Quiz: GRC FINAL (2º Bachillerato - Cultura clásica


GRC FINALOnline version Preguntas final GRC by Marcos Arranz Escudero 1 ¿La ciberseguridad persigue garantizar? a Autenticidad y Confidencialidad b Integridad y Disponibilidad c Auditabilidad d Todas las respuestas son correctas 2 La informacion puede ser a Destruida b Todas las opciones son correctas c Modificada d Revelada 3 ¿Que tipos de controles existen? a Deteccion, Informacion, Backup b Detencion y grabacion c Prevencion, Deteccion y Recuperacion d Monitorizacion, Proteccion y Backup 4 ¿Cuales de los siguientes son riesgos? a Inclumpimiento legal b Suplantacion identidad c Acceso no autorizado d Todas las respuestas son correctas 5 La proteccion es : a Gestionar el riesgo b Poner salvaguardas c Cumplir normas d Estar certificado 6 Los 5 ambitos de la ENC son : a Conocimiento, Riesgos, Planificacion, Monitorizacion y Comunicacion b Conocimiento, Riesgos, Planificacion, Accion y Organizacion c Divulgacion, Formacion, Accion, Prevencion y Organizacion d Asimilacion, Conservacion, Accion Inmediata y Reaccion 7 En el Ciberespacio : a Siempre se dejan trazas. Solo hay que saber buscarlas b Existen simetrias en las capacidades de ataque y defensa c Las leyes internacionales te protegen d Todas las respuestas son incorrectas 8 Vivimos en un mundo a TUCA b VUTA c CUVA d VUCA 9 Un ataque con una actividad masiva de peticiones al servidor alterando el servicio es : a DDaS b DoS c DNS d Gusano 10 Los principios rectores de la ENC son: a Unidad de Accion, Anticipacion, Eficiencia y Resiliencia b Persistencia, Accion, Anticipacion y Gestion c Anticipacion, Prevencion y Accion d Gestion, Anticipacion, Eficacia y Reaccion 11 ¿La información es aquella que está? a Impresa o escrita b Enviada por correo o en un fichero c En vídeo o en una conversación d Todas las respuestas son correctas 12 La trazabilidad es la cualidad de que todas las acciones realizadas sobre la información sean a Asociadas de modo inequívoco a un individuo o entidad b Almacenadas en servidores c Guardadas para su posterior análisis d Protegidas para evitar saber qué se hace con ella 13 Los SGSI se basan en un enfoque de a Conseguir la máxima seguridad b Gestión del riesgo c Implantar todos los controles de una norma d Todas las respuestas son correctas 14 Los objetivos de la NIS son: a Requisitos mínimos: capacidades ciber, intercambio Inf., cooperación b Requisitos seguridad comunes en: operadores de SE, proveedores de SD c Todas las respuestas son correctas d Disponer de un sistema de gestión de incidentes 15 ¿Qué soluciones ofrece ENISA? a Organizar ejercicios de gestión de crisis cibernéticas a escala europea b Todas las respuestas son correctas c Contribuir al desarrollo de estrategias nacionales de ciberseguridad. d Fomentar cooperación entre equipos de respuesta a emergencias informáticas 16 El ENS pretende generar a Protección de los datos de carácter personal b Protección en las Infraestructuras Críticas c Confianza en el uso de los medios electrónicos d Todas las respuestas son correctas 17 ¿Cuál de estas afirmaciones no es cierta en el contexto de las Infraestructuras Críticas? a Tiene un régimen sancionador b Mejora la prevención, preparación y respuesta frente atentados terroristas c Establece estrategias y estructuras para dirigir y coordinar actuaciones d Logra cooperación publico-privada 18 Los Operadores Críticos deberán: a Todas las respuestas son correctas b Realizar un Plan de Seguridad del Operador (PSO) c Realizar un Plan de Protección Específico (PPE) para cada una de las Inf. d Designar un Responsable de Seguridad y Enlace 19 Cuál no es un principio de la LOPDGDD a Los datos tienen que ser exactos b Deber de confidencialidad para el responsable del tratamiento c No se pueden hacer grabaciones privadas d Consentimiento expreso del titular de los datos para recabarlos y usarlos 20 Las sanciones por incumplimiento de la LOPDGDD a Se clasifican en: Leves, Graves y Muy Graves b Son de 20 Millones de Euros c Pueden ser de hasta el 4% de la facturación de la empresa d Todas las respuestas son correctas 21 Una infrestructura crítica es aquella que: a Todas las respuestas son correctas b Su funcionamineto es indispensable c No permite soluciones alternativas d Su perturbación tendría un grave impacto para los SE 22 ¿Cuales son los objetivos de la ley PIC? a Establecer estrategiias para dirigir y coordinar actuaciones de las AA.PP b Mejora la prevención, preparación y respuesta frente amenazas c Colaboración e implicación de los propietarios de las IC d Todas las respuestas son correctas 23 ¿Cual es el orden correcto de las frases de la NIST? a Proteger-Identificar-Responder-Detectar-Recuperar b Identificar-Proteger-Detectar-Responder-Recuperar c Identificar-Proteger-Responder-Recuperar-Detectar d Detectar-Proteger-Identificar-Responder-Recuperar 24 El ENSI establece a Un marco de control para la proteccion de los servicios esenciales b Un modelo de construccion de capacidades para la madurez industrial c Un modelo de proteccion de las infraestructuras criticas d Un modelo de proteccion de los datos personales 25 ¿En que se esta trabajando actualmente en materia de infraestructuras criticas? a En una nueva norma, real decreto o modificacion de uno existente b En un esquema de certificacion c Todas las respuestas son correctas d En un modelo de controles o medidas a implantar 26 Seleccione dos afirmaciones ciertas referentes a la ISO Escoge una o varias respuestas a Beneficiarse del conocimiento y las mejores prácticas de los expertos b Reducir los costes al usar mejor los recursos disponibles c Impone multas millonarias en caso de no cumplir los estandares d Es de obligatorio cumplimiento en las IC 27 ¿Cual NO es un organismo de normalizacion? a JISC b AENOR c CNPIC d BSI 28 Para entender una normativa debemos a Todas las respuestas son correctas b Entender que leemos, analizar indice y extraer controles y alcanc c Comprobar la vigencia del documento d Intentar entender los antecedentes 29 Los objetivos se definen en: a La norma b La politica c El procedimiento d La instruccion tecnica 30 ¿Cual es la estructura adecuada para un cuerpo normativo? a Norma-Politica-Procedimientos-Instrucciones Tecnicas b Politica-Norma-Procedimientos-Instrucciones Tecnicas c Politica-Procedimientos-Norma-Instrucciones Tecnicas d Norma-Procedimientos-Politica-Instrucciones Tecnicas 31 Un sistema de informacion esta compuesto por: a Organizacion, Tecnologia y Negocio b Sistemas de Informacion c Procesos de Negocio d Bases de Datos y Servidores 32 La certificacion de un SGSI se consigue a Certificando el cumplimiento de la iso 27002 b Todas las opciones son correctas c Certificando la ISO 27001 d Todas las opciones son incorrectas 33 Un SGSI pretende: a Preservar la CID de la informacion mediante gestion de riesgos b Garantizar riesgos son conocidos, asumidos, gestionados o minimizados c Integrarse en los procesos de negocio d Todas las opciones son correctas 34 Las fases de implantacion de un SGSI siguen un modelo: a C-D-A-P b P-C-D-A c P-D-C-A d P-D-A-C 35 Que plan no es parte de la fase PLAN a Definir el catalogo de servicios b Mantener los controles tecnicos c Realizar el Analisis de Riesgos d Definir el modelo de Coordinacion 36 Que respuesta no es parte de la fase DO a Implantacion de los proyectos resultantes del analisis de riesgos b Mantenimiento de las operaciones de seguridad c Definir los objetivos d Acciones periodicas de formacion y concienciacion 37 Que respuesta no es parte de la fase CHECK a Definir los roles y responsabilidades b Medicion y analisis de indicadores y metricas c Seguimiento de los controles d Realizacion de auditorias internas y externas 38 Que respuesta no es parte de la fase ACT a Realizar las acciones correctivas y preventivas b Implantacion de medidas de mejora c Seguimiento de las acciones d Mantenimiento de la operacion de seguridad 39 Dentro del alcance del SGSI la organizacion no debe: a Determinar el contexto interno y externo b Determinar que ambitos, areas, servicios o actividades van a formar el SGSI c Identificar el estado de madurez de los controles d Las partes interesadas relevantes para el SGSI y sus requisitos 40 La politica de seguridad debe: a Estar adecuada al proposito de la organizacion b Todas las opciones son correctas c Incluir los objetivos d Debe comunicarse 41 Analizar los riesgos sirve para: a Que se valoren las consecuencias potenciales b Todas las opciones son correctas c Se valore la probabilidad de que sucedan los riesgos d Se establezcan niveles de riesgo 42 El riesgo se define como: a El valor por la degradación b La probabilidad por el impacto c La probabilidad por la degradacion d La degradacion por el impacto 43 Un proceso de tratamiento de riesgos requiere: a Determinar que acciones son adecuadas b Establecer controles que se van a implantar c Todas las opciones son correctas d Realizar un plan de tratamiento de riesgo y aprobarlo por la direccion 44 ¿Cuales son las diferentes opciones existentes a la hora de trabajar un riesgo? a Asumir Transferir Mitigar b Asumir Evitar Transferir c Mitigar Transferir Modificar Controlar d Asumir Transferir Evitar Mitigar 45 Los objetivos de la seguridad deben: a Ser valuables medibles y vinculados a la politica de seguridad b Estar alineados con requerimientos establecidos y tratamiento de riesgo c Estar actualizados periodicamente d Todas las opciones son correctas 46 En la evaluacion del desempeño es necesario: a Establecer que documento hay que elaborar b Establecer que se va a medir con que metodo y cada cuanto c Realizar el analsis de riesgo d Hacer la formacion y concienciacion 47 Para que una metrica de seguridad sea util se debe: a Automatizar los procesos de obtencion y tratamiento b Hacer un seguimiento periodico c Identificar las realmente necesarias y alinearlas con los objetivos d Todas las opciones son correctas 48 El informe de revision por la Direccion debe: a Todas las opciones son incorrectas b Revisar las acciones realizadas desde la ultima revision c Realizar el analisis de riesgo d Establecer las metricas 49 Con la mejora continua se busca: a Todas las opciones son correctas b Mejorar la ideoneidad adecuacion y eficacia del SGSI de la organizacion c Gestionar las no conformidades a traves de acciones correctivas d Establecer un plan de mejora del SGSI 50 Cual es la opcion incorrecta si comparamos la nueva ISO 27001 con la anterior a Es menos descriptiva y prescriptiva b Da mayores libertades en la implementacion c La iso 27002 es la unica norma de referencia d La norma adopta un enfoque por procesos 51 Una métrica es: a Valor para medir el grado de cumplimiento de una medida b Un indicador c Valor concreto de los controles objeto de medición d Todas son correctas 52 Una auditoria debe contener: a La frecuencia, los métodos, las responsabilidades b La planificación y los informes c El alcance y los criterios d Todas son correctas 53 La revisión por la direccion debe ser: a Todas son incorrectas b Revisar el estado de cada uno de los controles del SGSI c Incluir el comportamiento del SGSI y el estado de las acciones planificadas d Dos opciones son correctas 54 Una acción correctiva es: a Una no conformidad detectada durante la auditoria b Acciones solo aplicables e incumplimientos legales c La destinada a eliminar problemas derivados de una no conformidad d Todas son correctas 55 La nueva ISO 27001 especifica un modelo que: a El AARR es más sencillo y real b Lenguaje más próximo a la gestión de TI e ISO 20000 c La definición de los objetivos en base a la política d Todas las opciones son correctas 56 La estructura de la ISO 27002 se establece según el siguiente orden: a Objetos de control, Dominios y Controles b Dominios, Objetos de control y Controles c Dominios, métricas y controles d Todas las opciones son correctas 57 Los tipos de controles de la ISO 27002 son: a Prevención b Todas son correctas c Detección d Corrección 58 La norma 27002 dicta que la clasificación de la información debe: a Ser clasificada en términos de la importancia de su revelación b Etiquetarse de acuerdo con el esquema de clasificación c Todas las opciones son correctas d Disponer de procedimientos de manipulación 59 La norma 27002 dicta que la seguridad física no debe: a Prevenir el acceso físico no autorizado, daño e interferencia b Prevenir perdidas, daños, robo y la interrupción de operaciones c Proteger activos fuera de las instalaciones d Todas las respuestas son incorrectas 60 La norma 27002 dicta que la relación con los proveedores debe: a Definir una política de seguridad de la información b Todas las opciones son correctas c Revisar el mantenimiento del nivel acordado de seguridad d Los requisitos de seguridad deben establecerse y acordarse 61 Elige las opciones verdaderas: a La ISO 27001 es el motor y la ISO 27002 un posible contenido b Se certifica la ISO 27002 c La certificación de la ISO 27002 garantiza la seguridad d La alta direccion no debe ser un actor activo de la seguridad 62 ¿Quién debe cumplir el ENS? a Las administraciones públicas y las empresas subcontratadas b Las administraciones publicas c Las administraciones públicas y cualquier empres d Todas las respuestas son correctas 63 El ENS desarrolla a La protección de las Infraestructuras en el uso de medios físicos b Proteger las Infraestructuras Criticas c La protección de la Infraestructuras en el uso de medios electrónicos d Todas las opciones son correctas 64 ¿Desde cuándo debería estar implantado el ENS? a 2018 b 2017 c 2019 d 2016 65 ¿Cuáles son principios básicos del ENS a La seguridad como proceso integral b Gestión de la seguridad basada en riesgos c Prevención Reacción y Recuperación d Todas son correctas 66 ¿Quién ha elaborado las instrucciones técnicas y guías de seguridad del ENS? a La AEPD b El CNPIC c El CCN d El CNI 67 Las medidas de seguridad se agrupan en a Organizativas, Operacionales y de Defensa b Organizativas, Operacionales y de Protección c Organizativas, de Continuidad y de Protección d De Gestión, Operacionales y de Protección 68 Los sistemas de información según el ENS se categorizan en a L1 L2 L3 L4 L5 b Muy Alto, Alto, Medio y Bajo c Muy Alto, Alto, Medio, Bajo y Muy Bajo d Alto, Medio y Bajo 69 Un sistema se categoriza en base a las siguientes dimensiones de seguridad a ACIDA b DEICT c DAIPT d DASCT 70 Un sistema de información será de categoría alta si a Dos de sus medios de seguridad alcanzan el nivel ALTO b Alguna de sus dimensiones de seguridad alcanza el nivel ALTO c Todas sus dimensiones de seguridad alcanzan el nivel ALTO d Todas son correctas 71 Selecciona las opciones correctas a Un sistema declarado básico requiere autoevaluación b Un sistema declarado medio requiere certificación c La certificación la da una entidad certificada del ENS por ENAC d Todas son correctas 72 Los operadores críticos deberán a Todas las respuestas son correctas b Realizar un plan de seguridad del operador c Realizar un plan de protección especifico PPE para cada una de las infraestructuras d Designar un responsable de seguridad y enlace 73 Una