PREGUNTAS CERTIFICACION GERENCIA DE SEGURIDAD

DE INFORMACION

BANCO DE PREGUNTAS COBIT

N
PREGUNTA
o.
1. COBIT se basa en:
2 Principios
4 Principios
5 Principios
6 Principios
2. Cul de los siguientes, son catalizadores de COBIT?
Procesos
Seguridad
Informacin
Cobertura de la empresa
Personas, habilidades y competencias
3. El ciclo de vida de los catalizadores se basa en
EGSI
PDCA
ISO 27005
ISO 31000

BANCO DE PREGUNTAS ISO 27005/31000

N
PREGUNTA
o.
1. Qu norma se enfoca a la gestin de riesgos de
seguridades de informacin
ISO 27000
ISO 27005
ISO 1500
ISO 31000
2. En qu tipo de empresas se puede aplicar la ISO 31000
Privadas
Pblicas
Mixtas
Cualquier tipo de empresa
Otras
3. Al ser la ISO 31000 una norma padre, se puede decir
que contiene a la ISO 27005?

RESPUESTA

X
X
X

RESPUE
STA

Si
No
Parcialmente

1) Por qu es necesario implementar un proceso de tratamiento de

riesgos de seguridad de la informacin?
Para realizar un plan de tratamiento de riesgos
Para implantar los objetivos de seguridad de la informacin en todas las
actividades y categoras
Para conservar toda la documentacin que se genere en el proceso de
tratamiento de riesgos

2) En la identificacin de riesgos que componentes deben tomarse

en cuenta?
Determinacin
Determinacin
Determinacin
Determinacin

y
y
y
y

valoracin
valoracin
valoracin
valoracin

3) Por qu es
organizacional?

de
de
de
de

activos
amenazas
vulnerabilidades
controles existentes

necesario

el

establecimiento

del

contexto

Para una determinacin de los parmetros y condicionantes externos e

internos, que permiten encuadrar la poltica que se seguir para gestionar
los riesgos
Preguntas COBIT 5
1) Por qu es importante el factor de la cultura en seguridad de la
informacin?
Los comportamientos de todos los miembros de la empresa determinan
colectivamente la cultura de la empresa. Los grupos de inters en la
cultura, la tica y el comportamiento abarcan toda la empresa, cuando hay
que influir en la cultura, todos los grupos de inters deben tenerse en
cuenta. No slo el personal interno.

2) En la mayora de empresas, de quien es la responsabilidad del

gobierno y la gestin?
El gobierno es responsabilidad del Consejo de Administracin bajo la
direccin del Presidente y la gestin es responsabilidad de la Direccin
Ejecutiva bajo la direccin del Director General Ejecutivo (CEO).

3) En COBIT 5 para la Seguridad de la Informacin. Para qu son

usados los catalizadores?
COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la
implementacin de un sistema de gobierno y gestin de la seguridad de la
informacin para las TI y la informacin de la empresa.

Preguntas Gestin de Seguridades (Comparacin ISO 27005 y

31000)
1. Cules de las siguientes afirmaciones no corresponde a la tarea de
satisfacer las necesidades y expectativas de los ciudadanos?

a. Las normas sealan expresamente que pueden ser usadas en el

sector pblico
b. La adopcin de Normas ISO es una decisin estratgica en el
Gobierno. Puede tener principalmente los siguientes enfoques:
Adopcin legal y cumplimiento total respecto del contenido de la
norma
Adopcin legal y cumplimiento parcial respecto del contenido de la
norma
c. Slo utilizada como buena prctica
d. Son un modelo, un patrn, ejemplo o criterio a seguir. Tienen valor
indicativo y de gua.
Respuesta correcta: d
2. Escriba V si es verdadero o F si es falso, en las siguientes
afirmaciones

a. Norma ISO 31000:2009 e ISO/IEC 27005 son marcos existentes para

la gestin de riesgos, la versin ISO 27005:2008 se alinea con ISO
31000:2009, pero tienen varios puntos interesantes que permiten su
comparacin. Verdadero
b. Es una desventaja de la ISO 31000? Permitir la mejora continua y la
optimizacin de la organizacin. Falso

c. Cumplir con exigencias legales y reglamentarias pertinentes, as

como normas internacionales. Es un Beneficio de la ISO: 31000?
Verdadero
d. Segn la definicin de ISO 31000: El riesgo est definido como la
posibilidad que un evento nos afecte negativamente. Verdadero
3. Complete
ISO/IEC 27005:2008 se puede aplicar
(comercial, agencias pblicas, ONGs ), y se convierte en la
..
para
el
desarrollo
de
las
actividades
de
. de riesgos en el contexto de un SGSI
a.
b.
c.
d.

