Scribd
Cargar
167 vistas7 páginas

Examen de Ciberseguridad: Instrucciones y Contenido

El documento presenta instrucciones para un examen sobre ciberseguridad. Indica los datos personales que debe completar el estudiante, las instrucciones generales como revisar la documentación antes del examen y entregar todo correctamente. También menciona que se aplicará el reglamento de evaluación de la universidad y que se tendrán en cuenta las faltas de ortografía en la calificación.

Cargado por

Irene AbHr
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
167 vistas7 páginas

Examen de Ciberseguridad: Instrucciones y Contenido

El documento presenta instrucciones para un examen sobre ciberseguridad. Indica los datos personales que debe completar el estudiante, las instrucciones generales como revisar la documentación antes del examen y entregar todo correctamente. También menciona que se aplicará el reglamento de evaluación de la universidad y que se tendrán en cuenta las faltas de ortografía en la calificación.

Cargado por

Irene AbHr
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

DATOS PERSONALES FIRMA

Nombre: Jose Angel DNI:223-0048096-3


Apellidos: Mateo Castillo
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14131.- GOBIERNO DE LA


Ordinaria
EN CIBERSEGURIDAD CIBERSEGURIDAD Y ANÁLISIS
DE RIESGOS Número periodo 6320
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

07-09/07/2023 Modelo - C Republica Dominicana

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Ten disponible tu documentación oficial para identificarte, en el caso de que se te
solicite.
2. Rellena tus datos personales en todos los espacios fijados para ello y lee
atentamente todas las preguntas antes de empezar.
3. Las preguntas se contestarán en la lengua vehicular de esta asignatura.
4. Si tu examen consta de una parte tipo test, indica las respuestas en la plantilla según
las características de este.
5. Debes contestar en el documento adjunto, respetando en todo momento el
espaciado indicado para cada pregunta. Si este es en formato digital, los márgenes,
el interlineado, fuente y tamaño de letra vienen dados por defecto y no deben
modificarse. En cualquier caso, asegúrate de que la presentación es suficientemente
clara y legible.
6. Entrega toda la documentación relativa al examen, revisando con detenimiento que
los archivos o documentos son los correctos. El envío de archivos erróneos o un
envío incompleto supondrá una calificación de “no presentado”.
7. Durante el examen y en la corrección por parte del docente, se aplicará el
Reglamento de Evaluación Académica de UNIR que regula las consecuencias
derivadas de las posibles irregularidades y prácticas académicas incorrectas con
relación al plagio y uso inadecuado de materiales y recursos.
8. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.

Código de examen: 209937


Puntuación
Test

 Puntuación máxima 4.00 puntos

Desarrollo

 Puntuación máxima 6.00 puntos

Solo hay una respuesta correcta.

Cada respuesta correcta suma 0,4 puntos.

Cada pregunta incorrecta o sin responder no puntúa.

La pregunta que tenga más de una respuesta seleccionada quedará sin calificar.

Utiliza la plantilla que tienes al final de las preguntas para reflejar tus respuestas.

1. Según la ISO 27005, ¿cuál de las siguientes no es una característica de los análisis de
riesgos realizados con una perspectiva de alto alto nivel?:

A. Se obtienen riesgos más generales.


B. Proporciona controles de tipo organizativo.
C. Dificulta la priorización de la protección de los sistemas más críticos.
D. Facilita la aceptación del programa de apreciación de riesgos.

2. ¿Cuál de las siguientes no forma parte del contexto interno de una organización?

A. Misión, visión y valores.


B. Política de recursos humanos.
C. Huelga sectorial.
D. Conflicto del comité de empresa.

3. Según la NIST 800-30 Rev. 1, las aproximaciones al análisis de riesgos pueden estar
orientadas a:

A. Las amenazas, al impacto en el activo o a probabilidad.


B. Las amenazas, al impacto en el activo o a la vulnerabilidad.
C. Al activo, vulnerabilidades o a las amenazas.

Código de examen: 209937


D. Al Activo, al riesgo o la probabilidad.

4. Magerit es:

A. Una metodología centrada en la amenaza.


B. Una metodología centrada en el activo.
C. Una metodología centrada en las partes interesadas.
D. Una metodología centrada en la vulnerabilidad.

5. Un indicador es:

A. Objeto tangible o intangible que será caracterizado a través de la medición de sus


atributos.
B. Propiedad o característica de un objeto de medida, que puede ser distinguida
cuantitativa o cualitativamente, por una persona o sistema automatizado.
C. Variable a la que se le asigna un valor como resultado de una medición.
D. Medida que ofrece una estimación o evaluación de atributos específicos en un
modelo de referencia de acuerdo a unas necesidades de información definidas.

6. Cuando se habla del concepto de separación de obligaciones, se hace referencia a:

A. Para una determinada tarea, no haya nunca un solo usuario responsable de


realizarla
B. Solo se debe dar acceso a los usuarios a aquellos recursos de información que les
sean absolutamente imprescindibles para realizar su trabajo
C. Propone que las tareas asignadas a los empleados cambien de responsable de vez
en cuando
D. Condición de la información de encontrarse a disposición de quienes deben acceder
a ella como usuarios autorizados

7. ¿Cuál de los siguientes NO es un principio fundamental de ITIL?

A. ITIL no es propietario
B. ITIL es prescriptivo
C. ITIL consiste en las mejores prácticas
D. ITIL no es un estándar

8. ¿Para qué sirve un modelo de madurez?

A. Para obtener el apoyo y el compromiso de la Dirección en la gestión de la seguridad


de una organización
B. Para alinear la definición de los proceos y sus interacciones con las mejores
prácticas de los SG
C. Para reducir el riesgo de una organización
D. Para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y
optimizable

Código de examen: 209937


9. Los controles de gestión:

A. Identifican y registran cualquier ataque o intento de ataque que se produzca contra


los sistemas de información
B. Se corresponden con medidas de carácter técnico implementadas en todos los
niveles que conforman los sistemas de información
C. Definen el modo de comportamiento a seguir para garantizar la seguridad. Políticas,
procedimientos, etc.
D. Son llevados a cabo a través de sistemas de información o procesos automatizados
en cualquier circunstancia

10. Una vez se ha aprobado el examen de la certificación CISSP, para mantener la misma es
necesario:

A. Cumplir con la política de CPE y con el código de ética.


B. Cumplir con la política de CPE, con el código de ética y pagar las tasas de
mantenimiento
C. Pagar las tasas de mantenimiento
D. Cumplir con el código de ética y pagar las tasas de mantenimiento. Los CPE son
validados una única vez tras la aprobación del examen con la acreditación de
experiencia profesional en los dominios.

Código de examen: 209937


PLANTILLA DE RESPUESTAS
Preguntas / Opciones A B C D

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de examen: 209937


Esta sección contiene dos preguntas a desarrollar.

Responda a lo que se le pregunta en el enunciado de forma clara.

La calificación de cada pregunta es de un máximo de 3 puntos.

1. Enumere las fases en las que se divide la ISO 31000 y describa de forma detallada los
principios de la gestión del riesgo según la citada norma. (Responder en 2 caras)

La ISO 31000

La ISO 31000 tiene su enfoque en la totalidad en el riesgo, como puede impactar y cual es la
forma de mitigarlo.

La ISO 31000 establece los nieveles de riesgo en tres etapas:

 Indentificacion del riesgo


o Se realiza un levantamiento sistematico para identificar los riesgos asociados
 El analilsis del riesgo
o En esta parte se valora la forma en como afecta el riesgo, viendo la posibilidd de
que pueda ocurrir en el tiempo determinado
 La valoracion del riesgo
o Se establecen, metricas cuantitativas o cualificativas que permitan ver la forma en
como puede impactar el riesgo

Estableciendo dos factores a considerar como son:

 La probabilidad
 El impacto

Para establecer un ejemplo concreto de como la ISO 31000 trabaja sobre el riesgo,
indicaremos un ejemplo en una organización que transporta productos hacia el exterior

Se evalua el riesgo asociado a contexto exterior, donde se aplicar la geopolitica, entendiendo


que si el producto a exportar se enviara a una zona de conlicto militar, el riesgo de perder el
producto es sumanente alto, aplicando los controles de la ISO 31000 se puede establer un
tratado para este riesgo, minimizando su impacto, reduciendo costos.

Código de examen: 209937


2. Describa las principales características de la norma ISO 27001 y enumere las principales
versiones de la misma, indicando brevemente la evolución que ha seguido la
misma. (Responder en 2 caras)

ISO 27001

Es un estandar de carácter no obligatorio, pero las empresas que requieren su aplicabilidd


deben pasar la certificacion, esta aplica una auditoria por parte de un especialiesta certificado
en la materia, se realizara una evaluacion de situacion actual y conforme al resultado, si estan
al nivel de la norma seran a certificado

Su bjetivo principal es, analizar y gestionar los riesgos basados en los procesos ya que evalua
y controla a la organización en diferentes riesgos en lo que se encuentra sometido el sistema
de informacion SGSI

Las principales caracteristicas de la ISO 27001 son:

 La identificacion del riesgo


 Valoracion del riesgo, estableciendo el analisis de impacto y probabilidad
 Mitigacion del riesgo, estableciendo controles que puedan bajar la probalidad y el
impacto del riesgo identificado
 La evaluacion aplicandola mejora continua donde se identifique los puntos ya
mejorados y que puedas ser monitoreados y de ser posibles mejorados aun mas

Versiones de la ISO 27001

 ISO 27001:07 La norma ISO 27001 parte de su evolucion en el 2007 llegando a la


version mas puntual

 ISO 27001:2013 donde se establecen principios de cumplimiento, el orden de lo


controles no establecen su nivel de importancia, mas bien aplica un orden de como se
debe ejecutar, en esta version no contempla la relacion con el cliente.

 ISO 27001:2017 una version mayor, se mantienen los controles vigentes de la ISO
27001:2013, se anade la relacion con el cliente y se aplican nuevos controles

 ISO 27001:2022 la version mas actualizada, se gregaron 8 nuevos controles y se amplio


el marco de cumplimiento de normas, que antes no eran de carácter obligatorio, los
controles fueron aumentados a 48

Código de examen: 209937

También podría gustarte