EXIN Information Security

Foundation basado en ISO/IEC

27001

Examen de muestra

Edición 201804
Copyright © EXIN Holding B.V. 2018. All rights reserved.
EXIN® is a registered trademark.

No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 2
Índice

Introducción 4
Examen de muestra 5
Soluciones 16
Evaluación 35

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 3
Introducción

Este es el examen de muestra para EXIN Information Security Foundation basado en

ISO/IEC 27001 (ISFS.SP). Las normas y reglamentos de exámenes EXIN se aplican a
este examen.

Este conjunto de preguntas de muestra consiste en 40 preguntas de opción múltiple.

El número máximo de puntos que se pueden obtener en este examen es de 40. Cada
respuesta correcta tiene un valor de un punto. Si usted consigue 26 puntos o más,
habrá aprobado el examen.

El tiempo permitido para este examen es de 60 minutos.

¡Buena suerte!

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 4
Examen de muestra

1 de 40

¿Cuál es la relación entre datos e información?

A. Los datos son información estructurada.

B. La información es el significado y el valor asignado a una colección de datos.

2 de 40

A fin de contratar un seguro contra incendios, una oficina de administración debe

determinar el valor de los datos que maneja.

¿Qué factor no es importante para determinar el valor de los datos de una

organización?

A. El contenido de los datos

B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos
C. El carácter indispensable de los datos para los procesos de negocio
D. La importancia de los procesos de negocio que hacen uso de los datos

3 de 40

Un pirata informático consigue acceso a un servidor web y consigue ver un archivo de

dicho servidor que contiene los números de tarjetas de crédito.

¿Cuál de los principios de Confidencialidad, Integridad, Disponibilidad (CID) del

archivo de tarjetas de crédito se incumplió?

A. La disponibilidad
B. La confidencialidad
C. La integridad

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 5
4 de 40

En el vestíbulo de la empresa en la que usted trabaja hay una impresora de red.

Muchos empleados no recogen sus documentos impresos inmediatamente y los dejan
en la impresora.

¿Cuáles son las consecuencias de esto para la fiabilidad de la información?

A. Ya no se puede garantizar la integridad de la información.

B. Ya no se puede garantizar la disponibilidad de la información.
C. Ya no se puede garantizar la confidencialidad de la información.

5 de 40

Un análisis de riesgos bien realizado proporciona una gran cantidad de información

útil, y tiene cuatro objetivos principales.

¿Cuál no es uno de los cuatro objetivos principales de un análisis de riesgos?

A. Identificar activos y sus valores

B. Determinar el coste de las amenazas
C. Establecer un equilibrio entre los costes de un incidente y los costes de una
medida de seguridad
D. Determinar vulnerabilidades y amenazas relevantes

6 de 40

Una oficina de administración va a determinar los peligros a los que se encuentra

expuesta.

¿Cómo denominamos todo evento que pueda afectar negativamente a la fiabilidad de

la información?

A. Dependencia
B. Amenaza
C. Vulnerabilidad
D. Riesgo

7 de 40

¿Cuál es el objetivo de la gestión de riesgos?

A. Determinar la probabilidad de que un determinado riesgo se produzca

B. Determinar el daño causado por posibles incidentes de seguridad
C. Describir las amenazas a las que se encuentran expuestos los recursos de la TI
D. Implantar medidas para reducir los riesgos a un nivel aceptable

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 6
8 de 40

Hace un par de años puso en marcha su empresa, la cual ha pasado de 1 a 20

empleados. La información de su empresa es cada vez más valiosa y atrás han
quedado los días en los que podía controlarlo todo usted solo. Es consciente de que
debe tomar medidas pero, ¿cuáles? Usted contrata a un consultor que le aconseja
comenzar con un análisis de riesgo cualitativo.

¿Qué es un análisis de riesgo cualitativo?

A. Este análisis obedece a un cálculo de probabilidad estadística para calcular la

pérdida exacta causada por el daño.
B. Este análisis se basa en escenarios y situaciones, y genera una visión subjetiva de
las posibles amenazas.

9 de 40

Hubo un fuego en la sucursal de la empresa de seguros Midwest. Los bomberos

llegaron rápidamente al lugar y pudieron extinguirlo antes de que se propagara y
quemara el resto de los locales de la empresa. Sin embargo, el servidor sí quedó
destrozado por el fuego. Las cintas con las copias de seguridad guardadas en otra
habitación se derritieron y muchos otros documentos se perdieron definitivamente.

¿Cuál es un ejemplo del daño indirecto causado por el fuego?

A. Copias de seguridad derretidas

B. Sistemas informáticos quemados
C. Documentos quemados
D. Daño por el agua utilizada para extinguir el fuego

10 de 40

Usted es el propietario de la empresa de mensajería SpeeDelivery. Ha llevado a cabo

un análisis de riesgo y ahora desea determinar su estrategia en materia de riesgos.
Ha decidido tomar medidas para los grandes riesgos, pero no para los pequeños.

¿Cómo se llama esta estrategia en materia de riesgos?

A. Asumir riesgos
B. Evitar riesgos
C. Riesgo neutro

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 7
11 de 40

¿Cuál de los siguientes es un ejemplo de amenaza humana?

A. Un pendrive pasa un virus a la red.

B. Demasiado polvo en la sala de servidores.
C. Una fuga de agua causa un corte en el suministro de electricidad.

12 de 40

¿Cuál de los siguientes es un ejemplo de amenaza humana?

A. Un rayo
B. Fuego
C. Phishing

13 de 40

Trabaja en la oficina de una gran empresa. Recibe una llamada de una persona que
dice ser del Departamento de Soporte Técnico y le pide su contraseña.

¿Qué tipo de amenaza es esta?

A. Amenaza natural
B. Amenaza organizativa
C. Ingeniería social

14 de 40

Se produce un incendio en una sucursal de una empresa de seguros médicos. Se

traslada al personal a las sucursales vecinas para continuar su trabajo.

¿En qué punto del ciclo vital del incidente se encuentra para una medida en espera?

A. Entre la amenaza y el incidente

B. Entre la recuperación y la amenaza
C. Entre el daño y la recuperación
D. Entre el incidente y el daño

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 8
15 de 40

La información presenta varios aspectos relacionados con la fiabilidad, la cual se ve

amenazada constantemente. Son ejemplos de amenazas para la fiabilidad: un cable
suelto, la alteración de información por accidente, el uso de datos con fines
personales o la falsificación de los datos.

¿Cuál de los siguientes ejemplos es una amenaza para la integridad?

A. Un cable suelto
B. Una alteración accidental de los datos
C. Un uso privado de los datos

16 de 40

Un miembro del personal niega haber enviado un mensaje en particular.

¿Qué aspecto de la fiabilidad de la información se encuentra en peligro en este caso?

A. Disponibilidad
B. Corrección
C. Integridad
D. Confidencialidad

17 de 40

¿De qué manera se describe mejor el objetivo de la política de seguridad de la

información?

A. Una política de seguridad de la información documenta el análisis de los riesgos y

la búsqueda de contramedidas.
B. Una política de seguridad de la información proporciona indicaciones y soporte
técnico a la Dirección de la empresa que se encarga de la seguridad de la
información.
C. Una política de seguridad de la información presenta un plan de seguridad
concreto proporcionando los datos necesarios.
D. Una política de seguridad de la información ofrece una visión sobre las amenazas
y las posibles consecuencias.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 9
18 de 40

Se comunica a un empleado del departamento de soporte técnico un incidente de

seguridad relacionado con un servidor web. Su colega cuenta con más experiencia en
servidores web, así que le pasa el caso a ella.

¿Qué término describe este traspaso?

A. Escalado funcional
B. Escalado jerárquico

19 de 40

Una trabajadora de una empresa de seguros descubre que la fecha de validez de una
política se ha modificado sin su conocimiento. Ya que ella es la única persona
autorizada para hacerlo, informa de este incidente al Departamento de Soporte
Técnico. El trabajador del Departamento de Soporte Técnico registra la información
siguiente en relación con este incidente:

• fecha y hora
• descripción del incidente
• posibles consecuencias del incidente

¿Cuál es la información más importante que falta aquí en relación con el incidente?

A. El nombre de la persona que informa sobre el incidente

B. El nombre del paquete de software
C. El número del PC
D. Una lista de personas a las que se informó sobre el incidente

20 de 40

En el ciclo del incidente hay cuatro pasos consecutivos.

¿Qué paso sucede al paso Incidente?

A. Amenaza
B. Daño
C. Recuperación

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 10
21 de 40

¿Qué medida es de carácter preventivo?

A. Instalar un sistema de registro que permita reconocer los cambios de un sistema.

B. Cerrar todo el tráfico de Internet cuando un pirata informático consigue acceso a
los sistemas de la empresa.
C. Colocar la información confidencial en una caja fuerte.

22 de 40

¿Cuál de las siguientes es una medida represiva en caso de declararse un incendio?

A. Contratar un seguro de incendios

B. Apagar el incendio después de que lo descubra un detector de incendios
C. Reparar el daño causado por el incendio

23 de 40

¿Cuál es el propósito de clasificar la información?

A. Crear un manual acerca de cómo manejar dispositivos móviles

B. Colocar etiquetas, lo que hace que la información sea más fácil de reconocer
C. Clasificar la información según su confidencialidad

24 de 40

¿Quién está autorizado a cambiar la clasificación de un documento?

A. El autor del documento

B. El administrador del documento
C. El propietario del documento
D. El responsable del propietario del documento

25 de 40

La sala de ordenadores está protegida por un lector de tarjetas. Solo el Departamento

de Gestión de Sistemas posee una tarjeta.

¿Qué tipo de medida de seguridad es esta?

A. Una medida de seguridad correctiva

B. Una medida de seguridad física
C. Una medida de seguridad lógica
D. Una medida de seguridad inhibidora

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 11
26 de 40

Se requiere una autenticación fuerte para acceder a zonas altamente protegidas. En el

caso de una autenticación fuerte, la identidad de una persona se comprueba utilizando
tres factores.

¿Qué factor se comprueba cuando tenemos que mostrar un pase de acceso?

A. Algo que usted es

B. Algo que usted posee
C. Algo que usted sabe

27 de 40

En la seguridad física pueden aplicarse múltiples zonas de expansión (anillos de

protección) en las que pueden adoptarse diversas medidas.

¿Qué no es un anillo de protección?

A. Un edificio
B. Un anillo medio
C. Un objeto
D. Un anillo exterior

28 de 40

¿Qué amenaza puede presentarse como resultado de la ausencia de una medida

física?

A. Que un usuario puede ver los archivos que pertenecen a otro usuario.
B. Que un servidor se apague a causa de un sobrecalentamiento.
C. Que se deje un documento confidencial en la impresora.
D. Los piratas informáticos pueden acceder a la red.

29 de 40

¿Qué medida de seguridad es una medida técnica?

A. Asignar información a un propietario

B. El cifrado de archivos
C. Crear una política que defina lo que se permite y no se permite en los mensajes
de correo electrónico
D. Guardar las contraseñas de gestión del sistema en una caja fuerte

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 12
30 de 40

Las copias de seguridad del servidor central se guardan en una sala cerrada con llave
junto al servidor.

¿Qué riesgos corre la organización?

A. Si el servidor se bloquea, se requerirá mucho tiempo para que vuelva a estar

operativo.
B. En caso de que se produzca un incendio será imposible restaurar el sistema a su
estado anterior.
C. Que nadie es responsable de las copias de seguridad.
D. Que personas no autorizadas tienen fácil acceso a las copias de seguridad.

31 de 40

¿Qué tipo de código fraudulento (malware) crea una red de equipos contaminados?

A. Una bomba lógica

B. Un gusano Storm o Botnet
C. Un troyano
D. Un programa espía (spyware)

32 de 40

Dentro de una organización, el responsable de seguridad detecta que un puesto de

trabajo de un empleado está infectado con software malintencionado. El software
malintencionado se instaló debido a un ataque de suplantación de identidad.

¿Qué acción es la más beneficiosa para prevenir estos incidentes en el futuro?

A. Implantar tecnología MAC

B. Comenzar un programa de concienciación en materia de seguridad
C. Actualizar las restricciones del cortafuegos
D. Actualizar las firmas del filtro del correo basura

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 13
33 de 40

Usted trabaja en el Departamento de TI de una empresa de tamaño medio en la que

información confidencial ha caído en manos equivocadas varias veces. Esto ha
dañado la imagen de la empresa y le han pedido que proponga medidas organizativas
de seguridad para los ordenadores portátiles de su empresa.

¿Cuál sería el primer paso que debería realizar?

A. Formular una política de uso relativa a los dispositivos móviles (PDA, ordenadores
portátiles, teléfonos inteligentes, memorias USB).
B. Designar personal de seguridad.
C. Cifrar los discos duros de los ordenadores portátiles y las memorias USB.
D. Establecer una política de control de acceso.

34 de 40

¿Cómo se llama el sistema que garantiza la coherencia de la seguridad de la

información de la organización?

A. Sistema de gestión de la seguridad de la información (SGSI)

B. Rootkit
C. Normas de seguridad de información especial para el gobierno

35 de 40

¿Cómo se denomina al acto de «establecer si la identidad de una persona es la

correcta»?

A. Autenticación
B. Autorización
C. Identificación

36 de 40

¿Por qué es necesario mantener un plan de recuperación de desastres actualizado y

comprobarlo con frecuencia?

A. Para tener siempre acceso a las copias de seguridad recientes que están situadas
fuera de la oficina.
B. Para poder hacer frente a los fallos que ocurren a diario.
C. Porque, de lo contrario, en el caso de una interrupción de gran alcance, las
medidas tomadas y los procedimientos planificados en caso de incidentes pueden
no ser los adecuados o haber quedado obsoletos.
D. Porque lo requiere la legislación sobre la protección de datos personales.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 14
37 de 40

¿Con arreglo a qué legislación puede una persona solicitar la inspección de los datos
que se han registrado sobre él o ella?

A. Ley sobre registros públicos

B. Ley sobre la protección de datos personales
C. Ley sobre delincuencia informática
D. Ley de Transparencia y Acceso a la Información Pública del Gobierno

38 de 40

¿Cuál es un acto de regulación o legislativo relacionado con la seguridad de la

información que puede imponerse a todas las organizaciones?

A. Derechos de propiedad intelectual

B. ISO/IEC 27001
C. ISO/IEC 27002
D. Legislación sobre la protección de datos personales.

39 de 40

Usted es el propietario de la empresa de mensajería SpeeDelivery y ha contratado a

algunas personas que mientras esperan para realizar un envío pueden llevar a cabo
otras tareas. Sin embargo, advierte que este tiempo lo usan para enviar y leer
mensajes personales, así como para navegar por Internet.

En términos legales, ¿de qué modo pueden regularse mejor el uso de Internet y los
servicios de correo electrónico?

A. Instalar una aplicación que haga que no se pueda acceder a determinados sitios
web y filtre los archivos adjuntos de los mensajes de correo electrónico
B. Crear un código de conducta para el uso de Internet y del correo electrónico en el
que se establezcan los derechos y las obligaciones del empleado y del personal
C. Implantar normas de privacidad
D. Instalar un antivirus

40 de 40

¿Bajo qué condiciones se le permite a la empresa comprobar si los servicios de

Internet y de correo electrónico del lugar de trabajo se están utilizando con fines
privados?

A. Se le permite si se informa al empleado después de cada comprobación.

B. Se le permite si los empleados son conscientes de que esto puede ocurrir.
C. Se le permite si también hay instalado un cortafuegos.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 15
Soluciones
1 de 40

¿Cuál es la relación entre datos e información?

A. Los datos son información estructurada.

B. La información es el significado y el valor asignado a una colección de datos.

A. Incorrecto. La información consiste en datos estructurados.

B. Correcto. La información consiste en datos que, en un contexto específico, poseen
un significado para el receptor (Capítulo 3).

2 de 40

A fin de contratar un seguro contra incendios, una oficina de administración debe

determinar el valor de los datos que maneja.

¿Qué factor no es importante para determinar el valor de los datos de una

organización?

A. El contenido de los datos

B. Hasta qué punto se pueden recuperar datos perdidos, incompletos o incorrectos
C. El carácter indispensable de los datos para los procesos de negocio
D. La importancia de los procesos de negocio que hacen uso de los datos

A. Correcto. El contenido de los datos no determina su valor. (Capítulo 4)

B. Incorrecto. Los datos perdidos, incompletos o incorrectos que pueden ser
fácilmente recuperados son menos valiosos que los datos difíciles o imposibles de
recuperar.
C. Incorrecto. El carácter indispensable de los datos para los procesos de negocios
determina en parte su valor.
D. Incorrecto. Los datos críticos para procesos de negocios importantes son valiosos.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 16
3 de 40

Un pirata informático consigue acceso a un servidor web y consigue ver un archivo de

dicho servidor que contiene los números de tarjetas de crédito.

¿Cuál de los principios de Confidencialidad, Integridad, Disponibilidad (CID) del

archivo de tarjetas de crédito se incumplió?

A. La disponibilidad
B. La confidencialidad
C. La integridad

A. Incorrecto. El pirata informático no eliminó el archivo o negó el acceso a entidades

autorizadas de ningún modo, por lo que no se vulneró la disponibilidad.
B. Correcto. El pirata informático pudo leer el archivo (confidencialidad). (Capítulo 3)
C. Incorrecto. No se alteró información en el archivo de la tarjeta de crédito, por lo que
no se vulneró la integridad del archivo.

4 de 40

En el vestíbulo de la empresa en la que usted trabaja hay una impresora de red.

Muchos empleados no recogen sus documentos impresos inmediatamente y los dejan
en la impresora.

¿Cuáles son las consecuencias de esto para la fiabilidad de la información?

A. Ya no se puede garantizar la integridad de la información.

B. Ya no se puede garantizar la disponibilidad de la información.
C. Ya no se puede garantizar la confidencialidad de la información.

A. Incorrecto. La integridad de la información de los documentos impresos sigue

estando garantizada, ya que está en papel.
B. Incorrecto. La información sigue estando disponible en el sistema que se utilizó
para crearla e imprimirla.
C. Correcto. La información puede acabar en manos de terceros o ser leída por
personas que no deberían tener acceso a ella (Capítulo 3).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 17
5 de 40

Un análisis de riesgos bien realizado proporciona una gran cantidad de información

útil, y tiene cuatro objetivos principales.

