Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Explicación:
En un sistema de Biometría típico, la persona se registra con el sistema cuando una o más
de sus características físicas y de conducta son obtenidas, procesada por un algoritmo
numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus
características concuerdan; entonces cuando alguna otra persona intenta identificarse, no
empareja completamente, por lo que el sistema no le permite el acceso.
2. ¿Cuál de los siguientes es el control MÁS efectivo cuando se otorga acceso temporal a los
vendedores?
A. El acceso de vendedor corresponde al contrato de nivel de servicio (SLA).
B. Las cuentas de usuario se crean con fechas de expiración y se basan en los servicios
prestados.
C. El acceso de administrador se provee por un período limitado de tiempo.
D. Las identificaciones de usuario se eliminan cuando el trabajo se ha concluido.
Explicación:
Porque así serían más difíciles de descifrarlas, además que si por alguna situación de otro
tipo el usuario se olvida la sesión abierta automáticamente el sistema lo cerraría después de
un cierto tiempo de estado activo.
Explicación:
Es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que
permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute),
suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene
efecto sin la colaboración involuntaria del usuario a quien va dirigido.
Explicación:
5. Un Auditor de SI que realiza una revisión de controles de acceso debería estar MENOS
preocupado si:
A. Las pistas de auditoría no estuvieran habilitadas.
B. Los programadores tuvieran acceso al entorno en vivo.
C. Los logons de grupo estuvieran siendo utilizados para funciones críticas.
D. El mismo usuario pudiera iniciar transacciones y también cambiar los parámetros
relacionados.
Explicación:
Explicación:
Es por la integridad de nuestra información para que no sea modificada por manos de
terceros.
7. ¿Cuál de las técnicas siguientes podría captar ilegalmente contraseñas de usuarios de red?
A. La encripción/cifra
B. Sniffing
C. Spoofing
D. La destrucción de datos
Explicación:
Supone una amenaza grave para la seguridad no sólo de una máquina sino también de toda una
red. Gran cantidad de tráfico confidencial viaja en claro, sin ningún tipo de cifrado, por las redes
de la mayoría de las empresas. Ese es el entorno ideal para un sniffer, que puede acceder de
forma transparente a esa información, y permitir que alguien abuse de su conocimiento. Por eso
es muy importante realizar búsquedas periódicas de sniffers dentro de las redes de cualquier
empresa, no sólo por el daño que puedan causar, sino también porque encontrarlos es señal de
que se ha producido y explotado una grave brecha y hay que tomar medidas inmediatas.
Existen casos en los que un sniffer no es peligroso. A veces, explorando una red en busca de
sniffers se detectará que hay algunos, por ejemplo, en máquinas que dependen del
departamento de administración de redes. Esto puede ocurrir porque, en realidad, un sniffer no
se diferencia demasiado de una herramienta de observación y diagnosis del tráfico de red que
puede estar siendo legítimamente utilizada por personal encargado de la administración de la
red. Otros dispositivos, especialmente routers y hub, suelen producir falsos positivos que hay
que tener en cuenta .de DNS para colocar sus sniffers en estos puntos tan estratégicos.
Explicación:
Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos
de acceso, por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acción más
importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser
entregado a un empleado designado, sin embargo, esto debe efectuarse.
Explicación:
La orientación del negocio debe ser el tema principal al implementar la seguridad. Por ello, una
auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las
políticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI.
Revisar si las políticas están disponibles para todos es un objetivo, pero la distribución no
asegura el cumplimiento. La disponibilidad de organigramas con descripciones de las funciones
y segregación de las funciones, podría incluirse en la revisión, pero no son el objetivo primario
de una auditoría de las políticas de seguridad
10. Para soportar las metas de una organización, el departamento de SI debe tener:
A. Una filosofía de bajo costo.
B. Planes de largo y corto plazo.
C. Tecnología de punta.
D. Planes para adquirir nuevo hardware y software.
Explicación:
Explicación:
Explicación:
Explicación:
La identificación de las aplicaciones requeridas en toda la red debe ser identificada primero.
Después de la identificación, dependiendo de la ubicación física de estas aplicaciones en la red
y el modelo de red, la persona a cargo podrá entender la necesidad y las posibles formas de el
acceso a estas aplicaciones. Identificar los métodos para proteger contra las vulnerabilidades
identificadas y su análisis comparativo costo-beneficio es el tercer paso. Habiendo identificado
las aplicaciones, el siguiente paso es identificar las vulnerabilidades (debilidades) asociadas con
las aplicaciones de red. El siguiente paso es analizar el tráfico de aplicación y crear una matriz
que muestre cómo cada tipo de tráfico será protegido.
14. Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado
debe evaluar el riesgo de:
A. Dependencia de una sola persona.
B. Planeación inadecuada de sucesión.
C. Que una persona conozca todas las partes de un sistema.
D. Una interrupción de las operaciones.
Explicación:
El entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo
o procedimiento sola persona y asiste en la planeación de la sucesión.
Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo, provee la continuidad
de las operaciones. Sin embargo, al usar este método, es prudente hacer evaluar primero el riesgo
de cualquier persona que conozca todas las partes de un sistema y las exposiciones potenciales
relacionadas. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A, B y D.
Explicación:
Para ser efectiva, una política de seguridad de información debería llegar a todos los miembros del
personal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser
aconsejable, pero de poco valor si su contenido no es conocido por los empleados de la organización.
La política de seguridad de información debería ser escrita por los gerentes de unidad de negocios
incluyendo SI, pero no exclusivamente por los gerentes de SI. Actualizar la política de seguridad de
información es importante pero no asegurará su divulgación.
Explicación:
Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para
una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.
17. ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para
propiedad de datos y de sistemas?
A. No existe coordinación de la gerencia de usuarios.
B. No se puede establecer la imputabilidad accountability) específica del usuario.
C. Usuarios no autorizados pueden tener acceso para srcinar, modificar o eliminar
datos.
D. Es posible que las recomendaciones de auditoría no estén implementadas.
Explicación:
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos,
hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de
hecho esa persona no debería tener autorización. La asignación de autoridad para otorgar acceso a
usuarios específicos, implica una mejor probabilidad de que los objetivos del negocio serán
debidamente respaldados.
Explicación:
El cambio requiere que se implementen y ejecuten buenos procesos de administración de cambios.
Hacer un outsourcing a la función de SI no está directamente relacionado con la velocidad de cambio
tecnológico. El personal en un departamento típico de SI está altamente calificado y educado, por lo
general no siente que sus puestos de trabajo estén en riesgo y están preparados para cambiar de
trabajo con frecuencia. A pesar que es importante satisfacer los requerimientos de los usuarios, ello
no está directamente relacionado con la velocidad de cambio tecnológico en el entorno de SI.
Explicación:
Un administrador de LAN no debería tener responsabilidades de programación, pero puede tener
responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o,
en una operación descentralizada, al gerente de usuario final. En las organizaciones pequeñas, el
administrador de LAN puede también ser responsable de la administración de seguridad del LAN.
20. ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
A. Investigación de los antecedentes
B. Referencias
C. Fianza
D. Calificaciones enumeradas en un curriculum vitae/ una hoja de vida
Explicación:
Una investigación de los antecedentes es el método primario para asegurar la integridad de un
prospectivo miembro del personal. Las referencias son importantes y sería necesario verificarlas, pero
no son tan fiables como la investigación de los antecedentes. La fianza está referenciando al
cumplimiento de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en
un résumé/curriculum vitae/hoja de vida, pueden no ser correctas.