Cuestionario Auditoria para Examen

Cuando se habla de “prevención”, “mitigación” o “transferencia”, en el análisis
de riesgos se trata de:

Etapas para el análisis de riesgos
Medidas de seguridad informática
Tipos de activos dentro del sistema
Pregunta
Seleccione una opción.
El análisis de riesgos inicia identificando los activos que pueden ser bases de
datos, software, mobiliario o equipo de cómputo.
Falso, el software utilizado por la organización no almacena información.
Falso, el mobiliario no es parte del sistema informático de la organización.
Verdadero, estos elementos tienen valor financiero para la organización.
Pregunta
Al estar sentado frente a la computadora es importante mantener __________.
los horarios de comida
la concentración
una postura relajada
Pregunta
Si un trabajador realiza sus entregas puntualmente y con buena calidad, pero es
deshonesto e irrespetuoso, puede decirse que carece de:
Valores laborales
Educación básica
Ética profesional
Pregunta
¿Cuál de las siguientes medidas NO representa una medida de seguridad y salud
laboral?
Mantén tu espacio de trabajo ventilado y con buena iluminación
Revisar las conexiones y cables eléctricos de tus equipos
Respetar los accesos y salidas del personal evitando invadirlos
Pregunta
La aplicación del código ético trae beneficios para los empleados en el ambiente
laboral, de la siguiente lista ¿cuál elemento no pertenece a éstos beneficios?
Aumento de la calidad de vida en general
Claridad en criterios de toma de decisiones
Imparcialidad en las relaciones y contratos
Pregunta
Debes cuidar tu postura al pasar tiempos prolongados sentado frente a la
computadora. De las siguientes medidas ¿cuáles son correctas?
I. Mantener la cabeza en alto
II. Conservar una distancia de 20 cm del monitor
III. Tener un ángulo de 45°al flexionar tu brazo y antebrazo
IV. Recargar tu espalda en la silla
V. Apoyar firmemente los pies al piso
I, III y V
I, IV y V
I, III y IV
Pregunta
De la siguiente lista, ¿qué elementos representan valores que ayudan en el ámbito
laboral?
I. Honestidad
II. Seguridad
III. Confianza
IV. Respeto
V. Tolerancia
II, III y IV
I, II y V
I, IV y V
Pregunta
Ordena correctamente las etapas del proceso de análisis de riesgos informáticos.
I. Identificar activos
II. Elaborar informe
III. Identificar vulnerabilidades y amenazas
IV. Evaluar riesgos
V. Valorar activos
I,III,V,IV,II
I,V,III,IV,II
IV,I,II,V,III
Pregunta
¿Cuál de los siguientes no representa un motivo importante para invertir en
medidas de seguridad?
Gozar buena salud
Ser más productivo
Mejorar la calidad
Enviar r
Gozar buena salud
Mejorar la calidad
Ser más productivo
Pregunta
La estimación con base en el impacto y la probabilidad de que ocurran las
amenazas permite determinar:
El nivel de las vulnerabilidades
Si la amenaza puede ocurrir
Si un riesgo es aceptable o no
Pregunta
Al trabajar en casa u oficina, es importante conectar los equipos a un regulador
porque:
Evitas perder información y archivos valiosos del cliente
Disminuyes el costo por el consumo de energía eléctrica
Proteges el equipo de cómputo de variaciones de voltaje
Pregunta
Cuando se habla de “prevención”, “mitigación” o “transferencia”, en el análisis
de riesgos se trata de:
Etapas para el análisis de riesgos
Tipos de activos dentro del sistema
Medidas de seguridad informática
Pregunta
El análisis de riesgos inicia identificando los activos que pueden ser bases de
datos, software, mobiliario o equipo de cómputo.
Falso, el software utilizado por la organización no almacena información.
Verdadero, estos elementos tienen valor financiero para la organización.
Falso, el mobiliario no es parte del sistema informático de la organización.
Pregunta
I, IV y V
I, III y IV
I, III y V
Pregunta
¿Cuál de las siguientes medidas NO representa una medida de seguridad y salud
laboral?
Respetar los accesos y salidas del personal evitando invadirlos
Revisar las conexiones y cables eléctricos de tus equipos
Mantén tu espacio de trabajo ventilado y con buena iluminación
Pregunta
Después de identificar los activos se deben valorar, ¿Cuál de los siguientes NO es
un criterio para determinar su valor?
Costo/Beneficio
Disponibilidad
Confidencialidad
Pregunta
Si un trabajador realiza sus entregas puntualmente y con buena calidad, pero es
deshonesto e irrespetuoso, puede decirse que carece de:
Educación básica
Ética profesional
Valores laborales
Pregunta
IV. Evaluar riesgos
V. Valorar activos
IV,I,II,V,III
I,III,V,IV,II
I,V,III,IV,II
Resultados de la pregunta
Los principios son acuerdos que garantizan la dignidad y equidad de un grupo de
personas, por lo tanto los siguientes son ejemplos de principios:
I. Limpieza de la zona de trabajo para evitar riesgos y problemas a la salud
física y mental
II. Honradez y transparencia en cada nivel de trabajo e integración con la
empresa
