ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO INSTITUTO DE POSTGRADO MAESTRÍA EN SEGURIDAD TELEMATICA TOPICOS ESPECIALES CUESTIONARIO
Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad de la información. (2 CORRECTAS) A. Los procedimientos detallan los pasos que deben seguirse para implementar las políticas. B. Las directrices establecen normas de obligado cumplimiento sobre la configuración de distintos elementos del sistema. C. Una línea base puede servir para com plementar un estándar con información adicional. D. Las políticas detallan los elementos software que la organiación deber ía utiliar para cubrir ob!etivos de control de seguridad de la información.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. Las certificaciones como el C"##$ determinan el acceso al e!ercicio de la profesión dentro del área de la seguridad de la información. B. La profesión de la seguridad de la información cuenta c on cuerpos de conocimientos definidos % una cultura profesional como otras profesiones diferenciadas. C. &l código 'tico del profesional de la información es e l definido en las normas de auditoría "#( )*++,. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTAS) A. Los programas de gestión de la seguridad inclu%en la gestión del riesgo. B. La gestión del riesgo inclu%e el desarrollo de programas de gestión de la seguridad para las áreas en las que se e ncuentran debilidades. C. Los programas de gestión de la seguridad se deben evaluar periódicamente para analiar su efectividad. D. -inguna de las anteriores.
Respecto al tratamiento del riesgo! "cuál de las siguientes afirmaciones es correcta# ( CORRECTA) A. #olo se comparte el riesgo cualitativo. B. $ara mitigar el riesgo eisten tres opciones. C. Las decisiones de eliminación de las fuentes de riesgo suponen realiar un nuevo análisis de riesgos sobre el sistema modificado. D. La eliminación de la fuente de riesgo es una opción frente a un riesgo que es aceptable.
1 e g a P
$a gestión del riesgo% ( CORRECTA) A. B. C. D.
Las respuestas C % D son correctas. Contribu%e de manera intangible al logro de los ob! etivos % a la me!ora del desempe/o. Debe formar parte integral de todos los procesos de la organiación. 0orma parte de las responsabilidades de gestión.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA) A. &n el control de acceso basado en roles es posible establecer condiciones de activación de roles. B. Las listas de comprobación de acceso que se utilian en el acceso basado en roles % en el acceso discrecional se aplican sobre ob!etos del sistema operativo como los fic1eros. C. La posibilidad de acceder a ob!etos con privilegios en el acceso discrecional es ma%or que en el caso de que se use un acceso obligatorio con políticas estrictas. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA) A. Las políticas de seguridad deben definir los responsables de su cumplimiento2 en t'r minos de roles. B. Las políticas de seguridad deben definir el software que se debe utiliar en cada ámbito de aplicación. C. Las políticas de seguridad pueden basarse en estándares e ternos. D. -inguna de las anteriores
Indica cuáles de las siguientes afirmaciones son ciertas% ( CORRECTA) A. &l modelo ("#34 tiene como ob!eto proporcionar las especificaciones para un #5#" que sea certificable. B. &l concepto de madure en ("#34 1ace referencia al grado de capacidad del staff de la empresa que se dedica a la seguridad de la información. C. &n un nivel de madure controlado2 se eval6a de manera continua desde la gestión la calidad % efectividad de los diferentes aspectos de la seguridad. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas% ( CORRECTA) A. La clasificación de la información tiene como ob!etivo cumplir con los r equisitos legales de su difusión. B. Una información clasificada como de difusión restringida podría más adelante ser reclasificada como información de uso interno general. C. La clasificación de los recursos de información no puede te ner ecepciones. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (& CORRECTAS) A. Las tecnologías triples A integran mecanismos de autenticación2 autoriación % contabilidad. B. &l control de accesos debe regirse por el principio del mínimo privilegio. C. &l control de accesos se debe implementar teniendo en cuenta los aspectos físicos % lógicos.
2 e g a P
D. -inguna de las anteriores.
'n proceso de gestión del riesgo implantado segn los principios directrices de la '*EISO &+++! es una ,erramienta -ue auda a una organiación a% ( C ORRECTA) A. B. C. D.
