Sample exam information_security_foundation_latin_american_spanish
Transcript of Sample exam information_security_foundation_latin_american_spanish
Examen tipo
Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Edición Octubre 2011
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
2
Copyright © 2011 EXIN
All rights reserved. No part of this publication may be published, reproduced, copied or
stored in a data processing system or circulated in any form by print, photo print, microfilm
or any other means without written permission by EXIN.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
3
Índice
Introducción 4
Examen de muestra 5
Soluciones 16
Evaluación 38
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
4
Introducción
Éste es el examen de muestra de Fundamentos de Seguridad de la Información
basado en ISO / IEC 27002.
El examen de muestra consta de 40 preguntas de tipo test. Cada pregunta tiene un
número de respuestas posibles, de las cuales sólo una es correcta.
El número máximo de puntos que se pueden obtener en este examen es de 40. Cada
respuesta correcta tiene un valor de un punto. Si usted consigue 26 puntos o más,
habrá aprobado el examen.
El tiempo permitido para este examen es de 60 minutos.
Todos los derechos quedan reservados.
¡Buena suerte!
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
5
Examen de muestra
1 de 40
Su contable le ha hecho llegar un borrador de su formulario de la declaración de la renta. Usted
comprueba si los datos son correctos.
¿Qué aspectos de fiabilidad de la información está comprobando?
A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
2 de 40
A fin de contratar un seguro contra incendios, una oficina de administración debe determinar el valor
de los datos que maneja.
¿Qué factor no es importante para determinar el valor de los datos de una organización?
A. El contenido de los datos.
B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos.
C. El carácter indispensable de los datos para los procesos de negocio.
D. La importancia de los procesos de negocio que hacen uso de los datos.
3 de 40
El acceso a la información es cada vez más sencillo. Sin embargo, la información tiene que seguir
siendo fiable para poder ser utilizada.
¿Cuál de los siguientes aspectos no es un aspecto de la fiabilidad de la información?
A. disponibilidad
B. integridad
C. cantidad
D. confidencialidad
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
6
4 de 40
¿De qué aspecto de la fiabilidad de la información es parte la “completitud”?
A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
5 de 40
Una oficina de administración va a determinar los peligros a los que está expuesta.
¿Cómo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la
información?
A. dependencia
B. amenaza
C. vulnerabilidad
D. riesgo
6 de 40
¿Cuál es el propósito de la gestión de riesgos?
A. Determinar la probabilidad de que ocurra un cierto riesgo.
B. Determinar el daño causado por posibles incidentes relacionados con la seguridad.
C. Establecer las amenazas a las que están expuestos los recursos informáticos.
D. Utilizar medidas para reducir riesgos a un nivel aceptable.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
7
7 de 40
¿Qué afirmación sobre el análisis de riesgos es correcta?
1. Los riesgos que constan en un análisis de riesgos pueden clasificarse.
2. En un análisis de riesgos tiene que considerarse toda la información pormenorizada.
3. Un análisis de riesgos se limita a la disponibilidad.
4. Un análisis de riesgos es sencillo de realizar completando un breve cuestionario estándar con
preguntas estándar.
A. 1
B. 2
C. 3
D. 4
8 de 40
¿Cuál de los siguientes ejemplos puede clasificarse como fraude?
1. Infectar un ordenador con un virus.
2. Realizar una transacción no autorizada.
3. Interceptar líneas de comunicación y redes
4. Utilizar Internet en el trabajo con fines privados
A. 1
B. 2
C. 3
D. 4
9 de 40
Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se
puede producir un daño directo e indirecto.
¿Cuál es un ejemplo de daño directo?
A. se destruye una base de datos
B. pérdida de imagen
C. pérdida de la confianza del cliente
D. ya no se pueden satisfacer las obligaciones jurídicas
10 de 40
Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una combinación de
medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para
la compañía.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
8
¿A qué categoría de medidas pertenece un acuerdo en espera (stand-by arrangement)?
A. medidas represivas
B. medidas de detección
C. medidas preventivas
D. medidas correctivas
11 de 40
¿Cuál de los siguientes es un ejemplo de amenaza humana?
A. Un pendrive pasa un virus a la red.
B. Demasiado polvo en la sala de servidor.
C. Una fuga de agua causa un corte en el suministro de electricidad.
12 de 40
¿Cuál de los siguientes es un ejemplo de amenaza humana?
A. un rayo
B. fuego
C. phishing
13 de 40
La información tiene una serie de aspectos de fiabilidad.
La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un cable se
suelta, alguien modifica accidentalmente información, uso de los datos con fines particulares o datos
falsificados.
¿Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad?
A. un cable suelto
B. borrar datos accidentalmente
C. usar datos con fines particulares
D. falsificar datos
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
9
14 de 40
Un miembro del personal niega haber enviado un determinado mensaje.
¿Qué aspecto de la fiabilidad de la información está en peligro aquí?
A. disponibilidad
B. precisión
C. integridad
D. confidencialidad
15 de 40
En el ciclo del incidente hay cuatro pasos sucesivos.
¿Cuál es el orden de estos pasos?
A. Amenaza, Daño, Incidente, Recuperación
B. Amenaza, Incidente, Daño, Recuperación
C. Incidente, Amenaza, Daño, Recuperación
D. Incidente, Recuperación, Daño, Amenaza
16 de 40
Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a
una sucursal cercana para continuar su trabajo.
¿En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (stand-by)?
A. entre la amenaza y el incidente
B. entre la recuperación y la amenaza
C. entre el daño y la recuperación
D. entre el incidente y el daño
17 de 40
¿Cómo se describe mejor el propósito de la política de seguridad de la información?
