Seguridad y Continuidad del Negocio

Examen

Seguridad y Continuidad del Negocio.

Valor 60pts.

Porcentaje 15%

Nota:

Nombre:

Por favor subraye en color amarillo, la respuesta que considera ser correcta. 2 PUNTOS cada pregunta.

1. La organización PGM ha pensado en dar mayor protección a su información y desean seguir las mejores prácticas mundiales a nivel de seguridad de la información, sin embargo, desconocen cómo llevarlo a cabo. Dado el caso, se le consulta a usted como especialista en el área de Seguridad, que opción recomendaría a esta empresa para asegurar la protección de sus activos de información:

a. Una opción es implementar el ISO9001, implementando un sistema de gestión de la calidad.

b. Una opción es implementar el IS22301, implementando un sistema de gestión de la continuidad

c. Una opción es implementar el ISO27001, implementando un sistema de gestión de seguridad de la información

d. Una opción es implementar el ISO27002, implementando un sistema de gestión de controles de información.

2. Analice la siguiente situación: El área de soporte técnico e infraestructura de la empresa PGM ha estado realizando mantenimiento a la infraestructura únicamente cuando algún dispositivo presenta alguna falla. Durante ese momento activan el protocolo de mantenimiento de la infraestructura pero únicamente para el equipo que presenta falla. El resto de la infraestructura sino presenta fallas, lo mantienen igual. Lo anterior puede ser un ejemplo de:

a. Control preventivo

b. Una vulnerabilidad, por falta de mantenimiento

c. Control detectivo

d. Una amenaza, por falta de mantenimiento

3. Para todo proceso de gestión de cambios a nivel de las bases de datos, la compañía PGM tiene personal de tecnología que realiza estas funciones por solicitudes del negocio. Cuando hay una solicitud de cambio, el cambio es notificado al analista desarrollador, quien estudia y analiza el requerimiento y una vez que tiene la solución su paso siguiente es realizar el cambio en producción y luego notificar al solicitante que haga las pruebas en el ambiente de producción para verificar el cambio. De acuerdo con lo anterior la opción que representa la afirmación correcta es:

a. El proceso tiene una adecuada segregación de funciones y las pruebas se ejecutan

b. El proceso no tiene una adecuada segregación de funciones pero si se hacen las pruebas.

c. El proceso no tiene segregación de funciones apropiada y las pruebas no se ejecutan en un ambiente no productivo

d. El proceso si tiene una apropiada segregación de funciones, pero las pruebas no se ejecutan en un ambiente no productivo.

4. Una organización cuenta con un analista desarrollador especialista en el sistema de nómina. Este analista es experto en el sistema y el código en el que fue desarrollado. Actualmente la organización depende del analista para cada vez que el sistema requiere de algún cambio, mejora o actualización, ya que ningún otro colaborador posee dicho conocimiento. Lo anterior puede ser un ejemplo de:

a. Amenaza

b. Vulnerabilidad

c. Riesgo

d. Control preventivo

5. Observe la siguiente imagen:

Hace referencia a la política de contraseña parametrizada en un sistema operativo en un ambiente productivo. De acuerdo con las buenas prácticas mostradas en la imagen inferior se puede deducir que:

a. El sistema operativo cumple con todos los parámetros de contraseña

b. El sistema operativo tiene todos los parámetros configurados en NULL

c. El sistema operativo no cumple con el parámetro A(i), A(ii), A(iii), A(iv) y A(v)

d. Ninguna de las anteriores.

6. Un empleado de la organización PGM que labora para el área de Contabilidad instalo en su equipo un software de video juegos. El nunca interrumpe sus labores y siempre finaliza su trabajo a tiempo. Cuando tiene espacios libres, él toma su tiempo para utilizar el software y despejar su mente. De acuerdo con lo anterior cuál considera usted es la respuesta correcta:

a. No esta infringiendo nada, mientras termine y haga bien su trabajo no es problema que juegue.

b. Esto no representa ser un riesgo para la organización, él puede instalar software y jugar tranquilo mientras no afecte su rendimiento de trabajo.

c. Ninguna de las anteriores

d. Esto representa ser una amenaza. Instalar software no autorizado puede ser la puerta que algún software malicioso puede aprovechar y vulnerar alguna debilidad en la red

7. Un centro de datos se encuentra situado a 200 metros por donde pasa el cauce del río Virilla. El centro de datos se encuentra ahí desde los inicios de la compañía y a lo largo de 30 años nunca se ha visto afectado por alguna situación con el río. Sin embargo el rio representa ser para el centro de datos:

a. Un riesgo

b. Una amenaza

c. Una vulnerabilidad

d. Un factor de riesgo

8. En la organización PGM en el área de TI se ha descubierto que no se está realizando un proceso de monitoreo de cuáles son las cuentas genéricas para cada una de las infraestructuras que operan, por lo tanto desconocen por ejemplo si se encuentran habilitadas o deshabilitadas, con contraseñas default o si ha sido cambiada, responsables de uso, entre otros. Lo anterior es un ejemplo de:

a. Una vulnerabilidad

b. Un control preventivo

c. Un control detectivo

d. Un riesgo inherente.

9. Durante la última revisión de la auditoria interna, se encontró que la organización no tiene o lleva un proceso de revisión de los derechos de acceso,

...