Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Preguntas del examen de certificación LCSPC – Parte 3

lcspc

Preguntas del examen de certificación LCSPC – Parte 3 (Implementación en la práctica)

En las partes anteriores de esta miniserie ya comprobaste:

  • En la Parte 1: tus fundamentos de ciberseguridad.

  • En la Parte 2: tu comprensión conceptual del NIST CSF 2.0 (núcleo, funciones, niveles, perfiles).

En esta Parte 3, el foco cambia:

Aquí veremos si sabes aplicar el NIST CSF 2.0 en la práctica,
usando escenarios similares a los que podrías encontrar en el examen LCSPC.

Trabajaremos ideas como:

  • Definir un alcance razonable.

  • Recopilar la información adecuada antes de decidir.

  • Crear y usar perfiles organizativos.

  • Detectar brechas de forma lógica.

  • Diseñar y priorizar planes de acción.

  • Actualizar el perfil y pensar en mejora continua.

Te recomiendo:

  1. Contestar sin mirar las soluciones.

  2. Anotar tus respuestas (A, B, C o D).

  3. Revisar la sección de respuestas y explicación al final.

Preguntas tipo examen – Implementación en la práctica

Pregunta 1

Una organización quiere aplicar el NIST CSF 2.0, pero solo en su plataforma de banca por Internet, porque es el canal más crítico. ¿Qué decisión describe mejor esta situación?

A. Una mala práctica, porque el NIST CSF solo se puede aplicar a toda la organización.
B. Una decisión válida de definición de alcance, aplicando el marco solo a una parte específica del negocio.
C. Un error, porque el NIST CSF solo puede aplicarse a redes internas y no a servicios en línea.
D. Una decisión que obliga a certificar toda la organización de forma inmediata.

Pregunta 2

Un equipo está comenzando a trabajar con NIST CSF. Antes de hablar de perfiles, brechas o planes de acción, se dedica a entender:

  • Qué servicios están dentro del alcance.

  • Qué activos, procesos y datos son críticos.

  • Qué riesgos y requisitos regulatorios aplican.

  • Qué controles de seguridad ya existen.

¿Qué está haciendo principalmente este equipo?

A. Definiendo niveles de implementación (tiers).
B. Ejecutando directamente el plan de acción.
C. Recopilando la información necesaria para poder analizar su situación frente al marco.
D. Diseñando el perfil objetivo sin considerar la realidad actual.

Pregunta 3

En una organización que aplica NIST CSF, se ha documentado, para determinadas subcategorías del núcleo, cómo se trabaja hoy y qué evidencia existe. Este trabajo se realiza dentro de un alcance ya definido. ¿Qué se está construyendo con esta actividad?

A. El perfil objetivo de la organización.
B. El perfil actual de la organización.
C. Los niveles de implementación máximos posibles.
D. Un inventario técnico de hardware.

Pregunta 4

Una organización ya tiene claro su perfil actual y su perfil objetivo para un servicio crítico. El equipo de ciberseguridad se reúne para comparar ambos y detectar dónde hay diferencias significativas que suponen riesgos importantes. ¿Qué están haciendo?

A. Identificando brechas para poder priorizar mejoras.
B. Calculando el presupuesto anual de ciberseguridad.
C. Diseñando la arquitectura de red desde cero.
D. Determinando los sueldos del equipo de seguridad.

Pregunta 5

En una reunión de seguimiento, la dirección pregunta:
“Tenemos identificadas muchas brechas, pero no podemos resolver todas al mismo tiempo. ¿Cómo decidimos por dónde empezar?”.
¿Cuál de las siguientes respuestas está mejor alineada con el enfoque del NIST CSF?

A. Resolver primero las brechas más fáciles y baratas, sin considerar su impacto.
B. Priorizar las brechas según el impacto y la probabilidad del riesgo asociado, considerando también requisitos regulatorios y del negocio.
C. Atender primero las brechas que afecten únicamente a sistemas internos, nunca a servicios al cliente.
D. Priorizar según el orden en que las brechas fueron descubiertas.

Pregunta 6

Después de analizar las brechas, el equipo de ciberseguridad elabora un documento donde, para cada brecha, se indica:

  • Acción propuesta.

  • Prioridad (Alta, Media, Baja).

  • Responsable.

  • Plazo estimado.

¿Qué está generando este equipo?

A. Una lista de incidentes históricos.
B. Un inventario de activos de la organización.
C. Un plan de acción de ciberseguridad basado en NIST CSF.
D. Un listado de vulnerabilidades técnicas descubiertas por un escáner.

Pregunta 7

Una organización ha ejecutado varias acciones de su plan de mejora basado en NIST CSF (por ejemplo, ha fortalecido la autenticación y mejorado la monitorización de un servicio clave). ¿Cuál de las siguientes actividades es la más coherente con el enfoque de mejora continua?

