Estudiar PECB-RESUELTO

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 11

1. ¿Cuál es el objetivo de clasificar la información?

a. Autorizar el uso de un sistema de información


b. Crear una etiqueta que indique cuán confidencial es la información.
c. Definir diferentes niveles de sensibilidad en los que se puede organizar la
información
d. Mostrar en el documento a quién se le permite el acceso.

2. ¿Cuál es el mayor riesgo para una organización si no se ha definido una política de


seguridad de la información?
a. Si todos trabajan con la misma cuenta, es imposible saber quién trabajó en
qué.
b. Las actividades de seguridad de la información las llevan a cabo sólo unas
pocas personas.
c. Se implementan demasiadas medidas.
d. No es posible que una organización implemente la seguridad de la
información de manera consistente.

3. Un empleado del departamento administrativo de Smiths Consultants Inc.


descubre que la fecha de vencimiento de un contrato con uno de los clientes es
anterior a la fecha de inicio. ¿Qué tipo de medida podría evitar este error?
a. Una medida de disponibilidad
b. Medida de integridad
c. Medida organizativa
d. Medida técnica

4. Podemos adquirir y suministrar información de varias maneras. El valor de la


información depende de si es confiable. ¿Cuáles son los aspectos de confiabilidad
de la información?
a. Disponibilidad, valor de la información y confidencialidad
b. Disponibilidad, Integridad y Confidencialidad
c. Disponibilidad, integridad e integridad
d. Puntualidad, exactitud e integridad

5. ¿Cuál es un ejemplo de un incidente de seguridad?


a. La iluminación del departamento ya no funciona.
b. Un miembro del personal pierde una computadora portátil.
c. No puede configurar las fuentes correctas en su software de procesamiento
de textos.
d. Un archivo se guarda con un nombre incorrecto.
6. ¿Cuál de las siguientes medidas es una medida preventiva?
a. Instalar un sistema de registro que permita reconocer los cambios en un
sistema
b. Cerrar todo el tráfico de Internet después de que un pirata informático haya
obtenido acceso a los sistemas de la empresa.
c. Guardar información confidencial en un lugar seguro
d. Clasificar un riesgo como aceptable porque el costo de abordar la amenaza es
mayor que el valor de la información en riesgo.

7. ¿Quién está autorizado a cambiar la clasificación de un documento?


a. El autor del documento.
b. El administrador del documento.
c. El propietario del documento
d. El administrador del propietario del documento.

8. Peter trabaja en la empresa Midwest Insurance. Su gerente, Linda, le pide que


envíe los términos y condiciones de una póliza de seguro de vida a Rachel, una
clienta. ¿Quién determina el valor de la información en el documento de términos
y condiciones del seguro?
a. La destinataria, Raquel
b. La persona que redactó los términos y condiciones del seguro.
c. La gerente, Linda
d. El remitente, Peter

9. Usted es propietario de una empresa en crecimiento, SpeeDelivery, que ofrece


servicios de mensajería. Decide que es hora de elaborar un análisis de riesgos para
su sistema de información. Esto incluye un inventario de amenazas y riesgos. ¿Cuál
es la relación entre una amenaza, un riesgo y un análisis de riesgo?
a. Un análisis de riesgos identifica las amenazas de los riesgos conocidos.
b. Se utiliza un análisis de riesgos para aclarar qué amenazas son relevantes y
qué riesgos implican.
c. Se utiliza un análisis de riesgo para eliminar el riesgo de una amenaza.
d. Los análisis de riesgos ayudan a encontrar un equilibrio entre amenazas y
riesgos.
10. Eres el propietario de la empresa de mensajería SpeeDelivery. Ha realizado un
análisis de riesgos y ahora desea determinar su estrategia de riesgos. Decide
tomar medidas para los grandes riesgos, pero no para los pequeños. ¿Cómo se
llama esta estrategia de riesgo?
a. asunción de riesgos
b. Evitar riesgos
c. Neutral al riesgo
d. Transmisión del riesgo

11. Acaba de empezar a trabajar en una gran organización. Se le ha pedido que firme
un código de conducta y un contrato. ¿Qué quiere conseguir la organización con
esto?
a. código de conducta ayuda a prevenir el uso indebido de las instalaciones de
TI.
b. Un código de conducta es una obligación legal que las organizaciones deben
cumplir.
c. Un código de conducta previene un brote de virus.
d. Un código de conducta brinda orientación al personal sobre cómo denunciar
sospechas de uso indebido de las instalaciones de TI.

