Examen Unidad 2

UNIVERSIDAD PILOTO DE COLOMBIA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

EVALUACIÓN 2 GESTION DE RIESGOS DE SEGURIDAD
1 Un Programa efectivo de gestión de riesgo debería reducir el riesgo a:

a) cero
b) un nivel aceptable
c) un costo aceptable del riesgo
d) una probabilidad aceptable de ocurrencia
2 La razón más importante para llevar a cabo una evaluación periódica del riesgo es que:
a) Las evaluaciones de riesgo no siempre son precisas
b) Los riesgos de seguridad están sujetos a cambios frecuentes
c) Los revisores pueden optimizar y reducir el costo de los controles
d) Demuestra a la alta gerencia que la función de seguridad puede agregar valor
3 Cuál de los siguientes resultados es la MEJOR indicación de la existencia de una práctica exitosa de
gestión de riesgos
a) El riesgo total es cuantificado
b) El riesgo inherente es eliminado
c) El riesgo residual es minimizado
d) El riesgo residual es eliminado
4 Qué de lo siguiente se debería usar en un programa exitoso de administración de seguridad de la

información para determinar la cantidad de recursos dedicados a mitigar las exposiciones a los
riesgos
a) Los resultados del análisis de riesgos
b) Los hallazgos de los reportes de auditoría
c) Los resultados de las pruebas de penetración
d) La cantidad disponible del presupuesto de TI
5 Para manejar los cambios en el riesgo, un programa eficaz de administración de riesgos debe:
a) establecer niveles mínimos (baselines) de seguridad adecuados para todos los recursos de información
b) implementar un proceso completo de clasificación de datos
c) garantizar que se cuenta con procesos de monitoreo continuo
d) cambiar las políticas de seguridad en forma oportuna para tratar los riesgos cambiantes
6 El valor de los activos de información lo determinan MEJOR:

a) dueños de proceso
b) analistas de sistemas de negocio
c) gerencia de seguridad de la información
d) benchmarking de promedios de la industria
7 La siguiente tabla muestra la probabilidad estimada de que un sistema de cómputo sea destruido en un
desastre natural y la correspondiente pérdida general del negocio. Cual sistema tiene la MAS alta
exposición?
Probabilidad Pérdida (Impacto)
a. 25% U$ 4’000.000
b. 10% U$ 6’000.000
c. 15% U$ 5’000.000
d. 20% U$ 2’500.000
8 La clasificación de información es importante para administrar el riesgo en forma apropiada

PRINCIPALMENTE porque:
a) garantiza la responsabilidad sobre los recursos de información según se requiera mediante roles y
responsabilidades
b) se utiliza para identificar la sensibilidad y la criticidad de la información para la organización
c) es un requerimiento legal de conformidad con diversas regulaciones
d) no existe otra forma de cumplir con los requerimientos de disponibilidad, integridad y auditabilidad
9 La retención del riesgo es una estrategia de cuál de las siguientes etapas:

a) Valoración
b) Tratamiento
c) Evaluación
d) Monitoreo
10. Las vulnerabilidades identificadas durante una valoración deben:

a) manejarse como un riesgo aun cuando no exista una amenaza
b) priorizarse para su solución sólo con base en el impacto
c) evaluarse para determinar las amenazas y el impacto, además del costo de mitigación
d) ser una base para analizar la eficacia de los controles
11. Cual de los siguientes resultados del proceso de revisión de riesgos podría MEJOR asistir la toma de
decisión de la gerencia de riesgos?
a) Control de riesgo
b) Riesgo inherente
c) Exposición al riesgo
d) Riesgo residual
12. Los programas de administración de riesgos están diseñados para reducir el riesgo a:
a) Un nivel demasiado pequeño que sea medible
b) El punto en el cual el beneficio excede el gasto
c) Un nivel que la organización esté dispuesta aceptar
d) Una tasa de retorno que iguale el costo actual del capital
13. La MEJOR forma de realizar una valoración de riesgo es que sea realizada:
a) una vez al año para cada proceso y subproceso de la empresa.
b) cada tres a seis meses para procesos críticos de la empresa.
c) por terceras partes para mantener la objetividad.
d) anualmente o cada vez que hay un cambio importante.
14. Un programa de riesgos exitoso debe generar:

a) la optimización de los esfuerzos de reducción de riesgo a costos adecuados.
b) contención de las pérdidas a un monto anual presupuestado.
c) la identificación y el retiro de todas las amenazas generadas por humanos.
d) eliminación o transferencia de todos los riesgos organizativos.
15. Cuál de los siguientes describe MEJOR el papel del gerente de seguridad de la información en un
equipo multidisciplinario que se ocupará de un nuevo requisito reglamentario en relación con el riesgo
operativo?
a) asegurarse que todos los riesgos de TI son identificados
b) valorar el impacto de los riesgos para la seguridad de información
c) demostrar que los controles TI que mitigan los riesgos están implementados
d) indicar nuevos controles de TI para mitigar el riesgo de operaciones
16. Los propietarios de los datos son los PRINCIPALES responsables por establecer métodos de mitigación
de riesgo en cuanto a cuál de las siguientes áreas?
a) la seguridad de plataforma
b) los cambios de derechos sobre los activos de información
c) la detección de intrusos
d) controles de Antivirus
17. Cual de los siguientes grupos está en la MEJOR posición para llevar a cabo un análisis de riesgo para un
negocio?
a) Auditores externos
b) Un grupo equivalente dentro de un negocio similar
c) Dueños de los procesos
d) Un grupo consultor especializado
18 . Una institución financiera global ha decidido no tomar ninguna acción futura sobre el riesgo de
denegación del servicio (DDoS) encontrado por el equipo de evaluación de riesgos. La razón MAS probable
para que hayan tomado esa decisión es que:
a) Se tienen suficientes salvaguardias para prevenir que ocurra este riesgo
b) Es muy complicado desplegar las medidas necesarias
c) El costo de las medidas sobrepasa el valor de los activos y de la potencial pérdida.
d) La probabilidad de ocurrencia del riesgo es desconocida.
19. Un ejercicio de evaluación de riesgos de seguridad debería repetirse en intervalos regulares porque:
a) Las amenazas al negocio están cambiando constantemente
b) Se pueden identificar omisiones en evaluación anteriores
c) Las evaluaciones repetitivas permiten varias metodologías
d) Ayudan a crear conciencia sobre seguridad en el negocio
20. La desactivación temporal de algunos mecanismos de monitoreo, aún si están soportados en la

aceptación del riesgo operacional, NO PUEDE SER ACEPTABLE por el gerente de seguridad de la
información si:
a) Implica arriesgar el cumplimiento regulatorio.
b) No se puede determinar el impacto a corto plazo.
c) Viola las prácticas de seguridad industrial.
d) Los cambios en la matriz de roles no pueden ser detectados.
Fin del examen verifique su hoja de respuestas

Examen Unidad 2

Cargado por

Copyright:

Formatos disponibles

Examen Unidad 2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Examen Unidad 2

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PILOTO DE COLOMBIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

1 Un Programa efectivo de gestión de riesgo debería reducir el riesgo a:

4 Qué de lo siguiente se debería usar en un programa exitoso de administración de seguridad de la

6 El valor de los activos de información lo determinan MEJOR:

Probabilidad Pérdida (Impacto)

8 La clasificación de información es importante para administrar el riesgo en forma apropiada

9 La retención del riesgo es una estrategia de cuál de las siguientes etapas:

10. Las vulnerabilidades identificadas durante una valoración deben:

14. Un programa de riesgos exitoso debe generar:

20. La desactivación temporal de algunos mecanismos de monitoreo, aún si están soportados en la

Fin del examen verifique su hoja de respuestas

También podría gustarte