Escolar Documentos
Profissional Documentos
Cultura Documentos
INSTITUTO DE POSTGRADO
Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad de la
información. (2 CORRECTAS)
A. Los procedimientos detallan los pasos que deben seguirse para implementar las políticas.
B. Las directrices establecen normas de obligado cumplimiento sobre la configuración de
distintos elementos del sistema.
C. Una línea base puede servir para complementar un estándar con información adicional.
D. Las políticas detallan los elementos software que la organización debería utilizar para cubrir
objetivos de control de seguridad de la información.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la profesión dentro del
área de la seguridad de la información.
B. La profesión de la seguridad de la información cuenta con cuerpos de conocimientos
definidos y una cultura profesional como otras profesiones diferenciadas.
C. El código ético del profesional de la información es el definido en las normas de auditoría
ISO 27001.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTAS)
A. Los programas de gestión de la seguridad incluyen la gestión del riesgo.
B. La gestión del riesgo incluye el desarrollo de programas de gestión de la seguridad para las
áreas en las que se encuentran debilidades.
C. Los programas de gestión de la seguridad se deben evaluar periódicamente para analizar su
efectividad.
D. Ninguna de las anteriores.
Respecto al tratamiento del riesgo, ¿cuál de las siguientes afirmaciones es correcta? (1 CORRECTA)
A. Solo se comparte el riesgo cualitativo.
B. Para mitigar el riesgo existen tres opciones.
C. Las decisiones de eliminación de las fuentes de riesgo suponen realizar un nuevo análisis de
riesgos sobre el sistema modificado.
D. La eliminación de la fuente de riesgo es una opción frente a un riesgo que es aceptable.
1
Page
La gestión del riesgo: (1 CORRECTA)
A. Las respuestas C y D son correctas.
B. Contribuye de manera intangible al logro de los objetivos y a la mejora del desempeño.
C. Debe formar parte integral de todos los procesos de la organización.
D. Forma parte de las responsabilidades de gestión.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA)
A. En el control de acceso basado en roles es posible establecer condiciones de activación de
roles.
B. Las listas de comprobación de acceso que se utilizan en el acceso basado en roles y en el
acceso discrecional se aplican sobre objetos del sistema operativo como los ficheros.
C. La posibilidad de acceder a objetos con privilegios en el acceso discrecional es mayor que en
el caso de que se use un acceso obligatorio con políticas estrictas.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (2 CORRECTA)
A. Las políticas de seguridad deben definir los responsables de su cumplimiento, en términos
de roles.
B. Las políticas de seguridad deben definir el software que se debe utilizar en cada ámbito de
aplicación.
C. Las políticas de seguridad pueden basarse en estándares externos.
D. Ninguna de las anteriores
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un SGSI que sea
certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del staff de la
empresa que se dedica a la seguridad de la información.
C. En un nivel de madurez controlado, se evalúa de manera continua desde la gestión la
calidad y efectividad de los diferentes aspectos de la seguridad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. La clasificación de la información tiene como objetivo cumplir con los requisitos legales de
su difusión.
B. Una información clasificada como de difusión restringida podría más adelante ser
reclasificada como información de uso interno general.
C. La clasificación de los recursos de información no puede tener excepciones.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. (3 CORRECTAS)
A. Las tecnologías triples A integran mecanismos de autenticación, autorización y contabilidad.
2
C. El control de accesos se debe implementar teniendo en cuenta los aspectos físicos y lógicos.
D. Ninguna de las anteriores.
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNEISO 31000, es
una herramienta que ayuda a una organización a: ( 1 CORRECTA)
A. Mejorar la prevención de pérdidas y la gestión de incidentes.
B. Minimizar las pérdidas.
C. Mejorar la resiliencia de la organización.
D. Todas las anteriores.
¿Cuál de los siguientes forma parte de los objetivos específicos de la gestión del riesgo en CMMI? ( 1
CORRECTA)
A. Identificar y analizar riesgos.
B. Determinar fuentes y categorías de riesgo.
C. Determinar planes de migración de riesgo.
D. Ninguna de las anteriores.
¿Cuál es la base que aportan los estándares ISO a la Gestión de las TIC?: ( 1 CORRECTA)
A. Terminología técnica.
B. La aplicación de mejora continua con el ciclo de Deming/PDCA.
C. Indicadores y métricas.
D. Ninguna de las anteriores.
Un test de intrusión es: ( 1 CORRECTA)
A. Solo un análisis de vulnerabilidades.
B. Un tipo de hacking ético.
C. Habitualmente de caja blanca y caja negra.
D. No es un PenTest.
¿Qué tres fases habitualmente se utilizan en una auditoría técnica de seguridad (test de intrusión)? ( 1
CORRECTA)
A. La recopilación de información del sistema a auditar y análisis de vulnerabilidades,
explotación/ataque de las vulnerabilidades detectadas, realización de informe técnico y
ejecutivo.
B. La recopilación de información del sistema a auditar, explotación/ataque de las
vulnerabilidades detectadas. Nunca se realiza informe.
C. Explotación/ataque de las vulnerabilidades detectadas y realización de informe técnico.
D. La recopilación de información del sistema a auditar y realización de informe técnico y
ejecutivo.
¿Cuáles son los elementos fundamentales en el PDCA?: ( 1 CORRECTA)
A. Gestión de incidentes.
B. Análisis de riesgos.
C. Formación.
3
Page
D. Objetivos orientados al negocio, formación y concienciación, auditorías internas y revisión
por dirección, acciones preventivas y correctivas…
¿Cuál de los siguientes no es un principio de COBIT5? ( 1 CORRECTA)
A. Marco integrador.
B. Diseñado para profesionales de la seguridad.
C. Enfoque al negocio y su contexto para toda la organización.
D. Fundamentado en facilitadores.
La gestión del riesgo: ( 1 CORRECTA)
A. Crea y protege el valor.
B. Contribuye de manera intangible al logro de los objetivos.
C. Es una actividad independiente.
D. Todas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 2 CORRECTA)
A. La separación de responsabilidades es un principio por el cual se deberían separar los pasos
de las tareas para ser realizados por diferentes personas.
B. Las autorizaciones dependen de las tareas, pero también de la clasificación de la
información.
C. El control de accesos se hace necesario cuando se tienen usuarios externos que trabajan
fuera de la organización y acceden de manera remota.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. En la gestión de riesgos de seguridad se debe considerar como prioritario aquellas
vulnerabilidades que pueden tener un impacto mayor en términos económicos.
B. Todos los riesgos deben llevar a la implantación de controles para su mitigación.
C. La fuente de la amenaza en la gestión de riesgos es cada una de las vulnerabilidades.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las revistas académicas del área de la seguridad de la información son el principal medio de
formación básica para los profesionales de la seguridad de la información.
B. Se llama hacker ético a cualquier profesional de la seguridad de la información.
C. Un hacker ético puede realizar acciones de penetration testing contra una empresa siempre
que no perciba beneficios económicos por ello.
D. Ninguna de las anteriores.
¿Cuál de las siguientes afirmaciones describen mejor la diferencia entre los roles del responsable y el
propietario de la información? ( 1 CORRECTA)
A. El responsable implementa el esquema de clasificación por órdenes del propietario.
B. El propietario implementa el esquema de clasificación por órdenes del responsable.
4
Page
C. El responsable define la clasificación y los usuarios la implementan valorando el tipo de
información que manejan.
D. El responsable es el rol que decide sobre el esquema de clasificación de acuerdo a las
directrices de los procedimientos establecidos por la dirección.
Indica cuáles de las siguientes afirmaciones son verdaderas: ( 1 CORRECTA)
A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la información
exclusivamente.
B. Las prácticas de ingeniería social tratan de explotar el factor humano para obtener datos
confidenciales.
C. La privacidad de los datos personales sensibles es el objetivo de mantener la
confidencialidad.
D. La clasificación de la información tiene como objeto establecer niveles de disponibilidad de
la información.
Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la certificación CISSP: (
3 CORRECTA)
A. La seguridad física de los sistemas.
B. La regulación sobre la protección de datos.
C. El desarrollo de software seguro.
D. La psicología de los delincuentes informáticos.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. Las contramedidas se implementan mediante controles.
B. La gestión del riesgo se basa en el análisis de los indicadores relativos al número de
intrusiones que se han detectado en cada período.
C. La gestión de riesgos puede ser basada en escenarios, cuantitativa o una mezcla de
ambas.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas. ( 1 CORRECTA)
A. La autenticación consiste en proporcionar una prueba de la identidad del usuario.
B. La autenticación biométrica permite utilizar características biológicas de las personas como
prueba de autenticación, permitiendo un modo más barato de realizar este proceso.
C. La aceptabilidad de un método de autenticación puede ser un determinante de su adopción.
D. Ninguna de las anteriores
En ISO 31000 la apreciación del riesgo comprende: ( 1 CORRECTA)
A. El establecimiento del contexto, la identificación, el análisis y la evaluación del riesgo.
B. La identificación, el análisis y la evaluación del riesgo.
C. La identificación, el análisis, la evaluación y el tratamiento del riesgo.
D. Ninguna de las anteriores.
5
Page
Respecto a las dependencias entre activos, ¿cuál de las siguientes afirmaciones es correcta? ( 1
CORRECTA)
A. Los activos esenciales son la información y los servicios prestados; pero estos activos no
dependen de otros activos más prosaicos.
B. Se dice que un «activo superior» depende de otro «activo inferior» cuando las necesidades
de seguridad del superior se reflejan en las necesidades de seguridad del inferior.
C. La materialización de una amenaza en el activo inferior no tiene como consecuencia un
perjuicio sobre el activo superior.
D. Las respuestas A y B son correctas.
¿Un sistema de gestión en las TIC, qué estándares utiliza usualmente?: ( 1 CORRECTA)
A. Motor (PDCA)/Conocimiento (Buenas prácticas-Controles TIC).
B. Motor/Conocimiento/Autenticación.
C. Motor/Conocimiento/Testing.
D. Ninguna de las anteriores.
Las pruebas de fuerza bruta se basan en: ( 1 CORRECTA)
A. Utilización de ficheros con palabras en diferentes idiomas para averiguar por ensayo/error
los usuarios y/o password en las pantallas de login.
B. Utilización de todas las combinaciones posibles con un set de caracteres definido y una
longitud.
C. Lo que se denominan «Rainbow Tables».
D. Ninguna es cierta.
D. Elimina el riesgo.
Page
Un proceso de gestión del riesgo implantado según los principios y directrices de la UNE-ISO 31000, es
una herramienta que ayuda a una organización a: (1 CORRECTA)
A. Garantiza la eficacia y la eficiencia operacional.
B. Conseguir una gestión activa.
C. Ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización.
D. Todas las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas.(2 CORRECTA)
A. En el protocolo RADIUS, un nodo de acceso controla una serie de nodos de acceso
autorizados.
B. Los servidores NAS en RADIUS son los únicos que controlan la información de contabilidad.
C. DIAMETER es un protocolo AAA extensible, sobre un protocolo básico.
D. inguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son correctas respecto a las políticas de seguridad. (3
CORRECTA)
A. Indican los objetivos de la seguridad, pero no la manera concreta de obtenerlos.
B. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del correo
electrónico.
C. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes de seguridad.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (2 CORRECTA)
A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de calidad de los
servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un sistema de
seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad diseñados
dentro del SGSI.
D. Ninguna de las anteriores.
Indica cuáles de las siguientes afirmaciones son ciertas: (1 CORRECTA)
A. La identificación de los usuarios es la autentificación de los mismos en el sistema.
B. La criptografía permite establecer almacenamiento seguro pero no transferencia de datos
segura.
C. El desarrollo de software seguro es más barato para los fabricantes de paquetes de
software, dado que reduce el impacto económico de su responsabilidad legal.
D. Ninguna de las anteriores.
Indica cuáles de las afirmaciones siguientes son ciertas: ( 1 CORRECTA)
A. El coste de ruptura hace referencia al coste que la empresa asume cuando se produce una
intrusión.
8
posteriori.
B. La autentificación biométrica tiene una fiabilidad perfecta en el caso de algunas técnicas,
Page
B. Entre otras muchas funciones, obtenemos los puertos (servicios) abiertos en una red local.
C. Automatiza los ataques de fuerza bruta y ataque basado en diccionario.
D. Ninguna de las anteriores
La herramienta CAIN: (1 CORRECTA)
A. Está diseñada para ataques de fuerza bruta.
B. Está diseñada para realizar ARP Poisoning.
C. Está diseñada para realizar sniffing de los paquetes de red.
D. Todas las anteriores son ciertas.
¿Cuál de las siguientes no es un área o capítulo de la ISO/IEc 27002?: (1 CORRECTA)
A. Gestión de la continuidad del negocio.
B. Cumplimiento.
C. Clasificación y control de activos.
D. Plan estratégico de la seguridad.
La herramienta OWASP DirBuster: (1 CORRECTA)
A. Es una herramienta diseñada para obtener por fuerza bruta o diccionario los nombres de
directorios y archivos en servidores web.
B. Es una herramienta para obtener las claves WPA2 de un router inalámbrico.
C. Permite realizar sniffing de red.
D. Está diseñada para realizar ARP Poisoning.
¿Cuál de las siguientes afirmaciones es incorrecta?: (1 CORRECTA)
A. El análisis de riesgos es la piedra angular del SGSI.
B. La organización debe determinar los controles a aplicar en la declaración de aplicabilidad
C. El anexo A del estandar ISO/IEC 27001 enumera 133 controles organizados en 11 áreas, cada
una de las cuales cubre algunos de los 39 objetivos de control.
D. La organización solo podrá certificar su SGSI si implementa los 133 controles del estándar.
¿Cuál de las siguientes afirmaciones es incorrecta?: (1 CORRECTA)
A. La revisión por la dirección permitirá realinear los esfuerzos de implantación del SGSI para
asegurar su eficiencia y eficacia.
B. La mejora continua del SGSI se desempeña por cualquiera de los recursos de la organización.
C. La revisión de la dirección debe realizarse a intervalos planificados y como mínimo 1 vez al
año.
D. Ninguna de las anteriores de las anteriores.
Los informes de auditorías técnicas de seguridad: (1 CORRECTA)
A. Incluyen como anexo el informe ejecutivo.
B. Describen con detalle técnico las fases de la auditoría de seguridad que realizan.
C. No necesitan definir el objetivo y el alcance de la auditoría.
D. Ninguna de las anteriores.
14
Page