3e!orar la prevención de p'rdidas % la gestión de incidentes. 3inimiar las p'rdidas. 3e!orar la resiliencia de la organiación. 7odas las anteriores.
"Cuál de los siguientes forma parte de los o/0eti1os especficos de la gestión del riesgo en C33I# ( CORRECTA) A. B. C. D.
"dentificar % analiar riesgos. Determinar fuentes % categorías de riesgo. Determinar planes de migración de riesgo. -inguna de las anteriores.
"Cuál es la /ase -ue aportan los estándares ISO a la 4estión de las TIC#% ( CORRECTA) A. B. C. D.
7erminología t'cnica. La aplicación de me!ora continua con el c iclo de Deming8$DCA. "ndicadores % m'tricas. -inguna de las anteriores.
'n test de intrusión es% ( CORRECTA) A. B. C. D.
#olo un análisis de vulnerabilidades. Un tipo de 1ac9ing 'tico. :abitualmente de ca!a blanca % ca!a negra. -o es un $en7est.
"5u6 tres fases ,a/itualmente se utilian en una auditora t6cnica de seguridad (test de intrusión)# ( CORRECTA) A. La recopilación de información del sistema a auditar % análisis de vulnerabilidades2 eplotación8ataque de las vulnerabilidades detectadas2 realiación de informe t'cnico % e!ecutivo. B. La recopilación de información del sistema a auditar2 e plotación8ataque de las vulnerabilidades detectadas. -unca se realia informe. C. &plotación8ataque de las vulnerabilidades detectadas % realiación de informe t'cnico. D. La recopilación de información del sistema a auditar % re aliación de informe t'cnico % e!ecutivo.
"Cuáles son los elementos fundamentales en el 78CA#% ( CORRECTA) A. 5estión de incidentes. B. Análisis de riesgos. C. 0ormación.
3 e g a P
D. (b!etivos orientados al negocio2 formación % concienciación2 auditorías internas % revisión por dirección2 acciones preventivas % correc tivas;
"Cuál de los siguientes no es un principio de CO9IT:# ( CORRECTA) A. B. C. D.
3arco integrador. Dise/ado para profesionales de la seguridad. &nfoque al negocio % su conteto para t oda la organiación. 0undamentado en facilitadores.
$a gestión del riesgo% ( CORRECTA) A. B. C. D.
Crea % protege el valor. Contribu%e de manera intangible al logro de los ob! etivos. &s una actividad independiente. 7odas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 2 CORRECTA) A. La separación de responsabilidades es un principio por el cual se deberían separar los pasos de las tareas para ser realiados por diferentes personas. B. Las autoriaciones dependen de las tareas2 pero tambi'n de la clasificación de la información. C. &l control de accesos se 1ace necesario cuando se tienen usuarios eternos que t raba!an fuera de la organiación % acceden de manera remota. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. &n la gestión de riesgos de seguridad se debe considerar como prioritario aquellas vulnerabilidades que pueden tener un impacto ma%or en t'rminos eco nómicos. B. 7odos los riesgos deben llevar a la implantación de controles para su mitigación. C. La fuente de la amenaa en la gestión de riesgos es cada una de las vulnerabilidades. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. Las revistas acad'micas del área de la seguridad de la información son el principal medio de formación básica para los profesionales de la seguridad de la información. B. #e llama 1ac9er 'tico a cualquier profesional de la seguridad de la información. C. Un 1ac9er 'tico puede realiar acciones de penetration testing contra una empresa siempre que no perciba beneficios económicos por ello. D. -inguna de las anteriores.
"Cuál de las siguientes afirmaciones descri/en me0or la diferencia entre los roles del responsa/le el propietario de la información# ( CORRECTA) A. &l responsable implementa el esquema de clasificación por órdenes del propietario. B. &l propietario implementa el esquema de clasificación por órdenes del responsable.
4 e g a P
C. &l responsable define la clasificación % los usuarios la implementan valorando el tipo de información que mane!an. D. &l responsable es el rol que dec ide sobre el esquema de clasificación de acuer do a las directrices de los procedimientos establecidos por la dirección.
Indica cuáles de las siguientes afirmaciones son 1erdaderas% ( CORRECTA) A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información eclusivamente. B. Las prácticas de ingeniería social tratan de eplotar el factor 1umano para obtener datos confidenciales. C. La privacidad de los datos personales sensibles es el ob!et ivo de mantener la confidencialidad. D. La clasificación de la información tiene como ob!eto e stablecer niveles de disponibilidad de la información.
Indica cuáles de las áreas o conocimientos están incluidas de forma e;plcita en la certificación CISS7% ( & CORRECTA) A. B. C. D.
La seguridad física de los sistemas. La regulación sobre la protección de datos. &l desarrollo de software seguro. La psicología de los delincuentes informáticos.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. Las contramedidas se implementan mediante controles. B. La gestión del riesgo se basa en el análisis de los indicadores relativos al n6mero de intrusiones que se 1an detectado en cada pe ríodo. C. La gestión de riesgos puede se r basada en escenarios2 cuantitativa o una mecla de ambas. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. La autenticación consiste en proporcionar una prueba de la identidad del usuario. B. La autenticación biom'trica permite utiliar características biológicas de las personas como prueba de autenticación2 permitiendo un modo más barato de realiar este proceso. C. La aceptabilidad de un m'todo de autenticación puede se r un determinante de su adopción. D. -inguna de las anteriores
En ISO &+++ la apreciación del riesgo comprende% ( C ORRECTA) A. B. C. D.
&l establecimiento del conteto2 la identificación2 el análisis % la evaluación del riesgo. La identificación2 el análisis % la evaluación del riesgo. La identificación2 el análisis2 la evaluación % el tratamiento del r iesgo. -inguna de las anteriores. 5 e g a P
Respecto a las dependencias entre acti1os! "cuál de las siguientes afirmaciones es correcta# ( CORRECTA) A. Los activos esenciales son la información % los servicios prest ados< pero estos activos no dependen de otros activos más prosaicos. B. #e dice que un =activo superior> depende de otro =activo inferior> cuando las necesidades de seguridad del superior se refle!an e n las necesidades de seguridad del inferior. C. La materialiación de una amenaa en el activo inferior no tiene como consecuencia un per!uicio sobre el activo superior. D. Las respuestas A % B son correctas.
"'n sistema de gestión en las TIC! -u6 estándares utilia usualmente#% ( CORRECTA) A. B. C. D.
3otor ?$DCA@8Conocimiento ?Buenas prácticasControles 7"C@. 3otor8Conocimiento8Autenticación. 3otor8Conocimiento87esting. -inguna de las anteriores.
$as prue/as de fuera /ruta se /asan en% ( CORRECTA) A. Utiliación de fic1eros con palabras en diferentes idiomas para averiguar por ensa%o8error los usuarios %8o password en las pantallas de login. B. Utiliación de todas las combinaciones posibles con un set de car acteres definido % una longitud. C. Lo que se denominan =ainbow 7ables>. D. -inguna es cierta.
"5u6 es el
Indicar! en los sistemas de gestión en las TIC en ISO! -ue tipos de auditora ,a% ( CORRECTA) A. B. C. D.
7est de intrusión % análisis de vulnerabilidades. Auditoría interna % auditoría eterna de ce rtificación. Auditoría bienal2 auditoría interna % test de intrusión. -inguna de las anteriores.
Respecto al impacto repercutido! "cuál de las siguientes afirmaciones es correcta# ( CORRECTA) A. B. C. D.
&s el calculado sobre un activo teniendo en cuenta su valor propio. &s tanto ma%or cuanto ma%or es e l valor propio de un activo. &l impacto es tanto ma%or cuanto ma%or se a la degradación del activo atacado. 7odas las anteriores.
6 e g a P
"Cuál de las siguientes no forma parte del conte;to e;terno de una organiación# ( CORRECTA) A. B. C. D.
La inestabilidad política. Una situación de sequía permanente. Un conflicto laboral sectorial. Un cambio organiativo.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. &n un sistema que 1a implementado el #ingle #ign (n2 las claves de los usuarios se almacenan en un solo servidor en la re d. B. &l #ingle #ign (n proporciona una seguridad ma%or porque el usuario solo tiene que recordar una clave. C. &l #ingle #ign (n puede implementarse con diferentes combinaciones de t'cnicas criptográficas. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas so/re el factor de e;posición. ( CORRECTA) A. B. C. D.
Depende del valor del recurso en sí. Depende del impacto de la p'rdida en el recurso. Depende de la probabilidad de la amenaa. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas so/re las certificaciones de seguridad de la información. ( CORRECTA) A. La certificación CA$ tiene un contenido t'cnico equivalente a la certificación C"##$. B. Las certificaciones son títulos como las titulaciones2 que se obtienen % no necesitan renovarse. C. La certificación C"##$ sólo puede obtenerse cuando se tiene eperiencia profesional en el área. D. -inguna de las anteriores.
Indica cuáles de las siguientes son posi/les 1as para gestionar un riesgo de seguridad de la información% ( & CORRECTA) A. Contratar un seguro con una aseguradora que cubra la eventualidad de una p'rdida de datos. B. &stablecer controles sobre la forma en que los usuarios gestionan sus claves2 por e!emplo2 obligándoles a cambiarlas cada cierto tiempo. C. "niciando medidas de contraataque cuando se detecta una intrusión por parte de 1ac9ers. D. "gnorando el riesgo cuando los costes de asumirlo son peque/os.
Respecto a las sal1aguardas! "cuál de las siguientes afirmaciones es incorrecta# ( C ORRECTA) A. educen la probabilidad de materialiación de la amenaa. B. Disminu%en el impacto. C. $roporcionan alerta temprana. D. &limina el riesgo.
7 e g a P
'n proceso de gestión del riesgo implantado segn los principios directrices de la '*E>ISO &+++! es una ,erramienta -ue auda a una organiación a% ( CORRECTA) A. B. C. D.
5arantia la eficacia % la eficiencia operacional. Conseguir una gestión activa. #er consciente de la necesidad de identificar % tratar el riesgo en toda la organiación. 7odas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA) A. &n el protocolo AD"U#2 un nodo de acceso controla una serie de nodos de acceso autoriados. B. Los servidores -A# en AD"U# son los 6nicos que controlan la información de contabilidad. C. D"A3&7& es un protocolo AAA etensible2 sobre un protocolo básico. D. inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas respecto a las polticas de seguridad. (& CORRECTA) A. "ndican los ob!etivos de la seguridad2 pero no la manera concreta de obtenerlos. B. $ueden ser específicas de una aplicación o servicio2 como puede ser el uso del correo electrónico. C. $ueden utiliarse para resolver conflictos de responsabilidad ante incidentes de seguridad. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas% (2 CORRECTA) A. Los servicios de 7" se definen mediante #LAs2 que determinan el nivel de c alidad de los servicios en diferentes dimensiones. B. &l proceso de gestión de la seguridad de "7"L prescribe los re quisitos de un sistema de seguridad si quiere ser compatible con "7"L. C. "7"L describe como buena práctica la prueba de los mecanismos de seguridad dise/ados dentro del #5#". D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas% ( CORRECTA) A. La identificación de los usuarios es la autentificación de los mismos en el sistema. B. La criptografía permite establecer almacenamiento seguro pero no transferencia de datos segura. C. &l desarrollo de software seguro es más barato para los fabricantes de paquetes de software2 dado que reduce el impacto económico de su responsabilidad legal. D. -inguna de las anteriores.
Indica cuáles de las afirmaciones siguientes son ciertas% ( CORRECTA) A. &l coste de ruptura 1ace referencia al coste que la empresa asume cuando se produce una intrusión. B. &n general2 los costes de construcción de mecanismos de defensa son siempre inferiores a las p'rdidas de beneficio ante cualquier tipo de intrusión.
8 e g a P
C. Los costes postincidente que asumen las empresas ante un incidente de seguridad de la información inclu%en como elemento fundamental los costes de reparación de vulnerabilidades en el software estándar como los sistemas operativos. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas so/re el estándar 2?++. ( 2 CORRECTA) A. "#( )*++, define en detalle el proceso de gestión del riesgo de un #istema de 5estión de la #eguridad de la "nformación. B. "#( )*++, define la base % los conceptos para la auditoría % cert ificación de los #istemas de 5estión de la #eguridad de la " nformación. C. "#( )*++, considera como uno de los elementos fundamentales el compromiso de la dirección2 requisito imprescindible para el establecimiento de un #istema de 5estión de la #eguridad de la "nformación. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas so/re la e;pectati1a de p6rdida. ( CORRECTA) A. B. C. D.
Depende del valor del recurso en sí. Depende del impacto de la p'rdida en el recurso. Depende de la probabilidad de la amenaa. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. &n el protocolo erberos2 los servicios con las aplicaciones nunca almacenan claves ni información de autenticación de los usuarios. B. &l carácter distribuido de erberos implica que los usuarios tienen diferentes autenticaciones para cada aplicación que utilian2 aunque 'stas se asocian a una cuenta 6nica. C. &l segundo de los intermediarios del protocolo erberos puede eliminarse de la arquitectura en caso de que no se requiera un nivel de seguridad mu% elevado. D. -inguna de las anteriores.
$a finalidad de la e1aluación del riesgo es% ( CORRECTA) A. B. C. D.
A%udar a la toma de decisiones. Determinar los riesgos a tratar. $rioriar las acciones de tratamiento del r iesgo. Las respuestas B % C son correctas.
"Cuál de los siguientes no forma parte de los o/0eti1os especficos de la gestión del riesgo en C33I# ( CORRECTA) A. B. C. D.
$reparar la gestión del riesgo. "dentificar % analiar riesgos. 3itigar riesgos. Determinar fuentes % categorías de riesgos.
9 e g a P
El Sistema de 4estión de la Seguridad de la Información (S4SI) "Cuál tiene 78CA#% ( CORRECTA) A. B. C. D.
La "#( )*++, % la "#( )*++). #olo la "#( )*++). La "#( )*++,. -inguna de las anteriores.
"7or -u6 sucede en algunos casos el llamado <8irector $isting=# ( CORRECTA) A. Como consecuencia del uso de 1erramientas de sniffing de red. B. Como resultado de la utiliación de in%ección de paquetes en redes i0i. C. Como resultado de una inadecuada configuración % parametriación de un se rvidor web o servidor 07$. D. Como consecuencia del uso del cifrado $A.
Con la ,erramienta *3A7% ( CORRECTA) A. B. C. D.
:acemos uso de los 5oogle Dor9s. &ntre otras muc1as funciones2 obtenemos los puertos ?servicios@ abiertos en una re d local. (btenemos las claves de cifrado en i0i. -inguna de las anteriores.
"Cuáles son los tres pilares en -ue se fundamenta el S4SI#% ( CORRECTA) A. B. C. D.
$rivacidad2 integridad % disponibilidad. "ntegridad2 confidencialidad % continuidad. Confidencialidad2 integridad % disponibilidad. Confidencialidad2 integridad % no repudio.
CO9IT% ( CORRECTA) A. &s una guía de me!ores prácticas presentada como framewor9 sin ninguna gestión de riesgos en sus procesos. B. &s una guía de me!ores prácticas presentada como framewor9 dirigida a la gestión de tecnologías de la información. C. #e organia en tres áreas de gestiónE Desarrollo del software2 #ervicios % Adquisiciones. D. 7odas son falsas
Cuál de las siguientes no forma parte del conte;to e;terno de una organiación% ( CORRECTA) A. B. C. D.
La situación internacional. Una situación de sequía permanente. &l entorno social. Un conflicto laboral con el comit' de empresa.
Indica cuáles de las siguientes afirmaciones son correctas. ( CORRECTA) A. La contabilidad ?accountabilit%@ tiene como inter's principal el poder analiar los accesos a posteriori. B. La autentificación biom'trica tiene una fiabilidad perfecta en el c aso de algunas t'cnicas2 como el reconocimiento facial.
0 1 e g a P
C. &n un sistema con #ingle #ign (n2 e l acceso a las credenciales de un usuario2 por e!emplo2 mediante pis1ing2 tiene potencialmente un riesgo de da/o ma%or que en un sistema que no lo tenga. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA) A. Las políticas de seguridad funcionales 1an de ser co1erentes con las políticas funcionales. B. Las políticas son uno de los elementos que se pueden utiliar dentro de una auditoría de seguridad de la información. C. Las políticas deben describirse para aquellos procesos o tareas dentro de la empresa en la que se tiene contacto con el eterior2 % por tanto 1a% una posibilidad de intrusión o p'rdida de confidencialidad. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas% (2 CORRECTA) A. &l modelo ("#34 e "7"L son dos opciones alternativas para la gestión de la seguridad. B. &l concepto de $" en "7"L tiene en com6n con el de m'trica en ("#34 el que 1acen referencia a la medición de los diferentes procesos. C. 7anto ("#34 como "7"L se basan e n modelos de me!ora continua2 por lo que tienen una base com6n con "#( )*++,. D. -inguna de las anteriores.
Indica cuál de las siguientes afirmaciones es cierta% ( CORRECTA) A. La adopción de las tecnologías de seguridad por parte de las empresas depende eclusivamente del riesgo asociado con no implantar esa medida de seguridad. B. La probabilidad de un ataque depende de la motivación económica de los atacantes. C. &l coste de no implantar una medida de seguridad puede depender de la práctica de la auditoría. D. -inguna de las anteriores.
Respecto al riesgo residual! "cuántas opciones e;isten# ( CORRECTA) A. B. C. D.
). 4. F. G.
Cuál de las siguientes no forma parte del conte;to interno de una organiación ( CORRECTA) A. B. C. D.
&l C3 del que dispone la organiación. La relación con los clientes. Un conflicto laboral con el comit' de empresa. Un cambio legislativo.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA) A. #A3& permite un acceso basado en roles sobre las aplicaciones.
1 1 e g a P
B. &n los sistemas de ##( se necesita un sistema de claves asim'tricas para implantar la seguridad en el acceso. C. Los sistemas de ##( implícitamente permiten controlar las sesiones de los usuarios % su actividad. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas so/re la tasa de ocurrencia. (& CORRECTA) A. Determina el impacto final dado que representa la probabilidad de ocurrencia. B. &n caso de que 1a%a información2 puede estimarse me diante frecuencias registradas en el pasado. C. #uele presentarse en forma de tasa anual. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. ( CORRECTA) A. "#( )*++, se basa en un modelo de me!ora continua donde la fase de planificación implica el dise/o de mecanismos de gestión del #istem a de 5estión de la #eguridad de la "nformación. B. #eg6n "#( )*++,2 la adopción de un #istema de 5estión de la #eguridad de la "nformación debe estar motivada por decisiones tácticas re ferentes a la me!ora de los costes asociados con la seguridad. C. #eg6n "#( )*++,2 el #istema de 5estión de la #eguridad de la "nformación debe comprender a toda la organiación2 para garantiar que no eiste ninguna posibilidad de intrusión en ninguno de sus niveles. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. (2 CORRECTA) A. Una política de revisión del D-" mediante un guardia de seguridad para visitantes de un centro de cálculo es un e!emplo de medida física de seguridad de la información. B. La disponibilidad de la información puede verse comprometida por un problema de ventilación. C. La seguridad física de un sistema de información tiene como ámbito de aplicación a todos los ordenadores propiedad de la empresa. D. -inguna de las anteriores.
Indica cuáles de los siguientes son e0emplos de controles de seguridad% (2 CORRECTA) A. B. C. D.
-o permitir que los usuarios de ordenadores portátiles los saquen de la empresa. (bligar a que las contrase/as sean seguras. Analiar el uso de los fic1eros en disco de los usuarios para buscar contenido ilegal. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. (2 CORRECTA) A. #eg6n "#( )*++,2 los registros son evidencia ob!etiva sobre el cumplimiento de los requisitos del #istema de 5estión de la #eguridad de la "nformación. B. #eg6n "#( )*++,2 la revisión de la dirección es el paso previo a la visita de los auditores2 que se realia con el ob!eto de ser una comprobación para evitar no conformidades.
2 1 e g a P
C. La política de seguridad de la información es e l documento que debe comunicarse a toda la empresa % a partir del cual se deriva el resto de los requisitos del sistema. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA) A. &l valor de los recursos en e l análisis de riesgo se debe 1acer a partir de su valor de mercado2 % es sólo aplicable a los que lo tienen. B. &l valor de los recursos puede e stimarse por el lado de los costes2 en caso de que sean medibles. C. Algunos recursos tienen un valor estrat'gico para el mantenimiento del negocio2 que son superiores a los costes invertidos en obtenerlos. D. -inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (& CORRECTA) A. &n el control de acceso discrecional se restringe el acceso a los ob!etos2 permitiendo a los usuarios controlar esa autoriación. B. &n el control de accesos obligatorio2 1a% políticas generales impuestas por un administrador que los usuarios no pueden violar. C. &l control de acceso basado en roles se basa en que los permisos se gestionan a trav's de roles gen'ricos % no de usuarios. D. -inguna de las anteriores.
'n proceso de gestión del riesgo implantado segn los principios directrices de la '*E>ISO &+++! es una ,erramienta -ue auda a una organiación a% ( CORRECTA) A. B. C. D.
Aumentar la probabilidad de alcanar los ob!etivos. 0omentar una gestión activa. #er consciente de la necesidad de identificar % tratar el riesgo en toda la organiación. Las respuestas A % C son correctas.
Respecto al tratamiento del riesgo! "cuál de las siguientes afirmaciones es correcta# ( CORRECTA) A. B. C. D.
:a% dos formas básicas de compartir riesgoE financiando % transfiriendo. #olo se comparte el riesgo cualitativo. $ara mitigar el riesgo eisten tres opciones. La eliminación de la fuente de riesgo es una opción frente a un riesgo que no es aceptable.
"En el análisis de riesgos en S4SI se consideran! en primer ni1el#% ( CORRECTA) A. B. C. D.
#olo los activos 1ardware. $rocesos de negocio8servicios de 7". #olo los activos software % las personas. Bases de datos.
Con la ,erramienta 9R'T'S% ( CORRECTA) A. :acemos uso de los 5oogle Dor9s. B. &ntre otras muc1as funciones2 obtenemos los puertos ?servicios@ abiertos en una re d local.
3 1 e g a P
C. Automatia los ataques de fuera bruta % ataque basado en diccionario. D. -inguna de las anteriores
$a ,erramienta CAI*% ( CORRECTA) A. B. C. D.
&stá dise/ada para ataques de fuera bruta. &stá dise/ada para realiar A$ $oisoning. &stá dise/ada para realiar sniffing de los paquetes de re d. 7odas las anteriores son ciertas.
"Cuál de las siguientes no es un área o captulo de la ISO@IEc 2?++2#% ( CORRECTA) A. B. C. D.
5estión de la continuidad del negocio. Cumplimiento. Clasificación % control de activos. $lan estrat'gico de la seguridad.
$a ,erramienta OAS7 8ir9uster% ( CORRECTA) A. &s una 1erramienta dise/ada para obtener por fuera bruta o diccionario los nombres de directorios % arc1ivos en servidores web. B. &s una 1erramienta para obtener las claves $A) de un router inalámbrico. C. $ermite realiar sniffing de red. D. &stá dise/ada para realiar A$ $oisoning.
"Cuál de las siguientes afirmaciones es incorrecta#% ( CORRECTA) A. &l análisis de riesgos es la piedra angular del #5#". B. La organiación debe determinar los controles a aplicar en la declaración de aplicabilidad C. &l aneo A del estandar "#(8"&C )*++, enumera ,44 controles organiados en ,, áreas2 cada una de las cuales cubre algunos de los 4H ob!etivos de control. D. La organiación solo podrá certificar su #5#" si implementa los ,44 controles del estándar.
"Cuál de las siguientes afirmaciones es incorrecta#% ( CORRECTA) A. La revisión por la dirección permitirá re alinear los esfueros de implantación del #5#" para asegurar su eficiencia % eficacia. B. La me!ora continua del #5#" se desempe/a por cualquiera de los recursos de la organiación. C. La revisión de la dirección debe r ealiarse a intervalos planificados % como mínimo , ve al a/o. D. -inguna de las anteriores de las anteriores.
$os informes de auditoras t6cnicas de seguridad% ( CORRECTA) A. B. C. D.
"nclu%en como aneo el informe e!ecutivo. Describen con detalle t'cnico las fases de la auditoría de seguridad que realian. -o necesitan definir el ob!etivo % e l alcance de la auditoría. -inguna de las anteriores.
4 1 e g a P