Sei sulla pagina 1di 14

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

INSTITUTO DE POSTGRADO

MAESTRÍA EN SEGURIDAD TELEMATICA


TOPICOS ESPECIALES
CUESTIONARIO

Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad de la
información. (2 CORRECTAS)
A. Los procedimientos detallan los pasos que deben seguirse para implementar las políticas.
B. Las directrices establecen normas de obligado cumplimiento sobre la configuración de
distintos elementos del sistema.
C. Una línea base puede servir para complementar un estándar con información adicional.
D. Las políticas detallan los elementos software que la organización debería utilizar para cubrir
objetivos de control de seguridad de la información.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la profesión dentro del
área de la seguridad de la información.
B. La profesión de la seguridad de la información cuenta con cuerpos de conocimientos
definidos y una cultura profesional como otras profesiones diferenciadas.
C. El código ético del profesional de la información es el definido en las normas de auditoría
ISO 27001.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTAS)
A. Los programas de gestión de la seguridad incluyen la gestión del riesgo.
B. La gestión del riesgo incluye el desarrollo de programas de gestión de la seguridad para las
áreas en las que se encuentran debilidades.
C. Los programas de gestión de la seguridad se deben evaluar periódicamente para analizar su
efectividad.
D. Ninguna de las anteriores.
Respecto al tratamiento del riesgo, ¿cuál de las siguientes afirmaciones es correcta? (1 CORRECTA)
A. Solo se comparte el riesgo cualitativo.
B. Para mitigar el riesgo existen tres opciones.
C. Las decisiones de eliminación de las fuentes de riesgo suponen realizar un nuevo análisis de
riesgos sobre el sistema modificado.
D. La eliminación de la fuente de riesgo es una opción frente a un riesgo que es aceptable.
1
Page
La gestión del riesgo: (1 CORRECTA)
A. Las respuestas C y D son correctas.
B. Contribuye de manera intangible al logro de los objetivos y a la mejora del desempeño.
C. Debe formar parte integral de todos los procesos de la organización.
D. Forma parte de las responsabilidades de gestión.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA)
A. En el control de acceso basado en roles es posible establecer condiciones de activación de
roles.
B. Las listas de comprobación de acceso que se utilizan en el acceso basado en roles y en el
acceso discrecional se aplican sobre objetos del sistema operativo como los ficheros.
C. La posibilidad de acceder a objetos con privilegios en el acceso discrecional es mayor que en
el caso de que se use un acceso obligatorio con políticas estrictas.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA)
A. Las políticas de seguridad deben definir los responsables de su cumplimiento, en términos
de roles.
B. Las políticas de seguridad deben definir el software que se debe utilizar en cada ámbito de
aplicación.
C. Las políticas de seguridad pueden basarse en estándares externos.
D. Ninguna de las anteriores
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un SGSI que sea
certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del staff de la
empresa que se dedica a la seguridad de la información.
C. En un nivel de madurez controlado, se evalúa de manera continua desde la gestión la
calidad y efectividad de los diferentes aspectos de la seguridad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. La clasificación de la información tiene como objetivo cumplir con los requisitos legales de
su difusión.
B. Una información clasificada como de difusión restringida podría más adelante ser
reclasificada como información de uso interno general.
C. La clasificación de los recursos de información no puede tener excepciones.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (3 CORRECTAS)
A. Las tecnologías triples A integran mecanismos de autenticación, autorización y contabilidad.
2

B. El control de accesos debe regirse por el principio del mínimo privilegio.


Page

C. El control de accesos se debe implementar teniendo en cuenta los aspectos físicos y lógicos.
D. Ninguna de las anteriores.
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNEISO 31000, es
una herramienta que ayuda a una organización a: ( 1 CORRECTA)
A. Mejorar la prevención de pérdidas y la gestión de incidentes.
B. Minimizar las pérdidas.
C. Mejorar la resiliencia de la organización.
D. Todas las anteriores.
¿Cuál de los siguientes forma parte de los objetivos específicos de la gestión del riesgo en CMMI? ( 1
CORRECTA)
A. Identificar y analizar riesgos.
B. Determinar fuentes y categorías de riesgo.
C. Determinar planes de migración de riesgo.
D. Ninguna de las anteriores.
¿Cuál es la base que aportan los estándares ISO a la Gestión de las TIC?: ( 1 CORRECTA)
A. Terminología técnica.
B. La aplicación de mejora continua con el ciclo de Deming/PDCA.
C. Indicadores y métricas.
D. Ninguna de las anteriores.
Un test de intrusión es: ( 1 CORRECTA)
A. Solo un análisis de vulnerabilidades.
B. Un tipo de hacking ético.
C. Habitualmente de caja blanca y caja negra.
D. No es un PenTest.
¿Qué tres fases habitualmente se utilizan en una auditoría técnica de seguridad (test de intrusión)? ( 1
CORRECTA)
A. La recopilación de información del sistema a auditar y análisis de vulnerabilidades,
explotación/ataque de las vulnerabilidades detectadas, realización de informe técnico y
ejecutivo.
B. La recopilación de información del sistema a auditar, explotación/ataque de las
vulnerabilidades detectadas. Nunca se realiza informe.
C. Explotación/ataque de las vulnerabilidades detectadas y realización de informe técnico.
D. La recopilación de información del sistema a auditar y realización de informe técnico y
ejecutivo.
¿Cuáles son los elementos fundamentales en el PDCA?: ( 1 CORRECTA)
A. Gestión de incidentes.
B. Análisis de riesgos.
C. Formación.
3
Page
D. Objetivos orientados al negocio, formación y concienciación, auditorías internas y revisión
por dirección, acciones preventivas y correctivas…
¿Cuál de los siguientes no es un principio de COBIT5? ( 1 CORRECTA)
A. Marco integrador.
B. Diseñado para profesionales de la seguridad.
C. Enfoque al negocio y su contexto para toda la organización.
D. Fundamentado en facilitadores.
La gestión del riesgo: ( 1 CORRECTA)
A. Crea y protege el valor.
B. Contribuye de manera intangible al logro de los objetivos.
C. Es una actividad independiente.
D. Todas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 2 CORRECTA)
A. La separación de responsabilidades es un principio por el cual se deberían separar los pasos
de las tareas para ser realizados por diferentes personas.
B. Las autorizaciones dependen de las tareas, pero también de la clasificación de la
información.
C. El control de accesos se hace necesario cuando se tienen usuarios externos que trabajan
fuera de la organización y acceden de manera remota.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. En la gestión de riesgos de seguridad se debe considerar como prioritario aquellas
vulnerabilidades que pueden tener un impacto mayor en términos económicos.
B. Todos los riesgos deben llevar a la implantación de controles para su mitigación.
C. La fuente de la amenaza en la gestión de riesgos es cada una de las vulnerabilidades.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las revistas académicas del área de la seguridad de la información son el principal medio de
formación básica para los profesionales de la seguridad de la información.
B. Se llama hacker ético a cualquier profesional de la seguridad de la información.
C. Un hacker ético puede realizar acciones de penetration testing contra una empresa siempre
que no perciba beneficios económicos por ello.
D. Ninguna de las anteriores.
¿Cuál de las siguientes afirmaciones describen mejor la diferencia entre los roles del responsable y el
propietario de la información? ( 1 CORRECTA)
A. El responsable implementa el esquema de clasificación por órdenes del propietario.
B. El propietario implementa el esquema de clasificación por órdenes del responsable.
4
Page
C. El responsable define la clasificación y los usuarios la implementan valorando el tipo de
información que manejan.
D. El responsable es el rol que decide sobre el esquema de clasificación de acuerdo a las
directrices de los procedimientos establecidos por la dirección.
Indica cuáles de las siguientes afirmaciones son verdaderas: ( 1 CORRECTA)
A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información
exclusivamente.
B. Las prácticas de ingeniería social tratan de explotar el factor humano para obtener datos
confidenciales.
C. La privacidad de los datos personales sensibles es el objetivo de mantener la
confidencialidad.
D. La clasificación de la información tiene como objeto establecer niveles de disponibilidad de
la información.
Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la certificación CISSP: (
3 CORRECTA)
A. La seguridad física de los sistemas.
B. La regulación sobre la protección de datos.
C. El desarrollo de software seguro.
D. La psicología de los delincuentes informáticos.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las contramedidas se implementan mediante controles.
B. La gestión del riesgo se basa en el análisis de los indicadores relativos al número de
intrusiones que se han detectado en cada período.
C. La gestión de riesgos puede ser basada en escenarios, cuantitativa o una mezcla de
ambas.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. La autenticación consiste en proporcionar una prueba de la identidad del usuario.
B. La autenticación biométrica permite utilizar características biológicas de las personas como
prueba de autenticación, permitiendo un modo más barato de realizar este proceso.
C. La aceptabilidad de un método de autenticación puede ser un determinante de su adopción.
D. Ninguna de las anteriores
En ISO 31000 la apreciación del riesgo comprende: ( 1 CORRECTA)
A. El establecimiento del contexto, la identificación, el análisis y la evaluación del riesgo.
B. La identificación, el análisis y la evaluación del riesgo.
C. La identificación, el análisis, la evaluación y el tratamiento del riesgo.
D. Ninguna de las anteriores.
5
Page
Respecto a las dependencias entre activos, ¿cuál de las siguientes afirmaciones es correcta? ( 1
CORRECTA)
A. Los activos esenciales son la información y los servicios prestados; pero estos activos no
dependen de otros activos más prosaicos.
B. Se dice que un «activo superior» depende de otro «activo inferior» cuando las necesidades
de seguridad del superior se reflejan en las necesidades de seguridad del inferior.
C. La materialización de una amenaza en el activo inferior no tiene como consecuencia un
perjuicio sobre el activo superior.
D. Las respuestas A y B son correctas.
¿Un sistema de gestión en las TIC, qué estándares utiliza usualmente?: ( 1 CORRECTA)
A. Motor (PDCA)/Conocimiento (Buenas prácticas-Controles TIC).
B. Motor/Conocimiento/Autenticación.
C. Motor/Conocimiento/Testing.
D. Ninguna de las anteriores.
Las pruebas de fuerza bruta se basan en: ( 1 CORRECTA)
A. Utilización de ficheros con palabras en diferentes idiomas para averiguar por ensayo/error
los usuarios y/o password en las pantallas de login.
B. Utilización de todas las combinaciones posibles con un set de caracteres definido y una
longitud.
C. Lo que se denominan «Rainbow Tables».
D. Ninguna es cierta.

¿Qué es el «sniffing» de paquetes de red?: ( 1 CORRECTA)


A. Es la técnica para inyectar paquetes en redes inalámbricas.
B. Es la técnica pasiva que permite la captura de datos (paquetes de datos) que se distribuyen
en una red.
C. Es la técnica por la que se intercepta y modifica la información en una red.
D. Es la técnica por la que consigues el control de administración en las máquinas servidoras.
Indicar, en los sistemas de gestión en las TIC en ISO, que tipos de auditoría hay: ( 1 CORRECTA)
A. Test de intrusión y análisis de vulnerabilidades.
B. Auditoría interna y auditoría externa de certificación.
C. Auditoría bienal, auditoría interna y test de intrusión.
D. Ninguna de las anteriores.
Respecto al impacto repercutido, ¿cuál de las siguientes afirmaciones es correcta? ( 1 CORRECTA)
A. Es el calculado sobre un activo teniendo en cuenta su valor propio.
B. Es tanto mayor cuanto mayor es el valor propio de un activo.
C. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
6

D. Todas las anteriores.


Page
¿Cuál de las siguientes no forma parte del contexto externo de una organización? ( 1 CORRECTA)
A. La inestabilidad política.
B. Una situación de sequía permanente.
C. Un conflicto laboral sectorial.
D. Un cambio organizativo.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. En un sistema que ha implementado el Single Sign On, las claves de los usuarios se
almacenan en un solo servidor en la red.
B. El Single Sign On proporciona una seguridad mayor porque el usuario solo tiene que
recordar una clave.
C. El Single Sign On puede implementarse con diferentes combinaciones de técnicas
criptográficas.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas sobre el factor de exposición. ( 1 CORRECTA)
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de seguridad de la
información. ( 1 CORRECTA)
A. La certificación CAP tiene un contenido técnico equivalente a la certificación CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no necesitan
renovarse.
C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia profesional en el
área.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes son posibles vías para gestionar un riesgo de seguridad de la
información: ( 3 CORRECTA)
A. Contratar un seguro con una aseguradora que cubra la eventualidad de una pérdida de
datos.
B. Establecer controles sobre la forma en que los usuarios gestionan sus claves, por ejemplo,
obligándoles a cambiarlas cada cierto tiempo.
C. Iniciando medidas de contra-ataque cuando se detecta una intrusión por parte de hackers.
D. Ignorando el riesgo cuando los costes de asumirlo son pequeños.
Respecto a las salvaguardas, ¿cuál de las siguientes afirmaciones es incorrecta? (1 CORRECTA)
A. Reducen la probabilidad de materialización de la amenaza.
B. Disminuyen el impacto.
C. Proporcionan alerta temprana.
7

D. Elimina el riesgo.
Page
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es
una herramienta que ayuda a una organización a: (1 CORRECTA)
A. Garantiza la eficacia y la eficiencia operacional.
B. Conseguir una gestión activa.
C. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización.
D. Todas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA)
A. En el protocolo RADIUS, un nodo de acceso controla una serie de nodos de acceso
autorizados.
B. Los servidores NAS en RADIUS son los únicos que controlan la información de contabilidad.
C. DIAMETER es un protocolo AAA extensible, sobre un protocolo básico.
D. inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas respecto a las políticas de seguridad. (3
CORRECTA)
A. Indican los objetivos de la seguridad, pero no la manera concreta de obtenerlos.
B. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del correo
electrónico.
C. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes de seguridad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (2 CORRECTA)
A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de calidad de los
servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un sistema de
seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad diseñados
dentro del SGSI.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. La identificación de los usuarios es la autentificación de los mismos en el sistema.
B. La criptografía permite establecer almacenamiento seguro pero no transferencia de datos
segura.
C. El desarrollo de software seguro es más barato para los fabricantes de paquetes de
software, dado que reduce el impacto económico de su responsabilidad legal.
D. Ninguna de las anteriores.
Indica cuáles de las afirmaciones siguientes son ciertas: ( 1 CORRECTA)
A. El coste de ruptura hace referencia al coste que la empresa asume cuando se produce una
intrusión.
8

B. En general, los costes de construcción de mecanismos de defensa son siempre inferiores a


Page

las pérdidas de beneficio ante cualquier tipo de intrusión.


C. Los costes post-incidente que asumen las empresas ante un incidente de seguridad de la
información incluyen como elemento fundamental los costes de reparación de
vulnerabilidades en el software estándar como los sistemas operativos.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001. ( 2 CORRECTA)
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de Gestión de la
Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los Sistemas de
Gestión de la Seguridad de la Información.
C. ISO 27001 considera como uno de los elementos fundamentales el compromiso de la
dirección, requisito imprescindible para el establecimiento de un Sistema de Gestión de la
Seguridad de la Información.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas sobre la expectativa de pérdida. (1
CORRECTA)
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (1 CORRECTA)
A. En el protocolo Kerberos, los servicios con las aplicaciones nunca almacenan claves ni
información de autenticación de los usuarios.
B. El carácter distribuido de Kerberos implica que los usuarios tienen diferentes
autenticaciones para cada aplicación que utilizan, aunque éstas se asocian a una cuenta
única.
C. El segundo de los intermediarios del protocolo Kerberos puede eliminarse de la arquitectura
en caso de que no se requiera un nivel de seguridad muy elevado.
D. Ninguna de las anteriores.
La finalidad de la evaluación del riesgo es: (1 CORRECTA)
A. Ayudar a la toma de decisiones.
B. Determinar los riesgos a tratar.
C. Priorizar las acciones de tratamiento del riesgo.
D. Las respuestas B y C son correctas.
¿Cuál de los siguientes no forma parte de los objetivos específicos de la gestión del riesgo en CMMI?
(1 CORRECTA)
A. Preparar la gestión del riesgo.
B. Identificar y analizar riesgos.
C. Mitigar riesgos.
9

D. Determinar fuentes y categorías de riesgos.


Page
El Sistema de Gestión de la Seguridad de la Información (SGSI) ¿Cuál tiene PDCA?: (1 CORRECTA)
A. La ISO 27001 y la ISO 27002.
B. Solo la ISO 27002.
C. La ISO 27001.
D. Ninguna de las anteriores.
¿Por qué sucede en algunos casos el llamado «Directory Listing»? (1 CORRECTA)
A. Como consecuencia del uso de herramientas de sniffing de red.
B. Como resultado de la utilización de inyección de paquetes en redes Wi-Fi.
C. Como resultado de una inadecuada configuración y parametrización de un servidor web o
servidor FTP.
D. Como consecuencia del uso del cifrado WPA.
Con la herramienta NMAP: (1 CORRECTA)
A. Hacemos uso de los Google Dorks.
B. Entre otras muchas funciones, obtenemos los puertos (servicios) abiertos en una red local.
C. Obtenemos las claves de cifrado en Wi-Fi.
D. Ninguna de las anteriores.
¿Cuáles son los tres pilares en que se fundamenta el SGSI?: (1 CORRECTA)
A. Privacidad, integridad y disponibilidad.
B. Integridad, confidencialidad y continuidad.
C. Confidencialidad, integridad y disponibilidad.
D. Confidencialidad, integridad y no repudio.
COBIT: (1 CORRECTA)
A. Es una guía de mejores prácticas presentada como framework sin ninguna gestión de
riesgos en sus procesos.
B. Es una guía de mejores prácticas presentada como framework dirigida a la gestión de
tecnologías de la información.
C. Se organiza en tres áreas de gestión: Desarrollo del software, Servicios y Adquisiciones.
D. Todas son falsas
Cuál de las siguientes no forma parte del contexto externo de una organización: (1 CORRECTA)
A. La situación internacional.
B. Una situación de sequía permanente.
C. El entorno social.
D. Un conflicto laboral con el comité de empresa.
Indica cuáles de las siguientes afirmaciones son correctas. (1 CORRECTA)
A. La contabilidad (accountability) tiene como interés principal el poder analizar los accesos a
10

posteriori.
B. La autentificación biométrica tiene una fiabilidad perfecta en el caso de algunas técnicas,
Page

como el reconocimiento facial.


C. En un sistema con Single Sign On, el acceso a las credenciales de un usuario, por ejemplo,
mediante pishing, tiene potencialmente un riesgo de daño mayor que en un sistema que no
lo tenga.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA)
A. Las políticas de seguridad funcionales han de ser coherentes con las políticas funcionales.
B. Las políticas son uno de los elementos que se pueden utilizar dentro de una auditoría de
seguridad de la información.
C. Las políticas deben describirse para aquellos procesos o tareas dentro de la empresa en la
que se tiene contacto con el exterior, y por tanto hay una posibilidad de intrusión o pérdida
de confidencialidad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (2 CORRECTA)
A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestión de la seguridad.
B. El concepto de KPI en ITIL tiene en común con el de métrica en OISM3 el que hacen
referencia a la medición de los diferentes procesos.
C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que tienen una
base común con ISO 27001.
D. Ninguna de las anteriores.
Indica cuál de las siguientes afirmaciones es cierta: (1 CORRECTA)
A. La adopción de las tecnologías de seguridad por parte de las empresas depende
exclusivamente del riesgo asociado con no implantar esa medida de seguridad.
B. La probabilidad de un ataque depende de la motivación económica de los atacantes.
C. El coste de no implantar una medida de seguridad puede depender de la práctica de la
auditoría.
D. Ninguna de las anteriores.
Respecto al riesgo residual, ¿cuántas opciones existen? (1 CORRECTA)
A. 2.
B. 3.
C. 4.
D. 5.
Cuál de las siguientes no forma parte del contexto interno de una organización (1 CORRECTA)
A. El CRM del que dispone la organización.
B. La relación con los clientes.
C. Un conflicto laboral con el comité de empresa.
D. Un cambio legislativo.
11

Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA)


Page

A. SESAME permite un acceso basado en roles sobre las aplicaciones.


B. En los sistemas de SSO se necesita un sistema de claves asimétricas para implantar la
seguridad en el acceso.
C. Los sistemas de SSO implícitamente permiten controlar las sesiones de los usuarios y su
actividad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas sobre la tasa de ocurrencia. (3 CORRECTA)
A. Determina el impacto final dado que representa la probabilidad de ocurrencia.
B. En caso de que haya información, puede estimarse mediante frecuencias registradas en el
pasado.
C. Suele presentarse en forma de tasa anual.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. (1 CORRECTA)
A. ISO 27001 se basa en un modelo de mejora continua donde la fase de planificación implica
el diseño de mecanismos de gestión del Sistema de Gestión de la Seguridad de la
Información.
B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la Información
debe estar motivada por decisiones tácticas referentes a la mejora de los costes asociados
con la seguridad.
C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información debe comprender
a toda la organización, para garantizar que no existe ninguna posibilidad de intrusión en
ninguno de sus niveles.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. (2 CORRECTA)
A. Una política de revisión del DNI mediante un guardia de seguridad para visitantes de un
centro de cálculo es un ejemplo de medida física de seguridad de la información.
B. La disponibilidad de la información puede verse comprometida por un problema de
ventilación.
C. La seguridad física de un sistema de información tiene como ámbito de aplicación a todos
los ordenadores propiedad de la empresa.
D. Ninguna de las anteriores.
Indica cuáles de los siguientes son ejemplos de controles de seguridad: (2 CORRECTA)
A. No permitir que los usuarios de ordenadores portátiles los saquen de la empresa.
B. Obligar a que las contraseñas sean seguras.
C. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido ilegal.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas. (2 CORRECTA)
A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento de los
12

requisitos del Sistema de Gestión de la Seguridad de la Información.


B. Según ISO 27001, la revisión de la dirección es el paso previo a la visita de los auditores, que
Page

se realiza con el objeto de ser una comprobación para evitar no conformidades.


C. La política de seguridad de la información es el documento que debe comunicarse a toda la
empresa y a partir del cual se deriva el resto de los requisitos del sistema.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA)
A. El valor de los recursos en el análisis de riesgo se debe hacer a partir de su valor de
mercado, y es sólo aplicable a los que lo tienen.
B. El valor de los recursos puede estimarse por el lado de los costes, en caso de que sean
medibles.
C. Algunos recursos tienen un valor estratégico para el mantenimiento del negocio, que son
superiores a los costes invertidos en obtenerlos.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (3 CORRECTA)
A. En el control de acceso discrecional se restringe el acceso a los objetos, permitiendo a los
usuarios controlar esa autorización.
B. En el control de accesos obligatorio, hay políticas generales impuestas por un administrador
que los usuarios no pueden violar.
C. El control de acceso basado en roles se basa en que los permisos se gestionan a través de
roles genéricos y no de usuarios.
D. Ninguna de las anteriores.
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es
una herramienta que ayuda a una organización a: (1 CORRECTA)
A. Aumentar la probabilidad de alcanzar los objetivos.
B. Fomentar una gestión activa.
C. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización.
D. Las respuestas A y C son correctas.
Respecto al tratamiento del riesgo, ¿cuál de las siguientes afirmaciones es correcta? (1 CORRECTA)
A. Hay dos formas básicas de compartir riesgo: financiando y transfiriendo.
B. Solo se comparte el riesgo cualitativo.
C. Para mitigar el riesgo existen tres opciones.
D. La eliminación de la fuente de riesgo es una opción frente a un riesgo que no es aceptable.
¿En el análisis de riesgos en SGSI se consideran, en primer nivel?: (1 CORRECTA)
A. Solo los activos hardware.
B. Procesos de negocio/servicios de TI.
C. Solo los activos software y las personas.
D. Bases de datos.
Con la herramienta BRUTUS: (1 CORRECTA)
13

A. Hacemos uso de los Google Dorks.


Page

B. Entre otras muchas funciones, obtenemos los puertos (servicios) abiertos en una red local.
C. Automatiza los ataques de fuerza bruta y ataque basado en diccionario.
D. Ninguna de las anteriores
La herramienta CAIN: (1 CORRECTA)
A. Está diseñada para ataques de fuerza bruta.
B. Está diseñada para realizar ARP Poisoning.
C. Está diseñada para realizar sniffing de los paquetes de red.
D. Todas las anteriores son ciertas.
¿Cuál de las siguientes no es un área o capítulo de la ISO/IEc 27002?: (1 CORRECTA)
A. Gestión de la continuidad del negocio.
B. Cumplimiento.
C. Clasificación y control de activos.
D. Plan estratégico de la seguridad.
La herramienta OWASP DirBuster: (1 CORRECTA)
A. Es una herramienta diseñada para obtener por fuerza bruta o diccionario los nombres de
directorios y archivos en servidores web.
B. Es una herramienta para obtener las claves WPA2 de un router inalámbrico.
C. Permite realizar sniffing de red.
D. Está diseñada para realizar ARP Poisoning.
¿Cuál de las siguientes afirmaciones es incorrecta?: (1 CORRECTA)
A. El análisis de riesgos es la piedra angular del SGSI.
B. La organización debe determinar los controles a aplicar en la declaración de aplicabilidad
C. El anexo A del estandar ISO/IEC 27001 enumera 133 controles organizados en 11 áreas, cada
una de las cuales cubre algunos de los 39 objetivos de control.
D. La organización solo podrá certificar su SGSI si implementa los 133 controles del estándar.
¿Cuál de las siguientes afirmaciones es incorrecta?: (1 CORRECTA)
A. La revisión por la dirección permitirá realinear los esfuerzos de implantación del SGSI para
asegurar su eficiencia y eficacia.
B. La mejora continua del SGSI se desempeña por cualquiera de los recursos de la organización.
C. La revisión de la dirección debe realizarse a intervalos planificados y como mínimo 1 vez al
año.
D. Ninguna de las anteriores de las anteriores.
Los informes de auditorías técnicas de seguridad: (1 CORRECTA)
A. Incluyen como anexo el informe ejecutivo.
B. Describen con detalle técnico las fases de la auditoría de seguridad que realizan.
C. No necesitan definir el objetivo y el alcance de la auditoría.
D. Ninguna de las anteriores.
14
Page