infraestructura critica es aquella que a Su perturbación tendría un grave impacto para los SE b Su funcionamiento es indispensable para el estado c No permite soluciones alternativas d Todas son correctas 74 ¿Cuál de estas afirmaciones no es cierta en el contexto de las IC? a Tienen un régimen sancionador b Mejora la prevención, preparación y respuesta frente atentados terroristas c Establece estrategias y estructuras para dirigir y coordinar actuaciones d Logra cooperación público-privada 75 El CNPIC tiene por objetivo a La protección de la privacidad de las IC b Coordinar las actividades de los agentes públicos y privados de la Ley PIC c La protección de los servicios esenciales solamente d Todas son correctas 76 Los objetivos de la NIS son a Requisitos mínimos: capacidades ciber, intercambio de información y cooperación b Requisitos de seguridad comunes en operadores de SE y proveedores de SD c Todas son correctas d Disponer de un sistema de gestión de incidentes 77 ¿Qué respuesta no es un pilar del sistema PIC? a Definición de un lenguaje común b Uso de herramientas de trabajo comunes c Mecanismos oficiales de comunicaciones d Subvencionar las medidas de protección a cargo del estado 78 ¿Cuáles son los objetivos de la Ley PIC? a Establecer estrategias para dirigir y coordinar actuaciones de las AAPP b Mejorar la prevención, preparación y respuesta frente amenazas c Colaboración e implicación de los propietarios d Todas son correctas 79 ¿Qué opción no es una clasificación de una infraestructura según el PIC? a Esencial b Critica c Alta d Complementaria 80 ¿Cuál es el orden correcto de las siguientes reglas? a PSO-PES-PPE-PAO b PES-PSO-PPE-PAO c PES-PPE-PSO-PAO d PES-PPE-PAO-PSO 81 Los CIRT que trabajaran en el cumplimiento de la Directiva NIS son a CCN-CERT b INCIBE-CERT c ESPDEF-CERT d Todas son correctas 82 Una vulnerabilidad es a La posibilidad de ocurrencia de una amenaza sobre un activo b La posibilidad de ocurrencia de un riesgo sobre un activo c La posibilidad de salvaguardar un activo d Todas las opciones son correctas 83 En la valoración de un activo puedes valorar a La reposición b La reconstrucción c Todas las opciones son correctas d Lucro cesante 84 ¿Qué es un activo? a Cualquier elemento que tenga valor para la organización b Son los recursos del sistema de información c Elementos para que la organización funcione correctamente d Todas las opciones son correctas 85 Una amenaza es a Un daño realizado b La probabilidad de causar un daño c Causa potencial de un incidente no deseado, que puede provocar daños d Todas las opciones son correctas 86 La degradación a Es la pérdida de valor de un activo por materialización de amenaza b Todas las opciones son correctas c No puede ser superior a su valor d No puede ser negativa 87 El impacto a Es el coste que supone la materialización de una amenaza b Es la perdida posible c El coste puede ser medido de cualquier forma d Todas las opciones son correctas 88 ¿Qué es el riesgo? a Probabilidad por amenaza b Probabilidad por impacto c Probabilidad por salvaguarda d Todas las opciones son incorrectas 89 ¿Porque se hace un AARR? a Para decidir qué proyectos ejecutar b Todas las opciones son correctas c Para saber dónde estamos y a donde vamos d Para justificar inversiones 90 El control ideal es a Intrusivo para lograr que se implante b Cuanto más caro más seguro c Todas las opciones son incorrectas d Un buen control no es fácil de usar 91 Un control puede ser a Correctivo b Preventivo o disuasorio c Detectivo d Todas son correctas 92 ¿Cuáles son los elementos de la teoría de la comunicación? a Innovación – Imaginación - Transmisión b Volumen-Utilidad-Duración c Todas las opciones son incorrectas d Emisor-Receptor-Mensaje-Canal 93 ¿Qué aspectos debemos controlar en la comunicación? a La emoción b Lenguaje no verbal c Todas las opciones son correctas d La voz 94 En la comunicación la atención: a El profesor no tiene un papel importante b Los tiempos de atención del receptor no son importantes c El ambiente no es importante en la comunicación d Todas las opciones son incorrectas 95 En la comunicación la utilidad del mensaje es: a Indiferente para que sea recordado b Fundamental para que se recuerde mejor c Todas las opciones son correctas d Importante, pero sigue necesitando impactos constantes 96 La memoria implícita es a Mucho más persistente que la explicita b También se llama emocional c Crea recuerdos más potentes d Todas las opciones son correctas 97 Los neurocientíficos afirman que a Sentimos más que pensamos b Todas las opciones son correctas c La emoción es crucial para la toma de decisiones d El cerebro trata de creer todo lo que se le dice 98 Si piensas que la tecnología puede solucionar tus problemas… a No entiendes los problemas b No entiendes la tecnología c No entiendes la importancia de las personas d Todas las opciones son correctas 99 La seguridad de la información es: a Un proceso continuo b Una utopía c La instalación de tecnología de seguridad únicamente d Todas las opciones son correctas

1

¿La ciberseguridad persigue garantizar?

a

Autenticidad y Confidencialidad

b

Integridad y Disponibilidad

c

Auditabilidad

d

Todas las respuestas son correctas

2

La informacion puede ser

a

Destruida

b

Todas las opciones son correctas

c

Modificada

d

Revelada

3

¿Que tipos de controles existen?

a

Deteccion, Informacion, Backup

b

Detencion y grabacion

c

Prevencion, Deteccion y Recuperacion

d

Monitorizacion, Proteccion y Backup

4

¿Cuales de los siguientes son riesgos?

a

Inclumpimiento legal

b

Suplantacion identidad

c

Acceso no autorizado

d

Todas las respuestas son correctas

5

La proteccion es :

a

Gestionar el riesgo

b

Poner salvaguardas

c

Cumplir normas

d

Estar certificado

6

Los 5 ambitos de la ENC son :

a

Conocimiento, Riesgos, Planificacion, Monitorizacion y Comunicacion

b

Conocimiento, Riesgos, Planificacion, Accion y Organizacion

c

Divulgacion, Formacion, Accion, Prevencion y Organizacion

d

Asimilacion, Conservacion, Accion Inmediata y Reaccion

7

En el Ciberespacio :

a

Siempre se dejan trazas. Solo hay que saber buscarlas

b

Existen simetrias en las capacidades de ataque y defensa

c

Las leyes internacionales te protegen

d

Todas las respuestas son incorrectas

8

Vivimos en un mundo

a

TUCA

b

VUTA

c

CUVA

d

VUCA

9

Un ataque con una actividad masiva de peticiones al servidor alterando el servicio es :

a

DDaS

b

DoS

c

DNS

d

Gusano

10

Los principios rectores de la ENC son:

a

Unidad de Accion, Anticipacion, Eficiencia y Resiliencia

b

Persistencia, Accion, Anticipacion y Gestion

c

Anticipacion, Prevencion y Accion

d

Gestion, Anticipacion, Eficacia y Reaccion

11

¿La información es aquella que está?

a

Impresa o escrita

b

Enviada por correo o en un fichero

c

En vídeo o en una conversación

d

Todas las respuestas son correctas

12

La trazabilidad es la cualidad de que todas las acciones realizadas sobre la información sean

a

Asociadas de modo inequívoco a un individuo o entidad

b

Almacenadas en servidores

c

Guardadas para su posterior análisis

d

Protegidas para evitar saber qué se hace con ella

13

Los SGSI se basan en un enfoque de

a

Conseguir la máxima seguridad

b

Gestión del riesgo

c

Implantar todos los controles de una norma

d

Todas las respuestas son correctas

14

Los objetivos de la NIS son:

a

Requisitos mínimos: capacidades ciber, intercambio Inf., cooperación

b

Requisitos seguridad comunes en: operadores de SE, proveedores de SD

c

Todas las respuestas son correctas

d

Disponer de un sistema de gestión de incidentes

15

¿Qué soluciones ofrece ENISA?

a

Organizar ejercicios de gestión de crisis cibernéticas a escala europea

b

Todas las respuestas son correctas

c

Contribuir al desarrollo de estrategias nacionales de ciberseguridad.

d

Fomentar cooperación entre equipos de respuesta a emergencias informáticas

16

El ENS pretende generar

a

Protección de los datos de carácter personal

b

Protección en las Infraestructuras Críticas

c

Confianza en el uso de los medios electrónicos

d

Todas las respuestas son correctas

17

¿Cuál de estas afirmaciones no es cierta en el contexto de las Infraestructuras Críticas?

a

Tiene un régimen sancionador

b

Mejora la prevención, preparación y respuesta frente atentados terroristas

c

Establece estrategias y estructuras para dirigir y coordinar actuaciones

d

Logra cooperación publico-privada

18

Los Operadores Críticos deberán:

a

Todas las respuestas son correctas

b

Realizar un Plan de Seguridad del Operador (PSO)

c

Realizar un Plan de Protección Específico (PPE) para cada una de las Inf.

d

Designar un Responsable de Seguridad y Enlace

19

Cuál no es un principio de la LOPDGDD

a

Los datos tienen que ser exactos

b

Deber de confidencialidad para el responsable del tratamiento

c

No se pueden hacer grabaciones privadas

d

Consentimiento expreso del titular de los datos para recabarlos y usarlos

20

Las sanciones por incumplimiento de la LOPDGDD

a

Se clasifican en: Leves, Graves y Muy Graves

b

Son de 20 Millones de Euros

c

Pueden ser de hasta el 4% de la facturación de la empresa

d

Todas las respuestas son correctas

21

Una infrestructura crítica es aquella que:

a

Todas las respuestas son correctas

b

Su funcionamineto es indispensable

c

No permite soluciones alternativas

d

Su perturbación tendría un grave impacto para los SE

22

¿Cuales son los objetivos de la ley PIC?

a

Establecer estrategiias para dirigir y coordinar actuaciones de las AA.PP

b

Mejora la prevención, preparación y respuesta frente amenazas

c

Colaboración e implicación de los propietarios de las IC

d

Todas las respuestas son correctas

23

¿Cual es el orden correcto de las frases de la NIST?

a

Proteger-Identificar-Responder-Detectar-Recuperar

b

Identificar-Proteger-Detectar-Responder-Recuperar

c

Identificar-Proteger-Responder-Recuperar-Detectar

d

Detectar-Proteger-Identificar-Responder-Recuperar

24

El ENSI establece

a

Un marco de control para la proteccion de los servicios esenciales

b

Un modelo de construccion de capacidades para la madurez industrial

c

Un modelo de proteccion de las infraestructuras criticas

d

Un modelo de proteccion de los datos personales

25

¿En que se esta trabajando actualmente en materia de infraestructuras criticas?

a

En una nueva norma, real decreto o modificacion de uno existente

b

En un esquema de certificacion

c

Todas las respuestas son correctas

d

En un modelo de controles o medidas a implantar

26

Seleccione dos afirmaciones ciertas referentes a la ISO

Escoge una o varias respuestas

a

Beneficiarse del conocimiento y las mejores prácticas de los expertos

b

Reducir los costes al usar mejor los recursos disponibles

c

Impone multas millonarias en caso de no cumplir los estandares

d

Es de obligatorio cumplimiento en las IC

27

¿Cual NO es un organismo de normalizacion?

a

JISC

b

AENOR

c

CNPIC

d

BSI

28

Para entender una normativa debemos

a

Todas las respuestas son correctas

b

Entender que leemos, analizar indice y extraer controles y alcanc

c

Comprobar la vigencia del documento

d

Intentar entender los antecedentes

29

Los objetivos se definen en:

a

La norma

b

La politica

c

El procedimiento

d

La instruccion tecnica

30

¿Cual es la estructura adecuada para un cuerpo normativo?

a

Norma-Politica-Procedimientos-Instrucciones Tecnicas

b

Politica-Norma-Procedimientos-Instrucciones Tecnicas

c

Politica-Procedimientos-Norma-Instrucciones Tecnicas

d

Norma-Procedimientos-Politica-Instrucciones Tecnicas

31

Un sistema de informacion esta compuesto por:

a

Organizacion, Tecnologia y Negocio

b

Sistemas de Informacion

c

Procesos de Negocio

d

Bases de Datos y Servidores

32

La certificacion de un SGSI se consigue

a

Certificando el cumplimiento de la iso 27002

b

Todas las opciones son correctas

c

Certificando la ISO 27001

d

Todas las opciones son incorrectas

33

Un SGSI pretende:

a

Preservar la CID de la informacion mediante gestion de riesgos

b

Garantizar riesgos son conocidos, asumidos, gestionados o minimizados

c

Integrarse en los procesos de negocio

d

Todas las opciones son correctas

34

Las fases de implantacion de un SGSI siguen un modelo:

a

C-D-A-P

b

P-C-D-A

c

P-D-C-A

d

P-D-A-C

35

Que plan no es parte de la fase PLAN

a

Definir el catalogo de servicios

b

Mantener los controles tecnicos

c

Realizar el Analisis de Riesgos

d

Definir el modelo de Coordinacion

36

Que respuesta no es parte de la fase DO

a

Implantacion de los proyectos resultantes del analisis de riesgos

b

Mantenimiento de las operaciones de seguridad

c

Definir los objetivos

d

Acciones periodicas de formacion y concienciacion

37

Que respuesta no es parte de la fase CHECK

a

Definir los roles y responsabilidades

b

Medicion y analisis de indicadores y metricas

c

Seguimiento de los controles

d

Realizacion de auditorias internas y externas

38

Que respuesta no es parte de la fase ACT

a

Realizar las acciones correctivas y preventivas

b

Implantacion de medidas de mejora

c

Seguimiento de las acciones

d

Mantenimiento de la operacion de seguridad

39

Dentro del alcance del SGSI la organizacion no debe:

a

Determinar el contexto interno y externo

b

Determinar que ambitos, areas, servicios o actividades van a formar el SGSI

c

Identificar el estado de madurez de los controles

d

Las partes interesadas relevantes para el SGSI y sus requisitos

40

La politica de seguridad debe:

a

Estar adecuada al proposito de la organizacion

b

Todas las opciones son correctas

c

Incluir los objetivos

d

Debe comunicarse

41

Analizar los riesgos sirve para:

a

Que se valoren las consecuencias potenciales

b

Todas las opciones son correctas

c

Se valore la probabilidad de que sucedan los riesgos

d

Se establezcan niveles de riesgo

42

El riesgo se define como:

a

El valor por la degradación

b

La probabilidad por el impacto

c

La probabilidad por la degradacion

d

La degradacion por el impacto

43

Un proceso de tratamiento de riesgos requiere:

a

Determinar que acciones son adecuadas

b

Establecer controles que se van a implantar

c

Todas las opciones son correctas

d

Realizar un plan de tratamiento de riesgo y aprobarlo por la direccion

44

¿Cuales son las diferentes opciones existentes a la hora de trabajar un riesgo?

a

Asumir Transferir Mitigar

b

Asumir Evitar Transferir

c

Mitigar Transferir Modificar Controlar

d

Asumir Transferir Evitar Mitigar

45

Los objetivos de la seguridad deben:

a

Ser valuables medibles y vinculados a la politica de seguridad

b

Estar alineados con requerimientos establecidos y tratamiento de riesgo

c

Estar actualizados periodicamente

d

Todas las opciones son correctas

46

En la evaluacion del desempeño es necesario:

a

Establecer que documento hay que elaborar

b

Establecer que se va a medir con que metodo y cada cuanto

c

Realizar el analsis de riesgo

d

Hacer la formacion y concienciacion

47

Para que una metrica de seguridad sea util se debe:

a

Automatizar los procesos de obtencion y tratamiento

b

Hacer un seguimiento periodico

c

Identificar las realmente necesarias y alinearlas con los objetivos

d

Todas las opciones son correctas

48

El informe de revision por la Direccion debe:

a

Todas las opciones son incorrectas

b

Revisar las acciones realizadas desde la ultima revision

c

Realizar el analisis de riesgo

d

Establecer las metricas

49

Con la mejora continua se busca:

a

Todas las opciones son correctas

b

Mejorar la ideoneidad adecuacion y eficacia del SGSI de la organizacion

c

Gestionar las no conformidades a traves de acciones correctivas

d

Establecer un plan de mejora del SGSI

50

Cual es la opcion incorrecta si comparamos la nueva ISO 27001 con la anterior

a

Es menos descriptiva y prescriptiva

b

Da mayores libertades en la implementacion

c

La iso 27002 es la unica norma de referencia

d

La norma adopta un enfoque por procesos

51

Una métrica es:

