¿Qué debe incluir una metodología de análisis de riesgos?:

a) Los pasos a seguir para realizar el análisis de riesgos y los criterios establecidos para calcular los riesgos.
b) El plan de tratamiento de riesgos.
c) Los controles implantados por la organización para mitigar los riesgos de seguridad de la información.
d) Debe incluir las medidas necesarias para reducir el nivel de riesgos a “0”.

4.- ¿Qué fórmula es la más habitual para calcular los riesgos?:

a) Probabilidad de ocurrencia.- Impacto.

b) Probabilidad de ocurrencia + Impacto.
c) Probabilidad de ocurrencia * Impacto.
d) Probabilidad ocurrencia/Impacto.

5.- ¿Qué es el riesgo residual?:

a) Es el riesgo calculado sin tener en cuenta las medidas de seguridad actuales implantadas por la organización.
b) Es el riesgo que queda tras implantar las medidas de seguridad y conseguir reducir el riesgo a un nivel
asumible para la Dirección.
c) Es el riesgo que se encuentra en niveles superiores a los niveles que la organización ha definido como nivel
 TEST DE EVALUACIÓN

SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE RIESGOS

de riesgo aceptable y sobre los que la organización va implantar controles para reducir los niveles de riesgo.
d) Es el nivel de riesgo aceptable por la organización.

6.- La gestión del riesgo no implica:

a) Toma de decisiones sobre los riesgos.

b) Identificación del riesgo.
c) Análisis y evaluación de riesgos.
d) Identificación del riesgo, toma de decisiones sobre el riesgo y análisis y evaluación de riesgos.

7.- Una vez obtenido el mapa de riesgos de seguridad de la información, la organización puede optar por:

a) Tratar el riesgo o transferir el riesgo.

b) Tratar, Evitar, transferir o asumir el riesgo.
c) Transferir el riesgo.
d) Aceptar o tratar el riesgo.

8.- ¿Cuál de las siguientes es una amenaza de seguridad de la información que afecta a información contenida
en documentos en soporte papel?:

a) Virus informático.
b) Suplantación de identidad.
c) Fugas de información.
d) Ataque de denegación de servicio.

9.- ¿Cuál de las siguientes amenazas afecta al personal de la organización?:

a) Suplantación de identidad.
b) Fugas de información.
c) Incendio.
d) Virus informático.

10.- Una vez finalizado el análisis de riesgos, ¿cuál sería el siguiente paso a seguir?:

a) Definir el Plan de tratamiento de riesgos.

b) Definir la Declaración de aplicabilidad (SOA).
c) Definir los objetivos de seguridad de la información.
d) Tomar decisiones sobre cómo abordar los riesgos identificados.