Test de CASI 2

¿Cuál de los siguientes roles es el responsable final, tanto a nivel empresarial como jurídico, de los activos de información en una organización?. A. El administrador de seguridad. B. El usuario de la información. C. El propietario de la información. D. El supervisor.

¿Cuál es la diferencia entre un estándar y una directriz dentro de una política de seguridad?. A. El estándar es opcional y la directriz es de obligado cumplimiento para todos los miembros de la organización. B. El estándar regula aspectos técnicos y la directriz regula aspectos legales de la seguridad. C. El estándar es de cumplimiento obligatorio dentro de la organización, mientras que la directriz es una recomendación no vinculante. D. No existe diferencia práctica; ambos términos se usan de forma intercambiable en el ámbito de la seguridad.

¿Qué condiciones deben darse simultáneamente para que exista riesgo en un sistema de información?. A. Una amenaza, un ataque activo y un usuario malintencionado. B. Un activo, una vulnerabilidad y una amenaza. C. Una vulnerabilidad, un impacto económico y un incidente previo registrado. D. Un activo de alto valor, una política de seguridad deficiente y acceso externo a la red.

En el análisis de compromisos (Trade-off Analysis), ¿qué equilibrio fundamental debe buscarse al diseñar un SGSI?. A. Entre el coste de las licencias de software de seguridad y el presupuesto disponible del departamento TIC. B. Entre la protección de los activos de información y el mantenimiento de la operatividad y eficacia del negocio. C. Entre las exigencias legales de cumplimiento normativo y los intereses comerciales de la empresa. D. Entre la seguridad perimetral de la red y la seguridad física de las instalaciones.

¿Cuál de las siguientes configuraciones de servidores distribuye la carga de trabajo entre varios servidores activos?. A. Cold-standby. B. Hot-standby. C. Balanceo de carga. D. Backup incremental.

¿Cuál es el objetivo principal de un sistema de detección de intrusos (IDS)?. A. Prevenir automáticamente todos los ataques. B. Detectar ataques o actividades sospechosas en el sistema. C. Cifrar la información almacenada en los servidores. D. Gestionar permisos de acceso de los usuarios.

La criptografía simétrica utiliza dos claves y la asimétrica solo una. A. La criptografía simétrica utiliza dos claves y la asimétrica solo una. B. La criptografía simétrica utiliza una única clave compartida, mientras que la asimétrica usa un par de claves pública y privada. C. La criptografía asimétrica es más rápida que la simétrica para cifrar grandes volúmenes de datos. D. La criptografía simétrica solo se usa para autenticación.

¿Para qué se utiliza principalmente la criptografía asimétrica en los sistemas de información?. A. Para cifrar grandes volúmenes de datos. B. Para realizar copias de seguridad. C. Para la claves. D. Para reemplazar completamente a la criptografía simétrica.

¿Qué característica debe cumplir una función hash segura?. A. Que siempre produzca un resultado mayor que el mensaje original. B. Que sea reversible para recuperar el mensaje original. C. Que sea difícil encontrar dos mensajes distintos con el mismo hash. D. Que utilice claves públicas para su funcionamiento.

¿Cuál es la principal diferencia entre un hub y un switch desde el punto de vista de la seguridad en redes LAN?. A. El hub opera en la capa 3 OSI y el switch en la capa 2, lo que hace al hub más seguro. B. El switch crea un dominio de colisión único para todos los nodos, facilitando el sniffing. C. El hub comparte el medio entre todos los nodos, permitiendo a un sniffer capturar todo el tráfico. D. No hay diferencias relevantes de seguridad entre ambos dispositivos.

¿Cuántas capas tiene el modelo TCP/IP en comparación con el modelo OSI?. A. Tres capas, frente a las siete del modelo OSI. B. Cuatro capas, frente a las siete del modelo OSI. C. Cinco capas, igual que el modelo OSI simplificado. D. Siete capas, igual que el modelo OSI.

