Fundamentos de Seguridad de la Información basado en ISO / IEC 27002

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Fundamentos de Seguridad de la Información basado en ISO / IEC 27002"

Transcripción

1 Examen tipo Fundamentos de Seguridad de la Información basado en ISO / IEC Edición Octubre 2011

2 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 2

3 Índice Introducción 4 Examen de muestra 5 Soluciones 16 Evaluación 38 3

4 Introducción Éste es el examen de muestra de Fundamentos de Seguridad de la Información basado en ISO / IEC El examen de muestra consta de 40 preguntas de tipo test. Cada pregunta tiene un número de respuestas posibles, de las cuales sólo una es correcta. El número máximo de puntos que se pueden obtener en este examen es de 40. Cada respuesta correcta tiene un valor de un punto. Si usted consigue 26 puntos o más, habrá aprobado el examen. El tiempo permitido para este examen es de 60 minutos. Todos los derechos quedan reservados. Buena suerte! 4

5 Examen de muestra 1 de 40 Su contable le ha hecho llegar un borrador de su formulario de la declaración de la renta. Usted comprueba si los datos son correctos. Qué aspectos de fiabilidad de la información está comprobando? A. disponibilidad B. exclusividad C. integridad D. confidencialidad 2 de 40 A fin de contratar un seguro contra incendios, una oficina de administración debe determinar el valor de los datos que maneja. Qué factor no es importante para determinar el valor de los datos de una organización? A. El contenido de los datos. B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos. C. El carácter indispensable de los datos para los procesos de negocio. D. La importancia de los procesos de negocio que hacen uso de los datos. 3 de 40 El acceso a la información es cada vez más sencillo. Sin embargo, la información tiene que seguir siendo fiable para poder ser utilizada. Cuál de los siguientes aspectos no es un aspecto de la fiabilidad de la información? A. disponibilidad B. integridad C. cantidad D. confidencialidad 5

6 4 de 40 De qué aspecto de la fiabilidad de la información es parte la completitud? A. disponibilidad B. exclusividad C. integridad D. confidencialidad 5 de 40 Una oficina de administración va a determinar los peligros a los que está expuesta. Cómo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la información? A. dependencia B. amenaza C. vulnerabilidad D. riesgo 6 de 40 Cuál es el propósito de la gestión de riesgos? A. Determinar la probabilidad de que ocurra un cierto riesgo. B. Determinar el daño causado por posibles incidentes relacionados con la seguridad. C. Establecer las amenazas a las que están expuestos los recursos informáticos. D. Utilizar medidas para reducir riesgos a un nivel aceptable. 6

7 7 de 40 Qué afirmación sobre el análisis de riesgos es correcta? 1. Los riesgos que constan en un análisis de riesgos pueden clasificarse. 2. En un análisis de riesgos tiene que considerarse toda la información pormenorizada. 3. Un análisis de riesgos se limita a la disponibilidad. 4. Un análisis de riesgos es sencillo de realizar completando un breve cuestionario estándar con preguntas estándar. A. 1 B. 2 C. 3 D. 4 8 de 40 Cuál de los siguientes ejemplos puede clasificarse como fraude? 1. Infectar un ordenador con un virus. 2. Realizar una transacción no autorizada. 3. Interceptar líneas de comunicación y redes 4. Utilizar Internet en el trabajo con fines privados A. 1 B. 2 C. 3 D. 4 9 de 40 Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se puede producir un daño directo e indirecto. Cuál es un ejemplo de daño directo? A. se destruye una base de datos B. pérdida de imagen C. pérdida de la confianza del cliente D. ya no se pueden satisfacer las obligaciones jurídicas 10 de 40 Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una combinación de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para la compañía. 7

8 A qué categoría de medidas pertenece un acuerdo en espera (stand-by arrangement)? A. medidas represivas B. medidas de detección C. medidas preventivas D. medidas correctivas 11 de 40 Cuál de los siguientes es un ejemplo de amenaza humana? A. Un pendrive pasa un virus a la red. B. Demasiado polvo en la sala de servidor. C. Una fuga de agua causa un corte en el suministro de electricidad. 12 de 40 Cuál de los siguientes es un ejemplo de amenaza humana? A. un rayo B. fuego C. phishing 13 de 40 La información tiene una serie de aspectos de fiabilidad. La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente información, uso de los datos con fines particulares o datos falsificados. Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad? A. un cable suelto B. borrar datos accidentalmente C. usar datos con fines particulares D. falsificar datos 8

9 14 de 40 Un miembro del personal niega haber enviado un determinado mensaje. Qué aspecto de la fiabilidad de la información está en peligro aquí? A. disponibilidad B. precisión C. integridad D. confidencialidad 15 de 40 En el ciclo del incidente hay cuatro pasos sucesivos. Cuál es el orden de estos pasos? A. Amenaza, Daño, Incidente, Recuperación B. Amenaza, Incidente, Daño, Recuperación C. Incidente, Amenaza, Daño, Recuperación D. Incidente, Recuperación, Daño, Amenaza 16 de 40 Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a una sucursal cercana para continuar su trabajo. En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (standby)? A. entre la amenaza y el incidente B. entre la recuperación y la amenaza C. entre el daño y la recuperación D. entre el incidente y el daño 17 de 40 Cómo se describe mejor el propósito de la política de seguridad de la información? A. La política documenta el análisis de riesgos y la búsqueda de contramedidas. B. La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información. C. La política hace que el plan de seguridad sea concreto aportándole la información detallada necesaria. D. La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias. 9

10 18 de 40 El código de conducta para los negocios electrónicos se basa en una serie de principios. Cuál de los siguientes principios no corresponde aquí? A. fiabilidad B. registro C. confidencialidad y privacidad 19 de 40 Una trabajadora de la compañía de seguros Euregio descubre que la fecha de vencimiento de una póliza se ha cambiado sin su conocimiento. Ella es la única persona autorizada para hacerlo. Informa de este incidente de seguridad en el mostrador de recepción. La persona encargada anota la siguiente información sobre este incidente: fecha y hora descripción del incidente posibles consecuencias del incidente Qué información importante sobre el incidente falta? A. el nombre de la persona que informa del incidente B. el nombre del paquete de software C. el número de PC D. una lista de gente que fue informada del incidente 20 de 40 Una empresa registra los siguientes incidentes: 1. Un detector de humos no funciona. 2. Alguien rompe la seguridad de la red 3. Alguien pretende ser miembro del personal. 4. Un archivo de ordenador no puede ser convertido en un archivo PDF. Cuál de estos incidentes no es un incidente de seguridad? A. 1 B. 2 C. 3 D. 4 10

11 21 de 40 Las medidas de seguridad pueden ser agrupadas de varias formas. Cuál de las siguientes formas es correcta? A. física, lógica, preventiva B. lógica, represiva, preventiva C. organizativa, preventiva, correctiva, física D. preventiva, de detección, represiva, correctiva 22 de 40 Un detector de humos está situado en una sala de ordenadores. Bajo qué categoría de medidas de seguridad se encuadra? A. correctiva B. de detección C. organizativa D. preventiva 23 de 40 El responsable de la seguridad de la información de la compañía de seguros Euregio desea establecer una lista de medidas de seguridad. Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad? A. Establecer vigilancia. B. Llevar a cabo una evaluación. C. Formular una política de seguridad de la información. D. Llevar a cabo un análisis de riesgo. 24 de 40 Cuál es el propósito de clasificar información? A. Determinar qué tipos de información pueden requerir diferentes niveles de protección. B. Asignar información a un propietario. C. Reducir los riesgos de error humano. D. Prevenir acceso no autorizado a información. 11

12 25 de 40 Se necesita una autentificación fuerte para acceder a áreas altamente protegidas. En el caso de una autentificación fuerte, la identidad de una persona se verifica utilizando tres factores. Qué factor es verificado cuando introducimos un número de identificación personal (PIN)? A. Algo parte de mi B. Algo que yo tengo C. Algo que yo conozco 26 de 40 El acceso a la sala de informática se cierra mediante la utilización de un lector de tarjeta. Sólo el departamento de Gestión de Sistemas tiene tarjetas. Qué tipo de medida de seguridad es ésta? A. una medida de seguridad correctiva B. una medida de seguridad física C. una medida de seguridad lógica D. una medida de seguridad represiva 27 de 40 Cuatro (4) miembros del personal del departamento de Informática comparten una (1) tarjeta de acceso a la sala de informática. Qué riesgo conlleva esto? A. Si se va la luz, los ordenadores se apagan. B. Si se declara un fuego, los extintores no pueden ser utilizados. C. Si desaparece algo de la sala de informática, no estará claro quién es responsable. D. Las personas sin autorización pueden acceder a la sala de informática sin ser vistas. 12

13 28 de 40 En la recepción de una oficina de administración hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse inmediatamente para que no se las pueda llevar un visitante. Qué otro riesgo para la información de la empresa conlleva esta situación? A. Los archivos pueden quedarse almacenados en la memoria de la impresora. B. Los visitantes podrían copiar e imprimir información confidencial de la red. C. Puede estropearse la impresora con un uso excesivo, con lo que no podría utilizarse más. 29 de 40 Cuáles de las siguientes medidas de seguridad es una medida técnica? 1. Asignar información a un propietario 2. Archivos codificados 3. Crear una política que defina qué está y qué no está permitido vía correo electrónico 4. Guardar las claves de acceso de la gestión de sistemas en una caja fuerte A. 1 B. 2 C. 3 D de 40 Las copias de seguridad del servidor central se guardan en la misma habitación cerrada que el servidor. A qué riesgo se enfrenta la organización? A. Si se estropea el servidor, pasará un tiempo antes de que vuelva a estar operativo. B. Si se produce un fuego es imposible devolver el sistema a su estado anterior. C. Nadie es responsable de copias de seguridad. D. Las personas no autorizadas tienen un fácil acceso a las copias de seguridad. 31 de 40 Cuál de las siguientes tecnologías es maliciosa? A. la codificación B. algoritmos hash C. la Red Privada Virtual (VPN) D. virus, gusanos informáticos y programas espía 13

14 32 de 40 Qué medida no ayuda contra el software malicioso? A. una política de parches activa B. un programa antiespías C. un filtro de correo basura D. una contraseña 33 de 40 Cuál de estos es un ejemplo de medida organizativa? A. copia de seguridad B. codificación C. segregación de deberes D. guardar el equipo de red y las cajas de conexiones eléctricas en una habitación cerrada 34 de 40 La Identificación es establecer si la identidad de alguien es correcta. Es correcta esta afirmación? A. sí B. no 35 de 40 Por qué es necesario tener un plan de recuperación de desastres actualizado y probarlo con regularidad? A. Para tener siempre acceso a copias de seguridad recientes que están localizadas fuera de la oficina. B. Para poder sobrellevar los fallos que ocurren diariamente. C. Porque si no, en el caso de un incidente de grandes proporciones, las medidas establecidas y los procedimientos planeados pueden no resultar adecuados o pueden estar desactualizados. D. Porque la Ley de protección de datos personales lo requiere. 36 de 40 Qué es la autorización? A. La determinación de la identidad de una persona. B. El conjunto de las acciones llevadas a cabo para acceder. C. La verificación de la identidad de una persona. D. Garantizar derechos específicos, tales como acceso selectivo, a una persona. 14

15 37 de 40 Qué importante norma jurídica en el área de la seguridad de la información ha de contemplar el gobierno? A. Análisis de dependencia y vulnerabilidad B. ISO/IEC C. ISO/IEC D. Legislación o normas nacionales sobre seguridad de la información 38 de 40 En base a qué legislación puede alguien pedir la inspección de datos que han sido registrados sobre su persona? A. La ley de Registro público B. La ley de Protección de datos personales C. La ley de Delitos informáticos D. La ley de Acceso público a información del gobierno 39 de 40 El Código para la seguridad de la información (ISO/IEC 27002) es una descripción de un método de análisis de riesgos. Es esta afirmación correcta? A. sí B. no 40 de 40 El Código para la seguridad de la información (ISO/IEC 27002) sólo es aplicable a grandes empresas. Es esta afirmación correcta? A. sí B. no 15

16 Soluciones 1 de 40 Su contable le ha hecho llegar un borrador de su formulario de la declaración de la renta. Usted comprueba si los datos son correctos. Qué aspectos de fiabilidad de la información está comprobando? A. disponibilidad B. exclusividad C. integridad D. confidencialidad A. Incorrecto. La disponibilidad indica hasta qué punto la información se encuentra disponible para los usuarios en el momento en el que se necesita. B. Incorrecto. La exclusividad es una característica de la confidencialidad. C. Correcto. Concierne a la integridad. Ver la sección 4.5 de The basics of information security (Fundamentos en seguridad de la información). D. Incorrecto. Concierne al grado en el que el acceso a la información está restringido a las personas autorizadas. 2 de 40 A fin de contratar un seguro contra incendios, una oficina de administración debe determinar el valor de los datos que maneja. Qué factor no es importante para determinar el valor de los datos de una organización? A. El contenido de los datos. B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos. C. El carácter indispensable de los datos para los procesos de negocio. D. La importancia de los procesos de negocio que hacen uso de los datos. A. Correcto. El contenido de los datos no determina su valor. Ver la sección 4.3 de The basics of information security (Fundamentos en seguridad de la información). B. Incorrecto. Los datos perdidos, incompletos o incorrectos que pueden ser fácilmente recuperados son menos valiosos que los datos difíciles o imposibles de recuperar. C. Incorrecto. El carácter indispensable de los datos para los procesos de negocios determina en parte su valor. D. Incorrecto. Los datos críticos para procesos de negocios importantes son valiosos. 16