III. Confidencialidad en el manejo de la información de la empresa y los clientes
IV. Puntualidad en los accesos y salidas dentro de la jornada y días laborales
Respuesta del usuario:
II y III
Resultado:
¡Correcto!
esultados de la pregunta
La ética profesional son las normas y obligaciones que regulan nuestra conducta
en el trabajo y ayudan a reflejar:
Profesionalismo
Resultado:
¡Correcto!
Después de identificar los activos se deben valorar, ¿Cuál de los siguientes NO es
un criterio para determinar su valor?
Costo/Beneficio
Resultado:
¡Correcto!
de la pregunta
ultados de la pregunta
Mejorar la calidad
Resultado:
¡Correcto!
En el proceso de análisis de riesgos es necesario identificar los activos y
valorarlos para poder:
Identificar sus vulnerabilidades y amenazas
Resultado:
¡Correcto!
Si la mesa donde está tu computadora está muy alta y por lo tanto tus pies no
pueden apoyarse de manera adecuada en el suelo, debes:
Colocar un soporte
Resultado:
¡Correcto!
¿Cuál de los siguientes beneficios están relacionados con la aplicación del código
de ética?
I. Prevención de conflicto entre empleados
II. Un sentido de pertenencia e identidad
III. Mejora en la calidad de vida en general
IV. Imparcialidad en la relaciones y contratos
V. Mejores prestaciones y remuneraciones
I y III
Resultado:
¡Correcto!
La estimación con base en el impacto y la probabilidad de que ocurran las
amenazas permite determinar:
Si un riesgo es aceptable o no
Resultado:
¡Correcto!
I, IV y V
Resultado:
¡Correcto!
Mejorar la calidad
Resultado:
¡Correcto!
IV. Evaluar riesgos
V. Valorar activos
I,V,III,IV,II
Resultado:
¡Correcto!
Al estar sentado frente a la computadora es importante mantener __________.
una postura relajada
Resultado:
¡Correcto!
Observa las siguientes imágenes e identifica cuál de ellas muestra la postura
correcta para trabajar en la computadora:
Resultado:
¡Correcto!
La aplicación del código ético trae beneficios para los empleados en el ambiente
laboral, de la siguiente lista ¿cuál elemento no pertenece a éstos beneficios?
Aumento de la calidad de vida en general
Resultado:
¡Correcto!
sultados de la pregunta
Algunos de los aspectos que deben enfocarse a cubrir las medidas y políticas de
seguridad son:
I. Confidencialidad
II. Imprevisibilidad
III. Autentificación
I y III
Resultado:
¡Correcto!
De los datos que se deben incluir en la valoración ¿cuál explica las características
del activo?
Descripción
Resultado:
¡Correcto!
Si en una red corporativa se pierden datos del sistema y a pesar de recuperar la
información NO se logra identificar a la persona que realizó los cambios, faltan
medidas de:
Autentificación
Resultado:
¡Correcto!
¿Cuál de los siguientes elementos NO pertenece a los activos de un sistema
informático?
Mobiliario de oficina
Resultado:
¡Correcto!
La valoración de activos se lleva acabo asignando un valor en escala de 1 a 5,
¿qué características son las que se evalúan?
I. Autenticidad
II. Confidencialidad
III. Disponibilidad
IV. Fiabilidad
V. Integridad
II, III y V
Resultado:
¡Correcto!
Observando la siguiente tabla de valoración de activos y responde lo siguiente:
De los activos valorados con nivel cuatro, ¿cuál requiere menos medidas de
seguridad para garantizar su integridad?
Computadoras
Resultado:
¡Correcto!
Observando la siguiente tabla de valoración de activos y responde lo siguiente:
De los activos valorados con nivel cuatro, ¿cuál requiere menos medidas de
seguridad para garantizar su integridad?
Computadoras
Equipo de redes
Sistema operativo
Pregunta
Cuando decimos que una persona debe poder acceder en todo momento al
sistema, evitando retrasos o caídas de la red, y encontrar la información que
requiere para sus labores, hablamos de:
Confidencialidad
Integridad
Disponibilidad
- Contactos de datos del personal
- Agenda electrónica de la empresa
- Videos de presentación
Valiosa
Crítica
Sensible
Pregunta
¿Cuáles de los siguientes datos se deben incluir en una valoración?
I. Tipo de activo
II. Descripción
III. Estado físico
IV. Propietario
V. Cantidad
VI. Localización
VII. Identificación del activo
I, III, IV, V y VI
I, II, III, V y VII
I, II, IV, VI y VII
Pregunta
Son medidas de seguridad para proteger los datos contra extravío o modificación
no autorizada:
Realizar copias de seguridad de datos periódicas
Registro de usuarios que acceden a los datos
Permitir el acceso sólo a personal autorizado
Pregunta
Algunos de los aspectos que deben enfocarse a cubrir las medidas y políticas de
seguridad son:
I. Confidencialidad
II. Imprevisibilidad
III. Autentificación
I y II
I y III
II y III
Pregunta
Cuando un hacker accede a una base datos y borra información de ella, puede
decirse que faltaron medidas para garantizar:
Confidencialidad de los datos
La Integridad de la información
La disponibilidad de base de datos
Enviar respuestas
Tu calificación: 100.00% (10 de 10).

Las vulnerabilidades de una base de datos son:
· No hay cifrado
· Mala planeación
· No hay control
Te piden asignar un valor de acuerdo al nivel de vulnerabilidad y encuentras que
todos son importantes, ya que sin uno de ellos no funcionaría adecuadamente la
base de datos, ¿qué valor asignarías a todos?
4
Resultado:
¡Correcto!
Un técnico en seguridad obtiene lo siguiente al hacer la evaluación del riesgo:
Cuando se hizo el análisis, ¿qué valor arrojó la multiplicación del valor del daño
y de la amenaza para que se considere como un riesgo alto?
Entre 12 y 16
Resultado:
¡Correcto!
En caso de que detectes que cierta información se está filtrando porque un intruso
está atacando al sistema, ¿qué tipo de amenaza se puede presentar?
Red
Resultado:
¡Correcto!
Si se repite información en la base de datos, ¿qué método usarías para estimar el
daño?
Semicuantitativo
Resultado:
¡Correcto!
Si no existe software de seguridad en las computadoras de la empresa, ¿qué tipo
de amenaza se puede presentar?
Robo de información
Resultado:
¡Correcto!
Si dejas tu equipo de cómputo sin vigilar, ¿qué tipo de amenaza se puede
presentar?
Factor humano
Resultado:
¡Correcto!
Si Karen roba información desde una computadora de la empresa ITSoluciones,
¿qué vulnerabilidad aprovechó?
Comunicaciones
Resultado:
¡Correcto!
Vladimir configuró los controles de seguridad de la empresa, pero dejó abierta su
cuenta, ¿qué vulnerabilidad se puede aprovechar?
Humana
Resultado:
¡Correcto!
Si el nivel de vulnerabilidad es de 3 y el impacto de amenaza es de 4, ¿cuál es la
estimación del riesgo?
Alto
Resultado:
¡Correcto!
Si el nivel de vulnerabilidad es de 3 y el impacto de amenaza es de 3, ¿cuál es la
estimación del riesgo?
Medio
Resultado:
¡Correcto!
Un técnico en seguridad elaboró la tabla siguiente:
Le falta proponer las medidas para las amenaza 1 y 2.
¿Qué medida puede recomendar en su informe para la amenaza 2?

Instalar un sistema de prevención de intrusiones (IDS)
Resultado:
¡Correcto!
La empresa en la que trabajas implementó lo siguiente:
Usuario Contraseña de la computadora

1 and23<+a1A
2 FDRdf12<+¡
3 69gyoOplo$5
¿Qué tipo de control es?

De accesos
Resultado:
¡Correcto!
Tipo de control que protege la información que fluye por las redes telemáticas
por medio de controles de red, acuerdos de intercambio y protección de
mensajería electrónica:
de telecomunicaciones
Resultado:
¡Correcto!
Control que verifica los cambios y gestiona las copias de seguridad del sistema:
de operación
Resultado:
¡Correcto!
Tipos de control que gestionan la entrada y salida de personal de la organización
(por ejemplo, mediante la investigación de antecedentes durante la contratación y
la capacitación del personal).
Controles de recursos humanos
Resultado:
¡Correcto!
Apartado de una política de seguridad que instaura los pasos que deben
seguirse para verificar que se cumplan los criterios de seguridad dentro de la
empresa.
Monitoreo
Resultado:
¡Correcto!
Apartado de una política de seguridad que define los actos que se consideran
faltas y las sanciones que corresponden a cada una de ellas.
Establecimiento de violaciones
Resultado:
¡Correcto!
Selecciona dos ejemplos de medidas activas.
Políticas de seguridad
Uso de firewalls
Resultado:
¡Correcto!
Controles que manejan todos los activos de una organización, su ubicación y
asignación al personal (por ejemplo, se hace mediante inventarios).
Controles de activos
Resultado:
¡Correcto
Resultado:
¡Correcto!
Control que verifica los cambios y gestiona las copias de seguridad del sistema:
de operación
Resultado:
¡Correcto!
Resultado:
¡Correcto!
Las medidas de seguridad ____________ son las que se ejecutan diariamente, en
todo momento.
Activas
Resultado:
¡Correcto!
Resultado:
¡Correcto!
Las medidas de seguridad ____________ son las que se ejecutan diariamente, en
todo momento.
Activas
Resultado:
¡Correcto!
Un técnico en seguridad elaboró la tabla siguiente:

Le falta proponer las medidas para las amenaza 1 y 2.
¿Qué medida puede recomendar en su informe para la amenaza 1?

Hacer respaldos periódicos de la información almacenada en el servidor
Resultado:
¡Correcto!
Resultado:
¡Correcto!
De las opciones siguientes, ¿cuál sería la contraseña más segura para encriptar un
archivo en dsCrypt?
9mLiTbog12
Resultado:
¡Correcto!
Por lo general, el objetivo de la ingeniería social es utilizar datos para obtener:
un beneficio económico
Resultado:
¡Correcto!
Un usuario llamado Juan Pérez trabaja en una empresa y desea crear una
contraseña para acceder a su computadora.
Si la computadora acepta claves con letras, números y caracteres especiales,

¿cuál de las siguientes contraseñas sería más segura?
jUAnPere2+1
Resultado:
¡Correcto!
Fase del SGSI en la que implementas los controles establecidos y se informa al
personal el por qué y para qué de dichos controles.
Ejecución
Resultado:
¡Correcto!
Los correos electrónicos pueden servir para aplicar el phishing. ¿Cuál es una
medida preventiva para que los usuarios de una red no sean víctimas de esto?
Verificar que los remitentes de los correos electrónicos sean confiables
Resultado:
¡Correcto!
¿Qué tipo de encriptación se muestra a continuación?
Llave A ---> Archivo encriptado ---> Llave A ---> Archivo desencriptado

Simétrica
Resultado:
¡Correcto!
La empresa en la que laboras implementa un SGSI a partir del 27 de octubre de
2015.
Se ha determinado que la fecha en la que se evaluará dicho SGSI es el 27 de

febrero de 2016.
¿Esa fecha es correcta o errónea?

Es errónea, porque deben pasar al menos 6 meses para poder evaluar al SGSI.
Resultado:
¡Correcto!
Es el método de encriptación en el que se usa una misma llave para encriptar y
desencriptar un archivo.
Encriptación simétrica
Resultado:
¡Correcto!

Cuestionario Auditoria para Examen

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cuestionario Auditoria para Examen

Enviado por

Direitos autorais:

Formatos disponíveis

Cuando se habla de “prevención”, “mitigación” o “transferencia”, en el análisis

de riesgos se trata de:

Observando la siguiente tabla de valoración de activos y responde lo siguiente:

Tu calificación: 100.00% (10 de 10).

Le falta proponer las medidas para las amenaza 1 y 2.

¿Qué medida puede recomendar en su informe para la amenaza 2?

Usuario Contraseña de la computadora

¿Qué tipo de control es?

Un técnico en seguridad elaboró la tabla siguiente:

¿Qué medida puede recomendar en su informe para la amenaza 1?

Si la computadora acepta claves con letras, números y caracteres especiales,

Llave A ---> Archivo encriptado ---> Llave A ---> Archivo desencriptado

Se ha determinado que la fecha en la que se evaluará dicho SGSI es el 27 de

¿Esa fecha es correcta o errónea?

Você também pode gostar