Preguntas Para Certificacion en Gerencia de Seguridad de Informacion

PREGUNTAS CERTIFICACION GERENCIA DE SEGURIDAD DE INFORMACION

BANCO DE PREGUNTAS COBIT N PREGUNTA o. 1. COBIT se basa en: 2 Principios 4 Principios 5 Principios 6 Principios 2. Cuál de los siguientes, son catalizadores de COBIT? Procesos Seguridad Información Cobertura de la empresa Personas, habilidades y competencias 3. El ciclo de vida de los catalizadores se basa en EGSI PDCA ISO 27005 ISO 31000

BANCO DE PREGUNTAS ISO 27005/31000 N PREGUNTA o. 1. Qué norma se enfoca a la gestión de riesgos de seguridades de información ISO 27000 ISO 27005 ISO 1500 ISO 31000 2. En qué tipo de empresas se puede aplicar la ISO 31000 Privadas Públicas Mixtas Cualquier tipo de empresa Otras 3. Al ser la ISO 31000 una norma padre, se puede decir que contiene a la ISO 27005?

RESPUESTA

X

X X X

X

RESPUE STA

X

X

Si No Parcialmente

X

1) ¿Por qué es necesario implementar un proceso de tratamiento de riesgos de seguridad de la información? Para realizar un plan de tratamiento de riesgos Para implantar los objetivos de seguridad de la información en todas las actividades y categorías Para conservar toda la documentación que se genere en el proceso de tratamiento de riesgos

2) ¿En la identificación de riesgos que componentes deben tomarse en cuenta? Determinación Determinación Determinación Determinación

y y y y

valoración valoración valoración valoración

3) ¿Por qué es organizacional?

de de de de

activos amenazas vulnerabilidades controles existentes

necesario

el

establecimiento

del

contexto

Para una determinación de los parámetros y condicionantes externos e internos, que permiten encuadrar la política que se seguirá para gestionar los riesgos Preguntas COBIT 5 1) ¿Por qué es importante el factor de la cultura en seguridad de la información? Los comportamientos de todos los miembros de la empresa determinan colectivamente la cultura de la empresa. Los grupos de interés en la cultura, la ética y el comportamiento abarcan toda la empresa, cuando hay que influir en la cultura, todos los grupos de interés deben tenerse en cuenta. No sólo el personal interno.

2) ¿En la mayoría de empresas, de quien es la responsabilidad del gobierno y la gestión? El gobierno es responsabilidad del Consejo de Administración bajo la dirección del Presidente y la gestión es responsabilidad de la Dirección Ejecutiva bajo la dirección del Director General Ejecutivo (CEO).

3) En COBIT 5 para la Seguridad de la Información. ¿Para qué son usados los catalizadores? COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión de la seguridad de la información para las TI y la información de la empresa.

Preguntas Gestión de Seguridades (Comparación ISO 27005 y 31000) 1. ¿Cuáles de las siguientes afirmaciones no corresponde a la tarea de satisfacer las necesidades y expectativas de los ciudadanos?

a. Las normas señalan expresamente que pueden ser usadas en el sector público b. La adopción de Normas ISO es una decisión estratégica en el Gobierno. Puede tener principalmente los siguientes enfoques:  Adopción legal y cumplimiento total respecto del contenido de la norma  Adopción legal y cumplimiento parcial respecto del contenido de la norma c. Sólo utilizada como buena práctica d. Son un modelo, un patrón, ejemplo o criterio a seguir. Tienen valor indicativo y de guía. Respuesta correcta: d 2. Escriba V si es verdadero o F si es falso, en las siguientes afirmaciones

a. Norma ISO 31000:2009 e ISO/IEC 27005 son marcos existentes para la gestión de riesgos, la versión ISO 27005:2008 se alinea con ISO 31000:2009, pero tienen varios puntos interesantes que permiten su comparación. Verdadero b. ¿Es una desventaja de la ISO 31000? Permitir la mejora continua y la optimización de la organización. Falso

c. Cumplir con exigencias legales y reglamentarias pertinentes, así como normas internacionales. ¿Es un Beneficio de la ISO: 31000? Verdadero d. Según la definición de ISO 31000: El riesgo está definido como la posibilidad que un evento nos afecte negativamente. Verdadero 3. Complete ISO/IEC 27005:2008 se puede aplicar…………………………………………… (comercial, agencias públicas, ONGs… ), y se convierte en la ………………….. para el desarrollo de las actividades de ……………………………. de riesgos en el contexto de un SGSI a. b. c. d.

Una guía para la gestión, seguridad, información a todo tipo de organizaciones, guía principal, análisis y tratamiento a cualquier empresa, no es específica, sector concreto normas, guías, procedimientos; totalidad; contexto específico

Respuesta correcta: b

1) ¿En términos generales que es la norma ISO31000? ISO 31000 proporciona un glosario detallado de términos de gestión de riesgos, explica los principios básicos de la gestión de riesgos, y proporciona un marco general que incluye un ciclo PDCA (planificación, ejecución, seguimiento y mejora para la gestión de riesgos. 2) ¿En términos generales que es la norma ISO27005? Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC27001. 3) ¿Es posible integrar la norma ISO31000 e ISO27005? En caso de ser así que se conseguiría Sí es posible. Ciertamente ISO 31000 no ofrece ningún consejo específico sobre la evaluación de riesgos de la información y el tratamiento de riesgos; a tal efecto, la norma ISO 27005 – es un estándar que proporciona directrices para la evaluación de

riesgos de seguridad de la información y su tratamiento, es mucho mejor. Le da el conocimiento para identificar los activos, amenazas y vulnerabilidades para evaluar las consecuencias y probabilidades para calcular el riesgo, etc. Por tanto, se genera un modelo completo para la gestión de los riesgos de seguridad en la información

3) ¿Qué elementos son necesarios describir para cada una de las capacidades del servicio? Descripción detallada del servicio, proporcionando funcionalidad al negocio Atributos, describiendo para cada servicio las entradas y tecnologías de apoyo (incluyendo aplicaciones e infraestructura) Metas, describiendo los objetivos de calidad y cumplimiento para cada capacidad de servicio y las métricas relacionadas 4) Dentro del catalizador "Procesos" existe una distinción entre procesos de gobierno y procesos de gestión, indique sus características. Uno de los principios rectores de COBIT 5 es la distinción que se realiza entre el gobierno y la gestión: Procesos de gobierno: Los procesos de gobierno se ocupan de los objetivos de gobierno de las partes interesadas proporcionar valor, optimizar riesgos y recursos. Incluyen prácticas y actividades enfocadas a evaluar opciones estratégicas, proporcionando dirección a seguridad de la información y supervisando sus resultados. Procesos de gestión: Estos procesos incluyen prácticas y actividades orientados a cubrir las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM) la seguridad de la información. 3) ¿Por qué se dice que la Seguridad de la información es un catalizador de negocio? La seguridad de la información es un catalizador de negocio que está intrínsecamente unido a la confianza de las partes interesadas, ya sea tratando los riesgos de negocio o creando valor para la empresa como una ventaja competitiva. En un momento en que la importancia de la información y las tecnologías relacionadas con ella están creciendo en cada aspecto del mundo de los negocios y la vida pública, la necesidad de mitigar el riesgo sobre la

información, lo que incluye proteger la información y los activos de TI relacionados con ella de amenazas que cambian continuamente, se está intensificando constantemente.

PREGUNTAS COBIT 1. Cuáles son los roles específicos de seguridad de la información que se pueden crear? Respuesta:  Administradores de seguridad de la información.  Arquitectos de seguridad de la información.  Oficiales de cumplimiento y auditorias de seguridad de la información 2. A que tareas soportan los principios de Seguridad de la Información? Respuesta: • Dar soporte al negocio • Defender el negocio • Promover un comportamiento responsable en seguridad de la información

3. Cuáles son los perfiles de los líderes que podrían servir como líderes de seguridad de la información? Respuesta: • Gestores de Riesgos • Profesionales de la seguridad de la información • Ejecutivos de alto nivel: CEO, COO, CFO, CIO • Director de Recursos Humanos