A. Dar por cerrado el uso del NIST CSF porque “ya se hicieron mejoras importantes”.
B. Actualizar el perfil organizativo para reflejar los cambios, revisar qué brechas se han reducido o cerrado y planificar nuevas mejoras si es necesario.
C. Volver al perfil objetivo original y modificarlo para que coincida con la situación actual, evitando así las brechas.
D. Eliminar todos los registros de brechas anteriores para no generar preocupación en la dirección.

Pregunta 8

En una revisión interna, se detecta que el plan de acción incluye muchas tareas técnicas, pero casi ninguna relacionada con:

  • Formación y concienciación de usuarios.

  • Procedimientos de gestión de incidentes.

  • Roles y responsabilidades.

¿Qué reflexión está más alineada con el uso equilibrado del NIST CSF?

A. El plan está bien, porque el marco solo se centra en controles tecnológicos.
B. Es conveniente revisar el plan, porque NIST CSF también abarca procesos, personas y gobernanza, no solo tecnología.
C. El NIST CSF prohíbe incluir acciones de formación en los planes de acción.
D. Las acciones de procesos y personas solo se incluyen cuando no hay presupuesto para tecnología.

Pregunta 9

Una empresa mediana aplica NIST CSF 2.0 en su entorno de pagos online. Meses después de la primera ronda de mejoras, decide ampliar el uso del marco a su entorno de atención al cliente y a ciertos procesos internos de soporte. ¿Qué está demostrando esta organización?

A. Que el NIST CSF solo funciona en áreas técnicas.
B. Que utiliza el NIST CSF como una herramienta estática y de un solo uso.
C. Que está aplicando el marco de forma gradual y adaptativa, ampliando el alcance conforme gana experiencia.
D. Que ha dejado de utilizar el NIST CSF en el entorno de pagos.

Pregunta 10

En un comité de riesgos, se presenta un resumen del trabajo con NIST CSF:

  • Alcance aplicado.

  • Principales brechas identificadas.

  • Plan de acción y estado de ejecución.

  • Mejores prácticas implementadas.

  • Próximos pasos.

¿Cuál es el valor principal de este tipo de comunicación hacia la alta dirección?

A. Justificar exclusivamente la compra de más herramientas tecnológicas.
B. Alinear la gestión de ciberseguridad con la gestión de riesgos y las prioridades del negocio, facilitando la toma de decisiones informadas.
C. Sustituir la necesidad de auditorías externas y regulaciones.
D. Evitar que la dirección se involucre en temas de ciberseguridad.

Respuestas correctas y explicación breve

  • Pregunta 1 → Respuesta correcta: B
    Aplicar NIST CSF a la plataforma de banca por Internet es un ejemplo de definición de alcance razonable: el marco puede enfocarse en una parte específica del negocio, no necesariamente en toda la organización de golpe.

  • Pregunta 2 → Respuesta correcta: C
    Antes de hablar de perfiles y planes de acción, es esencial recopilar información sobre contexto, activos, riesgos y controles. Sin esa base, el resto del trabajo con el NIST CSF queda en suposiciones.

  • Pregunta 3 → Respuesta correcta: B
    Describir cómo se trabaja hoy respecto a subcategorías del núcleo, dentro de un alcance concreto, corresponde a construir el perfil actual.

  • Pregunta 4 → Respuesta correcta: A
    Comparar perfil actual y perfil objetivo para identificar diferencias relevantes es, justamente, identificar brechas, que luego se usarán para definir prioridades de mejora.

  • Pregunta 5 → Respuesta correcta: B
    El enfoque correcto es priorizar según impacto y probabilidad, considerando además requisitos regulatorios y de negocio. Resolver solo lo “fácil y barato” sin mirar el riesgo no es coherente con la gestión de ciberseguridad.

  • Pregunta 6 → Respuesta correcta: C
    Asociar acciones, prioridad, responsables y plazos a las brechas identificadas es la construcción de un plan de acción de ciberseguridad basado en el trabajo previo con NIST CSF.

  • Pregunta 7 → Respuesta correcta: B
    Tras implementar mejoras, el enfoque de mejora continua implica actualizar el perfil, revisar brechas y seguir iterando. El marco no es algo que se usa una sola vez.

  • Pregunta 8 → Respuesta correcta: B
    El NIST CSF no se limita a tecnología: también abarca procesos, personas, gobernanza, comunicación, etc. Un plan sin acciones sobre formación, procesos y roles suele estar incompleto.

  • Pregunta 9 → Respuesta correcta: C
    Ampliar el uso del NIST CSF a otros entornos tras una primera experiencia es un ejemplo de uso gradual y adaptativo, muy coherente con el espíritu del marco.

  • Pregunta 10 → Respuesta correcta: B
    El valor clave de presentar este tipo de información a la alta dirección es alinear la ciberseguridad con la gestión de riesgos y las prioridades del negocio, apoyando decisiones informadas (presupuesto, foco, plazos, etc.).

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos pronto,

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing