sample exam

Examen tipo

Fundamentos de Seguridad de la Informacin basado en ISO / IEC 27002 Edicin Octubre 2011

Examen tipo Fundamentos de Seguridad de la Informacin basado en

ISO / IEC 27002 (ISFS.LA)

2

Copyright 2011 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or

stored in a data processing system or circulated in any form by print, photo print, microfilm

or any other means without written permission by EXIN.



3

ndice

Introduccin 4 Examen de muestra 5

Soluciones 16

Evaluacin 38



4

Introduccin

ste es el examen de muestra de Fundamentos de Seguridad de la Informacin

basado en ISO / IEC 27002.

El examen de muestra consta de 40 preguntas de tipo test. Cada pregunta tiene un

nmero de respuestas posibles, de las cuales slo una es correcta.

El nmero mximo de puntos que se pueden obtener en este examen es de 40. Cada

respuesta correcta tiene un valor de un punto. Si usted consigue 26 puntos o ms,

habr aprobado el examen.

El tiempo permitido para este examen es de 60 minutos.

Todos los derechos quedan reservados.

Buena suerte!



5

Examen de muestra

1 de 40

Su contable le ha hecho llegar un borrador de su formulario de la declaracin de la renta. Usted comprueba si los datos son correctos.

Qu aspectos de fiabilidad de la informacin est comprobando?

A. disponibilidad

B. exclusividad

C. integridad

D. confidencialidad

2 de 40

A fin de contratar un seguro contra incendios, una oficina de administracin debe determinar el valor de los datos que maneja.

Qu factor no es importante para determinar el valor de los datos de una organizacin?

A. El contenido de los datos.

B. Hasta qu punto se pueden recuperar datos perdidos, incompletos o incorrectos. C. El carcter indispensable de los datos para los procesos de negocio. D. La importancia de los procesos de negocio que hacen uso de los datos.

3 de 40

El acceso a la informacin es cada vez ms sencillo. Sin embargo, la informacin tiene que seguir siendo fiable para poder ser utilizada.

Cul de los siguientes aspectos no es un aspecto de la fiabilidad de la informacin?

A. disponibilidad

B. integridad

C. cantidad

D. confidencialidad



6

4 de 40

De qu aspecto de la fiabilidad de la informacin es parte la completitud?

A. disponibilidad

B. exclusividad

C. integridad

D. confidencialidad

5 de 40

Una oficina de administracin va a determinar los peligros a los que est expuesta.

Cmo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la informacin?

A. dependencia

B. amenaza

C. vulnerabilidad

D. riesgo

6 de 40

Cul es el propsito de la gestin de riesgos?

A. Determinar la probabilidad de que ocurra un cierto riesgo.

B. Determinar el dao causado por posibles incidentes relacionados con la seguridad. C. Establecer las amenazas a las que estn expuestos los recursos informticos. D. Utilizar medidas para reducir riesgos a un nivel aceptable.



7

7 de 40

Qu afirmacin sobre el anlisis de riesgos es correcta?

1. Los riesgos que constan en un anlisis de riesgos pueden clasificarse. 2. En un anlisis de riesgos tiene que considerarse toda la informacin pormenorizada. 3. Un anlisis de riesgos se limita a la disponibilidad. 4. Un anlisis de riesgos es sencillo de realizar completando un breve cuestionario estndar con preguntas estndar.

A. 1

B. 2

C. 3

D. 4

8 de 40

Cul de los siguientes ejemplos puede clasificarse como fraude?

1. Infectar un ordenador con un virus.

2. Realizar una transaccin no autorizada. 3. Interceptar lneas de comunicacin y redes 4. Utilizar Internet en el trabajo con fines privados

A. 1

B. 2

C. 3

D. 4

9 de 40

Un posible riesgo para las compaas es un incendio. En este caso, si realmente hay un fuego, se puede producir un dao directo e indirecto.

Cul es un ejemplo de dao directo?

A. se destruye una base de datos

B. prdida de imagen C. prdida de la confianza del cliente D. ya no se pueden satisfacer las obligaciones jurdicas

10 de 40

Con el fin de reducir riesgos, una compaa decide optar por una estrategia de una combinacin de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para

la compaa.



8

A qu categora de medidas pertenece un acuerdo en espera (stand-by arrangement)?

A. medidas represivas

B. medidas de deteccin

C. medidas preventivas

D. medidas correctivas

11 de 40

Cul de los siguientes es un ejemplo de amenaza humana?

A. Un pendrive pasa un virus a la red.

B. Demasiado polvo en la sala de servidor.

C. Una fuga de agua causa un corte en el suministro de electricidad.

12 de 40


A. un rayo

B. fuego

C. phishing

13 de 40

La informacin tiene una serie de aspectos de fiabilidad. La fiabilidad est continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente informacin, uso de los datos con fines particulares o datos falsificados.

Cul de los siguientes ejemplos constituye una amenaza para la confidencialidad?

A. un cable suelto

B. borrar datos accidentalmente

C. usar datos con fines particulares

D. falsificar datos



9

14 de 40

Un miembro del personal niega haber enviado un determinado mensaje.

Qu aspecto de la fiabilidad de la informacin est en peligro aqu?

A. disponibilidad

B. precisin C. integridad

D. confidencialidad

15 de 40

En el ciclo del incidente hay cuatro pasos sucesivos.

Cul es el orden de estos pasos?

A. Amenaza, Dao, Incidente, Recuperacin B. Amenaza, Incidente, Dao, Recuperacin C. Incidente, Amenaza, Dao, Recuperacin D. Incidente, Recuperacin, Dao, Amenaza

16 de 40

Hay un incendio en una sucursal de una compaa de seguros mdicos. Se traslada al personal a una sucursal cercana para continuar su trabajo.

