Análisis y gestión de riesgos de sistemas de información — Cuerpo de Gestión de Sistemas e Informática de la Administración del Estado

Test de 30 preguntas con explicaciones justificadas.

Pregunta 1: Según la norma ISO 27001, ¿cuál es la definición de riesgo?

A) La posibilidad de que se materialice una amenaza.
B) El efecto de la incertidumbre sobre los objetivos.
C) La combinación de la probabilidad de un evento y sus consecuencias.
D) La exposición a daños o pérdidas.

Según la norma ISO 27001:2013, el riesgo se define como el efecto de la incertidumbre sobre los objetivos.

Pregunta 2: ¿Qué real decreto aprueba el Esquema Nacional de Seguridad (ENS) en España?

A) Real Decreto 3/2010, de 8 de enero.
B) Real Decreto 4/2010, de 8 de enero.
C) Real Decreto 3/2010, de 14 de enero.
D) Real Decreto 4/2010, de 14 de enero.

El Esquema Nacional de Seguridad se establece en el Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica.

Pregunta 3: ¿Cuál de las siguientes metodologías es la recomendada por el Centro Criptológico Nacional (CCN) para el análisis de riesgos en las administraciones públicas españolas?

A) OCTAVE
B) MAGERIT
C) NIST SP 800-30
D) ISO 27005

MAGERIT (Método de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología publicada por el CCN-STIC para el análisis de riesgos en las administraciones públicas, según la Guía CCN-STIC 817.

Pregunta 4: En el contexto de la gestión de riesgos, ¿cuál de los siguientes es un tipo de control destinado a reducir la probabilidad de que ocurra un incidente?

A) Control detectivo
B) Control correctivo
C) Control preventivo
D) Control compensatorio

Los controles preventivos están diseñados para evitar la materialización de una amenaza, reduciendo así su probabilidad, según la taxonomía de controles de seguridad de la información.

Pregunta 5: Según el Esquema Nacional de Seguridad (ENS), ¿qué documento debe establecer los objetivos y principios de seguridad de la información de una organización?

A) El Plan de Seguridad
B) La Política de Seguridad
C) El Análisis de Riesgos
D) El Plan de Continuidad

Según el ENS (Real Decreto 3/2010), la Política de Seguridad es el documento que define los objetivos y principios de seguridad de la información de una organización.

Pregunta 6: En el proceso de gestión de riesgos según ISO 27005, ¿cuál de las siguientes fases se realiza después de la evaluación de riesgos?

A) Identificación de riesgos
B) Tratamiento de riesgos
C) Análisis de riesgos
D) Aceptación de riesgos

Según la norma ISO 27005, el proceso de gestión de riesgos incluye: establecimiento del contexto, evaluación de riesgos (identificación, análisis, evaluación), tratamiento de riesgos, y luego seguimiento y revisión.

Pregunta 7: ¿Cuál de los siguientes elementos NO es considerado un activo en el análisis de riesgos?

A) La información almacenada en una base de datos
B) El personal de la organización
C) La reputación de la organización
D) Una amenaza externa

En el análisis de riesgos, los activos son elementos que tienen valor para la organización y que deben protegerse. Las amenazas son eventos potenciales que pueden causar daño a los activos.

Pregunta 8: Según el ENS, ¿cuál es el nivel de seguridad que se aplica a sistemas que tratan información clasificada como de alta importancia para el correcto funcionamiento del servicio?

A) Nivel bajo
B) Nivel básico
C) Nivel medio
D) Nivel alto

Según el Real Decreto 3/2010, el nivel medio de seguridad se aplica a sistemas que tratan información o prestan servicios cuyo funcionamiento inadecuado podría afectar significativamente a la eficacia de la Administración.

Pregunta 9: En el método MAGERIT, ¿qué herramienta se utiliza para representar gráficamente los activos y sus relaciones?

A) Diagrama de flujo
B) Matriz de riesgos
C) Diagrama de bloques
D) Mapa de activos

Según la metodología MAGERIT del CCN-STIC, el mapa de activos es una representación gráfica que muestra los activos y sus relaciones, facilitando el análisis de dependencias.

Pregunta 10: ¿Qué norma proporciona directrices para la gestión de riesgos de seguridad de la información?

A) ISO 27001
B) ISO 27002
C) ISO 27005
D) ISO 31000

La norma ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de la información, en el contexto de un SGSI.

Pregunta 11: En gestión de continuidad, ¿qué significa RPO?

A) Recovery Process Objective
B) Recovery Point Operation
C) Recovery Point Objective
D) Recovery Process Operation

RPO (Recovery Point Objective) es el punto en el tiempo al que se deben recuperar los datos tras un incidente, según la norma ISO 22301.

Pregunta 12: ¿Qué ley regula el régimen jurídico del sector público en España?

A) Ley 39/2015, de 1 de octubre
B) Ley 40/2015, de 1 de octubre
C) Ley 39/2015, de 1 de noviembre
D) Ley 40/2015, de 1 de noviembre

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece las bases del régimen jurídico de las administraciones públicas.

Pregunta 13: ¿Cuál de los siguientes es un método de análisis cuantitativo de riesgos?

A) Matriz de probabilidad-impacto
B) Análisis de escenarios
C) Método Delphi
D) Análisis de valor esperado

El análisis de valor esperado es un método cuantitativo que multiplica el impacto monetario por la probabilidad, según las directrices de gestión de riesgos.

Pregunta 14: La opción de "evitar el riesgo" en el tratamiento de riesgos implica:

A) Compartir el riesgo con un tercero
B) Aplicar controles para reducir la probabilidad
C) Eliminar la fuente del riesgo
D) Aceptar las consecuencias

Evitar el riesgo significa decidir no realizar la actividad que conlleva el riesgo o eliminarla, según ISO 27005.

Pregunta 15: Según el ENS, ¿qué documento contiene el resultado de la evaluación de riesgos?

A) Plan de Seguridad
B) Política de Seguridad
C) Análisis de Riesgos
D) Declaración de aplicabilidad

El análisis de riesgos es el documento que recoge los resultados de la evaluación de riesgos, según el ENS.

Pregunta 16: En el contexto de la gestión de riesgos, ¿qué se entiende por "impacto"?

A) La probabilidad de que ocurra un evento
B) La frecuencia con la que se materializa una amenaza
C) La vulnerabilidad explotada por una amenaza
D) La consecuencia de un evento sobre los activos

Según la norma ISO 27000, el impacto es el resultado de un incidente de seguridad, que afecta a los activos.

Pregunta 17: En la metodología OCTAVE, ¿qué significa el acrónimo OCTAVE?

A) Operational Critical Threat, Asset, and Vulnerability Evaluation
B) Operational Critical Threat, Asset, and Value Evaluation
C) Operational Critical Threat, Asset, and Vulnerability Estimation
D) Operational Critical Threat, Asset, and Vulnerability Examination

OCTAVE es una metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Universidad Carnegie Mellon, y su acrónimo significa Operational Critical Threat, Asset, and Vulnerability Evaluation.

Pregunta 18: Según el ENS, ¿qué organismo actúa como órgano de apoyo técnico en materia de seguridad de las tecnologías de la información?

A) El Instituto Nacional de Ciberseguridad (INCIBE)
B) El Centro Criptológico Nacional (CCN)
C) La Agencia Española de Protección de Datos (AEPD)
D) El Ministerio de Industria, Comercio y Turismo

Según el Real Decreto 3/2010, el Centro Criptológico Nacional (CCN) actúa como órgano de apoyo técnico en materia de seguridad de las tecnologías de la información para las Administraciones Públicas.

Pregunta 19: ¿Qué norma internacional proporciona principios y directrices para la gestión de riesgos en general?

A) ISO 27001
B) ISO 27005
C) ISO 31000
D) ISO 22301

La norma ISO 31000:2018 proporciona principios, marco y proceso para la gestión de riesgos en cualquier tipo de organización.

Pregunta 20: ¿Qué tipo de control es un seguro contra ciberriesgos?

A) Preventivo
B) Detectivo
C) Correctivo
D) Compensatorio

Los controles compensatorios son aquellos que proporcionan una alternativa a los controles primarios, como un seguro que compensa pérdidas financieras.

Pregunta 21: Según ISO 27005, ¿qué se entiende por "riesgo residual"?

A) El riesgo que queda después de aplicar los controles
B) El riesgo que no puede ser tratado
C) El riesgo que se transfiere a un tercero
D) El riesgo que se acepta explícitamente

Según la norma ISO 27005, el riesgo residual es el riesgo que permanece después de haber aplicado los controles de tratamiento de riesgos.

Pregunta 22: En el contexto de la gestión de continuidad del negocio, ¿qué significa BIA?

A) Business Impact Analysis
B) Business Integrity Assessment
C) Business Incident Analysis
D) Business Improvement Analysis

BIA (Business Impact Analysis) es el análisis de impacto al negocio, una fase clave en la gestión de la continuidad del negocio según la norma ISO 22301.

Pregunta 23: Según el ENS, ¿cuál de los siguientes es un principio básico de seguridad?

A) Confidencialidad, integridad, disponibilidad
B) Prevención, detección, respuesta
C) Protección, detección, reacción
D) Confidencialidad, autenticidad, no repudio

El ENS, en su artículo 7, establece como principios básicos la seguridad integral, la gestión de riesgos, la prevención, la reacción y la recuperación, pero los principios clásicos de la seguridad de la información son confidencialidad, integridad y disponibilidad, recogidos en la norma ISO 27000.

Pregunta 24: ¿Qué tipo de control es un sistema de prevención de intrusiones (IPS)?

A) Preventivo
B) Detectivo
C) Correctivo
D) Compensatorio

Un sistema de prevención de intrusiones (IPS) es un control preventivo, ya que bloquea actividades maliciosas en tiempo real.

Pregunta 25: En el método MAGERIT, ¿cuál de las siguientes no es una dimensión de valoración de los activos?

A) Confidencialidad
B) Integridad
C) Disponibilidad
D) Autenticidad

Según la metodología MAGERIT, los activos se valoran en función de las dimensiones de confidencialidad, integridad y disponibilidad (CID).

Pregunta 26: ¿Qué reglamento europeo regula la protección de datos personales?

A) Reglamento (UE) 2016/679
B) Reglamento (UE) 2016/680
C) Reglamento (UE) 2016/681
D) Reglamento (UE) 2016/682

El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), es la norma europea que regula la protección de datos personales.

Pregunta 27: En la gestión de riesgos, la "consulta" con las partes interesadas tiene como objetivo:

A) Informarles sobre los riesgos
B) Obtener su feedback y compromiso
C) Delegar responsabilidades
D) Documentar sus preocupaciones

La consulta en la gestión de riesgos es un proceso de comunicación bidireccional con las partes interesadas para considerar sus puntos de vista y lograr un compromiso, según ISO 31000.

Pregunta 28: Según el ENS, ¿qué documento debe aprobar el órgano directivo de la organización?

A) Plan de Seguridad
B) Política de Seguridad
C) Análisis de Riesgos
D) Plan de Continuidad

De acuerdo con el ENS, la política de seguridad debe ser aprobada por el órgano directivo de la organización, según el Real Decreto 3/2010.

Pregunta 29: ¿Qué norma británica precedió a la ISO 22301 en continuidad del negocio?

A) BS 25999
B) BS 7799
C) BS 7850
D) BS 8000

La norma BS 25999 fue la norma británica para la gestión de continuidad del negocio, que sirvió de base para la ISO 22301.

Pregunta 30: ¿Qué documento recoge los controles seleccionados para tratar los riesgos en un SGSI según ISO 27001?

A) Plan de Tratamiento de Riesgos
B) Declaración de Aplicabilidad
C) Política de Seguridad
D) Informe de Evaluación de Riesgos

Según ISO 27001, la declaración de aplicabilidad es el documento que contiene los controles seleccionados y justifica su inclusión o exclusión.

Análisis y gestión de riesgos de sistemas de información

Responde todas las preguntas y envía el test para ver tus resultados

0 / 30 respondidas

Pregunta 1

Según la norma ISO 27001, ¿cuál es la definición de riesgo?

ALa posibilidad de que se materialice una amenaza.
BEl efecto de la incertidumbre sobre los objetivos.
CLa combinación de la probabilidad de un evento y sus consecuencias.
DLa exposición a daños o pérdidas.

Pregunta 2

¿Qué real decreto aprueba el Esquema Nacional de Seguridad (ENS) en España?

AReal Decreto 3/2010, de 8 de enero.
BReal Decreto 4/2010, de 8 de enero.
CReal Decreto 3/2010, de 14 de enero.
DReal Decreto 4/2010, de 14 de enero.

Pregunta 3

¿Cuál de las siguientes metodologías es la recomendada por el Centro Criptológico Nacional (CCN) para el análisis de riesgos en las administraciones públicas españolas?

AOCTAVE
BMAGERIT
CNIST SP 800-30
DISO 27005

Pregunta 4

En el contexto de la gestión de riesgos, ¿cuál de los siguientes es un tipo de control destinado a reducir la probabilidad de que ocurra un incidente?

AControl detectivo
BControl correctivo
CControl preventivo
DControl compensatorio

Pregunta 5

Según el Esquema Nacional de Seguridad (ENS), ¿qué documento debe establecer los objetivos y principios de seguridad de la información de una organización?

AEl Plan de Seguridad
BLa Política de Seguridad
CEl Análisis de Riesgos
DEl Plan de Continuidad

Pregunta 6

En el proceso de gestión de riesgos según ISO 27005, ¿cuál de las siguientes fases se realiza después de la evaluación de riesgos?

AIdentificación de riesgos
BTratamiento de riesgos
CAnálisis de riesgos
DAceptación de riesgos

Pregunta 7

¿Cuál de los siguientes elementos NO es considerado un activo en el análisis de riesgos?

ALa información almacenada en una base de datos
BEl personal de la organización
CLa reputación de la organización
DUna amenaza externa

Pregunta 8

Según el ENS, ¿cuál es el nivel de seguridad que se aplica a sistemas que tratan información clasificada como de alta importancia para el correcto funcionamiento del servicio?

ANivel bajo
BNivel básico
CNivel medio
DNivel alto

Pregunta 9

En el método MAGERIT, ¿qué herramienta se utiliza para representar gráficamente los activos y sus relaciones?

ADiagrama de flujo
BMatriz de riesgos
CDiagrama de bloques
DMapa de activos

Pregunta 10

¿Qué norma proporciona directrices para la gestión de riesgos de seguridad de la información?

AISO 27001
BISO 27002
CISO 27005
DISO 31000

Pregunta 11

En gestión de continuidad, ¿qué significa RPO?

ARecovery Process Objective
BRecovery Point Operation
CRecovery Point Objective
DRecovery Process Operation

Pregunta 12

¿Qué ley regula el régimen jurídico del sector público en España?

ALey 39/2015, de 1 de octubre
BLey 40/2015, de 1 de octubre
CLey 39/2015, de 1 de noviembre
DLey 40/2015, de 1 de noviembre

Pregunta 13

¿Cuál de los siguientes es un método de análisis cuantitativo de riesgos?

AMatriz de probabilidad-impacto
BAnálisis de escenarios
CMétodo Delphi
DAnálisis de valor esperado

Pregunta 14

La opción de "evitar el riesgo" en el tratamiento de riesgos implica:

ACompartir el riesgo con un tercero
BAplicar controles para reducir la probabilidad
CEliminar la fuente del riesgo
DAceptar las consecuencias

Pregunta 15

Según el ENS, ¿qué documento contiene el resultado de la evaluación de riesgos?

APlan de Seguridad
BPolítica de Seguridad
CAnálisis de Riesgos
DDeclaración de aplicabilidad

Pregunta 16

En el contexto de la gestión de riesgos, ¿qué se entiende por "impacto"?

ALa probabilidad de que ocurra un evento
BLa frecuencia con la que se materializa una amenaza
CLa vulnerabilidad explotada por una amenaza
DLa consecuencia de un evento sobre los activos

Pregunta 17

En la metodología OCTAVE, ¿qué significa el acrónimo OCTAVE?

AOperational Critical Threat, Asset, and Vulnerability Evaluation
BOperational Critical Threat, Asset, and Value Evaluation
COperational Critical Threat, Asset, and Vulnerability Estimation
DOperational Critical Threat, Asset, and Vulnerability Examination

Pregunta 18

Según el ENS, ¿qué organismo actúa como órgano de apoyo técnico en materia de seguridad de las tecnologías de la información?

AEl Instituto Nacional de Ciberseguridad (INCIBE)
BEl Centro Criptológico Nacional (CCN)
CLa Agencia Española de Protección de Datos (AEPD)
DEl Ministerio de Industria, Comercio y Turismo

Pregunta 19

¿Qué norma internacional proporciona principios y directrices para la gestión de riesgos en general?

AISO 27001
BISO 27005
CISO 31000
DISO 22301

Pregunta 20

¿Qué tipo de control es un seguro contra ciberriesgos?

APreventivo
BDetectivo
CCorrectivo
DCompensatorio

Pregunta 21

Según ISO 27005, ¿qué se entiende por "riesgo residual"?

AEl riesgo que queda después de aplicar los controles
BEl riesgo que no puede ser tratado
CEl riesgo que se transfiere a un tercero
DEl riesgo que se acepta explícitamente

Pregunta 22

En el contexto de la gestión de continuidad del negocio, ¿qué significa BIA?

ABusiness Impact Analysis
BBusiness Integrity Assessment
CBusiness Incident Analysis
DBusiness Improvement Analysis

Pregunta 23

Según el ENS, ¿cuál de los siguientes es un principio básico de seguridad?

AConfidencialidad, integridad, disponibilidad
BPrevención, detección, respuesta
CProtección, detección, reacción
DConfidencialidad, autenticidad, no repudio

Pregunta 24

¿Qué tipo de control es un sistema de prevención de intrusiones (IPS)?

APreventivo
BDetectivo
CCorrectivo
DCompensatorio

Pregunta 25

En el método MAGERIT, ¿cuál de las siguientes no es una dimensión de valoración de los activos?

AConfidencialidad
BIntegridad
CDisponibilidad
DAutenticidad

Pregunta 26

¿Qué reglamento europeo regula la protección de datos personales?

AReglamento (UE) 2016/679
BReglamento (UE) 2016/680
CReglamento (UE) 2016/681
DReglamento (UE) 2016/682

Pregunta 27

En la gestión de riesgos, la "consulta" con las partes interesadas tiene como objetivo:

AInformarles sobre los riesgos
BObtener su feedback y compromiso
CDelegar responsabilidades
DDocumentar sus preocupaciones

Pregunta 28

Según el ENS, ¿qué documento debe aprobar el órgano directivo de la organización?

APlan de Seguridad
BPolítica de Seguridad
CAnálisis de Riesgos
DPlan de Continuidad

Pregunta 29

¿Qué norma británica precedió a la ISO 22301 en continuidad del negocio?

ABS 25999
BBS 7799
CBS 7850
DBS 8000

Pregunta 30

¿Qué documento recoge los controles seleccionados para tratar los riesgos en un SGSI según ISO 27001?

APlan de Tratamiento de Riesgos
BDeclaración de Aplicabilidad
CPolítica de Seguridad
DInforme de Evaluación de Riesgos

0 / 30 respondidas