¿Qué protocolo de seguridad Wi-Fi debe evitarse por sus graves problemas de seguridad?. A. WEP (Wired Equivalent Privacy). B. WPA2 (Wi-Fi Protected Access 2). C. IEEE 802.11n. D. PPTP (Point-to-Point Tunneling Protocol).

¿Cuál de los siguientes es un ejemplo de control técnico o lógico?. A. La política de rotación de contraseñas y concienciación de empleados. B. Las vallas perimetrales y sistemas de iluminación de zonas de riesgo. C. Los cortafuegos, proxies y listas de control de acceso (ACL). D. Los planes de evacuación ante incendios y los extintores.

¿Qué caracteriza a la auditoría externa?. A. La realizan empleados del departamento de informática. B. Se realiza de forma continua dentro de la empresa. C. La realiza una entidad o profesional ajeno a la organización. D. Solo evalúa procesos operativos.

¿Qué tipo de auditoría se centra en analizar evidencias relacionadas con fraudes o conflictos legales?. A. Auditoría operativa. B. Auditoría forense. C. Auditoría de certificación. D. Auditoría de proceso.

¿Qué auditoría analiza la gestión completa de un sistema, incluyendo configuración, control de actividades y mantenimiento?. A. Auditoría de producto. B. Auditoría de proceso. C. Auditoría de sistema. D. Auditoría financiera.

¿Cuál es la principal diferencia entre control interno y auditoría?. A. El control interno se realiza de forma continua y la auditoría analiza un momento concreto de la actividad. B. El control interno solo lo realizan auditores externos. C. La auditoría se realiza diariamente y el control interno una vez al año. D. No existe diferencia entre ambos conceptos.

¿Qué diferencia principal existe entre el análisis de vulnerabilidades y el test de penetración?. A. El análisis de vulnerabilidades explota fallos mientras que el pentesting solo los detecta. B. El pentesting explota vulnerabilidades para comprobar si se pueden eludir las contramedidas del sistema. C. El análisis de vulnerabilidades es más invasivo que el pentesting. D. Ambos procesos son exactamente iguales.

¿Qué se entiende por artefactos en el contexto del análisis forense digital?. A. Programas utilizados para realizar auditorías. B. Trazas o rastros que quedan en un sistema como resultado de actividades o eventos. C. Copias de seguridad de los sistemas. C. Copias de seguridad de los sistemas.

¿Cuál es la diferencia entre XSS reflejado y XSS persistente?. A. El XSS reflejado solo afecta a servidores Linux y el persistente a servidores Windows. B. El XSS reflejado modifica la base de datos del servidor, mientras que el persistente no deja rastro. C. El XSS reflejado modifica parámetros en la petición HTTP sin alterar el servidor, mientras que el persistente almacena código malicioso en el servidor. D. No existe diferencia real entre ambos tipos; son denominaciones equivalentes.

Según el estándar PTES, ¿cuáles son las tres etapas del análisis de vulnerabilidades?. A. Detección, explotación y remediación. B. Pruebas, validación e investigación. C. Enumeración, escaneado y cracking. D. Footprinting, fingerprinting y fuzzing.

¿Cuál es el objetivo principal del comité de auditoría dentro de una organización?. A. Sustituir a los CEOs en la toma de decisiones estratégicas sobre los sistemas de información. B. Desarrollar directamente las mejoras técnicas detectadas tras el proceso de auditoría. C. Asesorar sobre controles internos, prioridades y medios de protección de activos. D. Realizar exclusivamente auditorías externas cuando la dirección ejecutiva lo considere necesario.

¿Cuál es la principal ventaja de las herramientas DAST frente a las SAST en el análisis de seguridad del software?. A. DAST analiza el código fuente sin necesidad de ejecutar el programa, lo que lo hace más rápido. B. DAST permite detectar vulnerabilidades que pasaron inadvertidas en el análisis estático y se aplica durante la ejecución del sistema. C. DAST es más económica que SAST y no requiere personal especializado. D. DAST sustituye completamente a SAST, por lo que no es necesario emplear ambas herramientas.

En el Plan de Continuidad de Negocio (BCP), ¿quién tiene la última palabra sobre cualquier decisión que afecta a la gestión y configuración del BCP y es el último responsable de cara a las instancias jurídicas o gubernamentales?. A. El comité BCP, formado por representantes de todas las áreas. B. Los desarrolladores de los planes de contingencia. C. El responsable del departamento TIC (CIO). D. El gestor senior.

En el contexto del PCN, ¿cómo se denomina a una violación intencionada o no del flujo de funcionamiento normal de un sistema de información?. A. Catástrofe. B. Desastre. C. Incidente crítico. D. Interrupción.

¿Cuál de las siguientes opciones describe correctamente el arranque en frío como modalidad de recuperación ante desastres?. A. Proporciona ordenadores, servidores y todo el equipamiento necesario, sincronizado con el sistema original. B. Replica todo excepto las aplicaciones del sistema original, requiriendo instalación de software al producirse el desastre. C. Solo ofrece suministro eléctrico, calefacción y aire acondicionado, sin equipamiento informático. D. Es la opción más cara pero garantiza la recuperación más rápida.

En el análisis de riesgos, ¿cuál de las siguientes estrategias implica que la organización no adopta ninguna contramedida?. A. Reducir el riesgo. B. Transferir el riesgo. C. Asumir el riesgo. D. Evitar el riesgo.

¿Qué vulnerabilidad aprovecha una deficiente gestión de sesiones de usuario para realizar acciones no autorizadas en una aplicación web?. A. Inyección SQL. B. Local File Inclusion (LFI). C. Cross Site Scripting (XSS). D. Cross Site Request Forgery (CSRF).

¿En qué se diferencia fundamentalmente el análisis forense de la auditoría informática?. A. El análisis forense evalúa el estado completo de un SGSI, mientras que la auditoría se limita a un incidente concreto. B. El análisis forense opera de forma continua en el tiempo, mientras que la auditoría se circunscribe a un momento puntual. C. El análisis forense tiene carácter probatorio, mientras que la auditoría valida el estado general de seguridad de un sistema. D. El análisis forense no requiere la intervención de especialistas, al contrario que la auditoría informática.

¿Cuál de las siguientes afirmaciones describe correctamente las dos grandes categorías en que se clasifican los delitos informáticos?. A. Delitos contra personas físicas y delitos contra personas jurídicas. B. Delitos como medio o instrumento para delinquir, y delitos dirigidos contra el propio sistema informático como fin u objetivo. C. Delitos penales y delitos administrativos. D. Delitos internos cometidos por empleados y delitos externos cometidos por terceros.

Según el Código Penal español, ¿qué conducta se considera fraude informático de acuerdo con el artículo 248?. A. La destrucción o alteración de datos y programas contenidos en redes o sistemas informáticos ajenos. B. La obtención de un lucro ilícito mediante manipulación informática que consiga una transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. C. El acceso no autorizado a sistemas informáticos ajenos con el fin de obtener información confidencial. D. La distribución de software malicioso destinado a inutilizar equipos informáticos de terceros.

En el contexto de la investigación forense, ¿qué información debe registrarse obligatoriamente al identificar y localizar una evidencia digital?. A. El coste económico estimado del daño causado, la identidad del sospechoso y el sistema operativo del equipo afectado. B. La hora en que se obtuvo la evidencia, la identidad de quien la descubrió, de quien la protegió y de quien la controló o mantiene su posesión. C. El tipo de delito cometido, la normativa legal aplicable y los sistemas informáticos implicados en el incidente. D. El nombre del perito responsable, el juzgado competente y la fecha estimada del incidente.

Según la ISO 38500, ¿qué establece el principio de Adquisición en el gobierno de las TIC?. A. Que las políticas TIC deben demostrar respeto por el factor humano y coordinarse con la gestión de recursos humanos. B. Que las distintas tecnologías y su uso deben contribuir al desarrollo de la organización de modo eficiente y con calidad de servicio adecuada. C. Que la compra de nuevas tecnologías responde siempre a un análisis previo basado en la transparencia y el equilibrio entre costes y riesgos a corto y largo plazo. D. Que la adquisición de nuevas tecnologías deben cumplir con todas las leyes y normativas vigentes, con políticas y procedimientos internos claramente definidos.

¿Cuál es la diferencia fundamental entre la gobernanza TIC y la gestión TIC según la ISO/IEC 38500?. A. La gobernanza TIC se ocupa de los aspectos técnicos del sistema, mientras que la gestión TIC se enfoca en los aspectos estratégicos y normativos. B. La gobernanza TIC no está restringida al presente del dominio interno de la organización, mientras que la gestión es el sistema de procesos y controles para alcanzar los objetivos estratégicos. C. La gestión TIC opera a nivel de consejo de administración, mientras que la gobernanza TIC se ejecuta en el nivel operativo de los departamentos de sistemas. D. Ambos conceptos son equivalentes y se usan indistintamente en el marco de la norma ISO/IEC 38500.

¿Qué certificación profesional está directamente asociada a ISACA y es considerada la principal referencia en el ámbito de la auditoría de sistemas de información?. A. CISSP, vinculada al consorcio internacional (ISC)2 y orientada a la seguridad de sistemas de información. B. CGEIT, orientada a la gobernanza de las tecnologías de la información en entornos empresariales. C. CISA, certificación de auditores de sistemas de información vinculada a ISACA. D. ISO 27001, que acredita a los profesionales en la gestión de la seguridad de la información.

¿Cuál de las siguientes afirmaciones describe correctamente la gobernanza corporativa según la OCDE?. A. Es el proceso mediante el cual el consejo de administración asegura el logro sostenido de los objetivos de la organización, protege su patrimonio y ofrece transparencia a todos los grupos de interesados. B. Es el conjunto de principios técnicos que regulan la adquisición y gestión de activos TIC en una organización. C. Es el sistema que anticipa problemas y soluciones de negocio, operando de forma ex ante para alinear las metas empresariales con los recursos disponibles. D. Es el mecanismo de control interno que verifica el cumplimiento de los estándares ISO en materia de seguridad de la información.

Según la norma ISO/IEC 38500:2008, ¿qué se entiende por gobernanza de las tecnologías de la información?. A. El conjunto de procedimientos técnicos que regulan la instalación y mantenimiento de los sistemas informáticos de una organización. B. El sistema por el que se dirigen y controlan los usos actuales y futuros de las TIC dentro de una organización. C. El marco normativo exclusivamente estatal que regula el uso de las TIC en los servicios públicos. D. El proceso de gestión operativa de los recursos tecnológicos para garantizar la continuidad del negocio.

¿Cuál es la diferencia entre un hacker y un cracker?. A. El hacker actúa siempre con fines económicos, mientras que el cracker lo hace por curiosidad. B. El hacker identifica vulnerabilidades para plantear soluciones, mientras que el cracker las busca para aprovecharse de ellas. C. El hacker trabaja para empresas privadas y el cracker para gobiernos. D. No existe ninguna diferencia; ambos términos son sinónimos en el ámbito de la ciberseguridad.

¿Qué diferencia fundamental existe entre las pruebas de cumplimiento y las pruebas sustantivas en una auditoría?. A. Las pruebas de cumplimiento solo se aplican a sistemas Linux y las sustantivas a sistemas Windows. B. Las pruebas de cumplimiento verifican la presencia de ítems, mientras que las sustantivas confirman el contenido e integridad de la evidencia. C. Las pruebas sustantivas siempre preceden a las de cumplimiento en el proceso de auditoría. D. No existe diferencia real; ambas buscan identificar irregularidades en los sistemas auditados.