En qu momento del ciclo del incidente se encuentra la ejecucin de este acuerdo en espera (stand-by)? A. entre la amenaza y el incidente

B. entre la recuperacin y la amenaza C. entre el dao y la recuperacin D. entre el incidente y el dao

17 de 40

Cmo se describe mejor el propsito de la poltica de seguridad de la informacin?

A. La poltica documenta el anlisis de riesgos y la bsqueda de contramedidas. B. La poltica proporciona direccin y apoyo a la gestin en materia de seguridad de la informacin. C. La poltica hace que el plan de seguridad sea concreto aportndole la informacin detallada

necesaria.

D. La poltica proporciona una mejor comprensin sobre las amenazas y las posibles consecuencias.



10

18 de 40

El cdigo de conducta para los negocios electrnicos se basa en una serie de principios.

Cul de los siguientes principios no corresponde aqu?

A. fiabilidad

B. registro

C. confidencialidad y privacidad

19 de 40

Una trabajadora de la compaa de seguros Euregio descubre que la fecha de vencimiento de una pliza se ha cambiado sin su conocimiento. Ella es la nica persona autorizada para hacerlo. Informa de este incidente de seguridad en el mostrador de recepcin. La persona encargada anota la siguiente informacin sobre este incidente:

fecha y hora

descripcin del incidente posibles consecuencias del incidente

Qu informacin importante sobre el incidente falta?

A. el nombre de la persona que informa del incidente

B. el nombre del paquete de software

C. el nmero de PC D. una lista de gente que fue informada del incidente

20 de 40

Una empresa registra los siguientes incidentes:

1. Un detector de humos no funciona.

2. Alguien rompe la seguridad de la red

3. Alguien pretende ser miembro del personal.

4. Un archivo de ordenador no puede ser convertido en un archivo PDF.

Cul de estos incidentes no es un incidente de seguridad?

A. 1

B. 2

C. 3

D. 4



11

21 de 40

Las medidas de seguridad pueden ser agrupadas de varias formas.

Cul de las siguientes formas es correcta?

A. fsica, lgica, preventiva B. lgica, represiva, preventiva C. organizativa, preventiva, correctiva, fsica D. preventiva, de deteccin, represiva, correctiva

22 de 40

Un detector de humos est situado en una sala de ordenadores.

Bajo qu categora de medidas de seguridad se encuadra?

A. correctiva

B. de deteccin C. organizativa

D. preventiva

23 de 40

El responsable de la seguridad de la informacin de la compaa de seguros Euregio desea establecer una lista de medidas de seguridad.

Qu tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad?

A. Establecer vigilancia.

B. Llevar a cabo una evaluacin. C. Formular una poltica de seguridad de la informacin. D. Llevar a cabo un anlisis de riesgo.

24 de 40

Cul es el propsito de clasificar informacin?

A. Determinar qu tipos de informacin pueden requerir diferentes niveles de proteccin. B. Asignar informacin a un propietario. C. Reducir los riesgos de error humano.

D. Prevenir acceso no autorizado a informacin.



12

25 de 40

Se necesita una autentificacin fuerte para acceder a reas altamente protegidas. En el caso de una autentificacin fuerte, la identidad de una persona se verifica utilizando tres factores.

Qu factor es verificado cuando introducimos un nmero de identificacin personal (PIN)?

A. Algo parte de mi

B. Algo que yo tengo

C. Algo que yo conozco

26 de 40

El acceso a la sala de informtica se cierra mediante la utilizacin de un lector de tarjeta. Slo el departamento de Gestin de Sistemas tiene tarjetas.

Qu tipo de medida de seguridad es sta?

A. una medida de seguridad correctiva

B. una medida de seguridad fsica C. una medida de seguridad lgica D. una medida de seguridad represiva

27 de 40

Cuatro (4) miembros del personal del departamento de Informtica comparten una (1) tarjeta de acceso a la sala de informtica.

Qu riesgo conlleva esto?

A. Si se va la luz, los ordenadores se apagan.

B. Si se declara un fuego, los extintores no pueden ser utilizados.

C. Si desaparece algo de la sala de informtica, no estar claro quin es responsable. D. Las personas sin autorizacin pueden acceder a la sala de informtica sin ser vistas.



13

28 de 40

En la recepcin de una oficina de administracin hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse

inmediatamente para que no se las pueda llevar un visitante.

Qu otro riesgo para la informacin de la empresa conlleva esta situacin?

A. Los archivos pueden quedarse almacenados en la memoria de la impresora.

B. Los visitantes podran copiar e imprimir informacin confidencial de la red. C. Puede estropearse la impresora con un uso excesivo, con lo que no podra utilizarse ms.

29 de 40

Cules de las siguientes medidas de seguridad es una medida tcnica?

1. Asignar informacin a un propietario 2. Archivos codificados

3. Crear una poltica que defina qu est y qu no est permitido va correo electrnico 4. Guardar las claves de acceso de la gestin de sistemas en una caja fuerte

A. 1

B. 2

C. 3

D. 4

30 de 40

Las copias de seguridad del servidor central se guardan en la misma habitacin cerrada que el servidor.

A qu riesgo se enfrenta la organizacin?

A. Si se estropea el servidor, pasar un tiempo antes de que vuelva a estar operativo. B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.

C. Nadie es responsable de copias de seguridad.

D. Las personas no autorizadas tienen un fcil acceso a las copias de seguridad.

31 de 40

Cul de las siguientes tecnologas es maliciosa?

A. la codificacin B. algoritmos hash

C. la Red Privada Virtual (VPN)

D. virus, gusanos informticos y programas espa



14

32 de 40

Qu medida no ayuda contra el software malicioso?

A. una poltica de parches activa B. un programa antiespas C. un filtro de correo basura

D. una contrasea

33 de 40

Cul de estos es un ejemplo de medida organizativa?

A. copia de seguridad

B. codificacin C. segregacin de deberes D. guardar el equipo de red y las cajas de conexiones elctricas en una habitacin cerrada

34 de 40

La Identificacin es establecer si la identidad de alguien es correcta.

Es correcta esta afirmacin?

A. s B. no

35 de 40

Por qu es necesario tener un plan de recuperacin de desastres actualizado y probarlo con regularidad?

A. Para tener siempre acceso a copias de seguridad recientes que estn localizadas fuera de la oficina.

B. Para poder sobrellevar los fallos que ocurren diariamente.

C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas establecidas y los

procedimientos planeados pueden no resultar adecuados o pueden estar desactualizados.

D. Porque la Ley de proteccin de datos personales lo requiere.

36 de 40

Qu es la autorizacin?

A. La determinacin de la identidad de una persona. B. El conjunto de las acciones llevadas a cabo para acceder.

C. La verificacin de la identidad de una persona. D. Garantizar derechos especficos, tales como acceso selectivo, a una persona.



15

37 de 40

Qu importante norma jurdica en el rea de la seguridad de la informacin ha de contemplar el gobierno?

A. Anlisis de dependencia y vulnerabilidad B. ISO/IEC 20000

C. ISO/IEC 27002

D. Legislacin o normas nacionales sobre seguridad de la informacin

38 de 40

En base a qu legislacin puede alguien pedir la inspeccin de datos que han sido registrados sobre su persona?

A. La ley de Registro pblico B. La ley de Proteccin de datos personales C. La ley de Delitos informticos D. La ley de Acceso pblico a informacin del gobierno

39 de 40

El Cdigo para la seguridad de la informacin (ISO/IEC 27002) es una descripcin de un mtodo de anlisis de riesgos.

Es esta afirmacin correcta?

A. s B. no

40 de 40

El Cdigo para la seguridad de la informacin (ISO/IEC 27002) slo es aplicable a grandes empresas.


A. s B. no



16

Soluciones

1 de 40

Su contable le ha hecho llegar un borrador de su formulario de la declaracin de la renta. Usted comprueba si los datos son correctos.

Qu aspectos de fiabilidad de la informacin est comprobando?

A. disponibilidad

B. exclusividad

C. integridad

D. confidencialidad

A. Incorrecto. La disponibilidad indica hasta qu punto la informacin se encuentra disponible para los usuarios en el momento en el que se necesita.

B. Incorrecto. La exclusividad es una caracterstica de la confidencialidad. C. Correcto. Concierne a la integridad. Ver la seccin 4.5 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. Concierne al grado en el que el acceso a la informacin est restringido a las personas autorizadas.

2 de 40

A fin de contratar un seguro contra incendios, una oficina de administracin debe determinar el valor de los datos que maneja.

Qu factor no es importante para determinar el valor de los datos de una organizacin?

A. El contenido de los datos.

B. Hasta qu punto se pueden recuperar datos perdidos, incompletos o incorrectos.

C. El carcter indispensable de los datos para los procesos de negocio.

D. La importancia de los procesos de negocio que hacen uso de los datos.

A. Correcto. El contenido de los datos no determina su valor. Ver la seccin 4.3 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. Los datos perdidos, incompletos o incorrectos que pueden ser

fcilmente recuperados son menos valiosos que los datos difciles o imposibles de recuperar.

C. Incorrecto. El carcter indispensable de los datos para los procesos de negocios determina en parte su valor.

D. Incorrecto. Los datos crticos para procesos de negocios importantes son valiosos.



17

3 de 40

El acceso a la informacin es cada vez ms sencillo. Sin embargo, la informacin tiene que seguir siendo fiable para poder ser utilizada.

Cul de los siguientes aspectos no es un aspecto de la fiabilidad de la informacin?

A. disponibilidad

B. integridad

C. cantidad

D. confidencialidad

A. Incorrecto. La disponibilidad s es un aspecto de la fiabilidad de la informacin. B. Incorrecto. La integridad s es un aspecto de la fiabilidad de la informacin. C. Correcto. La cantidad no es un aspecto de la fiabilidad de la informacin. Ver la seccin 4.5 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. La confidencialidad s es un aspecto de la fiabilidad de la informacin.

4 de 40

De qu aspecto de la fiabilidad de la informacin es parte la completitud?

A. disponibilidad

B. exclusividad

C. integridad

D. confidencialidad

A. Incorrecto. La informacin puede estar disponible sin ser completa. B. Incorrecto. La exclusividad es una caracterstica de la confidencialidad. C. Correcto. La completitud es parte de la integridad. Ver la seccin 4.5 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. La informacin confidencial no tiene por qu ser completa.



18

5 de 40

Una oficina de administracin va a determinar los peligros a los que est expuesta.

Cmo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la informacin?

A. dependencia

B. amenaza

C. vulnerabilidad

D. riesgo

A. Incorrecto. La dependencia no es un hecho.

B. Correcto. Una amenaza es un posible hecho que puede afectar la fiabilidad de la

informacin. Ver la seccin 5 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. La vulnerabilidad es el grado en el que algo es susceptible de sufrir una

amenaza.

D. Incorrecto. Un riesgo es el dao medio esperado en un perodo de tiempo como resultado de una o ms amenazas que conllevan incidencia(s).