A. La política documenta el análisis de riesgos y la búsqueda de contramedidas.
B. La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información.
C. La política hace que el plan de seguridad sea concreto aportándole la información detallada
necesaria.
D. La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
10
18 de 40
El código de conducta para los negocios electrónicos se basa en una serie de principios.
¿Cuál de los siguientes principios no corresponde aquí?
A. fiabilidad
B. registro
C. confidencialidad y privacidad
19 de 40
Una trabajadora de la compañía de seguros Euregio descubre que la fecha de vencimiento de una
póliza se ha cambiado sin su conocimiento. Ella es la única persona autorizada para hacerlo. Informa
de este incidente de seguridad en el mostrador de recepción. La persona encargada anota la
siguiente información sobre este incidente:
fecha y hora
descripción del incidente
posibles consecuencias del incidente
¿Qué información importante sobre el incidente falta?
A. el nombre de la persona que informa del incidente
B. el nombre del paquete de software
C. el número de PC
D. una lista de gente que fue informada del incidente
20 de 40
Una empresa registra los siguientes incidentes:
1. Un detector de humos no funciona.
2. Alguien rompe la seguridad de la red
3. Alguien pretende ser miembro del personal.
4. Un archivo de ordenador no puede ser convertido en un archivo PDF.
¿Cuál de estos incidentes no es un incidente de seguridad?
A. 1
B. 2
C. 3
D. 4
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
11
21 de 40
Las medidas de seguridad pueden ser agrupadas de varias formas.
¿Cuál de las siguientes formas es correcta?
A. física, lógica, preventiva
B. lógica, represiva, preventiva
C. organizativa, preventiva, correctiva, física
D. preventiva, de detección, represiva, correctiva
22 de 40
Un detector de humos está situado en una sala de ordenadores.
¿Bajo qué categoría de medidas de seguridad se encuadra?
A. correctiva
B. de detección
C. organizativa
D. preventiva
23 de 40
El responsable de la seguridad de la información de la compañía de seguros Euregio desea
establecer una lista de medidas de seguridad.
¿Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de
seguridad?
A. Establecer vigilancia.
B. Llevar a cabo una evaluación.
C. Formular una política de seguridad de la información.
D. Llevar a cabo un análisis de riesgo.
24 de 40
¿Cuál es el propósito de clasificar información?
A. Determinar qué tipos de información pueden requerir diferentes niveles de protección.
B. Asignar información a un propietario.
C. Reducir los riesgos de error humano.
D. Prevenir acceso no autorizado a información.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
12
25 de 40
Se necesita una autentificación fuerte para acceder a áreas altamente protegidas. En el caso de una
autentificación fuerte, la identidad de una persona se verifica utilizando tres factores.
¿Qué factor es verificado cuando introducimos un número de identificación personal (PIN)?
A. Algo parte de mi
B. Algo que yo tengo
C. Algo que yo conozco
26 de 40
El acceso a la sala de informática se cierra mediante la utilización de un lector de tarjeta. Sólo el
departamento de Gestión de Sistemas tiene tarjetas.
¿Qué tipo de medida de seguridad es ésta?
A. una medida de seguridad correctiva
B. una medida de seguridad física
C. una medida de seguridad lógica
D. una medida de seguridad represiva
27 de 40
Cuatro (4) miembros del personal del departamento de Informática comparten una (1) tarjeta de
acceso a la sala de informática.
¿Qué riesgo conlleva esto?
A. Si se va la luz, los ordenadores se apagan.
B. Si se declara un fuego, los extintores no pueden ser utilizados.
C. Si desaparece algo de la sala de informática, no estará claro quién es responsable.
D. Las personas sin autorización pueden acceder a la sala de informática sin ser vistas.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
13
28 de 40
En la recepción de una oficina de administración hay una impresora que todo el personal puede
utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse
inmediatamente para que no se las pueda llevar un visitante.
¿Qué otro riesgo para la información de la empresa conlleva esta situación?
A. Los archivos pueden quedarse almacenados en la memoria de la impresora.
B. Los visitantes podrían copiar e imprimir información confidencial de la red.
C. Puede estropearse la impresora con un uso excesivo, con lo que no podría utilizarse más.
29 de 40
¿Cuáles de las siguientes medidas de seguridad es una medida técnica?
1. Asignar información a un propietario
2. Archivos codificados
3. Crear una política que defina qué está y qué no está permitido vía correo electrónico
4. Guardar las claves de acceso de la gestión de sistemas en una caja fuerte
A. 1
B. 2
C. 3
D. 4
30 de 40
Las copias de seguridad del servidor central se guardan en la misma habitación cerrada que el
servidor.
¿A qué riesgo se enfrenta la organización?
A. Si se estropea el servidor, pasará un tiempo antes de que vuelva a estar operativo.
B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.
C. Nadie es responsable de copias de seguridad.
D. Las personas no autorizadas tienen un fácil acceso a las copias de seguridad.
31 de 40
¿Cuál de las siguientes tecnologías es maliciosa?
A. la codificación
B. algoritmos hash
C. la Red Privada Virtual (VPN)
D. virus, gusanos informáticos y programas espía
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
14
32 de 40
¿Qué medida no ayuda contra el software malicioso?
A. una política de parches activa
B. un programa antiespías
C. un filtro de correo basura
D. una contraseña
33 de 40
¿Cuál de estos es un ejemplo de medida organizativa?
A. copia de seguridad
B. codificación
C. segregación de deberes
D. guardar el equipo de red y las cajas de conexiones eléctricas en una habitación cerrada
34 de 40
La Identificación es establecer si la identidad de alguien es correcta.
¿Es correcta esta afirmación?