Preguntas ISO 31000 vs ISO 27005 1. Defina la ISO 31000: Proporciona directrices sobre la forma de organizar la gestión de riesgos en las organizaciones, permite establecer principios y guías para el diseño, implementación y mantenimiento de la gestión de riegos de forma sistemática y transparente de toda forma de riesgo en cualquier contexto. 2. Defina la ISO 27005: Esta norma suministra directrices para la gestión de riesgos de la seguridad de la información. 3. Dentro del ámbito de Planeación en que se enfoca cada ISO: ISO 31000: Diseño del Marco de Trabajo para Gestión de Riesgos. ISO 27005: Definir Plan de Gestión de Riesgos. Preguntas: 1) ¿Cuál es el enfoque de la norma ISO 27005? a) Suministra directrices para la gestión del riesgo en la seguridad de la información. b) Definen como establecer procesos y políticas para la gestión de riesgos c) Establecen el control y monitoreo de la gestión de riesgos a nivel gerencial d) Ayudan a las organizaciones de todo tipo y tamaño a gestionar el riesgo sin garantizar la efectividad del mismo. Respuesta: a 2) ¿En qué se basa la valoración del riesgo? a) En planificar, analizar y priorizar el riesgo b) La conceptualización de indicadores para la gestión de riesgos c) Identificar, estimar y evaluar el riesgo d) Todas las anteriores Respuesta: c 3) Dentro plan de comunicación para la gestión del riesgo tecnológico existen 3 etapas, indique cual no corresponde

a) b) c) d)

Comunicación sobre la marcha Comunicación interpersonal Comunicación inicial Comunicación de resultados

Respuesta: b 1 Escriba tres beneficios de COBIT 5 •

Optimizar el costo de los servicios de TI y la tecnología

•

Mantener información de calidad para apoyar decisiones del negocio

•

Lograr la excelencia operativa a través de la aplicación confiable y eficiente de la tecnología.

•

Generar valor para el negocio de las inversiones habilitadas con TI

•

Optimización del riesgo.

•

Soporte mejorado a la innovación y competitividad.

•

Mantener TI relacionados con el riesgo a un nivel aceptable

PREGUNTAS BMIS ¿Por qué se dice que el BMIS es holístico? Se dice que es holístico porque la alteración de uno de los procesos que conforman el BMIS significaría la alteración o modificación del resto de los procesos.

¿Cuáles son las fases básicas a utilizar para viabilizar el uso de BMIS? Integrar plenamente el programa de seguridad existente. • Analizar e incorporar las medidas de seguridad detalladas y soluciones en sitio. • Alinear las normas vigentes, reglamentos y marcos a BMIS. • Identificar claramente las fortalezas y debilidades en la seguridad existente. • Utilizar el sistema de seguridad dinámica que introduce BMIS. • Manejo de emergencia dentro de la organización para maximizar las mejoras de seguridad.

Mencione 3 aspectos relevantes de las DIS   

Cualquier DIS entre dos elementos es flexible Los DIS en BMIS también interactúan entre sí en un sentido sistémico Representa las partes dinámicas de la modelo en el que ocurren las acciones y donde los cambios, a su vez, lo influencian los elementos

¿Cómo se define Tecnología dentro de BMIS? Tecnología se refiere a cada implementación de habilidades técnicas y conocimientos que podrían posiblemente tener un impacto en la seguridad general de la información.

Mencione tres peligros potenciales que deben tomarse en cuenta en la Interacción Dinámica (DI) Factor Humano   

Falla al apreciar los conceptos de riesgo de negocio. Falla al darse cuenta e implementar los controles de seguridad disponibles en el sistema. Errores humanos como falta de memoria o falta de atención al detalle.

De un ejemplo de cómo integrar soluciones individuales a un sistema de detección de intrusión? Respuesta: En BMIS el sistema de detección de intrusión es parte del elemento tecnología. El IDS es parte del ID arquitectura y este es soportado por el ID habilitacion&soporte. De esta manera se los integra, no se toma en cuenta al DI factor-Humano porque es improbable que un IDS sea manejado por usuarios, solo por expertos del área.

Según el elemento Personal. ¿En qué aspectos debe trabajar estrechamente el CISO con el departamento de Recursos Humanos? Debe trabajar en estos puntos: a Reclutamiento. b Aspectos relacionados con el empleo.

c

Terminación de relaciones laborales.

BANCO DE PREGUNTAS BMIS N RESPUE o. PREGUNTA STA Cuál es la conexión dinámica más influyente del BMIS Gobierno Habilitación y Soporte 1. Cultura X Arquitectura Factor Humano Emergente Cuál es el elemento que no toman en cuenta otros modelos de gestión de seguridad? Personas 2. Procesos Organización X Tecnología Quiénes deben formar parte de un programa de seguridad de información? Solo Líderes de la organización 3. Solo Personal operativo Solo personal administrativo Todos los integrantes de una organización X La conexión dinámica de arquitectura se enlaza entre los elementos: Organización y Personas 4. Organización y tecnología X Personas y Tecnología Personas y Procesos