Espoch Mst Cuestionario

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO INSTITUTO DE POSTGRADO MAESTRÍA EN SEGURIDAD TELEMATICA TOPICOS ESPECIALES CUESTIONARIO

Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad de la información. (2 CORRECTAS) A. Los procedimientos detallan los pasos que deben seguirse para implementar las políticas. B. Las directrices establecen normas de obligado cumplimiento sobre la configuración de distintos elementos del sistema. C. Una línea base puede servir para com plementar un estándar con información adicional. D. Las políticas detallan los elementos software que la organiación deber ía utiliar para cubrir ob!etivos de control de seguridad de la información.

Indica cuáles de las siguientes afirmaciones son correctas. (  CORRECTA) A. Las certificaciones como el C"##$ determinan el acceso al e!ercicio de la profesión dentro del área de la seguridad de la información. B. La profesión de la seguridad de la información cuenta c on cuerpos de conocimientos definidos % una cultura profesional como otras profesiones diferenciadas. C. &l código 'tico del profesional de la información es e l definido en las normas de auditoría "#( )*++,. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTAS) A. Los programas de gestión de la seguridad inclu%en la gestión del riesgo. B. La gestión del riesgo inclu%e el desarrollo de programas de gestión de la seguridad para las áreas en las que se e ncuentran debilidades. C. Los programas de gestión de la seguridad se deben evaluar periódicamente para analiar su efectividad. D. -inguna de las anteriores.

Respecto al tratamiento del riesgo! "cuál de las siguientes afirmaciones es correcta# ( CORRECTA) A. #olo se comparte el riesgo cualitativo. B. $ara mitigar el riesgo eisten tres opciones. C. Las decisiones de eliminación de las fuentes de riesgo suponen realiar un nuevo análisis de riesgos sobre el sistema modificado. D. La eliminación de la fuente de riesgo es una opción frente a un riesgo que es aceptable.

   1    e    g    a    P

$a gestión del riesgo% ( CORRECTA) A. B. C. D.

Las respuestas C % D son correctas. Contribu%e de manera intangible al logro de los ob! etivos % a la me!ora del desempe/o. Debe formar parte integral de todos los procesos de la organiación. 0orma parte de las responsabilidades de gestión.

Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA) A. &n el control de acceso basado en roles es posible establecer condiciones de activación de roles. B. Las listas de comprobación de acceso que se utilian en el acceso basado en roles % en el acceso discrecional se aplican sobre ob!etos del sistema operativo como los fic1eros. C. La posibilidad de acceder a ob!etos con privilegios en el acceso discrecional es ma%or que en el caso de que se use un acceso obligatorio con políticas estrictas. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA) A. Las políticas de seguridad deben definir los responsables de su cumplimiento2 en t'r minos de roles. B. Las políticas de seguridad deben definir el software que se debe utiliar en cada ámbito de aplicación. C. Las políticas de seguridad pueden basarse en estándares e ternos. D. -inguna de las anteriores

Indica cuáles de las siguientes afirmaciones son ciertas% ( CORRECTA) A. &l modelo ("#34 tiene como ob!eto proporcionar las especificaciones para un #5#" que sea certificable. B. &l concepto de madure en ("#34 1ace referencia al grado de capacidad del staff de la empresa que se dedica a la seguridad de la información. C. &n un nivel de madure controlado2 se eval6a de manera continua desde la gestión la calidad % efectividad de los diferentes aspectos de la seguridad. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son ciertas% ( CORRECTA) A. La clasificación de la información tiene como ob!etivo cumplir con los r equisitos legales de su difusión. B. Una información clasificada como de difusión restringida podría más adelante ser reclasificada como información de uso interno general. C. La clasificación de los recursos de información no puede te ner ecepciones. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (& CORRECTAS) A. Las tecnologías triples A integran mecanismos de autenticación2 autoriación % contabilidad. B. &l control de accesos debe regirse por el principio del mínimo privilegio. C. &l control de accesos se debe implementar teniendo en cuenta los aspectos físicos % lógicos.

   2    e    g    a    P

D. -inguna de las anteriores.

'n proceso de gestión del riesgo implantado segn los principios  directrices de la '*EISO &+++! es una ,erramienta -ue auda a una organiación a% (  C ORRECTA) A. B. C. D.

3e!orar la prevención de p'rdidas % la gestión de incidentes. 3inimiar las p'rdidas. 3e!orar la resiliencia de la organiación. 7odas las anteriores.

"Cuál de los siguientes forma parte de los o/0eti1os especficos de la gestión del riesgo en C33I# (  CORRECTA) A. B. C. D.

"dentificar % analiar riesgos. Determinar fuentes % categorías de riesgo. Determinar planes de migración de riesgo. -inguna de las anteriores.

"Cuál es la /ase -ue aportan los estándares ISO a la 4estión de las TIC#% (  CORRECTA) A. B. C. D.

7erminología t'cnica. La aplicación de me!ora continua con el c iclo de Deming8$DCA. "ndicadores % m'tricas. -inguna de las anteriores.

'n test de intrusión es% (  CORRECTA) A. B. C. D.

#olo un análisis de vulnerabilidades. Un tipo de 1ac9ing 'tico. :abitualmente de ca!a blanca % ca!a negra. -o es un $en7est.

"5u6 tres fases ,a/itualmente se utilian en una auditora t6cnica de seguridad (test de intrusión)# (  CORRECTA) A. La recopilación de información del sistema a auditar % análisis de vulnerabilidades2 eplotación8ataque de las vulnerabilidades detectadas2 realiación de informe t'cnico % e!ecutivo. B. La recopilación de información del sistema a auditar2 e plotación8ataque de las vulnerabilidades detectadas. -unca se realia informe. C. &plotación8ataque de las vulnerabilidades detectadas % realiación de informe t'cnico. D. La recopilación de información del sistema a auditar % re aliación de informe t'cnico % e!ecutivo.

"Cuáles son los elementos fundamentales en el 78CA#% (  CORRECTA) A. 5estión de incidentes. B. Análisis de riesgos. C. 0ormación.

   3    e    g    a    P

D. (b!etivos orientados al negocio2 formación % concienciación2 auditorías internas % revisión por dirección2 acciones preventivas % correc tivas;

"Cuál de los siguientes no es un principio de CO9IT:# (  CORRECTA) A. B. C. D.

3arco integrador. Dise/ado para profesionales de la seguridad. &nfoque al negocio % su conteto para t oda la organiación. 0undamentado en facilitadores.

$a gestión del riesgo% (  CORRECTA) A. B. C. D.

Crea % protege el valor. Contribu%e de manera intangible al logro de los ob! etivos. &s una actividad independiente. 7odas las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. ( 2 CORRECTA) A. La separación de responsabilidades es un principio por el cual se deberían separar los pasos de las tareas para ser realiados por diferentes personas. B. Las autoriaciones dependen de las tareas2 pero tambi'n de la clasificación de la información. C. &l control de accesos se 1ace necesario cuando se tienen usuarios eternos que t raba!an fuera de la organiación % acceden de manera remota. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (  CORRECTA) A. &n la gestión de riesgos de seguridad se debe considerar como prioritario aquellas vulnerabilidades que pueden tener un impacto ma%or en t'rminos eco nómicos. B. 7odos los riesgos deben llevar a la implantación de controles para su mitigación. C. La fuente de la amenaa en la gestión de riesgos es cada una de las vulnerabilidades. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (  CORRECTA) A. Las revistas acad'micas del área de la seguridad de la información son el principal medio de formación básica para los profesionales de la seguridad de la información. B. #e llama 1ac9er 'tico a cualquier profesional de la seguridad de la información. C. Un 1ac9er 'tico puede realiar acciones de penetration testing contra una empresa siempre que no perciba beneficios económicos por ello. D. -inguna de las anteriores.

"Cuál de las siguientes afirmaciones descri/en me0or la diferencia entre los roles del responsa/le  el propietario de la información# (  CORRECTA) A. &l responsable implementa el esquema de clasificación por órdenes del propietario. B. &l propietario implementa el esquema de clasificación por órdenes del responsable.

   4    e    g    a    P

C. &l responsable define la clasificación % los usuarios la implementan valorando el tipo de información que mane!an. D. &l responsable es el rol que dec ide sobre el esquema de clasificación de acuer do a las directrices de los procedimientos establecidos por la dirección.

Indica cuáles de las siguientes afirmaciones son 1erdaderas% (  CORRECTA) A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información eclusivamente. B. Las prácticas de ingeniería social tratan de eplotar el factor 1umano para obtener datos confidenciales. C. La privacidad de los datos personales sensibles es el ob!et ivo de mantener la confidencialidad. D. La clasificación de la información tiene como ob!eto e stablecer niveles de disponibilidad de la información.

Indica cuáles de las áreas o conocimientos están incluidas de forma e;plcita en la certificación CISS7% ( & CORRECTA) A. B. C. D.

La seguridad física de los sistemas. La regulación sobre la protección de datos. &l desarrollo de software seguro. La psicología de los delincuentes informáticos.

Indica cuáles de las siguientes afirmaciones son correctas. (  CORRECTA) A. Las contramedidas se implementan mediante controles. B. La gestión del riesgo se basa en el análisis de los indicadores relativos al n6mero de intrusiones que se 1an detectado en cada pe ríodo. C. La gestión de riesgos puede se r basada en escenarios2 cuantitativa o una mecla de ambas. D. -inguna de las anteriores.

Indica cuáles de las siguientes afirmaciones son correctas. (  CORRECTA) A. La autenticación consiste en proporcionar una prueba de la identidad del usuario. B. La autenticación biom'trica permite utiliar características biológicas de las personas como prueba de autenticación2 permitiendo un modo más barato de realiar este proceso. C. La aceptabilidad de un m'todo de autenticación puede se r un determinante de su adopción. D. -inguna de las anteriores

En ISO &+++ la apreciación del riesgo comprende% (  C ORRECTA) A. B. C. D.

&l establecimiento del conteto2 la identificación2 el análisis % la evaluación del riesgo. La identificación2 el análisis % la evaluación del riesgo. La identificación2 el análisis2 la evaluación % el tratamiento del r iesgo. -inguna de las anteriores.    5    e    g    a    P

Respecto a las dependencias entre acti1os! "cuál de las siguientes afirmaciones es correcta# (  CORRECTA) A. Los activos esenciales son la información % los servicios prest ados< pero estos activos no dependen de otros activos más prosaicos. B. #e dice que un =activo superior> depende de otro =activo inferior> cuando las necesidades de seguridad del superior se refle!an e n las necesidades de seguridad del inferior. C. La materialiación de una amenaa en el activo inferior no tiene como consecuencia un per!uicio sobre el activo superior. D. Las respuestas A % B son correctas.

"'n sistema de gestión en las TIC! -u6 estándares utilia usualmente#% (  CORRECTA) A. B. C. D.

3otor ?$DCA@8Conocimiento ?Buenas prácticasControles 7"C@. 3otor8Conocimiento8Autenticación. 3otor8Conocimiento87esting. -inguna de las anteriores.

$as prue/as de fuera /ruta se /asan en% (  CORRECTA) A. Utiliación de fic1eros con palabras en diferentes idiomas para averiguar por ensa%o8error los usuarios %8o password en las pantallas de login. B. Utiliación de todas las combinaciones posibles con un set de car acteres definido % una longitud. C. Lo que se denominan =ainbow 7ables>. D. -inguna es cierta.

"5u6 es el