A. sí
B. no
35 de 40
¿Por qué es necesario tener un plan de recuperación de desastres actualizado y probarlo con
regularidad?
A. Para tener siempre acceso a copias de seguridad recientes que están localizadas fuera de la
oficina.
B. Para poder sobrellevar los fallos que ocurren diariamente.
C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas establecidas y los
procedimientos planeados pueden no resultar adecuados o pueden estar desactualizados.
D. Porque la Ley de protección de datos personales lo requiere.
36 de 40
¿Qué es la autorización?
A. La determinación de la identidad de una persona.
B. El conjunto de las acciones llevadas a cabo para acceder.
C. La verificación de la identidad de una persona.
D. Garantizar derechos específicos, tales como acceso selectivo, a una persona.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
15
37 de 40
¿Qué importante norma jurídica en el área de la seguridad de la información ha de contemplar el
gobierno?
A. Análisis de dependencia y vulnerabilidad
B. ISO/IEC 20000
C. ISO/IEC 27002
D. Legislación o normas nacionales sobre seguridad de la información
38 de 40
¿En base a qué legislación puede alguien pedir la inspección de datos que han sido registrados
sobre su persona?
A. La ley de Registro público
B. La ley de Protección de datos personales
C. La ley de Delitos informáticos
D. La ley de Acceso público a información del gobierno
39 de 40
El Código para la seguridad de la información (ISO/IEC 27002) es una descripción de un método de
análisis de riesgos.
¿Es esta afirmación correcta?
A. sí
B. no
40 de 40
El Código para la seguridad de la información (ISO/IEC 27002) sólo es aplicable a grandes empresas.
¿Es esta afirmación correcta?
A. sí
B. no
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
16
Soluciones
1 de 40
Su contable le ha hecho llegar un borrador de su formulario de la declaración de la
renta. Usted comprueba si los datos son correctos.
¿Qué aspectos de fiabilidad de la información está comprobando?
A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
A. Incorrecto. La disponibilidad indica hasta qué punto la información se encuentra
disponible para los usuarios en el momento en el que se necesita.
B. Incorrecto. La exclusividad es una característica de la confidencialidad.
C. Correcto. Concierne a la integridad. Ver la sección 4.5 de “The basics of information security” (Fundamentos en seguridad de la información).
D. Incorrecto. Concierne al grado en el que el acceso a la información está restringido
a las personas autorizadas.
2 de 40
A fin de contratar un seguro contra incendios, una oficina de administración debe
determinar el valor de los datos que maneja.
¿Qué factor no es importante para determinar el valor de los datos de una
organización?
A. El contenido de los datos.
B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos.
C. El carácter indispensable de los datos para los procesos de negocio.
D. La importancia de los procesos de negocio que hacen uso de los datos.
A. Correcto. El contenido de los datos no determina su valor. Ver la sección 4.3 de
“The basics of information security” (Fundamentos en seguridad de la información). B. Incorrecto. Los datos perdidos, incompletos o incorrectos que pueden ser
fácilmente recuperados son menos valiosos que los datos difíciles o imposibles de
recuperar.
C. Incorrecto. El carácter indispensable de los datos para los procesos de negocios
determina en parte su valor.
D. Incorrecto. Los datos críticos para procesos de negocios importantes son valiosos.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
17
3 de 40
El acceso a la información es cada vez más sencillo. Sin embargo, la información tiene
que seguir siendo fiable para poder ser utilizada.
¿Cuál de los siguientes aspectos no es un aspecto de la fiabilidad de la información?
A. disponibilidad
B. integridad
C. cantidad
D. confidencialidad
A. Incorrecto. La disponibilidad sí es un aspecto de la fiabilidad de la información.
B. Incorrecto. La integridad sí es un aspecto de la fiabilidad de la información.
C. Correcto. La cantidad no es un aspecto de la fiabilidad de la información. Ver la
sección 4.5 de “The basics of information security” (Fundamentos en seguridad de la
información). D. Incorrecto. La confidencialidad sí es un aspecto de la fiabilidad de la información.
4 de 40
¿De qué aspecto de la fiabilidad de la información es parte la “completitud”?
A. disponibilidad
B. exclusividad
C. integridad
D. confidencialidad
A. Incorrecto. La información puede estar disponible sin ser completa.
B. Incorrecto. La exclusividad es una característica de la confidencialidad.
C. Correcto. La completitud es parte de la integridad. Ver la sección 4.5 de “The basics of information security” (Fundamentos en seguridad de la información). D. Incorrecto. La información confidencial no tiene por qué ser completa.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
18
5 de 40
Una oficina de administración va a determinar los peligros a los que está expuesta.
¿Cómo denominamos un posible hecho que puede afectar negativamente a la
fiabilidad de la información?
A. dependencia
B. amenaza
C. vulnerabilidad
D. riesgo
A. Incorrecto. La dependencia no es un hecho.
B. Correcto. Una amenaza es un posible hecho que puede afectar la fiabilidad de la
información. Ver la sección 5 de “The basics of information security” (Fundamentos en
seguridad de la información). C. Incorrecto. La vulnerabilidad es el grado en el que algo es susceptible de sufrir una
amenaza.
D. Incorrecto. Un riesgo es el daño medio esperado en un período de tiempo como
resultado de una o más amenazas que conllevan incidencia(s).
6 de 40
¿Cuál es el propósito de la gestión de riesgos?
A. Determinar la probabilidad de que ocurra un cierto riesgo.
B. Determinar el daño causado por posibles incidentes relacionados con la
seguridad.
C. Establecer las amenazas a las que están expuestos los recursos informáticos.
D. Utilizar medidas para reducir riesgos a un nivel aceptable.
A. Incorrecto. Es parte del análisis de riesgos.
B. Incorrecto. Es parte del análisis de riesgos.
C. Incorrecto. Es parte del análisis de riesgos.
D. Correcto. El propósito de la gestión de riesgos es reducir riesgos a un nivel
aceptable. Ver la sección 5 de “The basics of information security” (Fundamentos en
seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
19
7 de 40
¿Qué afirmación sobre el análisis de riesgos es correcta?
1. Los riesgos que constan en un análisis de riesgos pueden clasificarse.
2. En un análisis de riesgos tiene que considerarse toda la información
pormenorizada.
3. Un análisis de riesgos se limita a la disponibilidad.
4. Un análisis de riesgos es sencillo de realizar completando un breve cuestionario
estándar con preguntas estándar.
A. 1
B. 2
C. 3
D. 4
A. Correcto. Todos los riesgos no son iguales. Como regla general, se abordan
primero los mayores riesgos. Ver la sección 5 de “The basics of information security”
(Fundamentos en seguridad de la información).
B. Incorrecto. En un análisis de riesgos es imposible examinar todos los detalles.
C. Incorrecto. Un análisis de riesgos considera todos los aspectos de la fiabilidad,
incluyendo la integridad y la confidencialidad junto a la disponibilidad.
D. Incorrecto. En un análisis de riesgos las preguntas raras veces pueden aplicarse a
todas las situaciones.
8 de 40
¿Cuál de los siguientes ejemplos puede clasificarse como fraude?
1. Infectar un ordenador con un virus.
2. Realizar una transacción no autorizada.
3. Interceptar líneas de comunicación y redes
4. Utilizar Internet en el trabajo con fines privados
A. 1
B. 2
C. 3
D. 4
A. Incorrecto. Una infección por virus se clasifica como la amenaza “cambio no
autorizado”.
B. Correcto. Una transacción no autorizada se clasifica como “fraude”. Ver la sección
10.6 de “The basics of information security” (Fundamentos en seguridad de la
información). C. Incorrecto. Interceptar líneas está clasificado como la amenaza “revelación”.
D. Incorrecto. El uso privado está clasificado como la amenaza “mal uso”.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
20
9 de 40
Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay
un fuego, se puede producir un daño directo e indirecto.
¿Cuál es un ejemplo de daño directo?
A. se destruye una base de datos
B. pérdida de imagen
C. pérdida de la confianza del cliente
D. ya no se pueden satisfacer las obligaciones jurídicas
A. Correcto. Una base de datos destruida es un ejemplo de daño directo. Ver la
sección 5.5 de “The basics of information security” (Fundamentos en seguridad de la
información). B. Incorrecto. La pérdida de imagen es un daño indirecto.
C. Incorrecto. La pérdida de confianza de los clientes es un daño indirecto.
D. Incorrecto. No poder satisfacer las obligaciones jurídicas es un daño indirecto.
10 de 40
Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una
combinación de medidas. Una de las medidas es que se organice un acuerdo en
espera (stand-by arrangement) para la compañía.
¿A qué categoría de medidas pertenece un acuerdo en espera (stand-by
arrangement)?
A. medidas represivas
B. medidas de detección
C. medidas preventivas
D. medidas correctivas
A. Incorrecto. Las medidas represivas, tales como extinguir el fuego , están orientadas
a minimizar cualquier daño causado.Un respaldo es otro ejemplo de una medida
represiva. B. Incorrecto. Las medidas de detección solamente dan un aviso después
de haber detectado algo.
C. Incorrecto. El objetivo de las medidas preventivas es evitar incidentes.
D. Correcto. Ver la sección 5.3.4 de “The basics of information security” (Fundamentos
de seguridad de la información). Un acuerdo en espera (stand-by arrangement) es
también un ejemplo de una medida correctiva , don de corregir significa la puesta en
servicio de una medida
de emergencia básica en el caso de un desastre. Por ejemplo, utilizar un lugar
diferente con el fin de
seguir trabajando.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
21
11 de 40
¿Cuál de los siguientes es un ejemplo de amenaza humana?
A. Un pendrive pasa un virus a la red.
B. Demasiado polvo en la sala de servidor.
C. Una fuga de agua causa un corte en el suministro de electricidad.
A. Correcto. Un pendrive siempre lo inserta una persona. Por ello, si al hacerlo entra
un virus en la red, es una amenaza humana. Ver la sección 5.4.1 de “The basics of information security” (Fundamentos en seguridad de la información). B. Incorrecto. El polvo no es una amenaza humana.
C. Incorrecto. Una fuga de agua no es una amenaza humana.
12 de 40
¿Cuál de los siguientes es un ejemplo de amenaza humana?
A. un rayo
B. fuego
C. phishing
A. Incorrecto. Un rayo es un ejemplo de amenaza no humana.
B. Incorrecto. El fuego es un ejemplo de una amenaza no humana.
C. Correcto. El phishing (atraer a los usuarios a sitios Web falsos) es una forma de
amenaza humana. Ver las secciones 5.4.1 y 9.4.6 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
22
13 de 40
La información tiene una serie de aspectos de fiabilidad.
La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un
cable se suelta, alguien modifica accidentalmente información, uso de los datos con
fines particulares o datos falsificados.
¿Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad?
A. un cable suelto
B. borrar datos accidentalmente
C. usar datos con fines particulares
D. falsificar datos
A. Incorrecto. Un cable suelto es una amenaza para la disponibilidad de información.
B. Incorrecto. La modificación no intencionada de datos es una amenaza a su
integridad.
C. Correcto. El uso de datos con fines particulares es una forma de mal uso y
constituye una amenaza para la confidencialidad. Ver la sección 4.5 de “The basics of information security” (Fundamentos en seguridad de la información).
D. Incorrecto. La falsificación de datos es una amenaza para su integridad.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
23
14 de 40
Un miembro del personal niega haber enviado un determinado mensaje.
¿Qué aspecto de la fiabilidad de la información está en peligro aquí?
A. disponibilidad
B. precisión
C. integridad
D. confidencialidad
A. Incorrecto. Sobrecargar la infraestructura es un ejemplo de amenaza a la
disponibilidad.
B. Incorrecto. La precisión no es un aspecto de la fiabilidad. Es una característica de
la integridad.
C. Correcto. La negación de haber enviado un mensaje tiene que ver con el no-
repudio, una amenaza a la integridad. Ver la sección 4.5 de “The basics of information security” (Fundamentos en seguridad de la información).
D. Incorrecto. El mal uso y/o la revelación de datos son amenazas a la
confidencialidad.
15 de 40
En el ciclo del incidente hay cuatro pasos sucesivos.
¿Cuál es el orden de estos pasos?
A. Amenaza, Daño, Incidente, Recuperación
B. Amenaza, Incidente, Daño, Recuperación
C. Incidente, Amenaza, Daño, Recuperación
D. Incidente, Recuperación, Daño, Amenaza
A. Incorrecto. El daño sigue al incidente.
B. Correcto. El orden de los pasos en el ciclo del incidente es: Amenaza, Incidente,
Daño, Recuperación. Ver la sección 6.4.4 de “The basics of information security”
(Fundamentos en seguridad de la información).
C. Incorrecto. El incidente sigue a la amenaza.
D. Incorrecto. La recuperación es el último paso.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
24
16 de 40
Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al
personal a una sucursal cercana para continuar su trabajo.
¿En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en
espera (stand-by)?
A. entre la amenaza y el incidente
B. entre la recuperación y la amenaza
C. entre el daño y la recuperación
D. entre el incidente y el daño
A. Incorrecto. Ejecutar un acuerdo en espera (stand-by) sin que primero haya un
incidente es muy caro.
B. Incorrecto. La recuperación tiene lugar después de que se ejecute un acuerdo en
espera (stand-by).
C. Incorrecto. El daño y la recuperación están en realidad limitados por la ejecución
del acuerdo en espera (stand-by).
D. Correcto. La ejecución de un acuerdo en espera (stand-by) es un medida represiva
que se inicia a fin de limitar el daño. Ver las secciones 6.4.4 y 9.3 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
25
17 de 40
¿Cómo se describe mejor el propósito de la política de seguridad de la información?
A. La política documenta el análisis de riesgos y la búsqueda de contramedidas.
B. La política proporciona dirección y apoyo a la gestión en materia de seguridad de
la información.
C. La política hace que el plan de seguridad sea concreto aportándole la información
detallada necesaria.
D. La política proporciona una mejor comprensión sobre las amenazas y las posibles
consecuencias.
A. Incorrecto. Éste es el propósito del análisis de riesgos y de la gestión de riesgos.
B. Correcto. La política de seguridad proporciona dirección y apoyo a la gestión en
materia de seguridad de la información. Ver la sección 9.1 de “The basics of information security” (Fundamentos en seguridad de la información).
C. Incorrecto. El plan de seguridad hace que la política de seguridad de la información
sea concreta. El plan incluye qué medidas se han elegido, quién es responsable de
qué, las orientaciones para la puesta en práctica de las medidas, etc.
D. Incorrecto. Éste es el propósito del análisis de amenazas.
18 de 40
El código de conducta para los negocios electrónicos se basa en una serie de
principios.
¿Cuál de los siguientes principios no corresponde aquí?
A. fiabilidad
B. registro
C. confidencialidad y privacidad
A. Incorrecto. La fiabilidad constituye una de las bases del código de conducta.
B. Correcto. El código de conducta ser basa en los principios de fiabilidad,
transparencia, confidencialidad y privacidad. El registro no encaja aquí. Ver la sección
9.4.12 de “The basics of information security” (Fundamentos en seguridad de la
información).
C. Incorrecto. El código de conducta se basa en la confidencialidad y en la privacidad
entre otras cosas.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
26
19 de 40
Una trabajadora de la compañía de seguros Euregio descubre que la fecha de
vencimiento de una póliza se ha cambiado sin su conocimiento. Ella es la única
persona autorizada para hacerlo. Informa de este incidente de seguridad en el
mostrador de recepción. La persona encargada anota la siguiente información sobre
este incidente:
fecha y hora
descripción del incidente
posibles consecuencias del incidente
¿Qué información importante sobre el incidente falta?
A. el nombre de la persona que informa del incidente
B. el nombre del paquete de software
C. el número de PC
D. una lista de gente que fue informada del incidente
A. Correcto. Cuando se informa de un incidente, el nombre de quien lo hace debe ser
anotado. Ver la sección 6.4.1 de “The basics of information security” (Fundamentos en
seguridad de la información).
B. Incorrecto. Ésta es información adicional que puede añadirse más tarde.
C. Incorrecto. Ésta es información adicional que puede añadirse más tarde.
D. Incorrecto. Ésta es información adicional que puede añadirse más tarde.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
27
20 de 40
Una empresa registra los siguientes incidentes:
1. Un detector de humos no funciona.
2. Alguien rompe la seguridad de la red
3. Alguien pretende ser miembro del personal.
4. Un archivo de ordenador no puede ser convertido en un archivo PDF.
¿Cuál de estos incidentes no es un incidente de seguridad?
A. 1
B. 2
C. 3
D. 4
A. Incorrecto. Un detector de humos que no funciona es un incidente que puede
amenazar la disponibilidad de los datos.
B. Incorrecto. Romper la seguridad de la red es un incidente que puede amenazar la
disponibilidad, integridad y confidencialidad de los datos.
C. Incorrecto. El mal uso de la identidad es un incidente que puede amenazar la
disponibilidad, integridad y confidencialidad de los datos.
D. Correcto. Un incidente de seguridad es un incidente que puede amenazar la
disponibilidad, integridad o confidencialidad de los datos. Esto no constituye una
amenaza a la disponibilidad, integridad y confidencialidad de los datos. Ver la sección
6.4 de “The basics of information security” (Fundamentos en seguridad de la
información).
21 de 40
Las medidas de seguridad pueden ser agrupadas de varias formas.
¿Cuál de las siguientes formas es correcta?
A. física, lógica, preventiva
B. lógica, represiva, preventiva
C. organizativa, preventiva, correctiva, física
D. preventiva, de detección, represiva, correctiva
A. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es
preventiva/de detección/represiva/correctiva.
B. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es
preventiva/de detección/represiva/correctiva.
C. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es
preventiva/de detección/represiva/correctiva.
D. Correcto. Preventiva/de detección/represiva/correctiva es un grupo adecuado,
como también lo es organizativa/lógica/física. Ver la sección 5.3 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
28
22 de 40
Un detector de humos está situado en una sala de ordenadores.
¿Bajo qué categoría de medidas de seguridad se encuadra?
A. correctiva
B. de detección
C. organizativa
D. preventiva
A. Incorrecto. Un detector de humos detecta y luego envía una alarma, pero no
emprende ninguna acción correctiva.
B. Correcto. Un detector de humos sólo tiene una función de aviso; una vez dada la
alarma, se requiere una acción. Ver la sección 5.3 de “The basics of information security” (Fundamentos en seguridad de la información).
C. Incorrecto. Sólo las medidas que siguen a la alarma del detector de humos son
organizativas; la colocación de un detector de humos no es una medida organizativa.
D. Incorrecto. Un detector de humos no evita un fuego, por lo que no es una medida
preventiva.
23 de 40
El responsable de la seguridad de la información de la compañía de seguros Euregio
desea establecer una lista de medidas de seguridad.
¿Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar las
medidas de seguridad?
A. Establecer vigilancia.
B. Llevar a cabo una evaluación.
C. Formular una política de seguridad de la información.
D. Llevar a cabo un análisis de riesgo.
A. Incorrecto. La vigilancia es una medida posible.
B. Incorrecto. La evaluación se realiza una vez establecida la lista de medidas.
C. Incorrecto. Una política de seguridad de la información es importante, pero no es
necesaria para seleccionar medidas.
D. Correcto. Antes de poder seleccionar medidas de seguridad, Euregio debe
determinar qué riesgos necesitan medidas de seguridad. Ver la sección 5 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
29
24 de 40
¿Cuál es el propósito de clasificar información?
A. Determinar qué tipos de información pueden requerir diferentes niveles de
protección.
B. Asignar información a un propietario.
C. Reducir los riesgos de error humano.
D. Prevenir acceso no autorizado a información.
A. Correcto. El propósito de clasificar información es mantener una protección adecuada.
Ver la sección 6.3 de “The basics of information security” (Fundamentos en seguridad de
la información).
B. Incorrecto. Asignar información a un propietario es el modo de clasificación, y no el
propósito.
C. Incorrecto. Reducir los riesgos de error humano es parte de los requisitos de
seguridad del personal.
D. Incorrecto. Prevenir acceso no autorizado a información es parte de la seguridad de
acceso.
25 de 40
Se necesita una autentificación fuerte para acceder a áreas altamente protegidas. En
el caso de una autentificación fuerte, la identidad de una persona se verifica utilizando
tres factores.
¿Qué factor es verificado cuando introducimos un número de identificación personal
(PIN)?
A. Algo parte de mi
B. Algo que yo tengo
C. Algo que yo conozco
A. Incorrecto. Un código PIN no es un ejemplo de algo parte de mí
B. Incorrecto. Un código PIN no es algo que tengo.
C. Correcto. Un código PIN es algo que conozco. Ver la sección 7.2.2.1 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
30
26 de 40
El acceso a la sala de informática se cierra mediante la utilización de un lector de
tarjeta. Sólo el departamento de Gestión de Sistemas tiene tarjetas.
¿Qué tipo de medida de seguridad es ésta?
A. una medida de seguridad correctiva
B. una medida de seguridad física
C. una medida de seguridad lógica
D. una medida de seguridad represiva
A. Incorrecto. Una medida de seguridad correctiva es una medida de recuperación.
B. Correcto. Es una medida de seguridad física. Ver la sección 7 de “The basics of information security” (Fundamentos en seguridad de la información).
C. Incorrecto. Una medida de seguridad lógica controla el acceso al software y a la
información, no el acceso físico a las salas.
D. Incorrecto. Una medida de seguridad represiva intenta minimizar las consecuencias
de un incidente.
27 de 40
Cuatro (4) miembros del personal del departamento de Informática comparten una (1)
tarjeta de acceso a la sala de informática.
¿Qué riesgo conlleva esto?
A. Si se va la luz, los ordenadores se apagan.
B. Si se declara un fuego, los extintores no pueden ser utilizados.
C. Si desaparece algo de la sala de informática, no estará claro quién es
responsable.
D. Las personas sin autorización pueden acceder a la sala de informática sin ser
vistas.
A. Incorrecto. Que se apaguen los ordenadores como resultado de un corte de luz no
tiene nada que ver con la gestión de acceso a la sala.
B. Incorrecto. Aunque sólo tenga una tarjeta, el personal de informática puede apagar
un fuego con un extintor.
C. Correcto. Aunque fuera evidente que alguien del departamento de informática
hubiese estado dentro, no se sabría quién. Ver la sección 7.2 de “The basics of information security” (Fundamentos en seguridad de la información).
D. Incorrecto. Nadie tiene acceso a la sala de informática sin una tarjeta.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
31
28 de 40
En la recepción de una oficina de administración hay una impresora que todo el
personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas
han de recogerse inmediatamente para que no se las pueda llevar un visitante.
¿Qué otro riesgo para la información de la empresa conlleva esta situación?
A. Los archivos pueden quedarse almacenados en la memoria de la impresora.
B. Los visitantes podrían copiar e imprimir información confidencial de la red.
C. Puede estropearse la impresora con un uso excesivo, con lo que no podría
utilizarse más.
A. Correcto. Si los archivos quedan almacenados en la memoria puede imprimirlos y
llevárselos cualquier persona que pase por recepción. Ver la sección 9.4.11 de “The basics of information security” (Fundamentos en seguridad de la información).
B. Incorrecto. No es posible utilizar una impresora para copiar información de la red.
C. Incorrecto. La indisponibilidad de una impresora no constituye un riesgo para la
información de la empresa.
29 de 40
¿Cuáles de las siguientes medidas de seguridad es una medida técnica?
1. Asignar información a un propietario
2. Archivos codificados
3. Crear una política que defina qué está y qué no está permitido vía correo
electrónico
4. Guardar las claves de acceso de la gestión de sistemas en una caja fuerte
A. 1
B. 2
C. 3
D. 4
A. Incorrecto. Asignar información a un propietario es clasificar, que es una medida
organizativa.
B. Correcto. Es una medida técnica que evita que personas no autorizadas lean la
información. Ver la sección 8.3 de “The basics of information security” (Fundamentos
en seguridad de la información).
C. Incorrecto. Es una medida organizativa; un código de conducta escrito en el
contrato de empleo.
D. Incorrecto. Es una medida organizativa.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
32
30 de 40
Las copias de seguridad del servidor central se guardan en la misma habitación
cerrada que el servidor.
¿A qué riesgo se enfrenta la organización?
A. Si se estropea el servidor, pasará un tiempo antes de que vuelva a estar
operativo.
B. Si se produce un fuego es imposible devolver el sistema a su estado anterior.
C. Nadie es responsable de copias de seguridad.
D. Las personas no autorizadas tienen un fácil acceso a las copias de seguridad.
A. Incorrecto. Al contrario, esto ayudaría a que el sistema estuviera operativo más
rápidamente.
B. Correcto. La posibilidad de que las copias de seguridad también resulten destruidas
en el fuego es muy alta. Ver la sección 9.4.7 de “The basics of information security”
(Fundamentos en seguridad de la información).
C. Incorrecto. La responsabilidad no tiene nada que ver con el lugar de almacenaje.
D. Incorrecto. La sala de informática está cerrada.
31 de 40
¿Cuál de las siguientes tecnologías es maliciosa?
A. la codificación
B. algoritmos hash
C. la Red Privada Virtual (VPN)
D. virus, gusanos informáticos y programas espía
A. Incorrecto. La codificación hace que la información sea ilegible para todos menos
para los que poseen un conocimiento especial, normalmente llamado clave de acceso.
B. Incorrecto. Los algoritmos hash son un método de codificación de información.
C. Incorrecto. VPN es una conexión de red segura en Internet.
D. Correcto. Todos son formas de software malicioso, que se introduce sin permiso en
un ordenador con fines maliciosos. Ver la sección 9.4.6 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
33
32 de 40
¿Qué medida no ayuda contra el software malicioso?
A. una política de parches activa
B. un programa antiespías
C. un filtro de correo basura
D. una contraseña
A. Incorrecto. El software malicioso utiliza a menudo errores de programación en el
software. Los parches repararan los fallos de seguridad del software, y así reducen
las posibilidades de infección con software malicioso.
B. Incorrecto. Un programa espía es un programa malicioso que recoge información
confidencial almacenada en un ordenador y la distribuye. Un programa antiespías
puede detectar el software malicioso en un ordenador.
C. Incorrecto. El correo basura es correo electrónico no deseado. A menudo es
simplemente publicidad, pero también puede contener software malicioso adjunto o un
enlace a una web con software malicioso. Un filtro de correo basura elimina este tipo
de correo.
D. Correcto. Una contraseña es una forma de autentificación. No bloquea ningún
software malicioso. Ver la sección 8.1.2.1 de “The basics of information security”
(Fundamentos en seguridad de la información).
33 de 40
¿Cuál de estos es un ejemplo de medida organizativa?
A. copia de seguridad
B. codificación
C. segregación de deberes
D. guardar el equipo de red y las cajas de conexiones eléctricas en una habitación
cerrada
A. Incorrecto. Hacer copias de seguridad de los datos es una medida técnica.
B. Incorrecto. La codificación de datos es una medida técnica.
C. Correcto. La segregación de deberes es una medida organizativa. Las
responsabilidades de inicio, ejecución y control son asignadas a diferentes personas.
Por ejemplo, la transferencia de una gran cantidad de dinero es preparada por un
administrativo, el director financiero realiza el pago y un contable audita la transacción.
Ver la sección 9.4.3 de “The basics of information security” (Fundamentos en
seguridad de la información).
D. Incorrecto. Cerrar habitaciones es una medida de seguridad física.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
34
34 de 40
La Identificación es establecer si la identidad de alguien es correcta.
¿Es correcta esta afirmación?
A. sí
B. no
A. Incorrecto. La Identificación es el proceso de revelar una identidad.
B. Correcto. Establecer si la identidad de alguien es correcta se denomina
autentificación. Ver la sección 8.1 de “The basics of information security”
(Fundamentos en seguridad de la información).
35 de 40
¿Por qué es necesario tener un plan de recuperación de desastres actualizado y
probarlo con regularidad?
A. Para tener siempre acceso a copias de seguridad recientes que están localizadas
fuera de la oficina.
B. Para poder sobrellevar los fallos que ocurren diariamente.
C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas
establecidas y los procedimientos planeados pueden no resultar adecuados o
pueden estar desactualizados.
D. Porque la Ley de protección de datos personales lo requiere.
A. Incorrecto. Ésta es una de las medidas técnicas establecidas para recuperar un
sistema.
B. Incorrecto. En caso de incidentes normales, las medidas normalmente utilizadas y
los procedimientos ante un incidente son suficientes.
C. Correcto. Un incidente de grandes proporciones requiere un plan probado y
actualizado. Ver la sección 9.3 de “The basics of information security” (Fundamentos
en seguridad de la información).
D. Incorrecto. La Ley de protección de datos personales regula a la privacidad de los
datos personales.
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
35
36 de 40
¿Qué es la autorización?
A. La determinación de la identidad de una persona.
B. El conjunto de las acciones llevadas a cabo para acceder.
C. La verificación de la identidad de una persona.
D. Garantizar derechos específicos, tales como acceso selectivo, a una persona.
A. Incorrecto. La determinación de la identidad de una persona se denomina
identificación.
B. Incorrecto. El registro de las acciones llevadas a cabo se denomina logging.
C. Incorrecto. La verificación de la identidad de una persona se denomina
autentificación.
D. Correcto. Garantizar derechos específicos, tales como el acceso selectivo, a una
persona se denomina autorización. Ver la sección 8.1 de “The basics of information security” (Fundamentos en seguridad de la información).
37 de 40
¿Qué importante norma jurídica en el área de la seguridad de la información ha de
contemplar el gobierno?
A. Análisis de dependencia y vulnerabilidad
B. ISO/IEC 20000
C. ISO/IEC 27002
D. Legislación o normas nacionales sobre seguridad de la información
A. Incorrecto. El análisis de dependencia y vulnerabilidad es un método de análisis de
riesgos.
B. Incorrecto. El ISO/IEC 20000 es un estándar para organizar la gestión de servicios
informáticos y no es obligatoria.
C. Incorrecto. El ISO/IEC 27002 es el Código de buenas prácticas para la Seguridad
de la Información. Es una guía para organizar la seguridad de la información y no es
obligatoria.
D. Correcto. La legislación o normas nacionales sobre seguridad de la información
están promulgadas por los gobiernos nacionales y son obligatorias. Ver la sección 10
de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
36
38 de 40
¿En base a qué legislación puede alguien pedir la inspección de datos que han sido
registrados sobre su persona?
A. La ley de Registro público
B. La ley de Protección de datos personales
C. La ley de Delitos informáticos
D. La ley de Acceso público a información del gobierno
A. Incorrecto. La ley de Registro público regula el almacenaje y destrucción de
documentos de archivo.
B. Correcto. El derecho a la inspección está regulado por la ley de Protección de datos
personales. Ver la sección 10.5 de “The basics of information security” (Fundamentos
en seguridad de la información).
C. Incorrecto. La ley de Delitos informáticos es un cambio del Código Penal y el
Código Procesal Penal para facilitar la persecución de delitos perpetrados mediante
las tecnologías de la información avanzadas. Un ejemplo de un delito nuevo es el
pirateo informático (hacking).
D. Incorrecto. La ley de Acceso público a información del gobierno regula la
inspección de documentos escritos del gobierno. Los datos personales no son un
documento del gobierno.
39 de 40
El Código para la seguridad de la información (ISO/IEC 27002) es una descripción de
un método de análisis de riesgos.
¿Es esta afirmación correcta?
A. sí
B. no
A. Incorrecto. El Código para la seguridad de la información es una colección de
buenas prácticas.
B. Correcto. El Código para la seguridad de la información puede ser utilizado en un
análisis de riesgos, pero no es un método. Ver la sección 9.1 de “The basics of information security” (Fundamentos en seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
37
40 de 40
El Código para la seguridad de la información (ISO/IEC 27002) sólo es aplicable a
grandes empresas.
¿Es esta afirmación correcta?
A. sí
B. no
A. Incorrecto. El Código para la seguridad de la información es aplicable a todo tipo de
organizaciones, grandes y pequeñas.
B. Correcto. El Código para la seguridad de la información es aplicable a todo tipo de
organizaciones, grandes y pequeñas. Ver la sección 9.1 de “The basics of información security” (Fundamentos de la seguridad de la información).
Examen tipo Fundamentos de Seguridad de la Información basado en
ISO / IEC 27002 (ISFS.LA)
38
Evaluación
La siguiente tabla muestra las respuestas correctas a las preguntas en este examen
de muestra.
número respuesta puntos número respuesta puntos
1 C 1 21 D 1
2 A 1 22 B 1
3 C 1 23 D 1
4 C 1 24 A 1
5 B 1 25 C 1
6 D 1 26 B 1
7 A 1 27 C 1
8 B 1 28 A 1
9 A 1 29 B 1
10 D 1 30 B 1
11 A 1 31 D 1
12 C 1 32 D 1
13 C 1 33 C 1
14 C 1 34 B 1
15 B 1 35 C 1
16 D 1 36 D 1
17 B 1 37 D 1
18 B 1 38 B 1
19 A 1 39 B 1
20 D 1 40 B 1