6 de 40

Cul es el propsito de la gestin de riesgos?

A. Determinar la probabilidad de que ocurra un cierto riesgo.

B. Determinar el dao causado por posibles incidentes relacionados con la seguridad.

C. Establecer las amenazas a las que estn expuestos los recursos informticos.

D. Utilizar medidas para reducir riesgos a un nivel aceptable.

A. Incorrecto. Es parte del anlisis de riesgos. B. Incorrecto. Es parte del anlisis de riesgos. C. Incorrecto. Es parte del anlisis de riesgos. D. Correcto. El propsito de la gestin de riesgos es reducir riesgos a un nivel aceptable. Ver la seccin 5 de The basics of information security (Fundamentos en seguridad de la informacin).



19

7 de 40

Qu afirmacin sobre el anlisis de riesgos es correcta?

1. Los riesgos que constan en un anlisis de riesgos pueden clasificarse. 2. En un anlisis de riesgos tiene que considerarse toda la informacin pormenorizada.

3. Un anlisis de riesgos se limita a la disponibilidad. 4. Un anlisis de riesgos es sencillo de realizar completando un breve cuestionario estndar con preguntas estndar.

A. 1

B. 2

C. 3

D. 4

A. Correcto. Todos los riesgos no son iguales. Como regla general, se abordan

primero los mayores riesgos. Ver la seccin 5 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. En un anlisis de riesgos es imposible examinar todos los detalles. C. Incorrecto. Un anlisis de riesgos considera todos los aspectos de la fiabilidad, incluyendo la integridad y la confidencialidad junto a la disponibilidad.

D. Incorrecto. En un anlisis de riesgos las preguntas raras veces pueden aplicarse a todas las situaciones.

8 de 40

Cul de los siguientes ejemplos puede clasificarse como fraude?

1. Infectar un ordenador con un virus.

2. Realizar una transaccin no autorizada. 3. Interceptar lneas de comunicacin y redes 4. Utilizar Internet en el trabajo con fines privados

A. 1

B. 2

C. 3

D. 4

A. Incorrecto. Una infeccin por virus se clasifica como la amenaza cambio no autorizado. B. Correcto. Una transaccin no autorizada se clasifica como fraude. Ver la seccin 10.6 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. Interceptar lneas est clasificado como la amenaza revelacin. D. Incorrecto. El uso privado est clasificado como la amenaza mal uso.



20

9 de 40

Un posible riesgo para las compaas es un incendio. En este caso, si realmente hay un fuego, se puede producir un dao directo e indirecto.

Cul es un ejemplo de dao directo?

A. se destruye una base de datos

B. prdida de imagen

C. prdida de la confianza del cliente

D. ya no se pueden satisfacer las obligaciones jurdicas

A. Correcto. Una base de datos destruida es un ejemplo de dao directo. Ver la seccin 5.5 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. La prdida de imagen es un dao indirecto. C. Incorrecto. La prdida de confianza de los clientes es un dao indirecto. D. Incorrecto. No poder satisfacer las obligaciones jurdicas es un dao indirecto.

10 de 40

Con el fin de reducir riesgos, una compaa decide optar por una estrategia de una combinacin de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para la compaa.

A qu categora de medidas pertenece un acuerdo en espera (stand-by arrangement)?

A. medidas represivas

B. medidas de deteccin

C. medidas preventivas

D. medidas correctivas

A. Incorrecto. Las medidas represivas, tales como extinguir el fuego , estn orientadas a minimizar cualquier dao causado.Un respaldo es otro ejemplo de una medida represiva. B. Incorrecto. Las medidas de deteccin solamente dan un aviso despus de haber detectado algo.

C. Incorrecto. El objetivo de las medidas preventivas es evitar incidentes.

D. Correcto. Ver la seccin 5.3.4 de The basics of information security (Fundamentos de seguridad de la informacin). Un acuerdo en espera (stand-by arrangement) es tambin un ejemplo de una medida correctiva , don de corregir significa la puesta en servicio de una medida

de emergencia bsica en el caso de un desastre. Por ejemplo, utilizar un lugar diferente con el fin de

seguir trabajando.



21

11 de 40


A. Un pendrive pasa un virus a la red.

B. Demasiado polvo en la sala de servidor.

C. Una fuga de agua causa un corte en el suministro de electricidad.

A. Correcto. Un pendrive siempre lo inserta una persona. Por ello, si al hacerlo entra

un virus en la red, es una amenaza humana. Ver la seccin 5.4.1 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. El polvo no es una amenaza humana.

C. Incorrecto. Una fuga de agua no es una amenaza humana.

12 de 40


A. un rayo

B. fuego

C. phishing

A. Incorrecto. Un rayo es un ejemplo de amenaza no humana.

B. Incorrecto. El fuego es un ejemplo de una amenaza no humana.

C. Correcto. El phishing (atraer a los usuarios a sitios Web falsos) es una forma de

amenaza humana. Ver las secciones 5.4.1 y 9.4.6 de The basics of information security (Fundamentos en seguridad de la informacin).



22

13 de 40

La informacin tiene una serie de aspectos de fiabilidad. La fiabilidad est continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente informacin, uso de los datos con fines particulares o datos falsificados.

Cul de los siguientes ejemplos constituye una amenaza para la confidencialidad?

A. un cable suelto

B. borrar datos accidentalmente

C. usar datos con fines particulares

D. falsificar datos

A. Incorrecto. Un cable suelto es una amenaza para la disponibilidad de informacin. B. Incorrecto. La modificacin no intencionada de datos es una amenaza a su integridad.

C. Correcto. El uso de datos con fines particulares es una forma de mal uso y

constituye una amenaza para la confidencialidad. Ver la seccin 4.5 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. La falsificacin de datos es una amenaza para su integridad.



23

14 de 40

Un miembro del personal niega haber enviado un determinado mensaje.

Qu aspecto de la fiabilidad de la informacin est en peligro aqu?

A. disponibilidad

B. precisin

C. integridad

D. confidencialidad

A. Incorrecto. Sobrecargar la infraestructura es un ejemplo de amenaza a la

disponibilidad.

B. Incorrecto. La precisin no es un aspecto de la fiabilidad. Es una caracterstica de la integridad.

C. Correcto. La negacin de haber enviado un mensaje tiene que ver con el no-repudio, una amenaza a la integridad. Ver la seccin 4.5 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. El mal uso y/o la revelacin de datos son amenazas a la confidencialidad.

15 de 40

En el ciclo del incidente hay cuatro pasos sucesivos.

Cul es el orden de estos pasos?

A. Amenaza, Dao, Incidente, Recuperacin

B. Amenaza, Incidente, Dao, Recuperacin

C. Incidente, Amenaza, Dao, Recuperacin

D. Incidente, Recuperacin, Dao, Amenaza

A. Incorrecto. El dao sigue al incidente. B. Correcto. El orden de los pasos en el ciclo del incidente es: Amenaza, Incidente,

Dao, Recuperacin. Ver la seccin 6.4.4 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. El incidente sigue a la amenaza.

D. Incorrecto. La recuperacin es el ltimo paso.



24

16 de 40

Hay un incendio en una sucursal de una compaa de seguros mdicos. Se traslada al personal a una sucursal cercana para continuar su trabajo.

En qu momento del ciclo del incidente se encuentra la ejecucin de este acuerdo en espera (stand-by)?

A. entre la amenaza y el incidente

B. entre la recuperacin y la amenaza

C. entre el dao y la recuperacin

D. entre el incidente y el dao

A. Incorrecto. Ejecutar un acuerdo en espera (stand-by) sin que primero haya un incidente es muy caro.

B. Incorrecto. La recuperacin tiene lugar despus de que se ejecute un acuerdo en espera (stand-by). C. Incorrecto. El dao y la recuperacin estn en realidad limitados por la ejecucin del acuerdo en espera (stand-by). D. Correcto. La ejecucin de un acuerdo en espera (stand-by) es un medida represiva que se inicia a fin de limitar el dao. Ver las secciones 6.4.4 y 9.3 de The basics of information security (Fundamentos en seguridad de la informacin).



25

17 de 40

Cmo se describe mejor el propsito de la poltica de seguridad de la informacin?

A. La poltica documenta el anlisis de riesgos y la bsqueda de contramedidas.

B. La poltica proporciona direccin y apoyo a la gestin en materia de seguridad de la informacin.

C. La poltica hace que el plan de seguridad sea concreto aportndole la informacin detallada necesaria.

D. La poltica proporciona una mejor comprensin sobre las amenazas y las posibles consecuencias.

A. Incorrecto. ste es el propsito del anlisis de riesgos y de la gestin de riesgos. B. Correcto. La poltica de seguridad proporciona direccin y apoyo a la gestin en materia de seguridad de la informacin. Ver la seccin 9.1 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. El plan de seguridad hace que la poltica de seguridad de la informacin sea concreta. El plan incluye qu medidas se han elegido, quin es responsable de qu, las orientaciones para la puesta en prctica de las medidas, etc. D. Incorrecto. ste es el propsito del anlisis de amenazas.

18 de 40

El cdigo de conducta para los negocios electrnicos se basa en una serie de principios.

Cul de los siguientes principios no corresponde aqu?

A. fiabilidad

B. registro

C. confidencialidad y privacidad

A. Incorrecto. La fiabilidad constituye una de las bases del cdigo de conducta. B. Correcto. El cdigo de conducta ser basa en los principios de fiabilidad, transparencia, confidencialidad y privacidad. El registro no encaja aqu. Ver la seccin 9.4.12 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. El cdigo de conducta se basa en la confidencialidad y en la privacidad entre otras cosas.



26

19 de 40

Una trabajadora de la compaa de seguros Euregio descubre que la fecha de vencimiento de una pliza se ha cambiado sin su conocimiento. Ella es la nica persona autorizada para hacerlo. Informa de este incidente de seguridad en el

mostrador de recepcin. La persona encargada anota la siguiente informacin sobre este incidente:

fecha y hora

descripcin del incidente posibles consecuencias del incidente

Qu informacin importante sobre el incidente falta?

A. el nombre de la persona que informa del incidente

B. el nombre del paquete de software

C. el nmero de PC

D. una lista de gente que fue informada del incidente

A. Correcto. Cuando se informa de un incidente, el nombre de quien lo hace debe ser

anotado. Ver la seccin 6.4.1 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. sta es informacin adicional que puede aadirse ms tarde. C. Incorrecto. sta es informacin adicional que puede aadirse ms tarde. D. Incorrecto. sta es informacin adicional que puede aadirse ms tarde.



27

20 de 40

Una empresa registra los siguientes incidentes:

1. Un detector de humos no funciona.

2. Alguien rompe la seguridad de la red

3. Alguien pretende ser miembro del personal.

4. Un archivo de ordenador no puede ser convertido en un archivo PDF.

Cul de estos incidentes no es un incidente de seguridad?

A. 1

B. 2

C. 3

D. 4

A. Incorrecto. Un detector de humos que no funciona es un incidente que puede

amenazar la disponibilidad de los datos.