¿Cuál no es uno de los cuatro objetivos principales de un análisis de riesgos?

A. Identificar activos y sus valores

B. Determinar el coste de las amenazas
C. Establecer un equilibrio entre los costes de un incidente y los costes de una
medida de seguridad
D. Determinar vulnerabilidades y amenazas relevantes

A. Incorrecto. Este es uno de los principales objetivos de un análisis de riesgo.

B. Correcto. Este no es un objetivo de un análisis de riesgo. Las medidas se pueden
seleccionar cuando en un análisis de riesgo se determina qué riesgos requieren una
medida de seguridad. (Capítulo 3)
C. Incorrecto. Este es uno de los principales objetivos de un análisis de riesgo.
D. Incorrecto. Este es uno de los principales objetivos de un análisis de riesgo.

6 de 40

Una oficina de administración va a determinar los peligros a los que se encuentra

expuesta.

¿Cómo denominamos todo evento que pueda afectar negativamente a la fiabilidad de

la información?

A. Dependencia
B. Amenaza
C. Vulnerabilidad
D. Riesgo

A. Incorrecto. Una dependencia no es un evento.

B. Correcto. Una amenaza es un posible evento que puede afectar negativamente a la
fiabilidad de la información (Capítulo 3).
C. Incorrecto. La vulnerabilidad es la medida en que un objeto es susceptible de una
amenaza.
D. Incorrecto. Un riesgo es el daño promedio previsto durante un periodo de tiempo
como resultado de una o más amenazas que conllevan una o varias interrupciones.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 18
7 de 40

¿Cuál es el objetivo de la gestión de riesgos?

A. Determinar la probabilidad de que un determinado riesgo se produzca

B. Determinar el daño causado por posibles incidentes de seguridad
C. Describir las amenazas a las que se encuentran expuestos los recursos de la TI
D. Implantar medidas para reducir los riesgos a un nivel aceptable

A. Incorrecto. Este objetivo forma parte de un análisis de riesgo.

B. Incorrecto. Este objetivo forma parte de un análisis de riesgo.
C. Incorrecto. Este objetivo forma parte de un análisis de riesgo.
D. Correcto. El objetivo de la gestión de riesgos es reducirlos a un nivel aceptable
(Capítulo 3).

8 de 40

Hace un par de años puso en marcha su empresa, la cual ha pasado de 1 a 20

empleados. La información de su empresa es cada vez más valiosa y atrás han
quedado los días en los que podía controlarlo todo usted solo. Es consciente de que
debe tomar medidas pero, ¿cuáles? Usted contrata a un consultor que le aconseja
comenzar con un análisis de riesgo cualitativo.

¿Qué es un análisis de riesgo cualitativo?

A. Este análisis obedece a un cálculo de probabilidad estadística para calcular la

pérdida exacta causada por el daño.
B. Este análisis se basa en escenarios y situaciones, y genera una visión subjetiva de
las posibles amenazas.

A. Incorrecto. En un análisis de riesgo cuantitativo se intentan determinar

numéricamente las probabilidades de varios eventos y el posible alcance de las
pérdidas si tuviera lugar un evento en particular.
B. Correcto. Un análisis de riesgo cualitativo implica definir las distintas amenazas,
determinar la extensión de los puntos débiles de la empresa y diseñar contramedidas
en caso de que se produjera un ataque (Capítulo 3).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 19
9 de 40

Hubo un fuego en la sucursal de la empresa de seguros Midwest. Los bomberos

llegaron rápidamente al lugar y pudieron extinguirlo antes de que se propagara y
quemara el resto de los locales de la empresa Sin embargo, el servidor sí quedó
destrozado por el fuego. Las cintas con las copias de seguridad guardadas en otra
habitación se derritieron y muchos otros documentos se perdieron definitivamente.

¿Cuál es un ejemplo del daño indirecto causado por el fuego?

A. Copias de seguridad derretidas

B. Sistemas informáticos quemados
C. Documentos quemados
D. Daño por el agua utilizada para extinguir el fuego

A. Incorrecto. Las cintas con las copias de seguridad derretidas son un daño directo
del fuego.
B. Incorrecto. Los sistemas informáticos quemados son un daño directo del fuego.
C. Incorrecto. Los documentos quemados son un daño directo del fuego.
D. Correcto. El daño por agua debido al uso de extintores es un daño indirecto del
fuego. Este es un daño colateral producido al apagar un incendio, cuyo objetivo es
minimizar el daño causado por el fuego (Capítulo 3).

10 de 40

Usted es el propietario de la empresa de mensajería SpeeDelivery. Ha llevado a cabo

un análisis de riesgo y ahora desea determinar su estrategia en materia de riesgos.
Ha decidido tomar medidas para los grandes riesgos, pero no para los pequeños.

¿Cómo se llama esta estrategia en materia de riesgos?

A. Asumir riesgos
B. Evitar riesgos
C. Riesgo neutro

A. Correcto. Esto significa que se aceptan algunos riesgos (Capítulo 3).

B. Incorrecto. Esto significa que se han tomado medidas para neutralizar la amenaza
de modo que no acabe en un incidente.
C. Incorrecto. Esto significa que se toman medidas de seguridad para que las
amenazas ya no se vuelvan a presentar, o si lo hacen, se minimice el daño
resultante.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 20
11 de 40

¿Cuál de los siguientes es un ejemplo de amenaza humana?

A. Un pendrive pasa un virus a la red.

B. Demasiado polvo en la sala de servidores.
C. Una fuga de agua causa un corte en el suministro de electricidad.

A. Correcto. Un pendrive siempre lo inserta una persona. Por ello, si al hacerlo entra
un virus en la red, es una amenaza humana. (Capítulo 3)
B. Incorrecto. El polvo no es una amenaza humana.
C. Incorrecto. Una fuga de agua no es una amenaza humana.

12 de 40

¿Cuál de los siguientes es un ejemplo de amenaza humana?

A. Un rayo
B. Fuego
C. Phishing

A. Incorrecto. Un rayo es un ejemplo de amenaza no humana.

B. Incorrecto. El fuego es un ejemplo de una amenaza no humana.
C. Correcto. El phishing (atraer a los usuarios a sitios Web falsos) es una forma de
amenaza humana. (Capítulo 3)

13 de 40

Trabaja en la oficina de una gran empresa. Recibe una llamada de una persona que
dice ser del Departamento de Soporte Técnico y le pide su contraseña.

¿Qué tipo de amenaza es esta?

A. Amenaza natural
B. Amenaza organizativa
C. Ingeniería social

A. Incorrecto. Una llamada telefónica es una acción humana por lo que no es una
amenaza natural.
B. Incorrecto. El término amenaza organizativa no es un término común utilizado para
nominar ningún tipo de amenaza.
C. Correcto. Al utilizar las expresiones adecuadas, o los nombres de personas
conocidas y sus departamentos, da la impresión de ser un colega que intenta obtener
secretos corporativos y comerciales. Debe comprobar si realmente está hablando con
la persona que cree. Un empleado del Departamento de Soporte Técnico nunca le
pedirá su contraseña (Capítulo 3).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 21
14 de 40

Se produce un incendio en una sucursal de una empresa de seguros médicos. Se

traslada al personal a las sucursales vecinas para continuar su trabajo.

¿En qué punto del ciclo vital del incidente se encuentra para una medida en espera?

A. Entre la amenaza y el incidente

B. Entre la recuperación y la amenaza
C. Entre el daño y la recuperación
D. Entre el incidente y el daño

A. Incorrecto. Llevar a cabo una medida de seguridad emergencia en caso de incendio

sin que se produzca un incidente es demasiado costoso.
B. Incorrecto. La recuperación tiene lugar después de poner en marcha una medida
de emergencia en caso de incendio.
C. Incorrecto. El daño y la recuperación están limitados, en realidad, por la medida de
emergencia en caso de incendio.
D. Correcto. Una medida de emergencia en caso de incendio es una medida
correctiva que se pone en marcha para limitar los daños (Capítulo 3).

15 de 40

La información presenta varios aspectos relacionados con la fiabilidad, la cual se ve

amenazada constantemente. Son ejemplos de amenazas para la fiabilidad: un cable
suelto, la alteración de información por accidente, el uso de datos con fines
personales o la falsificación de los datos.

¿Cuál de los siguientes ejemplos es una amenaza para la integridad?

A. Un cable suelto
B. Una alteración accidental de los datos
C. Un uso privado de los datos

A. Incorrecto. Un cable suelto es una amenaza para la disponibilidad de la

información.
B. Correcto. La alteración no intencionada de los datos supone una amenaza para la
integridad de estos.
C. Incorrecto. El uso de los datos para fines privados es una forma de uso incorrecta y
representa una amenaza para la confidencialidad (Capítulo 3).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 22
16 de 40

Un miembro del personal niega haber enviado un mensaje en particular.

¿Qué aspecto de la fiabilidad de la información se encuentra en peligro en este caso?

A. Disponibilidad
B. Corrección
C. Integridad
D. Confidencialidad

A. Incorrecto. Sobrecargar la infraestructura es un ejemplo de una amenaza para la

disponibilidad.
B. Incorrecto. La corrección no es un aspecto de fiabilidad. Es una característica de
integridad.
C. Correcto. Negarse a enviar un mensaje está relacionado con el no repudio: una
amenaza para la integridad (Capítulo 3).
D. Incorrecto. El mal uso y/o la revelación de datos son amenazas para la
confidencialidad.

17 de 40

¿De qué manera se describe mejor el objetivo de la política de seguridad de la

información?

A. Una política de seguridad de la información documenta el análisis de los riesgos y

la búsqueda de contramedidas.
B. Una política de seguridad de la información proporciona indicaciones y soporte
técnico a la Dirección de la empresa que se encarga de la seguridad de la
información.
C. Una política de seguridad de la información presenta un plan de seguridad
concreto proporcionando los datos necesarios.
D. Una política de seguridad de la información ofrece una visión sobre las amenazas
y las posibles consecuencias.

A. Incorrecto. El análisis de los riesgos y la búsqueda de contramedidas es el objetivo

del análisis de riesgo y la gestión de riesgo.
B. Correcto. La política de seguridad proporciona indicaciones y soporte a la gestión
relativa a la seguridad de la información (Capítulo 5).
C. Incorrecto. El plan de seguridad presenta una política de seguridad de la
información concreta. El plan incluye qué medidas se han seleccionado, quién es el
responsable de qué, las directrices para la implantación de medidas, etc.
D. Incorrecto. El objetivo de un análisis de amenazas es ofrecer una visión sobre las
amenazas y las posibles consecuencias.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 23
18 de 40

Se comunica a un empleado del departamento de soporte técnico un incidente de

seguridad relacionado con un servidor web. Su colega cuenta con más experiencia en
servidores web, así que le pasa el caso a ella.

¿Qué término describe este traspaso?

A. Escalado funcional
B. Escalado jerárquico

A. Correcto. Si el empleado del departamento de soporte técnico no puede ocuparse

del incidente personalmente, el incidente puede transferirse a una persona con más
experiencia que pueda resolver el problema. Esto se denomina un escalado funcional
(horizontal). (Capítulo 16)
B. Incorrecto. Esto se denomina un escalado funcional (horizontal). Escalado
jerárquico hace referencia a una transfiere que se pasa a alguien con mayor
autoridad.

19 de 40

Una trabajadora de una empresa de seguros descubre que la fecha de validez de una
política se ha modificado sin su conocimiento. Ya que ella es la única persona
autorizada para hacerlo, informa de este incidente al Departamento de Soporte
Técnico. El trabajador del Departamento de Soporte Técnico registra la información
siguiente en relación con este incidente:

• fecha y hora
• descripción del incidente
• posibles consecuencias del incidente

¿Cuál es la información más importante que falta aquí en relación con el incidente?

A. El nombre de la persona que informa sobre el incidente

B. El nombre del paquete de software
C. El número del PC
D. Una lista de personas a las que se informó sobre el incidente

A. Correcto. Al informar de un incidente debe registrarse, como mínimo, el nombre de

la persona que informa (Capítulo 16).
B. Incorrecto. Esta es información adicional que puede añadirse más adelante.
C. Incorrecto. Esta es información adicional que puede añadirse más adelante.
D. Incorrecto. Esta es información adicional que puede añadirse más adelante.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 24
20 de 40

En el ciclo del incidente hay cuatro pasos consecutivos.

¿Qué paso sucede al paso Incidente?

A. Amenaza
B. Daño
C. Recuperación

A. Incorrecto. El daño sucede al incidente. El orden correcto de los pasos es:

Amenaza, Incidente, Daño y Recuperación.
B. Correcto. El orden de los pasos en el ciclo del incidente son: Amenaza, Incidente,
Daño y Recuperación (Capítulo 16).
C. Incorrecto. El daño sucede al incidente. El orden correcto de los pasos es:
Amenaza, Incidente, Daño y Recuperación.

21 de 40

¿Qué medida es de carácter preventivo?

A. Instalar un sistema de registro que permita reconocer los cambios de un sistema.

B. Cerrar todo el tráfico de Internet cuando un pirata informático consigue acceso a
los sistemas de la empresa.
C. Colocar la información confidencial en una caja fuerte.

A. Incorrecto. A través de un sistema de registro puede investigarse lo ocurrido sólo

después de que el incidente haya ocurrido. Esta es una medida de detección
destinada a descubrir incidentes.
B. Incorrecto. Cerrar todo el tráfico de Internet es una medida represiva con el objetivo
de limitar un incidente.
C. Correcto. Una caja fuerte es una medida preventiva que evita que se pueda dañar
la información confidencial almacenada en la caja fuerte (Capítulo 3).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 25
22 de 40

¿Cuál de las siguientes es una medida represiva en caso de declararse un incendio?

A. Contratar un seguro de incendios

B. Apagar el incendio después de que lo descubra un detector de incendios
C. Reparar el daño causado por el incendio

A. Incorrecto. Contratar un seguro protege de las consecuencias financieras de un

incendio.
B. Correcto. Esta medida represiva minimiza el daño causado por el incendio
(Capítulo 3).
C. Incorrecto. Esta no es una medida represiva, puesto que no minimiza el daño
causado por el incendio.

23 de 40

¿Cuál es el propósito de clasificar la información?

A. Crear un manual acerca de cómo manejar dispositivos móviles

B. Colocar etiquetas, lo que hace que la información sea más fácil de reconocer
C. Clasificar la información según su confidencialidad

A. Incorrecto. La creación de un manual se incluye en las directrices para usuarios y

no a la clasificación de la información.
B. Incorrecto. Colocar etiquetas a la información se llama denominación, una forma
especial de categorizar la información que se ajusta a la clasificación.
C. Correcto. La clasificación de la información se utiliza para definir los distintos
niveles de confidencialidad en los que esta se estructura (Capítulo 3 y 8).

24 de 40

¿Quién está autorizado a cambiar la clasificación de un documento?

A. El autor del documento

B. El administrador del documento
C. El propietario del documento
D. El responsable del propietario del documento

A. Incorrecto. El autor puede modificar el contenido, pero no puede modificar la

clasificación de un documento.
B. Incorrecto. El administrador no puede modificar la clasificación de un documento.
C. Correcto. El propietario debe asegurarse de que el activo pueda clasificarse o
reclasificase si fuera necesario, por lo que está autorizado para cambiar la
clasificación del documento (Capítulo 3 y 8).
D. Incorrecto. El responsable del propietario no tiene autorización en esta materia.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 26
25 de 40

La sala de ordenadores está protegida por un lector de tarjetas. Solo el Departamento

de Gestión de Sistemas posee una tarjeta.

¿Qué tipo de medida de seguridad es esta?

A. Una medida de seguridad correctiva

B. Una medida de seguridad física
C. Una medida de seguridad lógica
D. Una medida de seguridad inhibidora

A. Incorrecto. Una medida de seguridad correctiva es una medida de recuperación.

B. Correcto. Esta es una medida de seguridad física (Capítulo 3 y 11).
C. Incorrecto. Una medida de seguridad lógica controla el acceso al software y a la
información, no el acceso físico a las salas.
D. Incorrecto. Una medida de seguridad represiva está destinada a minimizar las
consecuencias de una interrupción.

26 de 40

Se requiere una autenticación fuerte para acceder a zonas altamente protegidas. En el

caso de una autenticación fuerte, la identidad de una persona se comprueba utilizando
tres factores.

¿Qué factor se comprueba cuando tenemos que mostrar un pase de acceso?

A. Algo que usted es

B. Algo que usted posee
C. Algo que usted sabe

A. Incorrecto. Un pase de acceso no es un ejemplo de algo que usted es.

B. Correcto. Un pase de acceso es un ejemplo de algo que usted posee
(Capítulo 11).
C. Incorrecto. Un pase de acceso no es algo que usted sabe.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 27
27 de 40

En la seguridad física pueden aplicarse múltiples zonas de expansión (anillos de

protección) en las que pueden adoptarse diversas medidas.

¿Qué no es un anillo de protección?

A. Un edificio
B. Un anillo medio
C. Un objeto
D. Un anillo exterior

A. Incorrecto. Un edificio es una zona válida y protege del acceso a las instalaciones.
B. Correcto. Los anillos de protección son: el anillo exterior (zona alrededor de las
instalaciones), el edificio (acceso a las instalaciones), el centro de trabajo (las salas en
las instalaciones, alias “Anillo interior”) y el objeto (el activo que hay que proteger). No
existe el anillo medio. (Capítulo 11)
C. Incorrecto. Un objeto es una zona válida y se ocupa del activo que hay que
proteger.
D. Incorrecto. Un anillo exterior es una zona válida y se ocupa de la zona alrededor de
las instalaciones.

28 de 40

¿Qué amenaza puede presentarse como resultado de la ausencia de una medida

física?

A. Que un usuario puede ver los archivos que pertenecen a otro usuario.
B. Que un servidor se apague a causa de un sobrecalentamiento.
C. Que se deje un documento confidencial en la impresora.
D. Los piratas informáticos pueden acceder a la red.

A. Incorrecto. El control de acceso lógico es una medida técnica que evita un acceso
no autorizado a los documentos de otro usuario.
B. Correcto. La seguridad física incluye la protección del equipo a través del control
térmico (aire acondicionado, humedad del aire) (Capítulo 11).
C. Incorrecto. La política de seguridad debería cubrir las normas acerca de cómo
manipular los documentos confidenciales. Todos los empleados deberían conocer
esta política y poner en práctica las normas. Es una medida organizativa.
D. Incorrecto. Prevenir que los piratas informáticos accedan al ordenador o a la red es
una medida técnica.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 28
29 de 40

¿Qué medida de seguridad es una medida técnica?

A. Asignar información a un propietario

B. El cifrado de archivos
C. Crear una política que defina lo que se permite y no se permite en los mensajes
de correo electrónico
D. Guardar las contraseñas de gestión del sistema en una caja fuerte

A. Incorrecto. Asignar información a un propietario se llama clasificación, que es una

medida organizativa.
B. Correcto. Esta es una medida técnica que previene que personal no autorizado
acceda a la información (Capítulo 6).
C. Incorrecto. Esta es una medida organizativa: un código de conducta que figura por
escrito en el contrato de trabajo.
D. Incorrecto. Esta es una medida organizativa.

30 de 40

Las copias de seguridad del servidor central se guardan en una sala cerrada con llave
junto al servidor.

¿Qué riesgos corre la organización?

A. Si el servidor se bloquea, se requerirá mucho tiempo para que vuelva a estar

operativo.
B. En caso de que se produzca un incendio será imposible restaurar el sistema a su
estado anterior.
C. Que nadie es responsable de las copias de seguridad.
D. Que personas no autorizadas tienen fácil acceso a las copias de seguridad.

A. Incorrecto. Por el contrario, esto haría que el sistema volviera a estar operativo más
rápidamente.
B. Correcto. La probabilidad de que las copias de seguridad también sean destruidas
en un incendio es muy elevada (Capítulo 11).
C. Incorrecto. La responsabilidad no tiene nada que ver con el lugar de
almacenamiento.
D. Incorrecto. La sala de ordenadores está cerrada con llave.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 29
31 de 40

¿Qué tipo de código fraudulento (malware) crea una red de equipos contaminados?

A. Una bomba lógica

B. Un gusano Storm o Botnet
C. Un troyano
D. Un programa espía (spyware)

A. Incorrecto. Una bomba lógica no es siempre un código fraudulento. Es una parte de

un código integrada en un sistema informático.
B. Correcto. Un gusano informático es un pequeño programa que se replica a sí
mismo intencionadamente, propagando copias del original mediante el uso de las
instalaciones de red de su host (Capítulo 12).
C. Incorrecto. Un troyano es un programa que, además de la función que parece
desempeñar, realiza deliberadamente actividades secundarias que pasan inadvertidas
por el usuario.
D. Incorrecto. El programa espía (spyware) es un programa que recoge información
del usuario del equipo y envía dicha información a un tercero.

32 de 40

Dentro de una organización, el responsable de seguridad detecta que un puesto de

trabajo de un empleado está infectado con software malintencionado. El software
malintencionado se instaló debido a un ataque de suplantación de identidad.

¿Qué acción es la más beneficiosa para prevenir estos incidentes en el futuro?

A. Implantar tecnología MAC

B. Comenzar un programa de concienciación en materia de seguridad
C. Actualizar las restricciones del cortafuegos
D. Actualizar las firmas del filtro del correo basura

A. Incorrecto. MAC hace referencia al control de acceso: ello no evita que un usuario
resulte persuadido para ejecutar ciertas acciones como resultado de un ataque
dirigido.
B. Correcto. La vulnerabilidad subyacente de esta amenaza es la concienciación del
usuario. Se persuade a los usuarios en estos tipos de ataques para ejecutar algún
código que incumpla la política (p. ej., instalar software sospechoso). Abordar estos
tipos de ataques en un programa de concienciación para la seguridad reducirá la
posibilidad de la reaparición en el futuro. (Capítulo 12)
C. Incorrecto. A pesar de que el cortafuegos pudiera, por ejemplo, bloquear el tráfico
que resultara de la instalación de software malintencionado, el cortafuegos no ayudará
a evitar que la amenaza vuelva a ocurrir.
D. Incorrecto. El ataque dirigido sufrido, no requiere necesariamente utilizar el correo
electrónico. El atacante puede utilizar, por ejemplo, las redes sociales, o incluso el
teléfono para establecer contacto con la víctima.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 30
33 de 40

Usted trabaja en el Departamento de TI de una empresa de tamaño medio en la que

información confidencial ha caído en manos equivocadas varias veces. Esto ha
dañado la imagen de la empresa y le han pedido que proponga medidas organizativas
de seguridad para los ordenadores portátiles de su empresa.

¿Cuál sería el primer paso que debería realizar?

A. Formular una política de uso relativa a los dispositivos móviles (PDA, ordenadores
portátiles, teléfonos inteligentes, memorias USB)
B. Designar personal de seguridad
C. Cifrar los discos duros de los ordenadores portátiles y las memorias USB
D. Establecer una política de control de acceso

A. Correcto. La política de uso de dispositivos móviles es una medida organizativa,

además, las medidas de seguridad para los ordenadores portátiles pueden ser una
obligación (Capítulo 6).
B. Incorrecto. Designar personal de seguridad es una medida técnica. Cuando alguien
saca un ordenador portátil de la oficina, el riesgo de filtración de la información
prevalece.
C. Incorrecto. Cifrar los discos duros de los ordenadores portátiles y las memorias
USB es una medida técnica. Puede llevarse a cabo basándose en una medida
organizativa.
D. Incorrecto. La política de control de acceso es una medida organizativa, que sólo
cubre el acceso a los edificios o a los sistemas de TI.

34 de 40

¿Cómo se llama el sistema que garantiza la coherencia de la seguridad de la

información de la organización?

A. Sistema de gestión de la seguridad de la información (SGSI)

B. Rootkit
C. Normas de seguridad de información especial para el gobierno

A. Correcto. El ISMS se describe en ISO/IEC 27001 (Capítulo 3).

B. Incorrecto. Un rootkit es un conjunto malicioso de herramientas informáticas, a
menudo utilizadas por un tercero (normalmente un pirata informático).
C. Incorrecto. Esto es un conjunto de normas gubernamentales sobre cómo manejar
la información especial.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 31
35 de 40

¿Cómo se denomina al acto de «establecer si la identidad de una persona es la

correcta»?

A. Autenticación
B. Autorización
C. Identificación

A. Correcto. El establecimiento de si la identidad de una persona es la correcta se

denomina autenticación (Capítulo 9).
B. Incorrecto. La autorización consiste en otorgar a una persona derechos de acceso
a un ordenador o a una red.
C. Incorrecto. Identificación es el proceso de dar a conocer la identidad.

36 de 40

¿Por qué es necesario mantener un plan de recuperación de desastres actualizado y

comprobarlo con frecuencia?

A. Para tener siempre acceso a las copias de seguridad recientes que están situadas
fuera de la oficina.
B. Para poder hacer frente a los fallos que ocurren a diario.
C. Porque, de lo contrario, en el caso de una interrupción de gran alcance, las
medidas tomadas y los procedimientos planificados en caso de incidentes pueden
no ser los adecuados o haber quedado obsoletos.
D. Porque lo requiere la legislación sobre la protección de datos personales.

A. Incorrecto. Esta es una de las medidas técnicas tomadas para recuperar un

sistema.
B. Incorrecto. Para interrupciones normales, las medidas que se toman habitualmente
y los procedimientos en caso de incidente, son suficientes.
C. Correcto. Una interrupción de gran alcance requiere un plan actualizado y
comprobado (Capítulo 17).
D. Incorrecto. La legislación sobre la protección de datos personales recoge la
privacidad de los datos personales.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 32
37 de 40

¿Con arreglo a qué legislación puede una persona solicitar la inspección de los datos
que se han registrado sobre él o ella?

A. Ley sobre registros públicos

B. Ley sobre la protección de datos personales
C. Ley sobre delincuencia informática
D. Ley de Transparencia y Acceso a la Información Pública del Gobierno

A. Incorrecto. La legislación sobre registros públicos regula el almacenamiento y

destrucción de documentos de archivo.
B. Correcto. El derecho a inspección está regulado por la legislación sobre la
protección de datos personales (Capítulo 18).
C. Incorrecto. La legislación sobre delincuencia informática facilita tratar los delitos
cometidos mediante tecnología de la información avanzada. Un ejemplo de un delito
nuevo es un ataque informático.
D. Incorrecto. Ley de Transparencia y Acceso a la información Pública del Gobierno
regula la inspección de documentos redactados por el gobierno. Los datos personales
no son un documento gubernamental.

38 de 40

¿Cuál es un acto de regulación o legislativo relacionado con la seguridad de la

información que puede imponerse a todas las organizaciones?

A. Derechos de propiedad intelectual

B. ISO/IEC 27001
C. ISO/IEC 27002
D. Legislación sobre la protección de datos personales.

A. Incorrecto. Esta regulación no está relacionada con la seguridad de la información

para las organizaciones.
B. Incorrecto. Esta es una norma con directrices para las organizaciones sobre cómo
gestionar la implantación de un proceso de seguridad de la información.
C. Incorrecto. Esta norma, también conocida como el Código de Buenas Prácticas
para la Seguridad de la Información, contiene directrices relativas a las medidas y a la
política de la seguridad de la información.
D. Correcto. Todas las organizaciones deberían contar con una política y
procedimientos para la protección de datos personales, que deberían ser conocidos
por todos aquellos que procesen dichos datos personales (Capítulo 18).

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 33
39 de 40

Usted es el propietario de la empresa de mensajería SpeeDelivery y ha contratado a

algunas personas que mientras esperan para realizar un envío pueden llevar a cabo
otras tareas. Sin embargo, advierte que este tiempo lo usan para enviar y leer
mensajes personales, así como para navegar por Internet.

En términos legales, ¿de qué modo pueden regularse mejor el uso de Internet y los
servicios de correo electrónico?

A. Instalar una aplicación que haga que no se pueda acceder a determinados sitios
web y filtre los archivos adjuntos de los mensajes de correo electrónico
B. Crear un código de conducta para el uso de Internet y del correo electrónico en el
que se establezcan los derechos y las obligaciones del empleado y del personal
C. Implantar normas de privacidad
D. Instalar un antivirus

A. Incorrecto. Instalar este tipo de software regula el uso de Internet y el correo

electrónico parcialmente. No puede regular el tiempo utilizado para uso personal. Es
una medida técnica.
B. Correcto. En un código de conducta el uso de Internet y correo
electrónico puede documentar qué sitios web pueden visitarse o no y en qué medida
se permite el uso personal. Estas son normas internas (Capítulo 18).
C. Incorrecto. Las normas de privacidad sólo regulan el uso de datos personales de
los empleados y los clientes, y no el uso de Internet y del correo electrónico.
D. Incorrecto. Un antivirus comprueba el software malicioso de los mensajes de correo
electrónico y las conexiones de Internet entrantes y no regula el uso de Internet y del
correo electrónico. Es una medida técnica.

40 de 40

¿Bajo qué condiciones se le permite a la empresa comprobar si los servicios de

Internet y de correo electrónico del lugar de trabajo se están utilizando con fines
privados?

A. Se le permite si se informa al empleado después de cada comprobación.

B. Se le permite si los empleados son conscientes de que esto puede ocurrir.
C. Se le permite si también hay instalado un cortafuegos.

A. Incorrecto. Los empleados no tienen que ser informados después de cada

comprobación.
B. Correcto. Los empleados deben saber que la empresa tiene derecho a monitorizar
el uso de los servicios TI. (Capítulo 3 y 18)
C. Incorrecto. Un cortafuegos protege de los intrusos externos. Esto no tiene nada que
ver con el derecho de la empresa a vigilar el uso de los servicios TI.

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 34
Evaluación

La siguiente tabla muestra las respuestas correctas a las cuestiones de este conjunto
de preguntas de prueba.

Número Respuesta Número Respuesta

1 B 21 C
2 A 22 B
3 B 23 C
4 C 24 C
5 B 25 B
6 B 26 B
7 D 27 B
8 B 28 B
9 D 29 B
10 A 30 B
11 A 31 B
12 C 32 B
13 C 33 A
14 D 34 A
15 B 35 A
16 C 36 C
17 B 37 B
18 A 38 D
19 A 39 B
20 B 40 B

Examen de muestra para EXIN Information Security Foundation

basado en ISO/IEC 27001 (ISFS.SP) 35
Contacto EXIN

www.exin.com