12. ¿Qué necesitan saber los empleados para informar un incidente de seguridad?
a. Cómo denunciar un incidente y a quién.
b. Si el incidente ha ocurrido antes y cuál fue el daño resultante.
c. Las medidas que deberían haberse tomado para prevenir el incidente en
primer lugar.
d. Quién es responsable del incidente y si fue intencional.

13. ¿Cuál de las siguientes medidas es una medida correctiva?


a. Incorporación de un Sistema de Detección de Intrusos (IDS) en el diseño de un
centro de cómputo
b. Instalar un escáner de virus en un sistema de información
c. Hacer una copia de seguridad de los datos que se han creado o modificado
ese día
d. Restaurar una copia de seguridad de la base de datos correcta después de que
se escribiera una copia corrupta de la base de datos sobre la original
14. ¿Cuál es un ejemplo de una amenaza no humana al entorno físico?
a. Una transacción fraudulenta
b. Archivo corrupto
c. Tormenta
d. Virus

15. ¿Cuál es la mejor descripción de un análisis de riesgos?


a. Un análisis de riesgos es un método para mapear los riesgos sin observar los
procesos de la empresa.
b. Un análisis de riesgos ayuda a estimar los riesgos y desarrollar las medidas de
seguridad adecuadas.
c. Un análisis de riesgos calcula las consecuencias financieras exactas de los daños.

16. ¿Cuál es un ejemplo de una buena medida de seguridad física?


a. Todos los empleados y visitantes llevan un pase de acceso.
b. Las impresoras defectuosas o que han sido reemplazadas se retiran
inmediatamente y se desechan como basura para su reciclaje.
c. El personal de mantenimiento puede tener acceso rápido y sin obstáculos al área
del servidor en caso de desastre.

17. Solicitas un puesto en otra empresa y consigues el trabajo. Junto con su contrato,
se le pide que firme un código de conducta. ¿Qué es un código de conducta?

a. Un código de conducta especifica cómo se espera que se comporten los


empleados y es el mismo para todas las empresas.
b. Un código de conducta es una parte estándar de un contrato laboral.
c. Un código de conducta difiere de una empresa a otra y específica, entre otras
cosas, las reglas de conducta con respecto al uso de los sistemas de información.

18. Una empresa se muda a un nuevo edificio. Unas semanas después de la mudanza,
un visitante aparece sin previo aviso en el despacho del director. Una
investigación demuestra que los pases de visitantes ofrecen el mismo acceso que
los pases del personal de la empresa. ¿Qué tipo de medida de seguridad podría
haber evitado esto?

a. Una medida de seguridad física


b. Una medida de seguridad organizacional
c. Una medida técnica de seguridad
19. Susan envía un correo electrónico a Paul. ¿Quién determina el significado y el
valor de la información de este correo electrónico?

a. Paul, el destinatario de la información.


b. Paul y Susan, el remitente y el destinatario de la información.
c. Susan, el remitente de la información.

20. El inicio de sesión en un sistema informático es un proceso de concesión de acceso


que consta de tres pasos: identificación, autenticación y autorización. ¿Qué ocurre
durante el primer paso de este proceso: la identificación?

a. El primer paso consiste en comprobar si el usuario está utilizando el certificado


correcto.
b. El primer paso consiste en comprobar si el usuario aparece en la lista de usuarios
autorizados.
c. El primer paso consiste en comparar la contraseña con la contraseña registrada.
d. El primer paso consiste en otorgar acceso a la información a la que el usuario
está autorizado.

21. La empresa Midwest Insurance ha tomado muchas medidas para proteger su


información. Utiliza un Sistema de Gestión de Seguridad de la Información, se
valida la entrada y salida de datos en las aplicaciones, los documentos
confidenciales se envían encriptados y el personal utiliza tokens para acceder a
los sistemas de información. ¿Cuál de estas no es una medida técnica?

a. Un sistema de gestión de seguridad de la información


b. El uso de tokens para acceder a los sistemas de información
c. Validación de datos de entrada y salida en aplicaciones.
d. Cifrado de información

22. ¿Cuál es un acto legislativo o reglamentario relacionado con la seguridad de la


información que se puede imponer a todas las organizaciones?

a. ISO /IEC 27001:2005


b. Derechos de propiedad intelectual
c. ISO/IEC 27002:2005
d. Legislación de protección de datos personales
23. Midwest Insurance califica el informe mensual de todas las pérdidas reclamadas
por asegurado como confidencial. ¿Qué se consigue si a todos los demás informes
de esta oficina de seguros también se les asigna la calificación adecuada?

a. Los costos para la automatización son más fáciles de cobrar a los


departamentos responsables.
b. Se puede determinar qué informe debe imprimirse primero y cuáles pueden
esperar un poco más.
c. Todos pueden ver fácilmente cuán sensibles son los contenidos de los
informes consultando la etiqueta de calificación.
d. Los informes se pueden desarrollar más fácilmente y con menos errores.