B. Incorrecto. Romper la seguridad de la red es un incidente que puede amenazar la

disponibilidad, integridad y confidencialidad de los datos.

C. Incorrecto. El mal uso de la identidad es un incidente que puede amenazar la

disponibilidad, integridad y confidencialidad de los datos.

D. Correcto. Un incidente de seguridad es un incidente que puede amenazar la

disponibilidad, integridad o confidencialidad de los datos. Esto no constituye una

amenaza a la disponibilidad, integridad y confidencialidad de los datos. Ver la seccin 6.4 de The basics of information security (Fundamentos en seguridad de la informacin).

21 de 40

Las medidas de seguridad pueden ser agrupadas de varias formas.

Cul de las siguientes formas es correcta?

A. fsica, lgica, preventiva

B. lgica, represiva, preventiva

C. organizativa, preventiva, correctiva, fsica

D. preventiva, de deteccin, represiva, correctiva

A. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es preventiva/de deteccin/represiva/correctiva. B. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es preventiva/de deteccin/represiva/correctiva. C. Incorrecto. Organizativa/lgica/fsica es un grupo adecuado, como tambin lo es preventiva/de deteccin/represiva/correctiva. D. Correcto. Preventiva/de deteccin/represiva/correctiva es un grupo adecuado, como tambin lo es organizativa/lgica/fsica. Ver la seccin 5.3 de The basics of information security (Fundamentos en seguridad de la informacin).



28

22 de 40

Un detector de humos est situado en una sala de ordenadores.

Bajo qu categora de medidas de seguridad se encuadra?

A. correctiva

B. de deteccin

C. organizativa

D. preventiva

A. Incorrecto. Un detector de humos detecta y luego enva una alarma, pero no emprende ninguna accin correctiva. B. Correcto. Un detector de humos slo tiene una funcin de aviso; una vez dada la alarma, se requiere una accin. Ver la seccin 5.3 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. Slo las medidas que siguen a la alarma del detector de humos son organizativas; la colocacin de un detector de humos no es una medida organizativa. D. Incorrecto. Un detector de humos no evita un fuego, por lo que no es una medida

preventiva.

23 de 40

El responsable de la seguridad de la informacin de la compaa de seguros Euregio desea establecer una lista de medidas de seguridad.

Qu tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad?

A. Establecer vigilancia.

B. Llevar a cabo una evaluacin.

C. Formular una poltica de seguridad de la informacin.

D. Llevar a cabo un anlisis de riesgo.

A. Incorrecto. La vigilancia es una medida posible.

B. Incorrecto. La evaluacin se realiza una vez establecida la lista de medidas. C. Incorrecto. Una poltica de seguridad de la informacin es importante, pero no es necesaria para seleccionar medidas.

D. Correcto. Antes de poder seleccionar medidas de seguridad, Euregio debe

determinar qu riesgos necesitan medidas de seguridad. Ver la seccin 5 de The basics of information security (Fundamentos en seguridad de la informacin).



29

24 de 40

Cul es el propsito de clasificar informacin?

A. Determinar qu tipos de informacin pueden requerir diferentes niveles de proteccin.

B. Asignar informacin a un propietario.

C. Reducir los riesgos de error humano.

D. Prevenir acceso no autorizado a informacin.

A. Correcto. El propsito de clasificar informacin es mantener una proteccin adecuada. Ver la seccin 6.3 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. Asignar informacin a un propietario es el modo de clasificacin, y no el propsito. C. Incorrecto. Reducir los riesgos de error humano es parte de los requisitos de

seguridad del personal.

D. Incorrecto. Prevenir acceso no autorizado a informacin es parte de la seguridad de acceso.

25 de 40

Se necesita una autentificacin fuerte para acceder a reas altamente protegidas. En el caso de una autentificacin fuerte, la identidad de una persona se verifica utilizando tres factores.

Qu factor es verificado cuando introducimos un nmero de identificacin personal (PIN)?

A. Algo parte de mi

B. Algo que yo tengo

C. Algo que yo conozco

A. Incorrecto. Un cdigo PIN no es un ejemplo de algo parte de m B. Incorrecto. Un cdigo PIN no es algo que tengo. C. Correcto. Un cdigo PIN es algo que conozco. Ver la seccin 7.2.2.1 de The basics of information security (Fundamentos en seguridad de la informacin).



30

26 de 40

El acceso a la sala de informtica se cierra mediante la utilizacin de un lector de tarjeta. Slo el departamento de Gestin de Sistemas tiene tarjetas.

Qu tipo de medida de seguridad es sta?

A. una medida de seguridad correctiva

B. una medida de seguridad fsica

C. una medida de seguridad lgica

D. una medida de seguridad represiva

A. Incorrecto. Una medida de seguridad correctiva es una medida de recuperacin. B. Correcto. Es una medida de seguridad fsica. Ver la seccin 7 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. Una medida de seguridad lgica controla el acceso al software y a la informacin, no el acceso fsico a las salas. D. Incorrecto. Una medida de seguridad represiva intenta minimizar las consecuencias

de un incidente.

27 de 40

Cuatro (4) miembros del personal del departamento de Informtica comparten una (1) tarjeta de acceso a la sala de informtica.

Qu riesgo conlleva esto?

A. Si se va la luz, los ordenadores se apagan.

B. Si se declara un fuego, los extintores no pueden ser utilizados.

C. Si desaparece algo de la sala de informtica, no estar claro quin es responsable.

D. Las personas sin autorizacin pueden acceder a la sala de informtica sin ser vistas.

A. Incorrecto. Que se apaguen los ordenadores como resultado de un corte de luz no

tiene nada que ver con la gestin de acceso a la sala. B. Incorrecto. Aunque slo tenga una tarjeta, el personal de informtica puede apagar un fuego con un extintor.

C. Correcto. Aunque fuera evidente que alguien del departamento de informtica hubiese estado dentro, no se sabra quin. Ver la seccin 7.2 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. Nadie tiene acceso a la sala de informtica sin una tarjeta.



31

28 de 40

En la recepcin de una oficina de administracin hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas

han de recogerse inmediatamente para que no se las pueda llevar un visitante.

Qu otro riesgo para la informacin de la empresa conlleva esta situacin?

A. Los archivos pueden quedarse almacenados en la memoria de la impresora.

B. Los visitantes podran copiar e imprimir informacin confidencial de la red.

C. Puede estropearse la impresora con un uso excesivo, con lo que no podra utilizarse ms.

A. Correcto. Si los archivos quedan almacenados en la memoria puede imprimirlos y

llevrselos cualquier persona que pase por recepcin. Ver la seccin 9.4.11 de The basics of information security (Fundamentos en seguridad de la informacin). B. Incorrecto. No es posible utilizar una impresora para copiar informacin de la red. C. Incorrecto. La indisponibilidad de una impresora no constituye un riesgo para la

informacin de la empresa.

29 de 40

Cules de las siguientes medidas de seguridad es una medida tcnica?

1. Asignar informacin a un propietario 2. Archivos codificados

3. Crear una poltica que defina qu est y qu no est permitido va correo electrnico 4. Guardar las claves de acceso de la gestin de sistemas en una caja fuerte

A. 1

B. 2

C. 3

D. 4

A. Incorrecto. Asignar informacin a un propietario es clasificar, que es una medida organizativa.

B. Correcto. Es una medida tcnica que evita que personas no autorizadas lean la informacin. Ver la seccin 8.3 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. Es una medida organizativa; un cdigo de conducta escrito en el contrato de empleo.

D. Incorrecto. Es una medida organizativa.



32

30 de 40

Las copias de seguridad del servidor central se guardan en la misma habitacin cerrada que el servidor.

A qu riesgo se enfrenta la organizacin?

A. Si se estropea el servidor, pasar un tiempo antes de que vuelva a estar operativo.

B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.

C. Nadie es responsable de copias de seguridad.

D. Las personas no autorizadas tienen un fcil acceso a las copias de seguridad.

A. Incorrecto. Al contrario, esto ayudara a que el sistema estuviera operativo ms rpidamente. B. Correcto. La posibilidad de que las copias de seguridad tambin resulten destruidas en el fuego es muy alta. Ver la seccin 9.4.7 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. La responsabilidad no tiene nada que ver con el lugar de almacenaje.

D. Incorrecto. La sala de informtica est cerrada.

31 de 40

Cul de las siguientes tecnologas es maliciosa?

A. la codificacin

B. algoritmos hash

C. la Red Privada Virtual (VPN)

D. virus, gusanos informticos y programas espa

A. Incorrecto. La codificacin hace que la informacin sea ilegible para todos menos para los que poseen un conocimiento especial, normalmente llamado clave de acceso.

B. Incorrecto. Los algoritmos hash son un mtodo de codificacin de informacin. C. Incorrecto. VPN es una conexin de red segura en Internet. D. Correcto. Todos son formas de software malicioso, que se introduce sin permiso en

un ordenador con fines maliciosos. Ver la seccin 9.4.6 de The basics of information security (Fundamentos en seguridad de la informacin).



33

32 de 40

Qu medida no ayuda contra el software malicioso?

A. una poltica de parches activa

B. un programa antiespas

C. un filtro de correo basura

D. una contrasea

A. Incorrecto. El software malicioso utiliza a menudo errores de programacin en el software. Los parches repararan los fallos de seguridad del software, y as reducen las posibilidades de infeccin con software malicioso. B. Incorrecto. Un programa espa es un programa malicioso que recoge informacin confidencial almacenada en un ordenador y la distribuye. Un programa antiespas puede detectar el software malicioso en un ordenador.

C. Incorrecto. El correo basura es correo electrnico no deseado. A menudo es simplemente publicidad, pero tambin puede contener software malicioso adjunto o un enlace a una web con software malicioso. Un filtro de correo basura elimina este tipo

de correo.

D. Correcto. Una contrasea es una forma de autentificacin. No bloquea ningn software malicioso. Ver la seccin 8.1.2.1 de The basics of information security (Fundamentos en seguridad de la informacin).

33 de 40

Cul de estos es un ejemplo de medida organizativa?

A. copia de seguridad

B. codificacin

C. segregacin de deberes

D. guardar el equipo de red y las cajas de conexiones elctricas en una habitacin cerrada

A. Incorrecto. Hacer copias de seguridad de los datos es una medida tcnica. B. Incorrecto. La codificacin de datos es una medida tcnica. C. Correcto. La segregacin de deberes es una medida organizativa. Las responsabilidades de inicio, ejecucin y control son asignadas a diferentes personas. Por ejemplo, la transferencia de una gran cantidad de dinero es preparada por un

administrativo, el director financiero realiza el pago y un contable audita la transaccin. Ver la seccin 9.4.3 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. Cerrar habitaciones es una medida de seguridad fsica.



34

34 de 40

La Identificacin es establecer si la identidad de alguien es correcta.

Es correcta esta afirmacin?

A. s

B. no

A. Incorrecto. La Identificacin es el proceso de revelar una identidad. B. Correcto. Establecer si la identidad de alguien es correcta se denomina

autentificacin. Ver la seccin 8.1 de The basics of information security (Fundamentos en seguridad de la informacin).

35 de 40

Por qu es necesario tener un plan de recuperacin de desastres actualizado y probarlo con regularidad?

A. Para tener siempre acceso a copias de seguridad recientes que estn localizadas fuera de la oficina.

B. Para poder sobrellevar los fallos que ocurren diariamente.

C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas

establecidas y los procedimientos planeados pueden no resultar adecuados o

pueden estar desactualizados.

D. Porque la Ley de proteccin de datos personales lo requiere.

A. Incorrecto. sta es una de las medidas tcnicas establecidas para recuperar un sistema.

B. Incorrecto. En caso de incidentes normales, las medidas normalmente utilizadas y

los procedimientos ante un incidente son suficientes.

C. Correcto. Un incidente de grandes proporciones requiere un plan probado y

actualizado. Ver la seccin 9.3 de The basics of information security (Fundamentos en seguridad de la informacin). D. Incorrecto. La Ley de proteccin de datos personales regula a la privacidad de los datos personales.



35

36 de 40

Qu es la autorizacin?

A. La determinacin de la identidad de una persona.

B. El conjunto de las acciones llevadas a cabo para acceder.

C. La verificacin de la identidad de una persona.

D. Garantizar derechos especficos, tales como acceso selectivo, a una persona.

A. Incorrecto. La determinacin de la identidad de una persona se denomina identificacin. B. Incorrecto. El registro de las acciones llevadas a cabo se denomina logging. C. Incorrecto. La verificacin de la identidad de una persona se denomina autentificacin. D. Correcto. Garantizar derechos especficos, tales como el acceso selectivo, a una persona se denomina autorizacin. Ver la seccin 8.1 de The basics of information security (Fundamentos en seguridad de la informacin).

37 de 40

Qu importante norma jurdica en el rea de la seguridad de la informacin ha de contemplar el gobierno?

A. Anlisis de dependencia y vulnerabilidad

B. ISO/IEC 20000

C. ISO/IEC 27002

D. Legislacin o normas nacionales sobre seguridad de la informacin

A. Incorrecto. El anlisis de dependencia y vulnerabilidad es un mtodo de anlisis de riesgos.

B. Incorrecto. El ISO/IEC 20000 es un estndar para organizar la gestin de servicios informticos y no es obligatoria. C. Incorrecto. El ISO/IEC 27002 es el Cdigo de buenas prcticas para la Seguridad de la Informacin. Es una gua para organizar la seguridad de la informacin y no es obligatoria.

D. Correcto. La legislacin o normas nacionales sobre seguridad de la informacin estn promulgadas por los gobiernos nacionales y son obligatorias. Ver la seccin 10 de The basics of information security (Fundamentos en seguridad de la informacin).



36

38 de 40

En base a qu legislacin puede alguien pedir la inspeccin de datos que han sido registrados sobre su persona?

A. La ley de Registro pblico

B. La ley de Proteccin de datos personales

C. La ley de Delitos informticos

D. La ley de Acceso pblico a informacin del gobierno

A. Incorrecto. La ley de Registro pblico regula el almacenaje y destruccin de documentos de archivo.

B. Correcto. El derecho a la inspeccin est regulado por la ley de Proteccin de datos personales. Ver la seccin 10.5 de The basics of information security (Fundamentos en seguridad de la informacin). C. Incorrecto. La ley de Delitos informticos es un cambio del Cdigo Penal y el Cdigo Procesal Penal para facilitar la persecucin de delitos perpetrados mediante las tecnologas de la informacin avanzadas. Un ejemplo de un delito nuevo es el pirateo informtico (hacking). D. Incorrecto. La ley de Acceso pblico a informacin del gobierno regula la inspeccin de documentos escritos del gobierno. Los datos personales no son un documento del gobierno.

39 de 40

El Cdigo para la seguridad de la informacin (ISO/IEC 27002) es una descripcin de un mtodo de anlisis de riesgos.


A. s

B. no

A. Incorrecto. El Cdigo para la seguridad de la informacin es una coleccin de buenas prcticas. B. Correcto. El Cdigo para la seguridad de la informacin puede ser utilizado en un anlisis de riesgos, pero no es un mtodo. Ver la seccin 9.1 de The basics of information security (Fundamentos en seguridad de la informacin).



37

40 de 40

El Cdigo para la seguridad de la informacin (ISO/IEC 27002) slo es aplicable a grandes empresas.


A. s

B. no

A. Incorrecto. El Cdigo para la seguridad de la informacin es aplicable a todo tipo de organizaciones, grandes y pequeas. B. Correcto. El Cdigo para la seguridad de la informacin es aplicable a todo tipo de organizaciones, grandes y pequeas. Ver la seccin 9.1 de The basics of informacin security (Fundamentos de la seguridad de la informacin).



38

Evaluacin

La siguiente tabla muestra las respuestas correctas a las preguntas en este examen

de muestra.

nmero respuesta puntos nmero respuesta puntos

1 C 1 21 D 1

2 A 1 22 B 1

3 C 1 23 D 1

4 C 1 24 A 1

5 B 1 25 C 1

6 D 1 26 B 1

7 A 1 27 C 1

8 B 1 28 A 1

9 A 1 29 B 1

10 D 1 30 B 1

11 A 1 31 D 1

12 C 1 32 D 1

13 C 1 33 C 1

14 C 1 34 B 1

15 B 1 35 C 1

16 D 1 36 D 1

17 B 1 37 D 1

18 B 1 38 B 1

19 A 1 39 B 1

20 D 1 40 B 1

Contacto EXIN

www.exin.com

sample exam

Documents