a

Valor para medir el grado de cumplimiento de una medida

b

Un indicador

c

Valor concreto de los controles objeto de medición

d

Todas son correctas

52

Una auditoria debe contener:

a

La frecuencia, los métodos, las responsabilidades

b

La planificación y los informes

c

El alcance y los criterios

d

Todas son correctas

53

La revisión por la direccion debe ser:

a

Todas son incorrectas

b

Revisar el estado de cada uno de los controles del SGSI

c

Incluir el comportamiento del SGSI y el estado de las acciones planificadas

d

Dos opciones son correctas

54

Una acción correctiva es:

a

Una no conformidad detectada durante la auditoria

b

Acciones solo aplicables e incumplimientos legales

c

La destinada a eliminar problemas derivados de una no conformidad

d

Todas son correctas

55

La nueva ISO 27001 especifica un modelo que:

a

El AARR es más sencillo y real

b

Lenguaje más próximo a la gestión de TI e ISO 20000

c

La definición de los objetivos en base a la política

d

Todas las opciones son correctas

56

La estructura de la ISO 27002 se establece según el siguiente orden:

a

Objetos de control, Dominios y Controles

b

Dominios, Objetos de control y Controles

c

Dominios, métricas y controles

d

Todas las opciones son correctas

57

Los tipos de controles de la ISO 27002 son:

a

Prevención

b

Todas son correctas

c

Detección

d

Corrección

58

La norma 27002 dicta que la clasificación de la información debe:

a

Ser clasificada en términos de la importancia de su revelación

b

Etiquetarse de acuerdo con el esquema de clasificación

c

Todas las opciones son correctas

d

Disponer de procedimientos de manipulación

59

La norma 27002 dicta que la seguridad física no debe:

a

Prevenir el acceso físico no autorizado, daño e interferencia

b

Prevenir perdidas, daños, robo y la interrupción de operaciones

c

Proteger activos fuera de las instalaciones

d

Todas las respuestas son incorrectas

60

La norma 27002 dicta que la relación con los proveedores debe:

a

Definir una política de seguridad de la información

b

Todas las opciones son correctas

c

Revisar el mantenimiento del nivel acordado de seguridad

d

Los requisitos de seguridad deben establecerse y acordarse

61

Elige las opciones verdaderas:

a

La ISO 27001 es el motor y la ISO 27002 un posible contenido

b

Se certifica la ISO 27002

c

La certificación de la ISO 27002 garantiza la seguridad

d

La alta direccion no debe ser un actor activo de la seguridad

62

¿Quién debe cumplir el ENS?

a

Las administraciones públicas y las empresas subcontratadas

b

Las administraciones publicas

c

Las administraciones públicas y cualquier empres

d

Todas las respuestas son correctas

63

El ENS desarrolla

a

La protección de las Infraestructuras en el uso de medios físicos

b

Proteger las Infraestructuras Criticas

c

La protección de la Infraestructuras en el uso de medios electrónicos

d

Todas las opciones son correctas

64

¿Desde cuándo debería estar implantado el ENS?

a

2018

b

2017

c

2019

d

2016

65

¿Cuáles son principios básicos del ENS

a

La seguridad como proceso integral

b

Gestión de la seguridad basada en riesgos

c

Prevención Reacción y Recuperación

d

Todas son correctas

66

¿Quién ha elaborado las instrucciones técnicas y guías de seguridad del ENS?

a

La AEPD

b

El CNPIC

c

El CCN

d

El CNI

67

Las medidas de seguridad se agrupan en

a

Organizativas, Operacionales y de Defensa

b

Organizativas, Operacionales y de Protección

c

Organizativas, de Continuidad y de Protección

d

De Gestión, Operacionales y de Protección

68

Los sistemas de información según el ENS se categorizan en

a

L1 L2 L3 L4 L5

b

Muy Alto, Alto, Medio y Bajo

c

Muy Alto, Alto, Medio, Bajo y Muy Bajo

d

Alto, Medio y Bajo

69

Un sistema se categoriza en base a las siguientes dimensiones de seguridad

a

ACIDA

b

DEICT

c

DAIPT

d

DASCT

70

Un sistema de información será de categoría alta si

a

Dos de sus medios de seguridad alcanzan el nivel ALTO

b

Alguna de sus dimensiones de seguridad alcanza el nivel ALTO

c

Todas sus dimensiones de seguridad alcanzan el nivel ALTO

d

Todas son correctas

71

Selecciona las opciones correctas

a

Un sistema declarado básico requiere autoevaluación

b

Un sistema declarado medio requiere certificación

c

La certificación la da una entidad certificada del ENS por ENAC

d

Todas son correctas

72

Los operadores críticos deberán

a

Todas las respuestas son correctas

b

Realizar un plan de seguridad del operador

c

Realizar un plan de protección especifico PPE para cada una de las infraestructuras

d

Designar un responsable de seguridad y enlace

73

Una infraestructura critica es aquella que

a

Su perturbación tendría un grave impacto para los SE

b

Su funcionamiento es indispensable para el estado

c

No permite soluciones alternativas

d

Todas son correctas

74

¿Cuál de estas afirmaciones no es cierta en el contexto de las IC?

a

Tienen un régimen sancionador

b

Mejora la prevención, preparación y respuesta frente atentados terroristas

c

Establece estrategias y estructuras para dirigir y coordinar actuaciones

d

Logra cooperación público-privada

75

El CNPIC tiene por objetivo

a

La protección de la privacidad de las IC

b

Coordinar las actividades de los agentes públicos y privados de la Ley PIC

c

La protección de los servicios esenciales solamente

d

Todas son correctas

76

Los objetivos de la NIS son

a

Requisitos mínimos: capacidades ciber, intercambio de información y cooperación

b

Requisitos de seguridad comunes en operadores de SE y proveedores de SD

c

Todas son correctas

d

Disponer de un sistema de gestión de incidentes

77

¿Qué respuesta no es un pilar del sistema PIC?

a

Definición de un lenguaje común

b

Uso de herramientas de trabajo comunes

c

Mecanismos oficiales de comunicaciones

d

Subvencionar las medidas de protección a cargo del estado

78

¿Cuáles son los objetivos de la Ley PIC?

a

Establecer estrategias para dirigir y coordinar actuaciones de las AAPP

b

Mejorar la prevención, preparación y respuesta frente amenazas

c

Colaboración e implicación de los propietarios

d

Todas son correctas

79

¿Qué opción no es una clasificación de una infraestructura según el PIC?

a

Esencial

b

Critica

c

Alta

d

Complementaria

80

¿Cuál es el orden correcto de las siguientes reglas?

a

PSO-PES-PPE-PAO

b

PES-PSO-PPE-PAO

c

PES-PPE-PSO-PAO

d

PES-PPE-PAO-PSO

81

Los CIRT que trabajaran en el cumplimiento de la Directiva NIS son

a

CCN-CERT

b

INCIBE-CERT

c

ESPDEF-CERT

d

Todas son correctas

82

Una vulnerabilidad es

a

La posibilidad de ocurrencia de una amenaza sobre un activo

b

La posibilidad de ocurrencia de un riesgo sobre un activo

c

La posibilidad de salvaguardar un activo

d

Todas las opciones son correctas

83

En la valoración de un activo puedes valorar

a

La reposición

b

La reconstrucción

c

Todas las opciones son correctas

d

Lucro cesante

84

¿Qué es un activo?

a

Cualquier elemento que tenga valor para la organización

b

Son los recursos del sistema de información

c

Elementos para que la organización funcione correctamente

d

Todas las opciones son correctas

85

Una amenaza es

a

Un daño realizado

b

La probabilidad de causar un daño

c

Causa potencial de un incidente no deseado, que puede provocar daños

d

Todas las opciones son correctas

86

La degradación

a

Es la pérdida de valor de un activo por materialización de amenaza

b

Todas las opciones son correctas

c

No puede ser superior a su valor

d

No puede ser negativa

87

El impacto

a

Es el coste que supone la materialización de una amenaza

b

Es la perdida posible

c

El coste puede ser medido de cualquier forma

d

Todas las opciones son correctas

88

¿Qué es el riesgo?

a

Probabilidad por amenaza

b

Probabilidad por impacto

c

Probabilidad por salvaguarda

d

Todas las opciones son incorrectas

89

¿Porque se hace un AARR?

a

Para decidir qué proyectos ejecutar

b

Todas las opciones son correctas

c

Para saber dónde estamos y a donde vamos

d

Para justificar inversiones

90

El control ideal es

a

Intrusivo para lograr que se implante

b

Cuanto más caro más seguro

c

Todas las opciones son incorrectas

d

Un buen control no es fácil de usar

91

Un control puede ser

a

Correctivo

b

Preventivo o disuasorio

c

Detectivo

d

Todas son correctas

92

¿Cuáles son los elementos de la teoría de la comunicación?

a

Innovación – Imaginación - Transmisión

b

Volumen-Utilidad-Duración

c

Todas las opciones son incorrectas

d

Emisor-Receptor-Mensaje-Canal

93

¿Qué aspectos debemos controlar en la comunicación?

a

La emoción

b

Lenguaje no verbal

c

Todas las opciones son correctas

d

La voz

94

En la comunicación la atención:

a

El profesor no tiene un papel importante

b

Los tiempos de atención del receptor no son importantes

c

El ambiente no es importante en la comunicación

d

Todas las opciones son incorrectas

95

En la comunicación la utilidad del mensaje es:

a

Indiferente para que sea recordado

b

Fundamental para que se recuerde mejor

c

Todas las opciones son correctas

d

Importante, pero sigue necesitando impactos constantes

96

La memoria implícita es

a

Mucho más persistente que la explicita

b

También se llama emocional

c

Crea recuerdos más potentes

d

Todas las opciones son correctas

97

Los neurocientíficos afirman que

a

Sentimos más que pensamos

b

Todas las opciones son correctas

c

La emoción es crucial para la toma de decisiones

d

El cerebro trata de creer todo lo que se le dice

98

Si piensas que la tecnología puede solucionar tus problemas…

a

No entiendes los problemas

b

No entiendes la tecnología

c

No entiendes la importancia de las personas

d

Todas las opciones son correctas

99

La seguridad de la información es:

a

Un proceso continuo

b

Una utopía

c

La instalación de tecnología de seguridad únicamente

d

Todas las opciones son correctas

GRC FINAL

Quiz

Download the paper version to play

Created by

Top 10 results

Top Games

Quiz

Photosynthesis vs Cellular Respiration - Practice Quiz

Quiz

Spanish Alphabet Listening

Quiz

UPS 5 Seeing Habits Quiz

Quiz

Tissues - Practice Quiz

Quiz

Practice Quiz - Punnett Square, Variation, and Mutations