TAREA NUMERO 1 1. En los ltimos 12 meses, de qu forma ha cambiado el entorno de riesgos en el cual opera?

a) Observamos un aumento en el nivel de riesgo debido al incremento en el nmero de amenazas (externas). b) Observamos un aumento en el nivel de riesgo debido al incremento en el nmero de vulnerabilidades (internas). c) Observamos una disminucin en el nivel de riesgo debido al decremento en el nmero de vulnerabilidades (internas). d) Observamos una disminucin en el nivel de riesgo debido al decremento en el nmero de amenazas (externas). e) No respondi. 2. En trminos absolutos, cul de los siguientes puntos describe el presupuesto total planeado de seguridad de la informacin de su organizacin para los prximos 12 meses? a) Aumentara. b) Permanecer igual. c) Disminuir. 3. La funcin de seguridad de la informacin es cumplir con las necesidades de su organizacin? a) S. b) No, debido principalmente a la falta de recursos capacitados. c) No, debido principalmente a otras razones. d) No, debido principalmente a restricciones en el presupuesto. e) No, debido principalmente a la falta de apoyo directivo. f) No contest. 4. Su organizacin actualmente permite el uso de computadoras tablet para fines de negocio? a) Bajo evaluacin o uso muy limitado. b) No. y no hay planes de utilizarlas en los prximos 12 meses. c) S, se utilizan ampliamente y la organizacin apoya a su uso oficialmente. d) No, pero su uso est planeado para los prximos 12 meses. e) S, usadas de manera extensa, pero no son oficialmente aprobadas por la organizacin. f) No contest.

5. Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo mvil (por ejemplo, computadoras Tablet)? a) Ajustes en la poltica. b) Tcnicas de encripcin. c) Cambios de arquitectura. d) Mayor capacidad de auditora. e) Ajuste en gestin de procesos incidentes. f) Nuevos procesos disciplinarios. g) Ninguno. h) No contest. i) Nuevo software de administracin de dispositivos mviles. j) No permitir el uso de tablets y smartphones para uso profesional. k) Permitir el uso de tablets y smartphones propiedad de la compaa. l) Ms actividades de concientizacin en materia de seguridad. 6. a) b) c) d) e) Su organizacin utiliza servicios basados en nube? No, y no estaba planeado para los siguientes 12 meses. S, ya estn en uso. S, se est evaluando el uso. No, pero su uso est planeado para los prximos 12 meses. No contest.

7. Cul de los siguientes controles ha implementado para mitigar los nuevos o mayores riesgos relacionados con el uso de cmputo en la nube? a) Ninguno. b) Una mayor agilidad de respuesta de los proveedores del servicio. c) Tcnicas de encripcin. d) Ms actividades de auditora al proveedor de servicio en nube. e) Incrementar la confianza mediante la certificacin de los servicios de la nube por parte de terceros. f) Contratar a un tercero para control de pruebas en la nube. g) Establecer una mayor responsabilidad para los proveedores de servicios en nube en los contratos. h) Sanciones econmicas en caso de brechas de seguridad. i) No contest. j) Inspeccin de las instalaciones por su propio equipo de seguridad/riesgos de TI. k) Ajuste de procesos para gestin de incidentes. l) Controles ms robustos de administracin de acceso e identidad. m) Una mayor supervisin del proceso de gestin de contratos de los proveedores de servicios de la nube.

8. La certificacin externa de los proveedores de servicios de nube aumentara su confianza en el cmputo en la nube? (Escoja una opcin) a) S, pero solo si este certificado est basado en una norma acordada. b) S, pero solo el organismo que certifica puede demostrar la certificacin. c) S, en cualquiera de los casos. d) No. e) No contest. 9. Cules de los siguientes controles ha implementado para mitigar nuevos riesgos o incremento de estos en cuanto al uso de redes sociales? a) Uso limitado o no acceso a redes sociales. b) Ajuste de polticas. c) Monitoreo de internet. d) Ninguno. e) Nuevos procesos disciplinarios. f) No contest. g) Ajuste de procesos para gestin de incidentes. h) Programas de concientizacin en cuanto a redes sociales. 10. En cuanto a la implementacin de herramientas de DLP (Data Loss Prevention), cmo describira su implementacin? a) No hemos implementado herramientas de DLP. b) Los usuarios no han notado en gran medida el impacto de estas herramientas. c) La implementacin se ha realizado sin contratiempos y de acuerdo con el calendario previsto. d) La implementacin ha tomado ms tiempo del esperado. e) Los usuarios han estado molestos con el impacto en sus rutinas diarias. f) Nuestras implementaciones no han sido tan exitosas como esperbamos. g) Nuestra implementacin ha sido un xito. 11. Cul de las siguientes acciones ha tomado su organizacin para controlar la fuga de informacin sensible? a) Definicin de una poltica especfica en cuanto a la clasificacin y manejo de informacin sensible. b) Implementacin de mecanismos de seguridad adicionales para proteger la informacin (ej. encripcin). c) Bloqueo/restriccin de uso de ciertos componentes de hardware (ej. puertos USB, puertos Firewire). d) Implementacin de herramientas de revisin de bitcoras. e) Implementacin de herramientas de DLP (McAfee, Symantec, Verdasys, etc.). f) Restriccin o prohibicin de mensajera instantnea o uso de correo para enviar datos sensitivos.