Una gua para la gestin, seguridad, informacin

a todo tipo de organizaciones, gua principal, anlisis y tratamiento
a cualquier empresa, no es especfica, sector concreto
normas, guas, procedimientos; totalidad; contexto especfico

Respuesta correcta: b

1) En trminos generales que es la norma ISO31000?

ISO 31000 proporciona un glosario detallado de trminos de gestin de riesgos,
explica los principios bsicos de la gestin de riesgos, y proporciona un marco
general que incluye un ciclo PDCA (planificacin, ejecucin, seguimiento y
mejora para la gestin de riesgos.
2) En trminos generales que es la norma ISO27005?
Esta norma proporciona directrices para la gestin del riesgo en la seguridad
de la informacin en una organizacin, dando soporte particular a los requisitos
de un sistema de gestin de seguridad de la informacin (SGSI) de acuerdo con
la norma ISO/IEC27001.
3) Es posible integrar la norma ISO31000 e ISO27005? En caso de ser
as que se conseguira
S es posible.
Ciertamente ISO 31000 no ofrece ningn consejo especfico sobre la evaluacin
de riesgos de la informacin y el tratamiento de riesgos; a tal efecto, la norma
ISO 27005 es un estndar que proporciona directrices para la evaluacin de

riesgos de seguridad de la informacin y su tratamiento, es mucho mejor. Le da

el conocimiento para identificar los activos, amenazas y vulnerabilidades para
evaluar las consecuencias y probabilidades para calcular el riesgo, etc.
Por tanto, se genera un modelo completo para la gestin de los riesgos de
seguridad en la informacin

3) Qu elementos son necesarios describir para cada una de las

capacidades del servicio?
Descripcin detallada del servicio, proporcionando funcionalidad al negocio
Atributos, describiendo para cada servicio las entradas y tecnologas de
apoyo (incluyendo aplicaciones e infraestructura)
Metas, describiendo los objetivos de calidad y cumplimiento para cada
capacidad de servicio y las mtricas relacionadas
4) Dentro del catalizador "Procesos" existe una distincin entre
procesos de gobierno y procesos de gestin, indique sus
caractersticas.
Uno de los principios rectores de COBIT 5 es la distincin que se realiza entre el
gobierno y la gestin:
Procesos de gobierno: Los procesos de gobierno se ocupan de los objetivos
de gobierno de las partes interesadas proporcionar valor, optimizar riesgos y
recursos. Incluyen prcticas y actividades enfocadas a evaluar opciones
estratgicas, proporcionando direccin a seguridad de la informacin y
supervisando sus resultados.
Procesos de gestin: Estos procesos incluyen prcticas y actividades
orientados a cubrir las reas de responsabilidad de planificar, construir,
ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM) la seguridad de la
informacin.
3) Por qu se dice que la Seguridad de la informacin es un
catalizador de negocio?
La seguridad de la informacin es un catalizador de negocio que est
intrnsecamente unido a la confianza de las partes interesadas, ya sea tratando
los riesgos de negocio o creando valor para la empresa como una ventaja
competitiva.
En un momento en que la importancia de la informacin y las tecnologas
relacionadas con ella estn creciendo en cada aspecto del mundo de los
negocios y la vida pblica, la necesidad de mitigar el riesgo sobre la

informacin, lo que incluye proteger la informacin y los activos de TI

relacionados con ella de amenazas que cambian continuamente, se est
intensificando constantemente.

PREGUNTAS COBIT
1. Cules son los roles especficos de seguridad de la informacin que
se pueden crear?
Respuesta:
Administradores de seguridad de la informacin.
Arquitectos de seguridad de la informacin.
Oficiales de cumplimiento y auditorias de seguridad de la informacin
2. A que tareas soportan los principios de Seguridad de la
Informacin?
Respuesta:
Dar soporte al negocio
Defender el negocio
Promover un comportamiento responsable en seguridad de la informacin

3. Cules son los perfiles de los lderes que podran servir como
lderes de seguridad de la informacin?
Respuesta:
Gestores de Riesgos
Profesionales de la seguridad de la informacin
Ejecutivos de alto nivel: CEO, COO, CFO, CIO
Director de Recursos Humanos

