Estándar ISO 27000 :
Es un conjunto de estándares desarrollados por ISO e IEC
Proporciona un marco de gestión de la seguridad de la información utilizable solamente por organizaciones públicas.
No es una norma gratuita
El estándar 27000 está compuesto a grandes rasgos por :
ISMS(Information Security Management System).
Cálculo del nivel de riesgo.
Valoración de Riesgo.
Controles.
LOPD (Ley Orgánica de Protección de Datos).
ISO 27000: Se encuentra actualmente en desarrollo
El conjunto de estándares 27000 están desarrollados por :
ISO
ISMS
ICC
IEC
W3C
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre:
De 1 a 3 meses
De 3 a 6 meses
De 6 a 12 meses
De 1 a 2 años
La seguridad de la información se define en el estándar como :
Preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información).
Integridad (asegurando que la información y sus métodos de proceso son exactos y completos).
Disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).
Conformidad: conformidad con requisitos legales y contractuales
La versión de 2013 del estándar 27002 cuenta con 35 objetivos de control, 114 controles aplicables, y además, describe catorce dominios principales. Señala cuál de los siguientes NO forma parte de los dominios principales.
Criptografía.
Control de Accesos.
Gestión de los No Activos.
Seguridad de las Comunicaciones.
Selecciona la o las opciones correctas: ISO/IEC 27003:
Se centra en los aspectos críticos necesarios para el éxito en el diseño e implementación de un Sistema de Gestión de Seguridad de la Información.
Contiene una descripción del proceso de especificación del SGSI
Realiza el diseño y ejecución de distintos planes de implementación
Tiene como objetivo proporcionar orientación teórica en el desarrollo del plan de implementación para un Sistema de Gestión de Seguridad de Información.
Seleccione la opción correcta: En el estándar 27004, la medición de la seguridad :
Ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.
Aporta protección a los sistemas de la organización.
Da respuesta a las amenazas de la misma.
Todas las opciones son correctas.
La ISO 27004 se divide en distintas etapas: Seleccione cual de las siguientes NO forma parte de una de las etapas.
Selección procesos y objetos de medición.
Definición de las líneas base.
Control de Accesos
Recopilación de datos.
Interpretación de los valores medidos.
En la ISO 27005 la gestión de riesgos pasa por una fase de análisis de riesgos. Selecciona una respuestas que pertenezca a esta fase de análisis de riesgos:
Determinación de Inactivos.
Determinación de amenazas
Estimación del nivel de riesgo residual.
Ninguna es correcta
Selecciona la opción u opciones correctas: En la ISO 27005, forma parte de la fase de gestión de riesgos:
Determinación de los criterios de aceptación del riesgo.
Determinación de las medidas de seguridad necesarias
Estimación del nivel de riesgo residual
Seleccione la opción correcta: La norma ISO/IEC 27006:
Define los requisitos exigibles a los organismos certificadores de SGSIs.
Regula el proceso de acreditación.
Especifica los requisitos y suministra una guía para la auditoría y la certificación del sistema.
Todas son correctas.
¿ A que estándar sustituye SMTP Strict Transport Security ?
RFC 2779
RFC 3921
STARTTLS
¿Que proveedores de servicios de correo electrónico se unieron para mejorar la seguridad del tráfico de emails?
Google
Comcast
Apple
Microsoft
Yahoo
El nuevo mecanismo está definido como un estándard de Internet Engineering Task Force (IETF).
SMTP Strict Transport Security
Son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.
Es el protocolo de comunicación que permite las transferencias de información en la World Wide Web.
Las conexiones STARTTLS eran seguras ante los ataques man-in-the-middle
Internet Engineering Task Force (IETF).
El IETF es mundialmente conocido por ser la entidad que regula las propuestas y los estándares de Internet, conocidos como RFC.
Todos los documentos de la IETF están cerrados de cara al público.
Man-in-the-middle
Protocolo para mejorar la seguridad del tráfico de emails que atraviesa Internet.
Mecanismo que permite a los proveedores de correo electrónico definir políticas
Ataques que permite que el tráfico de correo electrónico sea descifrado por parte de un hacker.