17 3 de 40 El acceso a la información es cada vez más sencillo. Sin embargo, la información tiene que seguir siendo fiable para poder ser utilizada. Cuál de los siguientes aspectos no es un aspecto de la fiabilidad de la información? A. disponibilidad B. integridad C. cantidad D. confidencialidad A. Incorrecto. La disponibilidad sí es un aspecto de la fiabilidad de la información. B. Incorrecto. La integridad sí es un aspecto de la fiabilidad de la información. C. Correcto. La cantidad no es un aspecto de la fiabilidad de la información. Ver la sección 4.5 de The basics of information security (Fundamentos en seguridad de la información). D. Incorrecto. La confidencialidad sí es un aspecto de la fiabilidad de la información. 4 de 40 De qué aspecto de la fiabilidad de la información es parte la completitud? A. disponibilidad B. exclusividad C. integridad D. confidencialidad A. Incorrecto. La información puede estar disponible sin ser completa. B. Incorrecto. La exclusividad es una característica de la confidencialidad. C. Correcto. La completitud es parte de la integridad. Ver la sección 4.5 de The basics of information security (Fundamentos en seguridad de la información). D. Incorrecto. La información confidencial no tiene por qué ser completa. 17

18 5 de 40 Una oficina de administración va a determinar los peligros a los que está expuesta. Cómo denominamos un posible hecho que puede afectar negativamente a la fiabilidad de la información? A. dependencia B. amenaza C. vulnerabilidad D. riesgo A. Incorrecto. La dependencia no es un hecho. B. Correcto. Una amenaza es un posible hecho que puede afectar la fiabilidad de la información. Ver la sección 5 de The basics of information security (Fundamentos en seguridad de la información). C. Incorrecto. La vulnerabilidad es el grado en el que algo es susceptible de sufrir una amenaza. D. Incorrecto. Un riesgo es el daño medio esperado en un período de tiempo como resultado de una o más amenazas que conllevan incidencia(s). 6 de 40 Cuál es el propósito de la gestión de riesgos? A. Determinar la probabilidad de que ocurra un cierto riesgo. B. Determinar el daño causado por posibles incidentes relacionados con la seguridad. C. Establecer las amenazas a las que están expuestos los recursos informáticos. D. Utilizar medidas para reducir riesgos a un nivel aceptable. A. Incorrecto. Es parte del análisis de riesgos. B. Incorrecto. Es parte del análisis de riesgos. C. Incorrecto. Es parte del análisis de riesgos. D. Correcto. El propósito de la gestión de riesgos es reducir riesgos a un nivel aceptable. Ver la sección 5 de The basics of information security (Fundamentos en seguridad de la información). 18

19 7 de 40 Qué afirmación sobre el análisis de riesgos es correcta? 1. Los riesgos que constan en un análisis de riesgos pueden clasificarse. 2. En un análisis de riesgos tiene que considerarse toda la información pormenorizada. 3. Un análisis de riesgos se limita a la disponibilidad. 4. Un análisis de riesgos es sencillo de realizar completando un breve cuestionario estándar con preguntas estándar. A. 1 B. 2 C. 3 D. 4 A. Correcto. Todos los riesgos no son iguales. Como regla general, se abordan primero los mayores riesgos. Ver la sección 5 de The basics of information security (Fundamentos en seguridad de la información). B. Incorrecto. En un análisis de riesgos es imposible examinar todos los detalles. C. Incorrecto. Un análisis de riesgos considera todos los aspectos de la fiabilidad, incluyendo la integridad y la confidencialidad junto a la disponibilidad. D. Incorrecto. En un análisis de riesgos las preguntas raras veces pueden aplicarse a todas las situaciones. 8 de 40 Cuál de los siguientes ejemplos puede clasificarse como fraude? 1. Infectar un ordenador con un virus. 2. Realizar una transacción no autorizada. 3. Interceptar líneas de comunicación y redes 4. Utilizar Internet en el trabajo con fines privados A. 1 B. 2 C. 3 D. 4 A. Incorrecto. Una infección por virus se clasifica como la amenaza cambio no autorizado. B. Correcto. Una transacción no autorizada se clasifica como fraude. Ver la sección 10.6 de The basics of information security (Fundamentos en seguridad de la información). C. Incorrecto. Interceptar líneas está clasificado como la amenaza revelación. D. Incorrecto. El uso privado está clasificado como la amenaza mal uso. 19