Preguntas ISO 31000 vs ISO 27005

1. Defina la ISO 31000:
Proporciona directrices sobre la forma de organizar la gestin de riesgos en las
organizaciones, permite establecer principios y guas para el diseo,
implementacin y mantenimiento de la gestin de riegos de forma
sistemtica y transparente de toda forma de riesgo en cualquier
contexto.
2. Defina la ISO 27005:
Esta norma suministra directrices para la gestin de riesgos de la seguridad de
la informacin.
3. Dentro del mbito de Planeacin en que se enfoca cada ISO:
ISO 31000: Diseo del Marco de Trabajo para Gestin de Riesgos.
ISO 27005: Definir Plan de Gestin de Riesgos.
Preguntas:
1) Cul es el enfoque de la norma ISO 27005?
a) Suministra directrices para la gestin del riesgo en la seguridad de la
informacin.
b) Definen como establecer procesos y polticas para la gestin de riesgos
c) Establecen el control y monitoreo de la gestin de riesgos a nivel gerencial
d) Ayudan a las organizaciones de todo tipo y tamao a gestionar el riesgo sin
garantizar la efectividad del mismo.
Respuesta: a
2) En qu se basa la valoracin del riesgo?
a) En planificar, analizar y priorizar el riesgo
b) La conceptualizacin de indicadores para la gestin de riesgos
c) Identificar, estimar y evaluar el riesgo
d) Todas las anteriores
Respuesta: c
3) Dentro plan de comunicacin para la gestin del riesgo tecnolgico
existen 3 etapas, indique cual no corresponde

a)
b)
c)
d)

Comunicacin sobre la marcha

Comunicacin interpersonal
Comunicacin inicial
Comunicacin de resultados

Respuesta: b
1 Escriba tres beneficios de COBIT 5

Optimizar el costo de los servicios de TI y la tecnologa

Mantener informacin de calidad para apoyar decisiones del negocio

Lograr la excelencia operativa a travs de la aplicacin confiable y

eficiente de la tecnologa.

Generar valor para el negocio de las inversiones habilitadas con TI

Optimizacin del riesgo.

Soporte mejorado a la innovacin y competitividad.

Mantener TI relacionados con el riesgo a un nivel aceptable

PREGUNTAS BMIS
Por qu se dice que el BMIS es holstico?
Se dice que es holstico porque la alteracin de uno de los procesos que
conforman el BMIS significara la alteracin o modificacin del resto de los
procesos.

Cules son las fases bsicas a utilizar para viabilizar el uso de BMIS?
Integrar plenamente el programa de seguridad existente.
Analizar e incorporar las medidas de seguridad detalladas y soluciones en sitio.
Alinear las normas vigentes, reglamentos y marcos a BMIS.
Identificar claramente las fortalezas y debilidades en la seguridad existente.
Utilizar el sistema de seguridad dinmica que introduce BMIS.
Manejo de emergencia dentro de la organizacin para maximizar las mejoras de
seguridad.

Mencione 3 aspectos relevantes de las DIS

Cualquier DIS entre dos elementos es flexible

Los DIS en BMIS tambin interactan entre s en un sentido sistmico
Representa las partes dinmicas de la modelo en el que ocurren las acciones y donde los
cambios, a su vez, lo influencian los elementos

Cmo se define Tecnologa dentro de BMIS?

Tecnologa se refiere a cada implementacin de habilidades tcnicas y
conocimientos que podran posiblemente tener un impacto en la seguridad
general de la informacin.

Mencione tres peligros potenciales que deben tomarse en cuenta en la

Interaccin Dinmica (DI) Factor Humano

Falla al apreciar los conceptos de riesgo de negocio.

Falla al darse cuenta e implementar los controles de seguridad
disponibles en el sistema.
Errores humanos como falta de memoria o falta de atencin al
detalle.

De un ejemplo de cmo integrar soluciones individuales a un sistema

de deteccin de intrusin?
Respuesta:
En BMIS el sistema de deteccin de intrusin es parte del elemento tecnologa.
El IDS es parte del ID arquitectura y este es soportado por el ID
habilitacion&soporte. De esta manera se los integra, no se toma en cuenta al
DI factor-Humano porque es improbable que un IDS sea manejado por usuarios,
solo por expertos del rea.

Segn el elemento Personal. En qu aspectos debe trabajar

estrechamente el CISO con el departamento de Recursos Humanos?
Debe trabajar en estos puntos:
a Reclutamiento.
b Aspectos relacionados con el empleo.

Terminacin de relaciones laborales.

BANCO DE PREGUNTAS BMIS

N
RESPUE
o. PREGUNTA
STA
Cul es la conexin dinmica ms influyente del BMIS
Gobierno
Habilitacin y Soporte
1. Cultura
X
Arquitectura
Factor Humano
Emergente
Cul es el elemento que no toman en cuenta otros modelos de
gestin de seguridad?
Personas
2.
Procesos
Organizacin
X
Tecnologa
Quines deben formar parte de un programa de seguridad de
informacin?
Solo Lderes de la organizacin
3.
Solo Personal operativo
Solo personal administrativo
Todos los integrantes de una organizacin
X
La conexin dinmica de arquitectura se enlaza entre los
elementos:
Organizacin y Personas
4.
Organizacin y tecnologa
X
Personas y Tecnologa
Personas y Procesos