24. ¿Qué tipo de seguridad ofrece una infraestructura de clave pública (PKI)?

a. Proporciona certificados digitales que se pueden utilizar para firmar


documentos digitalmente. Estas firmas determinan de forma irrefutable quién
envió un documento.
b. Tener una PKI muestra a los clientes que una empresa basada en la web es
segura.
c. Al proporcionar acuerdos, procedimientos y una estructura organizativa, una
PKI define qué persona o qué sistema pertenece a qué clave pública específica.
d. A PKI garantiza que se realicen copias de seguridad de los datos de la empresa
de forma regular.

25. De las siguientes, ¿cuál es la mejor organización o conjunto de organizaciones para


contribuir al cumplimiento?

a. Sólo TI
b. TI, gestión empresarial, RRHH y jurídico
c. TI y gestión
d. TI y legal

26. Las empresas utilizan 27002 para el cumplimiento por cuál de las siguientes
razones:
a. Un programa estructurado que ayuda con la seguridad y el cumplimiento.
b. Requisitos explícitos para todas las regulaciones
c. El cumplimiento de la norma ISO 27002 es suficiente para cumplir con todas las
regulaciones.
SANTAMORALEKA
27. ISO 27002 proporciona orientación en la siguiente área

a. alcance del entorno PCI


b. Recomendaciones para el manejo de la información
c. para un programa general de seguridad y cumplimiento
d. Listas detalladas de políticas y procedimientos requeridos

28. Seleccione actividades de control de riesgos para el dominio '10. Cifrado' de


ISO/27002:2013 (Elige dos)

a. Trabajar en zonas seguras


b. Política de uso de controles criptográficos
c. Perímetro de seguridad física
d. Gestión de claves

29. ¿Cuántos dominios tiene ISO/IEC 27002:2013?


a. 140
b. 14
c. 110
d. 114

30. Seleccione los controles que correspondan al dominio '9. CONTROL DE ACCESO'
de ISO/27002 (Elige tres)

a. Una restricción de acceso a la información.


b. Devolución de activos
c. Gestión de derechos de acceso con privilegios especiales
d. Retirada o adaptación de los derechos de acceso

31. ¿Qué es la norma ISO/IEC 27002?

a. Es una guía de buenas prácticas que describe los objetivos de control y


controles recomendados en materia de seguridad de la información.
b. Es una guía que se centra en los aspectos críticos necesarios para el diseño e
implementación exitoso de un SGSI de acuerdo con la norma ISO/IEC 27001.
c. Es una guía para el desarrollo y uso de métricas y técnicas de medición
aplicables para determinar la efectividad de un SGSI y los controles o grupos de
controles implementados según ISO/IEC 27001.
32. ¿Cuáles de estos objetivos de control NO están en el dominio ‘12? ¿SEGURIDAD
OPERATIVA?

a. Una protección contra códigos maliciosos


b. Redundancias
c. Datos de prueba
d. Gestión técnica de la vulnerabilidad

33. ¿Qué se debe utilizar para proteger los datos en medios extraíbles si la
confidencialidad o integridad de los datos son consideraciones importantes?

a. Una copia de seguridad en otro medio extraíble


b. técnicas criptográficas
c. una contraseña
d. registro

34. Las etiquetas físicas y ________ son dos formas comunes de etiquetado que se
mencionan en la norma ISO 27002.

a. metadato
b. teradata
c. puente

35. ¿Quién es responsable de clasificar los activos de información?

a. un el director ejecutivo
b. el CISO
c. el equipo de seguridad de la información
d. el propietario del activo

36. El propietario identificado de un activo es siempre un individuo

a. verdad
b. Falso

37. Se permite que los empleados y contratistas dispongan de un canal de denuncia


anónimo para denunciar violaciones de las políticas o procedimientos de
seguridad de la información ("whistle-blowing")

a. verdad
b. Falso
38. Antes del empleo, _________ así como los términos y condiciones de empleo se
incluyen como controles en ISO 27002 para garantizar que los empleados y
contratistas comprendan sus responsabilidades y sean adecuados para los roles
para los que están considerados.
a. proyección
b. autorizando
c. controlando
d. flexionando

39. Verdadero o Falso: Se deben considerar las organizaciones que permiten


actividades de teletrabajo, la seguridad física del edificio y el entorno local del
sitio de teletrabajo.
a. verdad
b. Falso

40. Las responsabilidades de la seguridad de la información en los proyectos deben


definirse y asignarse a:
a. director de proyecto
b. roles especificados definidos en el método de gestión de proyectos utilizado de
la organización
c. el oficial de InfoSec
d. el propietario del activo involucrado

41. En el contexto del contacto con grupos de intereses especiales, cualquier acuerdo
de intercambio de información debe identificar los requisitos para la protección
de _________ información.
a. disponibilidad
b. Confidencial
c. Auténtico
d. Autorización

42. ¿Qué describe la Política de Seguridad de la Información?


a. se alcanzarán los objetivos de InfoSec
b. qué controles InfoSec han sido seleccionados y tomados
c. cuál es la implementación-planificación del sistema de gestión de seguridad de
la información
d. qué procedimientos de seguridad de la información se seleccionan
43. ¿Cuál es la mejor manera de cumplir con la legislación y normativa de protección
de datos personales?
a. Realizar un análisis de amenazas
b. Mantener un registro de incidentes
c. Realizar un análisis de vulnerabilidad
d. Asignar la responsabilidad a alguien

44. Usted es consultor y el Ministerio de Defensa lo contrata periódicamente para


realizar análisis. Como las asignaciones son irregulares, subcontratas la
administración de tu negocio a trabajadores temporales. No desea que los
trabajadores temporales tengan acceso a sus informes.
¿Qué aspecto de confiabilidad de la información de sus informes debe proteger?
a. disponibilidad
b. Integridad
c. Confidencialidad

45. ¿Por qué es importante el cumplimiento para la confiabilidad de la información?


a. es otra palabra para confiabilidad. Entonces, si una empresa indica que cumple,
significa que la información se gestiona adecuadamente.
b. Al cumplir con los requisitos legislativos y las regulaciones tanto del gobierno
como de la gestión interna, una organización demuestra que administra su
información de manera sólida.
c. Cuando una organización emplea un estándar como ISO/IEC 27002 y lo utiliza en
todas partes, lo cumple y por lo tanto garantiza la confiabilidad de su
información.
d. Cuando una organización cumple, cumple con los requisitos de la legislación de
privacidad y, al hacerlo, protege la confiabilidad de su información.

46. Una amenaza no humana para los sistemas informáticos es una inundación. ¿En
qué situación una inundación es siempre una amenaza relevante?
a. Si no se ha realizado el análisis de riesgos.
b. Cuando los sistemas informáticos se guardan en un sótano bajo el nivel del suelo.
c. Cuando los sistemas informáticos no estén asegurados.
d. Cuando la organización esté ubicada cerca de un río.
47. ¿Cuál es la razón más importante para aplicar la segregación de funciones?

a. segregación de funciones deja claro quién es responsable de qué.


b. La segregación de funciones garantiza que, cuando una persona está ausente,
se pueda investigar si ha estado cometiendo fraude.
c. Las tareas y responsabilidades deben separarse para minimizar las
oportunidades de que los activos comerciales se utilicen indebidamente o se
modifiquen, ya sea que el cambio no sea autorizado o no sea intencional.
d. La segregación de funciones facilita que una persona que está preparada con
su parte del trabajo se tome un tiempo libre o se haga cargo del trabajo de otra
persona.

48. Una de las formas en que los dispositivos de Internet de las cosas (IoT) pueden
comunicarse entre sí (o con el mundo exterior) es mediante el llamado protocolo
de radio de corto alcance. ¿Qué tipo de protocolo de radio de corto alcance
permite utilizar su teléfono como tarjeta de crédito?

a. comunicación de campo cercano (NFC)


b. Bluetooth
c. Identificación por radiofrecuencia (RFID)
d. El protocolo 4G

49. ¿Cuáles son los principios de protección de datos establecidos en el RGPD?


a. Finalidad limitación, proporcionalidad, disponibilidad, minimización de datos
b. Limitación de finalidad, proporcionalidad, minimización de datos, transparencia
c. Grupo destinatario, proporcionalidad, transparencia, minimización de datos
d. Limitación de finalidad, pudicidad, transparencia, minimización de datos.

50. ¿De cuál de estos aspectos de confiabilidad forma parte la "integridad"?


a. disponibilidad
b. Exclusividad
c. integridad
d. Confidencialidad

También podría gustarte