20 9 de 40 Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se puede producir un daño directo e indirecto. Cuál es un ejemplo de daño directo? A. se destruye una base de datos B. pérdida de imagen C. pérdida de la confianza del cliente D. ya no se pueden satisfacer las obligaciones jurídicas A. Correcto. Una base de datos destruida es un ejemplo de daño directo. Ver la sección 5.5 de The basics of information security (Fundamentos en seguridad de la información). B. Incorrecto. La pérdida de imagen es un daño indirecto. C. Incorrecto. La pérdida de confianza de los clientes es un daño indirecto. D. Incorrecto. No poder satisfacer las obligaciones jurídicas es un daño indirecto. 10 de 40 Con el fin de reducir riesgos, una compañía decide optar por una estrategia de una combinación de medidas. Una de las medidas es que se organice un acuerdo en espera (stand-by arrangement) para la compañía. A qué categoría de medidas pertenece un acuerdo en espera (stand-by arrangement)? A. medidas represivas B. medidas de detección C. medidas preventivas D. medidas correctivas A. Incorrecto. Las medidas represivas, tales como extinguir el fuego, están orientadas a minimizar cualquier daño causado.un respaldo es otro ejemplo de una medida represiva. B. Incorrecto. Las medidas de detección solamente dan un aviso después de haber detectado algo. C. Incorrecto. El objetivo de las medidas preventivas es evitar incidentes. D. Correcto. Ver la sección de The basics of information security (Fundamentos de seguridad de la información). Un acuerdo en espera (stand-by arrangement) es también un ejemplo de una medida correctiva, don de corregir significa la puesta en servicio de una medida de emergencia básica en el caso de un desastre. Por ejemplo, utilizar un lugar diferente con el fin de seguir trabajando. 20

21 11 de 40 Cuál de los siguientes es un ejemplo de amenaza humana? A. Un pendrive pasa un virus a la red. B. Demasiado polvo en la sala de servidor. C. Una fuga de agua causa un corte en el suministro de electricidad. A. Correcto. Un pendrive siempre lo inserta una persona. Por ello, si al hacerlo entra un virus en la red, es una amenaza humana. Ver la sección de The basics of information security (Fundamentos en seguridad de la información). B. Incorrecto. El polvo no es una amenaza humana. C. Incorrecto. Una fuga de agua no es una amenaza humana. 12 de 40 Cuál de los siguientes es un ejemplo de amenaza humana? A. un rayo B. fuego C. phishing A. Incorrecto. Un rayo es un ejemplo de amenaza no humana. B. Incorrecto. El fuego es un ejemplo de una amenaza no humana. C. Correcto. El phishing (atraer a los usuarios a sitios Web falsos) es una forma de amenaza humana. Ver las secciones y de The basics of information security (Fundamentos en seguridad de la información). 21

22 13 de 40 La información tiene una serie de aspectos de fiabilidad. La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente información, uso de los datos con fines particulares o datos falsificados. Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad? A. un cable suelto B. borrar datos accidentalmente C. usar datos con fines particulares D. falsificar datos A. Incorrecto. Un cable suelto es una amenaza para la disponibilidad de información. B. Incorrecto. La modificación no intencionada de datos es una amenaza a su integridad. C. Correcto. El uso de datos con fines particulares es una forma de mal uso y constituye una amenaza para la confidencialidad. Ver la sección 4.5 de The basics of information security (Fundamentos en seguridad de la información). D. Incorrecto. La falsificación de datos es una amenaza para su integridad. 22

23 14 de 40 Un miembro del personal niega haber enviado un determinado mensaje. Qué aspecto de la fiabilidad de la información está en peligro aquí? A. disponibilidad B. precisión C. integridad D. confidencialidad A. Incorrecto. Sobrecargar la infraestructura es un ejemplo de amenaza a la disponibilidad. B. Incorrecto. La precisión no es un aspecto de la fiabilidad. Es una característica de la integridad. C. Correcto. La negación de haber enviado un mensaje tiene que ver con el norepudio, una amenaza a la integridad. Ver la sección 4.5 de The basics of information security (Fundamentos en seguridad de la información). D. Incorrecto. El mal uso y/o la revelación de datos son amenazas a la confidencialidad. 15 de 40 En el ciclo del incidente hay cuatro pasos sucesivos. Cuál es el orden de estos pasos? A. Amenaza, Daño, Incidente, Recuperación B. Amenaza, Incidente, Daño, Recuperación C. Incidente, Amenaza, Daño, Recuperación D. Incidente, Recuperación, Daño, Amenaza A. Incorrecto. El daño sigue al incidente. B. Correcto. El orden de los pasos en el ciclo del incidente es: Amenaza, Incidente, Daño, Recuperación. Ver la sección de The basics of information security (Fundamentos en seguridad de la información). C. Incorrecto. El incidente sigue a la amenaza. D. Incorrecto. La recuperación es el último paso. 23

24 16 de 40 Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a una sucursal cercana para continuar su trabajo. En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (stand-by)? A. entre la amenaza y el incidente B. entre la recuperación y la amenaza C. entre el daño y la recuperación D. entre el incidente y el daño A. Incorrecto. Ejecutar un acuerdo en espera (stand-by) sin que primero haya un incidente es muy caro. B. Incorrecto. La recuperación tiene lugar después de que se ejecute un acuerdo en espera (stand-by). C. Incorrecto. El daño y la recuperación están en realidad limitados por la ejecución del acuerdo en espera (stand-by). D. Correcto. La ejecución de un acuerdo en espera (stand-by) es un medida represiva que se inicia a fin de limitar el daño. Ver las secciones y 9.3 de The basics of information security (Fundamentos en seguridad de la información). 24

25 17 de 40 Cómo se describe mejor el propósito de la política de seguridad de la información? A. La política documenta el análisis de riesgos y la búsqueda de contramedidas. B. La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información. C. La política hace que el plan de seguridad sea concreto aportándole la información detallada necesaria. D. La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias. A. Incorrecto. Éste es el propósito del análisis de riesgos y de la gestión de riesgos. B. Correcto. La política de seguridad proporciona dirección y apoyo a la gestión en materia de seguridad de la información. Ver la sección 9.1 de The basics of information security (Fundamentos en seguridad de la información). C. Incorrecto. El plan de seguridad hace que la política de seguridad de la información sea concreta. El plan incluye qué medidas se han elegido, quién es responsable de qué, las orientaciones para la puesta en práctica de las medidas, etc. D. Incorrecto. Éste es el propósito del análisis de amenazas. 18 de 40 El código de conducta para los negocios electrónicos se basa en una serie de principios. Cuál de los siguientes principios no corresponde aquí? A. fiabilidad B. registro C. confidencialidad y privacidad A. Incorrecto. La fiabilidad constituye una de las bases del código de conducta. B. Correcto. El código de conducta ser basa en los principios de fiabilidad, transparencia, confidencialidad y privacidad. El registro no encaja aquí. Ver la sección de The basics of information security (Fundamentos en seguridad de la información). C. Incorrecto. El código de conducta se basa en la confidencialidad y en la privacidad entre otras cosas. 25

26 19 de 40 Una trabajadora de la compañía de seguros Euregio descubre que la fecha de vencimiento de una póliza se ha cambiado sin su conocimiento. Ella es la única persona autorizada para hacerlo. Informa de este incidente de seguridad en el mostrador de recepción. La persona encargada anota la siguiente información sobre este incidente: fecha y hora descripción del incidente posibles consecuencias del incidente Qué información importante sobre el incidente falta? A. el nombre de la persona que informa del incidente B. el nombre del paquete de software C. el número de PC D. una lista de gente que fue informada del incidente A. Correcto. Cuando se informa de un incidente, el nombre de quien lo hace debe ser anotado. Ver la sección de The basics of information security (Fundamentos en seguridad de la información). B. Incorrecto. Ésta es información adicional que puede añadirse más tarde. C. Incorrecto. Ésta es información adicional que puede añadirse más tarde. D. Incorrecto. Ésta es información adicional que puede añadirse más tarde. 26

27 20 de 40 Una empresa registra los siguientes incidentes: 1. Un detector de humos no funciona. 2. Alguien rompe la seguridad de la red 3. Alguien pretende ser miembro del personal. 4. Un archivo de ordenador no puede ser convertido en un archivo PDF. Cuál de estos incidentes no es un incidente de seguridad? A. 1 B. 2 C. 3 D. 4 A. Incorrecto. Un detector de humos que no funciona es un incidente que puede amenazar la disponibilidad de los datos. B. Incorrecto. Romper la seguridad de la red es un incidente que puede amenazar la disponibilidad, integridad y confidencialidad de los datos. C. Incorrecto. El mal uso de la identidad es un incidente que puede amenazar la disponibilidad, integridad y confidencialidad de los datos. D. Correcto. Un incidente de seguridad es un incidente que puede amenazar la disponibilidad, integridad o confidencialidad de los datos. Esto no constituye una amenaza a la disponibilidad, integridad y confidencialidad de los datos. Ver la sección 6.4 de The basics of information security (Fundamentos en seguridad de la información). 21 de 40 Las medidas de seguridad pueden ser agrupadas de varias formas. Cuál de las siguientes formas es correcta? A. física, lógica, preventiva B. lógica, represiva, preventiva C. organizativa, preventiva, correctiva, física D. preventiva, de detección, represiva, correctiva A. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es preventiva/de detección/represiva/correctiva. B. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es preventiva/de detección/represiva/correctiva. C. Incorrecto. Organizativa/lógica/física es un grupo adecuado, como también lo es preventiva/de detección/represiva/correctiva. D. Correcto. Preventiva/de detección/represiva/correctiva es un grupo adecuado, como también lo es organizativa/lógica/física. Ver la sección 5.3 de The basics of information security (Fundamentos en seguridad de la información). 27

Examen de muestra. EXIN Information Security Foundation basado en ISO/IEC 27002

Examen de muestra. EXIN Information Security Foundation basado en ISO/IEC 27002 Examen de muestra EXIN Information Security Foundation basado en ISO/IEC 27002 Edición de mayo de 2015 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Fundamentos de EXIN Cloud Computing

Fundamentos de EXIN Cloud Computing Preguntas de muestra Fundamentos de EXIN Cloud Computing Edición de octubre de 2012 Copyright 2012 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen tipo EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

EXIN Information Security Foundation basado en ISO/IEC 27002

EXIN Information Security Foundation basado en ISO/IEC 27002 Guía de Preparación EXIN Information Security Foundation basado en ISO/IEC 27002 Edición 201601 Copyright 2016 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

EXIN Information Security Foundation based on ISO/IEC 27002

EXIN Information Security Foundation based on ISO/IEC 27002 Guía de Preparación EXIN Information Security Foundation based on ISO/IEC 27002 Edición de mayo de 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 examen de muestra IS20FB.LA_1.0 ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 índice 2 introducción 3 examen de muestra 8 soluciones 18 evaluación

Más detalles

Fundamentos de Seguridad de la Información basado en ISO / IEC 27002

Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Guía de Preparación Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Edición Octubre 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Tema 2 Introducción a la Auditoría de Sistemas de Información

Tema 2 Introducción a la Auditoría de Sistemas de Información Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava Tema 1 Introducción a la auditoría de SSII

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

EXIN Foundation Certificate in OpenStack Software

EXIN Foundation Certificate in OpenStack Software Examen de Muestra EXIN Foundation Certificate in OpenStack Software Edición Abril 2015 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

EXIN Information Security Foundation

EXIN Information Security Foundation Guía de Preparación EXIN Information Security Foundation basado en ISO/IEC 27002 Edición de mayo de 2015 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

EXIN Agile Scrum Foundation

EXIN Agile Scrum Foundation Examen tipo EXIN Agile Scrum Foundation Edición Mayo 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC CONTADOR EDUARDO LUIS GARCÍA egarcia@criba.edu.ar Departamento de Ciencias de la Administración Universidad acional del Sur CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO Propuesta de contenido. MODALIDAD

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

GUÍA 2005 SOBRE SEGURIDAD Y DERECHOS DE PROPIEDAD INTELECTUAL PARA EMPRESAS Y ORGANIZACIONES

GUÍA 2005 SOBRE SEGURIDAD Y DERECHOS DE PROPIEDAD INTELECTUAL PARA EMPRESAS Y ORGANIZACIONES GUÍA 2005 SOBRE SEGURIDAD Y DERECHOS DE PROPIEDAD INTELECTUAL PARA EMPRESAS Y ORGANIZACIONES DESCARGA COMPLETADA 25% PÁGINA 02 La presencia de música comercial, películas u otros materiales protegidos

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

Central de incendios convencional Serie 500 Más fácil, imposible

Central de incendios convencional Serie 500 Más fácil, imposible Central de incendios convencional Serie 500 Más fácil, imposible 2 Una central de incendios fácil de instalar, configurar, mantener y usar. Pantalla LCD con indicación de estado para todas las zonas de

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA I.E.S. RUIZ GIJÓN DEPARTAMENTO DE INFORMÁTICA UTRERA (Sevilla) Objetivos, Contenidos y Criterios de Evaluación: C.F. GRADO MEDIO Sistemas Microinformáticos y Redes Curso: 2º CURSO ACADÉMICO 2013/2014 PROFESOR:

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Programa de estudio versión 1.0 The European Computer Driving Licence Foundation Ltd (ECDL Foundation) Third Floor Portview House Thorncastle Street Dublin 4, Ireland Tel: +353 1

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

ANEXO LECCIÓN 9. Dra. Elizabeth Alves

ANEXO LECCIÓN 9. Dra. Elizabeth Alves ANEXO LECCIÓN 9 Dra. Elizabeth Alves Caracas, 1998 ANEXO LECCIÓN 9 CUESTIONARIO 1 1. Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan

Más detalles

SEGURIDAD INFORMATICA PHISHING: Definición:

SEGURIDAD INFORMATICA PHISHING: Definición: SEGURIDAD INFORMATICA PHISHING: Definición: El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle al usuario su identidad. El delito consiste en obtener información tal como números

Más detalles

We Care For Your Business Security

We Care For Your Business Security We Care For Your Business Security Warriors Defender Firewall es una sólida solución de cortafuego y control, fácil de utilizar y económica para empresas de cualquier tamaño. Warriors Defender Firewall

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE CARÁCTER PERSONAL. Universidad de Jaén

DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE CARÁCTER PERSONAL. Universidad de Jaén DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE Universidad de Jaén Servicio de Información y Asuntos Generales Revisado: Servicio de Informática Versión: Fecha Versión: Nº Total Páginas: 22 Aprobado

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014 Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1 Esquema de una organización o de mi dispositivo personal Pág. 2 Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es

Más detalles

Contenido. McAfee Internet Security 3

Contenido. McAfee Internet Security 3 Guía del usuario i Contenido McAfee Internet Security 3 McAfee SecurityCenter...5 Funciones de SecurityCenter...6 Uso de SecurityCenter...7 Solucionar u omitir problemas de protección...17 Trabajar con

Más detalles

IT Service Management Foundation based on ISO/IEC 20000

IT Service Management Foundation based on ISO/IEC 20000 Examen tipo IT Service Management Foundation based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored

Más detalles

NUESTROS SERVICIOS SE DIVIDEN EN TRES GRANDES GRUPOS, LOS CUALES SON: 1. SOFTWARE 3 3. COMUNICACIONES 14

NUESTROS SERVICIOS SE DIVIDEN EN TRES GRANDES GRUPOS, LOS CUALES SON: 1. SOFTWARE 3 3. COMUNICACIONES 14 1 NUESTROS SERVICIOS SE DIVIDEN EN TRES GRANDES GRUPOS, LOS CUALES SON: 1. SOFTWARE 3 2. HARDWARE 13 3. COMUNICACIONES 14 2 SOFTWARE Consultoría Tecnológica Su empresa hoy cuenta con el presupuesto necesario

Más detalles

Tema 1. Conceptos básicos sobre seguridad informática

Tema 1. Conceptos básicos sobre seguridad informática Tema 1. sobre seguridad informática Seguridad en Sistemas Informáticos 4 o Grado en Ingeniería Informática ESEI Septiembre-2014 Definición (seguridad en sistemas de información) Protección de los activos

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS

ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS ASISTENCIA TÉCNICA A LA SEGURIDAD INFORMÁTICA EN PYMES MANUAL MICROSOFT SECURITY ESSENTIALS Microsoft Security Essentials Qué es? Microsoft Security Essentials tiene la potencia del motor Antimalware de

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

SISTEMA DE COPIAS DE SEGURIDAD

SISTEMA DE COPIAS DE SEGURIDAD SISTEMA DE COPIAS DE SEGURIDAD Ya tiene a su disposición el servicio de copias de seguridad adbackup en acuerdo con la ASOCIACIÓN DE ASESORÍAS DE EMPRESA haciendo más asequible el servicio, y con el respaldo

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

RISK, SECURITY, AND DISASTER RECOVERY

RISK, SECURITY, AND DISASTER RECOVERY RISK, SECURITY, AND DISASTER RECOVERY Kenia Navarro Ríos y Michael Velazquez Universidad Interamericana de Puerto Rico Recinto de Fajardo Departamento de Ciencias y Tecnología CSIR4300 Administración de

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO

CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO ORDEN EN EL CENTRO DE CÓMPUTO Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento

Más detalles

Seguridad Informática

Seguridad Informática BIBLIOTECA UNIVERSITARIA Seguridad Informática Material formativo Reconocimiento NoComercial-CompartirIgual (By-ns-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas,

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles