EXAMEN DE DE SEGURIDAD INFORMÁTICA

1. ¿Cuál de las siguientes técnicas de seguridad es el MEJOR método para autenticar la

identidad de un usuario?
A. Smart card
B. Biométrica
C. Challenge-response token
D. ID de usuario y contraseña

Explicación:

En un sistema de Biometría típico, la persona se registra con el sistema cuando una o más
de sus características físicas y de conducta son obtenidas, procesada por un algoritmo
numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus
características concuerdan; entonces cuando alguna otra persona intenta identificarse, no
empareja completamente, por lo que el sistema no le permite el acceso.

2. ¿Cuál de los siguientes es el control MÁS efectivo cuando se otorga acceso temporal a los
vendedores?
A. El acceso de vendedor corresponde al contrato de nivel de servicio (SLA).
B. Las cuentas de usuario se crean con fechas de expiración y se basan en los servicios
prestados.
C. El acceso de administrador se provee por un período limitado de tiempo.
D. Las identificaciones de usuario se eliminan cuando el trabajo se ha concluido.

Explicación:

Porque así serían más difíciles de descifrarlas, además que si por alguna situación de otro
tipo el usuario se olvida la sesión abierta automáticamente el sistema lo cerraría después de
un cierto tiempo de estado activo.

3. Una amenaza a la seguridad de Internet que podría afectar la integridad es:

A. El robo de datos del cliente
B. La exposición de información de configuración de red
C. Un browser caballo de troya
D. Escucha furtiva (eavesdropping) en la red.

Explicación:

Es un programa aparentemente útil, novedoso, o atractivo que contiene funciones ocultas que
permiten, por ejemplo, obtener privilegios de usuario (siempre que el programa se ejecute),
suponiendo un enorme problema de seguridad. Generalmente un caballo de Troya no tiene
efecto sin la colaboración involuntaria del usuario a quien va dirigido.

4. ¿Cuál de los siguientes es MÁS crítico para la implementación exitosa y el mantenimiento

de una política de seguridad?
A. La asimilación de la estructura y la intención de una política de seguridad escrita por
todas las partes apropiadas
B. El soporte de la gerencia y la aprobación para la implementación y mantenimiento de
una política de seguridad
C. La ejecución de reglas de seguridad proveyendo acciones punitivas por cualquier
violación de las reglas de seguridad
 D. La implementación estricta, el monitoreo y la ejecución de reglas por el funcionario de
seguridad a través de software de control de acceso.

Explicación:

La asimilación de la estructura y la intención de una política de seguridad escrita por parte de

los usuarios de los sistemas es crítico para la implementación exitosa y el mantenimiento de la
política de seguridad. Uno puede tener un buen sistema de contraseña, pero si los usuarios del
sistema mantienen contraseñas escritas en su mesa, el sistema de contraseña tiene poco valor.
El soporte y dedicación de la gerencia es sin duda importante, pero para una implementación
exitosa y un mantenimiento de la política de seguridad, la educación de los usuarios sobre la
importancia de la seguridad es de suprema importancia. La estricta implementación, monitoreo
y ejecución de reglas por parte del funcionario de seguridad a través de un software de control
de acceso y la disposición de acciones punitivas por la violación de las reglas de seguridad
también se requiere conjuntamente con la educación del usuario sobre la importancia de la
seguridad.

5. Un Auditor de SI que realiza una revisión de controles de acceso debería estar MENOS
preocupado si:
A. Las pistas de auditoría no estuvieran habilitadas.
B. Los programadores tuvieran acceso al entorno en vivo.
C. Los logons de grupo estuvieran siendo utilizados para funciones críticas.
D. El mismo usuario pudiera iniciar transacciones y también cambiar los parámetros
relacionados.

Explicación:

Porque el auditor no sabría si los programadores siguen o siguieron manipulando el acceso.

6. Para prevenir el ingreso no autorizado a los datos mantenidos en un sistema de respuesta

de discado rápido, un Auditor de SI debería recomendar:
A. Que las terminales en línea sean colocadas en áreas restringidas.
B. Que las terminales en línea estén equipadas con cerrojos de llave.
C. Que se requiera tarjetas de identificación para tener acceso a las terminales en línea.
D. Que el acceso en línea sea terminado después de tres intentos fallidos.

Explicación:

Es por la integridad de nuestra información para que no sea modificada por manos de
terceros.

7. ¿Cuál de las técnicas siguientes podría captar ilegalmente contraseñas de usuarios de red?
A. La encripción/cifra
B. Sniffing
C. Spoofing
D. La destrucción de datos

Explicación:
Supone una amenaza grave para la seguridad no sólo de una máquina sino también de toda una
red. Gran cantidad de tráfico confidencial viaja en claro, sin ningún tipo de cifrado, por las redes
de la mayoría de las empresas. Ese es el entorno ideal para un sniffer, que puede acceder de
forma transparente a esa información, y permitir que alguien abuse de su conocimiento. Por eso
es muy importante realizar búsquedas periódicas de sniffers dentro de las redes de cualquier
empresa, no sólo por el daño que puedan causar, sino también porque encontrarlos es señal de
que se ha producido y explotado una grave brecha y hay que tomar medidas inmediatas.

Existen casos en los que un sniffer no es peligroso. A veces, explorando una red en busca de
sniffers se detectará que hay algunos, por ejemplo, en máquinas que dependen del
departamento de administración de redes. Esto puede ocurrir porque, en realidad, un sniffer no
se diferencia demasiado de una herramienta de observación y diagnosis del tráfico de red que
puede estar siendo legítimamente utilizada por personal encargado de la administración de la
red. Otros dispositivos, especialmente routers y hub, suelen producir falsos positivos que hay
que tener en cuenta .de DNS para colocar sus sniffers en estos puntos tan estratégicos.

8. Cuando un empleado es despedido de su servicio, la acción MÁS importante es:

A. La entrega de todos los archivos del empleado a otro empleado designado.
B. Sacar una copia de respaldo del trabajo del empleado.
C. Notificar a otros empleados sobre la terminación.
D. Inhabilitar el acceso lógico del empleado.

Explicación:

Existe una probabilidad de que un empleado despedido pueda hacer mal uso de los derechos
de acceso, por lo tanto, inhabilitar el acceso lógico de un empleado terminado es la acción más
importante que se debe emprender. Todo el trabajo del empleado terminado necesita ser
entregado a un empleado designado, sin embargo, esto debe efectuarse.

9. El objetivo PRIMARIO de una auditoría de las políticas de seguridad de TI es asegurar que:

A. Sean distribuidas y estén disponibles para todo el personal.
B. Las políticas de seguridad y control soporten los objetivos del negocio y de TI.
C. Haya un organigrama publicado con descripciones de las funciones.
D. Las funciones estén separadas de una manera apropiada.

Explicación:

La orientación del negocio debe ser el tema principal al implementar la seguridad. Por ello, una
auditoría de las políticas de seguridad de TI debe primordialmente concentrarse en si las
políticas de seguridad y control de TI y relacionadas respaldan los objetivos del negocio y de TI.

Revisar si las políticas están disponibles para todos es un objetivo, pero la distribución no
asegura el cumplimiento. La disponibilidad de organigramas con descripciones de las funciones
y segregación de las funciones, podría incluirse en la revisión, pero no son el objetivo primario
de una auditoría de las políticas de seguridad

10. Para soportar las metas de una organización, el departamento de SI debe tener:
A. Una filosofía de bajo costo.
B. Planes de largo y corto plazo.
C. Tecnología de punta.
D. Planes para adquirir nuevo hardware y software.

Explicación:

Para asegurar su contribución a la realización de las metas generales de una organización, el

departamento de SI debe tener planes de largo y corto plazo que sean consistentes con los
planes más amplios de la organización para alcanzar sus metas. Las opciones A y C son objetivos,
y se necesitarían planes para delinear cómo se alcanzaría cada uno de los objetivos. La opción D
podría ser parte del plan general, pero se requeriría solamente si se necesitara hardware o
software para lograr las metas organizativas.

11. ¿Cuál de los siguientes provee la mejor evidencia de la adecuación de un programa de

conciencia de la seguridad?
A. El número de interesados incluyendo empleados entrenados a diversos niveles
B. Cobertura de capacitación en todos los lugares de la empresa
C. La implementación de dispositivos de seguridad por parte de los diferentes proveedores
D. Revisiones periódicas y comparación con las mejores prácticas

Explicación:

La adecuación del contenido de conciencia de la seguridad puede evaluarse mejor

determinando si el mismo es revisado y comparado periódicamente con las mejores prácticas
de la industria. Las opciones A, B y C proveen medidas para medir diversos aspectos de un
programa de conciencia de la seguridad, pero no ayudan a evaluar el contenido.

12. La falta de controles adecuados de seguridad representa:

A. Una amenaza.
B. Un activo
C. Un impacto
D. Una vulnerabilidad.

Explicación:

La falta de controles adecuados de seguridad representa una vulnerabilidad, exponiendo

información y datos sensitivos al riesgo de daños maliciosos, ataque o acceso no autorizado por
hackers, que tiene como consecuencia la perdida de información para la organización definición
sucinta del riesgo es suministrada por las Directivas para la Gerencia de Seguridad de TI
publicadas por la Organización Internacional para la Estandarización (ISO), que define el riesgo
como el ―potencial de que una cierta amenaza se aproveche de la vulnerabilidad de un activo
o de un grupo de activos para causar pérdida o daño a los activos. Los diversos elementos de la
definición son vulnerabilidad, amenaza, activo e impacto.

13. La falta de una funcionalidad adecuada de seguridad en este contexto es una

vulnerabilidad. ¿Cuál de los siguientes es un paso inicial para crear una política de firewall?
A. Un análisis costo-beneficio de métodos para asegurar las aplicaciones
 B. La identificación de aplicaciones de red a las que se tenga acceso desde el exterior
C. La identificación de vulnerabilidades asociadas con aplicaciones de red a las que se tenga
acceso desde el exterior
D. La creación de una matriz de tráfico de aplicaciones que muestre métodos de protección

Explicación:

La identificación de las aplicaciones requeridas en toda la red debe ser identificada primero.
Después de la identificación, dependiendo de la ubicación física de estas aplicaciones en la red
y el modelo de red, la persona a cargo podrá entender la necesidad y las posibles formas de el
acceso a estas aplicaciones. Identificar los métodos para proteger contra las vulnerabilidades
identificadas y su análisis comparativo costo-beneficio es el tercer paso. Habiendo identificado
las aplicaciones, el siguiente paso es identificar las vulnerabilidades (debilidades) asociadas con
las aplicaciones de red. El siguiente paso es analizar el tráfico de aplicación y crear una matriz
que muestre cómo cada tipo de tráfico será protegido.

14. Un auditor de SI que revisa una organización que usa prácticas de entrenamiento cruzado
debe evaluar el riesgo de:
A. Dependencia de una sola persona.
B. Planeación inadecuada de sucesión.
C. Que una persona conozca todas las partes de un sistema.
D. Una interrupción de las operaciones.

Explicación:
El entrenamiento cruzado es un proceso de entrenar más de una persona para que realice un trabajo
o procedimiento sola persona y asiste en la planeación de la sucesión.

Esto provee el respaldo de personal en el caso de una ausencia y, de ese modo, provee la continuidad
de las operaciones. Sin embargo, al usar este método, es prudente hacer evaluar primero el riesgo
de cualquier persona que conozca todas las partes de un sistema y las exposiciones potenciales
relacionadas. El entrenamiento cruzado reduce los riesgos resueltos en las opciones A, B y D.

15. Cuando se ha diseñado una política de seguridad de información, lo MÁS importante es

que la política de seguridad de información sea:
A. Almacenada fuera del sitio.
B. Escrita por la gerencia de SI.
C. Circulada a los usuarios.
D. Actualizada con frecuencia.

Explicación:

Para ser efectiva, una política de seguridad de información debería llegar a todos los miembros del
personal. Almacenar la política de seguridad fuera del sitio o en un lugar seguro puede ser
aconsejable, pero de poco valor si su contenido no es conocido por los empleados de la organización.
La política de seguridad de información debería ser escrita por los gerentes de unidad de negocios
incluyendo SI, pero no exclusivamente por los gerentes de SI. Actualizar la política de seguridad de
información es importante pero no asegurará su divulgación.

16. El paso inicial para establecer un programa de seguridad de información es:

A. El desarrollo e implementación de un manual de normas de seguridad de información.
B. La realización de una revisión comprensiva de control de seguridad por el auditor de SI.
C. La adopción de una declaración corporativa de política de seguridad de información.
 D. la compra de software de control de seguridad de acceso.

Explicación:
Una declaración de política refleja la intención y el respaldo brindado por la gerencia ejecutiva para
una seguridad apropiada y establece un punto de inicio para desarrollar el programa de seguridad.

17. ¿Cuál de los siguientes es el MAYOR riesgo de la definición de una política inadecuada para
propiedad de datos y de sistemas?
A. No existe coordinación de la gerencia de usuarios.
B. No se puede establecer la imputabilidad accountability) específica del usuario.
C. Usuarios no autorizados pueden tener acceso para srcinar, modificar o eliminar
datos.
D. Es posible que las recomendaciones de auditoría no estén implementadas.

Explicación:
Sin una política que defina quién tiene la responsabilidad de otorgar acceso a sistemas específicos,
hay un mayor riesgo de que uno pueda obtener (se le pueda dar a uno) acceso al sistema cuando de
hecho esa persona no debería tener autorización. La asignación de autoridad para otorgar acceso a
usuarios específicos, implica una mejor probabilidad de que los objetivos del negocio serán
debidamente respaldados.

18. La velocidad de cambio de la tecnología aumenta la importancia de:

A. hacer un outsourcing de la función de SI.
B. implementar y ejecutar buenos procesos.
C. contratar personal dispuesto a hacer una carrera dentro de la organización.
D. satisfacer los requerimientos de los usuarios.

Explicación:
El cambio requiere que se implementen y ejecuten buenos procesos de administración de cambios.
Hacer un outsourcing a la función de SI no está directamente relacionado con la velocidad de cambio
tecnológico. El personal en un departamento típico de SI está altamente calificado y educado, por lo
general no siente que sus puestos de trabajo estén en riesgo y están preparados para cambiar de
trabajo con frecuencia. A pesar que es importante satisfacer los requerimientos de los usuarios, ello
no está directamente relacionado con la velocidad de cambio tecnológico en el entorno de SI.

19. Un administrador de LAN estaría normalmente restringido de:

A. tener responsabilidades de usuario final.
B. reportarse al gerente de usuario final.
C. tener responsabilidades de programación.
D. ser responsable de la administración de seguridad de la LAN.

Explicación:
Un administrador de LAN no debería tener responsabilidades de programación, pero puede tener
responsabilidades de usuario final. El administrador de LAN puede reportarse al director de la IPF o,
en una operación descentralizada, al gerente de usuario final. En las organizaciones pequeñas, el
administrador de LAN puede también ser responsable de la administración de seguridad del LAN.

20. ¿Cuál de lo siguiente proveería MEJOR garantía de la integridad del nuevo personal?
A. Investigación de los antecedentes
B. Referencias
C. Fianza
D. Calificaciones enumeradas en un curriculum vitae/ una hoja de vida
Explicación:
Una investigación de los antecedentes es el método primario para asegurar la integridad de un
prospectivo miembro del personal. Las referencias son importantes y sería necesario verificarlas, pero
no son tan fiables como la investigación de los antecedentes. La fianza está referenciando al
cumplimiento de la debida diligencia, no a la integridad, y las calificaciones/habilidades indicadas en
un résumé/curriculum vitae/hoja de vida, pueden no ser correctas.