g) Prohibicin de uso de cmaras fotogrficas dentro de reas sensitivas o restringidas. h) Definicin de requerimientos especficos para trabajar a distancia en relacin con la proteccin de la informacin que es extrada de la ... i) Acceso restringido a informacin sensitiva por periodos de tiempo especfico. j) No contest. k) Uso de auditoras internas para probar controles. l) Programas de concientizacin de usuarios. m) NINGUNO 12. Cul de las siguientes reas de seguridad de la informacin recibir ms inversin durante los prximos 12 meses? a) Planes de continuidad del negocio y recuperacin en caso de desastres. b) Procesos y tecnologas de prevencin de fugas y datos. c) Implementacin de estndares de seguridad (ej. ISO/IEC 27002-2005). d) Monitoreo del cumplimiento (a polticas y estndares internos y externos). e) Administracin de riesgos de seguridad de la informacin. f) Asegurar nuevas tecnologas (ej. cmputo en la nube, virtualizacin, cmputo mvil). 13. Cul de las siguientes afirmaciones aplica para la estrategia y programa de administracin de la continuidad del negocio de su organizacin? a) Nuestro BCM (Business Continuity Management) est aprobado por la direccin. b) Contamos con procedimientos para habilitar la continuidad de los procesos crticos del negocio. c) Nuestro programa BCM cubre todos los procedimientos crticos del negocio. d) Continuamente mejoramos nuestro BCM. e) Nuestro programa BCM est bien documentado e incluye polticas, procesos, roles y responsabilidades. f) Continuamente identificamos y evaluamos las amenazas y riesgos de continuidad del negocio. g) Hemos establecido relaciones con los grupos de emergencia locales (ej. bomberos, polica, equipos de emergencias mdicas. h) Hemos identificado el tiempo de recuperacin requerido para los recursos crticos del negocio (ej. a travs de un anlisis de impacto...). i) Continuamente monitoreamos y reportamos los riesgos, problemas, estatus, e iniciativas relacionadas con nuestro BCM. j) No tenemos un programa BCM. k) Contamos con procedimientos establecidos de administracin de crisis e incidentes. l) Contamos con procedimientos establecidos para proteger a nuestra gente ( ej. planes de evaluacin, plan de respuesta ante pandemias). m) Contamos con procedimientos para habilitar la continuidad de la infraestructura ICT (ej. plan de recuperacin ante desastres ICT). n) ESTAMOS TRABAJANDO EN EL LEVANTAMIENTO DE RIESGOS PARA EL BCM

14. Su organizacin cuenta con una estrategia documentada para la seguridad de la informacin para los prximos uno a tres aos? a) S. b) No. c) No responde. 15. Cul de los siguientes enunciados describe mejor a la estrategia de seguridad de la informacin de su organizacin en relacin con el panorama de riesgos actual? a) Nuestra estrategia actual de seguridad de la informacin aborda los riesgos adecuadamente. b) Necesitamos modificar nuestra estrategia para abordar los nuevos riesgos. c) Necesitamos investigar para poder entender los nuevos riesgos. d) No consideramos que haya nuevos o mayores riesgos relacionados con estas tecnologas. e) No contest. 16. Su organizacin ha adquirido software y/o hardware para apoyar las iniciativas de seguridad de la informacin en los ltimos 18 meses que considere que fall o no cumpli adecuadamente? a) No, toda nuestra tecnologa de seguridad de la informacin ha sido implementada de manera exitosa. b) S. c) No respondi. 17. Su organizacin cuenta con un programa formal de administracin de riesgos de TI? a) No, pero estamos considerando implementarlo los prximos 12 meses. b) S, contamos con un programa de administracin de riesgos de TI que ha existido por menos de tres aos. c) No y no estamos considerando implementarlo. d) S, contamos con un programa bien establecido de administracin de riesgos de TI que ha existido por ms de tres aos. e) No contest.